Veileder for planlegging og gjennomføring av IKT-øvelser

Difi har laget en veileder om IKT-øvelser som vektlegger informasjonssikkerhet og virksomhetskontinuitet. Veilederen er nå publisert som en beta-versjon og vi ønsker kommentarer og innspill.

Målgruppe

Hva skal til for å planlegge og gjennomføre enkle IKT-øvelser? Difi har laget en veileder om IKT-øvelser som vektlegger informasjonssikkerhet og virksomhetskontinuitet. Veilederen er nå publisert som en beta-versjon og vi ønsker kommentarer og innspill i en høringsperiode til og med mars 2016. Første ordinære utgave av veilederen vil bli publisert på NIFS-møtet i april 2016.

Veilederen forutsetter ingen forkunnskaper eller erfaring i å planlegge og gjennomføre øvelser. Målgruppen for veilederen er alle som har ansvar for informasjonssikkerhet i offentlig sektor, og særlig i virksomheter som ikke allerede gjennomfører minst en IKT-øvelse per år.

Hvorfor øver vi?

Øvelser skal gi deltagerne kunnskap og erfaring. De skal også bidra til bedre risikoforståelse og sikkerhetskultur. Læring bør derfor vektlegges i alle øvelser. Øvelser skal også bidra til forbedring av beredskapsplaner, sikkerhetstiltak og risikovurderinger gjennom et samspill med andre aktiviteter i ledelsessystem for informasjonssikkerhet (internkontroll).

Hvorfor vektlegges enkle øvelser?

Veilederen er i særlig grad laget for å veilede og bistå de som ikke øver IKT-hendelser. En vanlig begrunnelse for at det ikke øves så ofte er at en ikke har tid. Samtidig har øvelser som er planlagt med kun ett øvelsesmål større forutsetninger for bli vellykket enn større øvelser. Det er derfor hensiktsmessig å vektlegge korte og enkle øvelser, og la det være en målsetning at veilederen skal være et verktøy for å få godt utbytte av korte øvelser.

Koblingen til ledelsessystem (internkontroll)

Veilederen om planlegging og gjennomføring av IKT-øvelser har en tett kobling til Difis veileder om internkontroll informasjonssikkerhet. Øvelser skal bidra til kontinuerlig forbedring av informasjonssikkerheten. Allerede under planlegging av en øvelse kan slike bidrag komme. For å sikre at øvelsen er troverdig og relevant er det hensiktsmessig å bruke virksomhetens risikovurderinger i planleggingsarbeidet, og et biprodukt av planleggingsarbeidet kan være forslag til forbedring av risikovurderingene.

Bidraget med størst verdi for virksomheten kommer vanligvis fra evalueringen av øvelsen når den er gjennomført. Øvelser er et godt verktøy til å identifisere muligheter til forbedring av beredskapsplaner og sikkerhetstiltak. Dette vil bidra til kontinuerlig forbedring av informasjonssikkerhet i virksomheten.

Øvelser fører til bedre beredskap

Sett fra fugleperspektiv bidrar øvelser til å trene opp virksomhetens beredskapsmuskler, og treningen bidrar også til å utvikle god sikkerhetskultur. Den dagen en uønsket hendelse inntreffer blir den oppdaget tidlig, varslet effektivt og uten unødig opphold, og hendelsen blir håndtert på riktig nivå uten at virksomhetens produksjon og ressursbehov blir påvirket mer enn høyst nødvendig.

En positiv bieffekt av øvelser er at medarbeidere som øver også kan bli bedre til å løse oppgaver som ikke er forårsaket av uønskede hendelser. Øvelser er med andre ord et sikkerhetstiltak som ikke oppleves som en hindring, men som kan bidra til effektivitet. På samme måte kan noen tiltak for virksomhetskontinuitet i praksis bidra til forenkling og høyere produktivitet. Nøkkelen er å velge relevante hendelser og situasjoner som utgangspunkt for øvelser.

Vi ønsker å høre fra deg

Vi ønsker kommentarer og innspill i en høringsperiode til og med mars 2016. Vi ønsker å høre både fra de som har prøvd å bruke veilederen og de som bare har lest den og gjort en vurdering av innholdet.

Benytt kontaktinformasjonen nederst på denne siden til å sende e-post.

Publisert: 26. nov 2015, Sist endret: 16. apr 2018

Deldette

Kontakt