1 Tilblivelsen af it beredskabsplan og høstede sidegevinster hos Dansk Retursystem A/S
Dansk Retursystem A/S Torben Røssell, it-chef: Cand.merc. i økonomistyring Erfaring som økonomichef i flere mindre og mellemstore virksomheder Altid arbejdet meget tværorganisatorisk med udgangspunkt i økonomi og med det forretningsmæssige aspekt i fokus Dansk Retursystem A/S siden 2007 som økonomichef. De seneste 1½ år som it chef med fokus på: Opbygning af ny it organisation Forretningsmæssig tilgang Bindeled mellem it og forretningen 2
3 Dansk Retursystem A/S
Dansk Retursystem A/S 4
Dansk Retursystem A/S Dansk Retursystem A/S vil medvirke til en renere natur Det gør vi ved at: sikre at pantede flasker og dåser bliver indsamlet hos returmodtagere gøre det så nemt som muligt for forbrugere og returmodtagere at komme af med flasker og dåser sikre at flasker og dåser bliver genanvendt på den mest effektive og miljøvenlige måde 5
Dansk Retursystem A/S en miljøvirksomhed Etableret 30. juni 2000 Har eneret til at drive det danske pant- og retursystem Er ejet af bryggeriindustrien Ledes af en bestyrelse bestående af handel og bryggerier Arbejder non-profit Omsætter for 1,1 milliard kroner Ca. 300 medarbejdere To afdelinger - Hedehusene og Løsning + ni indsamlingscentre 6
Virksomhedens mange opgaver Dansk Retursystem A/S er reguleret af Miljøministeriets pantbekendtgørelse. Virksomhedens primære opgaver er at: indsamle tomme engangsflasker og -dåser i hele Danmark - gratis tælle flasker og dåser og betale pant tilbage til returmodtagere sælge materiale videre til genanvendelse udbetale håndteringsgodtgørelse til butikker øge returprocenten kontrollere at pantbekendtgørelsen overholdes 7
Pantbekendtgørelsen betyder at alle som markedsfører pantbelagte drikkevarer har pligt til at tilmelde sig pantsystemet at alle som modtager tomme emballager fra pantbelagte drikkevarer får hentet dem gratis at pantbelagte engangsemballager skal mærkes med det danske pantmærke at fortrolige informationer rapporteres til et uvildigt revisionsfirma at producenter og importører betaler gebyrer for hver enkelt emballage de sælger 8
Pantsystemet Indsamlings- og logistikgebyr Kr. Udbydere Kr. Salgssteder Kr. Dansk Retursystem A/S Håndteringsgodtgørelse Kr. Kr. Forbruger 9
Miljøet har godt af pant- og retursystemet Når Dansk Retursystem A/S samler tomme dåser og flasker ind betyder det mindre affald, både i skraldespanden og i naturen at vi bruger mindre olie, gas og metal sparer naturens ressourcer 10
Returprocenter Returprocenter for plast, metal og glas samt genpåfyldelige emballager fra 2004-09 Markedsandelen for engangsemballage steg fra 8 53 % mellem 2004-09 I 2009 indsamlede Dansk Retursystem A/S: 335 mio. dåser (85%) 249 mio. plastflasker (90 %) 59 mio. glasflasker (92 %) Samlet returprocent 88 % 11
Genanvendelse igen og igen Glasflasker smeltes om til nye glasemballager, plastflasker til nye plastflasker og dåser til nye dåser En evighedscyklus hvor materialerne genbruges igen og igen og igen Er muligt fordi Dansk Retursystem A/S leverer materiale af høj kvalitet/renhed 12
Miljøfakta Det tager naturen fra hundrede til én million år at nedbryde brugte emballager af metal, glas eller plast Det kræver 16 gange mere energi at lave nye dåser end at genanvende de brugte Hver gang du genanvender én dåse sparer du lige så meget energi som en stationær PC bruger på otte timer 13
