Kontinuitetshantering

Relevanta dokument
Kontinuitetshantering i samhällsviktig verksamhet

Bilaga Från standard till komponent

SOES Vägledning för Kontinuitetshantering

FSPOS Vägledning för Kontinuitetshantering

Appendix F Kontinuitetshantering för IT-verksamheten

FSPOS Vägledning för Kontinuitetshantering

FSPOS Vägledning för Kontinuitetshantering

FSPOS Vägledning för Kontinuitetshantering

Anna Rinne Enheten för skydd av samhällsviktig verksamhet. Skydd av samhällsviktig verksamhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Myndigheten för samhällsskydd och beredskaps författningssamling

Kontinuitetshantering IT-avbrott - hur beroende är ditt företag?

Systematiskt arbete med skydd av samhällsviktig verksamhet

EN INTRODUKTION TILL KONTINUITETSHANTERING Säkerhetsträff, Umeå och Örnsköldsviks kommun 25 oktober 2012

Informationssäkerhetspolicy för Ånge kommun

Så här skapar du en katastrofplan för oförutsedda händelser

Välkommen till enkäten!

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Administrativ säkerhet

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Finansinspektionens författningssamling

Nya regler om styrning och riskhantering

Finansinspektionens författningssamling

Risk-, kris- och kontinuitetshantering Utbildningar 2010

Vetenskapsrådets informationssäkerhetspolicy

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Finansinspektionens författningssamling

Myndigheten för samhällsskydd och beredskap

Nationell strategi för skydd av samhällsviktig verksamhet

Kartläggning av SAMHÄLLSVIKTIGA VERKSAMHETERS BEROENDE AV ELEKTRONISK KOMMUNIKATION - EN FÖRSTUDIE

Finansinspektionens författningssamling

REGEL FÖR KRISHANTERING

Ledningssystem för Informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Ledningssystem för Informationssäkerhet

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Informationssäkerhetspolicy för Umeå universitet

Ledningssystem för IT-tjänster

Riktlinjer för intern kontroll

Kontinuitetshantering ur ett samhällsperspektiv SIS Clas Herbring: MSB Enheten för skydd av samhällsviktig verksamhet

Nya krav på systematiskt informationssäkerhets arbete

ISO/IEC och Nyheter

Informationssäkerhetspolicy

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Förklarande text till revisionsrapport Sid 1 (5)

Riktlinjer för informationssäkerhet

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004

Informationssäkerhetspolicy KS/2018:260

ISO/IEC 20000, marknaden och framtiden

Policy för informationssäkerhet

Kontinuitetsplan IT. Bilaga till Informationssäkerhetspolicy

SVENSK STANDARD SS 22304:2014

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Utforma säkerhetsprocesser

Ledning och styrning av IT-tjänster och informationssäkerhet

Utredningen om genomförande av NIS-direktivet

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Compliance och Internrevision kan lära av varandra. Louise Hedqvist, FCG Desirée Nordqvist, Länsförsäkringar AB

Ersättningspolicy. Lantmännen Finans AB Org. nr Policy 1.12

Vägledning för identifiering av samhällsviktig verksamhet och prioritering. Bo Gellerbring Anna Rinne Enheten för skydd av samhällsviktig verksamhet

EBITS Energibranschens Informations- & IT-säkerhetsgrupp

Informationssäkerhetspolicy för Ystads kommun F 17:01

BILAGA 3 Tillitsramverk Version: 1.2

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Krav Svensk Kvalitetsbas 1:2016 ISO 9 001:2015 Sammanfattning av hur motsvarar kraven i SKB kraven i ISO Ledarskap, ansvar och delaktighet

Multisourcing och kontinuitet?

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök

Policy för informations- säkerhet och personuppgiftshantering

Vilket mervärde ger certifiering dig?

