- Innledende vurdering av hendelsens alvorlighetsgrad.
- Opprettelse av hendelseslogg.
- Varsling internt og eskalering ut ifra ulike alvorlighetsgrader og type hendelse.
- Forutsetninger for iverksettelse av planen.
- Definere hendelseskategorier med tilhørende tiltak.
- Definere beredskapsnivå, f.eks. grønn, gul og rød, og hva disse innebærer.
- Hvem skal gjøre hva innen når.
- Kontaktinformasjon må oppdateres jevnlig.
- Varsling eksternt (driftsleverandører og eventuelt overordnet organ).
- Kontaktinformasjon over eksterne må oppdateres jevnlig.
- Organisering av krisestab og plassere ansvar.
- Alternative driftsrutiner som skal fungere i en overgangsperiode frem til ordinær løsning er re-etablert.
- Løpende registrering av nye og endrede opplysninger om f.eks. helseforhold, pasienter og lagerbeholdning (f.eks. på papir eller et alternativt informasjonssystem).
- Arkivering for senere ajourføring når det primære informasjonssystemet er gjenopprettet.
- Basert på hendelseskategori. F.eks. isolering for å hindre spredning av skadevare eller vannlekkasje.
- Skadebegrensende tiltak. Basert på hendelseskategori. F.eks. isolering for å hindre spredning av skadevare eller vannlekkasje.
- Gjenoppretting av teknisk løsning når virksomheten har kontroll og situasjonsforståelse.
- Kommunikasjon til pasienter, ansatte, relevante myndigheter og andre som kan bli berørt.
- Relaterte dokumenter (for eksempel tekniske prosedyrer for nøddrift og gjenoppretting av ordinær drift).
- Nødprosedyrer og -planer skal være dokumentert på en slik måte at de vil være tilgjengelig for personell ved stans i systemene.
2.2. Utarbeide nødprosedyrer eller nødplaner for håndtering av hendelser som kan forårsake ikke-planlagt driftsstans
Faktaark til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.