I direkte kontakt med markedet 15.400 butikker, kontorer, restauranter med mere 700 producenter og importører 2.900 flaskeautomater Online med alle knap 2.700 automatbutikker Mere end1.700 komprimatorer 3.000 telefonsamtaler om ugen 120 konsulentbesøg om ugen 50-60 lastbiler henter tomme emballager hos 800-1000 kunder hver dag 14
Hold Danmark Rent Dansk Retursystem A/S er en af medstifterne af Hold Danmark Rent Hold Danmark Rent arbejder for at mindske mængden af henkastet affald i Danmark Målet er et renere Danmark gennem analyser, kampagner samt koordination og tilskud til events 15
Social ansvarlighed på arbejdspladsen I Dansk Retursystem A/S arbejder produktion og administration tæt sammen Vi lægger vægt på at optræde som en ansvarlig virksomhed I 2008 modtog Dansk Retursystem A/S to priser for integration af medarbejdere med særlige behov Nye medarbejdere tilknyttes en mentor med ansvar for oplæring og social integration 16
17
Dansk Retursystem interessenter Ejere Bestyrelse Miljøstyrelsen Udbydere: Producenter Importører Mellemhandlere Drift Forbrugere Returmodtagere: Butikker, kontorer, restaurationer, sportsklubber, caféer med mere 18
Bestyrelsens sammensætning Neutral formand 19
Dansk Retursystems faglige organisation Direktion Tværfaglige styregrupper Driftsorganisation Ledergruppen Teknik Økonomi Support Marked Fagudvalg 20
Funktioner i it-afdelingen Teknisk direktør Henrik Als It-afdeling It-chef Torben Røssell Drift og support Applikation It-udvikling 21
Udgangspunktet Specielle driftsbetingelser Ældre ej opdateret sikkerhedshåndbog og beredskabsplan Krav fra bestyrelse og revision om: Ny sikkerhedshåndbog/politik Ny it beredskabsplan Ny informationssikkerhedspolitik udarbejdet efter DS484:2005 Ny it sikkerhedshåndbog udarbejdet efter DS484:2005 22
Opstart af processen Hvordan kom vi i gang? Fastlægge hvem ejer projektet (projektleder) Afsætte ressourcer Valg af standard/model (BS25777:2008) Afstemme konsulentens leverance Materialer/dokumentation Deltagelse i processen Tidsforbrug Opdeling i faser med deadlines BIA blev udarbejdet for it området Udarbejdelse af manual Involvering af ledelsen - præsentation af oplæg 23
It-beredskabsplan Processen Målsætning: Godkendelse af it-beredskabsplan primo februar 2011 Delmål: Den 2/12-2010 gennemgang og godkendelse af: It-beredskabspolitik It-beredskabsorganisation Inden jul Valg af testmetode og tidsplan/frekvens Systemejeroversigt Prioriteringsoversigt Kompetenceoversigt Gennemgang af udvalgte overordnede reetableringsplaner Januar 2011 Endelig godkendelse af beredskabsplan Gennemførelse af test 24
Hovedstruktur it-beredskabsplan Del 1: Beskrivelse It-styregruppe beslutninger Del 2: Operativ It-afdeling 25
Dokumentoversigt 26
Hovedstruktur It-beredskabsplan (del 2) Operativ del Infrastrukturoversigt systemejeroversigt BIA (Business Impact Analysis) Prioriteringsoversigt Kontaktdata SLA (Service Level Agreement) Overordnede reetableringsplaner (udvalgte behandles i styregruppe) Detail reetableringsplaner 30
It-beredskabsplan - politik It-beredskabspolitik: Omfang: Omhandler anvendelse af informationsaktiver i hele organisationen. Overordnede beslutninger: Beredskabspolitikken følger BS 25777:2008 Beredskabsplanen vil understøtte den til enhver tid gældende overordnede kontinuitetsplan. Der skal tages stilling til organisationens modenhed og krav til udvikling heraf (fra nuv. 2 til 4 ved udgangen af 2011) 31
It-beredskabsplan - organisation It-beredskabsorganisation: Organisatorisk opbygning: It-beredskabsgruppe Kommunikationsgruppe It recovery team Bygningsvedligehold/ infrastruktur Medlemmer i beredskabsorganisationen 33
It-beredskabsplan - beslutningskompetence It recovery team Beslutningskompetence: Høj Medium Lav Økonomisk >400.000kr = it-beredskabsgruppe (direktionsmedlem) TRS kan disponere <400.000kr til genetablering Hvis SSJ ikke kan kontakte et direktionsmedlem i itberedskabsgruppe indenfor 1 time kan SSJ disponere<250.000kr til genetableringsomkostninger TRS prokura gælder i forbindelse med genetablering. Hvis SSJ ikke kan kontakte et direktionsmedlem i itberedskabsgruppen indenfor 3 timer kan SSJ kan disponere < 50.000kr til genetablering Ved TRS fravær skal SSJ kontakte et medlem af itberedskabsgruppen >50.000kr TRS prokura gælder i forbindelse med genetablering. SSJ kan disponere < 10.000kr til genetablering. Ved TRS fravær skal SSJ kontakte et medlem af itberedskabsgruppen >10.000kr Andet Beredskabsgruppe SSJ kan informere om umiddelbar hændelse vedr. It internt Beredskabsgruppe SSJ kan informere om umiddelbar hændelse vedr. It internt SSJ informerer relevante interne parter 34
It-beredskabsplan - eskaleringsprocedure Eskaleringsprocedure: Klassificering i prioriteringsoversigt Eskaleringsprocedure Høj Medium It-beredskabsleder informeres. It-beredskabsgruppe skal indkaldes. It-beredskabsleder informeres. It-beredskabsleder informerer itberedskabsgruppen. It-beredskabsleder beslutter om itberedskabsgruppen skal indkaldes. Lav It-beredskabsleder informeres. 35
It-beredskabsplan - niveauer Høj, Medium og Lav kan beskrives på følgende måde: Høj Totalkatastrofe, ødelæggelse af lokaliteter/anlæg ved brand, oversvømmelse m.v., som medfører omfattende ødelæggelser af it driftsudstyr, forretningskritiske systemer og data. Endvidere nedbrud og afbrydelser i udstyr m.v. klassificeret som High i BIA, der vil påføre Dansk Retursystem A/S betydelige tab. Medium Nedbrud eller afbrydelser af enkelte enheder/systemer, som ikke er kategoriseret som forretningskritiske iht. prioriteringsoversigt. Hændelsen kan påføre Dansk Retursystem A/S mindre tab. Lav Nedbrud eller afbrydelser i mindre, isolerede it-systemer, der ikke er kategoriseret som forretningskritiske iht. prioriteringsoversigt. Tabsrisikoen for Dansk Retursystem A/S er minimal. 36
Systemejere - beskrivelse Forretnings ejer System ejer (inkl. delsystem ejer) Driftsansvarlig Direktionen Leder på minimum niveau 3 En medarbejder Enkeltmedlem af direktionen En styregruppe En afdeling En styregruppe Ekstern samarbejdspartner Ansvarsområder og roller for de enkelte funktioner er: Forretnings ejer System ejer (inkl. delsystem ejer) Driftsansvarlig Godkende overordnede Oplæg til ændringer af Forestå daglig drift oplæg og ændringer i betydning for forretningen Fejlretning relation til forretningens krav Rapportere alvorlige Mindre ændringer i daglige Overordnede retningslinjer hændelser rutiner og politikker Godkende ændringer i Påpege behov for: Føre tilsyn med og sikre daglige rutiner/setup - Ændringer overholdelse af: sikre daglig drift kører - Ressourcer - It-sikkerhed Validere/kvalitetssikre Informere om alvorlige fejl til - It-beredskab Adgangsstyring systemejer - kompetencer Kontakt til it-koordinering, bl.a. i forbindelse med udviklingsopgaver 41
It-beredskabsplan prioritering af hændelser Prioriteringsoversigt (recovery shortlist) Med udgangspunkt i BIA inddeles hændelser i følgende kategorier: 1. Fysiske parametre (bygninger, installationer m.v.) 2. Infrastruktur (forsyning m.v.) 3. It-driftssystemer, applikationer, data Indenfor hver kategori klassificeres hændelserne i Høj, Medium og Lav og sættes i rækkefølge efter indbyrdes afhængighed. 42
Kompetencer Medarbejderkompetencerne inddeles i 3 niveauer: 1. En medarbejder, som kan reetablere et system og udarbejde systemdokumentation (detail reetableringsplaner). 2. En medarbejder, som vil kunne reetablere et system ud fra systemdokumentation (detail reetableringsplaner). 3. En medarbejder, som ikke vil kunne reetablere et system alene. 43
Service Level Agreement (SLA) De enkelte SLA blev vurderet udfra: Fremgår det klart af en leverandøraftale, at der er en SLA aftale Er der taget stilling til reaktionstid/leveringstid Behov for lager af reservedele Reparations tid Lån af nødudstyr Leverandørens evne til at stille fagligt kvalificeret personale til rådighed Omfang og niveau af serviceforpligtelse for leverandøren 44
It-beredskabsplan - reetableringsplaner Reetableringsplaner Der udarbejdes kun overordnede reetableringsplaner på Høj hændelser Der udarbejdes detail reetableringsplaner på alle To vigtige nøglebegreber: RTO, recovery time objective: Målsætning for genoptagelse af drift RPO, recovery point objective: Hvor meget data kan forretningen tåle at miste 45
It-beredskabsplan test -tidsplan Tidsplan for test og valg af test: Testtype Desktop test Test af enheder Simulerings test Hyppighed for test Hver måned Kvartalsvis Halvårligt Årligt Ja Ja Ja, der udvælges et eller flere relevante områder Integrations test (live) Navision restore test på bruger test Ja, der udvælges et eller flere relevante områder 48
Skrivebordstest Case: Navision kan ikke genstartes Faser 1 2 3 4 Rapportering af hændelse Vurdering af skade/hændelse Information om skade Genetablering tid 00:00 1) TRS informeres om hændelse 00:10 2) TRS kontakter/samler it recovery team 00:30 3) hændelsen kategoriseres som BIA 22 5) kort information til organisationen (mail) 4) proces initieres (recovery team 01:00 6) detaljeret information til organisationen 08:00 08:30 7) TRS informerer/samler itberedskabsgruppe 8) kommunikationsgruppe informerer org om: forventet starttidspunkt, tab af data, nødprocedurer 15:00 19:00 10) TRS informerer/samler itberedskabsgruppe 11) information om overvåget drift i 4 timer 9) klarmelding til drift 13) TRS informerer/samler itberedskabsgruppe 14) call off information til organisationen 12) call off 49
Godkendelse It-beredskabsplan godkendt med handlingsplan 50
Opsummering Udbytte af processen: Involvering af ledelsen løbende gav: Bevidsthedsforøgelse omkring beredskab Ejerskab - dokumentlandskab Klarhed omkring behov for ændringer i beredskab Forståelse for investeringer Allokering af ressourcer Behov for beredskabsplaner i andre dele af organisationen Perspektivet er vigtigt for prioriteringen (markedsperspektivet) 51
opsummering Udbytte af processen: Ændret setup af kritiske systemer Gennemgang af kompetencer i it afdelingen Gennemgang af SLA Tidsparameter behov for beføjelser Skrivebordstest kan anvendes til andre formål Afstem forventninger omkring konsulent leverance 52