Kontinuitetshantering. Vägledning för samhällsviktiga verksamheter

Relevanta dokument
Skydd av samhällsviktig verksamhet

Kontinuitetshantering i samhällsviktig verksamhet

Vägledning för identifiering av samhällsviktig verksamhet

Bilaga Från standard till komponent

Vägledning för identifiering av samhällsviktig verksamhet och prioritering. Bo Gellerbring Anna Rinne Enheten för skydd av samhällsviktig verksamhet

Strategi för förstärkningsresurser

Anna Rinne Enheten för skydd av samhällsviktig verksamhet. Skydd av samhällsviktig verksamhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Kontinuitetshantering ur ett samhällsperspektiv SIS Clas Herbring: MSB Enheten för skydd av samhällsviktig verksamhet

Frågeställningar inför workshop Nationell strategi för skydd av samhällsviktig verksamhet den 28 oktober 2010

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser

Nationell strategi för skydd av samhällsviktig verksamhet

Nationell risk- och förmågebedömning 2017

Plan för hantering av extraordinära händelser i fredstid samt vid höjd beredskap

Handbok för Kontinuitet

Förenklad rapportering av regionernas riskoch sårbarhetsanalys 2019

Risk- och sårbarhetsanalys för miljö- och stadsbyggnadsnämnden

Plan för att förebygga och hantera extraordinära händelser. Beslutad av kommunfullmäktige 25 september 2017, 102/17, Dnr KS2017.

Kartläggning av SAMHÄLLSVIKTIGA VERKSAMHETERS BEROENDE AV ELEKTRONISK KOMMUNIKATION - EN FÖRSTUDIE

Försvarsdepartementet

Vägledning för samhällsviktig verksamhet. Att identifiera samhällsviktig verksamhet och kritiska beroenden samt bedöma acceptabel avbrottstid

Handlingsplan för Samhällsstörning

Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser;

Plan för ökad civilförsvarsberedskap KS

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Anvisningar för användning av statlig ersättning för landstingens arbete med krisberedskap och civilt försvar

Systematiskt arbete med skydd av samhällsviktig verksamhet

Myndigheten för samhällsskydd och beredskap 1 (10) Anvisningar om hur statlig ersättning för kommunernas krisberedskap får användas

FORSA en mikrokurs. MSB:s RSA-konferens, WTC,

Myndigheten för samhällsskydd och beredskaps författningssamling

Krisledningsplan. för Hudiksvalls kommun

Krisledningsplan. för Hudiksvalls kommun

Strategi för hantering av samhällsstörningar

Öckerö kommun. Risk- och sårbarhetsanalys Målet med krisberedskap

Risk- och sårbarhetsanalys fritidsnämnden

Kommunens geografiska områdesansvar. krishanteringsrådets samordnande roll. kbm rekommenderar 2007:1

Riktlinje Robusthet- kontinuitet Landstinget Sörmland beslutad LS 12/13

IT-säkerhet och sårbarhet Hur ser kommunernas krisplanering ut? ANNA THOMASSON

Kontinuitetshantering IT-avbrott - hur beroende är ditt företag?

Så är vi redo om krisen kommer

Risk- och sårbarhetsanalys för miljö- och byggnadsnämnden 2013

Styrdokument för krisberedskap i Markaryds kommun

RUTIN FÖR RISKANALYS

Myndigheten för samhällsskydd och beredskaps författningssamling

Styrdokument för krisberedskap. Ragunda kommun

S Styrdokument för krisberedskap i Hässleholms kommun Program och handlingsplaner

Uppdrag till Myndigheten för samhällsskydd och beredskap att föreslå resultatmål för samhällets krisberedskap (Fö2010/697/SSK)

Nationell strategi för skydd av samhällsviktig verksamhet

Krisledningsplan. Österåkers Kommun. Beslutad av Kommunfullmäktige

Styrdokument för krisberedskap i Timrå kommun. Inledning. FÖRFATTNINGSSAMLING Nr KS 11 1 (9) Fastställd av kommunstyrelsen , 240

Förmåga att motstå svåra påfrestningar genom alternativa lösningar

Handlingsplan för extraordinära händelser i fredstid och höjd beredskap för Sollentuna kommun för mandatperioden

Plan. för hantering av samhällsstörningar och extraordinära händelser Beslutat av: Kommunfullmäktige. Beslutandedatum:

Regional utbildnings- och övningsstrategi

Plan för extraordinära händelser Mjölby kommun Dnr. 2012:186

Styrdokument för kommunens krisberedskap

Myndigheten för samhällsskydd och beredskaps författningssamling

Plan för kommunal ledning och kommunikation vid kriser och extraordinära händelser

PROGRAM FÖR KRISBEREDSKAP

Fråga: Var kan man få generell information om kommunens olika sorters krisberedskap? Vilka personer har ansvar för detta?

Öckerö kommun PROGRAM FÖR KRISBEREDSKAP

Sammanställning - enkätundersökning av livsmedelssektorns krisberedskapsförmåga

Lagstadgad plan. Plan för hantering av extraordinära händelser Diarienummer KS-345/2011. Beslutad av kommunfullmäktige den 20 juni 2011

Kontinuitetsplan IT. Bilaga till Informationssäkerhetspolicy

Samhällsviktig verksamhet i Styrel. Mötesplats SO 16 november 2010 Mats Ekeblom

Risk- och sårbarhetsanalys

Ett fungerande samhälle i en föränderlig värld. Nationell strategi för skydd av samhällsviktig verksamhet

Stora pågående arbeten

MVA-projektets syfte. Målsättning med analyser? Sårbarhet. Scenariobaserad metod. Fokus. Kommunal sårbarhetsanalys MVA-metoden (SÅREV)

Miljö- och byggnadsnämndens risk- och sårbarhetsanalys 2014

FÖRFATTNINGSSAMLING Flik Säkerhetspolicy för Vingåkers kommun

Ledningsplan för samhällsstörning och extraordinär händelse Mandatperioden

Styrande dokument. Styrdokument för krishantering Oskarshamns kommun. Fastställd av Kommunstyrelsen , 97

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Styrdokument för krisberedskap

Internkontrollplan 2016 Nämnden för personer med funktionsnedsättning

PLAN FÖR LEDNING OCH SAMORDNING

Stöd för arbetet med regleringsbrevsuppdrag Informationssäkerhet i RSA

Rapport Hantering av krisberedskap. Timrå kommun

Beroendeanalys för ökad robusthet i samhällsviktiga transporter

Kungsörs kommuns författningssamling Nr D.07

Skydd av samhällsviktig verksamhet

Tranås kommun. Uppföljning av granskning av organisation och planering för extraordinära händelser och höjd beredskap.

