Från GDPR till kontinuitetsplanering

Från GDPR till kontinuitetsplanering

– så tog Tjörns kommun kontrollen över sin informationssäkerhet   

 

Ett projekt som startade med att undersöka vilka IT-system som är extra känsliga ur en GDPR-synpunkt födde insikten att reservrutiner när system slutar fungera saknades. En kontinuitetsplanering behövde genomföras. Nu vet medarbetarna i Tjörns kommun hur de ska agera när störningar i IT-system uppstår.

Tjörns Kommuns utmaning

Innan projektet med kontinuitetsplanering startade 2018 upplevde flera av kommunens verksamheter att det fanns brister i deras rutiner kopplat till IT-systemen. Det saknades en struktur för hur verksamheternas medarbetare skulle agera om IT-systemen blev otillgängliga. Detta inkluderade både en vetskap kring hur verksamheten ska fortsätta leverera sina tjänster med otillgängliga system, såväl som hur systemen återställs rent tekniskt vid en störning.

Tjörns kommun hade tidigare tagit fram dokument för hur en kontinuitetsplan kunde vara utformad, men aldrig tillämpat mallen på ett system. DirSys blev tillfrågade att se över mallen och identifierade då ett behov av att kunna verkställa mallen operativt. Detta var viktigt för att förtydliga rutinerna vid störningar på IT-system och tjänster. Utöver detta behövde informationen nå alla medarbetare som arbetade i de aktuella systemen. Målbilden var att alla berörda medarbetare ska veta hur de förväntas agera vid ett systembortfall – för att säkerställa att verksamheten inte stannar upp bara för att ett IT-system gör det. Här betraktades reservrutiner, återgångs- och återställningsrutiner både för när systemet är otillgängligt, men även vad som ska göras när systemet återigen blir tillgängligt.

Samarbetet med DirSys

Det pågående projektet kring GDPR synliggjorde att ett framtagande av en kontinuitetsplan krävdes. Arbetet har framför allt handlat om att skapa en ökad medvetenhet hos organisationen för hur man bör tänka och agera vid olika scenarion. Ett stort värde är att det nu finns dokumenterat så att det enkelt kan kommuniceras ut till hela organisationen. Syftet är helt enkelt att bibehålla en god nivå på kommunens informationssäkerhet.

Insatsen bidrar dessutom till att informationssäkerhetsfrågan får ett mycket bredare fokus i Tjörns kommuns verksamheter. Med en höjd medvetandenivå blir det också tydligt för organisationen att informationssäkerhet inte endast är en IT-fråga, utan framförallt en verksamhetsfråga.

“Vi har jobbat med DirSys i olika frågor under många år så det var naturligt att samarbeta i detta projektet eftersom de hjälpt oss med informationssäkerhetsarbetet tidigare. Samarbetet har fungerat jättebra och vi skulle absolut ta hjälp av DirSys igen.”
– Thorbjörn Berndtsson, Säkerhetssamordnare, Tjörns Kommun