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Metodmanual. FSPOS Finansiella Sektorns Privat- Offentliga Samverkan. Metod för analys av samhällsviktiga finansiella tjänster

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Ledningens genomgång

Samma krav gäller som för ISO 14001

Anvisningar för intern styrning och kontroll vid Karolinska Institutet

Vägledning för att erbjuda säkra tjänster till konsument

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Riktlinje för riskhantering

Övergripande riskhantering i Göteborgs Stad

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Styr och utveckla ditt IT-stöd utifrån internationella standarder

Riktlinje Robusthet- kontinuitet Landstinget Sörmland beslutad LS 12/13

Processinriktning i ISO 9001:2015

Strategi för förstärkningsresurser

Kontinuitetsplanering en introduktion

Policy och instruktioner för regelefterlevnad

Hur förberedd är du? Introduktion

Instruktion för funktionen för regelefterlevnad

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Appendix G Kontinuitetshantering för outsourcad verksamhet


Transkript:

Kontinuitetshantering Johan Vestin Senior Risk Control Officer (CM och BC) Nordea Camilla Modig Hill (ISO 22301 Lead Implementer) Business Continuity Manager, Folksam

Agenda Introduktion till kontinuitetshantering Vad är det och varför är det viktigt? Koppling till risk- och krishantering Kontinuitetshantering i praktiken Organisationsförståelse (BIA/konsekvensanalys) Riskbedömning Kontinuitetsstrategier/planer Uppföljning / övning Bra material och källor

Kursmål Kunna genomföra en analys för att identifiera verksamhetens kritiska processer Vara förtrogen med att genomföra en konsekvensanalys och identifiera maxtider för avbrott Kunna genomföra en riskanalys utifrån ett kontinuitetsperspektiv Kunna upprätta en kontinuitetsstrategi och en kontinuitetsplan Ha en förmåga att följa upp och utvärdera kontinuitetsarbetet

Kort presentationsrunda Vad har ni för erfarenhet av området och förväntningar på dagen?

Introduktion till kontinuitetshantering

Definition enligt ISO 22301 holistisk ledningsprocess som identifierar potentiella hot mot en organisation och den inverkan på verksamheten som dessa hot skulle kunna medföra om hoten blir verklighet och som ger ett ramverk för att utforma en anpassningsbar organisation med förmåga till en effektiv reaktion som tryggar anseende, varumärke, värdeskapande aktiviteter och de viktigaste intressenternas intressen

Förenklad beskrivning (FSPOS) Den process som säkerställer att organisationen kan driva den kritiska verksamheten på en tolerabel nivå oavsett vilka störningar som inträffar Exempel: Kritisk verksamhet är sådan som signifikant bidrar till kärnverksamhetens framgång och fullföljande av våra åtaganden gentemot våra kunder. Detta utgörs i huvudsak av aktiviteter, som om de inte kan utföras, får omedelbara allvarliga eller katastrofala konsekvenser för bolaget. Denna beskrivning för vad som är kritisk verksamhet ska utgöra en utgångspunkt för omfattningen av kontinuitetsarbetet.

Varför kontinuitetshantering? Don t plan for everything but plan for anything

Viktiga begrepp Förkortning Betyder Förklaring RTO RPO MTPD MAO MBCO BIA recovery time objective (mål för återställningstid) recovery point objective (mål för återställningspunkt eller maximum data loss) maximum tolerable period of disruption (maximalt tolerabel avbrottstid) maximum acceptable outage(maximalt acceptabel avbrottstid) minimum business continuity objective (lägsta kontinuitetsmål) Business impact analysis (konsekvensanalys) tid efter en incident inom vilken det är nödvändigt att en tjänst eller tillhandahållande av en vara återupptas en aktivitet återupptas eller resurser återställs punkt till vilken det är nödvändigt att återställa den information som används av en aktivitet, för att göra det möjligt för aktiviteten att fungera efter återställning tid det skulle ta för en negativ inverkan, som skulle kunna uppkomma som resultat av att inte tillhandhålla vara/tjänst eller utföra en aktivitet, att bli oacceptabel Samma som ovan minsta volym tjänster och/eller varor som är acceptabel för organisationen för att uppfylla dess verksamhetsmål under ett avbrott process för analys av verksamhet och den effekt som ett avbrott skulle kunna ha på verksamheten

Förhållandet mellan risk- krisoch kontinuitetshantering Riskhantering Kontinuitetshantering Krishantering

Förhållandet mellan risk- kris- och kontinuitetshantering

OPERATIV NIVÅ Effekt av kontinuitetshantering Incident 100 % Reducera avbrottstid Reducera initial effekt Före introduktionen av ett program för kontinuitetshantering Efter introduktionen av ett program för kontinuitetshantering TID Källa: ISO22301:2012 BCMS - Requirements

Kontinuitetshantering i praktiken

Process för kontinuitetshantering Vad är det som alltid måste fungera? Identifiera samhällsviktig verksamhet i Organisations- Förståelse (kritiska processer) Övning, tester, uppdatering Uppföljning / övning Program för BCM Styrande dokument Konsekvensanalys Vad gör vi (aktiviteter)? Hur tidskritiskt är det? Vilka resurser behöver vi? Kritiska beroenden Kontinuitets strategi / planer Riskbedömning Reserv-, återställningsoch återgångsrutiner Vilka händelser kan påverka resursens tillgänglighet?

Program för kontinuitetshantering Ramar för arbetet Övergripande syfte Omfattning Mål med implementeringen Hur arbetet ska genomföras och följas upp Organisation Processer Säkerställa ledningens stöd

Styrande dokument ISO 22301 kap 4 Organisationen ska avgöra vilka externa och interna frågor som är relevanta för dess syfte och som påverkar dess förmåga att nå de avsedda resultaten med sitt ledningssystem för kontinuitet ISO 22301 kap 5 (5.2 Ledningens åtagande, 5.3 Policy, 5.4 Befattningar, Ansvar och Befogenheter. ) Styrande regelverk: Fastställer syfte och mål Tydliggör ansvar och roller Fastställer metoder och rutiner Fastställer riskacceptans

Roller och ansvar Högsta ledningen: Beslutar om policyn Finansierar programmet Tar det yttersta ansvaret för kontinuitetshanteringen Strategisk Kontinuitetsansvarig: Kompetensstöd avseende kontinuitetshantering Utvecklar program för övning, utbildning och medvetenhet Utvecklar och underhåller mallar och verktyg Hanterar dokumentation Koordinatorer i verksamheten: Taktisk Operativ Utvecklar planer för sina områden Testar och övar sina planer Hög kompetens avseende kontinuitet inom sitt område Källa: FSPOS Vägledning 17

Exempel på policy Källa: SS 22304 Svensk Vägledning

Exempel på policy Källa: SS 22304 Svensk Vägledning

Fastställ riskacceptans genom kriteriemodellen Kriteriemodellen - riskacceptans anger acceptabel förlust baserat på olika konsekvenskategorier används som ett verktyg i konsekvensanalysen för att ange maximalt acceptabla avbrottstider. Obetydlig Märkbar Allvarlig/ oacceptabel Liv och hälsa Ett avbrott som leder till övergående lindriga obehag Ett avbrott som leder till enstaka svårt skadade och svåra obehag Ett avbrott som leder till enstaka dödsfall och flertal svårt skadade Förtroende Liten skada på anseende Kortvarig skada på anseende Stor skada på anseende, stort negativ massmedialt intresse Leveransförmåga Ingen eller obetydlig påverkan på leveransförmåga Märkbar påverkan på delar av leveransförmåga Mycket allvarlig påverkan där minst 50 % av lev.förmåga påverkas

Övning 1) Vilka konsekvenskriterier är relevanta för er verksamhet? 2) Ge exempel på konsekvenser i nivån allvarlig/oacceptabel

Identifiering av kritisk verksamhet/ processer genom BIA

Business Impact Analys (BIA) BIA:n (konsekvensanalysen/verksamhetsanalysen) är den huvudsakliga metoden för att analysera en verksamhet ur ett kontinuitetsperspektiv. är inte en engångsaktivitet utan måste ses över regelbundet. Kan initialt användas för att tydliggöra omfattningen (scope) av BCM programmet. Tillhandahåller underlag för prioritering av verksamheter (information om vilken verksamhet som är mest kritisk och tidskritisk) Ger information om resurser/beroenden Tips: BIA:n delas med fördel upp i en strategisk BIA och en operativ BIA Strategisk BIA = underlag för prioritering av verksamheter Operativ BIA = mer detaljerad information om resurser och beroenden

Business Impact Analys (BIA) ISO 22301 kap 8.2.2 Organisationen ska upprätta, införa och underhålla en formell och dokumenterad utvärderingsprocess för att bestämma prioriteter, övergripande och detaljerade mål för kontinuitet och återställning. I denna process ska ingå att bedöma verkan av att avbryta verksamhet som stöder organisationens varor och tjänster. Fastställer vilka processer/verksamheter som är mest kritiska och tidskritiska Skapar förståelse för vilka konsekvenser som avbrott kan leda till Ger underlag för att kunna fatta beslut om omfattning av kontinuitetsarbetet samt prioritering av processer/verksamheter. Ger information om vilka resurser som vi är beroende av 24

