Policy för affärskontinuitet och katastrofåterställning

Policyn för affärskontinuitet och katastrofåterställning fastställer obligatoriska kontroller, processer och ansvar för att upprätthålla eller återställa organisationens kritiska verksamhet och IKT-tjänster under och efter störande incidenter. Den tillhandahåller ett strukturerat ramverk för att skydda liv, säkerställa operativ stabilitet, upprätthålla rättsliga och kundrelaterade åtaganden samt skydda organisationens anseende genom att inarbeta motståndskraft via proaktiv planering och validerade återställningsförmågor. Denna policy gäller för alla organisationsenheter, informationssystem, verksamhetsprocesser, personal och tredjepartstjänster som bedöms som kritiska eller väsentliga baserat på resultaten av en affärskonsekvensanalys (BIA). Omfattningen är heltäckande och täcker naturliga och människoskapade störningar såsom cyberattacker, infrastrukturfel, driftstopp i datacenter, pandemier och avbrott i leverantörstjänster. Den fastställer grundläggande förväntningar för planering, löpande testning och ständig förbättring av affärskontinuitetsplaner (BCP:er) och katastrofåterställningsplaner (DRP:er) och säkerställer att skyldigheter gentemot regulatoriska, avtalsmässiga och branschstandarder uppfylls. Policyns huvudsakliga mål inkluderar att garantera kontinuitet i verksamheten via fördefinierade och testade förfaranden, minimera potentiella operativa, anseendemässiga och rättsliga konsekvenser samt säkerställa återställning i tid inom definierade mål för återställningstid och återställningspunkt (RTO:er och RPO:er). Den tilldelar tydligt ansvar i hela organisationen: högsta ledningen, ansvariga för affärskontinuitet och IT-katastrofåterställning, avdelningschefer, informationssäkerhetschefer och krisresponsteamet har definierade roller för strategi, planering, genomförande och kommunikation. Policyn kräver etablering av ett enhetligt ledningssystem för affärskontinuitet (BCMS) i linje med kraven i ISO 22301 och ISO/IEC 27001. Den kräver en årlig BIA för alla kritiska enheter, utveckling och godkännande av BCP:er/DRP:er samt upprätthållande av korrekt dokumentation, eskaleringsflöden och kontaktlistor. Planer måste inkludera manuella lösningar, aktivering av alternativ plats, kriskommunikation och strategier för beredskap i leveranskedjan. Regelbunden testning, inklusive årliga motståndskraftbedömningar, bordsövningar och simulerade failovers, är obligatorisk för att granska effektivitet, beroenden och beredskapsläge. Policyn behandlar även integrering av kontinuitetsplanering med säkerhet och incidentrespons och säkerställer att informationssäkerhetskontroller inte komprometteras under återställning. Hantering av undantag, riskutvärdering och eskaleringsprotokoll definieras, medan efterlevnadsövervakning och disciplinära åtgärder vid bristande efterlevnad säkerställer policyns genomdrivande. Denna policy är strikt anpassad till ledande globala standarder och regulatoriska ramverk och stödjer due diligence avseende operativ motståndskraft och revisionsbarhet för rättsliga eller avtalsmässiga skyldigheter.