"Hvor lang skal en beredskabsplan være?" Dette spørgsmål hører vi tit ude hos vores kunder. Mit svar plejer altid at være: "Så kort som muligt!" For sandheden er, at den perfekte beredskabsplan (hvis den overhovedet findes) skal være tre, nogen gange modstridende, ting på én gang:
- Omfattende
- Kort
- Operationel
Omfattende
Beredskabsplanen skal være omfattende. Eller i hvert fald omfattende nok. Læg venligst mærke til at jeg skriver omfattende og ikke lang. For beredskabsplanen bør nødvendigvis omfatte de kritiske processer og systemer, ellers er den ikke noget værd. Det er blandt andet derfor, vi altid anbefaler at starte med en risikovurdering.
Så det er vores første dyd. Beredskabet skal omfatte det, der er kritisk og vigtigt for vores virksomhed, ellers opfylder den ikke sin eneste og vigtigste funktion: At sikre os mod uacceptable tab som følge af en hændelse.
Kort
Men beredskabsplanen skal stadig være kort. Vi ser jævnligt beredskabsplaner på 150 sider og derover. Og selvom det er et imponerende stykke skrivearbejde, så kunne noget af al den tastetid måske være brugt bedre.
Men hvorfor er det så den skal være kort og enkel? Vi er interesseret i en kort beredskabsplan fordi vi skal huske på hvornår og under hvilke omstændigheder, den skal anvendes. I en beredskabssituation skal beredskabsledelsen kun have den information de har behov for i situationen. Hvis vi producerer 150 siders beredskabsplan, vil der ske en af to ting i en beredskabssituation:
- Beredskabet bliver langsomt, ineffektivt og ufleksibelt
- Beredskabsplanen bliver skrottet, og situationen bliver håndteret "på rygraden"
Operationel
Endelig skal vores beredskabsplan være operationel. Dette hænger sammen med det jeg nævnte før, at beredskabsplanen skal være brugbar i en beredskabssituation. Mange beredskabsplaner har lange afsnit med overordnede betragtninger, såsom indledning, formål, målsætninger, interessenter, godkendelser, referencer til standarder og lovgivning, mv. En beredskabsplan skal være operationel fra side 1! Derfor skal den slags overordnede betragtninger, selvom de er berettiget, fjernes fra planen. En god måde at gøre det på er, at lave en separat overordnet "Beredskabspolitik". Eller som minimum lægge disse ting helt til sidst i planen.
For at gøre selve planen operationel, er det vigtigt at vi tænker over struktur og flow i beredskabsplanen. Det nytter ikke noget, hvis beredskabsledelsen skal sidde og bladre for meget frem og tilbage i planen, og dermed mister overblikket. Derfor kan det være en god idé at starte beredskabsplanen med et flowdiagram, sådan at beredskabsledelsen altid kan vende tilbage til dette for at få overblik. Jeg er stor tilhænger af "one page management" tanken, hvor man beskriver hele sit beredskabs-flow på én side.
Man skal også tænke over hvilken stil og hvilket sprog man anvender i planen. Korte klare budskaber, helst i bullet-form er meget bedre end snørklet brødtekst. Husk på at der er begrænset tid og en ikke uanseelig mængde stress i en beredskabssituation.
Så husk vores 3 beredskabsdyder: Omfattende, Kort og Operationel.
Har du erfaringer med at lave effektive, pragmatiske og operationelle beredskabsplaner? Så del dem gerne i kommentarfeltet nedenfor.
Om forfatteren: Jakob Holm Hansen er Senior Security Advisor hos Neupart A/S og rådgiver om bl.a. ISO 27001, it-risikovurderinger og beredskabsplanlægning.
Med Neuparts SecureAware BCP kan du effektivisere beredskabsarbejdet og let sikre dig, at dine beredskabsplaner altid er ajour. Læs mere her
Ingen kommentarer:
Send en kommentar