Den information och de system som används inom universitetet är viktiga för att bedriva verksamheten, och måste skyddas på lämpligt sätt. För att avgöra hur universitetet ska skydda information och system på rätt sätt måste relaterade risker identifieras och analyseras. Riskanalyser ska vara en naturlig del av universitetets arbetssätt och bidra till att verksamheten kan bedrivas på ett ändamålsenligt och effektivt sätt.
För att säkerställa att information hanteras på ett säkert sätt ska hot relaterade till informationen kontinuerligt identifieras, analyseras och hanteras med lämpliga skyddsåtgärder. För att komma fram till vilka skyddsåtgärder som är lämpliga för respektive informationstillgång ska riskanalyser genomföras kontinuerligt.
Riskanalyser gör det möjligt för innehavare av roller med ansvar för information att identifiera huvudsakliga risker. Dessa bedöms sedan utifrån hur stor sannolikheten är att hoten realiseras samt potentiella konsekvenser. Analysen ger underlag för att avgöra vilka skyddsåtgärder som krävs för att säkerställa att riskerna, dvs. konsekvensen och sannolikheten för att ett hot inträffar, hanteras och minimeras på lämpligt sätt. Alla skyddsåtgärder ska dokumenteras på ett sådant sätt att det är möjligt att kontrollera efterlevnaden.


Riskanalyser ska utgå från aspekterna konfidentialitet, riktighet och tillgänglighet för den analyserade informationen.
Inom universitetet ska riskanalyser vara en naturlig del av hanteringen av information och genomföras på flera olika nivåer; på övergripande organisationsnivå, på institutionsnivå, avseende specifika system eller informationstillgångar etc. Riskanalyser ska genomföras i samband med förändringar i verksamheten, processerna och informationssystemen. Vid universitetet ska riskanalyser genomföras årligen. I samband med detta ska det även analyseras om det finns nya, eller förändrade, interna eller externa krav som påverkar den aktuella verksamheten. Till alla identifierade risker ska det utses en ansvarig som svarar för att säkerställa att de hanteras på ett lämpligt sätt. Uppföljning ska ske av att identifierade risker åtgärdas, alternativt hanteras på annat sätt, inom en rimlig tid.
Resultat från lokalt genomförd riskanalys utgör underlag för fastställande av informationssäkerhetsmål för den egna verksamheten.
Resultatet från genomförda riskanalyser ska rapporteras till informationssäkerhetssamordnaren. Mot bakgrund av den sammanvägda riskbilden inom universitetet framställer informationssäkerhetssamordnaren förslag till informationssäkerhetsmål för hela universitetet och redovisar dessa till universitetsledningen.