EN INTRODUKTION TILL KONTINUITETSHANTERING Säkerhetsträff, Umeå och Örnsköldsviks kommun 25 oktober 2012

Relevanta dokument
VA SYD VA SYD ska vara en ledande aktör i det hållbara samhället, för kunden och miljön

Kontinuitetshantering i samhällsviktig verksamhet

Kontinuitetshantering IT-avbrott - hur beroende är ditt företag?

Bilaga Från standard till komponent

Kontinuitetshantering

Förmåga att motstå svåra påfrestningar genom alternativa lösningar

Kontinuitetsplanering en introduktion

Internkontrollplan 2016 Nämnden för personer med funktionsnedsättning

Kontinuitetshantering ur ett samhällsperspektiv SIS Clas Herbring: MSB Enheten för skydd av samhällsviktig verksamhet

Multisourcing och kontinuitet?

Kartläggning av SAMHÄLLSVIKTIGA VERKSAMHETERS BEROENDE AV ELEKTRONISK KOMMUNIKATION - EN FÖRSTUDIE

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Nationell strategi för skydd av samhällsviktig verksamhet

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Kontinuitetsplan IT. Bilaga till Informationssäkerhetspolicy

Sammanställning - enkätundersökning av livsmedelssektorns krisberedskapsförmåga

SOES Vägledning för Kontinuitetshantering

Informationssäkerhetspolicy för Ånge kommun

Metodmanual. FSPOS Finansiella Sektorns Privat- Offentliga Samverkan. Metod för analys av samhällsviktiga finansiella tjänster

Anna Rinne Enheten för skydd av samhällsviktig verksamhet. Skydd av samhällsviktig verksamhet

Innehåll. Bakgrund Från ett riskhanteringsperspektiv. Bakgrund Från ett riskhanteringsperspektiv

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser

Appendix F Kontinuitetshantering för IT-verksamheten

Frågeställningar inför workshop Nationell strategi för skydd av samhällsviktig verksamhet den 28 oktober 2010

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Så skyddar du ditt datacenter 5 Steg för att få strategi och tjänster på plats

Hur kan man uppnå tillståndet där Lean/Verksamhetsutveckling är en naturlig del av tillvaron?

FSPOS Vägledning för Kontinuitetshantering

Systematiskt arbete med skydd av samhällsviktig verksamhet

BROSCHYR. Coromatic Operations Vi hanterar driften av era verksamhetskritiska anläggningar

Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser;

Risk- och sårbarhetsanalys Erfarenheter från tio års forskning ( )

Riskhantering Landstinget Gävleborg Margareta Petrusson

Strategi för förstärkningsresurser

FSPOS Vägledning för Kontinuitetshantering

IT-säkerhet och sårbarhet Hur ser kommunernas krisplanering ut? ANNA THOMASSON

Riktlinjer för kris- och kontinuitetshantering

Migration to the cloud: roadmap. PART 1: Möjligheter och hinder för att migrera till molnet

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

EBITS Energibranschens Informations- & IT-säkerhetsgrupp

Riskanalys och riskhantering

FÖRFATTNINGSSAMLING Flik Säkerhetspolicy för Vingåkers kommun

Störningar i elförsörjningen

FSPOS Vägledning för Kontinuitetshantering

FORSA en mikrokurs. MSB:s RSA-konferens, WTC,

5 frågor som hjälper dig i valet av redundant lösning

Hur förberedd är du? Introduktion

Riktlinje Robusthet- kontinuitet Landstinget Sörmland beslutad LS 12/13

1 Underlag för kontinuitetsplanering vid allvarlig händelse

Strategi för hantering av samhällsstörningar

Riktlinjer för kris- och kontinuitetshantering

RSA Risk- och sårbarhetsanalys

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight?

Tekniskt driftdokumentation & krishantering v.1.0

Region Skåne. Upphandling24 - Maj 2012 MALMÖ

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

CIO Konferens Stockholm 18 november Ulf Rönndahl, Chief Risk Officer, Telenor Sverige

Riskhantering och riskkontroll. Hans E Peterson M.Sc., Senior Security Advisor

Risk- och sårbarhetsanalys för miljö- och byggnadsnämnden 2013

Risk- och sårbarhetsanalys Andreas Thulin

FSPOS Vägledning för Kontinuitetshantering

Hur tar jag företaget till en trygg IT-miljö i molnet?

Riktlinjer för kris- och kontinuitetshantering

Frågor att ställa om IK

PIMM PROFECTO INFRASTRUCTURE MANAGEMENT MODEL ETT WHITEPAPER OM PIMM

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Införandet av Enterprise Risk Management (ERM) i Vattenfall

BOKSAMMANFATTNING MOTIVATION.SE

Wexnet Green Data Center

Vägledning 1.0 Anslutning till Mina meddelanden

Kriswebb och Krisserver ur ett tekniskt perspektiv

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Mall för avrapportering av förvaltningens årliga uppföljning av SRSA

Visionen om en Tjänstekatalog

Förenklad rapportering av regionernas riskoch sårbarhetsanalys 2019

effekt nu Kunskapsinitiativet

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Process 8 Skyddsstrategi

Plan för samhällsstörning - när det som inte ska hända ändå inträffar

KARTLÄGGNING: Så ser vardagen ut för IT-CHEFER. Du förtjänar bättre. Gör slut med dålig it.

Risk- och sårbarhetsanalys för miljö- och stadsbyggnadsnämnden

Anmälan om. schablonmetoden, operativ risk

Riktlinjer för säkerhetsarbetet i Gullspångs kommun. Antagen av kommunfullmäktige

Tillsyn om störningar och avbrott i elektroniska kommunikationsnät och - tjänster

Återkoppling Steg

Myndigheten för samhällsskydd och beredskaps författningssamling

GDPR OCH OUTSOURCING - VEM BÄR ANSVARET?

Framtida betydande översvämningar att rapportera till EU FÖRSLAG

Video- och distansmöte - Beskrivning och tjänstespecifika villkor

Utvärdering och förebyggande åtgärder

Effektivisering av det förebyggande underhållet

Vad är molnet? Vad är NAV i molnet? Vem passar NAV i molnet för? Fördelar med NAV i molnet Kom igång snabbt...

Riskanalys för myndigheterna inom SOES

Sänk kostnaderna genom a/ ställa rä/ krav och testa effektivt

Hur får man en kommunal RSA att funka? Tankar och erfarenheter från utvecklingsarbete i Malmö stad

Så här skapar du en katastrofplan för oförutsedda händelser

Är outsourcing ett bra alternativ? En guide till att ta beslut om man ska outsourca sin kundservice eller inte.

Administrativ säkerhet

Rätt säkerhet Kris

Transkript:

EN INTRODUKTION TILL KONTINUITETSHANTERING Säkerhetsträff, Umeå och Örnsköldsviks kommun 25 oktober 2012 Nils Kjellgren och Michael Lindeen, 4C Strategies

AGENDA Varför kontinuitetshantering? Metod för kontinuitetshantering Kontinuitetshantering som en del av RSA Sammanfattning 2

FÖRVÄNTNINGAR 3

VAD ÄR KONTINUITETSHANTERING 4

VAD ÄR KONTINUITETSHANTERING? Den process som säkerställer att organisationen kan driva den verksamhetskritiska samhällsviktiga verksamheten på en tolerabel nivå oavsett vilka störningar som inträffar 5

DET HANDLAR OM Operativ nivå av kritiska processer 100 % Tid

DET HANDLAR OM Operativ nivå av kritiska processer 100 % Incident Tid

DET HANDLAR OM Operativ nivå av kritiska processer 100 % Incident Reducera Initial effekt Reducera avbrottstid Tid Före introduktionen av ett program för kontinuitetshantering Efter introduktionen av ett program för kontinuitetshantering

KONTINUITETSHANTERING - LIVSCYKELN

DEN STORA PREMIÄREN

DEN STORA PREMIÄREN Marknadsföra Sälja Visa

Process Sälja Aktivitet Försäljning internet Försäljning kassa Interna resurser Personal Hemsida Betalningssystem Lokal RGW Externa resurser El Internet Telefoni

KRITERIEMODELL En kriteriemodell avgör vad som är tolerabel förlust för en organisation baserat på olika kriterier Konsekvens Obetydlig Märkbar Allvarlig Finansiell Förlust < 500.000 Förlust < 5.000.000 Förlust > 5.000.000 Rykte Ingen förlust av kunder Förlust av låg andel kunder Förlust av stor andel kunder 13

Process Sälja Försäljning internet 3h Försäljning kassa Aktivitet 3 h 3 h Interna resurser Personal Hemsida Betalningssystem 3 h Lokal RGW 3h 3h El Internet Telefoni Externa resurser 3h

RISKBEDÖMNING Aktivitet: Tillgänglighetskrav: Försäljning 3 h Resurs (Återhämtningstid 3 h) Händelse Befintlig redundans Sannolikhet Prioritet (för vidare åtgärder) 0,2 0,4 0,6 0,8 Hemsida Teleavbrott Saknas X 2 Internetavbrott Saknas X 1 Betalningssystem Virus Virusprogram X 3 Alla Elavbrott UPS + Elverk X 3

LÖSNINGAR OCH PLANER

ÖVNINGAR Form Skrivbordsövning/simuleringsövning Upplägg Annonserad/oannonserad Centraliserad/decentraliserad

STANDARDS BS25999 JISC NFPA1600 INS 24001:2007 HB221 SPRING 18

EN KOMPLEX VÄRLD Källa: Dr. Linton Wells II

20

VÄRLDEN SOM VI KÄNNER DEN Known knowns known unknowns and unknown unknowns

KNOWN AND UNKNOWN UNKNOWN S

RISKHANTERING, KONTINUITETSHANTERING OCH KRISHANTERING Exempel: Pappersbruk

RISKHANTERING, KONTINUITETSHANTERING OCH KRISHANTERING Hur hänger det samman? Exempel: Pappersbruk Riskhantering Kontinuitetshantering Krishantering

RISKLANDSKAPETS BESTÅNDSDELAR HÖG PÅVERKAN Kärnan i Kontinuitetshantering Hantering av Grundläggande förmågor (Incidenthantering, krishantering, m.m.) Planera Behandla LÅG/OKÄND SANNOLIKHET HÖG/KÄND SANNOLIKHET Acceptera Kontrollera Kärnan i Riskhantering LÅG PÅVERKAN Källa: Business Continuity Institute Good Practice Guidelines 2008 Vidareutveckling: 4C Strategies, 2012

EXEMPEL: BRANDEN I ALBUQUERQUE Philips Electronics halvledarfabrik av komponenter till radiofrekvenschips i Albuquerque, New Mexico, var en strategisk leverantör till både Nokias och Ericssons mobiltelefontillverkning Fredagen den 17 mars 2000 inträffade en mindre brand i fabriken Inom några få timmar hade Philips informerat sina kunder om branden vilken förväntades orsaka endast mindre konsekvenser för produktionen Produktionen ligger nere i ett halvår

BRANDEN I ALBUQUERQUE: NOKIA Snabb aktivering av insatsstyrka för att hantera händelsen Högsta ledningen involverades tidigt Omdesign av datorchips (för att kunna använda andra leverantörer om nödvändigt) Ökat tempo i existerande produktionsanläggningar Snabb och kraftfull förhandling med Philips för att säkra leveranserna av de viktiga komponenterna

BRANDEN I ALBUQUERQUE: ERICSSON Branden uppfattades inte som någon större katastrof Tog flera veckor innan företaget ens förstod att det inträffat en kritisk händelse All kapacitet hos Philips upptagen för att hjälpa Nokia Bristande kommunikation med högsta ledning Beroende av specifika komponenter Avsaknad av "plan B, enligt marknadschefen för Ericssons mobiltelefoner

BRANDEN I ALBUQUERQUE: SLUTSATS Större delen av Ericssons hela mobilproduktion avstannade i flera månader Kostnad på upp till 4 miljarder kronor Telefontillverkningen lades ut på Flextronics Nokias handlande ledde till att Nokia utan större avbrott kunde återfå full produktion av mobiltelefoner trots branden i den strategiska fabriken Kraftigt ökade marknadsandelar 29

TIETO Fredag den 25 november 2011 uppstår ett hårdvarufel hos Tieto. Först är endast huvudsystemet påverkat men efter några minuter är även reservsystemen >50 kunder påverkas Söndagen den 27 november är all hårdvara återställd.men informationen som lagrades är inte det 4 januari 2012 är alla kunderna tillbaka till business as usual

TIETO - ERFARENHETER Tekniken blir mer och mer komplicerad och konsoliderad vilket utsätter företag för en ökad risk. Fler applikationer ligger på färre servrar och man förlitar sig mycket på att tekniken är felfri. Kostnadspressen -> färre speglade system. Kritiska och mindre viktiga system ligger på samma servrar Återställningsplaner etc. ligger ej separerade Kunskapen vad gäller kontinuitet/redundans/återställning för olika system är lägre idag då man tror att tekniken står för detta. Återställning-/Kontinuitetsplaner behövs för kritiska system med syfte att möta ex. kunders SLAs SLA->OLA->RTO.

VÄRDET EFFEKTIV KRISHANTERING Response from the market Efficient Management Inefficient Management Trading days after the event

FRÅGA Vad är verksamhetskritiskt för er? 33

METOD FÖR KONTINUITETSHANTERING 34

KONTINUITETSHANTERING - LIVSCYKELN

METOD FÖR KONTINUITETSHANTERING Organisationens mål och strategi Verksamhetskonsekvensanalys (BIA) Riskbedömning (RA)

ORGANISATIONENS MÅL OCH STRATEGI Att förstå det sammanhang organisationen verkar i är av avgörande betydelse för att kunna gå vidare och genomföra en samhällskonsekvensanalys. Faktorer att ta hänsyn till kan vara: Mål Strategiska riktlinjer och policies Krav och skyldigheter gentemot intressenter Lagar och regler Omgivningen i vilken organisationen verkar Kriteriemodell

KRITERIEMODELL En kriteriemodell avgör vad som är tolerabel förlust för en organisation baserat på olika kriterier Exempel: Konsekvens Obetydlig Märkbar Allvarlig Finansiell Förlust < 500.000 Förlust < 5.000.000 Förlust > 5.000.000 Rykte Ingen förlust av kunder Förlust av låg andel kunder Förlust av stor andel kunder 38

KRITERIEMODELL: DET STORA KLÄDFÖRETAGET Konsekvens Obetydlig Liten Märkbar Kritisk Katastrofal Definition Obetydlig i förhållande till organisationens storlek, budgeten påverkas knappt, produktionsförmågan bibehålles - Varumärket ej skadat - Extern part ej skadad Begränsade skadeföljder som kan finansieras/täckas av kassaflödet, budgeten påverkas lätt - Varumärket ifrågasatt - Extern part eventuellt skadad Årsredovisningen påverkas, utfallet av årsvinsten kommer att bli mindre än väntat, produktionsförmågan kommer temporärt att minska - Varumärket ifrågasatt - Extern part delvis skadad Det finansiella resultatet kommer att påverkas starkt, årsvinster kommer att försvinna, produktionsförmågan kommer att påverkas för en längre tid - Varumärket kraftigt ifrågasatt - Extern part skadad Organisationens existens är hotad, det egna kapitalet kommer att förbrukas helt eller delvis, produktionsförmågan kommer att vara långsiktigt förlorad - Varumärket totalförstört - Extern part allvarligt skadad Uppskattad ekonomisk skada Förlust <1 000 000 Förlust <10 000 000 Förlust <40 000 000 Förlust <75 000 000 Förlust >75 000 000 39

EXEMPEL: VATTENFÖRSÖRJNING Konsekvens Kategori Leverans Kvalitet Ekonomi Information Rykte Obetydlig Märkbar Kritisk Planerat och överenskommet avbrott i leverans Obetydlig kvalitetssänkning (tex. förhöjd halt av normal bakterieflora) Smärre justering i gällande budget Information nått ut i god tid vid planerat avbrott i leverans Korrekt och lättillgänglig information Korrekt information i media Normalt kundtryck (telefon, mail, besök hemsida) Begränsad leverans till prioriterade kunder (omedelbart) Utebliven leverans till enskilda kunder (efter 2-3 dygn) Utebliven leverans till kvarter (efter 24 timmar) Utebliven leverans till stadsdel (omedelbart) Tjänligt med anmärkning Fåtal personer insjuknat pga. dålig vattenkvalitet Otjänligt vatten (information har nått ut till drabbade i tid) Utebliven leverans till prioriterade kunder (omedelbart) Utebliven leverans till kvarter (efter 36-48 timmar) Utebliven leverans till stadsdel (efter 12 timmar) Otjänligt vatten (ej drickbart) Större antal personer insjuknat pga. dålig vattenkvalitet Dödsfall efter insjuknat pga. dålig vattenkvalitet Omprioriteringar i gällande budget Måste ansöka om mer pengar Information går ut, men ej i god tid, i samband med leverans- och kvalitetsproblem Otydlig och/eller bristfällig information Otydlig och/eller bristfällig information i media Högre kundtryck än normalt (telefon, mail, besök hemsida) Ingen eller felaktig information går ut i samband med leverans- och kvalitetsproblem Prioriterade kunder nås ej av information i samband med leverans- och kvalitetsproblem Stadsdel nås ej av information i samband med leverans- och kvalitetsproblem Felaktig information med negativ påverkan i media Betydligt högre kundtryck än normalt (telefon, mail, besök hemsida) 40

KRITERIEMODELL: EXEMPEL SJUKHUS Konsekvens Mindre Måttlig Betydande Katastrofal Effekt på patientsäkerheten Obehag eller obetydlig skada Förlängd vårdtid för en eller två patienter Högre vårdnivå för en eller två patienter Förlängd vårdtid för tre eller fler patienter Högre vårdnivå för tre eller fler patienter Dödsfall eller större kvarstående funktionsnedsättning Ekonomi Egendomsskador understigande Egendomsskador understigande Skador på egendom mellan en 0,5-1MSEK Skador på egendom överstigande 1 MSEK 10 000 SEK 100 000 SEK Effekt på produktionssäkerheten Antal personer i kö i linje med verksamhetens mål Verksamhetens mål för kötid överskrids med.. Verksamhetens mål för kötid överskrids med.. Verksamhetens mål för kötid överskrids med.. 41

FASTSTÄLL RISKACCEPTANS Konsekvens Mindre Måttlig Betydande Katastrofal Effekt på patientsäkerheten Obehag eller obetydlig skada Förlängd vårdtid för en eller två patienter Högre vårdnivå för en eller två patienter Förlängd vårdtid för tre eller fler patienter Högre vårdnivå för tre eller fler patienter Dödsfall eller större kvarstående funktionsnedsättning Ekonomi Egendomsskador understigande Egendomsskador understigande Skador på egendom mellan en 0,5-1MSEK Skador på egendom överstigande 1 MSEK 10 000 SEK 100 000 SEK Effekt på produktionssäkerheten Antal personer i kö i linje med verksamhetens mål Verksamhetens mål för kötid överskrids med.. Verksamhetens mål för kötid överskrids med.. Verksamhetens mål för kötid överskrids med.. 42

VERKSAMHETSKONSEKVENS- ANALYS Skapar kunskap om organisationens affärskritiska processer, aktiviteter och resurser Syftar till att identifiera organisationens känslighet för störningar Identifierar tidsgränser för hur länge kritiska aktiviteter kan ligga nere Hur länge klarar vi oss utan aktiviteten X utan att överskrida vår riskacceptans

EXEMPEL: RESEBOLAGET 44

KRITERIEMODELL Konsekvens Obetydlig Liten Märkbar Kritisk Katastrofal Definitioner Obetydlig i förhållande till organisationens storlek; budgeten påverkas knappt; produktionsförmågan bibehålles Begränsade skadeföljder som kan finansieras/täckas av kassaflödet, budgeten påverkas lätt Årsredovisningen påverkas, utfallet av årsvinsten kommer att bli mindre än väntat, produktionsförmågan kommer temporärt att minska Det finansiella resultatet kommer att påverkas starkt, årsvinsten kommer att försvinna, produktionsförmågan kommer att påverkas för en längre tid Organisationens existens är hotad, det egna kapitalet kommer att förbrukas helt eller delvis, produktionsförmågan kommer att vara långsiktigt förlorad Uppskattad skada på varumärket Varumärket ej skadat Varumärket ifrågasatt Varumärket ifrågasatt Varumärket kraftigt ifrågasatt Varumärket totalförstört Uppskattad ekonomisk skada Förlust <1 000 000 Förlust <8 000 000 Förlust <80 000 000 Förlust <200 000 000 Förlust >250 000 000

EXEMPEL: RESEBOLAG Affärsprocesser Affärskritisk process Kommunikation Kritiska aktiviteter 1 Insamla information 2 3 Värdera information Kommunicera internt 4 Kommunicera externt Kritiska resurser 3 Intranät 1,3 Server IT-avd 2,4 Kommunikationsdirektören 1,2 Sambandscentralen 4 Hemsida 3,4 Telefoni 1-4 Huvudkontor Kritisk infrastruktur och andra externa beroenden El Internet Tele Media

MAXIMAL TOLERABEL AVBROTTSTID MTPD - den maximalt tolerabla tiden som en organisations kritiska aktiviteter kan ligga nere efter en störning. Fastställs med hjälp av kriteriemodellen RTO återställningstid för kritiska resurser (RTO<MTPD)

MAXIMAL TOLERABEL AVBROTTSTID Vad blir konsekvensen av att leveransen av en kritisk aktivitet helt försvinner under 1, 2 eller 6 timmar? Affärskritisk verksamhet X Aktivitet #1 Aktivitet #2 Aktivitet #3 Vad är maximalt tolerabel avbrottstid? Resurser Personal System Leverantör Utrustning

EXEMPEL: RESEBOLAG Affärsprocesser Affärskritisk process Kommunikation Kritiska aktiviteter 1 Insamla information 2 3 Värdera information Kommunicera internt 4 Kommunicera externt Kritiska resurser 3 Intranät 1,3 Server IT-avd 2,4 Kommunikationsdirektören 1,2 Sambandscentralen 4 Hemsida 3,4 Telefoni 1-4 Huvudkontor Kritisk infrastruktur och andra externa beroenden El Internet Tele Media

EXEMPEL: RESEBOLAG Affärsprocesser Affärskritisk process Kommunikation Kritiska aktiviteter Kritiska resurser Kritisk infrastruktur och andra externa beroenden 3 Intranät 1 El Insamla information 1,3 Server 2 IT-avd Internet 3 Värdera information Kommunicera internt 2,4 4 Kommunikationsdirektören Tolerabel återhämtningstid < 1 timme Kommunicera externt Maximalt tolerabel avbrottstid (MTPD): 1 timme 1,2 Sambandscentralen Tele 4 Hemsida Tolerabel återhämtningstid < 1 timme Pressmeddelande Media 4 1-4 Huvudkontor Tolerabel återhämtningstid < 1 timme Tolerabel återhämtningstid < 1 timme

RISKBEDÖMNING I riskbedömningen identifieras, analyseras och utvärderas hot mot verksamheten Riskbedömning utförs genom att uppskatta sannolikheten att en händelse leder till ett avbrott som överstiger kravet på återhämtningstid för någon av de kritiska resurserna Hänsyn tas till befintlig redundans vid bedömning av sannolikhet Riskbedömningen möjliggör prioriteringar mellan de kritiska resurserna för var åtgärder behöver sättas in. 51

RISKBEDÖMNING Affärskritisk process: Kommunikation Kritisk resurs (Tolerabel återhämtningstid) Hemsida (< 1 h) Hot/händelsen Befintlig redundans Sannolikhet att ett avbrott överstiger mål för återhämtningstid Elavbrott Reservkraft, diesel, 3 dagars drift 0 0.2 0.4 0.6 0.8 1 X Prioritet 2 Företagets internet- förbindelse går ner X Saknas 1

KONTINUITETSHANTERING - LIVSCYKELN

STRATEGIUTVECKLING I en kontinuitetsstrategi formuleras grundläggande principer för hur företaget avser uppnå de krav på kontinuitet som definierats i de inledande stegen Redundanta system, reservdrift Ha flera leverantörer av kritiska tjänster och produkter Multikompetent personal Flexibla arbetsplatser och rutiner Outsourcing/Inhouse-lösningar Försäkringar

EXEMPEL: UPS Snöstorm i Louisville 1994 Rekordlåga temperaturer skapar otjänliga vägar alla transporter i området paralyseras Samma morgon förbereder sig 100 UPS plan för avfärd Även om startbanorna rensas på en dag är det omöjligt för UPSanställda i området att ta sig till jobbet

EXEMPEL: UPS Känner man till en UPS-anläggning har man sett alla! Enhetliga arbetsprocesser gör det möjligt att ta in anställda från andra orter Lösningen blir att flyga in folk från övriga landet Kan t ex även nyttjas vid julhelger, andra intensiva högtider, personalstrejker Standardiserade processer gör det även möjligt att snabbare agera vid variationer i efterfrågan

LÄRDOMAR FRÅN UPS-EXEMPLET Effektivt återupptagande och återställande av kritiska aktiviteter Standardiserade processer Möjliggör flexibilitet och robusthet Gör det möjligt att jämföra resultat mellan divisioner, avdelningar, regioner etc. Möjliggör effektivitetsförbättringar 57

LEVERANTÖRSRELATIONER Ytlig Djup Leverantörsrelation Få Många Antal leverantörer Källa: the Resilient Enterprise, Sheffi Yossi (2005)

KONTINUITETSHANTERING - LIVSCYKELN

KONTINUITETSLÖSNINGAR Identifiera detaljerade lösningar inom ramen för beslutade strategier Lösningarna ska tydligt visa på positiva effekter för kritiska aktiviteter, resurser och/eller externa beroenden Identifiera också risker för respektive lösningsförslag Fastställ om hur besluten ska inkluderas i organisationens verksamhetsplanering/budgetarbete

KONTINUITETSPLANER STRUKTUR Introduktion Mål, syfte och omfattning Vilka kritiska resurser omfattas? Roller, individer och ansvar Kontaktuppgifter till relevanta personer Åtgärdslistor / Checklistor Vem? Hur? När? Resurser och hur de aktiveras

KONTINUITETSHANTERING - LIVSCYKELN

VARFÖR ÖVA? Chesley B Sullenberger

VARFÖR ÖVA?

ÖVNINGAR Plans are nothing but planning is everything Övningar är ett utmärkt sätt att utvärdera och förbättra organisationens kris- och kontinuitetsplaner Enligt best practice är planerna inte trovärdiga om de inte övats

KONTINUITETSHANTERING - LIVSCYKELN

EXEMPEL: KÄRNKRAFTVERKET

KONTINUITETS- HANTERING INOM RAMEN FÖR RSA EXEMPEL: STOCKHOLMS STAD 68

TVÅ NIVÅER Hela kommunen Varje verksamhet 69

RSA PÅ TRE NIVÅER: GRUNDLÄGGANDE, UTVECKLAD OCH FÖRDJUPAD Grundläggande RSA Alla förvaltningar och bolag måste kunna hantera en kris Genom att bedöma förmågan att hantera kriser får vi underlag för åtgärder och övning Utvecklad RSA För att förebygga kriser, identifiera och värderar vi risker genom en traditionell riskanalys och säkerställer att riskerna accepteras eller behandlas Fördjupad RSA Vissa åtaganden måste alltid kunna upprätthållas Med en mer detaljerad, fördjupad riskanalys, säkerställer vi att prioriterad verksamhet alltid kan upprätthållas, oavsett risk

INEFFEKTIVITET KAN BYGGAS BORT GENOM DIFFERENTIERING PÅ ÅTAGANDE/ VERKSAMHETSNIVÅ Idag springer alla till mitten Arbetsinsatsen bör istället anpassas efter verksamhetens betydelse för organisationens mål Effektivitet genom säkerställande av att rätt verksamheter når rätt nivå i mognadstrappan 3. Fördjupad 2. Utvecklad 1. Grundläggande A B,C D,E

SAMHÄLLS- KONSEKVENSANALYS Skapar kunskap om kommunens förvaltningar/bolag, deras åtaganden och resurser Skapar kunskap om konsekvenserna av ett avbrott för samhället/medborgarna Leder till en ökad förståelse om verksamhetens beroenden och bättre kravställning 72

Analysen är i detta fall avgränsad mot Trafikkontoret Trafikkontoret Förvaltning/bolag Samhällskonsekvensanalys genomförs för åtaganden med höga tillgänglighetskrav Åtaganden Interna resurser Resurser som är nödvändiga för att upprätthålla åtagandet identifieras, samt tillgänglighetskrav Kopplingen för mellan att dessa externa ska kunna resurser, stödja interna aktuellt resurser och åtagande åtaganden är organisationens kritiska beroenden Vinterväghållning Plogbil Personal 3h Vid teleavbrott eller transportstrejk Vid avbrott i dieselleverans finns finns exempelvis redundans genom däremot ingen redundans att personal kan hämtas förmågan bedöms som mycket förmågan bedöms i dessa fall vara bristfällig god 2 h h RGW Förmågan att motstå allvarliga störningar mäts utifrån huruvida redundans finns i händelse av ett 2 h avbrott h h Externa resurser identifieras, samt tillgänglighetskrav för att dessa ska kunna stödja åtagandet 1h 1h Diesel Tele Transporter Externa resurser 1h

RISKBEDÖMNING Åtagande: Kartläggning av kritiska beroenden visar inom vilken tid en resurs måste vara tillgänglig för att åtagandet ska klara sitt tillgänglighetskrav Tillgänglighetskrav: För varje kritiskt beroende, analysera Vinterväghållning hur resurser påverkas av en händelse och vilken redundans som finns 3 h Gör en bedömning av förmågan att möta Lägst förmåga ges högst tillgänglighetskravet, givet prioritet för åtgärder befintlig redundans Resurs (Återhämtningstid 2 h) Händelse Befintlig redundans Förmåga att möta tillgänglighetskrav Prioritet (för vidare åtgärder) 1 2 3 4 Personal Teleavbrott Personal kan hämtas X 2 Transportstrejk Personal kan hämtas X 3 Plogbil Avbrott i dieselleverans Redundans saknas X 1 Samlad förmågebedömning 4 (Mycket bristfällig)

UPPGIFT Identifiera i din förvaltning: - ett kritiskt åtagande - interna resurser som är nödvändiga för att kunna fullgöra detta åtagande - externa resurser som de interna resurserna är beroende av 75

SAMMANFATTNING Leder till Vilket skapar Det vill säga Strukturerat arbete Tydligt ansvar för kritiska delar Ansvar Kontinuitetshantering Prioriterade åtgärder Ökad kostnadseffektivitet Ökad förmåga vid verksamhetsplanering Effektiviserad intern fördelning av resurser Effektivt beslutsfattande Ställda krav Beslut Transparens Kommunicerad riskaptit Systematiskt tillvägagångssätt Minskad risk för att missa viktiga detaljer Trygghet

LÄSTIPS 77

SIS-UTBILDNING SIS-utbildning 2 dagar 78

BEGIN WITH AND KEEP THE END IN MIND 79

Tack för visat intresse! Nils Kjellgren nils.kjellgren@4cstrategies.com +46 70-580 30 87 Michael Lindeen michael.lindeen@4cstrategies.com +46 72-253 79 79

Stockholm Malmö London

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss