Hur detaljerad ska en kontinuitetsplan (BCP) vara?

Daniel Andersson Senior Information Security Consultant, Cegal Sweden. Daniel har lång erfarenhet inom informationssäkerhet och är Certified Information Security Manager (CISM) samt certifierad Cybersecurity Practitioner (CSX-P). Med bakgrund inom både teknik och ledarskap har Daniel en bred syn på dagens utmaningar och dess olika lösningar.

05/06/2025 |

En fråga som ofta kommer upp är hur kontinuitetsplanerna skall formas samt hur detaljerade de behöver vara. Vi tar upp några av de aspekterna och försöker bringa klarhet.

Det grundläggande man behöver ha med sig när man skapar kontinuitetsplaner är att planerna skall vara ett stöd för verksamheten i händelse av kris. Det är även viktigt att beakta att de experter man har inom respektive område kanske inte är tillgängliga under krisen, det gör att mindre erfarna medarbetare ska kunna få stöd av planerna.

Under en kris är det även många beslut som behöver tas, ofta med relativt små tidsfönster, det är därför viktigt att det vid en kris inte behöver spenderas tid på att diskutera vem som har vilket mandat, utan att detta är tydligt dokumenterat i planerna.

Bättre en enkel plan än ingen alls

En aktuell plan är oftast bättre än ingen plan alls, det är därför viktigt att arbetet med att skapa planerna startas och med insikten att kompletteringar och ändringar är en naturlig del av arbetet med att ta fram, testa och underhålla planerna.

Detaljnivå beror på behov

De tekniska återställningsplanerna (DRP) är oftast mer detaljerade, där tydliga steg-för-steg-instruktioner är ett bra stöd. Det viktiga i dessa planer är att det är lätt att hitta de delar som är relevanta för respektive del i planen samt att tydligheten är god. Under en kris är det ofta stressigt och det är naturligt att risken för mänskliga misstag ökar.

När du tar fram eller granskar era befintliga planer kan följande förenklade lista användas som stöd för avstämning:

Förstår någon annan än den som skapat planerna vad som ska göras vid kris?
Är det tydligt vilka som skall kontaktas vid kris och hur dessa kontaktas, inklusive externa parter?
Är det tydligt vem som kan ta beslut om eventuella kostnader utanför budget vid kris?
Är det tydligt vem som kan deklarera att det är kris och aktivera planerna?
Är det tydligt hur det deklareras att krisen är över och vem som kan göra det?
Är det tydligt hur de tekniska komponenterna hänger ihop, och vilka beroenden som måste beaktas vid en återställning?

Kom igång – och fortsätt

Det viktigaste är att börja arbeta med planerna, ta hjälp av de i verksamheten som har kunskap om de kritiska processerna samt säkerställ att planerna granskas och testas. Extern hjälp kan även vara värdefullt för att antingen stödja i arbetet eller leda arbetet.

Arbetet slutar inte heller när planerna är framtagna, de behöver underhållas över tid där även förbättringar kan och ska göras.

Cegal och BCP och DR

Cegal har konsulter med bred erfarenhet inom kontinuitetsplanering som kan vara med i olika faser, antingen som stöd i skapandet av planerna, som stöd i att granska redan framtagna planer men även att utföra krisövningar.  

Cegal kan även tillhandahålla tjänster för restore-test av databaser utanför er IT-miljö. Vi är specialiserade på hybridmolnlösningar, uppsättning och drift av affärskritiska lösningar samt övervakning av databaser. Cegal har lång erfarenhet av miljöer för hög tillgänglighet (sk. High Availability-lösningar), där vi bistår både små och stora kunder att hitta rätt lösning till rätt pris.