Gå til hovedindhold

Beredskab for cyber- og informationssikkerhed

Kommuner, regioner og statslige aktører kan herunder finde skabeloner og værktøjer KL har udviklet til arbejdet med beredskab for informationssikkerhed. Disse skabeloner og værktøjer må kun anvendes af kommuner, regioner og staten. Andre aktørers anvendelse af skabelonerne og værktøjerne forudsætter forudgående skriftlig aftale med KL.

  • Læs op

Indhold

    Drejebog: Beredskab for informationssikkerhed

    Beredskabet for informationssikkerhed skal sikre kommunens kritiske forretningsprocesser og behandlingsaktiviteter, hvis der indtræffer alvorlige hændelser, som kan påvirke borgerne og kommunens muligheder for at operere.

    Beredskab er således en særlig sikringsforanstaltning, der skal tages i brug, når de almindelige procedurer ikke kan håndtere et mere alvorligt hændelsesforløb.

    KL har udarbejdet en Drejebog til håndtering af beredskab for informationssikkerhed.
    Målgruppen for drejebogen er kommunens ledelse, informationssikkerhedskoordinator og øvrige kommunale ansatte, der arbejder med etablering og vedligeholdelse af et beredskab for informationssikkerhed.
    Drejebogen giver en overordnet beskrivelse af hvad et beredskab er og hvordan det styres, testes og implementeres.

    Hvis der ønskes yderligere hjælp til etablering af et beredskab for informationssikkerhed i form af mere detaljeret vejledning og skabeloner, så er der i partnerskabet for informationssikkerhed udarbejdet yderligere materiale, der kan hentes nedenfor.

    Skab et overblik

    • Hvilke behandlingsaktiviteter er kritiske for kommunen og borgerne.
    • Hvilke it-systemer understøtter disse behandlingsaktiviteter.

    Her kan der med fordel tages afsæt i risikovurderinger for jeres behandlingsaktiviteter og systemer.
    Alternativt findes de it-systemer, hvor utilgængelighed og større driftsforstyrrelse vil resultere i væsentlige udfordringer for kommunen og dens borgere.
    Husk også at se på eventuelle driftsforstyrrelser på kritisk infrastruktur, der kan påvirke medarbejdernes muligheder for at udføre deres arbejde.

    Lav nødplaner for de indsatser, der skal iværksættes, hvis der ikke er it-understøttelse af de kritiske arbejdsgange.

    En nødplan beskriver, hvordan der skal ageres, hvis et IT-system ikke kan anvendes som normalt til at understøtte forretningen (eller arbejdsgangen).
    Se yderligere beskrivelse i Skabelon for Beredskabsplan, hvor der henvises til relevante skabeloner.

    Få styr på retableringsplanerne

    Retableringsplaner er tekniske beredskabsplaner, som beskriver, hvordan infrastruktur og it-systemer retableres efter en hændelse. I det omfang der anvendes eksterne leverandører, er det dem, der står for at retableringen og dermed dem, som udarbejder retableringsplanerne.

    • Findes der retableringsplaner for kritisk infrastruktur og kritiske it-systemer, hvor kommunen selv varetager driften?
    • Hvilke leverandører anvender kommunen på kritiske systemer?
    • Er der aftalt planer for beredskab og retablering af kritiske systemer med eksterne leverandører?
    • Er der aftalt planer for kritisk infrastruktur med eksterne leverandører?

    Hvad der er behov for ved retablering, afhænger af kommunens organisering af it-driften og den konkrete beredskabssituation.

    Udarbejd beredskabsstrategi for informationssikkerhed

    Beredskabsstrategien fastlægger de overordnede rammer for kommunens arbejde med og implementering af beredskabet for informationssikkerhed. Den indeholder beskrivelse af omfang og afgrænsning af beredskabet, målsætning med beredskabet, herunder eksempler på beredskabsscenarier samt hvordan beredskabet implementeres.
    Beredskabsstrategien er et mere statisk dokument end beredskabsplanen og bør godkendes af ledelsen.

    Skabelon til beredskabsstrategi for informationssikkerhed

    Udarbejd beredskabsplan

    Beredskabsplanen er den operationelle udmøntning af beredskabsstrategien. Beredskabsplanen beskriver de tiltag og handlinger, som er relevante i en beredskabssituation.
    Skabelonen giver forslag til en beredskabsorganisation, roller og ansvar samt en beredskabsproces. Desuden omhandler den forslag til kommunikation i en beredskabssituation samt forslag til den efterfølgende normalisering.

    Skabelon til beredskabsplan for informationssikkerhed

    Hele jeres beredskabsplan i lommeformat

    Miniberedskabsplanen er lavet for at relevante personer altid kan have en miniudgave af beredskabsplanen på sig. Det kan være en god måde for beredskabet til hurtigt at orientere sig i fx kontaktinformationer, mødested og første skridt i forbindelse med en hændelse. Miniberedskabsplanen skal justeres til, så den passer til jeres kommune. Når I har udfyldt og justeret miniberedskabsplanen, skal den printes og foldes, så den passer i pungen som et kreditkort.

    Mini beredskabsplan

    Skabelon: Kontaktlister Bilag A

    Skabelonen kan anvendes til dokumentation af kontaktoplysninger på beredskabsorganisationen, samt øvrige relevante fra forretningen og eksterne leverandører. 

    Hent skabelonen "Kontaktlister" her: 

    Skabelon kontaktlister bilag a

    Skabelon: Nødplan Bilag B.x
    Skabelonen giver forslag til en nødplan ved nedbrud, hvilke procedurer der skal anvendes, hvis et system ikke er til rådighed samt en plan for tilbagevenden til en normal situation.

    Hent skabelonen "Nødplan" her: 

    Skabelon nødplan bilag b

    Skabelon: Overblik over nødplaner Bilag B
    Desuden findes en forside til brug for nødplanerne, hvor man kan lave en oversigt over nødplanerne med angivelse af deres kritikalitet ifm. en beredskabssituation.

    Hent skabelonen "Overblik over nødplaner" her:

    Skabelon overblik over nødplaner bilag b

    Eksempel: Action Cards Bilag C

    Action cards kan anvendes til at beskrive de beredskabsmæssige rollers ansvar og opgaver ifm. en beredskabssituation.
    Ud over ansvar og opgaver beskrives en checkliste med spørgsmål, der kan hjælpe med at efterleve ansvaret.

    Hent skabelonen "Action Cards" her: 

    Action cards bilag c

    Skabelon: Beredskabslog Bilag D
    Skabelonen kan anvendes til brug for den log, der skal føres under en beredskabssituation. Loggen føres for at dokumentere forløbet af bredskabssituationen. 

    Hent skabelonen "Beredskabslog" her: 

    Skabelon beredskabslog bilag d

    Beredskabsrapport

    Når beredskabet aktiveres ved en hændelse eller beredskabet testes, skal der efterfølgende udarbejdes en beredskabsrapport.
    Sker der en hændelse bør beredskabsrapporten indeholde en beskrivelse af hændelsen samt en evaluering af denne.
    Når beredskabet er testet, bør beredskabsrapporten indeholde en beskrivelse af formålet med testen, succeskriterier, testscenarie og en konklusion på testen.  
    Der er udarbejdet en skabelon til en beredskabsrapport.
    Skabelonen indeholder et bilag, hvor ændringer og mangler til beredskabet, fundet under en hændelse eller ved test, kan beskrives. 

    Skabelon beredskabsrapport

    En beredskabsplan kan ikke alene sikre en effektiv håndtering af kriser og hændelser, men den medvirker også til at skabe arbejdsrammer og give støtteværktøjer til kriseberedskabet. Det er i praksis – dvs., når der skal handles hurtigt og hensigtsmæssigt under pres – at beredskabsplanen og aktørerne skal vise sit værd. Det understreger behovet for at teste beredskabsplanen. 

    Målet med testen er ikke at opnå det bedst mulige resultat på dagen, men at teste planen i praksis. Hvis planen ikke testes, kan den ikke gøres bedre. Den skal virke hver dag og ikke kun på en god dag.  

    Håndbog om test af beredskab beskriver hvordan test af en beredskabsplan kan planlægges, styres og udføres. Desuden findes der i håndbogen et idekatalog over forskellige testscenarier, der kan tages afsæt i og tilpasses egen kommune.

    Håndbog om test af beredskab
    Testscenarier bilag a

    På Sikkerdigital.dk kan du finde et Læringsmodul om beredskabsstyring, hvor det overordnet forklares hvad beredskabsstyring er, og hvordan arbejdet kan tilrettelægges. Her kan du desuden se en casefilm fra Sundhedsdatastyrelsen om deres erfaringer med at tilrettelægge arbejdet med beredskabsstyring og beredskabsplaner.

    På Sikkerdigital.dk kan du også spille beredskabsspillet, hvor I har mulighed for at afprøve, hvordan jeres beredskabs-/kriseledelse fungerer i en simuleret krisesituation.

    Prøv beredskabsspillet på sikkerdigital.dk.

    Kontakt

    Konsulent

    Jette Larsson

    Digitalisering & Teknologi

    Telefon: +45 3370 3227

    E-mail: jela@kl.dk