Varför ska din verksamhet ha en kontinuitetsplan?

Kontinuitet i det här sammanhanget handlar om att kunna bedriva din verksamhet trots eventuella avbrott eller störningar. Händer det något som kan påverka verksamheten, som exempelvis att viktiga tjänster inte går att använda, behövs en etablerad kontinuitetsplan för att snabbt återställa funktionen efter störningar samt minska störningarnas påverkan på verksamheten. ^[1]

Informationssäkerhet och kontinuitetshantering

Informationssäkerhetsarbetet och arbetet med kontinuitetshantering bör vara integrerade med varandra, detta är extra viktigt då verksamhetens information oftast finns lagrad och är hanterad digitalt och är väsentlig för verksamhetens funktioner. Du behöver etablera kontinuitetskrav kring de informationstillgångarna som finns i din verksamhet, och säkerställa att det finns en klassning av dessa tillgångar. ^[2]

Börja till exempel med att se över vilka delar som är de mest kritiska och som verkligen behöver fungera även under eventuella störningar, dessa kritiska delar kan vara lokaler eller IT-tjänster. När IT-tjänsterna slutar fungera kan det påverka olika system som är viktiga för verksamheten såsom administrativa system, nätverk och telefoni. . Då dagens samhälle är så pass digitaliserat kan även mindre störningar i dessa typer av IT-tjänster ha omfattande konsekvenser, kontinuitetshanteringen hjälper verksamheten att minska effekterna av dessa typer av störningar. Kom ihåg att ur ett informationssäkerhetsperspektiv är det extra viktigt att säkerställa att ingen obehörig kommer åt verksamhetens information under störningar. ^[2]

Presentera planen för verksamheten

Kom ihåg det här när du tar fram en plan för kontinuitetshantering: ^[3]

• Informera de medarbetare som berörs om att kontinuitetsplanen finns och var
• Säkerställ att den är lättläst och lättåtkomlig
• Regelbundet testa att planen fungerar som den ska, och uppdatera den vid behov.

Engagera gärna hela verksamheten i arbetet med kontinuitetsplanen genom att kommunicera information om kontinuitet till alla medarbetare. Utvärdera kontinuitetsplanen löpande, och ha som vana att bedöma hur verksamheten har klarat av en händelse som inträffat genom granskningar av antingen interna eller externa parter. ^[4]

Nyttja ISO-standarden för att skapa kontinuitet

ISO 22301:2019 för Säkerhet och resiliens är en standard för kontinuitetshantering som kan hjälpa dig att införa och upprätthålla ledningssystem för kontinuitetshantering i din verksamhet. I ledningssystem för kontinuitetshantering är det viktigt att verksamheten etablerar policys och mål för arbetet och att processer och rutiner för åtgärder blir hanterade så att verksamheten har kontinuitet trots avbrott eller störningar. Det är också viktigt att löpande utvärdera och förbättra arbetet med ledningssystemet. Fördelar med att ha ett ledningssystem för kontinuitetshantering: ^[5]

• Förbättrade interna processer som bidrar till att kunna bedriva verksamheten trots avbrott.
• Verksamheten visar att man kan uppnå krav inom kontinuitet från olika parter.
• Färre ekonomiska sårbarheter och eventuella förluster som kan uppstå på grund av avbrott.

Vi hjälper dig att komma i gång

Vi rekommenderar att börja med konsekvensanalyser och riskbedömningar som vi gärna hjälper till med i form av gemensamma workshops. Under en konsekvensanalys ser man över vilka funktioner som är kritiska för verksamheten och vad som behövs för att upprätthålla dessa funktioner. Utifrån en affärskonsekvensanalys kan du också få en insikt i hur länge din verksamhet skulle klara av att vara utan olika funktioner som kan påverkas under störningar och avbrott. Riskbedömningen visar vilka händelser som kan påverka verksamheten, hur bra återhämtningsförmåga den har i dag samt vilka typer av lösningar som finns. Bedömningen visar hur utsatta vissa funktioner är och om de lösningar du har i verksamheten i dag är tillräckligt bra. ^[6]

Vill du komma i gång med kontinuitetsarbetet tveka inte att höra av dig till oss så hjälper gärna till!

[1] https://www.msb.se/sv/amnesomraden/krisberedskap--civilt-forsvar/samhallsviktig-verksamhet/kontinuitetshantering

[2] https://www.informationssakerhet.se/metodstodet/utforma/#om-behovet-av-riskbed%C3%B6mning

[3] https://rib.msb.se/filer/pdf/29036.pdf

[4] https://rib.msb.se/filer/pdf/30262.pdf

[5] ISO22301:2019 Säkerhet och resiliens – Ledningssystem för kontinuitetshantering 

[6] https://rib.msb.se/filer/pdf/29026.pdf