Rutiner, rapportering och system avseende incidenthantering på Saab Aerospace

Sammanfattning: Säkerhetsincidenter kan vara av många olika typer, från IT-relaterade incidenter till inci-denter som påverkar exempelvis brandskyddet. På något sätt måste dessa incidenter tas om hand. Detta kan ske genom manuella procedurer eller med stöd av databaserade incident-hanteringssystem. Denna studie är utförd på Saab Aerospace i Linköping och behandlar primärt företagets hantering av incidenter. Jag har undersökt hur företaget bedriver säker-hetsarbete och hanterar säkerhetsincidenter både vad avser informationssäkerhet som jag anser är nära associerat med sekretess av information, men även säkerhet som är associerad till företagets anläggning (skalskydd). Företaget har planer på att implementera ett informationssystembaserat stöd för incident-hanteringen, ett incidenthanteringssystem. Det primära syftet med studien var att undersöka de olika intressenternas inställning till ett sådant system för att se om detta var något som efterfrågades eller om nuvarande hantering ansågs tillfredsställande. Säkerhetstänkandet inom företaget är högt, vilket till stor del beror på företagets känsliga inriktning med utveckling av bland annat militära stridsplan, och delar till dessa. Av den anledningen blir säkerhetsmomenten för att minimera risken för incidenter av betydelse. Viktiga moment som det arbetas med är incidenthantering, informationsklassning, loggning kontinuitetsplanering och säkerhetskopiering. Vad som framkom i studien var att nuvarande incidenthanteringsrutiner fungerar ostandar-diserat, osystematiskt och decentraliserat. Detta svar är dock generellt och några intressen-ter anser att det för dem fungerar tillfredsställande även om dessa också anser att det finns aspekter av incidenthanteringen som borde ses över. Med ostandardiserat menas att proce-durer varierar mycket mellan olika verksamhetsområden. Med decentraliserat avses att det inte finns någon övergripande funktion för sammanställning och hantering av incidenter, det är således ingen på företaget som har helhetsbilden av incidenthanteringen. Behov av att åtgärda ovannämnda problem finns, ett incidenthanteringssystem skulle såle-des kunna vara en möjlig lösning. Intressenterna är emellertid oense om att ett gemensamt incidenthanteringssystem är något som eftersträvas. Det framförs krav att ett sådant system skulle vara väl sektionerat till de olika verksamhetsområdena för att medarbetare endast ska kunna komma åt relevant information, något som även är bra ur en sekretess och behörig-hetsaspekt. Incidenthanteringssystemet skulle sedan kunna ha en övergripande funktion för sammanställning av incidentrapporter från de olika intressenternas verksamhetsområden.