Exempel Strategisk BIA 26

Övning Strategisk BIA/Konsekvensanalys Genomför Strategisk BIA på ert företag eller avdelning Dokumentera resultatet i mallen

Redovisning

Operativ BIA/Konsekvensanalys

Operativ BIA/Konsekvensanalys ISO 22301 kap 8.2.2 Organisationen ska upprätta, införa och underhålla en formell och dokumenterad utvärderingsprocess för att bestämma prioriteter, övergripande och detaljerade mål för kontinuitet och återställning. I denna process ska ingå att bedöma verkan av att avbryta verksamhet som stöder organisationens varor och tjänster. Steg 1 identifierar de aktiviteter som stödjer de kritiska processerna. Steg 2 - identifierar beroenden och vilka interna och externa resurser som behövs Steg 3 identifierar maximalt acceptabla avbrottstider MAO/RTO och RPO. Utgår alltid ifrån worst case scenario 30 Vad gör vi? Vilka resurser behöver vi? Hur långa avbrott är ok?

Operativ BIA/Konsekvensanalys steg1: identifiera aktiviteter Vilka aktiviteter stödjer Vattenrening i ytvattenverk 31

Operativ BIA/Konsekvensanalys steg 2: identifiera interna och externa resurser 32

Genomförande av konsekvensanalys Format Deltagare Tidsåtgång Slutprodukt Konsekvensanalysen utförs med fördel genom en workshop för respektive identifierad kritisk process/verksamhet Som komplement kan intervjuer göras. Dessa riskerar dock ofta att bli tidskrävande och att man förlorar kontrollen över format och detaljgrad. Även enkäter kan användas men då kan i kontrollen över kvaliteten i insamlat underlag riskera att förloras. 5-10 deltagare, viktigt att säkerställa att gruppen inkluderar: Personer som har en övergripande roll och har mandat att fatta beslut Personer med operativ kunskap om aktiviteter och resurser samt vilka konsekvenser det får om resurser är otillgängliga. En till två halvdagar för att rita upp kartan och en till två halvdagar för att sätta tidskraven (beroende på omfattning och komplexitet) En karta som visualiserar den kritiska processens aktiviteter samt beroende till interna och externa resurser Definierade maximalt tolerabla avbrottsperioder för aktiviteter samt mål för återställningstid för resurser Källa: FSPOS Vägledning 33

Gruppövning Genomför konsekvensanalys för en av de kritiska verksamheter som ni identifierat. Alternativ: fiktivt exempel-kundtjänst

Konsekvensanalys - exempel

Kontinuitetshantering verksamhet och it Lagkrav Avtal Kundkrav Styrande regelverk Policy för kontinuitetshantering Verksamhetsprocesser IT-system och tjänster Krav Analys av verksamheten Kontinuitetslösning Kontinuitetsplaner Riktlinje för kontinuitetshantering Kontinuitetslösning Kontinuitetslösning Kontinuitetsplan Återställningsplan

Riskbedömning

Riskbedömning ISO 22301 kap 8.2.3 Organisationen ska upprätta, införa och underhålla en formell och dokumenterad process som systematiskt identifierar, analyserar och värderar organisationens risk för avbrott.. Identifiera risker för avbrott i organisationens prioriterade Vad kan verksamhet och i de processer, de system, den information, hända? det arbete, de tillgångar, de outsourcepartners och andra resurser som stöder dem. Systematiskt analysera risk. Värdera vilka avbrottsrelaterade risker som kräver åtgärder. Identifiera åtgärder för att uppfylla kontinuitetsmål och i enlighet med organisationens riskvillighet. 38 Hur allvarligt är det? Vad behöver åtgärdas? Vilka åtgärder behövs?

Riskbedömning: Exempel

Riskbedömning För respektive identifierad resurs: Vilka händelser kan påverka resursens tillgänglighet? Vilken befintlig redundans finns för att hantera händelserna? Om händelsen skulle inträffa, hur troligt är det att avbrottet blir längre än RTO?

