.: Ressourcer :: It-beredskab

Spørgsmål og svar om it-beredskab

Hvad er forskellen på it-beredskab og beredskab?

Hvad er BS25999?

Hvad er en it-beredskabsstrategi?

Hvad siger DS484 og ISO 27001 om beredskab?

Hvad er sammenhængen mellem beredskab, risiko og sikkerhed?

Hvor mange beredskabsplaner skal en virksomhed have?

Hvordan ser en ordentlig it-beredskabsplan ud?

Hvordan holder man planerne opdaterede og tilgængelige?

Lær mere på et halvdagsseminar

Hvad er forskellen på it-beredskab og beredskab?

It-services-350

 

Beredskabsstyring eller Business Continuity Management handler om at sikre virksomheden i tilfælde af hændelser, der rammer virksomhedens produktionsapparat. I den sammenhæng skal produktionsapparat forstås i den bredest mulige forstand som de ressourcer, virksomhedens forretningsprocesser og produkter afhænger af: Mennesker, bygninger, teknologi, information, forsyninger etc.

It-beredskab er den del af virksomhedens beredskab, der beskæftiger sig med opretholdelsen, continuity, af de it-ydelser, som virksomheder i dag er mere og mere afhængige af for at kunne fungere og være konkurrencedygtige.

Indenfor ITIL benyttes termen IT Service Continuity, som på mange måder er mere betegnende end det danske it-beredskab og gør det lettere at forstå, hvad det drejer sig om.

Informationsteknologi og it-stab leverer nogle ydelser, IT Services, der er nødvendige for udførelsen af virksomhedens forretningsprocesser. IT Service Continuity eller it-beredskab sikrer, at denne leverance af ydelser kan opretholdes, eller i det mindste retableres, før virksomheden lider uacceptable tab på områder som fx omsætning, omkostninger eller omdømme.

Hvad er BS25999?

BS25999 er en britisk standard for beredskabsstyring, som beskriver et framework for styringen af det samlede beredskab for en virksomhed. BS25999 er derfor ikke specifikt rettet mod it-beredskab, men det meste af standarden har dog generel anvendelighed også inden for dette område.

BS25999 beskriver en metode i fire trin til udvikling af beredskabsstyring:

  1. Forstå organisationen
  2. Fastlæg en beredskabsstrategi
  3. Udarbejd og implementer beredskabet
  4. Gennemfør løbende afprøvning, vedligeholdelse, revurdering af og træning i beredskabet

BS25999 angiver derudover en række basale krav til beredskabsplanernes indhold og struktur.

Læs evt. mere om BS25999-standarderne hos Britisk Standard...

Hvad er en it-beredskabsstrategi?

En it-beredskabsstrategi er en overordnet strategi for, hvordan virksomheden skal håndtere på forhånd definerede trusselshændelsesscenarier. Beredskabsstrategien giver svaret på spørgsmålet "Hvad gør vi?", når katastrofen indtræffer, men ikke nødvendigvis det mere detaljerede "Hvordan gør vi?".

It-beredskabsstrategien har betydning for, hvilke valg man træffer i forhold til implementeringen af fail-over-løsninger, backup-løsninger og alternative driftscentre.

Hvad siger DS484 og ISO 27001 om beredskab?

Kapitel 14 i DS484 og samme kapitel i Annex A til ISO 27001 beskriver den side af informationssikkerhed, der er relateret til beredskab - det, man kan kalde it-beredskabsstyring.

Der angives tre formål med it-beredskabsstyring:

  1. At modvirke afbrydelser i virksomhedens forretningsaktiviteter.
  2. At beskytte kritiske informationsaktiver (og forretningsprocesser) mod effekten af større nedbrud og katastrofer.
  3. At sikre hurtig retablering (af kritiske forretningsprocesser).

Standarderne angiver krav og vejledning på følgende områder:

  1. Der skal udvikles og opretholdes en formel styringsproces for it-beredskabsarbejdet.
  2. Der skal gennemføres risikovurderinger med udgangspunkt i hændelser, der kan forårsage afbrydelser i kritiske forretningsprocesser.
  3. Beredskabsplaner skal udarbejdes og implementeres.
  4. Beredskabsplaner skal udarbejdes med udgangspunkt i et veldefineret framework, der sikrer at planerne er konsistente og operationelle.
  5. Beredskabsplanerne skal løbende testes og vedligeholdes, så det sikres, at de er tidssvarende og effektive.

Hvad er sammenhængen mellem beredskab, risiko og sikkerhed?

Når informationsaktiver og dermed forretningsprocesser er truet af sikkerhedshændelser, er der knyttet en risiko for forretningen ved anvendelsen af informationsteknologi. Denne risiko kan angives som en funktion dels af sandsynligheden for at sikkerhedshændelser indtræffer og dels af konsekvensen for forretningen, hvis sikkerhedshændelser indtræffer.

Vi siger populært at risiko er lig med sandsynlighed gange konsekvens.

Hvis vi vil reducere denne risiko, har vi derfor overordnet set to muligheder:

  1. Proaktiv sikkerhed: Vi reducerer sandsynligheden for at sikkerhedshændelser indtræffer.
  2. Reaktiv sikkerhed: Vi reducerer konsekvensen af sikkerhedshændelser, der indtræffer.

RiskManagement450

De redskaber, vi benytter proaktivt, er fx sikkerhedspolitik, awareness, driftsprocedurer og foranstaltninger som fysisk adgangskontrol, firewalls og antivirus.

Disse redskaber er alle forebyggende, hændelsesminimerende kontroller.

De redskaber, vi benytter reaktivt, er fx beredskabsplaner og -strategier, retableringsprocedurer og foranstaltninger som brandslukning, backup og stand-by løsninger.

Disse redskaber er alle udbedrende, konsekvensminimerende kontroller.

Læs mere om risikovurdering...

Hvor mange beredskabsplaner skal en virksomhed have?

Om man vælger at skrive én samlet beredskabsplan, eller om man vælger at skrive flere planer, afhænger af virksomhedens størrelse og geografiske spredning.

Beredskabsplaner skal ikke være lange afhandlinger, der er umulige at finde rundt i. De skal være korte, koncise og operationelle. Derfor kan det være en fordel at opdele den samlede plan i flere individuelle planer.

Hvad enten man benytter én eller flere planer, bør der være beskrevet beredskabsstrategier, der imødegår relevante trusselshændelsesscenarier for hver eneste af virksomhedens kritiske forretningsprocesser, herunder hvordan og i hvilken grad forretningsprocesserne kan videreføres ved fravær af understøttende informationsteknologi.

Der bør også skrives en fælles katastrofeplan, der beskriver, hvordan myndigheder og beredskabsledelse alarmeres, bygninger evakueres etc. Denne fælles plan bør integreres i eller vedlægges alle de mere specifikke beredskabsplaner.

Med hensyn til it-beredskabsplaner, så bør der være beskrevet scenarier og beredskabsstrategier for hver enkelt driftslokation, og hvis ansvaret for driftslokationerne påhviler forskellige organisatoriske enheder eller medarbejdere, vil det være hensigtsmæssigt at benytte flere adskilte it-beredskabsplaner.

Hvordan ser en ordentlig it-beredskabsplan ud?

Det absolut vigtigste ved en it-beredskabsplan er, at indholdet er relevant, og at den holdes opdateret. Derfor skal det være klart defineret, hvem der "ejer" planen og hvem der har ansvaret for dens vedligeholdelse.

Det næstvigtigste i en it-beredskabsplan er en velfungerende beredskabsaktiveringsprocedure og en præcis ansvarsbeskrivelse i forhold til beredskabet. Det er essentielt, at man hurtigt kan sammenkalde de rigtige mennesker, og at disse er klar over deres roller og ansvar i beredskabet.

 

Den overordnede struktur i en it-beredskabsplan kan se sådan ud:

Om planen

  • Planens formål og afgrænsning
  • Planens ejer, vedligeholder og godkendende instans
  • Versionshistorik og godkendelsesstatus
  • Distribution og opbevaring

Beredskabets aktivering

  • Kriterier og ansvar for aktivering
  • Hændelsesscenarier, der fordrer aktivering af beredskab
  • Procedure for beredskabsaktivering
  • Mødesteder

Ressourcer

  • Beredskabsorganisation
  • Roller og ansvar
  • Kontakter

Beredskabsproces

1. Sæt beredskabet i kraft

2. Foretag skadevurdering

3. Fastlæg retableringsstrategi

4. Udarbejd og iværksæt handlingsplan

5. Implementér nøddriftsløsninger

6. Retablér ramte miljøer

7. Normalisér arbejdsprocesser

Politik for beredskabet

  • Overordnet beredskabsstrategi
  • Kommunikationspolitik
  • Sikkerhedspolitik
  • Opbevarings-, test- og vedligeholdelsespolitik

Bilag

  • Oversigter over netværk og systemer
  • Skabeloner til logs, rapportering og ekstern kommunikation

Hvordan holder man planerne opdaterede og tilgængelige?

Neupart har udviklet SecureAware BCP, som øger planernes tilgængelighed, og hjælper med ajourføring.

Løsningen kan håndtere mange beredskabsplaner på én gang.

I SecureAware BCP kan adgangsrettigheder, ejerskab og vedligeholdelsesansvar præcist defineres, og via SecureAwares opfølgningsmodul sikres det, at planerne regelmæssigt gennemgås og opdateres af de ansvarlige medarbejdere.

Det hele kan leveres som en service, så planerne også er tilgængelige, selvom it-systemerne ikke er det.

Du kan hente mere information og brochurer her...

 

Seminarmulighed

Neupart holder en række halvdagsseminarer om it-beredskab. Nogle af seminarerne henvender sig specielt til kommuner.

 

Om Neupart

Neupart hjælper virksomheder med at leve op til it-sikkerhedskrav på en tryg og effektiv måde. Vi leverer software og konsulentydelser til både offentlige virksomheder inden for stat, kommuner og regioner, og til private virksomheder af alle størrelser. Neupart A/S er ISO 27001-certificeret, danskejet, har egne datterselskaber i Tyskland og USA samt forhandlere i en række andre lande.

DS-ISO27001-logo-150

 

Gazelle-2009-114

 

Kontakt Neupart

Email

Nyhedsbrev Kontakt support Kontakt salg

Telefon

Danmark +45 7025 8030

Tyskland +49 2102 420926

USA +1 (800) 616-8597