Kontinuitetsstyring

Kontinuitetsstyring handler om at planlægge og forberede organisationen på at opretholde kritiske forretningsprocesser og sikre hurtig genopretning efter forstyrrende hændelser som cyberangreb, systemnedbrud eller naturkatastrofer. I ISO 27001 er informationssikkerhedens kontinuitet en vigtig del af Annex A.

Tilbage til ordbog

Hvad er kontinuitetsstyring?

Kontinuitetsstyring (Business Continuity Management, BCM) er den overordnede ramme for at sikre, at en organisation kan fortsætte sin drift under og efter alvorlige hændelser. Fra et informationssikkerhedsperspektiv handler det primært om at sikre tilgængelighed af kritiske systemer og data.

Det er tæt koblet til krav i NIS2 om operationel modstandsdygtighed og til ISO 22301, der er den dedikerede standard for forretningskontinuitetsstyring.

BCM og DRP

To centrale dokumenter i kontinuitetsstyring er:

Business Continuity Plan (BCP): En overordnet plan for, hvordan organisationen opretholder kritiske forretningsfunktioner ved en hændelse, herunder roller, kommunikationsprocedurer og alternative arbejdsordninger.
Disaster Recovery Plan (DRP): En mere teknisk plan for genopretning af IT-systemer og data efter nedbrud, der dækker backup-genopretning, failover-procedurer og systemgenopretningssekvenser.

Krav i ISO 27001

ISO 27001:2022 adresserer informationssikkerhedens kontinuitet i Annex A kontrollerne 5.29 (Informationssikkerhed under afbrydelse) og 5.30 (IKT-beredskab til forretningskontinuitet). Disse kræver, at organisationen planlægger, implementerer, tester og vedligeholder planer for at bevare sikkerhedsniveauet under forstyrrende hændelser.

Kontrol 5.29 fokuserer på at opretholde informationssikkerhedskrav under ugunstige situationer, mens kontrol 5.30 sikrer, at IKT-tjenester kan genoprettes inden for aftalte tidsrammer.

Test dine planer: En kontinuitetsplan, der aldrig er testet, er ikke meget værd. Regelmæssige øvelser og tests afslører huller og sikrer, at medarbejdere kender deres roller, når det gælder. ISO 27001 kræver eksplicit, at planer testes og gennemgås med planlagte intervaller.

RTO og RPO

To nøgletal i kontinuitetsstyring er:

RTO (Recovery Time Objective): Den maksimale acceptable tid til at genoprette en tjeneste efter et nedbrud. Dette driver krav til failover-kapacitet og genopretningsprocedurer.
RPO (Recovery Point Objective): Det maksimale acceptable datatab målt i tid (f.eks. 'vi kan max miste 4 timers data'). Dette driver krav til backup-frekvens og replikering.

Disse mål skal defineres for hvert kritisk system og aftales med forretningsinteressenter. De danner grundlag for teknisk genopretningsplanlægning og investeringsbeslutninger.

Ofte stillede spørgsmål om kontinuitetsstyring

Hvad er kontinuitetsstyring?

Kontinuitetsstyring (BCM) er rammen for at planlægge og forberede en organisation på at opretholde kritiske forretningsprocesser og sikre hurtig genopretning efter forstyrrende hændelser. Det dækker både forretningsmæssige og tekniske aspekter af robusthed.

Hvad er forskellen på en BCP og en DRP?

En Business Continuity Plan (BCP) er en overordnet plan for at opretholde kritiske forretningsfunktioner under en hændelse. En Disaster Recovery Plan (DRP) er en mere teknisk plan specifikt for genopretning af IT-systemer og data efter nedbrud.

Hvordan adresserer ISO 27001 forretningskontinuitet?

ISO 27001:2022 adresserer det gennem Annex A kontrollerne 5.29 (Informationssikkerhed under afbrydelse) og 5.30 (IKT-beredskab til forretningskontinuitet). Disse kræver planlægning, implementering, testning og vedligeholdelse af kontinuitetsarrangementer.

Hvad er RTO og RPO?

RTO (Recovery Time Objective) er den maksimale acceptable tid til at genoprette en tjeneste. RPO (Recovery Point Objective) er det maksimale acceptable datatab målt i tid. Tilsammen definerer de genoprettelsesmål for kritiske systemer.

Hvor ofte bør kontinuitetsplaner testes?

ISO 27001 kræver, at kontinuitetsplaner testes og gennemgås med planlagte intervaller og efter væsentlige ændringer. Best practice er at gennemføre mindst én tabletop-øvelse og én teknisk genopretningstest om året.