Det började med revision av IT-kontinuitetsarbete, mynnade ut i en kommunövergripande kontinuitetshantering.

– Vad är informationssäkerhet i förlängningen? För mig är det kontinuitetshantering, säger Bo-Göran Andersson, Malmö stad.

Beslut om IT-kontinuitetsplanering togs 2010, men inget hände. Efter en tid började man fundera avsevärt bredare.

– IT är ju stöd till något, så vi tänkte till.

Vilket ledde till ”tre steg för ett robustare Malmö”. De tre stegen är inventering av åtaganden, riskhantering och kontinuitetshantering.

– Kontinuitetshantering är inget nytt för Malmö, det som är nytt är att vi försöker systematisera och likrikta arbetet. Det är en stor apparat att göra det kommunövergripande, verksamheten är komplex, säger Bo-Göran Andersson, informationssäkerhetssamordnare.

Metoden kan liknas vid en processkartläggning där åtaganden identifieras och prioriteras. Dessa åtaganden bryts ner i aktiviteter och beroenden – en mängd aktiviteter är beroende av varandra – och kontinuitetskrav kartläggs.  Därefter görs risk- och sårbarhetsanalys (RSA).

– RSA, som egentligen är basen i allt, gör vi sist eftersom vi då vet vad vi ska göra. Utifrån den listas åtgärder och kontinuitetsplaner upprättas.

Robustheten är mer prioriterad för vissa åtaganden än för andra.

– Av alla åtaganden som åläggs en kommun är en del jätteviktigt, en del mindre viktigt men inget oviktigt. Kontinuitetshantering handlar om att medarbetare och invånare har förtroende för det vi gör. Säger vi att vi ska leverera, då ska vi göra det.

För att klara arbetet behövs ett metodstöd, annars är det svårt att följa upp och revidera, konstaterar Bo-Göran Andersson.

Malmös metodstöd är ett lokalt anpassat standardsystem som följer gällande standarder inom kontinuitet, informationssäkerhet och riskhantering.