C O N N E C T I N G B U S I N E S S & T E C H N O L O G Y Copyright © Projektmodel for Beredskabsplan

D E V O T E A M C O N S U L T I N G - C O N N E C T I N G B U S I N E S S & T E C H N O L O G Y Copyright © Beredskab – Projektoversigt Med baggrund i risikoanalysen og klassifikationen at designe et hensigtsmæssigt beredskab Udarbejde: Beredskabsklasser Beredskabets forudsætninger Forebyggende foranstaltninger Beredskabsplan og checklister Systemdokumentation Beredskabsplan med beredskabsklasser, ansvarsfordeling, procedurer og checklister Dokumentationsoversigt Opgave: Aktiviteter: Leverance: Udarbejde analyse og risikovurdering af forretningens aktiviteter og systemer. Gennem workshops at udarbejde: Forretningsmæssig risikovurdering Teknisk risikovurdering Klassificering af systemer og samlet risikovurdering Sikkerhedsmæssige tiltag En samlet risikovurdering med forslag til sikkerhedsmæssige tiltag og prioriteret plan for udarbejdelse af et beredskab. At implementere beredskabets elementer operativt i organisationen, systemerne og med samarbejdspartnere For de enkelte systemer at iværksætte: Etablering af forudsætninger (Servicaftaler SLA mv.) Implementering af forebyggende foranstaltninger Uddannelse og indøvelse af beredskabsplanen Etablering af forudsætninger (SLA mv.) og forbyggende foranstaltninger. Uddannelse af personale At afprøve beredskabet i praksis, ved implementering og ved ændringer Test af forebyggende foranstaltninger og nødprocedurer. Justering af beredskabet Vedligehold af beredskabet ved løbende ændringer og udskiftninger. Procedurer for test og vedligehold af beredskab ved løbende ændringer af systemer eller forretninger Test og vedligehold ImplementeringDesign Analyse og risikovurdering Uge YUge 0Uge ZUge XYUge X

D E V O T E A M C O N S U L T I N G - C O N N E C T I N G B U S I N E S S & T E C H N O L O G Y Copyright © Beredskabet - Analyse og risikovurdering At kortlægge et eller flere systemers behov for IT- sikkerhed For hvert system vurderes relevante trusler inddelt i følgende kategorier: Brugerne Softwaren Udstyret Drift Kommunikationen Udfyldt teknisk risikovurderingsskema for det / de aktuelle systemer Uge 4 Opgave: Aktiviteter: Leverance: At kortlægge forretningens afhængigheder af IT systemerne og klarlægge hvornår der er tale om situationer, hvor forretningen ikke kan gennemføres normalt. Gennemgang og vurdering af de forretningsmæssige konsekvenser ved manglende fortrolighed, tilgængelighed eller pålidelighed Udfyldt grundskema for den forretningsmæssige risikovurdering Uge 0 Aggregere overordnede og detaljerede risiko- vurderinger for de udvalgte systemer og udarbejde en foreløbig konklusion. Tilsikre et ensartet vurderingsniveau på tværs af forretningen. Med afsæt i forretnings risikovurdering at udarbejde endelig klassifikation af systemer Udarbejde foreløbig konklusion Samlet risikovurdering for organisationens IT- afhængige aktiviteter Uge 6 Afklare muligheder for sikkerhed i organisationens IT- afhængige aktiviteter. For trusler hvor der er utilstrækkelig beskyttelse udarbejdes: Forslag til tiltag – handlinger Estimat Effekten af tiltag Forslag til aktivitetsplan Konklusion med prioriteret anbefaling af sikkerheds- mæssige tiltag (business case). Uge 8 Sikkerheds- mæssige tiltag Samlet risikovurdering Teknisk risikovurdering Forretningens risikovurdering Uge 2

D E V O T E A M C O N S U L T I N G - C O N N E C T I N G B U S I N E S S & T E C H N O L O G Y Copyright © Beredskab – Design af beredskab At identificere og estimere forudsætninger for at et beredskab kan etableres Forudsætninger skal dokumenteres: Eksisterende ansvarsfordeling & eskaleringsprocedurer Backupprocedurer gennemgås og vurderes Review af kontrakter med eksterne leverandører Systemafhængigheder afklares Vurdering om forudsætningerne er til stede og hvad der evt. skal tilvejebringes Opgave: Aktiviteter: Leverance: At fastlægge beredskabsklasser for de enkelte IT systemer og beredskabssituationer Der udarbejdes: Konsolidering af systemoversigter og teknisk omfang Klassifikation af vitale og kritiske systemer og situationer retableringstider for de enkelte systemer Systemoversigt med vitale og kritiske systemer Fastsættelse af tider for beredskabsklasser At identificere og estimere forebyggende foranstaltninger Forebyggende foranstaltninger defineres, f.eks. i form af: Adgangsstyring og overvågning Redundans af IT- systemer Sikring af infrastruktur og bygninger … Business case med overblik over forebyggende foranstaltninger og udbytte Udarbejdelsen af den egentlige beredskabsplan Udarbejdelse af selve beredskabsplanen: Generelle instrukser Oversigter i planen Plan for kommandocentral Procedure for løbende vedligehold og test af beredskabsplanen Tekniske checklister Beredskabsplanen i papir og elektronisk version (Intranet) Beredskabsplan og checklister Forebyggende foranstaltninger Beredskabets forudsætninger Beredskabs- klasser Uge XUge 0Uge YUge ZUge X

D E V O T E A M C O N S U L T I N G - C O N N E C T I N G B U S I N E S S & T E C H N O L O G Y Copyright © Beredskab – Implementering, test og vedligehold Implementering og forankring af beredskabsplanen Formel iværksættelse Uddannelse af medarbejdere Etablering af kommandocentral Operationel beredskabsplan og klarmelding til afprøvning Opgave: Aktiviteter: Leverance: Beslutning og implementering af forudsætninger og forebyggende foranstaltninger Implementering af forudsætninger og valgte forebyggende foranstaltninger. Indgåelse af aftaler og kontrakter Dokumentation af tilvejebragte forudsætninger og implementerede foranstaltninger At afprøve beredskabsplanens elementer Afprøve overgang til nøddrift Afprøve Back-up og restore Afprøve retablering af normal drift Forskellige niveauer af delvis->fuld test afhængig af ambitionsniveau Testplan og testresultat Tilretninger ud fra test. Tilpasning af beredskabsplanen ved ændringer i forretningsmæssige, organisatoriske, driftsmæssige eller tekniske forhold. Løbende opdatering af dokumentation Opfølgende information og uddannelse Test jf. procedurer Konfigurationsstyring Ajourført operationel beredskabsplan VedligeholdelseTest og justering Beredskabs- planen Forudsætninger og forebyggende Uge XUge 0Uge YUge ZUge X

D E V O T E A M C O N S U L T I N G - C O N N E C T I N G B U S I N E S S & T E C H N O L O G Y Copyright © Katastrofeplan - implementering Risiko- & Konsekvens- vurdering System Kategorier PrioriteterLøsninger Data sikret Alternativ kapacitet Dokumen tation Infrastruktur Data Arkiv/ Flere Drifts- centre Robust IT Network Organisation Opgaver Ansvar Instruktioner Regler Teams IT Katastrofeplan Instruktioner Varslings- lister Varslings procedure