Detta avsnitt behandlar den operativa verksamheten inom informationssäkerhetsområdet vilket innebär en tillämpning av riskhanteringsprocessen samt hantering av åtgärdsbehov som framkommit som ett resultat från riskhanteringsprocessen eller andra källor.
Genomförande av riskanalyser
Vid universitetet genomförs olika typer av riskanalyser. Dessa är:

  • Intern styrning och kontroll – årligen återkommande.
  • Arbetsmiljö – ska genomföras inför en större förändring.
  • Miljö
  • Informationssäkerhet


Utöver dessa riskanalyser genomförs inom ledningssystemet för miljö (i enlighet ISO 14001) bedömning av universitetets miljörisker samt riskanalyser inom den fysiska säkerheten.

Intern styrning och kontroll

Intern styrning och kontroll är den process som syftar till att myndigheten med rimlig säkerhet fullgör sina mål och uppdrag och bedriver verksamheten i enlighet med Myndighetsförordningens krav på effektivitet, regelefterlevnad, tillförlitlig redovisning och god hushållning med tilldelade resurser. Arbetet med universitetets riskanalys är ett centralt moment i processen.


Arbetsmiljö

När en ändring planeras i verksamheten påbörjas ett förebyggande arbetsmiljöarbete med sikte på tiden efter ändringens genomförande. Att arbeta förebyggande med medarbetarnas arbetsmiljö ger ökad hälsa och säkerhet samt sparar pengar i organisationen.

Miljö

Universitetet har bedömt utsläpp till luft, mark och vatten vara miljörisk vid nödlägen och olycka.
Miljörisken delas in kemiska, biologiska och radioaktiva. Risken orsakas av brand, explosion, tekniska fel och mänskligt agerande.
Vid brand är det främst brandrök och släckvatten som har de största negativa miljöeffekterna. Giftiga partiklar följer med rökplymen ut i fria luften och sprids.
När det gäller kemiska produkter, GMO, radioaktiva med flera ”riskämnen” kan de i värsta fall vid olyckor leda till omfattande skador på människor och natur.
Därför är det viktigt att förebygga nödlägen och olycka.

Inom informationssäkerhetsområdet ska riskanalyser genomföras regelbundet på olika nivåer och områden inom universitetets verksamhet. Inom universitetet tillämpas en särskild metod för verksamhetsanalys vilket inkluderar riskanalys. Följande generiska steg ingår i genomförandet av en riskanalys:

Analysens omfattning och avgränsning ska definieras


Omfattningen av den riskanalys som ska genomföras sätts genom att de områden eller den processer som ska analyseras definieras och avgränsas. Personer med god kännedom om aktuellt område/process ska identifieras och bjudas in att delta i analysen. Dessa personer ska också ges tillfälle att förbereda sig och inhämta nödvändig information/fakta för att kunna genomföra uppgiften på ett effektivt och ändamålsenligt sätt.

Hot ska identifieras


För varje delområde, eller steg i processen, som analyseras ska de hot som föreligger identifieras, grupperas och dokumenteras. Hoten ska dokumenteras på tillräcklig detaljnivå så att även utomstående förstår vad som avses.

Konsekvens och sannolikhet ska bedömas


Vilka konsekvenserna blir om identifierade hot inträffar, och hur sannolikt det är att de inträffar, ska identifieras, analyseras och resultatet dokumenteras. Risknivån, dvs. konsekvensen och sannolikheten för att ett hot inträffar, bör bedömas utifrån en standardiserad skala som också gör det möjligt att jämföra risker.

Åtgärdsförslag ska utarbetas


Det kan föreligga flera olika orsaker bakom varje identifierad risk, och förslag för att hantera dessa måste därför arbetas fram. Konsekvensen av förslagen måste analyseras innan beslut om åtgärd fattas. Åtgärder kan exempelvis vidtas för att förhindra eller minska sannolikheten för att de bakomliggande orsakerna inträffar, eller att konsekvenserna av om de inträffar minimeras.

Riskanalysen ska dokumenteras


En rapport ska sammanställas utifrån den genomförda riskanalysen genom att använda den inom Stockholms universitet fastställda metoden vilket inkluderar malldokument vid riskanalysen.

Internrevision

Universitet ska genomföra interna revisioner med planerade intervall för att få information om huruvida ledningssystemet för informationssäkerhet överensstämmer med universitetets krav på informationssäkerhet. Universitet ska planera, upprätta, införa och underhålla ett revisionsprogram. Detta revisionsprogram innehåller revisionsaktiviteter av både ledningssystemet och informationssäkerheten i verksamheten. Revisionsprogrammet förvaltas av informationssäkerhetssamordnaren i samverkan med universitetets internrevision.