Incidenthantering

Vägledning inom Utforma

Incidenter kan definieras på olika sätt. En vanlig definition är ”en oönskad händelse med negativa konsekvenser”. Ibland räknas även sårbarheter som ännu inte lett till negativa konsekvenser in i begreppet. Andra begrepp som används för att beskriva incidenter är till exempel problem, avvikelse, tillbud och oönskad händelse. Dessa begrepp kan också användas för att hålla isär incidenter av olika allvarlighetsgrad. En informationssäkerhetsincident är en incident som inträffar när skyddet av informationen inte är tillräckligt så att informationens konfidentialitet, riktighet eller tillgänglighet påverkas negativt.

De flesta organisationer vill få kännedom om alla typer av incidenter eftersom incidenter av alla slag indikerar att något inte står rätt till. Kunskapen ger organisationen möjlighet att åtgärda uppkomna problem innan situationen förvärras. För att framgångsrikt minska konsekvenserna av incidenter behöver organisationen ha arbetssätt för att hantera alla situationer som avviker från det normala. Det krävs också ett tillåtande klimat i organisationen och att medarbetare uppmuntras att rapportera incidenter.

Informationssäkerhetsincidenter sker idag oftast kopplat till organisationens it-miljö (också kallade it-säkerhetsincidenter) Informationssäkerhetsincidenter kan också ske på grund av felaktig hantering av information utanför it-miljön, till exempel genom borttappade USB-minnen, kvarglömd information på papper eller whiteboards, eller för att någon pratar om något de inte ska.

Att organisationen har ett arbetssätt för incidenthantering är en viktig del i det systematiska informationssäkerhetsarbetet. Incidenthanteringsarbetet handlar om att förbättra organisationens förmåga att minimera risken för att incidenter uppstår, minska incidenters konsekvenser, utreda orsakerna till incidenten och därigenom förbättra skyddet så att liknande incidenter inte inträffar i framtiden.

I en del författningar finns krav på att incidenter av olika slag ska rapporteras till olika myndigheter. För att kunna rapportera behöver organisationen ha ett arbetssätt som stödjer att incidenter upptäcks, bedöms, åtgärdas och utreds samt att det framgår av arbetssättet hur rapporteringspliktiga incidenter rapporteras till rätt myndighet.

Den här vägledningen innehåller stöd i hur arbetet med att utforma, införa och förbättra arbetssätt för att omhänderta incidenter kan genomföras. Vägledningen ger också tips på vad du behöver tänka på när du utvecklar eller förbättrar organisationens arbete med informationssäkerhetsincidenter i relation till annan incidenthantering.

Ingångsvärden

I ditt arbete med att utforma eller förbättra organisationens hantering av informationssäkerhetsincidenter kan du använda resultaten från samtliga analyser som gjorts i analysfasen (Identifiera och Analysera Organisation, Verksamhet, Risk, Val av säkerhetsåtgärder och Gap).

Du kan också ha nytta av interna regelverk som redan utformats. Utgå från det arbetssätt som din organisation redan har för att hantera informationssäkerhetsincidenter eller andra incidenter, om organisationen har  sådana.

Undersök nuvarande arbetssätt

En förutsättning för att förstå om något ska ändras, och i så fall vad, är att undersöka hur organisationen arbetar med informationssäkerhetsincidenter eller om arbetssättet saknas, andra typer av incidenter idag. Börja därför analysera organisationens nuvarande arbetssätt för incidenthantering genom att ställa dig följande frågor:

• Vad ska medarbetare som upptäcker en incident göra? Vet medarbetarna hur de ska agera?
• På vilket sätt hanteras olika incidenter i organisationen?
• Finns det roller definierade och vad ingår i rollens ansvar och mandat?
• Vilka begrepp använder organisationen?
• Hur får de som arbetar med incidenter eller motsvarande kännedom om incidenten?
• Hur samverkar de som hanterar incidenter inom olika områden med varandra?
• Hur arbetar de som åtgärdar och återställer incidenter? Hur är de organiserade?
• Vilka problem finns med nuvarande arbetssätt?
• Om de som arbetar med incidenter inte lyckas åtgärda dessa och dess konsekvenser, har organisationen bestämt hur överlämningen till exempelvis krisorganisationen ser ut?

När du förstår hur organisationen arbetar idag kan du börja utforma, eller förbättra, arbetet med informationssäkerhetsincidenter.

Arbetssätt för att hantera incidenter

Incidenthantering består inte enbart av det arbete som görs för att lösa en uppkommen situation när en incident redan inträffat. Därför tar den här vägledningen både upp begreppet incidenthantering i det operativa arbetet och det arbete som görs för att utforma, utvärdera och förbättra samtliga arbetssätt som relaterar till informationssäkerhetsincidenter. På så sätt skapas en sammanhållen bild av allt arbete som organisationen gör på informationssäkerhetsområdet för att undvika, avhjälpa och minimera negativa effekter av incidenter samt för att utreda och åtgärda orsaken till incidenter.

I det operativa arbetet med incidenter ingår att

• upptäckta incidenter anmäls i tekniska system eller manuellt av anmälare
• ta emot och bedöma incidenter utifrån organisationens definierade bedömningskriterier
• arbete med att åtgärda incidenter genomförs så att verksamhetens funktion återställs
• utreda orsakerna till incidenter.

I incidenthantering ingår alltså både det arbete som organisationen behöver göra för att utforma och förbättra det operativa arbetet med informationssäkerhetsincidenter och det operativa arbetet i sig.

Arbetssättet som beskrivs här är generellt och passar alla organisationer. Omfattningen och innehållet i respektive del behöver varieras och utformas utifrån din organisations behov.

Utforma ansvar och arbetssätt

För att hanteringen av informationssäkerhetsincidenter ska fungera operativt och kunna följas upp behöver ett antal tydliga funktioner eller roller och dess arbetsuppgifter definieras i incidenthanteringsorganisationen. Det är viktigt att roller, ansvar och mandat är tydliga för att organisationen ska klara av att hantera den stressade situation som en incident kan innebära. I tabell 1 finns exempel på funktioner och en beskrivning av deras arbetsuppgifter.

Tabell 1: Exempel på funktioner och en beskrivning av deras arbetsuppgifter.

Funktion	Beskrivning arbetsuppgifter/ansvar	Tips och råd
Incidentanmälare	Den som upptäcker en incident och som ska anmäla detta. Exempel på anmälare: alla medarbetare, informationsägare, it-support, it-drift, Incident manager it, men även extern aktör som till exempel leverantör eller användare utanför organisationen
Incidentmottagare/operativ incidentsamordnare	Funktion i det operativa arbetet. Tar emot, bedömer och samordnar på ett övergripande sätt det operativa arbetet med incidenter. Säkerställer att incidenter åtgärdas om det behövs. Ser till att grundorsaken till incidenten utreds. Utifrån behov och arbetssätt kan incidentmottagarna till exempel vara del av it-support eller en särskild incidentorganisation.	Incidentmottagarna kan, om organisationen finner det lämpligt, ha en mer aktiv roll under fasen åtgärda och återställa genom att till exempel bevaka att extern rapportering sker och föra logg. Mottagaren kan även ansvara för att genomföra grundorsaksanalyser när incidenten är över.
Åtgärdsansvarig	Ansvarar för steget åtgärda och återställa  i det operativa arbetet. Åtgärdsansvarigs uppgift är att på ett systematiskt sätt arbeta med att återställa normal verksamhet eller i alla fall så fungerande verksamhet som möjligt. Vem som är åtgärdsansvarig beror på var incidenten inträffar och vilka verksamheter som är påverkade. Vanliga åtgärdsansvariga är it-chef, eller i större organisationer chefer ansvariga för olika delar av it-miljön, fastighetschef eller personalchef.	Åtgärdsansvarig behöver ha personal som kan lösa inträffad incident. Behöver flera åtgärdsanavariga samordna sina arbeten behöver en person utses att leda arbetet. Att ha övat i förväg hur man ska återställa verksamheter man är ansvarig för samt att samordna sig underlättar när en incident som omfattar flera olika delar av organisationen inträffar.
Incidentägare	Ansvarig för en verksamhet där incidenten inträffar. Kan vara en verksamhetsansvarig eller ansvarig för ett visst it-system. I organisationer som använder begreppet riskägare bör det vara samma person.	Beroende på hur omfattande incidenten är kan flera verksamheter påverkas av att en incident inträffat någon annanstans. Här behöver vissa uppgifter genomföras av alla som påverkas medan den som ansvarar för verksamheten där incidenten uppkommit behöver ta en mer aktiv roll då denne eller någon den utser bör vara primär kontakt till åtgärdsansvarig.
Incidentsamordnare	En eller flera personer som har ett sammanhållande ansvar för det övergripande arbetet med incidenter och att alla sex stegen fungerar som de ska. Antingen för ett område, till exempel informationssäkerhetsincidenter, eller för all incidenthantering i organisationen.