MSB för ett säkrare samhälle i en föränderlig värld

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Plan för hantering av extraordinära händelser och höjd beredskap

RSA vart har det tagit oss hittills och hur kommer vi vidare?

0 Österåker. Tjänsteutlåtande. Till Kommunstyrelsen. Krisledningsplan Österåkers Kommun. Sammanfattning. Beslutsförslag

Föreskrifter om risk- och sårbarhetsanalyser för kommun och landsting Remiss från Myndigheten för samhällsskydd och beredskap

Myndigheten för samhällsskydd och beredskaps författningssamling

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Konsekvensutredning för föreskrift om kommuners och Bandstings risk- och sårbarhetsanalyser

Årlig uppföljning av LEH för Piteå kommun, 2016

Risk- och sårbarhetsanalyser Förmågebedömning

Styrdokument för krisberedskap i Överkalix kommun

Plan för samhällsstörning - när det som inte ska hända ändå inträffar

Styrdokument krisberedskap Timrå kommun

Plan för kommunal ledning och information vid kriser och extraordinära händelser

Operativt beslutsstöd Djurönäset, 14 december 2016

Krisberedskapsseminarium i Stockholm el- och telekommunikationsfunktioner

Transkript:

Kontinuitetshantering Vägledning för samhällsviktiga verksamheter

Titel: Kontinuitetshantering Vägledning för samhällsviktiga verksamheter Utgivare: Länsstyrelsen i Örebro län Publikationsnummer: 2017:14 Omslagsbild: Mostphotos Kontaktperson: Anton Landenmark och Maria Nordström på Länsstyrelsen i Örebro län Medverkande aktörer: Fredrik Pettersson Basalt AB, tidigare Actea Consulting AB Degerfors kommun: Socialförvaltningen och Serviceförvaltningen Örebro kommun: Vattenverket, Avloppsverket, Ledningsnät och Kommunledningskontoret Tryck: Danagårdslitho, 2017, Ödeshög

Kontinuitetshantering Vägledning för samhällsviktiga verksamheter

Definitioner Konsekvensanalys En analys av verksamheten och den effekt som ett avbrott kan få på verksamheten. Kontinuitetshantering Att skapa systematisk motståndskraft, robusthet och säkerställa organisationens leveransförmåga för att ordinarie verksamhet ska kunna bedrivas på en acceptabel nivå. Oavsett vilken typ av störning som påverkar organisationen. Kontinuitetsplan Sammanfattar de reservrutiner och resurser som finns för att upprätthålla verksamhetens nyckelfunktioner och tjänster i händelse av störningar eller avbrott. Kontinuitetsplanen redogör även hur verksamheten ska återställas till normal drift när reservrutinerna inte längre behövs. Kontinuitetsstrategi Inventering av vilka åtgärder som finns på plats och vilka åtgärder som behöver genomföras framöver för att säkerställa leveransförmågan i verksamhetens nyckelfunktioner och tjänster vid ett avbrott. Krisberedskap Förmågan att genom utbildning, övning och andra åtgärder samt genom den organisation och de strukturer som skapas före, under och efter en samhällsstörning förebygga, motstå och hantera krissituationer. Risk- och sårbarhetsanalys En samlad analys och värdering av vilka samhällsstörningar som kan inträffa. Och hur dessa händelser kan påverka den egna verksamheten. Samhällsstörningar Samlingsnamn för händelser och tillstånd som hotar eller skadar det som ska skyddas i samhället. En samhällsstörning kan vara exempelvis en olycka, kris eller ett krig. Samhällsviktig verksamhet En verksamhet som uppfyller minst ett av följande villkor: Ett bortfall av eller en svår störning i verksamheten kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig samhällsstörning inträffar i samhället. Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad samhällsstörning i samhället ska kunna hanteras så att skadorna blir så små som möjligt. Tolerabel avbrottstid Den tid som nyckelfunktioner och tjänster inom organisationen maximalt kan vara ur drift utan att verksamhetens funktionalitet hotas över tid.

