Vlkommen till FSPOS interaktiva utbildning Kontinuitetshantering i praktiken
Välkommen till FSPOS interaktiva utbildning Kontinuitetshantering i praktiken Var god starta presentationen i visningsläge! Starta utbildningen I de fall material från denna utbildning används eller visas i andra sammanhang ska källhänvisning göras enligt följande: FSPOS Interaktiva utbildning - Kontinuitetshantering i praktiken (2017). FSPOS Finansiella Sektorns Privat Offentliga Samverkan Vid eventuella frågor om utbildningen, kontakta FSPOS via www. fspos. se.
Anvisningar till materialet Materialet har tagits fram av FSPOS Fokusgrupp Kontinuitetshantering och är ett komplement till FSPOS Vägledning för Kontinuitetshantering, med tillhörande utbildningar Kontinuitetshantering i praktiken. Innehållet ger en grundläggande beskrivning av vad kontinuitetshantering är och redogör för det huvudsakliga moment och aktiviteter som utgör god praxis för utveckling, implementering och uppföljning av kontinuitetsarbetet. För ytterligare beskrivningar och fördjupningar, se vägledningen på www. fspos. se Målgruppen för materialet är personal som är relativt nya i arbetet med kontinuitetshantering eller behöver introduceras till området. Materialet kan därmed användas för personer som ges ett nytt ansvar inom kontinuitetshantering eller vid kunskapshöjande aktiviteter i andra delar av organisationen, exempelvis för organisationens ledning. Målsättningen är att materialet ska kunna utgöra ett underlag för att skapa medvetenhet om kontinuitetshantering inom organisationen. Tillbaka Materialet kan användas som ett direkt stöd till personer som genomför aktiviteter inom ramen för sin organisations kontinuitetsarbete. Fortsätt
Anvisningar till materialet Fingret uppmärksammar dig om interaktiva delar i bilden, dvs. var i bilden du kan klicka för att få en ytterligare beskrivning Klicka på krysset om du vill stänga en informationsruta Översikten av processen för kontinuitetshantering återkommer när ett nytt avsnitt inleds. I bildernas överkant markeras var i processen vi befinner oss Varje avsnitt inleds med en översikt. Klicka på ikonerna för svar på frågorna: Varför gör vi detta steg? Vad gör vi i detta steg? Hur gör vi detta steg? Klicka på rutan i bildens nederkant om du närsomhelst vill återvända till huvudmenyn Navigera till föregående eller nästkommande bild genom att klicka på pilarna i bildens nederkant Klicka på rutan ”fler tips”, för en ytterligare komplettering Tillbaka Fortsätt
Översikt och huvudmeny Rekommenderat är att följa den numrerade ordningen, som följer arbetsprocessen för kontinuitetshantering. Vill du hellre hoppa till ett annat avsnitt så klickar du på vald del i diagrammet 1. Introduktion till kontinuitetshantering 3. Analys av verksamheten 6. Upprätthålla 2. Styrande dokument 5. Kontinuitetsplaner 4. Kontinuitetsstrategi Tillbaka 7. Utbildningsquiz Följ den numrerade ordningen genom att börja med avsnitt 1. Klicka på en specifik del av diagrammet om du vill hoppa direkt till ett annat avsnitt Fortsätt till 1. Introduktion till kontinuitetshantering
Behovet av kontinuitetshantering i den finansiella sektorn Kontinuitetshantering är viktigt för alla aktörer i den finansiella sektorn, då arbetet handlar om att skydda organisationen och dess intressenter, rykte, varumärke och värdeskapande aktiviteter. Finansiella Sektorns Privat-Offentliga Samverkan (FSPOS) arbetar för att stärka den finansiella infrastrukturen där detta utbildningsmaterial och framtagna vägledningar utgör delar av arbetet. FSPOS inkluderar medlemmar från både offentlig och privat sektor. Verksamheten inom FSPOS bygger på frivilligt arbete bland deltagarna. ? Förenklat kan kontinuitetshantering beskrivas som en process som skapar en robusthet i organisationen för att säkerställa att den affärskritiska verksamheten kan drivas på en tolerabel nivå, oavsett vilka störningar som inträffar. Olika externa krav ställs också på att finansiella aktörer ska arbeta med kontinuitetshantering. I vissa fall är inriktningen obligatorisk, medan den i andra fall utgör rekommendationer. Arbetet med kontinuitetshantering är därför även en efterlevnadsfråga. Tillbaka ! Fortsätt
Det finns ett flertal definitioner av kontinuitetshantering; bland annat från den internationella standarden ISO 22301 och den förenklade beskrivningen nedan. Definition enligt ISO 22301 Förenklad beskrivning ”Holistisk ledningsprocess som identifierar potentiella hot mot en organisation och den inverkan på verksamheten Den process som säkerställer att organisationen kan som dessa hot skulle kunna medföra om hoten blir driva den affärskritiska verksamheten på en tolerabel verklighet och som ger ett ramverk för att utforma en nivå, oavsett vilka störningar som inträffar anpassningsbar organisation med förmåga till en effektiv reaktion som tryggar anseende, varumärke, värdeskapande aktiviteter och de viktigaste intressenternas intressen. ” Alla delar av verksamheten kan inte inkluderas. Vi måste besluta vad som är KRITISKT för att verksamheten ska fungera. Den tolerabla nivån beslutar vi också om genom ett medvetet risktagande! Tillbaka Gå till huvudmeny Fortsätt
Nyttan med kontinuitetshantering kan ses utifrån verksamhetens förmåga att möta oanade händelser och förmågan att upprätthålla verksamheten när en störning inträffat. OPERATIV NIVÅ Återhämtning med kontinuitetshantering 100% Återhämtning utan kontinuitetshantering Med kontinuitetshantering kan det Utan kontinuitetshantering kan Vid incidenter kan organisationens operativa främst två effekter uppnås, genom organisationer återhämta en förlorad nivå falla till en nivå under det normala. t. ex. reservrutiner eller redundans i operativ nivå vid avbrott, även om det form av dubblering av kritiska Nyttan med kontinuitetshantering kan sker mindre effektivt än om resurser. beskrivas genom den effekt arbetet kan få på organisationen arbetar med organisationens förmåga att upprätthålla kontinuitetshantering. verksamheten. Konsekvenserna som organisationen drabbas av i händelse av en störning Resurser som blivit otillgängliga vid minskar, dels genom att minimera avbrottet, t. ex. kritiska system, störningens påverkan på den personal eller verksamhetslokaler kan operativa nivån, och dels genom att åter tas i drift eller ersättas efter en tid. korta ner avbrottstiden. Reducera avbrottstid Reducera initial effekt TID Tillbaka Gå till huvudmeny Fortsätt
I tillägg till förmågan att upprätthålla verksamheten under en pågående störning finns en rad andra nyttor att framhålla. Nedan illustrerade nyttor har lyfts fram vid en årlig enkätstudie som genomförs av Business Continuity Institute. Minska antal incidenter Ekonomiska besparingar Kravställning mot leverantörer Efterlevnad Gemensam utgångspunkt Förstå beroenden och sårbarheter Kontinuitetshantering ger en Även om det övergripande målet med Kontinuitetshantering kan Kontinuitetshantering medför Kontinuitetshantering kan ge Kontinuitetshantering kan bidra Kontinuitetshantering ger En stärkt förmåga med stöd av ökad förståelse för risker, kontinuitetshantering att minska genom upprättande av lämpliga ofta efterlevnad avärpå lagar, minskad påverkan till ett minskat antal incidenter gemensamma utgångskontinuitetshantering kan beroenden och sårbarheter konsekvenserna av avbrott och strategier och avtal ge tydligare regler, avtal och krav som ekonomi vid incidenter – och en säkrare arbetsmiljö, punkter i organisationen, tex. innebära konkurrens-fördelar, avbrottstiderna så kan kontinuitetsinte bara de som riskerar kravställning på leverantörer direkt eller indirekt ställer krav genom minskade kostnader, t. ex. när säkerhetsrisker gällande riskacceptans, kritiska t. ex. genom att kunder vinns hantering även innebära stärkt kritiska processer utan även och skapa en robust på förmågan att upprätthålla optimering av investeringar i förebyggs eller hanteras mer processer och kritiska resurser över från konkurrenter som inte uppfyllnad av ett stort antal andra mål utgör hot mot t. ex. strategiska leverantörskedja, t. ex. mot verksamheten robusthetshöjande åtgärder och effektivt. som satts upp arbetar med mål eller mot organisationens leverantörer av IT. lägre försäkringspremier kontinuitetshantering rykte och förtroende. Konkurrensfördel Källa: ”Weathering the Storm – Business Continuity Management Survey”, 2013, Chartered Management Institute (CMI), Business Continuity Institute (BCI), Civil Contingencies Secretariat of the UK Cabinet Office and British Standards Institute (BSI) Tillbaka Gå till huvudmeny Fortsätt
Nyttan med kontinuitetshantering får ofta olika uttryck från fall till fall. Nedanstående exempel påvisar viktiga kontinuitetsfrågor att beakta och nyttan av att hantera dem effektivt. Tänk på och planera för personberoenden Planera för och öva byte av lokal En kontinuitetsmedveten organisationskultur gör stor skillnad Kartlagda och standardiserade processer goda förutsättningar för kontinuitet Säkerställ kontinuitet för beroenden till leverantörer (av IT, m. m. ) En kontinuitetsmedveten gör stor(av skillnad Säkerställ kontinuitet för organisationskultur beroenden till leverantörer IT, m. m. ) Tänk på för och planera för personberoenden Planera och öva byte av lokal Kartlagda och standardiserade processer goda förutsättningar för kontinuitet Två konkurrenter använde samma leverantör av en liten men kritisk teknisk kompentent till Ett större haveri inträffade hos en marknadsledande leverantör av IT tjänster, och drabbade Ett företag skickade en hel avdelning på konferens, med specialister på ett företagets sina produkter. När en olycka inträffade i leverantörens fabrik, så stannade produktionen Ett företag med kontor i en skyskrapa identifierade brister i sin kontinuitetshantering när ett Personalen hos ett globalt transportföretag kunde inte ta sig med bil flygplatsen i en stad som organisationer, privata och offentliga, i flera sektorer. Många av de drabbade saknade områden. Konferensen ägde rum på en färja som sjönk och många omkom. Endast en man helt, men de två konkurrenterna agerade olika. Den ena hade en kontinuitetsmedveten attentat mot byggnaden ledde till evakuering. Företaget uppmärksammade att drabbats av snöstorm. Utan personal att packa och dirigera paket, så riskerades verksamheten kontinuitetslösningar för att hantera avbrottet och flera uppmärksammades på att man överlevde från företagets avdelning. En stor del av kunskapen och kompetensen inom organisationskultur och handlade snabbt, skrev avtal med leverantören att produktion från reservarbetsplatser saknades och att evakueringen tog för lång tid, och genomförde åtgärder att paralyseras, trots att startbanorna rensades på snö. saknade förståelse för leverantörens egen kontinuitetshantering och vilka garantier som gavs området försvann med de omkomna. Exemplet belyser vikten av att sprida kunskaper och andra anläggningar skulle tillägnas dem, högsta ledningen bokade möte med leverantörens för att komma tillrätta med bristerna. När ett andra attentat senare inträffade, kunde företaget i gällande avtal. Exemplet belyser vikten av IT beroenden och hur sårbart det är att förlita inte förlita sig på nyckelkompetens. Inom kontinuitetshantering identifieras personberoenden högsta ledning, designade om sin produkt så att man kunde köpa komponenter från andra utrymma byggnaden och byta till andra lokaler snabbare, tack vare god kontinuitetsplanering Företaget hade som tur var tydligt kartlagda och standardiserade processer. De enhetliga sig på en leverantör. Alternativa, ibland manuella, reservrutiner kan ibland behöva upprättas och åtgärder och planer utvecklas för att säkerställa kontinuitet. aktörer. Konkurrenten gjorde motsatsen – dvs agerade långsamt, var inaktiv, och förlorade och övning. arbetsprocesserna gjorde det möjligt att flyga in anställda från andra orter. och den avtalsmässiga kravställningen mot leverantörer behöver motsvara organisationens marknadsandelar till sin konkurrent. krav på kontinuitet. Tillbaka Gå till huvudmeny Fortsätt
Kontinuitetshantering är närbesläktad med andra områden som handlar de om att förbygga störningar och hantera inträffade händelser så att de inte utvecklas i oönskad riktning. Kontinuitetshantering Incidenthantering Händelse Incident Kris Katastrof Riskhantering Krishantering Tillbaka Gå till huvudmeny Incidenthantering syftar till att Kontinuitetshantering är ett Riskhantering fokuserar på ett Krishantering är den process som Enarbetssätt som ska hantera även den vanlig frågeställning kring förebygga att oönskade händelser bredare urval av risker än säkerställer att det finns en kontinuitetshantering är hur den förhåller sig utvecklas till incidenter. Med typ av händelser som inte kan förutses kontinuitetshantering och en vanlig organisation (krisledning) samt till angränsande områden såsom incident-, incidenter menas händelser som ännu av olika anledningar, men som kan få utgångspunkt i riskhantering är att fastställda rutiner för hantering av en risk- och krishantering. inte utmynnat i allvarliga avbrott eller stora konsekvenser för organisationen, identifiera potentiella händelser/hot krishändelse. Krishantering ska även kriser. Arbetet kan omfatta bl. a. exempelvis utvecklas till en kris eller och därefter analysera deras förhindra att händelser utvecklas till en Områdena har delvis olika fokus och angreppssätt, vilket kräver olika metoder och upprättande av tydliga rutiner för katastrof. sannolikhet och konsekvens. katastrof (där egna organisationen inte kompetenser. larm och eskalering, samt en enhetlig räcker till). analysmetodik. Incidenter kan vara Detta sker genom att identifiera de Risk och kontinuitetshantering har en Utgångspunkten bör dock vara att incident-, mindre avbrott eller ”near misses” kritiska delarna av verksamheten nära koppling och bör koordineras Krishanteringen har en nära koppling risk, kris- och kontinuitetshantering betraktas som hanteras i det ordinarie arbetet (istället för hotet/orsaken) och därefter noga. Organisationens riskacceptans, till kontinuitetshantering genom att som skilda men kompletterande områden och som inte kräver stöd av arbeta för att skapa robusthet i dessa den risknivå som man är villig att krisledningen i varje kris bör beakta och arbetet bör därför inte utföras i stuprör. krisledning eller kontinuitetsplaner. delar. acceptera, bör vara konsekvent mellan hur den kritiska verksamheten risk och kontinuitets påverkas och om kontinuitetsplaner hanteringsarbetet. har aktiverats eller behöver aktiveras. Fortsätt
Organisationer bör arbeta med såväl incident , kris , risk som kontinuitetshantering i förebyggande syfte, det vill säga med avsikt att undvika oönskade händelser. Områdena skiljer sig dock åt avseende utgångspunkt och angreppssätt, vilket kan illustreras med nedanstående exempel. Exempel: Brand på huvudkontoret Riskhantering Kontinuitets hantering Krishantering Tillbaka Gå till huvudmeny Kontinuitetshantering är ett kompletterande arbetssätt som ska hantera även den typ av händelser som inte kan Riskhantering handlar om att hantera förutses av olika anledningar, men som osäkerheter genom att systematiskt kan få stora konsekvenser för Krishanteringen används när övriga identifiera, analysera, utvärdera och organisationen. områden inte räcker till, genom att en behandla de risker som påverkar särskild organisation, med särskilda organisationens mål. Kontinuitetshantering hanterar risken för kompetenser, mandat och rutiner, behöver brand genom att identifiera kontoret som sätts in. I relation till brand på huvudkontoret, så en kritisk resurs och genom att skapa kan riskhantering hjälpa organisationen reservlösningar, såsom ett alternativt Krishanteringen hanterar branden på med lösningar som specifikt riktar sig mot kontor, i händelse att det ordinarie huvudkontoret genom att krisledningen att förebygga eller hantera brand, t. ex. huvudkontoret blir otillgängligt (på grund aktiveras och krisplanens rutiner och stöd brandsläckare eller åskledare. av brand eller av andra orsaker) nyttjas. Fortsätt
Förutom FSPOS vägledning, finns ett stort antal stöd och föreskrifter inom kontinuitetshantering, som påverkar eller kan hjälpa finansiella aktörer Finansinspektionen gav 2014 ut föreskrifter och allmänna råd om hantering av operativa risker Initiativ har tagits för att konkretisera standardernas innehåll till mer praktiskt stöd, såsom Många av sektorns aktörer arbetar helt eller delvis enligt den brittiska standarden BS 25999, För så kallade Financial Market Infrastructures (FMI), som faciliterar clearing, avveckling och Internationella standarder bidrar med en enhetlig och allmänt accepterad process, principer och Krav på kontinuitetshantering hos kredit och värdepappersinstitut finns i EBA: s (European För försäkrings och återförsäkringsorganisationer ställer Solvency II krav på att bolaget vidtar (FFFS 2014: 4) och om styrning, riskhantering och kontroll (FFFS 2014: 1) i kreditinstitut. För myndigheter under regeringen ger Myndigheten för samhällsskydd och beredskap (MSB) Good Practice Guidelines 2013 (GPG) från brittiska Business Continuity Institute. som utvecklades 2006. ISO standarderna som kommit senare överensstämmer i stor registrering av ekonomiska och andra finansiella transaktioner, har CPMI/IOSCO fastställt terminologi. Banking Authority) riktlinjer gällande intern styrning och kontroll (GL 44). rimliga åtgärder för att säkerställa kontinuitet i verksamheten. allmänna råd om att kontinuitetsplaner för informationsförsörjningen bör upprättas, samt att utsträckning med BS 25999, även om vissa skillnader finns. principer som bland annat ställer krav på kontinuitetsplaner. Dessa föreskrifter berör vissa aktörer i den finansiella sektorn. I föreskrifterna noteras att planerna bör hållas uppdaterade och övas så att de blir ett naturligt inslag i ledning av GPG är inte anpassad för någon särskild sektor och innehåller inte exempelmallar och konkreta Sedan 2012 finns en internationell standard för kontinuitetshantering, ISO 22301, som Där ställs bland annat krav på att instituten ska upprätta kontinuitetshantering, inklusive Detta innebär som minst att organisationen upprättar system, resurser och rutiner för bland annat berörda aktörer ska ha ”en väl fungerande kontinuitetshantering för att säkerställa informationssäkerhetsarbetet. exempel i någon större utsträckning. FSPOS vägledning har hämtat viss inspiration från GPG. ISO 22301 och ISO 22313 lägger exempelvis ett större fokus på att organisationens kontext, Planerna ska behandla händelser som utgör en betydande risk för större avbrott och ska även beskriver kraven på god kontinuitetshantering. ISO 22313 från 2013 beskriver något mer framtagande av kontinuitetsplaner, för att säkerställa sin förmåga att upprätthålla verksamheten kontinuitetshantering, samt att kontinuitetsplaner utvecklas. att dess viktigaste information och funktioner bevaras samt att dess verksamhet upprätthålls den miljö och de förutsättningar som påverkar organisationen, finns tydligt beskrivna. En omfatta användning av en sekundär site samt att kritiska IT system kan återuppta konkreta riktlinjer kring genomförandet. Ytterligare en standard innehåller riktlinjer kring och begränsa förluster vid allvarliga störningar. vid ett avbrott eller en större verksamhetsstörning”. Föreskrifterna ställer även krav på att MSB nämner också i sin Vägledning för samhällsviktig verksamhet att kontinuitetshantering relativt större vikt läggs i ISO 22301 även på att organisationens ledning kommunicerar sitt verksamheten inom två timmar efter avbrott. Planen bör utformas så att organisationen kan kontinuitetshantering, kopplat till IT och kommunikationsteknologi, ISO/IEC 27031 från kontinuitetsplaner finns upprättade och att planerna testas regelbundet utgör en viktig del av ett systematiskt säkerhetsarbete, inom ramen för identifiering och engagemang för kontinuitetshanteringen, bland annat genom en tydlig policy. fullfölja avvecklingen vid slutet av dagen, även vid extrema omständigheter. 2011. skyddande av samhällsviktig verksamhet. Tillbaka Gå till huvudmeny Fortsätt
Analys av verksamheten Inom kontinuitetshantering finns en rik begreppsflora, på både engelska och svenska. I detta utbildningsmaterialet används de svenska begreppen genomgående, men nedan ges även en översikt av de engelska begreppen och dess betydelse. BCM Business Continuity Management BIA Business Impact Analysis MTPD Maximum Tolerable Period of Disruption BCP Business continuity plan RTO Recovery Time Objective MAO Maximum acceptable outage RPO Recovery Point Objective BIA -–--––Business impact analysis (sv: RTO Recovery Time MAO acceptable outage (Maximalt MTPD BCM -Maximum Business Maximum continuity Tolerable management Period of Disruption RPO Recovery Point Objective (sv: konsekvensanalys) Mål för BCP continuity plan (sv: Inom kontinuitetshantering finns ett stort antal begrepp, återställningstid) acceptabel avbrottstid) (sv: Maximalt kontinuitetshantering) tolerabel avbrottsperiod) återställningspunkt) Kontinuitetsplan) inte sällan uttryckta på engelska och som förkortningar. Process för analys av verksamhet och den effekt som ett Några av de vanligare återges ovan avbrott skulle kunna ha på verksamheten. I analysen bryts Tid efter en incident inom vilken det är nödvändigt att Tid det skulle ta för en negativ inverkan, som skulle Holistisk ledningsprocess som identifierar potentiella hot Punkt till vilken det är nödvändigt att återställa den Dokumenterade rutiner som vägleder en organisation att kritiska processer ned i kritiska aktiviteter, samt interna en resurs återställs. En RTO för en kritisk resurs ges av kunna uppkomma som ett resultat av att inte mot en organisation och den inverkan på verksamheten information som används av en aktivitet, för att göra det efter avbrott reagera, återställa och återuppta och externa beroenden. Avslutningsvis genomförs en den kortaste MTPD (maximalt tolerabel avbrottsperiod) tillhandahålla vara/tjänst eller utföra en aktivitet, att bli som dessa hot skulle kunna medföra om hoten blir möjligt för aktiviteten att fungera efter återställning verksamheten i förväg definierad omfattning riskbedömning med fokus på kontinuiteten i kritiska av de kritiska aktiviteter som resursen stödjer. oacceptabel. Fastställs med hjälp av organisationens verklighet och som ger ett ramverk för att utforma en processer kriteriemodell. anpassningsbar organisation med förmåga till en effektiv reaktion som tryggar anseende, varumärke, Omnämns även ofta som MTPD (Maximum Tolerable Omnämns även ofta som MAO (Maximum Acceptable värdeskapande aktiviteter och de viktigaste Period of Disruption). Outage). intressenternas intressens. Tillbaka Gå till huvudmeny Fortsätt
2. Styrande dokument 3. Analys av verksamheten 6. Upprätthålla 2. Styrande dokument Följ den numrerade ordningen genom att börja med avsnitt 2. 4. Kontinuitetsstrategi 5. Kontinuitetsplaner Tillbaka 7. Utbildningsquiz Klicka på en specifik del av diagrammet om du vill hoppa direkt till ett annat avsnitt Fortsätt till 2. Styrande dokument
Styrande dokument Varför gör vi detta steg? Vad gör vi i detta steg? Hur gör vi detta steg? HUR VI STEG? VARFÖR VI DETTA STEG? VAD GÖRGÖR VI DETTA STEG? Styrande dokument beslutas av organisationens ledning. Styrande dokument preciserar vad kontinuitetshanteringen innefattar I steget utvecklas ett eller flera styrande dokumentet, som kan kallas inriktning om hur arbetet med kontinuitetshantering ska kunna policy, men som även innefatta begreppen riktlinje eller instruktion Utveckling av styrande dokument kan dock med fördel ledas av någon utvecklas, implementeras, följas upp och hållas levande på mer taktisk nivå, t. ex. kontinuitetsansvarig eller motsvarande. Styrande dokument bör bland annat specificera följande för Syftet är att etablera och upprätthålla en ändamålsenlig och relevant kontinuitetshanteringsarbetet Delar av innehållet kan gynnas av eller kräva arbetsmöten eller kontinuitetshantering som är anpassad till den egna organisationen • Introduktion till området och centrala begrepp workshops med ytterligare personer, t. ex. gällande utveckling av • Beskrivning av organisationens kontext organisationens kriteriemodell och fastställande av riskacceptans. • Ansvar och roller • Metoder och rutiner • Riskacceptans i form av en kriteriemodell Tillbaka Gå till huvudmeny Fortsätt
Styrande dokument Lagar och regler Kunder Leverantörer Interna faktorer kan utgöras bland annat av vilka värdeskapande produkter och tjänster Produkter & Tjänster Partners TIPS FÖR GENOMFÖRANDE som organisationen levererar, hur kontinuitetshanteringsarbetet organiseras samt Organisationens • För att skapa en tydligare bild över dessa faktorer kan en mer detaljerad Strategiska riktlinjer, Distributörer vilka mål, policys och rutiner man har för policys och rutiner kartläggning göras över organisationens intressenter och dess förväntningar. kontext verksamheten i övrigt. Organisationens kontext är en central utgångspunkt för kontinuitetsarbetet och förklarar • Intressenternas förväntningar kan se olika ut för normalläge och vid ett avbrott och Sociala faktorer Externa faktorer kan utgöras av drivkrafter hur och varför kontinuitetshantering är viktigt för organisationen. det kan därför finnas anledning att belysa förväntningarna i båda dessa lägen. och förväntningar från intressenter såsom Organisationsstruktur Ekonomiska faktorer Tekniska faktorer Politiska faktorer Kontexten kan beskrivas i en inledande översikt av policyn. Kontexten kan beskrivas i kunder, partners, leverantörer och distributörer. • Vid kartläggningen kan en prioritering göras för att tydliggöra vilka intressenter form av vilka interna och externa faktorer som påverkar dess mål och därigenom ställer Även organisationens makro miljö bör krav på kontinuitetshantering. som är särskilt styrande för organisationen. tillgodoses, såsom sociala, ekonomiska, tekniska, eller politiska omständigheter. Inom standarden ISO 22313 redogörs för en rad faktorer som kan påverka kontexten. Krav på kontinuitetshantering Tillbaka Gå till huvudmeny Fler tips Fortsätt
Styrande dokument Detta dokument beskriver omfattningen av kontinuitetshantering som drivs av Det kan göras en organisatorisk eller Det bör framgå i avgränsningen vilken En avgränsning kan göras baserat på Den avgränsning som beslutats bör ses En avgränsning kan med fördel göras [ORGANISATIONEN] TIPS FÖR GENOMFÖRANDE geografisk avgränsning, där vissa organisation som avses, särskilt om kritiska tjänster och/eller produkter. över och revideras löpande, exempelvis Kontinuitetshanteringen inom [ORGANISATIONEN] har anpassats till den utifrån processer, som exempelvis regioner eller länder inkluderas. internationella standarden Samhällssäkerhet Ledningssystem för kontinuitet Krav organisationen består av flera bolag en gång om året. utförs för att leverera produkterna eller • Organisationen bör hitta en lämplig metod för att prioritera vilka delar av (ISO 22301: 2012). eller om vissa delar av organisationen Särskilda produkter eller tjänster är tjänsterna eller som är kritiska interna organisationen som ska ingå i kontinuitetshanteringen. Exempelvis kan olika typer Samtidigt bör arbetet inte utelämna en inte berörs av kontinuitetsarbetet. Samtidigt kan omständigheter motivera processer. Avgränsning är en viktig del av exempelvis särskilt tidskritiska eller kontinuitethanteringen, Kontinuitetshanteringen omfattar . Dessa tjänster av kostnad nytta analyser, SWOT analys, analys av finansiell planering. avdelning eller enhet som är kritisk för genererar en stor andel av att detta sker tidigare än den årliga tydligt delar av verksamheten [TJÄNSTERNA där X, Ydet OCH Z] bör klargöras vilka levereras från . De kritiska processer som omfattas en produkt eller tjänst som inkluderats i Vissa avdelningar eller enheter kanske organisationens inkomster, alternativt att som ska omfattas. genomgången, exempelvis om [ORTERNA X, Y OCH X]. Kontinuitetshanteringen Nyttan med att göra denna avgränsning inom kontinuitetshanteringen är • Sätt rimliga mål och förväntningar – börja med en snäv avgränsning av vad som arbetet. exkluderas, antingen för att de är [PROCESS A, B, C] de anses samhällsviktiga. organisationens inställning till risk eller inkluderar alla av. visar sig tydligt i efterföljande inkluderas i kontinuitetshanteringen för att därefter komplettera och bygga upp en Avgränsningen förutsätter att organisationen har en tydlig aktiviteter samt interna och externa resurser som dessa kritiska processer är mindre kritiska eller för att de täcks in marknadsvillkoren ändras. analysarbete, där bland annat de kritiska bild av kontexten den verkar inom och vad som är mest mer heltäckande hantering. beroende senare, när arbetet utvecklats till en processerna bryts ned i aktiviteter och kritiskt i verksamheten, dvs. Detta avgränsningsdokument utfärdades den [XX MÅNAD XXXX] och kommer att större mognad. Andra sådana faktorer kan vara att där kritiska beroenden identifieras. • den affärskritiska verksamheten som behöver drivas ses över senast den . • Säkerställ att avgränsningen stäms av med och beslutas av verksamhetens produkter eller tjänster tillkommer eller på en tolerabel nivå, oavsett vilka störningar som [XX MÅNAD XXXX] ledningen. I många fall gäller dock avgränsningen inträffar avslutas, eller att nya lagkrav eller Undertecknat för [ORGANISATIONENS] räkning: i styrande dokument för hela riktlinjer uppkommer. • Motivera vid behov varför vissa verksamhetsdelar eventuellt har uteslutits organisationen. (produkt/tjänst/process som väntas utgå eller ändras avsevärt, alternativt inte är Namnförtydligande: [FÖRNAMN, EFTERNAMN, BEFATTNING] Datum: [XX MÅNAD XXXX] kritisk för organisationen. Policy Tillbaka Gå till huvudmeny Fler tips Fortsätt
