EBITS 2010-02-19 Energibranschens Informations- & IT-säkerhetsgrupp



Relevanta dokument
Kontinuitetsplan IT. Bilaga till Informationssäkerhetspolicy

GRUNDMALL FÖR KONTINUITETSPLAN / ÅTERSTARSTPLAN

Kapitel 14 Kontinuitetsplanering i verksamheten

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

STADSDELSFÖRVALTNING. Kontinuitets- och Avbrottsplan gällande IT-stödd verksamhet

Krisledningspolicy för Villa Lidköping BK

Informationssäkerhetspolicy

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

Finansinspektionens författningssamling

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

BESLUT redigerad Dnr 17/617

Plan för hantering av extraordinära händelser och höjd beredskap

KRIS- OCH KATASTROFPLAN

Informationssäkerhetspolicy för Umeå universitet

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

BESLUT redigerad Dnr 12/626

Rikspolisstyrelsens författningssamling

Riskanalys för myndigheterna inom SOES

Avbrott i bredbandstelefonitjänst

Riktlinjer för informationssäkerhet

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Myndigheten för samhällsskydd och beredskaps författningssamling

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Plan för samhällsstörning och extraordinära händelser - ledningsplan. Lysekils Kommun

Vägledning. Vägledning till guidade turer i fjällen. Förebyggande säkerhetsarbete

Bilaga 1. Definitioner

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy

SOLLENTUNA FÖRFATTNINGSSAMLING 1

Driftsäkerhet. Ett utbildningsmaterial för god funktion och säkerhet i stadsnäten

KVALITETSPLAN AUTOMATISKT BRANDLARM

Välkommen till enkäten!

Ledningsplan för extraordinära händelser, höjd beredskap och andra allvarliga händelser

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Finansinspektionens författningssamling

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Informationssäkerhet i. Torsby kommun

Finansinspektionens författningssamling

IT-säkerhetsinstruktion Förvaltning

Förstudie: Övergripande granskning av ITdriften

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Informationssäkerhetspolicy för Vetlanda kommun

Kommunens författningssamling

IT-säkerhetspolicy. Fastställd av KF

Vetenskapsrådets informationssäkerhetspolicy

Finansinspektionens författningssamling

Informationssäkerhetspolicy för Ånge kommun

Så här skapar du en katastrofplan för oförutsedda händelser

Här kan du ta del av presentationen från webbseminariet i pdf-format. Tänk på att materialet är upphovsrättsskyddat och endast till för dig som

Informationssäkerhetspolicy för Ystads kommun F 17:01

Dnr

KRISPLAN VID STOCKHOLMS UNIVERSITET

Krisledningsplan för Villa Lidköping BK

IT-Systemförvaltningspolicy

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Reglemente för intern kontroll samt riktlinjer för intern kontroll

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Informationssäkerhetspolicy

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser

KRISHANTERINGSPLAN Ledningsplan för allvarliga och extraordinära händelser i Ronneby kommun

Övergripande kommunal ledningsplan

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

RISK OCH SÅRBARHETSANALYS. Innehållsförteckning. Mall Grundläggande krav. Risk och sårbarhetsanalys Sida 1 (7)

Juridikens betydelse när det oväntade händer. Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Reglemente för internkontroll

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Policy och riktlinjer för skyddsoch säkerhetsarbete

IT-verksamheten, organisation och styrning

Kontinuitetshantering i samhällsviktig verksamhet

KRISPLAN VID STOCKHOLMS UNIVERSITET

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Uppföljning Macorena AB

Tekniskt driftdokumentation & krishantering v.1.0

KVALITETSPLAN AUTOMATISKT BRANDLARM. anslutet till KALMAR BRANDKÅR i samband med Räddningstjänstavtal

Plan för extraordinära händelser i Värmdö kommun

Slutrapport. Certifiering LADOK Pontus Abrahamsson Lösningsarkitekt Säkerhet

Kommunens plan för räddningsinsatser vid Sevesoverksamheter

Organisation för samordning av informationssäkerhet IT (0:1:0)

Säkerhetsplan. för Friluftsfrämjandets verksamheter

Informationssäkerhetspolicy inom Stockholms läns landsting

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

KRISLEDNINGSPLAN FÖR EXTRAORDINÄR HÄNDELSE

Informationssäkerhetspolicy

Vägledning. Vägledning till guidade turer med snöskoter. Förebyggande säkerhetsarbete

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

SÖDERTÄLJE KOMMUNALA FÖRFATTNINGSSAMLING

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Krisledningsplan för omsorgsförvaltningen Godkänd av omsorgsnämnden , 141. Reviderad (endast befattningsbenämningar)

Policy för informationssäkerhet

Rutiner för fysisk säkerhet

Grundläggande IT-strategi för Falkenbergs kommun Kommunledningskontoret IT-avdelningen

Intern kontrollplan och riskbedömning. Riktlinjer Fastställda i Kommunstyrelsen

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Regler och instruktioner för verksamheten

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Transkript:

2010-02-19 Energibranschens Informations- & IT-säkerhetsgrupp Exempel på Kontinuitetsplan Syfte: Att motverka avbrott i organisationens verksamhet och skydda kritiska rutiner från effekter av oförutsedda allvarligare avbrott eller katastrofer. 100219 Kontinuitetsplanering v1.0.doc 1 (9)

Kontinuitetsplan - Policy Inledning Kontinuitetsplanering är förmågan och beredskapen att hantera avbrott i ett företags verksamhet, minska skador som förorsakas av avbrott samt att sörja för att kontinuiteten i verksamhetens kritiska processer ligger på en accepterad lägsta nivå som kan garantera en finansiell och konkurrenskraftig position på lång sikt. Synonymt med begreppet kontinuitetsplan används också begrepp som katastrofplan, avbrottsplan och beredskapsplan. Kontinuitetsplanering innefattar att etablera fungerade processer och en organisation som kan koordinera arbetet med att utarbeta och införa planen, genomföra granskningar och tester av planen och som kan hantera kontinuerlig anpassning av planen till nya risker och hot och förändringar i verksamheten. Traditionellt har kontinuitetsplanering endast hanterat företagets infrastruktur med den föreställningen att med alternativa lokaler kan företagets verksamhet fortsätta som tidigare. ISO/IEC 27000 standardens definition av begreppet kontinuitetsplanering är dock större och vidare. Här är det företagets verksamhet i kontinuitet som ska säkerställas. En kontinuitetsplan innefattar således mer än en kontinuitetsplan för företagets IT-verksamhet. En kontinuitetsplan måste hållas aktuell. Planen, rutiner och organisationen kring den, samt lösningarna för att stödja den, måste kontinuerligt anpassas till förändringar i företagets verksamhet, organisation och de risker som måste hanteras. För att möjliggöra för företaget att ta fram och underhålla en kontinuitetsplan, ha förmågan att verkställa den, samt ha organisationen att underhålla den, bör arbetet med kontinuitetsplaneringen bedrivas i form av en ledningsprocess. Processen bör inkludera följande element: Definition av områden och strategi Hot- och riskanalys Avbrotts- och konsekvensanalys Etablering av en organisation för att utarbeta, införa och underhålla planen Framtagning och dokumentation av planen Förvaltning och underhåll Granskning, testning och övning. Arbetet med kontinuitetsplanering bör inledas med att identifiera de områden som behöver skyddas. Detta inkluderar att identifiera verksamhetens mest kritiska processer och de produkter/tjänster dessa levererar och som måste skyddas. 100219 Kontinuitetsplanering v1.0.doc 2 (9)

Syfte Att motverka avbrott i organisationens verksamhet och skydda kritiska rutiner från effekter av oförutsedda allvarligare avbrott eller katastrofer. En kontinuitetsplaneringsprocess bör upprättas. Syftet är att minska skada som förorsakas av katastrofer och säkerhetsincidenter (som t.ex. kan bli resultatet av naturkatastrofer, olyckshändelser, utrustningsfel och avsiktliga störningar) till en godtagbar nivå, genom en kombination av förebyggande och återställande skydd. Följderna av eventuella katastrofer, incidenter och förlust av verksamhetsstöd bör analyseras. Avbrottsplan bör upprättas och införas för att säkerställa att funktioner kan återställas inom erforderlig tid. Planerna bör hållas uppdaterade och övas så att de blir ett naturligt, integrerat inslag i alla ledningsrutiner. I kontinuitetsplaneringen bör ingå att identifiera risker, begränsa följderna av eventuella skadliga händelser och att säkerställa att återgång till normal drift för viktiga verksamheter kan fås inom rimlig tid. 100219 Kontinuitetsplanering v1.0.doc 3 (9)

