Incidenthantering

Incidenthantering innefattar alla händelser som stör, eller som kan störa, en tjänst (även oväntade avbrott i tjänsten). Rapportering kommer från användare via servicedesk och administration, teknisk personal och leverantörer (till exempel internetleverantör) med flera.

För att en verksamhet ska kunna fungera effektivt behövs kontroll över tillgångarna och då särskilt kontroll över informationen. Det krävs säkra lösningar som skyddar tillgångarna. Det handlar om trygghet i form av tilltro till den egna organisationens säkerhet och förmåga, samt att vara förberedd på det oväntade.

Detta är incidenthantering

Förmågan att återställa normal tjänstedrift så snabbt som möjligt och minimera negativ påverkan på verksamheten och därmed säkerställa att överenskomna tjänstenivåer av kvalitet upprätthålls. För att lyckas krävs standardiserade förfaranden för ett effektivt ingripande, analys, dokumentation, löpande hantering och rapportering av Incidenter.

Det handlar om att öka verksamhetens uppfattning av incidenter genom kommunikation till medarbetarna för ett professionellt förhållningssätt, som snabbt kan lösa och kommunicera incidenter när de inträffar. Desuttom att anpassa Incidenthanteringsaktiviteter och prioriteringar med verksamhetens aktiviteter och prioriteringar och se till att behålla användarnas tillfredsställelse med kvaliteten på varsamhetens tjänster.

En mall för incidenthantering finns under ytterligare information, längst ned på denna sida.

Grundläggande begrepp

  1. Incident: ett oplanerat avbrott i en IT-tjänst eller reduktion i kvaliteten hos en IT-tjänst. Fel i en konfigurationsenhet som ännu inte påverkat tjänsten är också en Incident. 
  2. Allvarlig incident: ofta en separat procedur, längre tidsramar och större angelägenhet. 
  3. Tidsramar: tidsramar måste sättas för de olika stegen i Incidenthanteringsprocessen och tydligt kommuniceras till alla inblandade i supporten. Tidsramar är ofta kopplade till en eventuell eskalering av incidenten konsekvenser och efterföljder.

Incidentutredning – att tänka på

Leverantörer av samhällsviktiga tjänster ska utan onödigt dröjsmål rapportera incidenter som orsakar störningar som har betydande inverkan på kontinuiteten i den samhällsviktiga tjänsten till MSB. Se föreskrifter om rapportering av incidenter (MSBFS 2018:9) och (MSB 2018–13470) Vägledning om rapportering av incidenter för leverantörer av samhällsviktiga tjänster enligt NIS-regleringen. 

Se även specifikt Incidenthanteringshandboken – tanken är att den ska ligga som fysiskt exemplar på operatörens bord så den är lätt tillgänglig vid en incident. Om incidenten kan antas ha en brottslig grund är det viktigt att leverantören inte bara rapporterar incidenten till MSB utan även polisanmäler det inträffade samt eventuellt aktiverar verksamhetens krisledning för kommunicering av händelsen.

  • Vad har hänt? – Identifiera incidenten!
  • Incidentrapport till myndighet? – Enligt GDPR? – Enligt NISL? 
  • Utredningen: – Vilka ska involveras? – Vilken information vill/får vi använda? – Hur säkra bevisningen (tekniskt)? – Polisanmälan? 
  • Arbetsrättsliga åtgärder? – Informera facket?
  • IT-brott och tvångsmedel
  • Proceduren vid rättsliga åtgärder?

Ytterligare information om incidenthantering och mall

På MSB:s webbplats finns information om incidentrapportering för NIS-leverantörer 

Här finns mall för incidenthantering från Myndigheten för samhällsskydd och beredskap, MSB. Skriv gärna ut och lägg i driftcentralen!