Riskbedömning är hela processen för att hantera risker, medan riskanalys är en specifik del av den processen. Enligt ISO 31000, den internationella standarden för riskhantering, består riskbedömning av tre steg: riskidentifiering, riskanalys och riskvärdering.
Enkelt uttryckt: riskanalys svarar på "hur stor är risken?", medan riskbedömning omfattar hela processen från "vilka risker har vi?" till "hur ska vi hantera dem?". För dig som arbetar med GDPR, ISO 27001 eller NIS2 är skillnaden avgörande för korrekt efterlevnad.
Vad är riskbedömning?
Riskbedömning (risk assessment) är hela den övergripande processen för att hantera organisationens risker. Enligt ISO 31000 består riskbedömning av tre steg:
- Riskidentifiering - Kartlägga och identifiera vilka risker som finns
- Riskanalys - Analysera och beräkna hur stora riskerna är
- Riskvärdering - Värdera och prioritera vilka risker som kräver åtgärder
I en riskbedömning går du igenom hela cykeln: från att kartlägga potentiella hot och sårbarheter, via att bedöma sannolikhet och konsekvens, till att prioritera dem efter allvarlighetsgrad och besluta om åtgärder. Resultatet är en komplett riskhanteringsplan.
Exempel: Du genomför en årlig riskbedömning av alla personuppgiftsbehandlingar enligt GDPR. Först identifierar du 47 olika behandlingar (steg 1). Sedan analyserar du varje behandling och beräkner riskpoäng (steg 2). Slutligen värderar du att molnlagring av känsliga hälsouppgifter, tredjepartsdelning med leverantörer utanför EU, och manuell hantering av kunduppgifter i Excel-filer utgör de högsta riskerna som kräver omedelbar åtgärd (steg 3).
Vad är riskanalys?
Riskanalys (risk analysis) är steg 2 i riskbedömningsprocessen enligt ISO 31000. Det är här du beräknar och analyserar hur stora de identifierade riskerna faktiskt är.
I en riskanalys bedömer du sannolikheten för att en risk inträffar, analyserar potentiella konsekvenser och påverkan, utvärderar befintliga kontroller och deras effektivitet, och beräknar en riskpoäng eller risknivå. Resultatet är en kvantifierad eller kvalitativ bedömning av riskens storlek.
Exempel: Efter att du identifierat molnlagring som en potentiell risk (steg 1: riskidentifiering) genomför du en riskanalys. Du analyserar sannolikheten för dataintrång (historiska data visar 15% årlig risk), beräknar potentiell påverkan (2000 registrerade × allvarlig konsekvens enligt GDPR), utvärderar befintliga kontroller (kryptering: ja, åtkomstkontroll: delvis, geografisk placering: EU), och beräknar total riskpoäng till "Hög risk" (sannolikhet 3 × konsekvens 4 = 12 poäng).
Skillnaden i praktiken
| Aspekt | Riskbedömning | Riskanalys |
|---|---|---|
| Omfattning | Hela riskhanteringsprocessen | En del av riskbedömningen |
| Omfattar | Identifiering + Analys + Värdering | Beräkning av sannolikhet och konsekvens |
| Frekvens | Årligen eller vid stora förändringar | Löpande för varje identifierad risk |
| Resultat | Komplett riskhanteringsplan med prioriteringar och åtgärder | Riskpoäng eller risknivå för varje risk |
| Standard | ISO 31000: Risk Assessment | ISO 31000: Risk Analysis (steg 2 av 3) |
Att komma ihåg: Riskanalysen svarar på "hur stor är risken?", medan riskbedömningen omfattar hela processen från identifiering till beslut om åtgärder.
Varför ISO 31000 är standarden
ISO 31000 är den internationella standarden för riskhantering och används av organisationer världen över för att skapa enhetliga processer. Den svenska versionen (SS-ISO 31000:2018) är utgiven av SIS (Swedish Standards Institute) och definierar terminologin som används i både GDPR, ISO 27001 och NIS2.
Många svenska organisationer, inklusive MSB (Myndigheten för samhällsskydd och beredskap), använder begreppen riskanalys och riskbedömning synonymt i praktiken. Men för korrekt compliance och tydlig kommunikation rekommenderas ISO 31000:s definitioner:
- Riskbedömning = hela processen (identifiering → analys → värdering)
- Riskanalys = beräkningsdelen (sannolikhet × konsekvens)
- Riskvärdering = beslutsdelen (vilka åtgärder krävs?)
Vanliga frågor
Vilken ska jag börja med - riskanalys eller riskbedömning?
Börja alltid med en riskbedömning, eftersom riskanalys är en del av den. Enligt ISO 31000 startar du med steg 1 (riskidentifiering), sedan steg 2 (riskanalys), och avslutar med steg 3 (riskvärdering). Du kan inte analysera risker (steg 2) innan du har identifierat dem (steg 1).
Hur ofta ska vi göra riskbedömning?
Minst årligen enligt ISO 27001. Vid större förändringar (ny IT-infrastruktur, organisationsförändring, nya tjänster) krävs ny bedömning. GDPR kräver löpande bedömning av personuppgiftsbehandlingar.
Behöver vi göra riskanalys för alla identifierade risker?
Ja, riskanalys (steg 2) utförs för varje risk som identifierades i steg 1. Men djupet kan variera - enkla risker får en snabb beräkning, medan komplexa risker kan kräva djupare analys med scenariomodellering eller DPIA för personuppgifter enligt GDPR.
Vem ska genomföra riskbedömning och riskanalys?
Riskbedömning (hela processen) kräver bred representation: CISO, DPO, IT-chef, verksamhetschefer och HR arbetar tillsammans genom alla tre stegen. Riskanalys (steg 2) kan kräva specialister beroende på riskens komplexitet - säkerhetsexperter för IT-risker, jurister för juridiska risker, eller externa konsulter för specialiserade områden.
Hur dokumenterar vi riskarbetet?
Använd en strukturerad mall eller verktyg för riskhantering. Dokumentationen ska innehålla identifierade risker, bedömningsmetodik, analysresultat, åtgärder, ansvariga och uppföljningsdatum.
Vilka verktyg används i riskanalys och riskbedömning?
Riskbedömning (hela processen) använder ramverk som ISO 31000 eller ISO 27005. Riskanalys (steg 2) använder beräkningsmetoder som sannolikhet × konsekvens, ofta visualiserat i en riskmatris. För komplexa risker kan du använda scenarioanalys, felträdsanalys (FTA), bow-tie-modeller eller kvantitativa metoder som Monte Carlo-simulering.