Kontinuitetsplan Verksamhetsprocess/Beroendeflöde 1. INLEDNING Kontinuitetsplanen är avsedd att användas i sådana situationer som av verksamhetsledningen definierats som allvarliga störningar på verksamheten. Kontinuitetsplanen omfattar två delar, en som beskriver alternativa rutiner för att bedriva verksamheten och en som beskriver hur IT-driften skall ske vid ett alternativt driftställe. Avbrottsplan för IT-drift tas fram i senare skede. 2. FÖRUTSÄTTNINGAR 2.1 Styrande dokument Kontinuitetsplanen grundar sig på Bolagets gällande policy för Informationssäkerhetsarbetet baserad på ISO/IEC 27000-serien. Därutöver finns direktiv utfärdade för framtagandet av kontinuitetsplaner för verksamhetens viktiga processer/beroendeflöden. 2.2 Förutsättningar för att kontinuitetsplanen ska aktiveras Krisledningsgruppen (se 3.1 Organisation) gör bedömningen om det föreligger en situation som föranleder en aktivering av planen eller ej. Om så är fallet tar krisledningsgruppen beslutet att gå vidare enligt kontinuitetsplanen. Skador ska ha uppstått så att IT-stödet inte kan återupptas inom xx dagar. Tänkbara händelser är skadat kablage, elavbrott, brand, sabotage, vattenskador. 2.3 Förutsättningar för att kontinuitetsplanen ska fungera Lokaler som ska användas för personal finns förberedda Personal som skall sätta kontinuitetsplanen i drift förutsätts oskadade så att de kan sköta de uppgifter som framgår av kontinuitetsplanen. För krisledningsgruppen finns tillgång till mobiltelefoner. Brister får ej finnas som kan äventyra kontinuitetsplanen. Kända brister finns angivna i Bilaga A Reservmaterial (blanketter etc.) ska anskaffas enligt specifikation i Bilaga C Tester är utförda, se avsnitt 9. Krisledningsgruppen utövar det operativa ansvaret för att hålla övrig personal informerad, mobilisera och avveckla reservorganisationen samt att se till att enskilda arbetsuppgifter blir utförda. Varje person i krisledningsgruppen ska förvara ett exemplar av kontinuitetsplanen tillgänglig utanför den ordinarie arbetsplatsen. 2.4 Avgränsningar Åtgärder i samband med smärre störningar finns ej medtagna i kontinuitetsplanen. Kontinuitetsplanen beskriver ej heller nödåtgärder för att rädda liv i samband med t ex brand, översvämning etc. För nödåtgärder hänvisas till allmänna säkerhetsinstruktioner. 3. ORGANISATION Detta kapitel beskriver den organisation som träder i kraft så snart aktivering av kontinuitetsplanen aktualiseras. 3.1 Organisation En krisledningsgrupp skall inrättas med i förväg utsedda medlemmar, inklusive ersättare. Krisledningsgruppen består av nedan angivna befattningar. Larmlista med namngivna personer för befattningarna finns i bilaga B. 100219 Kontinuitetsplanering v1.0.doc 4 (9)

I Krisledningsgruppen ingår: <Befattning A> <Befattning B> <Befattning C>.. TIPS på lämpliga befattningar: Verksamhetsledning, Informationsansvarig, Informationssäkerhetsansvarig, Ansvarig för IT-verksamheten, Ansvarig för IT-drift, IT-säkerhetsansvarig, Säkerhetsansvarig, Projektledare för reservdrift. I det fall extern part helt eller delvis svarar för IT-driften skall representant från denna ingå i krisledningsgruppen. Krisledningsgruppen har det övergripande ansvaret och skall fatta beslut om bland annat: Aktivering/deaktivering av kontinuitetsplanen Förbereda reservrutiner Övergång till reservrutiner Återgång till normal drift 3.2 Arbetslokaler Särskilda lokaler kommer att anvisas för krisledningsgruppen samt för arbetsgruppen. <Skriv in de lokaler ni kommer att använda> 4. AKTIVERING AV KONTINUITETSPLANEN 4.1 Omedelbara åtgärder Det primära målet då kontinuitetsplanen aktiveras är att så snart det är möjligt få någon i krisledningsgruppen på plats som efter förnyad lägesbedömning antingen övertar ledningen eller avbryter åtgärderna. Handla enligt företagets allmänna säkerhetsinstruktion. Larma enligt "Kontakter " Krisledningsgrupp - Larmlista. Så snart en larmad person i krisledningsgruppen anlänt till platsen övertar denne ansvaret för fortsatta åtgärder. Man kan inte förutsätta att kontinuitetsplanen finns lätt tillgänglig vid olyckstillfället. Personalen informeras därför regelbundet om vilka regler som gäller. Först anländ person på larmlistan ansvarar för att de omedelbara åtgärderna påbörjas utan dröjsmål. Samtliga beslut och möten skall protokollföras. 4.2 Checklista Ta reda på om någon person skadats. Se i så fall till att denne får vård. Tag reda på de materiella skadorna och bedöm skadornas omfattning och inverkan på verksamheten. Försök att fastställa felorsak och sannolik längd på avbrottet. Gå igenom bilaga A med kända brister i kontinuitetsplanen, så att åtgärder tidigt kan initieras för att kunna hantera dessa brister. Följ de anvisningar som finns i utfärdade reservrutiner för verksamheten, se under "Innehåll". 100219 Kontinuitetsplanering v1.0.doc 5 (9)

5. RESERVRUTINER FÖR VERKSAMHETEN Ansvarig för <process/beroendeflöde X> är <ange befattning>. Finns även under "Ansvar". Valet och utformningen av reservrutiner är mycket starkt kopplat till den verksamhet som berörs. Resultatet av nedanstående arbetssteg ska utgöra fungerande reservrutiner. 5.1 Fastställande av verksamhetsnivå Respektive verksamhetsansvarig fastställer på vilken nivå som verksamheten skall upprätthållas vid störning eller avbrott i verksamheten. Prioritering av beroendeflödet inom huvudflödet: < ange delprocess/delflöde X > < ange delprocess/delflöde Y > < ange delprocess/delflöde Z > 5.2 Förberedelser för reservdrift Säkerställ viktig infrastruktur och logistik. <Ange vad och hur> TIPS Lokal: Var, finns kontrakt, hur den är utrustad, ledtid för tillgång etc. Utrustning: Vad, hur får vi den, var ska vi ställa den, etc. Säkerhetskopior, Elförsörjning, Klimatförsörjning, Kommunikationsanslutningar, Förbrukningsmaterial, papper, blanketter, övrigt. Manualer, Tillträdesskydd, Telefonförbindelse, Fax, Säkerhetsarkiv, Möjlighet att servera mat till personalen, Övernattningsmöjligheter. En loggbok skall föras över alla åtgärder som vidtas. Loggen skall innehålla tidpunkter för start och slut för varje aktivitet under arbetets gång. Händelser beskrivs kortfattat och brister noteras. Första loggningen är att Kontinuitetsplanen tas i bruk. Loggbok finns i Bilaga D. Övergång till reservrutiner medför att organisationens leverantörer direkt eller indirekt kommer att påverkas. Det är därför nödvändigt att informera dessa om att situationen inträffat samt vad detta innebär för deras del som t.ex. nya rutiner. Informationen bör endast innehålla det som är relevant för dessa parter. 5.3 Hur information ska kommuniceras med anställda <Beskriv utförligt hur information ska kommuniceras med anställda> 5.4 Hur information ska kommuniceras med kunder <Beskriv utförligt hur och vilken typ av information som ska kommuniceras med kunder> 5.5 Hur information ska kommuniceras med externa parter <Beskriv utförligt hur och vilken typ av information som ska kommuniceras med externa parter> TIPS Information skall ges till leverantörer av: utrustning applikationer kommunikationstjänster nättjänster transporter 100219 Kontinuitetsplanering v1.0.doc 6 (9)

5.5 Reservrutiner för <ange process/beroendeflöde> För de delprocesser/delflöden som har prioriterats ovan utformas här aktuella reservrutiner. Ange de eventuella negativa följder som uppstår för verksamheten då reservrutinen används. <Beskriv här utförligt vilka reservrutiner som skall användas och vad dessa innebär.> TIPS Utformningen skall bygga på inget eller partiellt IT-stöd. Tillgänglighet (t.ex. till annan maskinell utrustning, fax m.m.) samt kompetenskrav skall fastställas för rutinerna. Exempel på tekniker som kan användas vid utformning av reservrutiner är: stand alone PC, listor uttagna i förväg, manuella rutiner, fax-användning. 5.4 Avbrottsplan för IT-stöd <Här ska vi senare infoga/länka Avbrottsplan för IT-stöd. > 5.4 Avtal med externa parter <Lista vilka avtal med externa parter som berörs. Infoga deras Kontaktinformation > 6. ÅTERGÅNG TILL NORMAL VERKSAMHET 6.1 Förberedelser Om skadorna är av sådan omfattning att ordinarie lokaler totalförstörts är målsättningen att de nya eller återuppbyggda lokalerna ska kunna tas i bruk så snart det är möjligt. Inga förberedande åtgärder har vidtagits. Skadornas omfattning, tillgången till befintliga lokaler och nya lämpliga lokaler är några av de faktorer som kan påverka tiden för återuppbyggnaden, beroende på vilket alternativ som väljs. Krisledningsgruppen har det operativa ansvaret och vidtar nödvändiga åtgärder. <Lista tänkbara förberedelser för händelsen/händelserna> Krisledningsgruppen fattar beslut om att: Reservrutiner avslutas för återgång till normal verksamhet Avveckling av projektet för reservrutiner Avveckling av Krisledningsgruppen 6.2 Återgång Så snart störningen är avhjälpt ska planeringen för återgång till normalläge påbörjas. Det bör observeras att resursbehovet för återgång till normalläge ofta är avsevärt större än det normala resursbehovet. I stort kommer återgången att ske så som beskrivs i reservrutiner för respektive avdelning/enhet. 7. AVTAL OCH FÖRSÄKRINGAR Följande relevanta avtal och försäkringar finns för verksamhetens beroendeflöde: <ange Avtalspart, Avtalsnr, arkivplats, kontaktperson etc. > <ange Försäkringsbolag, Försäkringsnummer, arkivplats, kontaktperson etc. > 8. FÖRVALTNING OCH UNDERHÅLL AV KONTINUITETSPLANEN Kontinuitetsplanen skall ständigt uppdateras för att hållas aktuell. Förändringar i ordinarie verksamhet ska i den del de påverkar kontinuitetsplanen införas i denna. Så långt som möjligt ska all dokumentation i kontinuitetsplanen vara "synkroniserad" med ordinarie drift och systemdokumentation. Ansvaret för att kontinuitetsplanen hålls uppdaterad ligger på <ange befattning här>, finns även under fliken "Ansvar". 100219 Kontinuitetsplanering v1.0.doc 7 (9)

Det praktiska revideringsarbetet görs av <ange befattning här>. Uppdatering av kontinuitetsplanen skall ske ca en gång per år och vid större förändringar i verksamheten. 9. TESTER 9.1 Syfte När en dokumenterad kontinuitetsplan tagits fram ska denna regelbundet testas och övas för att fungera i en aktuell situation. Syftet med tester och övningar är att verifiera: Att alarmering fungerar tillfredsställande Att vald reservrutin fungerar Att aktuellt reservmaterial är åtkomligt Att berörd personal och deras ersättare kan klara av ålagda arbetsuppgifter Att planerade tidsramar håller Genomförandet av test skall protokollföras avseende problem, störningar och avvikelser från förväntat resultat. Utfallet av varje test sammanfattas i ett testprotokoll som utgör underlag för korrigering av rutiner, utrustningars kapacitet, etc. Utvärdering i samband med tester utförs av <ange befattning här>. <ange befattning här> ansvarar för att årliga tester, utbildningar och övningar genomförs. 9.2 Test av larmlistor Syfte: Under larm och ledningsövningar prövas att krisledningsgrupp och arbetsgrupp utan tidsförlust kan komma igång vid en incident. Mål: Minst en person anträffad inom 10 minuter, 50 % av antalet personer på listorna inom 60 minuter samt 90 % inom 2 timmar. Testmaterial: Kontinuitetsplan Tidsåtgång: 5 timmar. 9.3 Skrivbordstest Vid varje test kommer ett antal hot att utlösas. Dessa hot (inspel) planeras och dokumenteras i planeringsskedet av testerna. 1-2 scenarier skall bearbetas av varje scenariogrupp. Scenario väljs från gjorda riskanalyser. Scenariobeskrivningarna skall ha ett faktainnehåll på en detaljnivå, som medger verifiering av att instruktioner finns framtagna för att komma igång efter en störning. Varje testtillfälle utmynnar i slutsatser i den deltagande gruppen om: att instruktioner finns som är relevanta för det spelade scenariot vilka brister som skall medtas i en bristlista för senare åtgärder 9.4 Testprotokoll Vid tester upprättas ett protokoll som bör innehålla följande: Aktivitet Förväntat resultat/verkligt utfall Brister i kontinuitetsplanen 100219 Kontinuitetsplanering v1.0.doc 8 (9)

Revidering/uppdatering av kontinuitetsplanen 10 BILAGOR Bilaga A - Brister i kontinuitetsplanen Bilaga B - Larmlista Bilaga C - Reservmaterial Bilaga D - Loggbok Bilaga E - Aktiveringschecklista 100219 Kontinuitetsplanering v1.0.doc 9 (9)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss