IT-säkerhetshandbokenn

IT-säkerhetshandboken
http://www.susec.sunet.se
susec@sunet.se

3.8 Kontinuitetsplanering

Kontinuitetsplanering handlar om att minska lärosätets sårbarhet och öka motståndskraften mot olika händelser som kan påverka den verksamhet som bedöms som kritisk.

Planeringen bör bestå i

metoder för att, trots störningar och avbrott, kunna fortsätta verksamheten enligt bestämda minimikrav
rutiner för att snabbt kunna återgå till normal verksamhet efter ett avbrott.

Kontinuitetsplanering kan delas i flera delar

verksamhetsrelaterad kontinuitetsplanering (BCP - business continuation planning)
IT-inriktad kontinuitetsplanering (ITSCM - IT Service Continuity Management)
krishantering

Övergripande mål

Målet med en övergripande kris- och kontinuitetshantering är att

säkerställa att organisationen är förberedd och utbildad innan en krissituation uppkommer
prioritera och införa förebyggande skydd
upprätthålla verksamheten på en av ledningen accepterad nivå vid en krissituation
snabbt kunna vidta åtgärder i en krissituation, inklusive sakkunnig och korrekt information till anställda, studenter och allmänhet
skapa förutsättningar för en snabb återgång till normal verksamhet efter en krissituation

IT-kontinuitetshantering (ITSCM IT Security Continuation Management)

Verksamheten ska klassificera vilka IT-tjänster som är mest verksamhetskritiska. Kontinuitetshanteringen ska identifiera och hantera risker som kan leda till allvarliga störningar eller avbrott i leveransen av dessa IT-tjänster. IT-tjänsterna ska kunna återställas inom rimlig tid så att verksamheten påverkas minimalt. Kontinuitetshanteringen ska även hantera ett snabbt förändrat behov av resurser och kapacitet i befintliga IT-tjänster på grund av en allvarlig händelse som drabbar en annan enhet som IT-systemen levererar tjänster till.

IT-Kontinuitetshanteringen är en kontinuerlig förbättringsprocess:

Planera - Analysera vilka IT-tjänster som är kritiska för verksamheten - Identifiera och analysera risker som kan hota eller störa tjänsterna - Ta fram lösningar för att undvika risker eller minimera konsekvenserna
Genomföra - Införa lösningar för att undvika eller minimera risker och konsekvenser - Fördela ansvar - Ta fram kontinuitetsplan med rutiner för att hantera störningar - Informera och utbilda - Testa och införa kontinuitetsplanen
Följa upp - Följa upp hur planen fungerar - Analysera incidenter
Förbättra - Förnya riskanalysen - Ändra tekniska lösningar och rutiner - Förbättra planen