H_SAK_Grunder
H_SAK_Grunder
H_SAK_Grunder
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
• Var finns denna materiel och/eller utrustning<br />
• Beskriv förväntade konsekvenser av att tillgångarna röjs, skadas, förstörs etc.<br />
• Vad innebär det för en motståndare att få tillgång till de skyddsvärda tillgångarna<br />
• Vad förlorar vi Vad vinner en motståndare<br />
• Är tillgången fortfarande värdefull för oss även om en motståndare har tillgång till<br />
den<br />
• Vad har tillgången kostat oss<br />
• Hur är behovet av att skydda denna specifika tillgång jämfört med andra värdefulla<br />
tillgångar<br />
För att kunna analysera vilka konsekvenser som kan uppstå krävs att de oönskade händelser<br />
som kan påverka respektive tillgång negativt identifieras. Inledningsvis utifrån<br />
en generell indelning och därefter genom en alltmer detaljerad beskrivning.<br />
Sker inte denna nedbrytning av detaljeringsgraden riskerar säkerhetshotbedömningen<br />
(steg 2 av säkerhetsanalysen) att medföra en alltför generell och oprecis hotbedömning<br />
vilket kommer att resultera i en riskbedömning som inte går att omsätta i specifika<br />
skyddsåtgärder.<br />
Nedanstående femgradiga skala för bedömning av konsekvens är ett exempel på en<br />
generell konsekvensbeskrivning. Konsekvensbeskrivningarna kan behöva anpassas 4<br />
beroende på i vilken verksamhet tillgångarna förekommer samt med hänsyn till typ<br />
av tillgång. Till exempel kan en konsekvensbeskrivning av en materielförlust inte med<br />
självklarhet användas för att beskriva konsekvenserna av skadad eller dödad personal.<br />
En negativ påverkan på en specifik tillgång kan därför resultera i en viss konsekvensbedömning<br />
för en verksamhet och en helt annan vid andra typer av verksamhet.<br />
Bedömning av konsekvens, liksom bedömningar av sårbarhet, sannolikhet och risk<br />
ska därför ses som relativa. Av den anledningen kan inte resultatet av olika säkerhetsanalyser<br />
jämföras utan att hänsyn tas även till förutsättningarna för respektive analys.<br />
Att beskriva och gradera konsekvensen av en oönskad händelse är chefens ansvar.<br />
För att i steg 4 få en större spridning av identifierade risker kan den femgradiga skalan<br />
vid bedömning av konsekvens och sannolikhet graderas i fler skalsteg. Oftast räcker<br />
det med en tiogradig indelning, men det finns inget som hindrar en större gradering<br />
än så. Graderingen av skalan för bedömning är bara ett hjälpmedel och ändrar inte den<br />
slutliga bedömningen av risker i en femgradig skala.<br />
4 Konsekvensen skiljer sig åt beroende på om det är organisationens perspektiv eller den enskildes perspektiv<br />
som utgör grund för bedömningen. Konsekvensen för organisationen kan därför bedömas som försumbart<br />
samtidigt som det för den enskilde kan få mycket allvarliga konsekvenser, ex vis vid ett röjande av en<br />
enskilds patientjournal.<br />
47