Identifiera, bedöm och åtgärda risker med kontroll
Systematiskt riskarbete kräver mer än en lista. Securapilots riskhanteringsmodul följer varje risk från identifierad till behandlad – på en visuell 5×5-matris och med spårbarhet i varje steg.
Riskarbete som hänger ihop
Att identifiera risker är bara början. Securapilots riskhanteringsmodul följer ISO 31000:s riskhanteringsprocess i dess informationssäkerhetstillämpning (ISO 27005) och samlar riskregister, bedömningar, behandlingar och åtgärdsuppgifter på ett ställe – med automatisk poängsättning och loggning av varje ändring.
Resultatet: ett riskarbete som är spårbart och mätbart över tid.
Allt riskarbete i en modul
Riskhanteringsmodulen täcker hela risklivscykeln i sex sammanhängande områden.
Riskregister
En förteckning över verksamhetens identifierade risker, med risknivå före och efter åtgärd, ägare och status.
Riskmatris
En visuell 5×5-heatmap som färgkodar varje risk efter sannolikhet och konsekvens.
Riskbedömningar
Behållare som grupperar risker för gemensam utvärdering inom en avgränsad omfattning.
Riskbehandling
Behandlingsstrategier – acceptera, reducera, överföra eller undvika – med motivering och målnivå.
Åtgärdsuppgifter
Konkreta uppgifter som bryter ner åtgärderna och bockas av på en uppgiftstavla.
Riskaptit
Ett frågeformulär som fastställer hur mycket risk verksamheten är beredd att acceptera.
Så stödjer modulen ert riskarbete
Åtta funktioner som tar risken från identifierad till stängd – matris, riskpoäng, behandlingar och AI-stöd.
Visuell 5×5 riskmatris
Risker visas som klickbara punkter i en färgkodad matris där x-axeln är sannolikhet och y-axeln är konsekvens. Flera färgteman finns att välja mellan.
Risk före och efter åtgärd
Bedöm risknivån både innan ni gör något åt risken (den "rena" risken) och efter att åtgärder är på plats – och se hur mycket åtgärderna sänker risken i procent.
Automatisk riskpoäng och risknivå
Sannolikhet × konsekvens ger automatiskt en riskpoäng och en risknivå från mycket låg till mycket hög.
Guidat arbetsflöde för bedömningar
Ett guidat flöde tar bedömningen från utkast till avslutad, visar hur långt ni kommit i procent och larmar om risker på hög nivå.
Fyra sätt att hantera en risk
Välj mellan att acceptera, reducera, överföra eller undvika risken – och dokumentera kostnad/nytta, målnivå och godkännande för varje val.
Åtgärder som uppgifter att bocka av
Bryt ner riskåtgärder i konkreta uppgifter och hantera dem på en uppgiftstavla där varje uppgift flyttas mellan "Att göra", "Pågående" och "Klar".
Samarbeta i bedömningar
Flera personer arbetar tillsammans med roller och inbjudningar – även externa gäster via en säker länk med tidsbegränsad giltighet.
AI-stöd
AI föreslår risker, sätter poäng, motiverar behandlingar och kan flytta över gap från GAP-analysen direkt som risker.
Riskens livscykel – från identifierad till avslutad
Varje risk följer en tydlig statuskedja som speglar riskarbetets faser.
Identifierad
Risken förs in i riskregistret med titel, kategori och ansvarig ägare.
Bedömd
Sannolikhet och konsekvens poängsätts och risken placeras i riskmatrisen.
Behandlad
En behandlingsstrategi väljs och åtgärdsuppgifterna genomförs.
Övervakad
Residual risk följs upp och behandlingens framsteg granskas löpande.
Avslutad
Risken stängs när den är hanterad – hela förloppet finns i tidslinjen.
Vanliga frågor om riskhanteringsmodulen
Vilken riskmetodik bygger modulen på?
Modulen följer ISO 31000:s riskhanteringsprocess i dess informationssäkerhetstillämpning (ISO 27005), med en visuell 5×5-matris där sannolikhet och konsekvens var och en bedöms på en skala 1–5. Produkten av dem ger en riskpoäng och en risknivå – från mycket låg till mycket hög – som beräknas automatiskt.
Vad är skillnaden mellan inneboende och residual risk?
Inneboende risk är risknivån före behandling, residual risk är den kvarstående nivån efter genomförd behandling. Modulen beräknar båda och visar riskreduktionen i procent, så att effekten av behandlingen blir mätbar.
Kan flera personer arbeta med samma riskbedömning?
Ja. En bedömning kan utföras av flera personer tillsammans med rollerna ägare, medlem och gäst. Interna användare läggs till direkt, externa bjuds in via en säker tokenlänk med 48 timmars giltighet, och inbjudningar valideras mot tenantens tillåtna domäner.
Hur hänger riskhanteringen ihop med övriga moduler?
Risker kan länkas till informationstillgångar, gap från gap-analysen, leverantörer och revisionsfynd. Det ger spårbarhet mellan riskarbetet och resten av plattformen – och gap kan konverteras direkt till risker med AI-stöd.
Vad är skillnaden mellan ISO 27001 och ISO 27005?
ISO 27001 är managementsystemet (ISMS) – vad ni måste ha. ISO 27005 är riskhanteringsmetoden – hur ni gör riskarbetet. ISO 27005 är vägledning, ISO 27001 är certifierbar.
Hur ofta bör riskanalysen uppdateras?
Minst en gång per år, samt vid större förändringar (nytt system, ny leverantör, allvarlig incident). NIS2 kräver "regelbunden" översyn.
Räcker en Excel-baserad riskmatris för ISO 27001?
Tekniskt ja, men i praktiken nej. ISO 27001 klausul 9.1 kräver bevis på systematisk uppföljning över tid, och Excel saknar versionshantering, behörighetskontroll och spårbarhet.
Vad är compliance-mognadsbedömning?
En kvalitativ utvärdering av hur etablerade ert säkerhetsarbete är, på en mognadsskala (typiskt 1–5). Mognadsbedömning kompletterar riskanalysen genom att visa "hur väl" ni gör säkerhetsarbetet.
Vad är skillnaden mellan ISO 31000 och ISO 27005?
ISO 31000 är det övergripande ramverket för riskhantering – principer och en standardprocess (identifiera, analysera, utvärdera, behandla, övervaka) som gäller all typ av risk: finansiell, operativ, säkerhet. ISO 27005 är samma metodik tillämpad specifikt på informationssäkerhetsrisker. Securapilots riskhanteringsmodul följer båda, så att informationssäkerhetsrisker hanteras med samma struktur som er övriga riskhantering.
Få struktur på hela riskarbetet
Boka en demo så visar vi hur riskhanteringsmodulen gör ert riskarbete strukturerat, mätbart och spårbart.
Relaterade moduler
Bygg ett komplett ledningssystem genom att kombinera moduler som hänger ihop.