Kapittel 10: Beredskaps- og kontinuitetsplaner

Det skal eksistere beredskapsplaner for oppfølging og reaksjon ved feil og problemer, samt kontinuitets- og katastrofeplaner for håndtering av større og varige brudd på tilgangen til IT-tjenestene og IT-systemene. Det skal eksistere en oversikt over hvilke beredskaps- og kontinuitetstiltak som skal være knyttet til de ulike kategoriene av IT-tjenester og IT-tjenester.

10.1. Organisering av beredskapsarbeidet

Beredskap ved avbrudd i tilgangen til IT-tjenestene og IT-ressursene tjenestene er styrt på klassifiseringen av tjenestenes og systemenes viktighet. Beredskapsplan for IT-virksomheten omfatter også kontinuitets- og katastrofeplaner. Beredskapsarbeidet skal sikre at situasjoner som kan medføre eller har medført avbrudd i brukernes tilgang til IT-tjenestene håndteres raskt og effektivt.

10.2. Beredskapsplan for fysisk sikkerhet

Eiendomsavdelingen er ansvarlig for fysisk beredskap på Universitetet i Oslo. I samarbeid med USIT har Eiendomsavdelingen utarbeidet lokal beredskapsplan for USIT i tillegg til de sentrale instruksene og beredskapsplanene. Lokal beredskapsplan dekker hendelser som brann, vannlekkasjer, skadeverk, personskade og lignende og beskriver hvilke forholdsregler som skal tas når slike hendelser oppstår. I planen er det også redegjort for oppgavene lokal beredskapsgruppe skal ivareta.

For sammensetning, se USITs beredskapsgruppe.

Tilsvarende beredskapsplaner er utarbeidet for alle bygninger i universitetets eie. For andre lokaler der USIT leier kontorer gjelder beredskapsplaner utarbeidet av huseier. Beredskapsplanene formulerer forholdsregler i forbindelse ulykkes- og faresituasjoner:

  • Situasjonsvurdering:
    Raskest mulig få oversikt over situasjonen, hva har skjedd og hvor stort er omfanget, hvor og når, hvem er berørt, iverksette eventuelle strakstiltak
  • Varsling:
    Umiddelbart varsle ambulanse, brannvesen og politi i de tilfeller der det er aktuelt, samt lokal og sentral beredskapsgruppe som så overtar kommandoen på stedet og innkaller aktuelle ressurser og nøkkelpersoner
  • Vurdering og beslutning av tiltak:
    Skadestedsleder vurderer og prioriterer tiltak i forhold til akutte behov for redning, evaluering, sikring etc, ivaretakelse av personell, sikring av ressurser
  • Iverksetting av tiltak:
    Fordeling av oppgaver, oppdrag og ansvar, etablering av samband og kommunikasjon mellom berørte parter
  • Administrativ og operativ ledelse:
    Fortløpende situasjonsvurdering, oversikt over situasjonen, kontakt med sentral beredskapsgruppe, med operative enheter, eventuelt pårørende, samt intern og eventuell ekstern informasjon
  • Normalisering og etterarbeid:
    Debriefing av alle involverte, ettervern, gjenopptakelse av normal virksomhet, rehabilitering, oppsummering av årsaker og forløp, evaluering og dokumentasjon av bredskapsarbeidet, forslag til forebyggende tiltak og forbedret beredskap

10.2.1 Universitetets vakt- og alarmsentral

Vakt- og alarmsentralen følger opp alarmer fra maskinrommene. Det skal eksistere skrevne prosedyrer for hva Vakt- og alarmsentralen skal gjøre ved ulike typer alarmer.

10.3. Katastrofesite

Det skal eksistere en egen instruks for fysisk sikring av maskinrommene i Ole Johan Dahls hus (OJD) eller Kristen Nygaards hus (KNH) og andre lokaler som huser IT-utstyr og IT-ressurser for å redusere sannsynligheten for at ulykker og faresituasjoner skal oppstå i maskinrommet og føre til avbrudd i tilgangen til IT-tjenestene.

Samtidig vil konsekvensene av et avbrudd på grunn av en større ulykke eller vedvarende faresituasjon i eller i tilknytning til maskinrommet ha svært ødeleggende virkning. Dette nødvendiggjør dublisering av virksomhetskritiske tjenester og data i en katastrofesite utenfor maskinrommet i Informatikkbygget slik at virksomheten kan føres videre selv om en katastrofe inntrer.

Grunnlaget for dubliseringen av tjenester og data i katastrofesiten er klassifiseringen av IT-tjenester og informasjonsressurser i tjenestekatalogen.

10.4. Beredskapsplaner for IT-tjenestene

For alle IT-tjenestene skal det eksistere en beredskapsplan som trer i kraft når det oppstår avbrudd eller fare for avbrudd i tilgangen til tjenesten. Beredskapsplanene er av to typer:

  • Generelle beredskapstiltak på grunnlag av en tjenestes viktighet. Disse tiltakene inngår som en del av definisjonen av de ulike nivåene av viktighet av en tjeneste i tjenestekatalogen
  • Beredskapstiltak utover den generelle beredskapen for en IT-tjeneste skal være forankret i en risikovurdering av den aktuelle tjenesten

10.5. USITs beredskapsorganisasjon

Beredskap i forhold til avbrudd og feilsituasjoner er bestemt på grunnlag klassifiseringen av IT-tjenestene og informasjonsressursene, – jf kapittel 7 “IT-tjenester og informasjonsressurser”. USITs beredskapsorganisasjon omfatter følgende:

  • Driftssenteret Houston
  • Hjemmevaktordningen
  • USITs CERT-gruppe
  • USITs beredskapsgruppe

10.5.1. Driftssenteret Houston

Driftssenteret Houston overvåker og etterser IT-tjenestene. Houston er bemannet med personell fra de sentrale driftsgruppene i arbeidstiden og av eget personell utover normal arbeidstid og i helgene, – jf Houstons nettsider.

10.5.2. Hjemmevaktordningen

Hjemmevaktordningen sikrer beredskap ved hendelser utenom de tider driftssenteret er bemannet. Klassifiseringen av tjenestene og systemene er bestemmende for hva slags aksjoner hjemmevakten skal varsles om og hva slags aksjoner den skal iverksette.

Hjemmevakten kan varsles med e-post, SMS og telefon. Dersom det rapporteres hendelser som krever tiltak før neste arbeidsdag, skal hjemmevakten starte oppfølgingen innen en time. Dersom dette krever tilstedeværelse på USIT, skal oppfølgingen starte innen to timer.

Dersom hjemmevakten ikke kan løse problemet på egen hånd, skal annet kvalifisert personell kontaktes, men det er ikke noe krav om at dette personellet starter arbeid med problemet før neste arbeidsdag.

Hendelser som varsles hjemmevakten, inkludert hjemmevaktens eget arbeid med hendelsen, skal rapporteres til tjenesteansvarlig på USIT.

10.5.3. USITs CERT-gruppe

USITs CERT-gruppe har ansvar for håndtering av sikkerhetshendelser.

10.5.4. USITs beredskapsgruppe

Ved siden av å tre sammen ved ulykker og større faresituasjoner redegjort for ovenfor, trer USITs beredskapsgruppe også sammen ved andre større avbrudd i IT-tjenestene eller når beredskapsplanen for den aktuelle tjenesten krever det. IT-direktøren eller IT-sikkerhetssjefen innkaller beredskapsgruppen når det er nødvendig. 

Tillegg

Innkalling av USITs beredskapsgruppe

Publisert 28. feb. 2017 13:17 - Sist endret 27. nov. 2017 12:50