Anvisning för riskanalyser kopplat till fysisk säkerhet i IT-utrymmen
IT-chefen har 25-12-01 beslutat om Anvisning för riskanalyser kopplat till fysisk säkerhet i IT-utrymmen, SU FV-3505-25.
Ansvarig enhet: IT-avdelningen
Kontaktperson: Fredrik Bolinder
Dokumentet har aktualitetsgranskats 2026.
1. Inledning
Handläggningsordning för intern styrning och kontroll (dnr SU FV-3412-24) beskriver hur riskanalyser genomförs vid Stockholms universitet. Handläggningsordningen fastställer fyra nivåer avseende konsekvens (försumbar/lindrig/märkbar/allvarlig) och sannolikhet (osannolik/möjlig/sannolik/mycket sannolik). Det totala riskvärdet beräknas utifrån nivån rörande konsekvens multipliceras med nivån för sannolikhet. Riskvärdet kan därmed hamna mellan 1 och 16, riskvärde 1-6 låg risk, riskvärde 7-11 medel risk, riskvärde 12–16 hög risk.
2. Genomförande av riskanalyser vid planering av fysiska skyddsåtgärder för IT-utrymmen
De fyra nivåerna avseende konsekvens motsvarar de fyra skyddsnivåerna (ingen/grundläggande/utökad/hög) som används för universitetets informationsklassningsmatris som är fastställd i Handläggningsordning för ansvarsfördelning och vägledning avseende säkerhetsåtgärder i informationssystem vid Stockholms universitet, bilaga 2 (dnr SU FV-1582-25).
Matrisen används för att bedöma vilka skyddsnivåer som krävs för att skydda information utifrån perspektiven (säkerhetsmål), tillgänglighet, riktighet, konfidentialitet och spårbarhet. För att uppnå kostnadseffektivitet och adekvat skyddsnivå bör fysiska säkerhetsåtgärder dimensioneras i enlighet med de skyddsnivåer som anges i informationsklassningsmatrisen för berörda informationstillgångar och IT-system.
Om en informationsklassning resulterar i att något av säkerhetsmålen når en högre skyddsnivå än två ska en riskanalys genomföras för att identifiera hur det högre skyddsbehovet bäst uppfylls. Arbetet omfattar att identifiera risker, bedöma deras sannolikhet och konsekvens samt föreslå lämpliga åtgärder. När åtgärdsförslag har tagits fram genomförs en ny bedömning för att fastställa det slutliga riskvärdet. Resultaten utgör underlag för prioritering och beslut om fysiska skyddsåtgärder, samt för att ställa motsvarande krav på leverantörer av IT-tjänster.
3. Införande av fysiska skyddsåtgärder enligt genomförda riskanalyser
Krav på fysisk säkerhet i IT-utrymmen ska anpassas efter vilken skyddsnivå som krävs för den information och de IT-system som ska placeras där.
Om en informationsklassning resulterar i att information eller ett IT-system har skyddsnivå ett eller två (grundläggande skydd) för samtliga säkerhetsmål (konfidentialitet, riktighet, tillgänglighet, spårbarhet), ska miniminivån för fysisk säkerhet gälla i IT-utrymmet.
Om däremot någon del av informationsklassningen eller IT-systemets klassning resulterar i skyddsnivå tre eller fyra (utökat skydd) för något av säkerhetsmålen ska en riskanalys genomföras enligt ovanstående anvisning. Resultatet av riskanalysen avgör vilka fysiska skyddsåtgärder som behöver införas.
Regler kring fysiska skyddsåtgärder kopplat till IT-utrymmen finns i dokument Regler för fysisk säkerhet av IT-utrymmen.
Stöddokumentet i pdf-format
Anvisning för riskanalyser kopplat till fysisk säkerhet i IT-utrymmen pdf, 310.1 kB.