Planlægning

Planlægningsfasen er afgørende for det samlede beredskabsstyringsarbejde, fordi den fastlægger, hvor blikket vendes hen i det videre arbejde.

Ved at udarbejde en beredskabspolitik fastlægger I rammerne for forretnings- og informationssikkerhedskontinuiteten. Herunder hvordan jeres beredskab fx skal struktureres, hvilket niveau I ønsker i forhold til fx nøddrift af forretningsprocesser, samt hvilke forretningsprocesser, og dermed fx forretningssystemer, som skal omfattes af beredskabet.

Elementer i planlægningsfasen

  • De kritiske forretningsprocesser identificeres med en Business Impact Analysis
  • Rammer og målsætning for beredskabet fastlægges i en beredskabspolitik.

Identifikation af kritiske forretningsprocesser

Indsatsen med at udarbejde forretningsnødplaner skal målrettes mod at få de kritiske forretningsprocesser dækket ind. Det kræver, at de bliver identificeret.

Gennemfør en Business Impact Analysis

En måde at gøre det på, er at gennemføre en BIA (Business Impact Analysis). BIA’en fortæller, hvor alvorligt forretningen selv vurderer, den vil være ramt, hvis fx it-understøttelsen svigter i forhold til bestemte forretningsprocesser.
Forretningens kvalitative argumentation for, hvorfor manglende it-understøttelse vil være mere eller mindre kritisk på de forskellige områder, vil samtidigt afsløre hvilke forretningsprocesser, der vægtes højt. BIA’en svarer i store træk til konsekvensanalysedelen i en almindelig risikoanalyseproces.
Måske kan organisationen af den ene eller anden grund ikke støtte sig til en BIA. I så fald kan det være en god ide at danne sig et overblik over alle de forretningsprocesser, der understøtter organisationens primære opgaver.

Nedbryd processer til aktiviteter

Processerne kan evt. nedbrydes i aktiviteter for at lette overskueligheden af hvilke dele af processen, der umiddelbart vil kunne erstattes af forretningsnødplaner.
I nedenstående figur kan Proces 1 umiddelbart udføres i henhold til en forretningsnødplan, idet alle aktiviteter kan håndteres uden den almindelige it-understøttelse. Proces 2, derimod, kan kun i meget begrænset omfang undvære it-understøttelse, og det er derfor tvivlsomt, om der kan laves en forretningsnødplan. Proces 3 vil kunne udføres, hvis Aktivitet 3 ikke har direkte betydning for slutproduktet (f.eks. fordi det er en administrativ arbejdsgang, der kan vente til senere).

Billede af model for, hvordan man nedbryder aktiviteter

 

Herudover kan følgende indikatorer bruges til at identificere forretningsprocesser, der bør dækkes ind af en forretningsnødplan.

Det er forretningsprocesser, som:

  • er nødvendige for regeringens og Folketingets arbejde. Det kunne være centrale lovgivningsprocesser, fx finanslovsprocessen.
  • sikrer, at basale menneskerettigheder overholdes. Fx overholdelse af frister for grundlovsforhør.
  • borgere og virksomheder er afhængige af for at kunne hævde eller opnå vitale retsstillinger. Fx ydelser på det sociale område eller tinglysning af ejendom.
  • er nødvendige for at opretholde og/eller vedligeholde infrastruktur, såsom veje, jernbaner eller luftfart.
  • er nødvendige for at garantere borgernes sikkerhed. Fx politi- og redningsindsatser.
  • er nødvendige i forhold til sundhed og sygdomsbekæmpelse. Fx sygehusvæsenets akutydelser.

Nogle organisationer løser ikke opgaver, der falder i ovenstående kategorier. Det udelukker ikke, at forretningsnødplaner er relevante. Alle organisationer vil have forretningsprocesser i deres opgaveportefølje, der er de mest kritiske for lige netop den organisation. For alle sådanne processer bør muligheden for at udarbejde forretningsnødplaner overvejes.

Overvejelser forud for forretningsnødplanlægning

Følgende tjekliste indeholder overvejelser, som organisationen med fordel kan løbe igennem inden formulering af en forretningsnødplan

  • Kan den almindelige forretningsproces forenkles i en beredskabssituation (afskaffelse af administrative led, kvalitetskontrol, godkendelsesled, mv.)?
  • Hvor er data og i hvilken form? Vil det være muligt at vedligeholde en kopi af data et andet sted (f.eks. et decentralt lager)/i en anden form (f.eks. på papir) og vil det være muligt at arbejde med disse data i en beredskabssituation?
  • Hvilken forretningslogik bidrager it-understøttelsen med? Og er det muligt at erstatte/emulere denne med andre værktøjer, f.eks. en lokalt afviklet regnearksapplikation?
  • Kræver det ekstra medarbejderressourcer at videreføre forretningsprocessen uden it-understøttelse? Kan man forvente at råde over disse i en beredskabssituation?
  • Kræver det særlige kompetencer at videreføre forretningsprocessen uden it-understøttelse? Kan man forvente at råde over disse i en beredskabssituation?
  • Hvor stort et effektivitetstab vil det betyde at arbejde efter en nødplan? Og giver det i forretningsnødplanen anledning til at prioritere mellem forretningsprocessens aktiviteter eller helt undlade nogle?
  • Hvad er ekstraomkostningerne ved at overgå til en nødplan? Kan man forvente at få dækket omkostningerne?
  • Hvad er strategien for at sikre/genoprette dataintegriteten i hovedsystemerne efter at almindelig it-drift er genoptaget?
  • Vil nødplanen betyde slæk på de almindelige sikringsforanstaltninger – f.eks. i forhold til fortrolighed? Og skal forretningsnødplanen anvise kompenserende foranstaltninger herfor?
  • Hvilke kommunikationsmidler kan antages at være til rådighed i en beredskabssituation?

Politik for forretnings- og informationssikkerhedskontinuiteten

Når organisationen har skabt overblikket samt vurderet sine kritiske forretningsprocesser, skal der lægges en politik for, hvordan de kritiske forretningsprocesser kan køre videre i en beredskabssituation.

Organisationen skal i politikken beskrive de overordnede rammer for arbejdet med og implementeringen af beredskabet, og politikken skal godkendes af ledelsen. Skabelonen giver generel information, vejledende tekstforslag og tabeller.

Hent skabelon til it-beredskabspolitik

ISO 27001 om planlægning af beredskab

Man skal planlægge informationssikkerhedskontinuiteten (jv. anneks A, foranstaltning 5.30 i ISO 27001:2022).