Det er vigtigt, at kommunens it-funktioner opretholdes under alle forhold. Især når det drejer sig om vitale samfundsfunktioner. Derfor skal it-beredskabsplanen først og fremmest danne grundlag for IT & Digitaliserings håndtering af opgaver i forbindelse med nedbrud på kommunens it-funktioner, således at de berørte funktioner kan reetableres til normal drift inden for en acceptabel tidsramme.

Eksempler på mulige risiko-/trussel scenarier, der kan true kommunens it-systemer: Brande og eksplosionsulykker Naturkatastrofer (storme/sne/oversvømmelse mv.), der medfører vandskader og strømsvigt Andre forhold, der forårsager vandskader og strømsvigt Sikkerhedsbrud (f.eks. virus-/hacker angreb, der sætter servere eller systemer ud af funktion) Tyveri af vitale it-dele mv. Terrorhandlinger direkte mod it-systemerne eller mod andre områder, hvor det f.eks. medfører alvorlige strømsvigt eller andet, der sætter it-systemerne ud af drift. It-beredskabsplanen skal også give kommunens chefer og øvrige medarbejdere en orientering om IT & Digitaliserings procedurer i forbindelse med reetablering efter nedbrud på it-funktionerne, således at de har nogle retningslinjer at forholde sig til med hensyn til it-driften inden for eget ansvarsområde. Udover at it–beredskabsplanen skal være tilgængelig i papirform, vil den fremstå som en selvstændig beredskabsplan, og indgå som bilag i den samlede "Beredskabsplan for Skive Kommune". Desuden vil planen være tilgængelig for alle medarbejdere via kommunens intranet.

Målsætning for it-beredskabetI en katastrofesituation er det IT & Digitaliserings opgave, så længe som muligt, at videreføre de normale samfundsfunktioner eller reetablere disse efter materielle ødelæggelser og skader. Men da også mindre nedbrud i forbindelse med it-driften har væsentlig betydning for gennemførelse af kommunens vitale funktioner, skal it-beredskabet også i disse situationer kunne etableres, således at kommunens it-miljø, hurtigst muligt kan genskabes efter nedbrud. Planen skal skabe forudsætninger for, at løsning af beredskabsopgaver kan gribes rationelt an. I det omfang det er nødvendigt, må visse opgaver, efter ledelsens nærmere bestemmelse, udskydes eller suspenderes for at ressourcerne kan anvendes på livsvigtige eller højere prioriterede opgaver. Ud over de normale opgaver vil situationen kunne medføre, at IT & Digitaliserings pålægges uvante opgaver som led i beredskabsopbygningen. Her henvises til Beredskabslovens § 57, der pålægger offentligt ansatte og ansatte i offentlige og private virksomheder og institutioner at udføre de opgaver inden for redningsberedskabet og det civile beredskab, der pålægges dem. Planlægningen og indsatsen omkring opbygning af it-beredskabet rettes primært mod: Opbygning og videreudvikling af procedurer, der har til formål at opretholde kommunensit-funktioner længst muligt og i givet fald at reetablere driften inden for en acceptabeltidsramme. Vejledning til dataejerne i forbindelse med deres vurdering af forretningsgangene i forhold til afhængigheden af it-systemerne og fastsættelse af behovet for et internt nødberedskab. Udarbejdelse og revision af beredskabsplanen It-chefen er ansvarlig for udarbejdelse og revision af it-beredskabsplanen. Planen skal revideres i det omfang, udviklingen gør det nødvendigt. Som minimum gennemgår IT & Digitaliserings beredskabsplanen én gang årligt i forbindelse med den fastlagte opfølgning på kommunens it -sikkerhed.It-beredskabet1. IT-beredskabsgruppens sammensætning It-beredskabet styres af en it-beredskabsgruppe, der består af følgende personer i IT & Digitalisering: It & digitaliseringschefen Souschefen IT & digitaliseringschefen fungerer som gruppens formand. Hvis IT & digitaliseringschefen er fraværende indtræder souschefen som formand for gruppen. Gruppen udpeger en indsatskoordinator (IK). Hvis den valgte indledningsvis indgik i beredskabsgruppen, skal gruppen herefter justeres. Formanden sammensætter af de øvrige medarbejdere en - efter forholdene - hensigtsmæssig adhoc arbejdsstab. 2. Etablering af it-beredskabet It-beredskabet etableres i forbindelse med alvorlige fejl/nedbrud på it-driften, som påvirker mange personer og/eller vitale områder. Desuden kan beredskabet etableres forud for planlagte ændringer i it-systemet, hvor det kan forudses, at der kan være fare for alvorlige fejl/nedbrud, der vil kunne påvirke mange personer og/eller vitale områder. I princippet har alle ret til at anmode om at få etableret it-beredskabet. Dog vil det normalt være IT- & digitaliseringschefen eller souschefen, der iværksætter beredskabet. Hvis både IT & digitaliseringschefen og souschefen er fraværende, afgør de tilstedeværende ansatte i IT & Digitalisering kollektivt om beredskabet i givet fald skal etableres, og udpeger samtidigt en formand for it-beredskabsgruppen, der således bliver ansvarlig for beredskabets iværksættelse. 3. It-beredskabsgruppens ansvar/opgaver Det er it-beredskabsgruppens ansvar og opgave så hurtigt som muligt efter etableringen af it -beredskabet, at skaffe overblik over situationen, vurdere og fastsætte indsatsen og derefter iværksætte det fornødne for at genoprette it-driften. Efterfølgende tjekliste kan anvendes til at skaffe overblik, vurdere og fastsætte indsatsen m.v. 4. Tjekliste til brug under beredskabsforløbet Ansvar/overblik: Få hurtigst muligt klarhed over følgende: Hvad er der sket? Hvor omfattende er skaden? Hvor meget og hvor mange er berørt af skaden? Hvad er der foretaget indtil nu? Hvad er status? Kan vi etablere nødløsninger, alternative opkoblinger og/eller flytte brugere? Hvilke serviceaftaler og reaktionstidsgarantier er gældende for området? Overblik over ressourcer: Hvem er på arbejde? Hvilke aftaler ligger i kalenderne? Hvornår kan medarbejderne forvente at gå hjem? Hvem kan/skal blive efter normal arbejdstid? Hvilke aftaler skal der evt. laves med familie eller andre? Hvordan er vi stillet, hvis næste dag er weekend eller helligdag? Hvilke leverandører er indblandet? Hvilke ressourcer råder leverandørerne over? Hvem kan leverandørerne holde tilbage på arbejde? Hvem er den ansvarlige person hos den eksterne leverandør, som vi kan bruge som indgangsvinkel til leverandøren? Notér alle navne, telefonnumre og mailadresser mv. Risikovurdering: Hvad nu, hvis vi ikke kommer i luften eller der opstår andre fejl mv.? Hvilke alternativer skal vi overveje? Hvad er næste skridt i fejlrettelsen? F.eks. efter udskiftning af en router: Hvem skal konfigurere den? Kan vi allerede tidligt sikre os ressourcen og navn på person samt sikkerhed for, at vedkommende er klar, når enheden er skiftet? Hvor er installationsmedier og andre nødvendige medier? Hvor er de seneste og brugbare backup til reetableringsformål? Hvilke tab af data vil vi kunne acceptere? 5. Indsatskoordinatorens ansvar og opgaver IK er IT & Digitaliserings bindeled til interne og eksterne teknikere m.fl. IK skal sikre, at egne og/eller eksterne teknikere sættes på de nødvendige opgaver og at fejlmeldinger afgives korrekt til rette instanser. IK skal etablere fejlmeldinger på papir, tavle eller andet relevant medie (herunder elektronisk) og systematisk vedligeholde en handlings-log med alle aktiviteter, hændelser, opkald, navne på kontaktpersoner og ansvarlige hos eksterne leverandører mv. Alt skal noteres af hensyn til dokumentation til brug for opfølgning, tjek af serviceaftaler og evaluering mv. 6. Information i forbindelse med etablering af it-beredskabet Det er vigtigt, at der ved etablering af it-beredskabet - og derefter løbende til og med afslutningen af beredskabet udsendes fornødne informationer om situationen til medarbejdere og brugere m.fl. Herunder findes en tjekliste for it-beredskabsgruppen til brug ved information om beredskabet: Information til brugere Omfang, indhold og distributionsmetode fastlægges. Som et minimum informeres om: Hvad er der sket? Hvem er berørt? Hvad har vi gjort? Hvornår forventes fejlen rettet? Ved fortsat beredskab: Hvornår udsender vi ny information? Information til alle medarbejdere i IT & Digitalisering Rundsendelse af mail eller anden form for besked med henvisning til, hvor man kan søge yderligere informationer. Det skal sikres, at alle læser/får mailen/informationen omgående. Udekørende skal kontaktes på mobiltelefon, så de kan besvare spørgsmål ude i marken. It-chefen og souschefen kontaktes så vidt muligt, hvis de er fraværende på grund af møder, kursus eller lignende Information via portal, service desk system og fast telefonbesked It-beredskabsgruppens aktiviteter dokumenteres sideløbende via en grundig ajourføring af fejlmeldingen i en handlingslog på papir, tavle eller andet relevant medie (herunder elektronisk). Ved enkelte undtagelser føres kun en intern handlingslog. Information til IT & Digitaliserings nærmeste overordnede og it-sikkerhedsorganisationens medlemmer Information til forvaltningsledelsen og den it-sikkerhedsansvarlige om, at IT & Digitalisering har iværksat it-beredskab Årsag? Hvad er sat i gang? Hvornår forventer vi nyt? Hvor kan de eventuelt selv holde sig ajour? Hvem er formand for it-beredskabsgruppen? Hvem er ledelsens kontaktperson? Aflysning af møder og andre aktiviteter It-beredskabsgruppen vurderer, hvilke aktiviteter der eventuelt skal aflyses for IT & Digitaliserings medarbejdere. Besked sendes til berørte parter. Fremgangsmåde ved alarmering af IT & DigitaliseringIT & Digitaliserings medarbejdere og materiel kan indsættes ved større ulykker og katastrofer, når der opstår situationer, hvor offentlig indgriben er nødvendig – og som en første prioritet, hvor der er behov for it-kompetence. Følgende kan beslutte at indsætte IT & Digitalisering: Borgmesteren eller dennes stedfortræder Kommunaldirektøren eller dennes stedfortræder It & digitaliseringschefen Alarmering af IT & Digitaliserings medarbejdere iværksættes ved hjælp af alarmeringsplanen. Alarmeringsplanen er en selvstændig intern plan, som IT udarbejder, opbevarer og opdaterer. Alarmeringsplanen anviser blandt andet, hvordan alarmeringen skal gennemføres, hvis telefonnettet er ude af drift. Desuden findes en kopi af alarmeringsplanen ved Skive Brandvæsens vagtcentral. IT & Digitalisering er ansvarlig for, at Skive Brandvæsens (NVJ Brand) vagtcentral til enhver tid har fået tildelt en ajourført kopi af alarmeringsplanen. Alarmeringsplanen indeholder navnene på IT & digitaliseringschefen og souschefen i IT & Digitalisering. Disse kontakter de medarbejdere, der er nødvendige for at iværksætte beredskabsforanstaltninger. Når det alarmerede personale er mødt, gives en foreløbig information om situation og opgaver. Der informeres om kommunikationsmulighederne og disse afprøves. Personalet holdes herefter informeret om situationen ved periodiske mundtlige orienteringer eller ved rundsendelse af situationsmeldinger mv. Oversigt over nøglepersonel i IT & Digitalisering IT & digitaliseringschefen (mobil 2579 8532) Souschef (mobil 2969 6201) Ressourceoversigt1. Personaleressourcer IT & Digitalisering omfatter primo november 2023 17 ansatte (inkl. it & digitaliseringschef og souschef), der besidder forskellige it-kompetencer, som kan inddrages i beredskabssituationer. Desuden har kommunen decentralt placeret i forvaltningerne et antal superbrugere og it-koordinatorer, der alle har it-opgaver som en væsentlig del af deres ansvarsområde. 2. Andre ressourcer I tilfælde af behov for it-udstyr råder Skive Kommune over en række it-komponenter, som kan inddrages i en beredskabssituation. Det er f.eks.: Bærbare og stationære pc’er Netværksudstyr – routere, switche, kabler Printere Scannere Software Biler Andre forholdsregler, planer, tjeklister mv. der har betydning for it-beredskabetSkive Kommunes overordnede informationssikkerhedspolitik på Intranettet (Word-fil. Kræver login) Læs den overordnede sikkerhedspolitik i PDF-format (PDF) Tjekliste over sikkerhedspunkter til løbende opfølgning Opfølgning er indarbejdet i IT & Digitaliserings årsplan til afvikling én gang årligt.Evaluering efter afslutning af it-beredskabetSenest tre dage efter afslutningen af et iværksat it-beredskab, skal it-beredskabsgruppen og indsatskoordinatoren evaluere hele forløbet. Tjeklisten herunder kan benyttes ved evalueringen: Årsag Hvad var den nøjagtige årsag til fejl/nedbrud? Hvornår kan fejlen opstå igen? Hvordan kan vi undgå/forebygge fejlen? Hvordan kan vi minimere konsekvenser ved fejltagelse? Forløb i fejlrettelsen Var man klar over fejlmeldingsproceduren? Var nødvendige telefonnumre, mailadresser og dokumentation tilgængelig – og var de kendt af de involverede it-medarbejdere? Reagerede eksterne leverandører tilfredsstillende? Var varigheden for fejlrettelsen acceptabel? Hvad kunne gøres anderledes? Kvaliteten af tilbagemeldinger fra brugere? – Hvordan oplevede de forløbet i forbindelse med nedbrud, information, fejlretning, varighed og afledte konsekvenser i fagforvaltningerne? Ændring af serviceaftalers indhold - eventuel etablering af nye serviceaftaler Giver erfaringerne fra forløbet grund til at etablere nye serviceaftaler med eksterne eksperter? Er der grund til at skærpe, præcisere eller ændre indholdet i serviceaftaler? Giver forløbet grund til at ændre procedurer og/eller aftaler andre steder? Kunne lignende fejl ske andre steder? Kunne lignende konsekvenser opstå ved andre typer fejl? Er der områder, som på baggrund af de nye erfaringer kræver en risikovurdering hurtigst muligt? Evaluering af selve it-beredskabets effektivitet – justering Fungerede it-beredskabsplanen efter hensigten? Blev planen fulgt? Skal planen suppleres med nye punkter? Skal der foretages andre justeringer i planen? Revision af planen (elektronisk og papirudgave)? Tilbagemelding til brugerne om årsagen til problemet og hvilke erfaringer vi har gjort os. Afprøvning af it-beredskabsplanenFor at sikre, at it-beredskabsplanen til stadighed er fuldt opdateret og fungerer optimalt, er det vigtigt at den jævnligt afprøves. Når man ser bort fra realsituationer, hvor planen iværksættes, så er en afprøvning af hele eller dele af planen den bedste måde, hvorpå man kan finde eventuelle fejl i planen samt videreudvikle de fastsatte procedurer, der skal følges i forbindelse med en etablering af it-beredskabet. Ved afprøvninger af planen bliver både it-beredskabsgruppen og it-brugerne m.fl. fortrolige med,hvorledes en it-beredskabssituation skal håndteres. En afprøvning af it-beredskabsplanen kan foregå ved, at der bliver iværksat en målrettet it-beredskabsøvelse. Dette vil være en bekostelig metode og vil normalt ikke blive benyttet. En anden og meget mindre bekostelig metode vil være, at iværksætte hele eller dele af it-beredskabsplanen i forbindelse med de varslede opgraderinger og fejlretninger af it-systemer, der alligevel jævnligt skal udføres. Denne afprøvningsmetode vil derfor normalt blive benyttet. IT & digitaliseringschefen har ansvaret for at planlægge, iværksætte og lede afprøvninger af it-beredskabsplanen. Denne afgør på hvilket niveau den enkelte afprøvning skal foretages, omfanget af brugere, der skal deltage i afprøvningen og hvilke it-beredskabsprocedurer, der skal afprøves. Varslingen til brugerne om en it-beredskabsafprøvning kan "iklædes" forskellige testscenarier – og vurderingen af niveau og omfanget af brugere vil være afhængig af den pågældende opgradering eller fejlretning af systemet. Efter enhver afprøvning af it-beredskabet benyttes de samme evalueringsprocedurer, som gælder efter en real-iværksættelse af it-beredskabet.Systemejernes ansvar for internt it-nødberedskabSikring af data og anvendelse af informationsteknologi foretages og foregår på samme måde i som uden for en katastrofesituation. Systemejerne har ansvaret for at foretage en intern vurdering af forretningsgangene i forhold til afhængigheden af it-systemerne – og herfra vurdere og fastsætte behovet for et internt nødberedskab. Systemejerne og IT & Digitalisering udarbejder i samarbejde en risikovurdering, således at IT & Digitalisering kan indrette it -strukturen, herunder service- og reaktionstidsaftaler, efter forventningerne. Forventningerne skal afstemmes efter de økonomiske konsekvenser disse måtte have. Direktionen får en status på it-sikkerheden én gang årligt.