Informationssikkerhed

English

Du er her: Informationssikkerhed Risikovurdering Forretningsberedskab

Forretningsberedskab

Her finder du en skabelon og anbefalinger til lokale forretningsberedskabsplaner, som kan aktiveres i tilfælde af større IT-nedbrud.

It-understøttelse er en stor del af, hvordan vi varetager mange funktioner og opgaver i det daglige, men hvad gør vi, hvis/når it-systemer og -services er utilgængelige for at sikre, at forretningen kan fortsætte...

Det er typisk for sent at tænke over det, når en nødsituation er opstået.

Når IT er utilgængelig

Aarhus Universitet har taget flere forholdsregler for at sikre, at den nødvendige it-understøttelse er tilstede, når behovet er der, men der kan ske uforudsigelig hændelser, som kan medføre, at it-systemer og -services er utilgængelig i en tidsperiode.

Ved IT-nedbrud aktiveres beredskab, der varetager den tekniske del - men for de væsentligste it-systemer og -services på Aarhus Universitet kan der være behov for lokalt at beskrive, hvordan forretningen, herunder den enkelte enhed/afdeling, kan fortsætte kritiske funktioner og forretningsgange i sådanne nødsituationer.

Anbefalinger til forretningsberedskabsplan

Der er ingen formkrav til dokumentationen, men det anbefales at overveje nedenstående i udformning af lokal procedure for forretningsberedskab.

1 Omfanget

  • Hvor meget er ramt? Muligt at fortsætte i andet system?
  • Såfremt al it-understøttelse er utilgængelig, hvilke redskaber/værktøjer skal der benyttes?

2 Rent praktisk

  • HVEM
    • Hvem der træffer beslutning om at igangsætte/afslutte forretningsberedskab?
    • Hvem skal der kommunikeres til? Og hvordan?
  • HVORNÅR
    • Hvor lang tid kan vi forvente, at IT er utilgængelig?
    • Hvor lang tid kan vi acceptere, at IT er utilgængelig, før vi aktiverer forretningsberedskabsplanen? (acceptabel nedetid jævnfør risikovurdering)
  • HVAD
    • Hvad/hvilke opgaver skal prioriteres i sådanne situationer, og hvilke kan vente?
    • Hvad kan vi gøre for at være på forkant af en sådan situation? (eksempelvis papirskabeloner til standard-opgaver)
  • HVORDAN
    • Hvordan gør vi rent praktisk, hvis/når IT er utilgængelig, og hvilke redskaber/værktøjer skal der benyttes? (eksempelvis papir og blyant, mobiltelefoner osv.)
    • Hvem gør hvad?
    • Hvad gør vi, så hver enkel kender deres rolle og ansvar i forretningsberedskabsplanen, og kræver det eksempelvis periodevis træning?

3 Tilbage til daglig drift

Når it-systemerne og/eller -services igen er tilgængelig, skal overgangen ske på en forsvarlig måde, så informationer ikke går tabt. Derfor er der behov for en beskrivelse af, hvordan I som enhed/afdeling overgår fra forretningsberedskab til daglig drift.

Et forretningsberedskab skal løbende forbedres, så følg op på, hvad der fungerede, mens IT var utilgængelig, og hvor vi kan blive bedre. 

Har du brug for hjælp?

Kontakt Aarhus Universitets Informationssikkerhedsafdeling, hvis du har spørgsmål eller brug for hjælp. 

Afhængig af systemklassifikation er det et krav, at der foruden risikovurdering udarbejdes en forretningsberedskabsplan:

  • Type A: Her kræves en risikovurdering og en forretningsberedskabsplan. 
  • Type B: Her kræves en risikovurdering, men ikke nødvendigvis en forretningsbredskabsplan. 
  • Type C: Her kræves nødvendigvis hverken en risikovurdering eller en forretningsberedskabsplan.

Det anbefales tillige, at de enkelte enheder, ud fra en risikobetragtning, vurderer om det vil være formålstjenesteligt med supplerende lokale forretningsberedskabsplaner.

Revideret 26.09.2023
-
informationssikkerhed