Förord Den ökande digitaliseringen och globaliseringen medför en komplex samhällsstruktur och nya former av risker och sårbarheter. Exempelvis styrs samhällskritisk infrastruktur, så som elnät, vattendistributionsnät och järnvägsnät i allt större utsträckning av IT-system. Dessa IT-system kan utsättas för attacker som i sin tur kan leda till samhällsstörningar med stor samhällspåverkan som följd. Detta kan leda till att olika aktörers verksamheter påverkas av händelser på platser långt ifrån det egna geografiska läget. Det blir därför allt viktigare att studera, identifiera och motverka alla sorters hot och ta fram lösningar som ökar verksamhetens förmåga att upprätthålla verksamheten även under en samhällsstörning. Det går inte att med säkerhet veta vad som blir en samhällsstörning, eller när och var den kommer att inträffa. Men när samhällsstörningen inträffar gäller det att samhällets olika aktörer har säkerställt sin leveransförmåga på bästa möjliga sätt. Arbetet inför och under en samhällsstörning handlar om att identifiera möjliga risker och att förbereda samhället så väl som möjligt. Länsstyrelsens roll är att samordna länets aktörer före, under och efter en samhällsstörning. Under 2015 och 2016 arbetade Länsstyrelsen med ett pilotprojekt rörande kontinuitetshantering som är en del av förberedelsearbetet inför en samhällsstörning. Projektet genomfördes som en del i att nå målet att alla samhällsviktiga verksamheter ska arbeta systematiskt med sitt säkerhetsarbete senast år 2020. I systematiskt säkerhetsarbete ingår risk- och kontinuitetshantering samt hantering av inträffade händelser (Handlingsplan för skydd av samhällsviktig verksamhet, Myndigheten för samhällsskydd och beredskap, december 2013). Syftet med den här vägledningen är att samhällsviktiga verksamheter i Örebro län ska få en tydligare bild av hur risk- och sårbarhetsanalyser och kontinuitetshantering hänger ihop. Och hur de tillsammans bidrar till att öka verksamheternas förmåga att hantera samhällsstörningar. Störning/avbrott 100 % Verksamhetens driftnivå Minska avbrottstiden Återställningskurva utan kontinuitetsåtgärd Återställningskurva med kontinuitetsåtgärd Minska konsekvenserna av händelsen TID Figur 1. Beskriver syftet och fördelen med kontinuitetshantering (Swedish Standards Institute, SS 22304:2014).

Innehåll Risk- och sårbarhetsanalys och kontinuitetshantering...9 Samhällsviktig verksamhet...10 Kontinuitetshantering...11 Förhållandet mellan risk- och sårbarhetsanalys och kontinuitetshantering...12 Kontinuitetshantering i praktiken... 13 Steg 1 Insamling av information...14 Steg 2 Framtagande av scenario och resurskort...15 Steg 3 Workshop 1: Kontinuitetsspel...16 Steg 4 Workshop 2: Åtgärdsplan...19 Steg 5 - Utformande av kontinuitetsplan...23 Bilagor... 24 1: Frågor till deltagare i förberedande intervju inför Workshop 1 och 2...24 2: Exempel på scenario...25 Källförteckning... 27

8

Risk- och sårbarhetsanalys och kontinuitetshantering Det är viktigt att verksamheter som är nödvändiga för samhällets funktionalitet och befolkningens trygghet är robusta, fungerar och behåller sitt ansvar även vid allvarliga samhällsstörningar. Samhällsviktiga verksamheter kan bedrivas av såväl statliga myndigheter, kommuner, landsting och regioner som privata företag. Organisationernas förebyggande och förberedande arbete kan bestå av flera olika delar. För att förebygga och begränsa inverkan från olika samhällsstörningar kan en risk- och sårbarhetsanalys genomföras. Där identifieras vilka risker som kan påverka möjligheterna till att upprätthålla ordinarie verksamhet och vilken förmåga organisationen har att hantera dem. Genom bättre vetskap om vad som kan påverka verksamheten skapas förutsättningar för att kunna identifiera behov och vidta åtgärder i tid. Den senaste versionen av Länsstyrelsens risk-och sårbarhetsanalys togs fram i oktober 2016, Länsstyrelsen i Örebro län: Risk- och sårbarhetsanalys 2016. Rapporten finns också i en kortversion, Risker i Örebro län och konsekvenser för samhället. Risk- och sårbarhetsanalys 9

Samhällsviktig verksamhet Vårt samhälle måste fungera även vid en allvarlig samhällsstörning. När det gäller krisberedskap är vissa samhällsfunktioner viktigare än andra. Det är dels de verksamheter som måste fungera för att vi inte ska hamna i allvarliga samhällsstörningar, dels de verksamheter som ska hantera samhällsstörningar när de väl inträffar. Vad som är samhällsviktigt ur ett krishanteringsperspektiv kan variera beroende på vilka händelser vi ställs inför och i takt med att händelsen utvecklas. Exempel: Vattenverk X upprätthåller den viktiga samhällsfunktionen dricksvattenförsörjning som är en del av samhällssektorn kommunalteknisk försörjning. Samhällssektor Samhällsviktig verksamhet som upprätthåller Viktig samhällsfunktion som är en del av Figur 2. Exempel hämtat från Myndigheten för samhällsskydd och beredskap (Publ.nr: MSB620 januari 2014). Myndigheten för samhällsskydd och beredskap, MSB, har tagit fram följande sektorer där det finns samhällsviktig verksamhet: Energiförsörjning (el och värme) Finansiella tjänster (banker och försäkringar) Handel och industri (detaljhandel och farliga avfall) Hälso- och sjukvård samt omsorg (sjukhus och smittskydd) Information och kommunikation (tv och radio) Kommunalteknisk försörjning (dricksvatten och snöröjning) Livsmedel (tillverkning och tillgång) Offentlig förvaltning (krisledning) Skydd och säkerhet (räddningstjänst och polis) Socialförsäkringar och trygghetssystem (pension och a-kassa) Transporter (väg- och järnvägstransporter). Exempel på samhällsviktiga verksamheter i Örebro län finns i Länsstyrelsen i Örebro län: Risk- och sårbarhetsanalys 2016 (Länsstyrelsen, publ.nr 2016:33). 10

Kontinuitetshantering För att utveckla verksamheternas möjlighet och förmåga att kunna vidta och prioritera de åtgärder som lyfts upp i risk- och sårbarhetsanalysen kan en kontinuitetshantering genomföras. Kontinuitetshantering handlar om att skapa en systematisk motståndskraft och robusthet samt att säkerställa leveransförmågan för att ordinarie verksamhet ska kunna bedrivas på en acceptabel nivå. Oavsett vilken typ av störning det är som påverkar organisationen. Störningarna kan vara både interna och externa. I ett första skede formar organisationen grundläggande principer, åtgärder och rutiner för att säkerställa kontinuitet, genom att identifiera de delar av organisationen som alltid måste fungera. Det kan till exempel vara information, lager, lokaler och personal. För att kunna upprätthålla kritiskt viktiga processer och leverera tjänster och produkter som identifierats som viktiga för organisationen behöver den utveckla sin förmåga att analysera och minimera konsekvenserna vid avbrott och störningar. Potentiella hot analyseras därför utifrån deras konsekvenser på verksamheten. Efter detta genomförs en analys över vilka oönskade gap som måste slutas. GAP-analysen fokuserar på att upptäcka gap mellan tolerabel avbrottstid och befintlig avbrottstid. För de oönskade gapen mellan befintlig förmåga och oönskad förmåga utvecklas strategier och lösningar som omsätts i en åtgärdsplan för att stärka verksamhetens kontinuitetsförmåga. En av åtgärderna kan vara att utveckla en kontinuitetsplan. Kontinuitetsplanen beskriver hur organisationen ska göra för att behålla de faktorer som man inte kan klara sig utan, för att snabbare kunna återgå till ordinarie verksamhet. 11

Förhållandet mellan risk- och sårbarhetsanalys och kontinuitetshantering Risk- och sårbarhetsanalyser och kontinuitetshantering har flera likheter vad gäller ändamål och metod. Båda används för att kartlägga risker som kan påverka kritiska affärs- och verksamhetsprocesser i syfte att utarbeta ett bättre skydd av dem. Metoderna identifierar vilka processer som är viktiga, vad som hotar dem och hur de skulle kunna skyddas. Ett effektivt och ändamålsenligt säkerhetsarbete förutsätter att organisationen har en uppdaterad bild av nuläget och metoder för att genomföra åtgärder. Tillsammans skapar de två metoderna en möjlighet att göra verksamheten mer robust. Arbetet med risk- och sårbarhetsanalyser kan delas in i följande steg: 1. Avgör organisationens roll och ansvarsområde 2. Identifiera risker 3. Värdera risker med avseende på sannolikhet och konsekvens 4. Bedöm förmågan att hantera inträffade händelser 5. Redovisa och använd resultatet. Prioritera och planera åtgärder. Arbetet med kontinuitetshantering kan delas in i följande steg: 1. Verksamhetsanalyser och riskvärderingar 2. Genomförande av en GAP-analys för att identifiera vilka oönskade gap som måste slutas genom strategier 3. Kontinuitetsstrategier, grundläggande principer för att säkerställa kontinuitet 4. Kontinuitetslösningar och planer, åtgärder för och rutiner för att säkerställa kontinuitet 5. Utbildningar, övningar och revision 6. Kultur och uppföljning, förståelse för vikten av kontinuitetshantering. Skillnaden mellan de olika processerna illustreras av nedan figur. De fyra första stegen i arbetet med risk- och sårbarhetsanalyser motsvaras av steg 1 i kontinuitetshanteringen. Steg 5 i risk- och sårbarhetsanalysen motsvaras av steg 2-6 i kontinuitetshanteringsarbete (Risk- och sårbarhetsanalys och kontinuitetsplanering, likheter och skillnader, Krisberedskapsmyndigheten, november 2007). Risk- och sårbarhetsanalys Steg 1 Steg 2 Steg 3 Steg 4 Steg 5 Kontinuitetshantering Steg 1 Steg 2 Steg 3 Steg 4 Steg 5 Steg 6 Figur 3. Illustration av processerna för risk- och sårbarhetsanalyser kontra kontinuitetshantering. 12

Kontinuitetshantering i praktiken För att genomföra kontinuitetshantering inom en organisation kan man följa fem steg, innehållande två workshoppar. Inför workshopparna samlas information in om organisationens struktur och processer. Därefter tas scenarion och spelkort fram. Efter att de två workshopparna har genomförts utformas en åtgärdsplan för att stärka kontinuitetsförmågan i verksamheten. Planen beskriver vilka rutiner och resurser som finns till hands eller som behövs för att kunna upprätthålla verksamhetens nyckelfunktioner och tjänster. De fem stegen beräknas ta fyra till sex månader. För att genomföra kontinuitetshantering måste organisationen fundera över följande: Vilka är organisationens viktigaste produkter och tjänster? Vilka är de kritiska aktiviteterna, resurserna och beroendena som krävs för att kunna leverera dem? Vilka är riskerna för dessa kritiska aktiviteter, resurser och beroenden? Hur kan organisationen behålla de kritiska aktiviteterna i händelse av en incident, exempelvis förlust av leveranskedjan eller verktyg? För ett effektivt genomförande bör deltagarna ha god insikt i den funktion som ska upprätthållas. Därför kan det finnas ett behov av att involvera både intern och extern kompetens för att viktiga helhetsaspekter inte ska falla bort. För att kunna prioritera åtgärder och lyfta frågor till högre ledningsnivå bör personer på chefsnivå inkluderas. För att öka chanserna till en lyckad process kan det vara bra med ett uppstartsmöte för att sprida information om vad som ska göras, varför och vad som krävs av deltagarna. Inför kontinuitetsspelet måste konsekvenskriterierna vara bestämda. Använd gärna kriterierna på sidan 17. 13

Steg 1 Insamling av information Insamling av information Framtagande av scenarier och spelkort Workshop 1 Kontinuitetsspel Workshop 2 Åtgärdsplan Utformande av kontinuitetsplan För ett effektivt genomförande behöver den som ska leda processen ha god kunskap om: verksamhetens nuvarande organisation kärnfrågor processkartläggningar risk- och sårbarhetsanalyser övriga styrdokument ansvariga personer och funktioner interna och externa resurser och beroenden. Om spelledaren är osäker på delar av verksamheten kan hen gå igenom verksamhetsbeskrivningar, processkartläggningar eller genomföra intervjuer med nyckelpersoner. Exempel på frågor till intervjuerna finns i bilaga 1. 14

Steg 2 Framtagande av scenario och resurskort Insamling av information Framtagande av scenarier och spelkort Workshop 1 Kontinuitetsspel Workshop 2 Åtgärdsplan Utformande av kontinuitetsplan Utifrån den information som hämtats in i steg 1 tas verksamhetsanpassade scenarion fram till den första workshoppen. Scenarierna kan utarbetas från organisationens riskoch sårbarhetsanalys och beskrivas utifrån de allvarligaste konsekvenserna. Scenarierna ska helst omfatta flera delar av organisationens verksamhet. Varje enskilt scenario får en egen spelplan. Exempel på scenarion finns i bilaga 2. Den insamlade informationen används även till att ta fram spelkort. Korten konstrueras enligt fyra kategorier: Verksamhetskort (orange) beskriver vilka uppgifter/funktioner som verksamheten består av. Exempel från projektet är gruppboendet Letälvsgården, i Degerfors och vattenverket, i Örebro. Ansvarskort (blå) beskriver vem som ansvarar för utpekade uppgifter/funktioner i verksamheten. Exempel från projektet är enhetschefen på Letälvsgården, i Degerfors och enhetschefen på vattenverket, i Örebro. Beroendekort (grön) visar på både interna och externa beroenden som måste säkerställas för att utpekade uppgifter kan lösas. Resurskort (händer) beskriver olika typer av resurser som kan vara nödvändiga för organisationen att lösa utpekade uppgifter. Verksamhetskort Ansvarskort Beroendekort Resurskort 15

Steg 3 Workshop 1: Kontinuitetsspel Insamling av information Framtagande av scenarier och spelkort Workshop 1 Kontinuitetsspel Workshop 2 Åtgärdsplan Utformande av kontinuitetsplan Kontinuitetsspelet ligger till grund för åtgärdsplanen, som tas fram i Workshop 2. Syftet är att stärka kontinuitetsförmågan i organisationen. Spelplan finns på sista sidan. Workshoppen leds av spelledaren som har till uppgift att leda diskussionen i gruppen utifrån de valda scenarierna. I detta steg ligger fokus på att synliggöra olika brister. Detta bör påpekas för deltagarna för att undvika diskussioner om hur de ska lösas. Syftet med spelet är att svara på följande frågor: Vilka uppgifter måste fungera? Vem är ansvarig för uppgifterna? Vilka resurser och beroenden måste säkerställas för att trygga uppgifterna? Vilka blir konsekvenserna om uppgifterna inte kan lösas? Spelkorten spelas ut i ordningen ansvarskort, verksamhetskort, resurskort och beroendekort. Efter workshop 1 görs en sammanställning av vilka uppgifter som måste fungera och vem som ansvarar för dem, vilka interna och externa resurser som måste säkerställas och vad konsekvenserna blir om eventuella brister inte åtgärdas. Resultatet analyseras och resulterar i vilka oönskade gap som måste slutas för att stärka kontinuitetsförmågan i verksamheten. Dessa gap bildar underlag till diskussioner kring åtgärdsområden och tolerabla avbrottstider för verksamheten. Detta ligger sedan till grund vid framtagandet av en åtgärdsplan. 16

Konsekvensanalys av avbrott En konsekvensanalys kan genomföras för att undersöka vilka konsekvenser ett avbrott kan få på identifierade och dokumenterade nyckelfunktioner och tjänster samt vilka aktiviteter och resurser som behövs för att upprätthålla leveransförmågan. En konsekvensanalys genomförs i så fall för varje enskild nyckelfunktion och tjänst. I följande exempel används de konsekvenskriterier som togs fram i länet i samband med projektet för risk- och sårbarhetsanalyser Örebro läns gemensamma stöd för redovisning av risk- och sårbarhetsanalyser (Länsstyrelsen, publ.nr 2015:23). Konsekvenskriterierna kan anpassas efter de kriterier som organisationen använder i sin risk- och sårbarhetsanalys. Exemplet nedan illustrerar hur man kan definiera och bedöma konsekvenserna av olika avbrott. Konsekvens samhällets funktionalitet Viktig samhällsfunktion är ett samlingsbegrepp för de verksamheter som upprätthåller en viss funktionalitet. Varje sådan funktion ingår i en eller flera samhällssektorer och upprätthålls av en eller flera samhälsviktiga verksamheter Konsekvens liv och hälsa Katastrofala Mycket allvarliga Allvarliga Betydande Begränsade 25 29 döda och/eller 25 99 drabbade 10 döda och/eller 25 drabbade 5 döda och/eller 15 drabbade 1 döda och/eller 10 drabbade 0 döda och/eller 5 drabbade Konsekvens ekonomi och miljö Katastrofala Mycket allvarliga Allvarliga Betydande Begränsade >50 000 000 SEK 10 50 miljoner SEK 1 10 miljoner SEK 100 000 1 000 000 SEK <100 000 SEK Konsekvens politiska, sociala och grundläggande värden Katastrofala Mycket allvarliga Allvarliga Betydande Begränsade anarki, statskupp, kommunkupp, terroraktioner. civil olydnad, upplopp, grov vandalism, sabotage, organiserad brottslighet. gängkriminalitet, hatbrott, aktioner och konflikter med personskador, konkreta hot mot demokratin. kränkande skriverier i media, störande av politiska sammanträden. förtal, missnöjesyttringar i medier. 17

Nyckelfunktioner och tjänster I tabellen beskrivs vilka konsekvenser avbrottet har på nyckelfunktionen eller tjänstens leveransförmåga för att organisationen ska kunna nå verksamhetsmålen och vilka konsekvenser avbrottet har för organisationens intressenter. Exempel från Degerfors kommun: Nyckelfunktion/tjänst Letälvsgårdens matförsörjning Tid Konsekvensbeskrivning Exempel på konsekvens Första 24 timmarna Allvarlig konsekvens Det blir svårt att upprätthålla matförsörjning då köket finns på Letälvsgården 24 48 timmar Upp till en vecka Upp till två veckor Återställningstid Bedöm hur länge organisationen kan vara utan dess nyckelfunktioner och tjänster innan verksamheten hotas. Vid vilken tidpunkt måste nyckelfunktionen eller tjänsten få tillbaka sin förmåga? Denna tidpunkt kallas för återställningstid. Skriv in de resurser som behövs för att få tillbaka nyckelfunktionen eller tjänstens leveransförmåga. Exempel från Degerfors kommun: Återställningstid: 8 timmar Tid Personal Lokaler Teknik Information Första 24 timmarna Alternativ lösning för matförsörjningen kräver extra personal Kök måste säkerställas Degerforsbyggen måste säkerställa lokalen Kommunikation sker via verksamhetschef Leverantör/ Partner Karlskoga kommun ansvarar för kökets transportresurser 24 48 timmar Upp till en vecka Upp till två veckor 18

Steg 4 Workshop 2: Åtgärdsplan Insamling av information Framtagande av scenarier och spelkort Workshop 1 Kontinuitetsspel Workshop 2 Åtgärdsplan Utformande av kontinuitetsplan Det fjärde steget syftar till att utarbeta en åtgärdsplan för att stärka verksamhetens kontinuitetsförmåga, det vill säga att sluta oönskade gap mellan tolerabel avbrottstid och befintlig avbrottstid. Workshoppen leds med fördel av samma person som höll i workshop 1. Spelledarens uppgift är att leda diskussionen i gruppen. Arbetet baseras på de åtgärdsområden som identifierades under workshop 1. På grund av att den andra workshoppen bygger på den första så bör de genomföras med max en månads mellanrum. Under workshop 2 ska en eller flera aktiviteter tas fram för varje åtgärdsområde. Aktiviteterna ska sedan rangordnas och prioriteras. För att hålla isär de olika åtgärdsområdena kan deltagarna diskutera utifrån följande frågor: Vilka aktiviteter behöver vidtas för att tydliggöra ansvar och roller? Exempel på möjliga frågeställningar är: Kan befintliga möten användas för att ägna några minuter till diskussion kring olika personer och aktörers ansvar ochroller? Kan organisationen genomföra övningar för att stärka kunskapen om organisationens interna och externa fördelning av ansvar och roller? Vilka aktiviteter behöver vidtas för att minska behovet av resurser? Exempel på möjliga frågeställningar är: Kan leveranser av varor och tjänster säkerställas på annat sätt? Kan alternativa sätt att bedriva verksamheten utvecklas? Vilka aktiviteter behöver vidtas för att minska organisationens beroenden? Exempel på möjliga frågeställningar är: Hur prioriteras organisationen av olika leverantörer om en brist i en vara eller tjänst uppstår? Hur får vi tillgång till en begränsad vara? Hur kan ett långvarigt bortfall av IT och telefoni hanteras? 19

Värdering av risker För att öka förmågan att upprätthålla nyckelfunktioner och tjänster kan sannolikheten och konsekvensen av olika störningar värderas. Det kan exempelvis vara förlust av: personal system (IT eller telekom) förnödenheter, exempelvis vatten, gas eller el nyckelleverantörer/partners transportkapacitet lokaler eller inget tillträde till lokaler Ibland kan det vara svårt att fastställa vilken eller vilka nyckelfunktioner och tjänster som behöver prioriteras för riskreducerande åtgärder. En analys kan då göras för att ta reda på vilken den största risken är för verksamheten. För att underlätta analysarbetet kan de olika nyckelfunktionerna och tjänsterna placeras in i riskmatrisen. Den nyckelfunktion eller tjänst som får högst riskvärde är den som ska prioriteras för riskreducerande åtgärder. Riskvärde är det resultat som fås när sannolikheten multipliceras med konsekvensen. Mycket hög sannolikhet 1 gång/år Hög sannolikhet 1 gång/ 10 år Medelhög sannolikhet 1 gång/ 50 år Låg sannolikhet 1 gång/ 100 år Mycket låg sannolikhet 1 gång/ 1000 år Figur 4. Riskmatris Begränsande Betydande Allvarliga Mycket Katastrofala allvarliga 20

Kontinuitetstrategi Denna del handlar om att inventera vilka nuvarande åtgärder som finns på plats och vilka åtgärder som behöver genomföras framöver för att säkerställa leveransförmågan i nyckelfunktioner och tjänster vid ett avbrott. Strategierna ska endast fokusera på de gap mellan tolerabel avbrottstid och befintlig avbrottstid som är oacceptabel för verksamheten. Åtgärderna kan genomföras för att: Minska konsekvensen eller öka möjligheterna för ett effektivt återställande till ordinarie verksamhet. Åtgärderna kan inkludera återställningsrutiner för IT-system eller övervakning av risker så som översvämning Överväga om risken kan accepteras på grund av att kostnaden för eventuella riskreducerande åtgärder överstiger nyttan med åtgärden Överväga om risken kan hanteras via försäkringar eller genom avtal. Nedan återfinns åtgärder som kan användas för att skydda organisationens stödjande resurser och kritiska aktiviteter. Personal Omfördelning av personal som utför mindre brådskande processer, med personal som utför en högre prioriterad verksamhet. Tänk på att förskjutning av mindre brådskande arbete medför merarbete i längden Avtal med bemanningsföretag eller frivilligorganisationer Minska nyckelpersonsberoende genom kunskapsöverföring Utbildning Dokumenterade rutiner. Lokaler Förflytta personal till andra delar inom organisationen Se över möjligheterna till arbete hemifrån eller andra platser. Teknik Samma teknik på olika platser som inte kommer att påverkas av samma störning i verksamheten Använd äldre utrustning som backup och som reservdelar Möjlighet till produktion på alternativt sätt. 21

Information Se till data säkerhetskopieras och att den finns lagrad eller utskriven på annan plats Viktig dokumentation förvaras säkert, exempelvis i brandsäkra säkerhetsskåp Kopior av nödvändig dokumentation förvaras på annan plats. Leverantörer och partners Flera leverantörer av material och förnödenheter Identifiering av alternativa leverantörer Säkerställ att leverantörer/partners har en godkänd kontinuitetsförmåga. Intressenter Rutiner införda för att förse intressenter med information. 22

Steg 5 - Utformande av kontinuitetsplan Insamling av information Framtagande av scenarier och spelkort Workshop 1 Kontinuitetsspel Workshop 2 Åtgärdsplan Utformande av kontinuitetsplan De föregående fyra stegen leder fram till steg fem och utformningen av en kontinuitetsplan, anpassad till den egna organisationen. Kontinuitetsplanens syfte är att systematisera och sammanfatta de rutiner och resurser som behövs för att upprätthålla verksamhetens nyckelfunktioner vid en störning och för att kunna återställa verksamheten. Den ska också beskriva roller, uppgifter och tjänster som är viktiga för verksamheten. Utöver detta bör planen innehålla kontaktinformation till nyckelfunktioner, tjänster, leverantörer och kunder. Kontinuitetsplanen ska kunna förenas till en helhet med övriga styrdokument, exempelvis risk- och sårbarhetsanalys och krisledningsplan. Struktur och innehåll Kontinuitetsplanen bör innehålla följande rubriker: Syfte och mål Beskriv syftet och målet med planen och hur den förhåller sig till andra styrdokument. Dokumentation Dokumentera vem som ansvarar för att regelbundet granska, ändra och uppdatera planen. Roller och ansvar Beskriv roller och ansvar inom verksamheten och vem som ansvarar för arbetet med kontinuitetshantering i verksamheten. Kontaktinformation Dokumentera kontaktinformation till personal, funktioner, leverantörer och kunder. Hantering av händelser Beskriv vilka åtgärder som ska genomföras för att kunna upprätthålla organisationens verksamhet, och hantera inträffade händelser effektivt. Kontinuitetstrategi Beskriv vilka aktiviteter som måste återställas först och inom vilken tid det ska vara genomfört. Förtydliga vilka resurser och metoder som krävs för att genomföra dessa. 23

Bilagor 1: Frågor till deltagare i förberedande intervju inför Workshop 1 och 2 Intervjuerna är bland annat till för att klargöra vilka uppgifter som upprätthålls av verksamheten och vilken funktion/person som är ansvarig för att den upprätthålls. Intervjuerna kan även ge svar på tidigare händelser som påverkat verksamheten, vilken riskbild som finns mot organisationens verksamhet, vilka interna och externa resurser verksamheten är beroende av och vilka konsekvenser ett avbrott kan få på verksamheten och samhället i stort. Namn Avdelning Enhet Funktion Datum. Övergripande kontinuitetshantering Känner du till begreppet kontinuitetsplanering? Ja eller nej. Känner du till om din verksamhet genomgått en kontinuitetsplanering de senaste fem åren? Om ja, vet du var kontinuitetsplanen finns? Om ja, vilka uppgifter bedömdes då som viktiga för att upprätthålla verksamheten vid en samhällsstörning? Finns det en kontinuitetsplan för din verksamhet idag? Om ja, stämmer uppgifter från föregående plan fortfarande? Om de inte stämmer, i vilket avseende har de ändrats? Verksamheten Vilka är dina tre viktigaste huvuduppgifter i din verksamhet eller på din avdelning? Vilka resurser behövs för att du ska kunna fullgöra dina viktigaste uppgifter i en krissituation? Exempel på resurser kan vara tillgång till el, tillgång till lokaler, nyckelpersoner eller specialkompetens? Vilka är viktigast? Rangordna dem exempelvis 1-4 där 1 är viktigast och 4 minst viktig. Vilka konsekvenser skulle avsaknad av dessa resurser få för din verksamhet respektive för hela kommunen? Hur länge skulle du kunna vara utan dessa resurser? Handlar det om timmar, dagar, veckor osv? Vilka IT-system är din verksamhet beroende av? Rangordna dem. 24

Återupptagning av verksamheten Hur lång tid får det maximalt ta för att verksamheten ska återgå i arbete? Handlar det om timmar, dagar, veckor osv? Hur länge kan du vara utan de IT-system din verksamhet är beroende av utan att det ska vara fara för verksamheten? Timmar, dagar, veckor osv. Organisationen Hur samordnas kontinuitetsplanering för din verksamhet? Hur ser organisationen ut och vem är ansvarig för kontinuitetshanteringen i din verksamhet/vid din avdelning vid ett skarpt läge exempelvis efter en samhällsstörning? Vilka övriga stödfunktioner samverkan din verksamhet/avdelning med? Vilka resurser är ni beroende av hos dem? 2: Exempel på scenario Bakgrund Under gårdagen var Karolinska universitetssjukhuset och Sahlgrenskas universitetssjukhus utsatta för omfattande driftstörningar som kan härledas till terrororganisationer. Uppgifterna har bekräftats av sjukhusledningarna och polisen. Skadorna på centrala försörjningssystem är omfattande och polisen bedömer hotbilden mot sjukhus och andra samhällsviktiga verksamheter i Sverige som förhöjd. Den senaste tiden har det även varit oroligt i centrala delarna av Örebro där det har förekommit skottlossningar och bilbränder. Enligt uppgifter från polisen förväntar man sig ökad aktivitet och ökade störningar i Örebroregionen inom den närmsta framtiden. Flera skyddsobjekt runt om i landet har försatts i beredskap, till exempel sjukhus och vattenverk. Socialstyrelsen och polisen har i samverkan med Länsstyrelsen i Örebro län och berörda aktörer genomfört en förvarningskonferens där de informerat Örebro kommun och Region Örebro län om läget. Överbelastningsattack Under natten har flera stora tidningar varit utsatta för överbelastningsattacker, bland annat har DN, Svenska dagbladet och Sydsvenskan drabbats. Klockan 06:30 i morse skedde en synkroniserad polisinsats inom EU mot olika terrorceller. Som följd av detta gick gruppen Anonymous ut på Youtube med varningar om motaktioner mot IS. Under förmiddagen blev även Region Örebro läns webbplats utsatt för överbelastningsattacker. Attackerna innebar att Region Örebro läns webbplats inte kunde nås, varken internt eller externt. 25

Dataintrång i kritiska IT-system När webbplatsen väl är uppe upptäcks ett dataintrång i en av de centrala servrarna där bland annat Melior, PASIS och mejlsystem finns. IT slår larm och försöker begränsa skadorna genom att släcka ner servarna. Avbrottet innebär att det inte längre finns fungerande datakommunikation för Region Örebro län och det är oklart hur lång tid det kommer ta att åtgärda problemen. Enligt IT går det inte att utesluta att skyddsvärd information, så som personuppgifter om patienter och anställda har stulits. Det visar sig att överbelastningsattackerna var vilseledning i syfte att avleda personalresurser för att ostört kunna genomföra dataintrånget. Avbrott i strömförsörjning Plötsligt och oförklarligt inträffar ett strömavbrott i stora delar av Örebro. Avbrottet påverkar flera samhällsviktiga funktioner. Enligt informationen på E.ONs webbplats beräknas avbrottet pågå upp till två dygn. Då flera samhällsviktiga verksamheter är utslagna har de behov av reservkraft i form av diesel. Men på grund av strömavbrottet finns det ingen möjlighet att fylla på dieseltankarna. Uttaget begränsas av att en av de fyra reservkraftsstationerna är tagen ur drift på grund av reparation. Dessutom har ett grävningsarbete orsakat att ytterligare en reservkraftsstation är utslagen. Kvarvarande reservkraft, med tillgänglig dieselmängd, förväntas räcka i cirka två dygn. I efterhand visade det sig att strömavbrottet berodde på ett avancerat datavirus som stört ut servrarna som reglerar tillgången av el. Källförteckning Krisberedskapsmyndigheten, KBM 2007, Risk- och sårbarhetsanalys och kontinuitetsplanering, likheter och skillnader. Länsstyrelsen i Örebro län 2015, Örebro läns gemensamma stöd för redovisning av riskoch sårbarhetsanalyser, publ.nr 2015:23. Länsstyrelsen i Örebro län 2016, Risk- och sårbarhetsanalys 2016, publ. nr 2016:33. Myndigheten för samhällsskydd och beredskap, MSB december 2013, Handlingsplan för skydd av samhällsviktig verksamhet, publ.nr: MSB597 - december 2013. Myndigheten för samhällsskydd och beredskap, MSB 2011, Vägledning för samhällsviktig verksamhet, publ.nr: MSB620 januari 2014. Swedish Standards Institute, SIS, SS 22304:2014 Samhällssäkerhet, Ledningssystem för kontinuitet Vägledning till SS-EN ISO 22301. 26

hanteringen av uppgiften? Vilka resurser och beroenden, interna och/eller externa, krävs för att säkerställa Fråga 3 Fråga 4 O m d e ut v a l d a u p p g i f t e r n a v i d d et t a sc e n a r i o i n t e h an te r a s, v i l k a bl i r k o n s e k v e n s e r n a f ö r v e r k s a m h et e n? S ä t t et t k r y s s v id d e n e l le r d e k o n s e k v e n s e r s o m u p pg i f t e n / u p p g i f t e r n a r i s k e r a r. D i s k u te r a h u r l ä n g e n i k a n v a r a u t a n d e u p p g i ft e r s o m n i v a l t i n n a n d e f å r k o n s e k v e n s e r. A n g e ti d e n i t i m m a r, d a g a r e l l e r v eck o r. 1. 2. K o n s e k v e n s f ö r s a m h ä l l et s f u n k t i o n a l it et 3. K o n s e k v e n s f ö r g r u n d l ä g g a n d e v ä r d e n s o m r ät t ss ä k e r h et o c h d e m o k r a t i 4. K o n s e k v e n s f ö r l i v o c h h ä l s a K o n s e k v e n s f ö r s k a d o r p å e g e n d o m o c h m i l j ö. K o m m en t a r er : diskussionen. Fäst de resurser som behövs i denna ruta. Använd resurskorten med bilder och de blå och gröna korten som stöd i Fr V e å g m ä a 2 r a n Beskriv scenarierna Kommentarer: sva ri g f ö r a t t l ö s a u p p g i f t e n /u pp g i f t er n a? A n v ä n d d e blå o c h gr ö n a r e s u r s k o r t e n s o m st ö d i d is k u s s i o n e n o c h f äs t d e m i d e n n a r u t a. A ng e g ä r n a s p ec i f i k a v d e l ni n g i n o m o r g a n i s a ti o n e n e l le r h o s e xter n P a rk eri ng a v f r å gor o r g a n is at i o n / m yn d i g h et g e n o m a t t f y l la i k o m m e n t a r s f ä l t et n ed a n. F r å g o r so m i n t e k a n K o m m en t a r er : be s v a r a s n u. F ä s t d e m m ed po s t -i t l a p p a r i d e n n a r u t a. Start Presentera er för varandra och anteckna era namn: Fråga 1 a. Vilken eller vilka uppgifter i er verksamhet är viktigast att hantera utifrån detta scenario? b. Vilka deluppgifter ingår i ovanstående uppgift/uppgifter? Använd de orange spelkorten som stöd i diskussionen och fäst dem under respektive fråga i denna ruta. Komplettera med text vid behov. Kommentarer: 27

28 Länsstyrelsen i Örebro län Stortorget 22, 701 86 Örebro 010-224 80 00 orebro@lansstyrelsen.se www.lansstyrelsen.se/orebro

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss