Kontinuitetshantering IT-avbrott - hur beroende är ditt företag?



Relevanta dokument
Bilaga Från standard till komponent

Kontinuitetshantering i samhällsviktig verksamhet

Cybersäkerhet. Kunskapsdagen 17 november 2015

SOES Vägledning för Kontinuitetshantering

FSPOS Vägledning för Kontinuitetshantering

FSPOS Vägledning för Kontinuitetshantering

Anna Rinne Enheten för skydd av samhällsviktig verksamhet. Skydd av samhällsviktig verksamhet

Informationssäkerhetspolicy för Ånge kommun

Multisourcing och kontinuitet?

FSPOS Vägledning för Kontinuitetshantering

Systematiskt arbete med skydd av samhällsviktig verksamhet

Kontinuitetshantering

Kartläggning av SAMHÄLLSVIKTIGA VERKSAMHETERS BEROENDE AV ELEKTRONISK KOMMUNIKATION - EN FÖRSTUDIE

Frågeställningar inför workshop Nationell strategi för skydd av samhällsviktig verksamhet den 28 oktober 2010

Internkontrollplan 2016 Nämnden för personer med funktionsnedsättning

FSPOS Vägledning för Kontinuitetshantering

IT-säkerhet Internt intrångstest

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Strategi för förstärkningsresurser

VA SYD VA SYD ska vara en ledande aktör i det hållbara samhället, för kunden och miljön

Kontrollhandbok - utföra offentlig livsmedelskontroll. FÖRDJUPNING HACCP-principerna

Styr och utveckla ditt IT-stöd utifrån internationella standarder

Nationell strategi för skydd av samhällsviktig verksamhet

Tips och råd för uthållig och lönsam tillväxt

MÖJLIGHETER MED ISO 9001:2000 OCH ISO INTEGRERADE VERKSAMHETSSYSTEM. Kvalitetsledningssystemet vad har man egentligen för nytta av det?

Policy för informationssäkerhet

Hur svårt kan det vara? NOLATO PLASTTEKNIK UTVECKLING OCH TILLVERKNING AV KVALIFICERADE PLASTKOMPONENTER SEDAN 1955

Ledning och styrning av IT-tjänster och informationssäkerhet

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Administrativ säkerhet

Finansinspektionens författningssamling

OBS! Kopior papper/filer kan vara ogiltiga, senaste utgåva se Intranet.

Göteborgs Stads program för IT

Hazard Analysis and Critical Control Points HACCP

EN INTRODUKTION TILL KONTINUITETSHANTERING Säkerhetsträff, Umeå och Örnsköldsviks kommun 25 oktober 2012

Bilaga 5 Administration och kontroll

Förklarar komplext och dynamiskt beteende i processen. E r i k a B e l l a n d e r,

Informationssäkerhetspolicy inom Stockholms läns landsting

Så skyddar du ditt datacenter 5 Steg för att få strategi och tjänster på plats

Processpecifikation för Hantera mallar och blanketter

Modell för ledning av kundorienterad och systematisk verksamhetsutveckling (fd Utmärkelsen) Göteborgs stad

Riskanalys för myndigheterna inom SOES

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Kontroll över IT för efterlevnad och framgång. Johanna Wallmo Peter Tornberg

Anmälan om. schablonmetoden, operativ risk

Informationssäkerhetspolicy för Ystads kommun F 17:01

5. TJÄNSTEPRODUKTION. Tjänsteföretag. Sammanfattande bedömning. Gör ni ordentlig beredning inför tillverkningen av nya eller ändrade produkter?

Metodstöd 2

POLICY INFORMATIONSSÄKERHET

Gemensamma grunder för samverkan och ledning vid samhällsstörningar. - Strategisk plan för implementering

Krishantering för företag

Hur får man en kommunal RSA att funka? Tankar och erfarenheter från utvecklingsarbete i Malmö stad

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser

Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem. Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015

Informationssäkerhetspolicy

Innehåll. Bakgrund Från ett riskhanteringsperspektiv. Bakgrund Från ett riskhanteringsperspektiv

Kontinuitetshantering ur ett samhällsperspektiv SIS Clas Herbring: MSB Enheten för skydd av samhällsviktig verksamhet

OPERATIV ANALYS & LOGISTIK

THE EUROPEAN GREEN BUILDING PROGRAMME. Riktlinjer för energiledning

Sammanställning - enkätundersökning av livsmedelssektorns krisberedskapsförmåga

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy KS/2018:260

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

De fem vanligaste säljutmaningarna

Metodmanual. FSPOS Finansiella Sektorns Privat- Offentliga Samverkan. Metod för analys av samhällsviktiga finansiella tjänster

Ledningssystem för IT-tjänster

Riktlinje för Intern kontroll

1 Underlag för kontinuitetsplanering vid allvarlig händelse

Välkomna! Med utveckling menas som bekant åsiktsförändring i för bedömaren behaglig rikting. Hjalmar Söderberg

Liten guide för att komma igång med systematiskt arbetsmiljöarbete, SAM

Moment 3: Att kartlägga och klassificera information

Skydd av samhällsviktig verksamhet

Kvalitet och verksamhetsutveckling

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Appendix F Kontinuitetshantering för IT-verksamheten


UTBILDNING: Socialt ansvar

RSA vart har det tagit oss hittills och hur kommer vi vidare?

Faroanalys. Exempel på utformning av faroanalys

Välj rätt affärssystem för att din. organisation ska blomstra!

Kontinuitetsplanering en introduktion

Systematiskt Kvalitetsarbete

Implementering av ISO 26000

Information om vårt miljöledningssystem

Riktlinjer för intern styrning och kontroll

Guide. Marketing Automation

En övergripande presentation

Sänk kostnaderna genom a/ ställa rä/ krav och testa effektivt

Handlingsplan för ständiga förbättringar

Kontinuitetsplan IT. Bilaga till Informationssäkerhetspolicy

med ert företag i fokus

FÖRBÄTTRINGSVÄGEN. Verktyg & inspiration för företagets utveckling. Helene Kolseth

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Bilaga 1. Definitioner

Syfte och organisation. Hör gärna av dig till oss om du har fler frågor När trader avtalet om samgåendet i kraft?

Svensk Kvalitetsbas kravstandard (1:2016)

TALENT MANAGEMENT BAROMETERN 2014

Informationssäkerhetspolicy

Transkript:

Kontinuitetshantering IT-avbrott - hur beroende är ditt företag?

IT-avbrott - hur beroende är ditt företag? Automatisk kontroll av mängd och vikt, kontinuerlig övervakning av kyl- och frystemperaturer, momentan inventering av råvarulagret samt uppdatering av produktionsrecept med hjälp av ett knapptryck. Ja, att datoriseringen av livsmedelsproduktionen har hjälpt oss att öka såväl produktionseffektivitet som kvalitetssäkring är vi nog alla tämligen överens om. Vi kan idag med betydligt högre säkerhet än för 30 år sedan säkerställa att de produkter som levereras till våra kunder håller den kvalitet som utlovats. Vi kan enkelt lägga in automatiska beställningar av råvaror när den inlagda produktionsplanen visar att det är dags för en viss produkt att tillverkas. Vi kan programmera ugnar att baka vid en viss temperatur under en exakt tid och frysar att ha precis den infrysningstid som behövs för att produkten ska ha korrekt temperatur när den packas. Det är en fantastisk utveckling, och den kommer sannolikt att fortsätta. Frågan är hur vi säkerställer att detta förblir en styrka och inte förvandlas till en svaghet eller akilleshäl? Det är ett faktum att livsmedelsbranschen, liksom övriga samhället, är allt mer beroende av IT. Flera tillbud de senaste åren, och Tietohaveriet i synnerhet, har visat på de utmaningar som finns med ett ökat IT-beroende. De kunder som har drabbats hårdast av krascherna har varit de som inte förberett sig för ett avbrott. I flera fall återhämtar sig företagen inte överhuvudtaget, utan försvinner från marknaden och ersätts av andra som är bättre förberedda. Ju större beroende, desto större blir vikten av att planera för avbrott. Ju fler kritiska delar av verksamheten som är kopplad till IT-system, desto viktigare är det att säkerställa att det finns avbrotts- och återgångsplaner och manuella rutiner för att kunna upprätthålla verksamheten på en tolerabel nivå, även utan tillgång till IT-systemen. Att planera för avbrott är nyckeln Lösningen heter kontinuitetshantering (Business Continuity Management på engelska), vilket är en process för att skapa robusthet i en organisation, eller med andra ord kunna hantera avbrott eller bortfall av kritiska resurser (t ex IT) utan att den operativa förmågan slås (helt) ut. Kontinuitetshantering används för att förebygga alla typer av avbrott, men här fokuserar vi alltså på avbrott kopplade till IT. 1

Det övergripande syftet med IT-kontinuitetshantering är att identifiera kritiska delar av verksamheten, såsom kritiska processer och delprocesser, som är beroende av IT för att fungera. Därefter utvecklar man kontinuitetsplaner (reservplaner) för att säkra den operativa förmågan vid störningar och avbrott. Ett sätt att visualisera nyttan med kontinuitetshantering illustreras i bild 1. Bild 1. Nyttan med kontinuitetshantering 1 Det är främst två effekter som uppnås genom kontinuitetshantering. Konsekvenserna av en störning minskar, dels genom att minimera störningens omedelbara påverkan på den operativa nivån, och dels genom att minska avbrottstiden. Det är oftast det sistnämnda som är den stora vinsten. Orsakerna till varför man väljer att arbeta med IT-kontinuitetshantering kan vara många. De kan vara internt drivna, av exempelvis organisationens egen ambition och mål, men de kan även vara kopplade till lag- eller kundkrav. Oavsett orsak så ser de flesta organisationer ofta flera positiva effekter med ett strukturerat IT-kontinuitetshanteringsarbete. 1 SS-ISO 22304:2014, Samhällssäkerhet -Ledningssystem för kontinuitet Vägledning till SS-EN ISO 22301. 2

Några exempel är: Tolerabel operativ nivå identifieras för samtliga processer Förbättrad teknig/it-infrastruktur Kostnadseffektivitet med bättre anpassade IT-resurser Förbättrade affärsprocesser Minskad riskexponering Högre tjänstekvalitet internt såväl som mot kunder och andra intressenter Färre och kortare avbrott Konkurrensfördelar Man kommer långt med sunt förnuft, men det finns som tur är även strukturerade arbetssätt att följa, som t ex ISO 22301. Att ta stöd i en vedertagen standard bidrar till ökad trygghet, genom att man minskar risken att missa viktiga steg. En extra bonus är ökad trovärdighet internt såväl som externt. I takt med den allmänna utvecklingen av IT-stöd och system måste även IT-kontinuitetshanteringen löpande utvärderas och uppdateras, se bild 2. Bild 2. Standardbaserat arbetssätt, ISO 22310:2012 3

Hur komma igång? Det första steget i ett kontinuitetsarbete är att skaffa sig en djup förståelse för den egna organisationen och vilka dess mest kritiska processer och delprocesser är. I ett mindre företag, med endast en eller ett par produkter, få anställda och få tekniska lösningar så behöver detta arbete inte vara så komplicerat, utan kan skötas av ett fåtal personer. Ju större, och mer komplexa, processer man har, desto fler individer bör dock involveras i arbetet för att säkerställa att man får med alla vinklar från det strategiska till det tekniska och rent operativa. De steg det rör sig om visas i bild 3. Bild 3. Processtegen för att skapa förståelse för organisationen i ett IT-kontinuitetsarbete. Genom att arbeta på detta sätt utvecklas och struktureras fakta/information som ofta redan finns i organisationen, på ett sammanhållet sätt. När all information finns på plats blir samband och beroenden tydliga och ledningen kan enas om vad som är acceptabla respektive oacceptabla konsekvenser för företaget vid ett avbrott. Stegen innehåller: Organisationens mål och strategi - Definiera oacceptable konsekvenser (en så kallad kriteriemodell tas fram) - Visualisera organisationens processer Affärskonsekvensanalys - Identifiera kritiska processer och delprocesser - Identifiera interna och externa resurser som processerna är beroende av - Identifiera acceptabla tidsgränser för hur länge processen/delprocessen kan ligga nere (utifrån konsekvenser/kriteriemodell ovan) Överlämning till IT - Identifierade IT-resurser - Krav på återhämtningstid (utifrån acceptabel tidsgräns ovan) - Verksamhetens reservrutiner - Faktorer som påverkar tillgänglighetskrav - 4

Riskbedömning - Identifiera händelser, samt uppskatta sannolikheten för att de skulle kunna leda till ett avbrott, som överstiger kravet på återhämtningstid - Identifiera de IT-resurser som har störst behov av att kontinuitetssäkras När ovanstående är genomfört har man ett gediget underlag att utveckla kontinuitetsplaner (inom IT även kallade återhämtningsplaner) ifrån. Dessa planer behöver sedan implementeras, övas, revideras och uppdateras regelbundet som en del i organisationens kontinuitetshanteringsprogram. Varför investera i något som kanske aldrig händer? Forskningen visar att företag som genomgått kriser, där avbrott i kritiska resurser kan vara en orsak, kan delas in i två tydliga grupper Återhämtare och Icke-återhämtare. Återhämtarna har ökat sitt börsvärde på lång sikt genom att visa prov på en effektiv och framgångsrik hantering av den kritiska händelsen medan Icke-återhämtarna uppfattas ha varit oförberedda och därmed inte kunnat hantera den kritiska händelsen väl. Skillnaden manifesterar sig i ett stärkt förtroende ( Återhämtare ) respektive ett förlorat förtroende ( Icke återhämtare ) hos marknaden. Flera av de icke förberedda företagen överlever inte. Det handlar alltså inte om att helt undvika avbrott, vilket ingen kan, utan om hur väl du kan hantera det när det väl inträffar. Låter det svårt? Det kan möjligen upplevas lite krångligt första gången man arbetar igenom processen, och då kan de vara bra att ta hjälp av någon, men väl förbi denna tröskel så brukar mycket falla på plats och markanta framsteg i robusthet tas. 5

Bild 4. Källa The Impact of Catastrophes on Shareholder Value, Rory F. Knight & Deborah J. Pretty, Templeton College, University of Oxford, p. 3. 6

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss