Kontinuitetshantering fr samhllsviktig verksamhet En lathund riktad till

Kontinuitetshantering för samhällsviktig verksamhet En lathund riktad till dig som ska driva arbetet i din organisation (Version 1. 0)

Om materialet • Det här metodstödet vänder sig till dig som ska införa kontinuitetshantering för samhällsviktig verksamhet i din organisation. Materialet är i första hand tänkt som ett stöd vid införande av arbete med kontinuitetshantering, inte som ett presentationsunderlag. • Syftet är att ge stöd – en lathund – som bygger på valda delar ur Vägledning för kontinuitetshantering, SS 22304: 2014. Den är i sin tur baserad på standarden ISO 22301 Samhällssäkerhet – Ledningssystem för kontinuitet. Vägledningen kan beställas utan kostnad via denna länk www. sis. se/MSB_bekostar_standarden_kontinuitetshantering. • Allt stödmaterial, fördjupningsmaterial och alla exempel som lathunden hänvisar till finns på www. msb. se/kontinuitetshantering. • Har du frågor om metodstödet är du välkommen att kontakta oss på kontinuitetshantering@msb. se. Publ. nr: MSB 1406 – juni 2019 ISBN-nummer: 978 -91 -7383 -955 -6

Hej MSB, Jag har fått i uppdrag att driva arbetet med kontinuitetshantering för samhällsviktig verksamhet i min organisation. Har ni praktiska tips på hur jag kan göra? Vänliga hälsningar, Kim Hej Kim, och tack för din fråga. I följande lathund ger vi dig svar på dina frågor samt tips och råd för genomförandet. Du får även hänvisning till material som kan vara ett stöd i ditt arbete. Vänliga hälsningar, MSB

Vägledning SS 22304: 2014 Vad är kontinuitetshantering? Läs sidorna 4– 5: Avsnitt 0. 1 Vad är kontinuitetshantering? Kontinuitetshantering handlar om att planera för att upprätthålla sin verksamhet, oavsett vad som inträffar. och 0. 2 Varför är kontinuitetshantering viktigt och vilka vinster finns det? Exempel på aktiviteter som ingår i arbetet är: • kartlägga och analysera samhällsviktiga verksamheter • identifiera resurser som behövs för att den samhällsviktiga verksamheten ska fungera • bestämma vad som är acceptabla avbrottstider • genomföra åtgärder som exempelvis minskar risken för avbrott • ta fram planer, innehållande rutiner och checklistor, för att hantera de störningar som ändå kan uppstå Fördjupning Hur kontinuitetshantering förebygger och minskar verksamhetsförluster och avbrottstid. Kontinuitetshantering är en viktig del av arbetet med krisberedskap och med den återupptagna planeringen för totalförsvaret. MSB – Systematiskt arbete med skydd av samhällsviktig verksamhet: Beskrivande text på sidan 18– 19 – Kontinuitetshantering (MSB 932 reviderad april 2018). Länsstyrelsen Östergötland – Handbok för processledare: Fördjupning på sidan 70 - Bilaga 1. FSPOS – Vägledning för kontinuitetshantering: Vad är kontinuitetshantering avsnitt 2. 1 och Nyttan med kontinuitetshantering avsnitt 2. 2 sidan 8– 9. FSPOS – Interaktiv utbildning om kontinuitetshantering.

Hur genomförs arbetet på bästa sätt? • Lägg gärna upp arbetet utifrån modellen Plan-Do-Check-Act (PDCA). På så vis blir arbetet med kontinuitetshantering strukturerat och systematiskt. Förbättra (act) Planera (plan) • Lathunden kommer att guida dig genom respektive del med tips på tillvägagångssätt, stödmaterial, fördjupande material och exempel. Följa upp (check) Genomföra (do)

Förbättra (act) Planera (plan) Följa upp (check) Genomföra (do) Vad är viktigt att tänka på innan arbetet börjar? Innan du påbörjar arbetet finns det några saker som kan vara bra att ha på plats: • mandat från ledningen för att driva arbetet i organisationen. • identifierade samhällsviktiga verksamheter. Se bild nr. 7 Se bild nr. 8 Arbetssättet för kontinuitetshantering kan även användas för annan verksamhet som organisationen bedömer som viktig – men börja med de samhällsviktiga verksamheterna. Viktigt att ta med inför arbetet: • Ta hänsyn till behovet av att skydda den information som samlas in under hela arbetets gång och behovet av säker informationshantering. Rekommendationer om informationssäkerhet finns på www. informationssakerhet. se och rekommendationer om hantering av hemliga uppgifter i en fristående dator finns här: RAPPORT: MSB 1309 - 2018 • Arbetet med kontinuitetshantering bör, så långt det går, samordnas med andra processer inom organisationen: BILD: Kontinuitetshantering och andra processer (MSB 1415 - mars 2019) Fastnar du längs vägen? Det finns alltid mycket att lära av andra. På www. msb. se/kontinuitetshantering finns inspirerande exempel på hur andra arbetar med kontinuitetshantering.

Vägledning SS 22304: 2014 Förbättra (act) Följa upp (check) Planera (plan) Genomföra (do) Förankra och få mandat från ledningen Genom att förankra arbetet hos ledningen och få mandat för att driva arbetet, skapas förutsättningar för att verksamheterna ska avsätta resurser till kontinuitetshantering. Ledningens ambitioner med kontinuitetshantering kan med fördel beskrivas i en kontinuitetspolicy som sätter ramarna för arbetet. En kontinuitetspolicy kan vara ett fristående styrande dokument eller ingå som en del av exempelvis en kvalitetspolicy eller en säkerhetspolicy. Det är viktigt att policyn är tillgänglig och kommunicerad inom organisationen. Läs sidorna 23– 27: Avsnitt 5 Ledarskap Definition Policy: organisationens avsikter och inriktning, formellt uttalade av dess högsta ledning. Stöddokument & fördjupning Förankring MSB: Kontinuitetshantering – En presentation som beskriver nytta (MSB 1417 - juni 2019). Din organisation kan även ta fram riktlinjer som kompletterar policyn och som mer detaljerat beskriver hur arbetet ska genomföras. MSB: Kontinuitetshantering – Scenarier med diskussionsunderlag (MSB 1416 - juni 2019). För stöd i vad som kan ingå i en policy respektive riktlinje, se stöddokument & fördjupning. Policy och riktlinje MSB: Fördjupning – Kontinuitetspolicy och riktlinjer (MSB 1414 – juni 2019). Checklista q Mandat från ledningen q Policy eller motsvarande styrande dokument för kontinuitetsarbetet q Kommunicerad policy eller motsvarande styrande dokument Länsstyrelsen Östergötland – Presentationer och mallar: Presentation – Introduktion till kontinuitetshantering och Mall – Kontinuitetspolicy. FSPOS – Vägledning: Mallar för policy, kriterier, omfattning och förväntningar/krav på sidorna 33– 36 – Styrande dokument.

Stöddokument Förbättra (act) Planera (plan) Följa upp (check) Genomföra (do) Identifiera samhällsviktig verksamhet Samhällsviktig verksamhet är ett samlingsbegrepp som omfattar de verksamheter, anläggningar, noder, infrastrukturer och tjänster som är av avgörande betydelse för att upprätthålla viktiga samhällsfunktioner. Kortfattat handlar det alltså om en verksamhet som kan orsaka kriser som hotar samhället vid störningar i eller bortfall av verksamheten. Det kan även vara verksamheter som behövs för att hantera en potentiell eller pågående kris. Genom att identifiera vilka samhällsviktiga verksamheter er organisation har får ni ett prioriteringsunderlag för ert kontinuitetsarbete. Tips: I många organisationer identifierar man samhällsviktig verksamhet i samband med att man tar fram exempelvis risk- och sårbarhetsanalyser, säkerhetsskyddsanalyser, Styrel och nödvattenplaner. Det är viktigt att samordna dessa arbeten. MSB: Vägledning för att identifiera samhällsviktig verksamhet (MSB 1408 - juni 2019). MSB: Dokumentationsmall för att identifiera samhällsviktig verksamhet (MSB 1409 - juni 2019).