Styrande dokument I Med den strategiska policyn fördelasnivån roller och ansvarsområden, bland annat genom att klargöra nivån menas typiskt sett den högsta ledningen. Den taktiska Den operativa nivånutgör kompetenscentra avseende är de individer som ansvarar för och arbetar i de frågor som vem som äger processen för kontinuitetshantering samt vilka Ansvar på denna nivå inkluderar ofta beslut av policyn och kontinuitetshanteringen. Den taktiska nivån består av en person med konkreta verksamhetsdelar som kontinuitetshanteringen söker TIPS FÖR GENOMFÖRANDE resurser som finns att tillgå för att implementera kontinuitetshantering. Strategisk finansiering av kontinuitetsarbetet. det övergripande ansvaret för att stödja det arbete med upprätthålla. kontinuitetshantering som bedrivs i verksamheten. Ansvar delegeras • Tänk på att organisationens ledning ansvarar för att tillräckligt ansvar och Roller och ansvar delas ofta in i strategisk, taktisk, och operativ nivå. Någon från ledningen bör ges ett övergripande ansvar för bland annat avseende utveckling av övningsprogram samt program för Dessa personer genomför analys av verksamheten, utvecklar tillräckliga befogenheter tilldelas och delegeras för att säkerställa att övriga delar av Taktisk kontinuitetshanteringen och för arbetets effektivitet. utbildning och medvetenhet. kontinuitetslösningar och planer för sina områden, samt genomför Individer som tilldelas ansvar och roller bör ha tillräcklig kompetens och bör ha kontinuitetsarbetet ska kunna upprätthållas. genomgått relevant utbildning. tester och övningar. Beroende på storlek och ambition kan även en styrgrupp tillsättas för Den taktiska nivån leder verksamhetens arbete med de olika stegen, • Ansvar och arbetsuppgifter bör göras formellt tydliga genom att de skrivs in i Kontinuitetspolicyn behöver också vara förankrad på samtliga nivåer för att den strategiska ledningen av kontinuitetshanteringen. utvecklar och underhåller relevanta mallar och verktyg samt hanterar Dessa personer bör ha en hög kompetens avseende respektive ansvarig persons arbetsbeskrivning. Operativ säkerställa gemensamma förväntningar och målsättningar med dokumentation. kontinuitetshantering inom sitt område. kontinuitetsarbetet. • Ledningen bör också säkerställa att de får regelbunden rapportering avseende kontinuitetshanteringen. Tillbaka Gå till huvudmeny Fler tips Fortsätt
Styrande dokument Verksamhetsledning Styrgrupp för kontinuitetshantering Compliance och kontroll Ansvarig för stöd till verksamhetens kontinuitetsarbete Utförande verksamhet Verksamhetsledningen står typiskt sett för den En ansvarig för stöd till verksamhetens Utförande verksamhet är den operativa personal Nyttan av en styrgrupp är oftast tydligare hos Compliance och kontroll är den funktion som strategiska inriktningen, vilket även kompletteras kontinuitetsarbete utgörs av den taktiska nivån för som ansvarar för processer och system i olika större organisationer, där kontinuitets hanteringen utvärderar kontinuitetshanteringen kopplat till mål av en eventuell styrgrupp. Det är av vikt att policyn tydliggör roller och koordinering och stöd. verksamhetsdelar. också är mer omfattande. samt regelefterlevnad. ansvar gällande de olika slutprodukter som kommer ut av kontinuitetsarbetet. Exempel på hur roller och ansvar för kontinuitetshantering kan organiseras återges Detta kan inkludera vem som ansvarar för i diagrammet och tabellen. respektive dokument, med vilken frekvens det ska uppdateras, vilken målgrupp det har samt Beroende på organisationens storlek och var det finns sparat. Exempel på hur denna behov inom kontinuitetshantering kan information kan struktureras i policyn ges i nivåerna och ansvariga funktioner se olika ut. tabellen Tillbaka Gå till huvudmeny Fortsätt
Styrande dokument TIPS FÖR GENOMFÖRANDE • Utveckling av kriteriemodellen utförs med fördel genom en workshop, en eller två halvdagar (ge tillräckligt med tid förankring och beslut) • Viktigt att kriteriemodellen förankras inom hela ledningen – Involvera Vad är Konsekvenskategori? Vad är Konsekvensnivå? representanter från ledningen som har insyn i hela organisationen och har mandat att fatta beslut Vilka konsekvenser som I policyn fastställs även typer av avbrott och organisationen anser vara acceptabla • Vid val av konsekvenskategorier, utgå ifrån vad som är viktigt för den aktuella konsekvenser som ska motverkas typiskt beskrivs genom konsekvenskategorier beskrivs genom konsekvensklasser sett sker fastställs detta med stöd av en s. k. organisationen (exempelvis ekonomi och (obetydlig, märkbar, allvarlig). Här kriteriemodell. rykte/varumärke) definieras. I kan även ett större annat antal klasser • Vid beskrivning av konsekvenserna för respektive nivå, börja med beskrivning exemplet används tre användas, t. ex. genom att använda Kriteriemodellen anger och specificerar av konsekvenserna på den mest kritiska nivån konsekvenskategorier. nivåerna obetydlig, märkbar, allvarlig kriterier för vad som är acceptabelt och vad och katastrofal. • Tänk på att samtliga beskrivningar ska vara mätbara som är oacceptabelt – I analys av kritiska Kriteriemodellen kan även ange ett processer används modellen för att fastställa större annat antal klasser om det skulle Därefter beskrivs var gränsen för vad • Efter att kriteriemodellen är ifylld, ”kalibrera” respektive kolumn maximalt tolerabla avbrottsperioder och anses lämpligt, exempelvis som är acceptabelt går. I exemplet målregelefterlevnad. Vidare kan olika för återställningstider nedan är gränsen för vad som är • Utgå från befintlig modell, t. ex. från riskhantering eller fastställd riskaptit konsekvens kategorier vara relevanta acceptabelt angiven med den svarta endast för specifika delar av • Inkludera kriteriemodell i styrande dokument, t. ex. policylinjen mellan nivåerna märkbar och verksamheten. allvarlig. • Säkerställ kännedom och gemensam tolkning Tillbaka Gå till huvudmeny Fler tips Fortsätt
3. Analys av verksamheten 6. Upprätthålla 2. Styrande dokument 4. Kontinuitetsstrategi 5. Kontinuitetsplaner Följ den numrerade ordningen genom att börja med avsnitt 3. Tillbaka 7. Utbildningsquiz Klicka på en specifik del av diagrammet om du vill hoppa direkt till ett annat avsnitt Fortsätt till 3. Analys av verksamheten
Analys av verksamheten Varför gör vi detta steg? Vad gör vi i detta steg? Hur gör vi detta steg? HUR GÖR VI DETTA STEG? VAD GÖR VI I DETTA STEG? Detta steg är typiskt sett det som är mest tidskrävande för personer i VARFÖR GÖR VI DETTA STEG? Verksamhetens kritiska processer fastställs, med utgångpunkt i den operativa verksamheten. Generellt så kan följande upplägg organisationens mål användas vid genomförande: Analysen genomförs för att förstå verksamheten på djupet i termer av • Urval av processer utifrån befintliga styrande dokument eller vad som är kritiskt och hur kritiskt det är. Konsekvensanalysen bryter ned processen i underliggande aktiviteter genom workshop med personer med tillräckligt mandat och resursberoenden, samt fastställer maximala avbrottstider i • Konsekvensanalys i workshopformat för respektive identifierad Förståelsen för beroenden, kritikalitet, sårbarheter, m. m. är nödvändigt processen kritisk process för att veta vilka prioriteringar som behöver göras och hur planering kan • Riskbedömning i workshopformat för identifierade kritiska resurser göras för att säkerställa kontinuitet, t. ex. med hjälp av mer konkreta Riskbedömningen identifierar de mest angelägna riskerna mot • Kompletterande intervjuer, enkäter, mailutskick vid behov. strategier, lösningar, kontinuitetsplaner, m. m. kontinuiteten i processen och hur väl rustad organisationen är att hantera riskerna, t. ex. genom redundans eller reservlösningar Tillbaka Fortsätt
Analys av verksamheten KRITISK PROCESS KRITISKA AKTIVITETER De kritiska processerna bryts ned i aktiviteter, där aktiviteterna behövs för att den kritiska processen ska kunna tillhandahållas. Detaljeringsgraden för hur aktiviteter definieras kan ges stöd av hur komplexa avbrotts- och återgångsrutiner som aktiviteten har och om olika moment inom aktiviteten är olika tidskritiska. Resurser identifieras som behövs för att aktiviteterna ska kunna utföras. Interna resurser är sådana som ägs och förvaltas av den egna organisationen och kan vara exempelvis personer, färdigheter, teknik (t. ex. anläggning och utrustning), lokaler, förråd och information (elektronisk och annan). Externa resurser är sådana som ägs och förvaltas av utanför organisationen och kan vara av samma typ som de interna resurserna. Externa resurser anges typiskt sett som leverantörsnamn eller som leverantör av en särskild tjänst, produkt, etc. Vanliga externa resurser är leverantörer av IT, el, telefoni, internet, m. m. EXTERNA RESURSER De processer som behövs för att organisationen ska kunna bedriva sin mest centrala verksamhet. Kan även benämnas, affärskritiska, verksamhetskritiska eller väsentliga processer. En process är en kedja av sammanhängande aktiviteter som utifrån en viss resursinsats producerar ett resultat. Exempel på kritiska processer kan vara utlåning, skadehantering, orderhantering, m. m. INTERNA RESURSER Konsekvensanalysen kan dokumenteras i en karta likt nedan, en karta per process Tillbaka Gå till huvudmeny Fortsätt
Analys av verksamheten INTERNA RESURSER KRITISKA AKTIVITETER KRITISK PROCESS Ett exempel på beroendekartläggning återges i kartan nedan Den kritiska processen Skadehantering har identifierats utifrån ett försäkringsbolags mål och TIPS FÖR GENOMFÖRANDE Skadehantering krav. Processen bedöms vara en relevant avgränsning av samling värdeskapande aktiviteter • Börja hellre med få ”breda” aktiviteter än att dela upp dem för detaljerat för organisationen • Tänk på att beskriva aktiviteterna i form av ”vad som görs”, beskriv gärna som hela meningar inledningsvis för att komma igång Organisationen bryter ned processen i aktiviteterna 1 3. Om en aktivitet innefattar moment som har 2. Skadereglering 1. Skadehantering 3. Utbetalning och information • Är det ett tydligt flöde, beskriv även aktiviteterna i denna form, om inte, olika lösningar vid avbrott och/eller är olika på plats uppföljning återförsäkrare tidskritiska, så bör den delas upp i olika aktiviteter. gruppera istället efter leveransområde eller typ av tjänst • Notera vid behov kommentarer (t. ex. vad som ingår i aktiviteten) Organisationen identifierar interna resurser som • Ta en aktivitet i taget och identifiera de interna och externa resurser som behövs krävs för att genomföra varje aktivitet och anger 1 -3 2 -3 1 -2 1 -3 för att genomföra aktiviteten Skadehanterings. Administrativ med numrering vilken/vilka aktiviteter resursen Lokal stödjer. Eventuella beroenden mellan resurser kan markeras med pilar. • Resurser som hänger ihop och är lika tidskritiska kan grupperas i kartan, tänk då system Skadereglerare personal EXTERNA RESURSER på att skriva en kommentar om vad som ingår i resursen Tillbaka 1 -3 IT-drift Gå till huvudmeny 2 -3 Återförsäkrare 1 -3 Telefoni Fler tips Organisationen identifierar externa resurser som krävs för att genomföra varje aktivitet och anger 1 -3 med numrering vilken/vilka aktiviteter resursen 1 -3 Internet El stödjer. Eventuella beroenden mellan resurser kan markeras med pilar. Fortsätt
Analys av verksamheten EXTERNA RESURSER INTERNA RESURSER KRITISKA AKTIVITETER KRITISK PROCESS Ett exempel på konsekvensanalys återges i kartan nedan Tillbaka Hur fastställs tiderna? TIPS FÖR GENOMFÖRANDE Skadehantering När kritiska aktiviteter, interna och externa resurser identifierats är nästa steg • För varje aktivitet ställs frågan ”Hur länge kan aktiviteten ligga nere innan något att definiera hur långa avbrott som kan tolereras i respektive aktivitet av kriterierna i de röda kolumnerna uppfylls”, den tid som är svaret på frågan är (maximalt tolerabel avbrottsperiod). För detta används den tidigare Organisationen har med stöd av kriteriemodellen den maximalt tolerabla avbrottstiden för den aktuella aktiviteten utvecklade kriteriemodellen. bedömt att oacceptabla konsekvenser uppstår inom 2. Skadereglering något av modellens områden efter ett avbrott på 24 1. Skadehantering 3. Utbetalning och • Notera motivering för satta tidskrav och information på plats uppföljning timmar för aktivitet 1, efter 2 dagar för aktivitet 2 och efter mer än 5 dagar för aktivitet 3. återförsäkrare • Tänk på att mäta mot samtliga konsekvenskategorier i kriteriemodellen och 24 h 2 dagar >5 dagar fastställa tidskravet baserat p å den kategori som ger kortast tid Organisationen noterar att de interna resurserna • Om konsekvenserna av ett avbrott varierar beroende på när det inträffar ska 1 -3 2 -3 1 -2 1 -3 Skadehanterings. Administrativ behöver kunna uppfylla tidskraven för samtliga tidskravet utgå från ett avbrott under den mest kritiska perioden Skadereglerare Lokal aktiviteter som stöds. En resurs måste förhålla sig system 24 h personal 24 h 2 dagar till det kortaste tidskravet om resursen stödjer fler än en aktivitet 24 h Aktivitetens maximalt tolerabla avbrottsperiod avgör. Organisationen noterar att de externa resurserna vilket mål för 1 -3 2 -3 respektive 1 -3 resurs som 1 -3 behöver kunna uppfylla tidskraven för samtliga återställningstid som ställs på stödjer 1 -3 aktiviteterna. IT-drift 24 h Gå till huvudmeny Återförsäkrare 2 dagar Telefoni 24 h Hur fastställs tiderna? Internet El aktiviteter som stöds. En resurs måste förhålla sig till det kortaste tidskravet om resursen stödjer fler än 24 en aktivitet h 24 h Fler tips Fortsätt
Analys av verksamheten Riskbedömning kan dokumenteras i en tabell likt nedan Detta steg ger en djupare förståelse för risker och hot kopplade till de resurser som stödjer kritiska processer. Riskbedömning görs på en mer operativ nivå och är mindre detaljerad än traditionell riskhantering. Analysen avgör om TIPS FÖR GENOMFÖRANDE befintliga lösningar är tillräckliga • De hot som tas upp syftar till att identifiera olika typer av redundanslösningar, så de kan med fördel grupperas Organisationen anger en inbördes prioritering utifrån Organisationen beskriver relevanta Organisationen beskriver kontinuitetslösningar där Baserat på risken och befintlig redundans, bedöms Organisationen identifierar den befintliga Organisationen analyserar varje kritisk resurs för sig • Tänk på att vi bedömer sannolikheten att ett avbrott överskrider var åtgärder bör vidtas och baserat på föregående kontinuitetsrisker, dvs. händelser som kan påverka de behövs, samt utser ansvarig och deadline. sannolikheten för att händelsen orsakar ett avbrott redundansen för resursen, dvs. reservalternativ eller och noterar namnet på resursen och det mål för återställningstiden (inte sannolikhet att hotet inträffar) analyssteg, vilket ger inriktning och beslutsunderlag tillgängligheten hos resursen. Varje risk noteras på Analysen ger ingångsvärde till arbetet med strategier hos resursen som överstiger fastställt mål för skydd som finns på plats i nuläget om den ordinarie återställningstid som fastställts i för efterföljande steg en egen rad i tabellen. och planer resurser blir otillgänglig. återställningstid konsekvensanalysen Kritisk resurs (Mål för återställningstid) • Notera utestående frågor, förslag på ytterligare reservlösningar samt övriga kommentarer. Utse gärna ansvarig samt sätt datum när respektive fråga ska vara Sannolikhet att avbrott överstiger mål för Händelser som kan hanterad. återställningstid påverka resursens Befintlig redundans Prioritet Kommentar tillgänglighet • Utgå från/hämta inspiration från befintligt arbete inom riskhantering, LÅG MEDEL HÖG incidenthistorik, etc. Elavbrott Finns reservkraft samt diesel för 3 dagars drift 3 X Viktigt med löpande test av reservkraft (ansvar: kontorschef) • Börja samla ingångsvärden till kontinuitetsplaner redan i riskbedömningen Skadehanterings system (24 h) Utred möjliga redundanslösningar • Hitta lagom antal risker per resurs, med utgångspunkt i komplexitet och riskbild 1 (ansvar: IT chef, klart: innan Ingen redundans finns Internet ligger nere X årsskiftet) Skadlig kod gör systemet otillgängligt Tillbaka Gå till huvudmeny Antivirusprogram finns, oklart om tillräckligt X Fler tips 2 Se över befintlig redundanslösning (ansvar: IT chef, klart: innan årsskiftet) Fortsätt
4. Kontinuitetsstrategi 3. Analys av verksamheten 6. Upprätthålla 2. Styrande dokument 4. Kontinuitetsstrategi 5. Kontinuitetsplaner Följ den numrerade ordningen genom att börja med avsnitt 4. Tillbaka 7. Utbildningsquiz Klicka på en specifik del av diagrammet om du vill hoppa direkt till ett annat avsnitt Fortsätt till 4. Kontinuitetsstrategi
Kontinuitetsstrategi Varför gör vi detta steg? Vad gör vi i detta steg? Hur gör vi detta steg? VAD VI DETTA STEG? HUR GÖR VARFÖR GÖRGÖR VI IDETTA VI DETTA STEG? Kontinuitetsstrategier utgör gemensamma principer, ofta i form av Strategierna bör formuleras på strategisk nivå och av de som har mandat Övergripande kontinuitetsstrategier tas fram för säkerställa prioritering olika parametrar, för att säkerställa kontinuitet: att fatta beslut kring hur personella och finansiella resurser ska fördelas. och inriktning av aktiviteter och resurser fungerar inom de uppsatta • tidskraven. Strategierna utifrån ett före , under , och efter perspektiv Generellt så kan följande upplägg användas vid genomförande: • En lämplig struktur för en strategimodell, exempelvis guld, silver, Initial diskussion i workshopformat stor, avgörande betydelse • brons, alternativt liten, Kontinuitetsstrategier tjänar främst ett syfte vid storskalig kontinuitets Vid behov revidera efter analyser av processer, resurser och • hantering. Om kontinuitetsarbetet inleds på en liten del av Beroende på hur kritiska resurser är, kan de sedan sorteras in under beroenden, samt kostnad nytto analys • lämpliga strategier verksamheten eller på lokal nivå kan strategier tas fram först senare i Fastställda strategialternativ, som inriktning för prioritering, kan • arbetet Innan beslut om strategier, så genomförs kostnad nytto analyser t. ex. inkluderas i styrande dokument såsom policy Tillbaka Fortsätt
Kontinuitetsstrategier formulerar grundläggande principer för hur kontinuitetskraven ska mötas. Nedanstående perspektiv bör beaktas vid identifiering. Före en störning Under en störning Efter en störning Strategier för att förebygga sannolikheten för oönskade händelser inträffar. Strategier för att skapa så små avbrott som möjligt i verksamheten under en störning. Strategier för att minska konsekvenserna av en störning efter att den inträffat. Exempel: att överföra risken till tredje part, till exempel genom outsourcing. I de flesta fall kvarstår dock ansvaret. Andra exempel är diversifiering av verksamhetens kritiska processer genom att ha dem uppdelade på flera platser. Strategierna kan också innebära avslut eller ändring av ursprungsgenomförandet av de kritiska aktiviteterna. Denna typ av strategi kan dock medföra nya risker, exempelvis i form av minskat förtroende, ökad arbetsbelastning för personal eller ökade kostnader för. Exempel: att tillfälligt flytta kritiska aktiviteter eller resurser till annan plats, möjligheter för personal att arbeta hemifrån, reservkapacitet (t. ex. reservkraft), skala upp/ner vissa tjänster vid störningar i andra tjänster eller att göra omprioriteringar, t. ex. att skifta personal/resurser från mindre kritisk verksamhet till mer kritisk. kompetensspridning på flera individer, skaffa en outsourcing partner eller att lagerhålla kritiska resurser, att arbeta enligt alternativa metoder under en begränsad tid, t. ex. manuella rutiner vid störningar i IT system, m. m. Tillbaka Gå till huvudmeny Exempel: tecknande av försäkringar, vilket främst kan ge finansiell kompensation vid en oönskad händelse. Det täcker dock sällan hela den ekonomiska förlusten eller minskat marknadsvärde eller tappat förtroende. Ett annat exempel kan vara upprättandet av en effektiv kommunikationsorganisation för att minska negativ spridning av information om organisationen vid en störning. Fortsätt
Kontinuitetsstrategier kan formuleras utifrån resurstyp. Nedanstående beskrivning ger exempel på områden att beakta i kontinuitetsstrategier som utvecklas. Personal • Identifiering av kompetenser och kunskaper • Dokumentation av nyckelpersoner och ansvarsområden • Listning av kompetens utveckling och övningsbehov Tillbaka Lokaler • Antal, storlek, geografisk spridning • Personalens möjligheter att flytta mellan anläggningar Gå till huvudmeny System och ITinfrastruktur • Backup • Supportavtal • Alternativa tillvägagångssätt Leverantörer • Avtal med flera leverantörer • Redundans /kontinuitetskrav på leverantörer • Bötesklausuler i avtal med leverantörer Fortsätt
Kontinuitetsstrategi Implementering av kontinuitetsstrategier kan medföra ökade kostnader som måste vägas mot nyttan de förväntas innebära. Kostnad Nytta Kostnader för • anskaffandet av redundant utrustning • upprättandet av avtal med ytterligare TIPS FÖR GENOMFÖRANDE leverantörer Nyttor i form av • systematiskt arbete med kontinuitetshantering möjliggör för organisationen att optimera sina investeringar i robusthet för den kritiska • När det gäller händelser som har en mycket låg sannolikhet bör ROI värdet ses Högre kostnader ju kortare mål för verksamheten. som ett sätt att värdera alternativa lösningar jämfört med varandra, och inte tolkas återställningstid • redundans och säkerhetsbrister identifieras i analysen bokstavligen. • I kostnad nyttoanalysen behöver också tidsaspekten beaktas, nämligen inom hur Kostnad-nyttoanalys lång tid den implementerade strategin beräknas ha effekt jämfört med hur stor sannolikheten för en oönskad händelse är. Analysen identifierar resurser där redundansen är oproportionerligt hög jämfört med hur kritiska de är för verksamheten – insatser optimeras. Beräkning av ROI (return on investment) för investeringar) • för strategier som syftar till att minska sannolikheten för oönskade händelser kan nyttan beräknas genom att estimera minskningen i sannolikhet multiplicerat med konsekvenserna störningen förväntas ha i termer av kostnader. • För strategier som syftar till att minska konsekvenserna kan nyttan beräknas på liknande sätt, genom att multiplicera minskningen av konsekvenser i termer av kostnader med sannolikheten för den oönskade händelsen. Tillbaka Gå till huvudmeny Fler tips Fortsätt
Kontinuitetsstrategi Implementering av kontinuitetsstrategier kan medföra ökade kostnader som måste vägas mot nyttan de förväntas innebära. Ett sätt att besluta om vilka strategier som ska implementeras och hur dessa ska riktas kan vara att gruppera resurserna enligt deras mål för återställningstid, där de med kortast tidskrav är de mest kritiska. Strategierna ger på så vis en inriktning för processansvariga i arbetet med att utveckla med konkreta kontinuitetslösningar i händelse av avbrott. I exemplet finns strategier riktade mot revidering av underlag samt krav på eskalering och rapportering. Utifrån denna strategi kan exempelvis beslut rörande investeringar och verksamhetsinriktning fattas. Tillbaka Gå till huvudmeny Fortsätt
5. Kontinuitetsplaner 3. Analys av verksamheten 6. Upprätthålla 2. Styrande dokument 4. Kontinuitetsstrategi 5. Kontinuitetsplaner Följ den numrerade ordningen genom att börja med avsnitt 5. Tillbaka 7. Utbildningsquiz Klicka på en specifik del av diagrammet om du vill hoppa direkt till ett annat avsnitt Fortsätt till 5. Kontinuitetsplaner
Kontinuitetsplaner Varför gör vi detta steg? Vad gör vi i detta steg? Hur gör vi detta steg? Tillbaka VAD GÖR VI I DETTA STEG? HUR VARFÖR GÖRGÖR VI DETTA STEG? Kontinuitetslösningarna beskrivs ofta som ett antal checklistor med tydliga beskrivningar av vad som ska göras, vem som ska utföra detta, Kontinuitetsplaner utarbetas lämpligast i workshop och/eller För att upprätthålla kontinuitet vid avbrott, så behövs konkreta och hur det ska genomföras och när. intervjuformat, i regel med samma deltagare som vid workshop för användbara kontinuitetsplaner konsekvensanalys och riskbedömning: Planerna beskriver kontinuitetslösningarna i form av operativa Kontinuitetsplanerna aktiveras vid behov för att kunna upprätthålla åtgärdslistor/checklistor samt kompletterande information i form av: Utifrån resultatet från workshopen kan kompletterande information kritiska processer och möjliggöra för en snabb återgång till normal • Reservrutiner behöva inhämtas, exempelvis från andra befintliga planer eller verksamhet. • Återställningsrutiner specialistkompetens. • Återgångsrutiner • Roller, individer och ansvar • Dokumentägare • Kontaktuppgifter till relevanta personer Fortsätt
Finansinspektionens föreskrifter Beredskapsplan Kontinuitetsplan Återställningsplan Återhämtningsplan FSPOS Vägledning Kontinuitetsplan ISO 22301 Kontinuitetsplan I Finansinspektionens föreskrifter ställs krav om att olika planer upprättas och testas kontinuerligt. Av dessa motsvarar kontinuitetsplan och återställningsplan tillsammans det som benämns som kontinuitetsplan i FSPOS Vägledning och i ISO 22301 Återhämtningsplan relaterar mer till finansiell återhämtning än Beredskapsplan relaterar närmare till krishantering än till kontinuitetshantering Kontinuitetsplan relaterar till kontinuitetshantering och är en plan som beskriver Återställningsplan relaterar till kontinuitetshantering och är en plan som Kontinuitetsplan relaterar till kontinuitetsplan och återställningsplan i FI: s kontinuitetshantering. Ett företag ska ta en återhämtningsplan för återställande av och är en plan som beskriver de åtgärder ett företag ska vidta för att hantera hur en verksamhet ska upprätthållas i händelse av ett avbrott eller en större beskriver enligt vilka prioriteringar och rutiner ett företag ska återgå till normal föreskrifter. Planen beskriver detaljerade kontinuitetslösningar, för var och en sin finansiella ställning efter en kraftig försämring. (ändringsförfattning till FFFS allvarliga och omfattande avbrott, störningar eller kriser. (FFFS 2014: 4) verksamhetsstörning. (FFFS 2014: 4) verksamhet efter ett avbrott eller en större verksamhetsstörning. (FFFS 2014: 4) av de kritiska resurserna, i form av checklistor för de tre delarna: 2014: 1) Planen innehåller dokumenterade rutiner som vägleder en organisation att efter avbrott reagera, återställa och återuppta verksamheten i förväg definierad • Reservrutiner Hur arbetar vi på alternativa sätt under ett avbrott? omfattning. • Återställningsrutiner Hur återställer vi den kritiska resursen efter ett avbrott? • Återgångsrutiner Hur återgår vi till normalläge då den kritiska resursen är tillgänglig igen? Tillbaka Gå till huvudmeny Fortsätt
Kontinuitetsplaner Kontinuitetslösningar dokumenteras i kontinuitetsplaner. Nedanstående beskrivningar ger ett förenklat exempel på innehåll i en plan. Kritisk resurs: Kontorslokal Exemplet utgår från resursen kontorslokal, som har TIPS FÖR GENOMFÖRANDE identifierats som kritisk i steget Analys av verksamheten. Mål för återställningstid: 8 timmar Där fastställdes även resursens mål för återställning till 8 timmar. Kontinuitetsplanen beskriver hur kontinuitet hos • Tänk på att beskriva kontinuitetslösningarna så konkret som möjligt, och med Reservrutin: ”Flytt till reservlokal” Återställningsrutin: resursen säkerställs inom återställningstiden • Resursansvarig beslutar om flytt • Kontakta hyresvärd och informera om sådan detaljnivå att de lätt kan förstås av samtliga berörda För var och en av de kritiska resurserna beskrivs problemet • Respektive chef informerar sina medarbetare • Tänk på att beskriva såväl hur kontinuiteten i identifierade kritiska resurser ska detaljerade kontinuitetslösningar. Dessa kan beskrivas i • Håll löpande kontakt med hyresvärd • Resursansvarig kontaktar ansvarig för reservlokal upprätthållas, hur resursen återställs vid störningar samt hur återgång till form av reservrutiner (hur arbetar vi på alternativa sätt som informerar om status på och informerar om flytten, kontaktuppgifter finns i under ett avbrott? ), återställningsrutiner (hur återställer normalläge ska ske då resurserna åter fungerar som normalt återställningen av lokalerna vi den kritiska resursen efter ett avbrott? ) samt bilaga 1 återgångsrutiner (hur återgår vi till normalläge då den • Informera anställda om när lokalerna • Rutinbeskrivning för hur flytten sker och vilka • Utse en person som är ansvarig för kontinuitetsplanen och därmed ansvarar för kritiska resursen är tillgänglig igen? ). beräknas vara tillgängliga särskilda rutiner som gäller under vistelsen på den att uppdateringar görs, benämn gärna med funktion istället för namn nya platsen finns i bilaga 2 För respektive åtgärd behöver också nödvändig • Det är viktigt att kontinuitetslösningarna är specifika och detaljerade i kontaktinformation roll och ansvarsfördelning beskrivas. Återgångsrutin: Nödvändiga kontaktuppgifter: beskrivningarna för att planen ska kunna användas operativt under en störning. I inledningen av planen ska det finnas beskrivet under • Ansvarig för reservlokal • Resursansvarig beslutar att flytta tillbaka Viss flexibilitet behövs dock för att kunna svara mot oväntade hot samt vilka omständigheter planen ska aktiveras och hur detta (se bilaga 3) • Respektive chef informerar sina medarbetare förändrade interna och externa förhållanden. ska ske. • Rutinbeskrivning för hur flytt till ordinarie lokaler sker och vilka särskilda aktiviteter som ska utföras (se bilaga 3) Tillbaka Gå till huvudmeny Fler tips • Hyresvärd (se bilaga 3) Fortsätt
Kontinuitetsplaner Kontinuitetslösningar dokumenteras i kontinuitetsplaner. Nedanstående beskrivningar ger ett förenklat exempel på innehåll i en plan. Kritisk resurs: Datorer Mål för återställningstid: 2 timmar ”Använd manuella rutiner” • Reservrutin: Prioritera arbetsuppgifterna. • Vid behov, stäm av prioritering med närmsta chef • Dokumentera genomförda transaktioner enligt manuella rutiner (se bilaga 2) • Ta nödvändiga kontakter via telefon istället för via mail (se bilaga 3) • Återgångsrutin: För in manuell dokumentation digitalt • Återställningsrutin: Kontakta hårdvaruleverantör som enligt avtal reparerar/levererar ny utrustning inom mål för återställningstid kontaktuppgifter: • Nödvändiga Viktiga intressenter (se bilaga 3) • Hårdvaruleverantör (se bilaga 3) Tillbaka Gå till huvudmeny Fortsätt
6. Upprätthålla 1. Introduktion till kontinuitetshantering 3. Analys av verksamheten 6. Upprätthålla 2. Styrande dokument 4. Kontinuitetsstrategi 5. Kontinuitetsplaner Följ den numrerade ordningen genom att börja med avsnitt 6. Klicka på en specifik del av diagrammet om du vill hoppa direkt till ett annat avsnitt Tillbaka 7. Utbildningsquiz Fortsätt till 6. Upprätthålla
Upprätthålla Varför gör vi detta steg? Vad gör vi i detta steg? Hur gör vi detta steg? VARFÖR GÖR VI DETTA STEG? VAD GÖR VI I DETTA STEG? Arbetet med kontinuitetshantering behöver kontinuerligt upprätthållas HUR GÖR VI DETTA STEG? och förbättras. En del av upprätthållande handlar om granskning och revidering av Drivande i upprätthållandet är inte sällan en kontinuitetsansvarig som dokument, t. ex. policy, genomförda analyser och utvecklade När kontinuitetshanteringen har implementerats, så behöver den skapar och följer upp så att översyn sker. kontinuitetsplaner. förvaltas, följas upp och stärkas. Den kontinuitetsansvariga är ofta även ansvarig för program för övning, Upprätthållande handlar även om mjukare frågor som kultur, kunskap Upprätthållandet är därmed en del av ett naturligt förbättringsarbete, utbildning och medvetenhet, förvaltning av mallar, fördelning av och förmåga inom kontinuitetshanteringen, vilket innefattar bl. a. men även ett sätt anpassa lösningar efter behov och förutsättningar uppgifter och ansvar, m. m. utbildningar och övningar för att öka förståelsen och förmågan i t. ex. när förändringar sker i organisationen eller dess omvärld. organisationen. Tillbaka Fortsätt
Upprätthålla Granskning och revidering behövs för att kontinuitetsarbetet TIPS FÖR GENOMFÖRANDE ska vara relevant och tillämpligt. Nedanstående områden bör vara vägledande. • Hur organisationen avser genomföra granskning och revidering beskrivs med fördel i relevant styrande dokument, såsom policy, instruktion, eller liknande. Tillbaka • Revideringar kan till exempel göras för de styrande dokumenten eller i analys av Omvärldsbevakning verksamheten då större förändringar skett. Omvärlden är i ständig förändring, det är därför av Vid större förändringar i verksamheten, som nya IT Revision och granskning kan genomföras både av Behov av revideringar kan identifieras i samband vikt att regelbundet granska och revidera • Organisationsförändringar Granskning bör inte bara göras reaktivt vid identifierade förändringar utan även system, organisationsförändringar eller byte av interna och externa parter. Det bör, i de interna med övningar, då exempelvis kontinuitetsplaner kontinuitetsarbetet för att säkerställa att leverantörer, bör en revidering göras. rutinerna, finnas en process för hur regelbundna vid återkommande tillfällen och kontinuerligt, exempelvis årligen eller halvårsvis. övas. Behov av följdändringar kan då behöva göras kontinuitetsstrategier, lösningar och planer är interna granskningar ska ske. Det bör också vara i bland annat rutinbeskrivningar, kontaktuppgifter tillämpliga. Exempelvis kan kunder, konkurrenter, Utvärdering av inträffade incidenter kan också tydligt definierat hur resultat från granskningar ska eller roller och ansvar, m. m. • Tänk på att revideringar av exempelvis styrande dokument, såsom Resultat av övningar leverantörer eller lagstiftare ställa nya krav på användas som underlag inför revidering. tillvaratas. kriteriemodellen, leder till att revideringar i de efterföljande stegen i kontinuitetshanterings processen måste genomföras. Revisionsrapport • Andra exempel på orsaker till revidering kan vara förändrade prioriteringar, strategin är inte hållbar, mer övning eller utbildning behövs, programmet för kontinuitetshantering är ineffektivt, m. m. Gå till huvudmeny Fler tips Fortsätt
Upprätthålla Utbildning om kontinuitetshantering är en viktig del i upprätthållandet. Nedanstående frågor kan vara bra att beakta. Utbildning bör ske på olika nivåer i organisationen med olika syften. Utbildningen ska vara anpassad till den roll som deltagaren kommer att ha i organisationen, exempelvis: Grundutbildning – ”för kännedom” För medarbetare som inte är direkt involverade i kontinuitetshanteringsarbetet, räcker det med kortare utbildning i syfte att informera om området, varför det genomförs, samt hur det kommer att påverka dem i deras dagliga arbete. En sådan utbildning kan omfatta så lite som 1 timme till några timmar. Fördjupad utbildning – ”för metodstöd” För vissa, exempelvis för de som ska arbeta aktivt i och ha ett ansvar för kontinuitetshanteringsprocessen, behövs djupgående och längre utbildningar som syftar till att förklara metoder och tillvägagångssätt. Ytterligare personer behöver kanske utbildas för att så småningom kunna utbilda själva. Sådana utbildningar kan omfatta halv / heldagsutbildningar eller flera återkommande utbildningstillfällen. Tillbaka Gå till huvudmeny Fortsätt
Upprätthålla Övning och test av kontinuitetsplaner görs för att säkerställa att kontinuitetskraven kan uppfyllas. Nedanstående former och mål kan vara vägledande. Övningsforme r. Beroende på organisationens vana av att arbeta med kontinuitetshantering samt tidigare erfarenheter av att öva kan TIPS FÖR GENOMFÖRANDE och bör övningarnas komplexitet anpassas. För mer erfarna övningsdeltagare kan en För oerfarna övningsdeltagare lämpar sig så simuleringsövning vara lämplig. kallade skrivbordsövningar bäst. En sådan övning har ofta ett mer testande fokus • Övningar kan syfta till att testa olika saker och kan därför också utformas på olika I sådana övningar övas deltagarna främst genom och deltagarna ska, utifrån ett scenario, agera att diskutera olika typer av ageranden utifrån ett sätt: Tester kan genomföras som test av enskilda kontinuitetslösningar eller att i enligt de rutiner och instruktioner som finns. givet scenario, exempelvis inriktat mot en eller Simuleringsövningar form av en övning testa kontinuitetslösningarna för en hela eller delar av flera planer eller rutiner. Sådana övningar tenderar att kosta mer och vara organisationen. Skrivbordsövningar mer komplexa, men möjliggör mer verifikation Övningsformen är framför allt lärande och tenderar att ge större effekt. deltagarna ges möjlighet att reflektera och • Dokumentationen kan vara i form av testprotokoll eller övningsrapporter. diskutera i lugn och ro. Resultaten från övningar och tester kan dessutom leda till revidering av Skarpa övningar och tester kan exempelvis göras kontinuitetsarbetet. för manuella rutiner eller för flytt till reservlokal. Formen tenderar att vara relativt mindre komplex Exempel på målområden Tester av lösningar gällande system kan göras och följaktligen mindre kostsam. på olika sätt, exempelvis kan ”fail over” • Testa och öva implementerade kontinuitetsplaner regelbundet Testa teknik och infrastruktur Är medvetandenivån tillräckligt hög i Är det rätt personal som är involverad – kompetens, Fungerar teknik och infrastruktur? Går tidskraven att möta? (automatisk övergång till ett annat redundant organisationen? förmåga, beslutsrätt? system då ordinarie system är ur funktion) testas Optimera testresurserna genom att variera omfattning och frekvens beroende av Öka • kompetens bland personalen Fungerar våra reservrutiner? Är befintliga logistik /leverantörslösningar genom att stänga ner ordinarie system och se om Utveckling av kännedom om eskaleringsrutiner hur kritisk processen/resursen är för verksamheten Utveckla individers och gruppers förmåga tillräckliga? reservrutinen fungerar. Testa uppsatta tidskrav och helheten av organisationens kontinuitetsarbete? Har vi tillgång till rätt lokaler, utrustning och Testa förmågor under press teknik? Behöver något i våra rutiner justeras? Öka medvetenheten i organisationen Tillbaka Gå till huvudmeny Fler tips Fortsätt
Upprätthålla För att uppnå en kontinuitetshanteringskultur krävs, som vid förändringar av alla slag i en organisation, att olika perspektiv beaktas. Genomförande av förändring bygger på en insiktsfull integration av de tre perspektiven, där alla är viktiga för en effektiv implementering i organisationen Det mänskliga perspektivet måste inkluderas, men glöms ofta bort, i Attityder Det strukturella perspektivet innebär att ta fram instruktioner, system, processer Beteende FÖRförändringsprocesser. Det är viktigt att skapa förståelse bland medarbetare och GENOMFÖRANDE Det strategiska perspektivet inkluderar att ledningen fattar ett beslut om önskat Värderingar och annat stöd, exempelvis mallar och checklistor, som underlättar arbetet med att läge och tar fram tidplaner och utser ansvariga (t. ex. via kontinuitetspolicy och andra intressenter kring varför och hur förändringen ska genomföras och hur den nå önskat läge. • För att uppnå en kontinuitetshanteringskultur krävs, som vid förändringar av alla andra styrande dokument) för att nå dit. kan vara värdeskapande för de enskilda individerna. slag i en organisation, att de olika perspektiven beaktas. I de allra flesta förändringsprocesser är förändringen synonymt med förändringen Perspektivet överbetonas inte sällan. Ofta tas förståelsen för analysen av nuläget • Test, övning och utbildning är av stor betydelse för att skapa en Om förändringen innebär att medarbetare och andra intressenter måste ändra sitt av organisationen – man ritar nya rutor och utser nya chefer. Här ”bränns” säkert och utmejslingen av önskat läge för givet. När ledningen är klar med sin organisationskultur som främjar kontinuitetshantering. sätt att tänka och göra, så är detta något som inte åstadkoms genom en förändring Analys & Önskat STRATEGISKT 75 80% av all energi och alla resurser. Förändring/Utveckling strategiska process, blir man snabbt ”exekutiv” och vill att mellanchefer och beslut läge PERSPEKTIV: av organisationen. • Gör arbetssättet känt i organisationen, fördela ett tydligt ansvar. medarbetare ska verkställa. Förhållandevis små effekter ses av dessa insatser. Förklaringen är förmodligen att Människors tankar, känslor och beteende grundar sig i attityder, förhållningssätt organisationsförändringar är relativt enkla att besluta om och man har som • Att ledningen belyser vikten av och tilldelat tillräckliga resurser till arbetet har Man avsätter ofta för lite tid och resurser på att få människor att förstå, omfatta och värderingar. Det är detta som måste förändras och genom DIALOG, ledning en hög grad av kontroll. stor betydelse för upprättandet av en kontinuitetshanteringskultur. och gilla den strategiska analysen och attraktiviteten i det önskade läget. exempelvis genom utbildning och övning. MÄNSKLIGT TIPS PERSPEKTIV: STRUKTURELLT PERSPEKTIV: Tillbaka Gå till huvudmeny Struktur System/IT Fler tips Processer Fortsätt
7. Utbildningsquiz Denna avslutande del innehåller en kortare quiz med flervalsfrågor, med utgångspunkt i utbildningens avsnitt 3. Analys av verksamheten 6. Upprätthålla 2. Styrande dokument 4. Kontinuitetsstrategi 5. Kontinuitetsplaner Följ den numrerade ordningen genom att börja med avsnitt 7. Tillbaka 7. Utbildningsquiz Klicka på en specifik del av diagrammet om du vill hoppa direkt till ett annat avsnitt Fortsätt till 7. Utbildningsquiz
Fråga 1 Vad heter ISO standarden för kontinuitetshantering? NEJ – ISO 31000 är standarden för JA – ISO 22301 är huvudstandarden för NEJ – ISO 14001 är standarden för riskhantering – Försök igen! kontinuitetshantering. ISO 22313 ger miljöledningssystem – Försök igen! ytterligare praktisk inriktning ISO 31000 ISO 22301 ISO 14001 22301: 2012 Läs mer i FSPOS Vägledning, avsnitt 1. 3. Klicka på ”Fortsätt” för att komma till nästa fråga! Tillbaka Gå till huvudmeny Fortsätt
Fråga 2 Vilken nivå inom organisationen utgör ofta kompetenscentra för kontinuitetshantering och koordinerar och stödjer arbetet? Strategisk, taktisk, eller operativ nivå? JA – Den taktiska nivån utgör NEJ – Den operativa nivån är de individer kompetenscentra avseende kontinuitets NEJ – Med den strategiska nivån menas som ansvarar för analys av verksamheten, hanteringen. Den taktiska nivån består av typiskt sett den högsta ledningen. Ansvar utvecklar kontinuitetslösningar och planer för person/er med övergripande ansvar för att på denna nivå inkluderar ofta beslut av sina områden, samt genomför tester och stödja arbetet med kontinuitetshantering. policyn och finansiering av övningar – Försök igen! kontinuitetsarbetet – Försök igen! Läs mer i FSPOS Vägledning, Appendix A. 3. Strategisk Taktisk Operativ Klicka på ”Fortsätt” för att komma till nästa fråga! Tillbaka Gå till huvudmeny Fortsätt
Fråga 3 Resursen affärssystem är kritisk för att genomföra aktiviteterna försäljning (8 h), leverans (4 h) och uppföljning (24 h), med maximalt tolerabel avbrottstid (MTPD) inom parentes – vilket mål för återställningstid (RTO) gäller då för affärssystem? 4 timmar 8 timmar NEJ – Resursen behöver dessvärre förhålla sig JA – Om en resurs stödjer flera aktiviteter, till ett annat tidskrav (MTPD). Ett annat RTO så behöver det kortaste tidskravet (lägsta gäller – Försök igen! MTPD) kunna mötas Klicka på ”Fortsätt” för att komma till nästa fråga! Läs mer i FSPOS Vägledning, Appendix B. 2. 24 timmar Tillbaka Gå till huvudmeny Fortsätt
Fråga 4 Vilken av följande påståenden om kontinuitetsstrategier är korrekt? Kontinuitetsstrategier upprättas ofta av de som upprättar kontinuitetsplanerna NEJ – Strategierna bör formuleras på JA – Kontinuitetsstrategier sätts på en strategisk nivå och av de som har mandat NEJ – Strategier behöver genomföras efter övergripande nivå och utgör en inriktning för att fatta beslut kring hur personella och konsekvensanalysen då de använder denna vilka lösningar och åtgärder som ska finansiella resurser ska fördelas. som ingångvärde för att prioritera olika implementeras. Kontinuitetsplaner upprättas oftast på alternativ för kritiska aktiviteter och resurser operativ nivå, av de som har mer specifik – Försök igen! Klicka på ”Fortsätt” för att komma till nästa kunskap om olika sakområden fråga! – Försök igen! Kontinuitetsstrategier ger inriktning till kontinuitetslösningar som upprättas Kontinuitetsstrategier utgör nödvändiga ingångsvärden till konsekvensanalysen Tillbaka Gå till huvudmeny Läs mer i FSPOS Vägledning, Appendix C. Fortsätt
Fråga 5 Vilken del av kontinuitetsplanen skulle beskriva hur en organisation tillfälligt hanterar kundärenden med excel dokument vid avbrott, till dess att ett ordinarie kundsystem är åter i drift JA – Reservrutinen beskriver hur NEJ – Återställningsrutinen beskriver hur NEJ – Återgångsrutinen beskriver hur organisationen arbetar på alternativa sätt organisationen återställer den kundsystemet organisationen återgår till normalläge då under ett avbrott som gör kundsystemet efter ett avbrott, dvs. hur kundsystemet åter kundsystemet är tillgängligt igen otillgängligt görs funktionellt – Försök igen! Återgångsrutin Återställningsrutin Reservrutin Tillbaka Gå till huvudmeny Läs mer i FSPOS Vägledning, Appendix D. Klicka på ”Fortsätt” för att komma till nästa fråga! Fortsätt
Fråga 6 Vilken av följande är inte en vanlig övningsform för att testa kontinuitetsplaner: beteendeövning, skrivbordsövning eller simuleringsövning? Beteendeövning Skrivbordsövning Simuleringsövning Tillbaka Gå till huvudmeny NEJ – Skrivbordsövning är en vanlig JA – Beteendeövning är inte vanlig NEJ – Simuleringsövning är enen vanlig övningsform. I sådana övningar övas övningsform som testar kontinuitetsplaner övningsform som ofta har ett mer testande deltagarna främst genom att diskutera olika fokus och deltagarna ska, utifrån ett scenario, typer av ageranden utifrån ett givet scenario, agera enligt de rutiner och instruktioner som exempelvis inriktat mot en eller flera planer Klicka på ”Fortsätt” för att komma vidare! finns – Försök igen! eller rutiner – Försök igen! Läs mer i FSPOS Vägledning, Appendix E. 2. Fortsätt
Ytterligare fördjupning på FSPOS. se FSPOS vägledning för kontinuitetshantering syftar till att tillfredsställa ett behov av metodstöd Appendix G för F - Kontinuitetshantering för outsourcad IT-verksamheten beaktar att aktörer i den finansiella Självskattningsformulär för FSPOS Vägledning för verksamhet riktar sig till samtliga som är kontinuitetshantering kan användas för att inom området, genom att beskriva processen för kontinuitetshantering. Här hittar du mer involverade i processen för kontinuitetshantering för outsourcad verksamhet. Underlaget kan sektorn som får avbrott i IT tjänster drabbas av stora konsekvenser för verksamheten vilket i värdera huruvida ett antal listade påståenden stämmer in på den egna verksamheten. ingående resonemang, mallar och exempel för arbetet med kontinuitetshantering. Vägledningen även användas för att skapa en ökad medvetenhet internt i den egna organisationen om förlängningen leder till konsekvenser för kunderna. IT verksamheten är därför en viktig Självskattningsformuläret kan användas för att enkelt följa upp och värdera det egna baseras i huvudsak på den internationella standarden inom kontinuitetshantering; SS ISO kontinuitetshantering i samband med beslut om outsourcing av verksamhet. stödfunktion, oavsett om den är intern eller outsourcad till tredje part, och det är viktigt att kontinuitetsarbetet. Checklistan fylls i igenom att värdera de påståenden som anges. Om 22301: 2012 – Samhällssäkerhet – Ledningssystem för kontinuitet. säkerställa robusthet i denna. skattningar består i ”nej” eller ”delvis” vid valda påståenden bör kontinuitetsarbetet ses över enligt de rutiner som aktören fastställt. Tillbaka Fortsätt
Slut på utbildningen! Starta utbildningen på nytt FSPOS Interaktiva utbildning – Kontinuitetshantering i praktiken Version 1. 0, 2017 12 07 FSPOS AG KON, Fokusgrupp Kontinuitetshantering FSPOS Finansiella Sektorns Privat Offentliga Samverkan
- Slides: 52