Implementering

I implementeringsfasen udarbejdes en konkret beredskabsplan og understøttende nødprocedurer, der skal hjælpe organisationen og de identificerede kritiske forretningsprocesser i en krisesituation.

Med udgangspunkt i beredskabspolitikken og listen over de kritiske processer og systemer, implementerer I politikken ved at udarbejde procedurer for håndtering af de kritiske processer i en situation, hvor informationssikkerheden i dem kan være påvirket.

Beredskabsplanen træder i kraft i en krise

En organisation har normalt truffet foranstaltninger til at håndtere nedbrud eller andre situationer, som påvirker organisationens evne til at opretholde sin normale drift. Hvis foranstaltningerne ikke slår til, træder beredskabsplanen og eventuelle nødprocedurer i kraft.

Eksempler på håndtering af kritiske processer

  • I Københavns Kommunes Sundheds- og omsorgsforvaltning har man sikret medarbejderne offline adgang til de senest anvendte data, hvis omsorgssystemet ikke kan anvendes.
  • I Region Hovedstaden er det muligt at lave en akut blodprøvebestilling og -analyse, i situationer hvor blødprøvesystemet er utilgængeligt.

Organisationens beredskabsplan beskriver den overordnede organisering i forbindelse med en krisesituation. Det er vigtigt, at der er udpeget en kriseledelse, som kan lede arbejdet i tilfælde af en krise, der rammer jeres processer- og/eller systemer. Kriseledelsen skal kende deres roller, og der bør udarbejdes planer for intern og ekstern kommunikation, politisk/strategiske håndtering af krisen, og helt praktiske beskrivelser af hvor krisestaben mødes, etc.

Hele jeres beredskabsplan i lommeformat

Miniberedskabsplanen kan justeres til, så den passer til jeres organisation, og så relevante personer altid har en miniudgave af beredskabsplanen på sig. Det kan være en god måde for kriseledelsen til hurtigt at orientere sig i fx kontaktinformationer, mødested og første skridt i forbindelse med en hændelse. Når I har udfyldt og eventuelt justeret miniberedskabsplanen skal den printes og foldes, så den passer i pungen som et kreditkort.

Hent miniberedskabsplanen

Beredskaber – vejledninger og skabeloner

En miniberedskabsplan kan selvfølgelig ikke stå alene. Derfor bør organisationen også udarbejde en ”rigtig” beredskabsplan – hvad enten det er en it-beredskabsplan eller en beredskabsplan til sikring af forretningskontinuiteten.

Der er en skabelon til en it-beredskabsplan. Den kan benyttes af organisationer med egen og outsourcet it-drift.

Hent skabelon til it-beredskabsplan

Vejledningen beskriver, hvordan organisationen kan styre og vedligeholde et passende it-beredskab.

Hent vejledning til it-beredskab

I relation til organisationens it-beredskab kan det være en god ide at have en nødplan. Nedenfor findes en skabelon til en nødplan, der kan justeres til jeres organisations kontekst.

Hent skabelon til nødplan

Kommunikation i en beredskabssituation

Et af hovedelementerne til en succesfuld styring af en beredskabssituation er at sikre en passende kommunikation til alle relevante interessenter i rette tid og med det rette indhold.

Kommunikation skal sikre, at organisationens interessenter informeres så godt om situationen, at forvirring minimeres mest muligt. Det vil også forebygge et unødigt stort antal henvendelser om hændelsen og unødig forbrug af tid og kræfter frem for at håndtere selve situationen.

Kommunikation skal også sikre, at interessenterne får de fornødne oplysninger til at minimere eventuelle følgevirkninger og til at kunne etablere eventuelle alternative løsninger.

Hent Guide til kommunikation i en beredskabssituation

ISO 27001 om implementering af beredskab

Man skal implementere informationssikkerhedskontinuiteten (jv. anneks A, foranstaltning 5.30 i ISO 27001:2022).