Politik for forretningskontinuitet og katastrofegenopretning - SMV

Politikken for forretningskontinuitet og katastrofegenopretning (P32S) er udarbejdet for at hjælpe organisationer, herunder små og mellemstore virksomheder (SMV'er) uden dedikerede IT-teams, med at opretholde driften og genoprette essentielle IT-tjenester i mødet med forstyrrende hændelser såsom cyberangreb, strømafbrydelser og systemsvigt. Med anerkendelse af de særlige udfordringer, som SMV'er står over for, giver politikken et praktisk og klart rammeværk for kontinuitetsplanlægning, der fremmer organisatorisk robusthed og overholdelse af lovgivningen. Politikkens omfang er omfattende og kræver anvendelse på alle forretningskritiske systemer og tjenester, medarbejdere og eksterne IT-udbydere. Den sikrer parathed til en bred vifte af forstyrrelser, herunder, men ikke begrænset til, cyberhændelser, hardwarefejl eller fysisk utilgængelighed af arbejdsområder. Politikken dækker centrale områder: styring af sikkerhedskopier, forretningskontinuitetsplanlægning (BCP), katastrofegenopretningsoperationer, medarbejderparathed og regulatorisk respons. Den kræver specifikt, at afdelinger definerer og årligt tester kontinuitetsworkarounds for deres tre vigtigste kritiske funktioner, så alternative arbejdsgange er tilgængelige, når primære systemer svigter. Et af de kendetegnende træk ved P32S er dens tilpasning til SMV'er, som fremgår af SMV-politiknotationen og udpegningen af General Manager (GM) som politikkens ejer. GM er ansvarlig for godkendelse af politikken, vedligeholdelse af kontinuitetsplaner, regulatoriske rapporter (såsom GDPR-underretninger) og koordinering af håndtering af sikkerhedshændelser. Eksterne IT-udbydere og afdelingsledere har vigtige understøttende roller og sikrer, at kritiske processer for sikkerhedskopiering, genopretningshandlinger og alternative operationer udføres og dokumenteres. Denne organisering sikrer effektive kontinuitetspraksisser uden den overhead-kompleksitet, der ikke passer til mindre organisationer. Centralt i politikken er vægten på overholdelse af internationale og regionale standarder, herunder ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU GDPR, NIS2, DORA og COBIT 2019. Politikken kortlægger omhyggeligt krævede aktiviteter såsom vedligeholdelse og test af BCP'er, dokumentation af alle risikovurderinger og accept af restrisiko samt levering af medarbejdertræning. Gennemsigtige styringsmekanismer sikrer revisionsparathed; organisationer skal kunne demonstrere ikke blot løbende procesforbedring, men også vedligeholdelse og tilgængelighed af opdaterede planer, rapporter om validering af sikkerhedskopier og træningsdokumentation for internt personale og leverandørpersonale. Årlig test af BCP- og DR-planer er et obligatorisk krav sammen med scenariebaserede medarbejdergennemgange og tekniske gendannelsestests. Politikken kræver også strenge standarder for sikkerhedskopiering, overholdelse af gendannelsesprocedurer og grundige efterhændelsesgennemgange. Manglende overholdelse fra personale eller tjenesteudbydere kan føre til disciplinære foranstaltninger, kontraktgennemgang, regulatorisk rapportering eller tab af organisatorisk tillid. Samlet set tilbyder denne politik SMV'er en robust, reguleringsmæssigt tilpasset og handlingsorienteret vej til forretningskontinuitet og katastrofegenopretning.