- Kartlegg konsekvenser ved bortfall.
- Gjennomgå klassifisering av systemer iht. kritikalitet og Normen kap. 5.9.
- Kartlegg avhengigheter til andre systemer og infrastruktur.
- Gjennomgå risikovurderinger som er gjort av informasjonssystemene.
- Beslutte nivå for akseptabel risiko for tilgjengelighet for hver aktuell klassifisering, med minimum maksimal avbruddstid.
- Beslutte hvilke systemer som skal ivaretas med nødprosedyrer og hvilke typer nødprosedyrer som er nødvendig (manuelle prosedyrer, reetablering av teknisk reserveløsning, parallelle løsninger, osv).
- Dialog med driftsleverandør(er) om roller, ansvar, leveranser og deres nødprosedyrer.
2.1. Planlegge nødprosedyrer
Faktaark til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.