Behov av ytterligare kontinuitetslösningar I de fall där befintlig redundans ej är tillräcklig: Beskrivning av ny kontinuitetslösning Ansvarig och deadline för implementering Kommentar om förmåga att möta krav på RTO (efter implementering) 41 Informationsklass: Intern

Kontinuitetsstrategi och utveckling av kontinuitetsplaner ISO 22301 kap 8.3.1 Bestämning och val av strategi ska grundas på resultaten från konsekvensanalys och riskbedömning 8.4.4 Organisationen ska upprätta dokumenterade rutiner för att agera på ett avbrott och hur den avser att fortsätta eller återuppta sin verksamhet inom en i förväg bestämd tidsram. Sådana rutiner ska ange kraven på de som kommer att tillämpa dem. 8.4.5 Återställning Resultatet av genomförd konsekvensanalys och riskbedömning används för att ta fram kontinuitetsplaner för de kritiska processerna I kontinuitetsplanen beskrivs reserv- och återgångsrutiner för identifierade kritiska resurser Åtgärdslistor/Checklistor Vem? Hur? När? Hur kommunicerar vi? Kontaktuppgifter till relevanta personer

Kontinuitetsstrategi (lösning) Kontinuitetsstrategi = identifiering och val av alternativa lösningar som behövs för att upprätthålla den kritiska verksamheten. 2 typer av strategier/lösningar: Företagsövergripande (t.ex. distansarbete) Specifika lösningar för den aktuella funktionen/processen

Mall för kontinuitetsplan Reserv- och återgångsrutiner för att kunna bedriva prioriterad verksamhet, oavsett vad som hänt Görs t.ex. för områdena Personal Lokaler och utrustning System och teknisk infrastruktur Leverantörer med följande innehåll: Reservrutin plan B Återgångsrutin Hur gör vi när resurser har kommit tillbaka? Återställningsrutin Kontaktuppgifter

Kontinuitetsplan - upplägg 45

Kontinuitetsplan - exempel på innehåll

Granskning, revidering och övning ISO 22301 kap 8.5 8.5 Övning och testning: Organisationen ska öva och testa sina rutiner i fråga om kontinuitetshantering för att säkerställa att de är förenliga med organisationens kontinuitetsmål. Löpande utvärdering och förbättring av kontinuitetsarbetet : Regelbundna övningar, tester, incidenter, omvärldsförändringar, organisationsförändringar etc. kan ligga till grund för ev. förändringar. I de interna rutinerna bör det finnas en process för hur regelbundna interna granskningar ska ske och hur granskningar ska tillvaratas Test av lösningar. Övningar för personer.

Utbildning/Information Utbildning/information bör ske på olika nivåer i organisationen med olika syften Utbildningen/information ska vara anpassad till den roll som deltagaren kommer att ha i organisationen Ett lyckat kontinuitetshanteringsarbetet är en del av det dagliga arbetet (inte en pappersprodukt) kräver upprepade informations och utbildningsinsatser. Samordnas med fördel med awarenessprogram för säkerhet. 48

Exempel på övning för att öka medvetenhet. En tisdagsmorgon när ni kommer till kontoret ser ni att byggnaden är avspärrad. En brand har utbrutit tidigt på morgonen och räddningstjänst har spärrat av hela området. Vad gör ni? Vad är de första aktionerna ni skulle vidta? Fundera på: Är det tydligt vem som gör vad, när och hur? Finns det en uttalad organisation inkl ersättare? Vad känner ni skulle fungera bra och vart finns det brister?

Fortsättning exempel på övning På tisdagseftermiddagen får ni veta att det kommer dröja minst en månad innan ni kan använda kontoret pga. omfattande rök- och vattenskador. Servrarna i byggnaden har omfattande skador.

Bra material och källor STANDARDER ISO 22301:2012/ISO 22313:2013 SS 22304 Svensk vägledning ISO/IEC 27031:2011 ISO/TS 22317:2015 ANNAT STÖD Finansinspektionens föreskrifter och allmänna råd om styrning, riskhantering och kontroll i kreditinstitut (FFFS 2014:1) hantering av operativa risker (FFFS 2014:4) MSBFS 2009:10 om statliga myndigheters Informationssäkerhet BCI, Good Practice Guidelines 2013 MSB - Vägledning för samhällsviktig verksamhet FSPOS vägledning för kontinuitetshantering NIST Contingency Planning Guide for Federal Information Systems 51

Tålamod Stycka elefanten Underskatta inte vikten av att sälja in varför vi jobbar med BCM/SSV Exemplifiera Utgå från vad som är viktigast i verksamheten Samordna med andra aktiviteter - ej IT drivet Arbeta metodiskt 52

Slutövning - bikupa Vad tar ni med er? Skriv ner tre aktioner som ni kan börja jobba med när ni kommer hem 53

Avslutning Frågor/funderingar? 54

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss