Beredskabsstyring

Målet med beredskabsstyring er at etablere processer, der understøtter, at organisationen kan opretholde eller reetablere et acceptabelt niveau for drift efter en hændelse.

Beredskabsstyring handler om at sikre forretnings- og informationssikkerhedskontinuiteten i tilfælde af en krise eller en katastrofe. Det kan fx. være som følge af et netværksnedbrud, et strømudfald eller andre uventede hændelser, som har betydning for organisationens informationssikkerhed. Det kunne fx være adgangen til it-systemerne. Det handler derfor om at være forberedt på det uventede ved at have en plan for, hvordan I skal agere, når krisen opstår.

Afgrænsning

Rammerne for offentlige organisationers beredskabsarbejde er det såkaldte ”Helhedsorienterede beredskab”, som er en overordnet paraply for beredskabsarbejdet defineret af Beredskabsstyrelsen.

Denne side handler om beredskabsstyring i forhold til informationssikkerhed jf. kravene i ISO 27001, som siger, at organisationen skal verificere, gennemgå og evaluere informationssikkerhedskontinuiteten (A.17.1.3)
Kravene til informationssikkerhedskontinuitet fra ISO27001 skal derfor ses i sammenhæng med det helhedsorienterede beredskab, og det betyder i praksis, at I skal koordinere jeres beredskabsstrategi- og planer for forretningssystemerne med det øvrige beredskabsarbejde i organisationen. Det kunne fx være det specifikke it-beredskab.

Forudsætninger for beredskabsstyring

Beredskabet skal kunne håndtere større kriser/hændelser, der har betydning for informationssikkerheden, fx på de systemer, som myndigheden vurderer er samfundskritiske eller forretningskritiske, og som ikke kan håndteres inden for de normale procedurer. Derfor er det vigtigt at danne sig et overblik over samt vurdere kritikaliteten af myndighedens forretningsprocesser. Dette er udgangspunktet for at udarbejde en strategi og en plan og dermed afgrænse beredskabet.

Billede der viser skematisk plan for beredskabsstyring

Aktiviteter i beredskabsstyringen

Når myndigheden har skabt sig det overordnede overblik over de kritiske forretningsprocesser, kan de tre trin i beredskabsstyringen påbegyndes: Planlægning, implementering samt afprøvning & evaluering.

ISO 27001 om beredskabsstyring

Standarden for informationssikkerhed anviser en række kontroller i forhold til at sikre, at en organisation har et tilstrækkeligt beredskab

  • Man skal planlægge informationssikkerhedskontinuiteten (A.17.1.1)
  • Man skal implementere informationssikkerhedskontinuiteten (A.17.1.2)
  • Man skal verificere, gennemgå og evaluere informationssikkerhedskontinuiteten (A.17.1.3)

Planlægning

Planlægning indebærer at fastlægge krav til forretnings- og informationssikkerhedskontinuiteten i kritiske situationer i en beredskabsstrategi.

Gå til siden om planlægning

Implementering

Implementering indebærer at udarbejde konkrete procedurer for håndtering af de kritiske processer i en situation, hvor informationssikkerheden i dem kan være påvirket.

Gå til siden om implementering

Afprøvning & evaluering

Afprøvning & evaluering indebærer jævnligt at afprøve ens beredskab og nødprocedurer med henblik på at justere og optimere dem.

Gå til siden om afprøvning og evaluering