Kapittel 10: Beredskaps- og kontinuitetsplaner

Beredskap ved avbrudd i tilgangen til IT-tjenestene og IT-ressursene tjenestene er styrt p? klassifiseringen av tjenestenes og systemenes viktighet. Beredskapsplan for IT-virksomheten omfatter ogs? kontinuitets- og katastrofeplaner. Beredskapsarbeidet skal sikre at situasjoner som kan medf?re eller har medf?rt avbrudd i brukernes tilgang til IT-tjenestene h?ndteres raskt og effektivt.

Eiendomsavdelingen er ansvarlig for fysisk beredskap p? Universitetet i Oslo. I Å·ÖÞ±­ÔÚÏßÂòÇò_Å·ÖÞ±­Í¶×¢ÍøÕ¾ÍƼö@ med USIT har Eiendomsavdelingen utarbeidet lokal beredskapsplan for USIT i tillegg til de sentrale instruksene og beredskapsplanene. Lokal beredskapsplan dekker hendelser som brann, vannlekkasjer, skadeverk, personskade og lignende og beskriver hvilke forholdsregler som skal tas n?r slike hendelser oppst?r. I planen er det ogs? redegjort for oppgavene lokal beredskapsgruppe skal ivareta.

For sammensetning, se USITs beredskapsgruppe.

Tilsvarende beredskapsplaner er utarbeidet for alle bygninger i universitetets eie. For andre lokaler der USIT leier kontorer gjelder beredskapsplaner utarbeidet av huseier. Beredskapsplanene formulerer forholdsregler i forbindelse ulykkes- og faresituasjoner:

• Situasjonsvurdering:
  Raskest mulig f? oversikt over situasjonen, hva har skjedd og hvor stort er omfanget, hvor og n?r, hvem er ber?rt, iverksette eventuelle strakstiltak
• Varsling:
  Umiddelbart varsle ambulanse, brannvesen og politi i de tilfeller der det er aktuelt, samt lokal og sentral beredskapsgruppe som s? overtar kommandoen p? stedet og innkaller aktuelle ressurser og n?kkelpersoner
• Vurdering og beslutning av tiltak:
  Skadestedsleder vurderer og prioriterer tiltak i forhold til akutte behov for redning, evaluering, sikring etc, ivaretakelse av personell, sikring av ressurser
• Iverksetting av tiltak:
  Fordeling av oppgaver, oppdrag og ansvar, etablering av samband og kommunikasjon mellom ber?rte parter
• Administrativ og operativ ledelse:
  Fortl?pende situasjonsvurdering, oversikt over situasjonen, kontakt med sentral beredskapsgruppe, med operative enheter, eventuelt p?r?rende, samt intern og eventuell ekstern informasjon
• Normalisering og etterarbeid:
  Debriefing av alle involverte, ettervern, gjenopptakelse av normal virksomhet, rehabilitering, oppsummering av ?rsaker og forl?p, evaluering og dokumentasjon av bredskapsarbeidet, forslag til forebyggende tiltak og forbedret beredskap

Vakt- og alarmsentralen f?lger opp alarmer fra maskinrommene. Det skal eksistere skrevne prosedyrer for hva Vakt- og alarmsentralen skal gj?re ved ulike typer alarmer.

Det skal eksistere en egen instruks for fysisk sikring av maskinrommene i Ole Johan Dahls hus (OJD) eller Kristen Nygaards hus (KNH) og andre lokaler som huser IT-utstyr og IT-ressurser for ? redusere sannsynligheten for at ulykker og faresituasjoner skal oppst? i maskinrommet og f?re til avbrudd i tilgangen til IT-tjenestene.

Samtidig vil konsekvensene av et avbrudd p? grunn av en st?rre ulykke eller vedvarende faresituasjon i eller i tilknytning til maskinrommet ha sv?rt ?deleggende virkning. Dette n?dvendiggj?r dublisering av virksomhetskritiske tjenester og data i en katastrofesite utenfor maskinrommet i Informatikkbygget slik at virksomheten kan f?res videre selv om en katastrofe inntrer.

Grunnlaget for dubliseringen av tjenester og data i katastrofesiten er klassifiseringen av IT-tjenester og informasjonsressurser i tjenestekatalogen.

For alle IT-tjenestene skal det eksistere en beredskapsplan som trer i kraft n?r det oppst?r avbrudd eller fare for avbrudd i tilgangen til tjenesten. Beredskapsplanene er av to typer:

• Generelle beredskapstiltak p? grunnlag av en tjenestes viktighet. Disse tiltakene inng?r som en del av definisjonen av de ulike niv?ene av viktighet av en tjeneste i tjenestekatalogen
• Beredskapstiltak utover den generelle beredskapen for en IT-tjeneste skal v?re forankret i en risikovurdering av den aktuelle tjenesten

Beredskap i forhold til avbrudd og feilsituasjoner er bestemt p? grunnlag av klassifiseringen av IT-tjenestene og informasjonsressursene. USITs beredskapsorganisasjon omfatter f?lgende:

• Driftssenteret Houston
• Hjemmevaktordningen
• USITs CERT-gruppe
• USITs beredskapsgruppe

Driftssenteret Houston overv?ker og etterser IT-tjenestene. Houston er bemannet med personell fra de sentrale driftsgruppene i arbeidstiden og av eget personell utover normal arbeidstid og i helgene, ¨C jf Houstons nettsider.

Hjemmevaktordningen sikrer beredskap ved hendelser utenom de tider driftssenteret er bemannet. Klassifiseringen av tjenestene og systemene er bestemmende for hva slags aksjoner hjemmevakten skal varsles om og hva slags aksjoner den skal iverksette.

Hjemmevakten kan varsles med e-post, SMS og telefon. Dersom det rapporteres hendelser som krever tiltak f?r neste arbeidsdag, skal hjemmevakten starte oppf?lgingen innen en time. Dersom dette krever tilstedev?relse p? USIT, skal oppf?lgingen starte innen to timer.

Dersom hjemmevakten ikke kan l?se problemet p? egen h?nd, skal annet kvalifisert personell kontaktes, men det er ikke noe krav om at dette personellet starter arbeid med problemet f?r neste arbeidsdag.

Hendelser som varsles hjemmevakten, inkludert hjemmevaktens eget arbeid med hendelsen, skal rapporteres til tjenesteansvarlig p? USIT.

USITs CERT-gruppe har ansvar for h?ndtering av sikkerhetshendelser.

Ved siden av ? tre sammen ved ulykker og st?rre faresituasjoner redegjort for ovenfor, trer USITs beredskapsgruppe ogs? sammen ved andre st?rre avbrudd i IT-tjenestene eller n?r beredskapsplanen for den aktuelle tjenesten krever det. IT-direkt?ren eller IT-sikkerhetssjefen innkaller beredskapsgruppen n?r det er n?dvendig. 

Innkalling av USITs beredskapsgruppe