ในการบริหารความเสี่ยงของโรงพยาบาล ขั้นตอนสำคัญขั้นตอนหนึ่งที่ต้องจัดทำ คือ การจัดลำดับความสำคัญของความเสี่ยง โดยใช้โอกาสที่จะเกิดเหตุการณ์ และผลกระทบที่จะเกิดขึ้น มาทำเป็นตารางในลักษณะ matrix เพื่อกำหนดว่าความเสี่ยงใดที่มีความสำคัญที่ต้องบริหารจัดการเป็นลำดับต้นๆ
ในสงครามโลกครั้งที่สองและสงครามเวียดนาม มีเครื่องมือตัวหนึ่งชื่อ CARVER ที่กองทัพใช้ในการวิเคราะห์ว่า ระบบงานใดของฝ่ายตรงข้ามที่ถ้าถูกโจมตีแล้วจะเกิดผลกระทบกับฝ่ายตรงข้ามมาก จะได้เลือกเป้าโจมตีที่คุ้มค่าที่สุด ในทางกลับกัน ถ้าเป็นฝ่ายตั้งรับ ก็ใช้ CARVER ในการวิเคราะห์ว่า ถ้ามีทรัพยากรอันจำกัด จะเลือกป้องกันระบบงานใดจึงจะดีที่สุด CARVER เป็นคำย่อของ
Criticality ระบบงานนี้มีความจำเป็นมากแค่ไหนต่อการดำเนินงานอย่างต่อเนื่องของหน่วยงาน
Accessibility ระบบงานนี้ง่ายต่อการถูกรบกวนหรือโจมตี มากน้อยแค่ไหน
Recoverability การฟื้นฟูให้ระบบงานนี้กลับมาทำงานได้ปกติ ยากง่ายเพียงไร
Vulnerability ระบบงานนี้มีความทนต่อการถูกรบกวนหรือโจมตี มากน้อยเพียงไร
Effect ผลกระทบทางเศรษฐกิจ สังคม และการเมือง ที่จะเกิดขึ้น ถ้าระบบงานนี้ไม่สามารถทำงานได้
Recognizability โอกาสที่ระบบงานนี้จะได้รับความสนใจจากผู้รบกวนหรือผู้โจมตี
คะแนนที่ให้ในแต่ละด้าน คือ 5 มีผลสูงสุด และ 1 มีผลต่ำสุด CARVER อาจนำมาประยุกต์ใช้กับโรงพยาบาลได้ ตัวอย่างเช่น มีระบบงานสำคัญของโรงพยาบาลอยู่ 3 ระบบ ที่อาจถูกรบกวนหรือโจมตี ซึ่งเมื่อวิเคราะห์ด้วย CARVER แล้ว พบว่า การลงทุนป้องกันความเสี่ยงด้านระบบสารสนเทศคุ้มค่าที่สุด
| ระบบงาน | C | A | R | V | E | R | รวม |
| สารสนเทศ | 4 | 4 | 3 | 4 | 3 | 5 | 23 |
| ระบบไฟฟ้า | 4 | 2 | 3 | 2 | 4 | 3 | 18 |
| ระบบออกซิเจน | 3 | 2 | 3 | 2 | 4 | 2 | 16 |
