Indholdsfortegnelse

  • Hvad er forskellen på it-beredskab og beredskab?
  • Hvad er ISO 22301?
  • Hvad er en it-beredskabsstrategi?
  • Hvad siger ISO 27001 om beredskab?
  • Hvad er sammenhængen mellem beredskab, risiko og sikkerhed?
  • Hvor mange beredskabsplaner skal en virksomhed have?
  • Hvordan ser en ordentlig it-beredskabsplan ud?
  • Hvordan holder man planerne opdaterede og tilgængelige?

 

Hvad er forskellen på it-beredskab og beredskab?

it_services700.jpg

 

Beredskabsstyring eller Business Continuity Management handler om at sikre virksomheden i tilfælde af hændelser, der rammer virksomhedens forretning. I den sammenhæng skal forretning forstås i den bredest mulige forstand som de ressourcer, virksomhedens forretningsprocesser og produkter afhænger af: Mennesker, bygninger, teknologi, information, forsyninger etc.

It-beredskab er den del af virksomhedens beredskab, der beskæftiger sig med opretholdelsen, "fortsat drift", af de it-ydelser, som virksomheder i dag er afhængige af for at kunne fungere og være konkurrencedygtige.

Informationsteknologi og it-stab leverer nogle ydelser, IT Services, der er nødvendige for virksomhedens forretning. It-beredskab sikrer, at denne leverance af ydelser kan opretholdes, eller i det mindste retableres, før virksomheden lider uacceptable tab på områder som fx omsætning, omkostninger eller omdømme.

Hvad er ISO 22301?

ISO 22301 er en international standard for beredskabsstyring, som beskriver et framework for styringen af det samlede beredskab for en virksomhed. ISO 22301 er derfor ikke specifikt rettet mod it-beredskab, men det meste af standarden har dog generel anvendelighed også inden for dette område.

ISO 22301 beskriver en metode i fire trin til udvikling af beredskabsstyring:

  1. Forstå organisationen
  2. Fastlæg en beredskabsstrategi
  3. Udarbejd og implementer beredskabet
  4. Gennemfør løbende afprøvning, vedligeholdelse, revurdering af og træning i beredskabet

ISO 22301 angiver derudover en række basale krav til beredskabsplanernes indhold og struktur.

Hvad er en it-beredskabsstrategi?

En it-beredskabsstrategi er en overordnet strategi for, hvordan virksomheden skal håndtere på forhånd definerede trusselshændelsesscenarier. Beredskabsstrategien giver svaret på spørgsmålet "Hvad gør vi?", når katastrofen indtræffer, men ikke nødvendigvis det mere detaljerede "Hvordan gør vi?".

It-beredskabsstrategien har betydning for, hvilke valg man træffer i forhold til implementeringen af fail-over-løsninger, backup-løsninger og alternative driftscentre.

Hvad siger ISO 27001 om beredskab?

Kapitel 17 i Annex A til ISO 27001 beskriver den side af informationssikkerhed, der er relateret til beredskab - det, man kan kalde it-beredskabsstyring.

Der angives fire formål med it-beredskabsstyring:

  1. Sikre at informationssikkerhed er en del af virksomheden beredskab.
  2. At modvirke afbrydelser i virksomhedens forretningsaktiviteter.
  3. At beskytte kritiske informationsaktiver (og forretningsprocesser) mod effekten af større nedbrud og katastrofer.
  4. At sikre hurtig retablering (af kritiske forretningsprocesser).

Hvad er sammenhængen mellem beredskab, risiko og sikkerhed?

Når informationsaktiver og dermed forretningsprocesser er truet af sikkerhedshændelser, er der en risiko for forretningen. Denne risiko er kombination af dels sandsynligheden for at sikkerhedshændelser indtræffer og dels af konsekvensen for forretningen, hvis sikkerhedshændelser indtræffer.

Vi siger populært at risiko er lig med sandsynlighed gange konsekvens.

Hvis vi vil reducere denne risiko, har vi derfor overordnet set to muligheder:

  1. Proaktiv sikkerhed: Vi reducerer sandsynligheden for at sikkerhedshændelser indtræffer.
  2. Reaktiv sikkerhed: Vi reducerer konsekvensen af sikkerhedshændelser der indtræffer.

 

Skydeskive.png

 

 

De redskaber, vi benytter proaktivt, er fx sikkerhedspolitikawareness, driftsprocedurer og foranstaltninger som fysisk adgangskontrol, firewalls og antivirus.

Disse redskaber er alle forebyggende, sandsynlighedsreducerende tiltag.

De redskaber, vi benytter reaktivt, er fx beredskabsplaner og -strategier, retableringsprocedurer og foranstaltninger som brandslukning, backup og stand-by løsninger.

Disse redskaber er alle udbedrende, konsekvensreducerende tiltag.

Læs mere om risikovurdering

Hvor mange beredskabsplaner skal en virksomhed have?

Om man vælger at skrive én samlet beredskabsplan, eller om man vælger at skrive flere planer, afhænger af virksomhedens størrelse og geografiske spredning.

Beredskabsplaner skal ikke være lange afhandlinger, der er umulige at finde rundt i. De skal være korte, koncise og operationelle. Derfor kan det være en fordel at opdele den samlede plan i flere individuelle planer.

Hvad enten man benytter én eller flere planer, bør der være beskrevet beredskabsstrategier, der imødegår relevante hændelsesscenarier for hver eneste af virksomhedens kritiske forretningsprocesser, herunder hvordan og i hvilken grad forretningsprocesserne kan videreføres ved uden understøttende informationsteknologi.

Der bør også skrives en fælles, overordnet beredskabsplan, der beskriver, hvordan myndigheder og beredskabsledelse alarmeres, bygninger evakueres etc. Denne fælles plan bør integreres med alle de mere specifikke beredskabsplaner.

Med hensyn til it-beredskabsplaner, så bør der være beskrevet scenarier og beredskabsstrategier for hver enkelt driftslokation, og hvis ansvaret for driftslokationerne påhviler forskellige organisatoriske enheder eller medarbejdere, vil det være hensigtsmæssigt at benytte flere adskilte it-beredskabsplaner.

Hvordan ser en ordentlig it-beredskabsplan ud?

Det absolut vigtigste ved en it-beredskabsplan er, at indholdet er relevant, og at den holdes opdateret. Derfor skal det være klart defineret, hvem der "ejer" planen og hvem der har ansvaret for dens vedligeholdelse.

Det næstvigtigste i en it-beredskabsplan er en velfungerende beredskabsaktiveringsprocedure og en præcis ansvarsbeskrivelse i forhold til beredskabet. Det er essentielt, at man hurtigt kan sammenkalde de rigtige mennesker, og at disse er klar over deres roller og ansvar i beredskabet.

Den overordnede struktur i en it-beredskabsplan kan se sådan ud:

 

implementeringsplan_-_beredskab.png

Hvordan holder man planerne opdaterede og tilgængelige?

Neupart har udviklet Secure ISMS BCP, som øger planernes tilgængelighed og hjælper med ajourføring.

Løsningen kan håndtere mange beredskabsplaner på én gang.

I Secure ISMS BCP kan adgangsrettigheder, ejerskab og vedligeholdelsesansvar præcist defineres, og via Secure ISMS opfølgningsmodul sikres det, at planerne regelmæssigt gennemgås og opdateres af de ansvarlige medarbejdere.

Det hele kan leveres som en service så planerne også er tilgængelige, selvom it-systemerne ikke er det.