Integrera

Det är värt att lägga tid på att få organisationen att arbeta så likartat som möjligt oavsett vilken typ av incident som inträffar. Det underlättar samarbetet när incidenter påverkar flera verksamheter om ni har ett liknande arbetssätt eller i alla fall ett arbetssätt som fungerar tillsammans med de andra arbetssätten. Oavsett bör olika verksamheter dra nytta av erfarenheter från varandra. För att utforma ett enhetligt arbetssätt behöver alla i organisationen som arbetar med incidenter samverka, exempelvis kvalitetsansvariga, arkivfunktionen, funktioner för säkerhet, it- support, it-drift, personal och fastighets- eller lokalservice.

Utse gärna en incidentsamordnare för informationssäkerhetsincidenter som har ansvar för att ta fram, anpassa och utvärdera hur organisationen arbetar med dessa. Incidentsamordnaren för informationssäkerhetsincidenter är också den som samverkar med incidentsamordnare i andra delar av organisationen om organisationen har flera.

Utforma det operativa arbetet med informationssäkerhetsincidenter

Du vet nu hur organisationen arbetar med informationssäkerhetsincidenter. Du vet också vem som ansvarar för vad, och hur arbetet med incidenter genomförs i andra delar av organisationen. Nu kan du utforma eller förbättra arbetssätt för det operativa arbetet med informationssäkerhetsincidenter.

För att underlätta läsningen kommer vi från och med nu använda begreppet incident för att beskriva informationssäkerhetsincidenter. Vi kommer också att använda begreppet incident oavsett allvarlighetsgrad det vill säga inte skilja mellan avvikelse, oönskad händelse eller incident. Kom ihåg att ni som organisation behöver sätta upp kriterier för hur ni ska skilja på olika incidenter utifrån allvarlighetsgrad för att kunna arbeta effektivt.

Det här avsnittet beskriver hur du utformar det operativa arbetet med att

• upptäcka och anmäla
• bedöma och besluta om åtgärd
• åtgärda och återställa
• identifiera grundorsaker.

Oavsett om du utformar arbetssätten från grunden eller förbättrar nuvarande arbetssätt kommer du för varje del behöva

1. identifiera vilka roller som behöver agera och på vilket sätt
2. utforma stödmaterial som beskriver hur arbetet ska gå till.

Upptäcka och anmäla

Grunden i det operativa incidentarbetet är att upptäcka incidenter och att få dem anmälda. Incidenter som upptäcks vid övervakning av it-miljön och incidenter som upptäcks av medarbetare eller andra användare måste komma till organisationens kännedom. Tänk på att anmälan i sig kan innehålla känslig information.

Det behövs ett arbetssätt för hur incidenter som upptäcks vid övervakning av it-miljön hanteras. Det kan till exempel innebära att de som övervakar också agerar som incidentmottagare eftersom de som övervakar bäst kan bedöma allvarlighetsgraden i de avvikelser de ser och bedöma om dessa ska skickas vidare för att åtgärdas.

När incidenter upptäcks av medarbetare eller andra användare måste de veta hur incidenterna ska anmälas. Arbetssättet behöver i förväg vara känt i organisationen så att alla vet att det är viktigt att anmäla och hur.

Oavsett hur incidenter ska anmälas är det bra att tänka igenom vilka uppgifter incidentmottagaren behöver för att kunna göra en första bedömning av incidenten och dess allvarlighetsgrad. Ofta räcker det med att anmälan innehåller:

• Kort beskrivning av det problem som anmälaren upplevt.
• Kort beskrivning av vad anmälaren eventuellt gjort för att försöka åtgärda problemet.
• Kontaktuppgifter till anmälaren för att kunna ställa frågor om det behövs mer information.

Det viktiga är att incidentmottagaren blir uppmärksammad på att det hänt något och kan göra en första bedömning av situationen som uppstått. Det är bättre att det görs anmälningar om incidenter som vid senare bedömning inte visar sig vara en incident, än att en incident får pågå utan att någon anmäler den. Uppmuntra därför medarbetare att hellre anmäla en gång för mycket än en gång för lite. Det är också viktigt att ge återkoppling till anmälaren.

Om ni har ett systemstöd för att anmäla incidenter kan det ändå vara bra att skapa ett formulär i till exempel Word som kan användas som reservrutin om systemstödet inte fungerar. Formuläret kan också användas av anmälare som av någon anledning vill vara anonyma.

Incidenter som rör er information kan även inträffa hos externa aktörer, till exempel leverantörer. Därför är det viktigt att det framgår i de avtal ni har med leverantörer hur de ska agera om de upptäcker en incident som påverkar er. Specificera även i avtal hur de ska lösa incidenten och hur de ska informera er. Ställ också krav i avtalen på hur de ska samverka med er för att lösa incidenter hos någon av er som påverkar den andra organisationen.

Incidenter kan också upptäckas av kunder och allmänheten. Det behöver även finnas ett sätt för dem att anmäla det till er. Tänk på att rekommenderade kontaktvägar kanske inte alltid används. Därför behövs också tydlig intern information till de funktioner som hanterar vanliga kontaktvägar in i organisationen, så som till exempel registrator, receptionist eller liknande funktion om hur de ska agera om de får information om en informationssäkerhetsincident så att incidenten hamnar hos rätt incidentmottagare.  

Utbildning

Varje medarbetare bör få en genomgång av vad som är en incident och hur den anmäls (se material under Använda Utbildning och kommunikation). Det innebär att organisationen behöver ha ett tydligt sätt att anmäla incidenter och att detta kommunicerats.

För att medarbetarna ska kunna anmäla incidenter behöver de

• förstå vikten av att anmäla incidenter
• förstå vad som är tecken på en incident
• ha kunskap om hur de anmäler incidenter.

De behöver också få kunskap om att

• Incidenter hanteras hela tiden och är en del i normal verksamhet.
• Det är viktigt att de som arbetar med att lösa en incident får möjlighet att arbeta ostört. Detta kan resultera i sämre service för lägre prioriterad verksamhet så länge incidenten pågår.
• Medarbetare kan bli ombedda att hjälpa till vid incidenter genom att till exempel testa att de som användare kan arbeta normalt.

Bedöma och besluta

I det här steget sker arbetet med att ta emot anmälningar om att en incident inträffat och göra en första bedömning av om det rör sig om en incident eller inte.

Om det är en incident behöver incidentmottagaren bedöma hur allvarlig incidenten är. En bra grundprincip är därför att initialt bedöma allvarlighetsgraden av incidenten så att den motsvarar den skyddsnivå som satts på informationen som påverkas. Eftersom it-system får skyddsnivå utifrån den information det innehåller, används it-systemets skyddsnivå i det fall incidenten påverkar ett it-system. Skyddsnivån ger en indikation på incidentens allvarlighetsgrad (Se Använda Klassning av informationstillgångar).

De värden för konfidentialitet, riktighet och tillgänglighet som satts under klassning av informationen ger en god indikation på hur bråttom det är att agera. Organisationen kan också ha andra kriterier, till exempel en prioritetsordning mellan olika verksamheter eller it-system. Det ger också ett underlag för att kunna bedöma allvarlighetsgrad och påverkar hur bråttom det är att agera.

Om incidentmottagaren bedömer att incidenten behöver åtgärdas ska den lämnas vidare till rätt funktion inom organisationen. Incidentmottagarens roll behöver vara känd i organisationen och ha ett tydligt mandat så att ansvariga för den verksamhet som drabbas vet vad de kan få hjälp med. Incidentmottagaren behöver också  etablera en nära samverkan med åtgärdsansvariga.

För att inte tappa bort ärenden och veta deras status behöver incidentmottagaren registrera viktiga händelser och beslut till exempel allvarlighetsbedömning för incidenten, om incidenten överlämnats till åtgärdsansvarig, när incidenten upptäcktes och när den bedöms vara över, vem som genomför grundorsaksanalys och vad incidenten berodde på. Dokumentationen bör också kunna ge underlag för att se vilka incidenter som sker och hur mycket de kostar organisationen.

Incidentmottagaren behöver kunna

• Bedöma om det är en incident eller om det rör sig om till exempel ett supportärende.
• Hur allvarlig incidenten är.
• Om incidenten behöver åtgärdas och var den ska åtgärdas.
• Kommunicera med ansvarig för drabbad verksamhet.
• Registrera annan relevant information om incidenten.

Åtgärda och återställa

Den som är åtgärdsansvarig ansvarar för arbetet med att åtgärda incidenten och samordnar de aktiviteter som behöver göras för att normal funktion ska återställas.

Det behövs helt olika kompetenser för att åtgärda och återställa informationssäkerhets­incidenter som berör it-system jämfört med andra incidenter som berör informations­säkerheten så som till exempel ett borttappat USB-minne med viktig information eller försvunnen post med känsliga uppgifter i.

I fall där incidenten inte berör it-miljön kan åtgärdsansvarig vara verksamhetsansvarig, CISO eller motsvarande. Det viktiga är att verksamheten som drabbas deltar i arbetet med att finna sätt att återställa verksamheten, utreda orsaker till varför det inträffat och förbättra sitt arbetssätt.

Den som ska åtgärda incidenter i it-miljön behöver ha kunskap om hur den är uppbyggd och vilka incidenter som kan sprida sig eller påverka andra delar av it-miljön än incidenten gjorde initialt. Ofta krävs djup kunskap om de it-system som drabbats och en generell kunskap om närliggande it-system.

Vid informationssäkerhetsincidenter i it-miljön behöver driftorganisationen ha förmågan att åtgärda incidenterna. Beroende på hur verksamheten är organiserad och incidentens omfattning kan åtgärdsansvarig vara till exempel chefen för it-enheten. Det kan också vara chefen för någon del av it-miljön om endast en avgränsad del av it-miljön drabbats. Även om det finns rutiner så att enskilda tekniker med stöd av återställandeplaner eller motsvarande kan återställa berört system är det chefen som är åtgärdsansvarig.

It-organisatisationen arbetar utifrån sina arbetssätt gällande vem som håller samman incidentarbetet, vilka som deltar att återställa drift och vilka som utreder vad som gått fel. Hur arbetet ska organiseras vid en incident beror på hur omfattande incidenten är och hur mycket den påverkar organisationen.  

Oberoende av var incidenten inträffar behövs ofta stöd från verksamheten för olika bedömningar och uppgifter som till exempel att prova att återställningen gått bra. Det kan även behövas stöd från jurister och personuppgiftsansvarig för att bedöma konsekvenserna av det inträffade. Om man behöver göra nya, oprövade, åtgärder för att lösa incidenten behöver detta riskbedömas innan så inte lösningen orsakar ännu värre konsekvenser.

För att incidenthanteringen ska fungera riktigt bra behöver de som arbetar med att åtgärda incidenter öva. Det kan göras på olika sätt. Till exempel genom mikroövningar, genom teoretisk genomgång av de rutiner man har eller genom att öva i en särskild it-miljö. Fördelen med mikroövningar är att de går att göra regelbundet eftersom de är enkla att genomföra, skapar medvetenhet om vad som kan hända och ger medarbetarna mental förberedelse och en vana att beskriva i ord vad som kan hända och hur man kan åtgärda det. Man kan också öva genom att skapa scenarier där någon del av verksamheten påverkas.

Det är bra att ha en övergripande plan för hur arbetet med att åtgärda incidenter ska bedrivas. Planen kan innehålla vilka interna och externa resurser som finns att tillgå för olika situationer, hur man arbetar för att uppnå uthållighet över tid, hur kompetensen för resurserna upprätthålls och hur arbetssätten övas. Den bör också innehålla information om vad som behöver göras om incidenten drar ut på tiden.

Under en incident behöver åtgärdsansvarig, den som utsetts att leda arbetet, säkerställa att

• tillräckligt många resurser med rätt kompetens arbetar med att lösa incidenten.
• arbetet sker strukturerat och dokumenteras.
• beslut fattas om i vilken ordning olika åtgärder ska göras.
• se till att det finns stöd från andra funktioner. Till exempel informationssäkerhetsspecialist, it-säkerhetsansvarig, peronuppgiftsansvarig eller jurist. Dessa behövs särskilt om ni bedömer att incidenten kräver att ni  tar till åtgärder som skulle kunna innebära att ni riskerar att förvärra situationen eller skapa nya incidenter.
• verksamhetensansvarig hålls uppdaterad om hur arbetet fortskrider så att denne kan fatta nödvändiga beslut. Detta kan till exempel vara beslut om att aktivera verksamhetens kontinuitetshantering, begära stöd från krisorganisationen, och beslut om när man kan återgå till normalt arbetssätt.

För resurserna ska användas på bästa sätt kan åtgärdsansvarig behöva ha möjlighet att ge incidentmottagaren eller någon annan en mer aktiv roll under incidenten. Det kan vara att föra incidentlogg eller att hjälpa till med att informera berörda om vad som händer. En annan uppgift som någon utanför själva arbetet med att åtgärda incidenten kan göra är att bevaka om kraven för extern rapportering till tillsynsmyndighet eller motsvarande har uppnåtts.  

Om inte incidentorganisationen får kontroll över situationen och konsekvensen av det inträffade blir större än ordinarie verksamhet kan hantera behöver det finnas tydliga kriterier och rutiner i incidenthanteringsarbetet för när krisorganisationen ska aktiveras.

Identifiera grundorsaker

När incidenten är över och normal verksamhet pågått en tid ska grundorsaken till incidenten identifieras. Tänk på att inte vänta för länge. Risken är att de som har kännedom om arbetet glömmer viktiga detaljer.

Det är viktigt att få en så oberoende utredning som möjligt. Därför bör grundorsaksanalysen  utföras av någon som själv inte aktivt deltagit i att lösa incidenten och som inte tillhör den verksamhet som drabbats.

Syftet med grundorsaksanalysen är att förstå vad som orsakat incidenten och vad som påverkat hur den utvecklats. Det gäller både sådant som gick bra och det som gick mindre bra. Det är viktigt att finna orsaken och inte bara symptomen och ofta synliggör grundorsaksanalyser ett antal åtgärder som behöver införas för att undvika att incidenten upprepas. Att införa åtgärder kostar tid och resurser. Lägg dem på åtgärder som minskar risken att fler incidenter orsakas av samma anledning.

En grundorsaksanalys kan göras på olika sätt. Ett sätt är att fråga ”varför” fem gånger eller så många gånger det krävs för att hitta en orsak. Det finns också modeller med fasta kriterier att utgå från. Ofta finns det flera grundorsaker till att en incident uppkommit. Det kan till exempel handla om att befintliga tekniska säkerhetsåtgärder inte gav tillräckligt skydd, att arbetssätten inte fungerade som det var tänkt eller brister i interna styrdokument och stödmaterial.

Grundorsaksanalysen och förslag på åtgärder överlämnas till incidentägaren som sedan beslutar vad organisationen behöver göra för att incidenten inte ska upprepas. Incidentägaren kan behöva samverka, eller överlämna ansvaret, för att åtgärder som förhindrar upprepning av incidenten ska kunna införas.

Vissa föreslagna åtgärder behövs omedelbart medan andra kan åtgärdas senare och till exempel tas upp i årliga handlingsplaner (se Utforma Handlingsplan). Åtgärderna kan vara kortsiktiga, till exempel att ett it-system behöver startas om en gång i veckan. Det kan vara aktuellt om det exempelvis finns ett pågående projekt att byta ut systemet för att få en långsiktig lösning. Ibland kan incidenter bero på en bristande kravställning flera år tillbaka. Då är det viktigt att se till att arbetet med kravställning förbättras för kommande it-system.

Om det inträffar en incident där grundorsaken redan är känd men bättre säkerhetsåtgärder inte hunnit införas behövs ingen ny utredning. Däremot ska incidenten noteras så att åtgärderna ska kunna prioriteras utifrån de incidenter som verkligen uppstår.

Utvärdera och förbättra arbetet med incidenthantering

En organisations incidenthantering bör utvärderas regelbundet. Incidentsamordnaren har ett övergripande ansvar för att utvärderingar görs och för att ledningen får den information de behöver för att kunna prioritera resurser mellan olika delar i organisationen.

Exempel på vad som kan vara bra att utvärdera och åtgärder som kan behöva införas eller förbättras:

• Hur väl har de som anmäler incidenter förstått var de ska anmäla och vilken information de behöver beskriva? Behöver utbildningsmaterial förbättras?
• Hur bra fungerar incidentmottagarens bedömningar av allvarlighetsgrad och att överlämna incidenter som behöver åtgärdas till åtgärdsansvarig? Behövs mer utbildning, tydligare kriterier, utökad samverkan?
• Hur väl har den externa rapporteringen fungerat? Har organisationen rapporterat de incidenter de ska enligt gällande föreskrifter?
• Hur lång tid tar det från att en incident anmäls tills allt fungerar normalt igen? Finns flaskhalsar mellan överlämningar eller brister i arbetssätt som ger fördröjningar?
• Hur väl fungerar de underlag, driftsdokumentation, återställandeplaner, incidentplaner eller motsvarande, som stöd för att felsöka och åtgärda incidenterna? Behöver mallar eller dokument uppdateras?
• Kan man utifrån de sammanställda grundorsaksanalyserna se problem som har identifierats i alla eller en majoritet av utredningarna? Finns det kvalitetsbrister i arbetssätt som har med kravställning, utveckling, inköp, godkännande inför driftsättning eller motsvarande som behöver åtgärdas?