Hur genomförs kontinuitetshantering för samhällsviktiga verksamheter? Välj ut en samhällsviktig verksamhet och genomför följande moment Planera (plan) Förbättra (act) Följa upp (check) Genomföra (do) 1. Planera och förankra Ett tips är att börja med en eller ett par 2. Kartlägg och analysera samhällsviktiga verksamheter. Gå igenom alla moment: från planering och förankring till övning och utvärdering. Tänk på att bryta ner Konsekvensanalys den samhällsviktiga verksamheten i hanterbara Avbrottstid och återställningstid delar för att arbetet ska få rätt effekt i organisationen. Exempelvis kan en samhällsviktig verksamhet bestå av flera kritiska delar, såsom processer. Detta måste anpassas utifrån hur er organisation ser ut. 4. Öva och utvärdera Riskbedömning 3. Återkoppla resultat och genomför åtgärder Åtgärder och lösningar Kontinuitetsplan

Stöddokument & fördjupning Förbättra (act) Följa upp (check) Planera (plan) 1. Planera och förankra Genomföra (do) Länsstyrelsen Östergötland – Handbok: Översikt av metoden på sidan 11 – Metod och kontinuitetshantering i korthet. Länsstyrelsen Östergötland – Presentationer och mallar: Mall – Inbjudan till uppstartsmöte i Introduktion till kontinuitetshantering. Exempel på upplägg i Kontinuitetshantering förberedande möte. I vissa fall finns interna styrande dokument, exempelvis en riktlinje, som anger vilken arbetsmetod organisationen ska använda för kontinuitetshanteringen. Om inte detta finns behöver ni välja metod nu. Kontinuitetshantering bör alltid genomföras i nära samarbete med personal från den aktuella verksamheten, såväl beslutsfattare som operativ personal. Checklista q Välj metod för arbetet med kontinuitetshanteringen (om det inte redan har gjorts i riktlinjen) q För dialog med den utvalda verksamheten q Boka datum för genomförande q Inventera befintligt underlag q Ta fram en rutin för att återkoppla och kommunicera till verksamheten q Ta fram en rutin för att återkoppla och kommunicera till ledningen Tips: Genomför arbetet i workshopsformat. Det är ofta ett effektivt sätt för att samla rätt kompetens till arbetet. Tillsammans med representanter från den eller de utvalda verksamheterna planerar ni genomförandet av arbetet. Ni lägger upp en tidplan, identifierar vilka som bör bjudas in att delta samt inventerar om det redan finns underlag som kan vara till nytta i arbetet. Säkerställ att såväl verksamhet som ledning får löpande information om kontinuitetsarbetet. För en dialog med ledningen och verksamheten om hur och när de vill ha information.

Vägledning SS 22304: 2014 Förbättra (act) Följa upp (check) Planera (plan) 2. Kartlägg och analysera Genomföra (do) Läs sidorna 39– 59: Avsnitt 8. 2 konsekvensanalys och riskbedömning, 8. 3 Kontinuitetsstrategi och 8. 4 Upprätta och införa rutiner för kontinuitetshantering. I momentet att kartlägg och analysera ingår följande aktiviteter för respektive samhällsviktig verksamhet. Konsekvensanalys Avbrottstid och återställningstid Riskbedömning Stöddokument & exempel Åtgärder och lösningar Kontinuitetsplan För att förklara de olika aktiviteterna på ett enkelt sätt finns en pedagogisk presentation framtagen med ett förenklat fiktivt exempel. För genomförandet finns även ett förslag på workshopupplägg med tillhörande dokumentationsmall i Excel (se stöddokument). Tänk på att kartläggningen kan resultera i konfidentiell information som inte ska spridas till obehöriga. MSB: Kontinuitetshantering – Ett fiktivt exempel (MSB 1418 - juni 2019). MSB: Workshopupplägg för kontinuitetshantering (MSB 1413 – juni 2019). MSB: Dokumentationsmall för genomförande Version 1 (MSB 1411 – juni 2019) och Dokumentationsmall för genomförande - Version 2 (MSB 1412 – juni 2019).

Vägledning SS 22304: 2014 Förbättra (act) Följa upp (check) Planera (plan) 2. Kartlägg och analysera Genomföra (do) Konsekvensanalys För respektive samhällsviktig verksamhet, genomför följande moment: 1. Vid behov, identifiera vilka kritiska processer den samhällsviktiga verksamheten består av. Läs sidorna 40– 42: Avsnitt 8. 2. 2 Konsekvensanalys. Definition Konsekvensanalys: process för analys av verksamheten och dess effekt som ett avbrott skulle kunna ha på verksamheten. Samhällsviktig verksamhet X 2. Identifiera vilka kritiska aktiviteter som upprätthåller respektive samhällsviktig verksamhet (eller kritisk process). Numrera aktiviteterna. Tips: beskriv varje aktivitet som verb. 3. Identifiera vilka interna resurser (som organisationen själv råder över) och externa resurser (som organisationen inte råder över) som respektive aktivitet är beroende av. Koppla ihop resurserna som behövs för respektive aktivitet genom att ange aktivitetens nummer. Tips: beskriv varje resurs som ett substantiv. 4. Bedöm vad konsekvenserna blir om den samhällsviktiga verksamheten (eller processen) inte har tillgång till respektive resurs vid en störning eller avbrott? Konsekvensanalysen kan visualiseras som en processkarta. Resultatet kan sedan föras in i en dokumentationsmall så som i Excel (se stöddokument, exempel och fördjupning). Stöddokument, exempel & fördjupning MSB: Dokumentationsmall för genomförande - Version 1 (MSB 1411 – juni 2019) och Dokumentationsmall för genomförande - Version 2 (MSB 1412 – juni 2019). Länsstyrelsen Östergötland – Handbok: Fördjupning på sidorna 33– 46 – Workshop 2: Konsekvensanalys. FSPOS – Vägledning: Fördjupning på sidorna 38– 40 – Kapitel B. 1. Konsekvensanalys, och mall på sidan 48 – Konsekvensanalys. Västerås stad – Metodpresentation: Beskrivning och exempelmall på bild 9– 11. Länsstyrelsen Östergötland – Presentationer och mallar: Presentation – Konsekvensanalys och Mall – Konsekvensanalys. Göteborg stad – Kontinuitetsspel: Exempel på metod. Fördjupning gällande bild: Se Länsstyrelsen Östergötland – Handbok sidan 41.

Vägledning SS 22304: 2014 Förbättra (act) Följa upp (check) Planera (plan) 2. Kartlägg och analysera Genomföra (do) Avbrottstid och återställningstid Acceptabel avbrottstid – för aktiviteterna Efter att verksamhetens aktiviteter och beroenden är identifierade är det dags att bedöma acceptabla avbrottstider. Med acceptabla avbrottstider menas hur lång tid en kritisk aktivitet kan ligga nere innan det ger oacceptabla konsekvenser för verksamheten (eller processen). Exempel: Samhällsviktig verksamhet – Äldreboende Tips: För att kunna bedöma vad som är oacceptabla konsekvenser kan en kriteriemodell vara till hjälp. Den beskriver organisationens kriterier för att bedöma konsekvenser och därmed riskacceptans. Återställningstid – för resurserna Här anges mål för återställningstider för de kritiska externa och interna resurserna, dvs. inom vilken tid resursen måste återställas för att störningen eller avbrottet inte ska ge oacceptabla konsekvenser för verksamheten (eller processen). Tips: Tänk på att återställningstiden behöver vara kortare än den acceptabla avbrottstiden. Se exempel på sidan 38– 39: Figur 12 – Kriterier utifrån ett risk- och konsekvensperspektiv, Figur 13 – Kriterier utifrån ett verksamhetsperspektiv och sidan 42 –Tabell 2 – bedömningsmall. Stöddokument, exempel & fördjupning Länsstyrelsen Östergötland – Handbok: Fördjupning och exempel på sidorna 20– 27 – Workshop 1: Kriteriemodell. Länsstyrelsen Östergötland – Presentationer och mallar: Presentation – Kriteriemodell och Mall – Kriteriemodell. FSPOS – Vägledning: Mall och exempel på sidan 35 – Kriteriemodell. Västerås stad – Metodpresentation: Exempel på bild 29– 30. Göteborgs stad – Kontinuitetsspel: Exempel på metod. Fördjupning gällande bild: Se Länsstyrelsen Östergötland – Handbok sidan 45.

Vägledning SS 22304: 2014 Förbättra (act) Följa upp (check) Planera (plan) 2. Kartlägg och analysera Genomföra (do) Riskbedömning Läs sidorna 43– 45: Kapitel 8. 2. 3 Riskbedömning. Definition Riskbedömning: övergripande process för identifiering, analys och värdering av risk. För var och en av de identifierade resurserna, gör följande: • Identifiera risker som kan påverka tillgängligheten hos resursen (ange ett urval). • Identifiera vilken befintlig redundans (t. ex. reservlösningar), som finns i dag. • Med befintlig redundans (t. ex. reservlösningar), bedöm sannolikheten för att en risk orsakar en störning eller ett avbrott som överstiger målet för återställningstid. • Med befintlig redundans (t. ex. reservlösningar), bedöm om risken är acceptabel eller om det behövs åtgärder för att stärka redundansen? Tänk på att redundansen kan behöva stärkas trots att risken är acceptabel. Riskbedömningen resulterar i en sammanställning av hur utsatta resurserna är, samt av huruvida befintlig redundans är tillräcklig. Underlaget ger en bra grund för prioritering av åtgärder kopplat till resursernas sårbarhet och redundans. Tips: • Ett urval av risker är gott nog. • Här kan underlag från andra riskanalyser komma till användning. Stöddokument, exempel & fördjupning Länsstyrelsen Östergötland – Handbok: Fördjupning på sidorna 47– 54 - Workshop 3: Riskbedömning. Länsstyrelsen Östergötland – Presentationer och mallar: Presentation – Riskbedömning, Mall – Riskbedömning för deltagarna att fylla i och Mall – Riskbedömning för processledaren att fylla i. FSPOS – Vägledning: Fördjupning och mallexempel på sidorna 43– 46 - Kapitel B. 2. Riskbedömning. Göteborgs stad – Kontinuitetsspel: Exempel på metod.

Vägledning SS 22304: 2014 Förbättra (act) Följa upp (check) Planera (plan) 2. Kartlägg och analysera Genomföra (do) Åtgärder och lösningar Läs sidorna 45– 49: Kapitel 8. 3 Kontinuitetsstrategi. Här kan särskilt figur 15 och 16 samt tabell 5 och 6 utgöra stöd. Om befintlig redundans (t. ex. reservlösningar) för de identifierade resurserna inte är tillräcklig behöver ni ta fram åtgärdsförslag som syftar till att • minska sannolikheten för störningar och avbrott • korta avbrottstiden • minska konsekvenserna av störningar och avbrott. Åtgärdslistan kan innehålla förslag på vem som är ansvarig för åtgärden, uppskattad kostnad för genomförande av respektive åtgärd, prioritetsordning samt tidplan. Exempel på åtgärdsförslag kan vara att • skaffa alternativa leverantörer • säkerställa tillgång till nyckelpersoner • skaffa alternativa lokaler • se över behov av reservkraft. Stöddokument, exempel & fördjupning FSPOS – Vägledning: Fördjupning på sidorna 50– 59 - Appendix C – Kontinuitetsstrategi, Appendix D – Kontinuitetsplaner. Göteborgs stad – Kontinuitetsspel: Exempel på metod.

Vägledning SS 22304: 2014 Förbättra (act) Följa upp (check) Planera (plan) 2. Kartlägg och analysera Genomföra (do) Kontinuitetsplan En viktig åtgärd är att skapa kontinuitetsplaner som beskriver hur interna och externa resurser ska kunna upprätthållas och användas under en störning eller ett avbrott. Syftet är att snabbt kunna aktivera alternativa arbetssätt (ibland kallade reservrutiner) för att kunna upprätthålla verksamheten inom uppsatta tidskrav. Tänk på att alla resurser kanske inte behöver kontinuitetsplaner, t. ex. de som har tillräckligt god eller inbyggd redundans eller de där ni har valt att acceptera risken mot resursen. I de fallen kan det räcka med att, i en enklare rutin, beskriva hur resursen ska användas eller vart resursen finns. Kontinuitetsplanerna tas fram parallellt med att identifierade åtgärder genomförs. När dessa åtgärder har genomförts kan planerna behöva revideras. Exempel på vad som minst bör ingå i en kontinuitetsplan är • alternativa arbetssätt för verksamheten (t. ex. reservrutiner) • beskrivning för att återfå normal verksamhet (t. ex. återställningsrutiner) • beslut och beskrivning av hur verksamheten återgår till normalt arbetssätt (t. ex. återgångsrutiner) • nödvändiga kontaktuppgifter. Kontinuitetsplaner bör vara så enkelt skrivna att vem som helst kan följa instruktionerna i planen, även i en stressad situation. Läs sidorna 45– 59: Avsnitt 8. 3 Kontinuitetsstrategi – 8. 4 Upprätta och införa rutiner för kontinuitetshantering. Definition av Kontinuitetsplan: dokumenterade rutiner som vägleder en organisation att efter avbrott reagera, återställa och återuppta verksamheten i en förväg definierad omfattning. Stöddokument, exempel & fördjupning Länsstyrelsen Östergötland – Handbok: Fördjupning, tips och exempel på sidorna 56– 61 – Workshop 4: Upprättande av kontinuitetsplaner. Länsstyrelsen Östergötland – Presentationer och mallar: Presentation – Kontinuitetsplan, Mall – Kontinuitetsplan för deltagarna att fylla i och Mall – Kontinuitetsplan för processledaren att fylla i. FSPOS – Vägledning: Fördjupning och mallar på sidorna 54– 59 - Appendix D – Kontinuitetsplaner.

Stöddokument, exempel & fördjupning Förbättra (act) Planera (plan) Följa upp (check) Genomföra (do) 3. Återkoppla resultat och genomför åtgärder Länsstyrelsen Östergötland – Handbok: Fördjupning på sidorna 63– 68, Implementera. Ledningen behöver hållas informerad om arbetet för att kunna ta beslut om föreslagna åtgärder, exempelvis om det krävs investeringar eller om resurser behöver fördelas om. När åtgärdslistan är beslutad ska åtgärderna genomföras. Ofta ligger ansvaret på verksamheten, men en processledare kan behöva stötta i arbetet. De beslutade åtgärderna kan med fördel inkluderas i den ordinarie verksamhetsplaneringen. I verksamhetsplaneringen kan det framgå hur åtgärderna ska följas upp och vem som är ansvarig för det. I detta skede är det viktigt att ha en dialog med ledningen om roller och ansvar, exempelvis vem som ska kommunicera beslut om åtgärder till berörda verksamheter och ansvariga. Efter beslut bör resultatet återkopplas till de kartlagda verksamheterna. Exempel på information att återkoppla är • vilka åtgärder som ska genomföras • vilka åtgärder som har prioriterats ned • om de genomförda åtgärderna påverkar innehållet i kontinuitetsplanerna. Tips: Glöm inte att revidera kontinuitetsplanerna efter vidtagna åtgärder! Checklista q Presentera resultat av kartläggning och analys q Beslut om åtgärder – åtgärdslista q Återkoppla resultatet till verksamheterna

Vägledning SS 22304: 2014 Förbättra (act) Följa upp (check) Planera (plan) 4. Öva och utvärdera Genomföra (do) Läs sidorna 59– 62: Avsnitt 8. 5 Övning och testning. Det finns flera vinster med att öva och utvärdera kontinuitetsplanerna regelbundet: 1. Medarbetare utbildas i alternativa arbetssätt (reserv-, återställnings- och återgångsrutiner). 2. Medarbetare får bättre kännedom om vad de ska göra, vilket mildrar konsekvenserna vid störningar och avbrott. 3. Eventuella brister i alternativa arbetssätt kan identifieras och åtgärdas. För tips på generella övningsupplägg se: www. msb. se/sv/Utbildning--ovning/ Det är viktigt att utvärdera övningar av kontinuitetsplanerna och de alternativa arbetssätten, samt att återkoppla till ledningen och den verksamhet som har övat. Återkopplingen kan innehålla följande delar: • När och hur genomfördes övningen? Stöddokument & exempel Länsstyrelsen Östergötland – Handbok: Fördjupning på sidorna 66– 68 –Uppföljning och upprätthållande. • Vad gick bra respektive mindre bra? FSPOS – Vägledning: Fördjupning på sidorna 60– 63 – Appendix E – Upprätthålla. • Vad behöver utvecklas? Region Östergötland: Exempel på övning. • Vilka åtgärder och förbättringsförslag rekommenderas?

