Politik for forretningskontinuitet og katastrofegenopretning

Politikken for forretningskontinuitet og katastrofegenopretning fastlægger de obligatoriske kontroller, processer og ansvarsområder for at opretholde eller genoprette organisationens kritiske forretningsdrift og informationssystemer samt ICT-tjenester under og efter forstyrrende hændelser. Den giver et struktureret rammeværk til at beskytte liv, sikre driftsstabilitet, opretholde retlige og kundemæssige forpligtelser og beskytte organisationens omdømme ved at indlejre robusthed gennem proaktiv planlægning og validerede genopretningskapaciteter. Denne politik gælder for alle organisatoriske enheder, informationssystemer, forretningsprocesser, personale og tredjepartstjenester, der vurderes som kritiske eller essentielle baseret på resultaterne af en forretningskonsekvensanalyse (BIA). Omfanget er omfattende og dækker både naturlige og menneskeskabte forstyrrelser såsom cyberangreb, infrastruktursvigt, datacenterudfald, pandemier og afbrydelser i leverandørtjenester. Den fastsætter de grundlæggende forventninger til planlægning, løbende test og løbende forbedring af Business Continuity Plans (BCP'er) og Disaster Recovery Plans (DRP'er) og sikrer, at forpligtelser over for reguleringsmæssige, kontraktlige og industriens bedste praksis opfyldes. Politikkens centrale mål omfatter at garantere kontinuitet i forretningsdriften via foruddefinerede og testede procedurer, minimere potentielle driftsmæssige, omdømmemæssige og retlige påvirkninger samt sikre rettidig genopretning inden for definerede mål for gendannelsestid og gendannelsespunkter (RTO'er og RPO'er). Den tildeler klar ansvarlighed på tværs af virksomheden: Direktion, forretningskontinuitets- og IT-katastrofegenopretningsansvarlige, afdelingschefer, informationssikkerhedschefer og kriseberedskabsteamet har hver især definerede roller for strategi, planlægning, udførelse og kommunikation. Politikken kræver etablering af et samlet Business Continuity Management System (BCMS) i overensstemmelse med ISO 22301 og ledelsessystemkravene for informationssikkerhed i ISO/IEC 27001. Den kræver en årlig BIA for alle kritiske enheder, udvikling og godkendelse af BCP'er/DRP'er samt vedligeholdelse af nøjagtig dokumentation, eskaleringsflows og kontaktlister. Planer skal omfatte manuelle workarounds, aktivering af alternativ lokation, krisekommunikation og beredskabsstrategier for forsyningskæden. Regelmæssig test, herunder årlige robusthedsvurderinger, tabletop-øvelser og simulerede failovers, er obligatorisk for at gennemgå effektivitet, afhængigheder og risikoprofil. Politikken adresserer også integrationen af kontinuitetsplanlægning med sikkerhed og håndtering af sikkerhedshændelser og sikrer, at der ikke sker kompromis med informationssikkerhedskontroller under genopretning. Undtagelseshåndtering, risikoevaluering og eskaleringsprotokoller er defineret, mens løbende overvågning af overholdelse og disciplinære foranstaltninger ved manglende overholdelse sikrer håndhævelse. Denne politik er strengt tilpasset førende globale standarder og regulatoriske rammer og understøtter due diligence i operationel robusthed og revisionsbarhed i forhold til retlige eller kontraktlige forpligtelser.