Förbättra (act) Följa upp (check) Planera (plan) Genomföra (do) Hur kan man följa upp organisationens arbete med kontinuitetshantering? Att följa upp kontinuitetshantering på en övergripande nivå innebär att gå tillbaka till vad som beslutades i policyn eller motsvarande styrande dokument. Uppföljningen kan göras utifrån organisationens eget arbetssätt för uppföljning t. ex. genom egenkontroller eller andra former av internkontroll. Uppföljningen bör vara övergripande och exempelvis besvara frågor som: • Uppnår organisationen målen för kontinuitetshanteringen (t. ex. uppsatta i kontinuitetspolicyn eller motsvarande styrande dokument)? • Ligger arbetet med kontinuitetshanteringen i linje med verksamheternas mål? • Har ansvarsförhållanden och roller ändrats så att de behöver revideras? • I vilka samhällsviktiga verksamheter har kontinuitetshantering genomförts? • I vilka samhällsviktiga verksamheter har övning av kontinuitetsplaner och alternativa arbetssätt genomförts? • Har organisationen identifierat ytterligare samhällsviktiga verksamheter som är i behov av kontinuitetshantering? • Finns det en fungerande struktur för att följa upp kontinuitetshanteringen i respektive verksamhetsplan? Tips: • Uppföljningen bör dokumenteras (ta med både det som har gått bra och det som har gått mindre bra). • Det är viktigt att berörda medarbetare får en sammanfattning av den genomförda uppföljningen för att känna ansvar och delaktighet. • Uppföljningen blir också ett underlag till ledningen för övergripande beslut om resurser och prioriteringar. Vägledning SS 22304: 2014 Läs sidorna 61– 67: Avsnitt 9 Utvärdering av prestanda.

Vägledning SS 22304: 2014 Förbättra (act) Följa upp (check) Planera (plan) Genomföra (do) Hur kan organisationens arbete med kontinuitetshantering förbättras? Läs sidorna 67 – 68: Avsnitt 10 Förbättringar. Kontinuitetshantering är ett arbete som ständigt behöver utvecklas i takt med förändringar i verksamheterna och i omvärlden. Kontinuitetshanteringen bör vara en del av vardagen och det ständiga förbättringsarbetet inom organisationen. Förbättring kan exempelvis uppnås genom att ta fram en tidplan och arbetssätt för att • regelbundet och utifrån behov uppdatera kartläggningen och analysen av verksamheterna • uppdatera kontinuitetsplanerna Fördjupning • regelbundet och utifrån behov utbilda och öva personal i kontinuitetsplanerna. Frågor som organisationen också kan ställa sig för att förbättra arbetet med kontinuitetshantering är t. ex. : • Används rätt arbetssätt och metod för kontinuitetshantering inom organisationen? • Finns det tillräckligt med resurser för att bedriva kontinuitetshanteringen enligt uppsatta mål? • Behöver organisationen ytterligare kompetens inom vissa delar av kontinuitetshanteringen? • Finns det specifika områden som kontinuitetshanteringen ska fokusera på ? FSPOS – Vägledning: Fördjupning på sidorna 60– 63 – Appendix E – Upprätthålla.

Är arbetet färdigt nu? Förbättra (act) Planera (plan) Följa upp (check) Genomföra (do) Det enkla svaret är nej. Kontinuitetshantering bör vara ett systematiskt och återkommande arbete i er organisation för att ni ska kunna upprätthålla funktionalitet i er samhällsviktiga verksamhet. www. msb. se/kontinuitetshantering