Liiketoiminnan ICT-riippuvuus kasvaa, hallitaanko riskit?

Koko: px
Aloita esitys sivulta:

Download "Liiketoiminnan ICT-riippuvuus kasvaa, hallitaanko riskit?"

Transkriptio

1 Liiketoiminnan ICT-riippuvuus kasvaa, hallitaanko riskit? Tutkimus tieto- ja viestintätekniikkaa koskevan jatkuvuussuunnittelun johtamisesta ja toteuttamisesta suurissa ja keskisuurissa suomalaisissa organisaatioissa Marketvisio Tutkimus

2 Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 2/131

3 Saatteeksi Yritysten ja organisaatioiden riippuvuus tieto- ja viestintäteknologiasta (ICT) on kasvanut merkittävästi viimeisten parin vuosikymmenen aikana. Tämä kehityssuunta jatkuu edelleen. Muiden muassa sähköisen viestinnän yleistyminen, digitalisoituminen ja tietoverkkojen hyödyntäminen korostavat ICT:n liiketoimintakriittistä roolia. Liiketoiminnan voimistuva riippuvuus tieto- ja viestintätekniikasta on keskeisin syy sille, että ICT on yhä tärkeämpi osa-alue yritysten ja organisaatioiden riskienhallinnassa ja jatkuvuussuunnittelussa. Samalla ulkoisten ICT-palvelujen käyttö yleistyy. Ulkoiset palvelutoimittajat vastaavat yhä useammin tehtävistä, jotka liittyvät organisaatioiden kriittisiin liiketoimintaprosesseihin. Tästä seuraa vääjäämättä, että asiakasorganisaatiot ovat entistä riippuvaisempia ulkoisista ICT-toimittajista. ICT-ratkaisuihin ja -palveluihin liittyvät häiriöt voivat muodostaa eriasteisia riskejä paitsi organisaatioille itselleen, niin myös erilaisille sidosryhmille, kuten päämiehille, alihankkijoille, kumppaneille, asiakkaille ja jopa yhteiskunnalle ja ympäristölle. Tieto- ja viestintätekniikka on yksi osa-alue, joka tulee huomioida organisaatioiden riskienhallinnassa ja jatkuvuussuunnittelussa. Tämän tutkimuksen tarkoituksena oli selvittää, kuinka ICT-riippuvaista liiketoiminnan jatkuvuussuunnittelua toteutetaan suurissa ja keskisuurissa suomalaisissa organisaatioissa, ja miten näissä hallitaan tieto- ja viestintätekniikkaan liittyviä riskejä. Samalla tutkimuksessa arvioitiin mm. ICT-jatkuvuussuunnitteluun liittyvän johtamisen, strategisen suunnittelun ja resursoinnin tasoa. Tällä tavoin pyrittiin selvittämään suomalaisten organisaatioiden ICT-jatkuvuussuunnitteluun ja erityisesti sen johtamiseen liittyviä vahvuuksia ja kehittämisalueita. Tämän tutkimushankkeen tilaajina sekä suunnittelua ja toteutusta tukevan ohjausryhmän jäseninä toimivat: Eaton Power Quality Fujitsu Huoltovarmuuskeskus Logica Puolustusministeriö Tekes TeliaSonera Tieto Valtiovarainministeriö Tutkimuksen suunnittelusta, toteutuksesta ja raportoinnista vastasi Market-Visio Oy. Espoossa Mika Ollikainen Projektijohtaja Market-Visio Oy Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 3/131

4 Sisällysluettelo 1 Yhteenveto Keskeisimpiä havaintoja Edellytyksiä ja suosituksia tarkoituksenmukaisen ICT-jatkuvuussuunnittelun toteuttamiseksi Havaintoja tutkimuksen keskeisiltä osa-alueilta Johtaminen ja riskienhallinta Strateginen suunnittelu ICT-jatkuvuusjohtaminen Ulkoiset suhteet, kumppanuudet ja ICT-toimittajat Resursointi 12 2 Johdanto Taustaa Tieto- ja viestintäteknologian voimistuva rooli Ulkoisten ICT-toimittajien merkitys kasvaa Periaatteita ja valintoja tutkimushankkeen taustalla Selvityksen toteutustapa Henkilökohtaiset haastattelut Web-kysely Toimittajahaastattelut 19 3 ICT-toimittajien näkökulma Eri toimialoja ja kokoluokkia edustavien organisaatioiden välillä on eroja Käytettävyydestä ja jatkuvuudesta ei aina olla valmiita maksamaan Käytettävyys ja jatkuvuus sekoitetaan joskus keskenään Raha ratkaisee Isot ovat parhaiten varautuneita myös tietoliikenneasioissa Energiansaannin turvaamisen käytännöissä suuria vaihteluja Mikä on hyvällä tolalla asiakaspuolella, mikä vaatii kehittämistä? Mitä jatkuvuusuhkia ICT-toimittajayritykset tunnistavat asiakkailla? Mitä ratkaisuja ja yhteistyötä toimittajat suosittelevat asiakkaille? 25 4 Loppukäyttäjätutkimuksen rakenne Maturiteettimalli tutkimuksen työvälineenä 26 5 Johtaminen ja riskienhallinta Johtamista ja riskienhallintaa ilmentävät mittarit Johtaminen ja riskienhallinta kokonaisuutena Kysymyskohtaiset tulokset Tutkimuksen keskeisiä havaintoja johtamiseen ja riskienhallintaan liittyen 43 6 Strateginen suunnittelu Strategista suunnittelua ilmentävät mittarit Strateginen suunnittelu kokonaisuutena Kysymyskohtaiset tulokset Tutkimuksen keskeisiä havaintoja strategiseen suunnitteluun liittyen 55 7 ICT-jatkuvuusjohtaminen ICT-jatkuvuusjohtamista ilmentävät mittarit 56 Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 4/131

5 7.2 ICT-jatkuvuusjohtaminen kokonaisuutena Kysymyskohtaiset tulokset Tutkimuksen keskeisiä havaintoja ICT-jatkuvuusjohtamiseen liittyen 74 8 Ulkoiset suhteet, kumppanuudet ja ICT-toimittajat Ulkoisia suhteita, kumppanuuksia ja ICT-toimittajia ilmentävät mittarit Ulkoiset suhteet, kumppanuudet ja ICT-toimittajat kokonaisuutena Kysymyskohtaiset tulokset Tutkimuksen keskeisiä havaintoja ulkoisiin suhteisiin, kumppanuuksiin ja ICTtoimittajiin liittyen 88 9 Resursointi Resursointia ilmentävät mittarit Resursointi kokonaisuutena Kysymyskohtaiset tulokset Tutkimuksen keskeisiä havaintoja resursointiin liittyen ICT-jatkuvuussuunnittelun toteuttaminen käytännön toimenpiteinä ICT-jatkuvuuden tekniset ratkaisut Tiedostojen ja tietokantojen tekniset jatkuvuusratkaisut Palvelinjärjestelmien tekniset jatkuvuusratkaisut Työasemakäytön jatkuvuusratkaisut Sähkönsyötön jatkuvuusratkaisut Tietoliikenteen ja verkon jatkuvuusratkaisut Konesalien jatkuvuusratkaisut Help desk ja call center -jatkuvuusratkaisut Tulokset kokonaisuutena tutkimuksessa sovellettuun maturiteettimalliin perustuen Jatkuvuussuunnittelu kokonaisuutena: henkilökohtaiset haastattelut Jatkuvuussuunnittelu kokonaisuutena: web-kysely 120 Liite: Tutkimukseen osallistuneet organisaatiot 123 Liite: Hankkeen ICT-toimittajayritysten esittelyt 125 Eaton Power Quality 125 Fujitsu 126 Logica 127 TeliaSonera 128 Tieto 130 Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 5/131

6 1 Yhteenveto 1.1 Keskeisimpiä havaintoja Suuret yksityiset yritykset (noin suurinta yritystä Suomessa) ja huoltovarmuuden kannalta kriittisimmät julkisen sektorin organisaatiot ovat liiketoiminnan ja ICT:n jatkuvuussuunnittelun vahvimpia osaajia. Merkittävällä osalla suuryrityksistä ja kriittisimmistä julkisen sektorin organisaatioista on käytössä riskienhallinnan prosesseja, jotka on organisoitu korkeatasoisesti. Tätä kautta myös liiketoiminnan jatkuvuuden hallinnan ja ICT-jatkuvuussuunnittelun prosessit ovat usein strukturoituja ja pitkälle mietittyjä. Erityisesti finanssialan toimijat edustavat kotimaisen ICT-jatkuvuussuunnittelun kärkeä, johtuen vahvasti myös toimialan jatkuvuuskäytäntöjä ohjaavista laeista ja muista säädöksistä. Myös monien muiden alojen suurissa organisaatioissa ja esimerkiksi valtionhallinnossa on tahoja, joissa ICT-jatkuvuussuunnittelu on erittäin painavassa roolissa organisaation riskienhallintaprosessissa ja liiketoimintastrategiassa. Sen sijaan keskisuurissa yrityksissä käytännöt vaihtelevat suuresti. Tämä näkyy riskienhallinnan prosessien systematiikassa, jatkuvuussuunnitelmien ajan tasalla pitämisessä, resursointitavoissa ja ennen muuta käytännön ICT-jatkuvuusjohtamisessa ja varajärjestelyjen organisoinnissa. Keskisuurissa ja pienissä yrityksissä jatkuvuussuunnittelua toteutetaan keskimäärin selvästi heikkotasoisemmin kuin suurissa organisaatioissa. Ääripäiden erot jatkuvuuden hallinnan toteuttamisessa ovat merkittäviä. Useissa suurissa yrityksissä sekä julkisen sektorin huoltovarmuuskriittisissä organisaatioissa jatkuvuussuunnittelu on systemaattista ja ammattimaisesti johdettua toimintaa. Pienissä ja keskisuurissa yrityksissä esiintyy selviä puutteita liiketoiminnan ja ICT:n välisten riippuvuussuhteiden ymmärtämisessä ja tätä kautta ICT-riskien tunnistamisessa. Osa keskisuurista organisaatioista ei ole selvittänyt käytännössä lainkaan tieto- ja viestintätekniikkaan liittyviä liiketoimintariskejä. Tätä suurempi joukko on jollakin tavalla selvittänyt ICT-riskejä esimerkiksi järjestelmäkohtaisesti, mutta jatkuva riskien tunnistamisen ja arvioimisen prosessi saattaa puuttua kokonaan. Suurissa organisaatioissa tilanne on tässä suhteessa keskimäärin hyvä, mutta keskisuurissa ja pienissä yrityksissä on vielä paljon kehitettävää ICT-riskien ja ICT:n liiketoimintariippuvuuksien tunnistamisessa ja arvioimisessa. Myös johdon sitoutuneisuus jatkuvuussuunnitteluun ja ICT-riskien hallintaan vaihtelee keskisuurissa yrityksissä. Tämä ei yleensä ole ongelma yrityksissä, joiden liiketoiminta on voimakkaasti riippuvaista ICT-ratkaisuista. Sitä vastoin puutteita ilmenee silloin, kun johdon ja tietohallinnon kommunikaatio on vähäistä tai ICT on noussut liiketoiminnan kannalta yhä kriittisempään rooliin kaikessa hiljaisuudessa tai hyvin nopeasti. Tällöin johto ja omistajat eivät ole välttämättä pysyneet kehityksessä mukana. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 6/131

7 1.2 Edellytyksiä ja suosituksia tarkoituksenmukaisen ICTjatkuvuussuunnittelun toteuttamiseksi Tehdyn selvityksen perusteella seuraavien asioiden huomioiminen on erityisen tärkeää tarkoituksenmukaisen ICT-jatkuvuussuunnittelun toteuttamiseksi ja liiketoiminnan jatkuvuuden tukemiseksi: Johdon sitoutuminen. Ilman johdon vaatimusta ja valvontaa jatkuvuussuunnittelun edellytykset ovat vajavaiset. Tämä on jatkuvuuden hallinnan välttämätön edellytys. Liiketoiminnan ja ICT:n välisten riippuvuussuhteiden ymmärtäminen. Päätöksentekijöillä on oltava todenmukainen käsitys liiketoimintaan ja etenkin kriittisiin liiketoimintaprosesseihin vaikuttavista riskitekijöistä, mukaan lukien ICT. Johdon on kyettävä tunnistamaan riskitekijät, mieluiten ennakoivasti. Hyvätasoinen keskusteluyhteys johdon ja tietohallinnon välillä on tässä suuresti hyödyksi. Omistajien kiinnostus tunnistaa ja hallita riskejä. Omistajien keskeisenä intressinä on turvata yrityksen olemassaolo ja mahdollisimman hyvä toimintakyky kaikenlaisissa tilanteissa. Omistajien tulee vaatia, että operatiivinen johto toteuttaa yrityksen jatkuvuuden hallintaa tarkoituksenmukaisella tavalla, joka vastaa omistajien tunnistamaa omistuksen riskipositiota. Liiketoimintaprosessit ja ICT-järjestelmät on kriittisyysluokiteltava. Liiketoimintaprosessien kriittisyys- ja palautusjärjestyksen määritteleminen on johdon vallassa. ICT-prosesseista vastaava taho kuten tietohallinto voi tämän perusteella luokitella ICT-järjestelmien ja -palvelujen kriittisyydet. ICT-riippuvuudet ja riskit on tunnistettava ja analysoitava. Organisaation on ymmärrettävä, millaisen riskin ICT muodostaa liiketoiminnalle. Samoin on tiedostettava, kuinka todennäköisiä ICT:n aiheuttamat riskit ovat ja kuinka suuria välittömiä ja välillisiä seurauksia näillä voi olla liiketoiminnalle. On ymmärrettävä, että jatkuvuuden hallinta on jatkuva prosessi. ICT:n riskikartta muuttuu koko ajan, samoin kuin organisaation toimintaympäristö ja sen riskit. Tämän vuoksi ICT-riippuvuuksia ja ICT:n liiketoiminnalle muodostamia riskejä on arvioitava säännöllisesti, ja myös merkittävissä muutostilanteissa. Alihankintaketjujen riippuvuuksien huomioiminen. Verkostoituneessa liiketoiminnassa kumppaneihin ja sidosryhmiin voi liittyä merkittäviä riskejä. Organisaatio voi olla suuresti riippuvainen alihankkijoiden ja kumppanien toimintakyvystä. Siksi koko toimintaympäristön huomioiminen jatkuvuuskysymysten suhteen on tärkeää, mukaan lukien ICT ja muut tukitoiminnot. Tuotantoketjujen läpinäkyvyyttä voi lisätä eri toimenpiteillä, kuten huomioimalla jatkuvuusvaatimukset sopimuksissa ja toteuttamalla alihankkijoiden ja toimittajayritysten auditointeja. Tiedon saatavuuden turvaaminen eri tilanteissa. Monissa tapauksissa liiketoimintakriittisen tiedon menettäminen tai tiedon joutuminen vääriin käsiin on toteutuessaan suurin ICT-riski, joka voi kohdata organisaatiota. Joillekin yrityksille ICT on vain väline, mutta esimerkiksi pankkien ja vakuutusyhtiöiden koko liiketoiminta nojaa voimakkaasti ICT-ratkaisuihin. Jatkuva tiedon olemassaolo ja turvallinen saatavuus on keskeinen asia monelle muullekin. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 7/131

8 Olemmeko palvelutoimittajalle asiakas, jonka palvelu tuotetaan riittävän korkealla prioriteetilla myös poikkeustilanteissa? Ulkoisten palvelujen yleistyessä asiakkaiden on syytä välillä pysähtyä miettimään tätä asiaa. On ilmeistä, että palvelutoimittaja pyrkii poikkeustilanteessa huolehtimaan ensisijaisesti tärkeimmistä (=suurimmista) asiakkaistaan. Muut asiakkaat saavat todennäköisesti palvelua sitä mukaa kun mm. resurssit antavat tähän mahdollisuuden. Jokainen yritys on itse vastuussa sitoumuksistaan omille asiakkailleen. Sopimuksilla voi ostaa turvaa ja lisätä varautumisen tasoa, mutta asiakasvastuita ei voi ulkoistaa. Siksi jokaisen yrityksen - ja myös julkisen organisaation - on tärkeää arvioida jatkuvasti, onko ICT:n liiketoiminnalle muodostamiin riskeihin varauduttu riittävällä ja tarkoituksenmukaisella tavalla. Toimittajien sopimuksiin kirjatut palkkiot ja sanktiot ovat toissijaisia silloin, kun organisaation toiminta on vaarassa. Liian usein etenkin pk-yrityksissä luotetaan sopimussakkojen takaavan sen, että palvelutoimittaja tuottaa sovitun sisältöisiä palveluja tilanteessa kuin tilanteessa. Palvelutoimittajan sakkopykälistä ei ole hyötyä asiakkaalle, jos liiketoimintakriittisen tiedon katoamisella tai palvelun lamaantumisella on tuhoava vaikutus asiakkaan liiketoiminnalle. 1.3 Havaintoja tutkimuksen keskeisiltä osa-alueilta Selvityksessä arvioitiin kotimaisen ICT-jatkuvuussuunnittelun toteutumista ja tasoa viidellä eri osa-alueella: 1) johtaminen ja riskienhallinta, 2) strateginen ICTjatkuvuussuunnittelu, 3) ulkoiset suhteet, kumppanuudet ja ICT-toimittajat, 4) ICTjatkuvuusjohtaminen ja 5) resursointi. Seuraavassa esitetään keskeisimpiä havaintoja kutakin viittä osa-aluetta koskien: Johtaminen ja riskienhallinta Johdon sitoutuminen on koko jatkuvuussuunnittelun kannalta ehdoton avainasia. o Kun johto on selkeästi tietoinen ICT-riskeistä ja sitoutunut niiden hallintaan, jatkuvuussuunnittelun ja sen kehittämisen systematiikalle on hyvät edellytykset. o Pääsääntöisesti tällaisissa organisaatioissa riskianalyysin tulokset vaikuttavat vahvasti myös päätöksentekoon ja jatkuvuustarpeita koskevaan resursointiin. o Tietohallintojohtajan vahva rooli kuten kuuluminen johtoryhmään edistää myös ICTriskeihin varautumista o Joissakin tapauksissa pintapuolinen riskianalyysi ja kevyet käytännön varautumistoimenpiteet ovat tarpeisiin nähden riittäviä. Olennaista on, että alhainen varautumistaso tai varautumatta jättäminen ovat tietoisia päätöksiä. Vähimmillään huolehditaan, että johtoa informoidaan näistä asioista riittävästi. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 8/131

9 Ylin johto ottaa ICT-riskejä koskevan analyysin vaihtelevasti huomioon päätöksenteossa. o Joissakin organisaatioissa riskienhallinta ohjaa voimakkaasti johtamista ja toiminnan suunnittelua, jolloin varautumiskysymykset huomioidaan päätöksenteossa joskus paljoakaan kustannuksista tinkimättä. o Useissa organisaatioissa johto joutuu käytännössä priorisoimaan ainakin hetkellisesti muut asiat ICT-riskien hallinnan yläpuolelle. Tämä on varsinkin taloudellisesti epävakaana aikana ymmärrettävää, kun koko toimiala saattaa olla huomattavissa vaikeuksissa ja yritys joutuu tekemään irtisanomisia. Koko organisaation sitoutuminen kokonaisuutena ICTjatkuvuussuunnitteluun riippuu ensisijaisesti siitä, kuinka hyvin johto on sitoutunut näihin asioihin ei niinkään siitä, kuinka ICT-riippuvaisia tai huoltovarmuuskriittisiä organisaatiot tosiasiassa ovat. o Suurimmissa yrityksissä ja muutamilla erityisaloilla kuten finanssisektorilla ICTjatkuvuussuunnittelu on joka tapauksessa systemaattisesti johdettua toimintaa. Organisaation sitoutuminen jatkuvuutta ylläpitäviin käytäntöihin varmistetaan. Myös valtionhallinnossa jatkuvuussuunnitteluun on kiinnitetty viime aikoina erityistä huomiota ja jatkuvuuskysymysten painoarvo on kasvamassa. o Keskikokoisissa organisaatioissa jatkuvuusasiat huomioidaan vaihtelevammin kuin suurissa Strateginen suunnittelu Strategisen suunnittelun rooli on ICT-jatkuvuuskysymysten kohdalla erityisen merkittävä suuryrityksissä, ja erityisesti finanssisektorilla ja suurissa teollisuusyrityksissä. o Näissä yrityksissä jatkuvuussuunnittelun ja ICT-jatkuvuussuunnittelun johtaminen on strategisessa mielessä hyvin suunniteltua ja nämä käytännöt on usein sisäänajettu pitkän kehityskulun myötä. o Monet strategista suunnittelua korkeatasoisesti toteuttavista organisaatioista on jatkuvuusasioiden suhteen ulkoa ohjattuja tai tähän pakotettuja. Käytännössä regulaatioiden huomioiminen edellyttää hyvien käytäntöjen mukaista strategista suunnittelua ja toimintatapoja, niin johtamisen kuin teknisen varautumisen tasolla. Keskisuurissa yrityksissä strategisen suunnittelun taso ja toimintamallit vaihtelevat suuresti. o Erityisen ICT-riippuvaisissa yrityksissä jatkuvuusasioilla on yleensä keskeinen rooli, ja ICT-asiat huomioidaan osana jatkuvuussuunnittelua. o Useimmissa keskisuurissa yrityksissä tilanne on toinen. Liian usein strategiakysymykset ovat lähinnä tietohallintojohdon intresseissä, eikä ylin johto välttämättä tunnista ICT-riippuvuuksia ja ICT:n roolia liiketoiminnalle samalla tavalla kuin tietohallinto. o Strategisen suunnitelman sijasta luotetaan kriittisten järjestelmien operatiivisiin varautumisohjeisiin, joita näitäkään ei aina päivitetä kovin usein jos ollenkaan. Noin kolmasosalla organisaatioista ei ole ICT-jatkuvuusstrategiaa itsenäisenä dokumenttina tai osana esimerkiksi laajempaa liiketoiminnan jatkuvuus- tai riskienhallintastrategiaa (perustuen sekä henkilökohtaisten haastattelujen että web-kyselyn havaintoihin). o ICT:n osalta varautumiseen liittyviä muita ohjeistuksia voi tällöinkin olla. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 9/131

10 ICT-jatkuvuusstrategian laatineet organisaatiot toteuttavat riskienhallinnan ja liiketoiminnan jatkuvuuden hallinnan prosesseja useimmiten erittäin systemaattisesti. o Lähes kaikki päivittävät ICT-jatkuvuusstrategiaa säännöllisesti, yleensä vuosittain, joskin päivitystarpeet ovat liiketoimintalähtöisiä. o ICT-jatkuvuusstrategiaan tehdään päivityksiä joko kalenterin mukaan tai merkittävien muutosten kuten suurten järjestelmähankkeiden yhteydessä ICT-jatkuvuusjohtaminen Suuret yritykset ja ennen kaikkea finanssialan yritykset panostavat selvästi muita voimakkaammin ICT-jatkuvuusjohtamiseen, eli jatkuvuuskäytäntöjen systemaattiseen organisoimiseen ja johtamiseen. o Jatkuvuussuunnitelmaan liittyvien tehtävien määrittely, poikkeusoloihin varautuminen varahenkilö- ja muilla järjestelyillä sekä varajärjestelyjen harjoittelu ja testaaminen ovat lakien ja toimialaa koskevien säädösten vuoksi erityisesti finanssitoimijoilta vaadittuja käytäntöjä. o Regulaatiot ohjaavat ICT-jatkuvuusjohtamista myös muutamilla muilla erityisaloilla, joiden liiketoimintaprosessit sietävät virheitä ja epävarmuustekijöitä erityisen heikosti (esimerkiksi lääkeala ja tietyt muut kemian erikoisalat) ja joille jatkuvuuskysymykset tästä johtuen ovat erityisen tärkeitä. Näissä yrityksissä ICT on huomioitu pääsääntöisesti erittäin hyvin jatkuvuusjohtamisen näkökulmasta. Vain harva organisaatio uskoo, että kriittisten tehtävien suorittamiseksi vaadittavat vaihtoehtoiset toimintatavat ja muut varajärjestelyt on määritelty täysin tyydyttävästi. o Useissa suurissakin yrityksissä koetaan, että varautumisen tarve edellyttää nykyistä suurempia panostuksia ja paremmin määriteltyjä varajärjestelyjä. o Yleensä rajoitteena ovat rahalliset resurssit, mutta myös tarkoituksenmukaisuuden asettamat rajat, jotka perustuvat riskien todennäköisyyksien ja toteutuneiden riskien vaikutusten analysointiin. Silti usein tunnustetaan, että varajärjestelyjen ja vaihtoehtoisten toimintatapojen suhteen voidaan tehdä vielä paljon lisää. Lähes kaikki suuret ja keskisuuret organisaatiot ovat toteuttaneet ennakoimattomiin tilanteisiin liittyvän päätöksenteon ja tiedottamisen suunnittelua ainakin jollain tasolla. o Suurissa ja erityisen ICT-riippuvaisissa organisaatioissa päätöksentekoketju ja tiedottamisvastuut on yleensä tarkoin määritelty eskalaatiotilanteita varten. o Keskisuurissa organisaatioissa poikkeustilanteisiin liittyvä päätöksenteon ja tiedottamisen suunnittelu ja vastuuttaminen on selvästi hatarammalla pohjalla. o Monet myöntävät suoraan, että asioita ryhdytään kehittämään vasta kun ongelmia havaitaan tositilanteiden kautta: ongelmat opettavat parhaiten sekä suunnittelemaan paremmin, että toteuttamaan jatkuvuutta tukevia investointeja. Pienissä ja keskisuurissa organisaatioissa jatkuvuusjohtaminen on usein epäsystemaattista. o Varajärjestelyjä ei aina ole, ja useimmiten ne koskevat vain kaikkein kriittisimpiä toimintoja. Joissakin tapauksissa varautumista tehdään muodon vuoksi. o Usein kyse on puutteellisista rahallisista resursseista, johon vaikuttaa toisinaan se, ettei ylin johto ymmärrä liiketoiminnan ja ICT:n välisiä riippuvuussuhteita. Tietohallinnon halutaan vastaavan ICT-jatkuvuuden turvaamisesta, mutta tähän ei anneta resursseja. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 10/131

11 1.3.4 Ulkoiset suhteet, kumppanuudet ja ICT-toimittajat Verkostoitunut liiketoiminta lisää riskien ja jatkuvuuden hallinnan haasteita. Yhä tehokkaampaa suorituskykyä tavoittelevissa alihankinta- ja toimitusketjuissa yritysten riippuvuudet sen kumppaneista on tärkeää tunnistaa. Muiden osapuolten ICT-riskit voivat toteutuessaan vaikuttaa olennaisesti yrityksen toimituskykyyn, ja pahimmissa tapauksissa ne voivat jopa lamaannuttaa yrityksen toiminnan. Alihankintaketjuihin liittyvien riskien läpinäkyvyyden parantaminen on kriittisen tuotannon suhteen verkostoituneille yritykselle tärkeää. Liiketoimintaprosessien riippuvuudet ICT-toimittajista ja muista ulkoisista osapuolista on suurissa ja keskisuurissa organisaatioissa lähes aina selvitetty ainakin kriittisimmiltä osin. Usein suurissa yrityksissä ja huoltovarmuuskriittisissä valtionhallinnon organisaatioissa ulkoisiin toimijoihin liittyvät riskit on arvioitu hyvinkin laajasti ja syvällisesti, mutta etenkin keskisuurissa yrityksissä päähuomio keskittyy aivan kriittisimpiin liiketoimintaprosesseihin. Laadullisesti ulkoisiin suhteisiin ja ulkoisiin palveluihin liittyen on vielä paljon parannettavaa etenkin keskisuurissa yrityksissä. Ennen kaikkea tämä liittyy alihankintaverkostoihin ja ulkoisista kumppaneista voimakkaasti riippuvaisiin yrityksiin. ICT-toimittajiin, kumppaneihin ja muihin sidosryhmiin liittyvässä jatkuvuussuunnittelussa on vielä laajasti kehitettävää. o Etenkin keskisuurissa, mutta myös monissa suurissa yrityksissä on epävarmuutta siitä, kuinka hyvin ICT-toimittajat voivat tosiasiallisesti suoriutua velvoitteistaan erilaisissa poikkeustilanteissa. Epävarmuutta esiintyy riippumatta siitä, kuinka tietoisesti asiakkaat ovat vaatineet palveluihin liiketoiminnan jatkuvuutta tukevia käytäntöjä. o Epävarmuus liittyy pääasiassa kahteen asiaan: 1) oman organisaation prioriteetti palvelutoimittajan palvelussa mahdollisen poikkeustilanteen aikana, ja 2) tietoliikenneyhteyksien toimivuus o Organisaation tuotannolle kriittiset kumppanit on varsin usein tunnistettu ja lähes yhtä usein myös kuvattu. Kriittiset sopimukset, toimittajasuhteet ja niiden vaikutussuhteen liiketoiminnalle ovat käytännössä kaikilla hyvin selvitettynä. o Kriittisten kumppanien jatkuvuusnäkökulmasta tehty vastuuttaminen poikkeustilanteiden ja häiriöiden varalta on jo selvästi tunnistamista ja kuvaamista harvinaisempaa, puhumattakaan siitä että näitä tahoja olisi erityisesti organisoitu osaksi omaa jatkuvuussuunnittelua. Suuret yritykset ja erityisen ICT-riippuvaiset organisaatiot ovat tässäkin suhteessa edistyneimpiä. Tarve tuntea aiempaa paremmin ulkoisten ICT-toimittajien palvelujen tuotantoprosessit on usein kasvanut johtuen ulkoisten palvelujen käytön lisääntymisestä, palvelujen monimutkaistumisesta ja niiden kriittisen roolin kasvusta. o Tämän vuoksi ulkoisten resurssien kuvaaminen on liiketoimintaprosessien näkökulmasta entistä tärkeämpää. Finanssialan toimijat ottavat ulkoiset osapuolet selvästi muita systemaattisemmin huomioon ICT-jatkuvuussuunnittelussa. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 11/131

12 Keskisuurissa yrityksissä ulkoisten osapuolten huomioiminen poikkeusolojen palvelukyvyn varmistamiseksi on selkeästi heikommalla tasolla kuin suurissa yrityksissä. o Kriittiset asiat on yleensä huomioitu vähintään jollakin tavoin, mutta käytännöt vaihtelevat suuresti. Esimerkiksi toimittajien auditoiminen on selvästi vähäisempää kuin suurilla organisaatioilla. Päähuomio on yleensä ollut normaaliajan käytettävyydessä ja tehokkaassa kilpailuttamisessa. Toimittajien lupauksiin luotetaan liikaa. Toisaalta asiakkaat tekevät myös perusteettomia olettamuksia palvelujen jatkuvuusominaisuuksien suhteen. o Toimittajien kyvyt ja resurssit liiketoiminnan jatkuvuuden tukemiseksi tulisi usein selvittää nykyistä perusteellisemmin. o Asiakkaiden tulisi ymmärtää palvelusopimusten ehdot poikkeusolosuhteiden ja forte majeure -tilanteiden osalta selvästi nykyistä syvällisemmin. Suurissa organisaatioissa tämä ei yleensä ole ongelma, sillä nämä ovat ulkoisten palvelujen ostajina harjaantuneita myös riskienhallintamielessä. Osto-osaamisen puutteet ovat huomattavasti yleisempiä keskisuurissa ja pienissä yrityksissä, joissa myös ulkoisten ICT-palvelujen käyttö yleistyy. Ulkoisista toimittajista tietoliikenneoperaattorit sekä IT-palvelujen toimittajat tunnistetaan kriittisimmiksi ulkoisiksi osapuoliksi ajatellen ICT:n ja liiketoiminnan jatkuvuutta. o Riippuvuudet tietoliikenteestä ja IT-palveluista ovat erittäin hyvin tiedossa. Liiketoimintasovellusten ja IT-laitteiden toimittajia nimetään selvästi harvemmin kriittisiksi osapuoliksi. Sovelluksen ylläpidosta vastaavaa palvelutoimittajaa pidetään useammin liiketoiminnalle kriittisenä kuin sovelluksen valmistajaa Resursointi Finanssialan toimijat ovat muihin verrattuna selvästi intensiivisimpiä resursoijia ICT-jatkuvuuskysymyksissä. o Erityisesti finanssialan organisaatioille jatkuvuuden turvaaminen ei ole ensisijaisesti kustannuskysymys, vaan jatkuvuussuunnittelu on liiketoiminnan välttämätön edellytys. o Kaikki finanssitoimijat kuitenkin näkevät, että nykyistä jatkuvuuden hallinnan suoritustasoa on vielä varaa parantaakin. Tämä kertoo lähinnä toimialan korkeasta vaatimustasosta ja siitä, että alalla tiedostetaan jatkuvuuden hallinnan jatkuvan kehittämisen välttämättömyys. Resursointi ICT-jatkuvuussuunnitteluun pyritään pitämään ensisijaisesti tarkoituksenmukaisella tasolla. o Ylivarautumista ja epätodennäköisiltä ja/tai seurauksiltaan vähäisiltä riskeiltä suojautumista pyritään tiukasti välttämään. o Erityisesti meneillään oleva taloustaantuma sekä monen yrityksen ja toimialan vaikeudet vaikuttavat myös jatkuvuusinvestointeihin, jotka eivät normaalioloissa saa aikaan tuottoja tai säästöjä. o Keskisuurissa yrityksissä jatkuvuuden hallinta priorisoidaan usein tietoisesti alemmaksi kuin riskejä analysoimalla on voitu päätellä tarkoituksenmukaiseksi. Tähän menettelyyn liittyy ylimmän johdon tietoista tai ei-tietoista riskinottoa, jonka seuraukset on olennaista ymmärtää. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 12/131

13 Henkilöresurssit on tavallisesti mitoitettu täysin normaaliajan tarpeiden mukaisesti. Joidenkin jopa kriittisten toimintojen kohdalla myönnettiin, että toimintakyky olisi todellisessa poikkeustilanteessa selkeästi puutteellisella tasolla. o Työvoimareserveihin on normaaliaikoina harvoin varaa. Toisaalta kriittisiin toimintoihin ei voida mahdollisissa poikkeustilanteissa järjestää nopeasti lisä- tai korvaavia henkilöresursseja. Sovellusten ja datan käytettävyys on organisaatioille keskimäärin tärkeämpi asia kuin näiden jatkuvuus. Käytettävyyttä ja jatkuvuutta ei tavoitteina voi aina erottaa, vaan molemmat saattavat olla liiketoiminnan kannalta keskeisiä vaatimuksia. o Tietojärjestelmien käytettävyyteen investoidaan hieman herkemmin kuin esimerkiksi kriittisiä järjestelmiä tai liiketoimintaprosesseja tukeviin jatkuvuusratkaisuihin. o Jatkuvuusinvestointien, samoin kuin monien muiden investointien, hyväksyttäminen on nykyhetkellä keskimäärin vaikeampaa kuin joitakin vuosia sitten. Perustelujen on oltava erityisen painavia ja niiden tueksi on oltava usein hyvin tehdyt business caset. o Korkean ICT-riippuvuuden (yleensä suurille) organisaatioille jatkuvuus on usein itseisarvo, jolloin jatkuvuuteen investoidaan tarpeen mukaan priorisoimatta sitä millään tavalla suhteessa muuhun rahankäyttöön. Heikkojen komponenttien takia koko jatkuvuusinvestointi voi osoittautua hyödyttömäksi. o Varautumista ja riskien hallintaa on syytä arvioida tuotannollisten ketjujen ja prosessien tasolla. Yhden prosessivaiheen tai järjestelmän osan huomiotta jättäminen voi kyseenalaistaa koko jatkuvuusinvestoinnin mielekkyyden. Siksi liiketoimintaprosesseja ja niihin liittyviä riskejä ja riippuvuuksia on välttämätöntä arvioida kokonaisvaltaisesti. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 13/131

14 2 Johdanto 2.1 Taustaa Suunnitelmallinen varautuminen eriasteisiin normaalista poikkeaviin tilanteisiin on tarkoituksenmukaista toimintaa niin valtion, julkisten organisaatioiden kuin yksityisten yritystenkin näkökulmasta. Luonnollisesti nämä tahot ovat keskenään hyvin erilaisia esimerkiksi toiminnan laajuuden, prosessien sekä näiden kriittisyyden suhteen. Siksi erilaisiin häiriötilanteisiin, poikkeusoloihin ja varsinaisiin kriiseihin varautumisen tarkoituksenmukainen taso ja varautumiskeinot ovat yksilöllisiä. Lisäksi organisaatioissa ja niiden toimintaympäristöissä tapahtuu koko ajan muutoksia, jolloin riskienhallinnan, ja varautumisen tarpeetkin muuttuvat. Tämän vuoksi jatkuvuussuunnittelun tulisi olla jatkuva prosessi niin valtion kuin yksityisten yritystenkin kohdalla. Varautumiskysymyksiä ja liiketoiminnan jatkuvuussuunnittelua (business continuity) koskevia erilaisia selvityksiä on tehty Suomessa ja maailmalla pitkään. Sitä vastoin tietoja viestintätekniikan liiketoimintariippuvuutta ja tätä koskevaa jatkuvuussuunnittelua käsitteleviä selvityksiä ei ole Suomessa juurikaan tehty. Tämän vuoksi perustimme hankkeen tutkimaan jatkuvuussuunnittelun tilaa Suomessa juuri ICT-näkökulmasta. Tämän tutkimushankkeen perustajatahot edustavat sekä julkista hallintoa (Huoltovarmuuskeskus, Puolustusministeriö, Valtiovarainministeriö, Tekes) että ICTtoimittajayrityksiä (Eaton Power Quality, Fujitsu, Logica, TeliaSonera, Tieto). Marketvisio on vastannut tutkimuksen toteuttamisesta kokonaisuudessaan. Muut hankkeen perustajatahot ovat osallistuneet projektin ohjausryhmätyöskentelyyn, jolla on pyritty tukemaan työn suunnittelua ja toteutusta. 2.2 Tieto- ja viestintäteknologian voimistuva rooli Tieto- ja viestintäteknologia (ICT) onkin noussut tärkeään ja yhä useammin kriittiseen rooliin eri alojen yrityksissä ja organisaatioissa vasta viimeisten noin kahden-kolmen vuosikymmenen aikana. Erityisesti sähköisen viestinnän voimakas yleistyminen ja tietoverkkojen hyödyntäminen liiketoiminnassa ovat vahvistaneet ICT:n roolia organisaatioissa ja koko yhteiskunnassa. Tieto- ja viestintäteknologian ratkaisut ja palvelut ovat muuttuneet vähitellen tukitoiminnoista liiketoimintakriittisten palvelujen monimutkaiseksi kokonaisuudeksi, jonka hallinta ja kehittäminen vaatii usein korkeatasoista erityisosaamista. Joillakin aloilla kuten esimerkiksi pankki- ja vakuutustoiminnassa sekä verkkoliiketoiminnassa ICT:n ja ICT-palvelujen korkea käytettävyys ja jatkuvuus ovat liiketoiminnan jatkuvuuden kannalta erittäin kriittisiä tekijöitä. Samoin monilla julkisen sektorin organisaatioilla on huolehdittavanaan yhteiskunnan näkökulmasta erittäin kriittisiä toimintoja, joihin liittyy merkittäviä riippuvuuksia ICT-ratkaisuista ja -palveluista. Organisaation tai yrityksen koko liiketoiminta voi nojautua voimakkaasti IT-sovelluksiin ja näitä tukeviin palveluihin. ICT:n painoarvo eri toimialojen organisaatioiden riskianalyyseissa on noussut johdonmukaisesti. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 14/131

15 2.3 Ulkoisten ICT-toimittajien merkitys kasvaa Organisaatioiden ulkopuolisten tahojen merkitys ICT-palvelujen tuotannossa on ollut pitkään kasvussa, ja suuntaus tulee edelleen jatkumaan samankaltaisena. Vastuuta tietoteknistä ratkaisuista on siirretty yhä enemmän ulkopuolisille toimittajayrityksille. Etenkin suurissa organisaatioissa tämä on usein tarkoittanut vähintään infrastruktuuripalvelujen kuten työasemia ja palvelimia koskevien ylläpito- ja tukipalvelujen hankkimista ulkoistettuina palveluina. Yhä useammin ulkopuoliset palveluntarjoajat ottavat vastuuta myös liiketoimintasovellusten ylläpidosta ja tuesta. Lisäksi sovellusten hankkiminen palveluna ilman lisenssihankintoja (SaaS, software as a service) on yleistymässä, ja se tulee yleistymään voimakkaasti joillakin sovellusalueilla 2010-luvulla. Ulkoisten toimittajien rooli ICT-palvelujen tuotannossa voimistuu, ja samalla tieto- ja viestintätekniikan liiketoimintakriittinen riippuvuus on kasvussa. Tästä seuraa vääjäämättä, että asiakasorganisaatiot ovat entistä riippuvaisempia käyttämistään ICTtoimittajista. Ennen kaikkea asiakkaat ovat enenevästi riippuvaisia ICT-toimittajien kyvystä selviytyä sopimusten mukaisista tehtävistään. Valitettavasti tämä koskee myös tilanteita, joissa tavanomaiset ja jatkuvuuskysymyksiä vain pintapuolisesti käsittelevät sopimukset eivät edes päde. Normaaliolojen aikana toimittajien palvelutuotantoa ohjaavat yleensä sopimuksessa määritellyt palvelutasomittarit, mutta erilaisissa häiriö- ja poikkeustilanteissa force majeure -ehdot rajaavat usein toimittajien vastuita. Asiakas voi halutessaan lisätä sopimusten kattavuutta force majeure -ehtojen muutoin rajaamille alueille. Käytännössä tämä tapahtuu investoimalla jatkuvuutta tukeviin lisäpalveluihin, kuten kahdennettuihin tai kolmennettuihin konesalipalveluihin ja tietoliikenneyhteyksiin, varahenkilöjärjestelyihin ja muihin erilaiset poikkeustilanteet huomioiviin palveluihin. Asiakkaiden mahdollisuudet varmistua ulkopuolisten toimittajien palvelukyvystä mahdollisissa häiriö- ja poikkeustilanteissa ovat aina jossain määrin rajalliset. Hankkimalla ulkopuolisen - yhden tai useamman - asiantuntijan auditointipalveluja asiakas voi lisätä merkittävästi tietämystään potentiaalisen tai nykyisen toimittajan palvelutuotannon jatkuvuuskysymyksiin liittyvistä vahvuuksista ja heikkouksista. Tämä on erityisen tärkeää liiketoimintakriittisten palvelujen toimittajavalintaprosessissa, mutta usein myös jatkuvana prosessina ja lisäksi erilaisissa muutostilanteissa. Tietoliikennepalvelujen kohdalla operaattorien kyky vastata jatkuvuushaasteisiin voi kuitenkin olla vaikeasti todennettavissa, esimerkiksi silloin kun kiinteiden yhteyksien muodostama palvelukokonaisuus on maantieteellisesti hyvin laaja. 2.4 Periaatteita ja valintoja tutkimushankkeen taustalla ICT:n roolin voimistuminen ja erityisesti organisaatioiden lisääntyvä riippuvuus tieto- ja viestintätekniikasta ovat keskeisimmät syyt sille, että ICT on yhä tärkeämpi osa-alue yritysten ja organisaatioiden riskienhallinnassa ja jatkuvuussuunnittelussa. Näiden syiden vuoksi myös tämä tutkimushanke on päätetty toteuttaa. Hankkeen tarkoituksena oli muodostaa käsitys mm. siitä, miten ICTjatkuvuussuunnittelua johdetaan strategisesti ja operatiivisesti, sekä miten ylin johto huomioi ICT:n osana organisaation liiketoiminnan jatkuvuussuunnittelua ja riskienhallintaa. Tutkimuksessa selvitettiin myös organisaatioiden varautumiskäytäntöjä operatiivisen tekemisen tasolla, mutta hankkeen varsinainen painopiste ei ollut teknisessä varautumisessa ja näiden toimenpiteiden arvioimisessa. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 15/131

16 Hanketta suunniteltaessa ohjausryhmä ja Marketvisio ottivat työhypoteesiksi sen, että ICT-jatkuvuussuunnittelu ja ICT-varautuminen ovat ensisijaisesti johtamiskysymyksiä, ja ennen kaikkea strategiseen johtamiseen liittyviä asioita. Tekniset varautumistoimenpiteet ovat viime kädessä vain seurausta siitä, millaiseksi johto näkee ICT:n roolin organisaation kriittisessä toiminnassa, ja miten organisaation jatkuvuussuunnittelua tältä pohjalta johdetaan. Jotta jatkuvuussuunnittelu ja myös ICT-jatkuvuussuunnittelu olisi mahdollista, on organisaation määriteltävä liiketoimintaprosessien tärkeysjärjestys tai kriittisyysluokittelu ainakin jollakin tasolla. Tämä on selkeästi johdon tehtävä, se ei kuulu esimerkiksi tietohallinnolle. Tietohallinto voi tyypillisesti etsiä ja ehdottaa sopivat ratkaisut kriittisten palvelujen ja toimintojen turvaamiseksi, ja usein tätä kautta vaikuttaa myös tarvittavaan resursointiin. Kuitenkin ylimmän johdon tulee viime kädessä määrittää paitsi liiketoimintaprosessien tärkeysjärjestys (minkä asioiden turvaaminen erilaisilla varautumistoimenpiteillä tärkeintä), niin myös varautumistarpeeseen vastaaminen (kuinka paljon riskejä organisaatiolla on varaa sietää, eli kuinka korkeaa varautumisen tasoa on tarkoituksenmukaista tavoitella). Käytännössä tämä edellyttää asianmukaisen riskienhallintaprosessin toteuttamista ja ICT:n huomioimista tämän osana. Toki organisaation toimintatavoista riippuen sen ICT-riskienhallintaprosessi ja ICTjatkuvuusstrategia voivat yhtä hyvin olla omia kokonaisuuksiaan kuin olla osa-alueina koko organisaatiota koskevassa riskienhallinnan ja liiketoiminnan jatkuvuuden suunnittelussa. 2.5 Selvityksen toteutustapa Selvityksen empiirinen tiedonkeruu toteutettiin sekä henkilökohtaisiin haastatteluihin että web-kyselyyn perustuen. Lisäksi tehtiin pieni määrä ICT-toimittajayritysten haastatteluja lähinnä tutkimuksen suunnittelun tueksi. Tutkimuksen käytännön toteutuksessa pidettiin tärkeänä, että erityisesti huoltovarmuuskriittisten ja tieto- ja viestintätekniikasta selkeästi riippuvaisten suurten ja suurehkojen organisaatioiden tilannetta tutkittaisiin lähemmin. Tämän vuoksi päätettiin toteuttaa henkilökohtaisten asiantuntijahaastattelujen osuus, joko kohdistettiin 32 organisaatioon. Kohderyhmään valittiin suomalaisia suuria ja keskisuuria yrityksiä sekä julkishallinnon organisaatioita tai liikelaitoksia. Henkilökohtaisten haastattelujen kokemusten perusteella laadittiin web-kysely, joka kohdistettiin edellistä laajemmalle joukolle suomalaisia yrityksiä ja organisaatioita. Ennen henkilökohtaisten haastattelujen aloittamista Marketvisio haastatteli hankkeen ohjausryhmään osallistuvien ICT-toimittajayritysten edustajia tutkimusaiheeseen liittyen. Toimittajahaastattelujen tarkoituksena oli koota tietoa toimittajayritysten näkemyksistä suomalaisten organisaatioiden ICT-jatkuvuussuunnittelun nykytilasta ja asiakastarpeista. Tätä palautetta hyödynnettiin taustatietona tutkimusta suunniteltaessa ja arvioitaessa selvittämistä vaativia asioita. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 16/131

17 2.5.1 Henkilökohtaiset haastattelut Henkilökohtaiset haastattelut tehtiin välisenä aikana Marketvision asiantuntijoiden toimesta. Haastatteluihin osallistui Marketvision puolelta pääsääntöisesti kaksi henkilöä, jotta tapaamisen aikana käydyn keskustelun pohjalta saataisiin mahdollisimman laadukkaat muistiinpanot. Tutkimuksessa haastatellut henkilöt edustivat pääosin tietohallinnon päättäjätasoa (esimerkiksi CIO, tietohallintojohtaja, IT-johtaja). Joissakin tapauksissa haastatteluun osallistui riskienhallinnasta vastaava johtaja, jonka toimialueeseen kuuluu myös tieto- ja viestintätekniikka. Muutamiin haastatteluihin osallistui vastaajan puolelta kaksi tai useampia henkilöitä, lähinnä sen vuoksi että tietämyksen kysyttävistä asioista arvioitiin tulevan tällä tavoin parhaiten kootuksi. Henkilökohtaisilla haastatteluilla tavoitellut 32 organisaatiota olivat: Suuria yrityksiä (kohderyhmä noin 80 suurinta yritystä, lv. yli 700 me), 13 kpl Keskisuuria yrityksiä (noin 500 suurinta yritystä, lv. noin me), 9 kpl Julkisen sektorin organisaatioita ja valtio-omisteisia liikelaitoksia, 10 kpl Henkilökohtaisissa haastatteluissa painottuivat erityisesti seuraavat asiat: Ylimmän johdon suhde jatkuvuussuunnitteluun ja erityisesti ICT-jatkuvuuteen Riskien ja liiketoimintavaikutusten huomioiminen ICT-jatkuvuussuunnittelun strateginen merkitys sekä jatkuvuusstrategia ICT-jatkuvuussuunnittelun johtaminen ja organisoiminen Jatkuvuussuunnittelun käytännön toteutuminen eri ICT-toiminnoissa Haastatteluihin käytettiin aikaa keskimäärin 90 minuuttia. Haastattelut olivat luonteeltaan kvalitatiivisia ja keskustelevia. Marketvisio oli laatinut haastatteluihin noin 30 kysymystä kattavan strukturoidun kypsyystasomittariston, jonka avulla pyrittiin arvioimaan ja havainnollistamaan haastateltujen organisaatioiden ICT-jatkuvuuteen liittyvää toiminnan määrää ja laatua 1) johtamisessa ja riskienhallinnassa, 2) strategisessa ICTjatkuvuussuunnittelussa, 3) ulkoisten suhteiden ja toimittajien osalta, 4) ICTjatkuvuusjohtamisessa sekä 5) jatkuvuusasioihin liittyvässä resursoinnissa. Lisäksi käytiin läpi lyhyesti teknisiä toimenpiteitä joilla jatkuvuuskysymyksiä on pyritty huomioimaan Web-kysely Web-kysely avattiin ja suljettiin Osallistumispyyntö lähetettiin sähköpostitse ja pyyntö toistettiin vielä kahdesti niille jotka eivät olleet vielä vastanneet. Osallistumispyyntö lähetettiin 895 henkilölle, jotka edustivat 512 eri organisaatiota. Yhteen organisaatioon lähetettiin osallistumispyyntö enintään kolmelle henkilölle. Kohderyhmään valikoitiin pääasiassa tietohallinnon johto- ja päällikkötason edustajia sekä riskienhallinnasta vastaavia henkilöitä. Kohteet poimittiin satunnaisesti Marketvision käytössä olevista rekistereistä, edustaen eri toimialojen ja eri kokoluokkien organisaatioita. Pienimmät alle 100 henkilön yritykset pyrittiin jättämään web-kyselyn ulkopuolelle, ja näiden osuus kyselyyn osallistuneista onkin hyvin pieni. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 17/131

18 Web-kyselyyn vastanneet organisaatiot jakautuivat henkilömäärän ja toimialan suhteen seuraavalla tavalla: Taulukko 1. Web-kyselyyn vastanneet organisaatiot henkilömäärän mukaan Web-kysely, jakauma henkilömäärän mukaan Vastauksia kpl % Alle 100 henkilöä 10 9 % henkilöä % henkilöä % Vähintään 1000 henkilöä % YHTEENSÄ % Taulukko 2. Web-kyseyyn vastanneet organisaatiot toimialan mukaan Web-kysely, jakauma toimialan mukaan Vastauksia kpl % Kauppa 7 6 % Teollisuus % Infrastruktuuripalvelut (energiahuolto ja rakentaminen) 7 6 % Muut palvelut % Liikenne ja logistiikka 4 4 % Finanssisektori % Kunnat ja kaupungit % Valtionhallinto % YHTEENSÄ % Web-kyselyn sisältö noudatteli pääpiirteissään vastaavia teemoja kuin henkilökohtaiset haastattelut, ollen kuitenkin suppeampi ja tutkimusotteeltaan lähinnä kvantitatiivinen. Kyselyssä sovelletut mittarit käsittelivät 1) johtamisesta ja riskienhallintaa, 2) strategisesta ICT-jatkuvuussuunnittelua, 3) ulkoisia suhteita ja toimittajia sekä 4) ICTjatkuvuusjohtamisesta. Web-kyselyssä pyrittiin, että mittarit olisivat mahdollisimman pitkälle vastaavia kuin henkilökohtaisissa haastatteluissa. Muutoksia tehtiin lähinnä siksi, että kysymykset soveltuisivat esitettäväksi web-kyselyssä. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 18/131

19 2.5.3 Toimittajahaastattelut Ennen henkilökohtaisten haastattelujen aloittamista Marketvisio haastatteli hankkeeseen osallistuvien ICT-toimittajayritysten edustajia. Haastattelujen tarkoituksena oli muodostaa myyjäosapuolen näkemys suomalaisen ICT-jatkuvuussuunnittelun nykytilasta ja erityispiirteistä tutkimuksen suunnittelun tueksi. Toimittajahaastatteluissa pyrittiin mm. arvioimaan: mitä jatkuvuussuunnitteluun liittyviä tarpeita asiakkaat tiedostavat mitä asiakkaat odottavat toimittajilta jatkuvuudenhallintaan ja varautumiseen liittyen missä asioissa toimittajat arvioivat olevan erityistä kehitettävää asiakaspuolella (asioita jotka asiakkaat tunnistavat / eivät tunnista) mitkä seikat edistävät ICT-jatkuvuussuunnittelua asiakaspuolella mitkä seikat hidastavat ICT-jatkuvuussuunnittelua asiakaspuolella Toimittajahaastattelut toteutettiin syyskuussa Haastatellut yritykset olivat Eaton Power Quality, Fujitsu Services, Logica, TeliaSonera ja Tieto. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 19/131

20 3 ICT-toimittajien näkökulma Marketvisio haastatteli hankkeeseen osallistuvia toimittajayrityksiä tutkimuksen suunnittelun tueksi. Haastatellut yritykset olivat Eaton Power Quality, Fujitsu Services, Logica, TeliaSonera ja Tieto. Tarkoituksena oli kerätä kokemusperäistä tietoa, näkemyksiä ja ennakko-odotuksia siitä, millaiseksi toimittajayritykset arvioivat suomalaisen jatkuvuussuunnittelun nykytilan tietotekniikan loppukäyttäjäorganisaatioissa. Haastatteluissa arvioitiin mm. mitä jatkuvuussuunnitteluun liittyviä tarpeita asiakkailla nähdään olevan, missä asioissa nähdään kehitettävää sekä mitä jatkuvuusuhkia toimittajat näkevät asiakkailla olevan. Tässä kappaleessa esitetään lyhyt yhteenveto niistä asioista, jotka nousivat toimittajayritysten kanssa käydyissä keskusteluissa selkeimmin esille. 3.1 Eri toimialoja ja kokoluokkia edustavien organisaatioiden välillä on eroja Toimialojen ja erikokoisten organisaatioiden välillä on koettu olevan huomattavia eroja jatkuvuusasioiden huomioimisessa. Osa julkishallinnosta ja suuret kansainväliset yritykset ymmärtävät jatkuvuuskysymykset pääsääntöisesti erittäin hyvin. Näiden tahojen tarjouspyynnöt ovat yksityiskohtaisia ja jatkuvuutta osataan vaatia, ja siitä ollaan myös valmiita maksamaan. Toimittajilta vaaditaan näyttöä varautumisesta ja varakäytännöistä, samoin halutaan auditoida toimittajia ja näiden tuotantoympäristöjä. Vaatimukset ja etenkin auditoinnit ovat yleistyneet viime vuosina isoimmilla asiakkailla. Keskisuurissa ja erityisesti pienissä asiakkaissa olosuhteet vaihtelevat huomattavasti. Johto ei ole välttämättä erityisen sitoutunut jatkuvuuskysymyksiin. Yleisesti ottaen luotetaan liikaa palvelusopimuksiin ja näissä määriteltyihin normaaliolojen palvelutasoihin. Toisinaan asiakas luottaa palkkioiden ja sanktioiden ohjaavaan voimaan, ja ajattelee saman logiikan toimivan myös poikkeusoloissa. Käytännössä tämä on riittämätön lähtökohta jatkuvuussuunnittelulle. Liiketoiminnalle vakavan uhan muodostavassa häiriötilanteessa asiakas ei hyödy paljoakaan siitä että toimittajalle lankeaa sanktioita. Toimittajan sanktiot saattavat olla pahimmassa tapauksessa merkityksettömiä verrattuna itse jatkuvuusuhan aineellisiin ja aineettomiin seurauksiin. Laki ja regulaatiot pakottavat organisaatioita voimakkaasti jatkuvuussuunnitteluun niillä aloilla joita nämä koskevat. Julkishallintoa säätelevät valtionhallinnon vaatimukset, muutamilla aloilla kuten pankkisektorilla, terveydenhuollossa ja julkishallinnossa lainsäädäntö edellyttää määrättyjä konkreettisia varautumistoimia. Kansainväliseen pörssitoimintaan liittyvät standardit (mm. SOX) ovat voimakkaasti toimintaa ohjaavia lähinnä kansainvälisillä suuryrityksillä. Suomessa huoltovarmuuskriittisten asiakkaiden eli ns. CIP-toimijoiden kanssa yhteistyössä olevat toimittajayritykset joutuvat todentamaan toimintakykynsä erilaisissa poikkeustilanteissa Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 20/131

21 3.2 Käytettävyydestä ja jatkuvuudesta ei aina olla valmiita maksamaan Palvelusopimuksissa jatkuvuuskysymykset oletetaan liian usein itsestään selviksi. On asiakkaita, jotka olettavat tietyn ja todellisuutta korkeamman määrän jatkuvuutta sisältyvän sopimuksiin silloinkin, kun näin ei yksiselitteisesti ole. Taustalla ovat usein paineet kustannussäästöihin ja voimakkaat hintamielikuvat, joskus myös tietämättömyys. Suurimmissa organisaatioissa toimittajayritykset näkevät asiakkaan odotusten olevan pääsääntöisesti oikealla tasolla. Liiketoimintaprosessien kuvausta ja prosessien priorisointia (kriittisyysluokittelu) ei ole aina toteutettu riittävällä tasolla. Tämä on tyypillisesti keskikokoisia ja tätä pienempiä yrityksiä koskeva epäkohta. Pahimmassa tapauksessa tietohallinto tai mikään muukaan taho ei tiedä liiketoimintaprosessien ja tietojärjestelmien kriittisyysjärjestystä, jolloin systemaattista palautussuunnitelmaakaan tuskin on olemassa. Tällaisissa tilanteissa vastuu (liiketoimintakriittisten) tietojärjestelmien toiminnasta ja jatkuvuudesta on saatettu työntää yksin IT-osastolle, joka ei sekä yritystä ja IT:a koskevien johtamistavan puutteiden sekä vajavaisten resurssien takia pysty vastaamaan jatkuvuushaasteisiin. Liiketoiminnan tai liiketoimintaprosessin keskeytysten suorat kustannukset ovat kohtalaisen usein tiedossa, mutta kokonaiskustannukset ja -vaikutukset eivät niinkään. Business impact -ajattelua ei aina viedä käytännön tasolle. Euromääräinen riskien ja varsinkin välillisten vaikutusten rahallinen arvioiminen on liian harvinaista. Tietojärjestelmien käyttökatkojen ja erityisesti vakavimpien IT-ongelmien potentiaalisia vaikutuksia esimerkiksi asiakassuhteille tai yrityksen maineelle mietitään harvoin. 3.3 Käytettävyys ja jatkuvuus sekoitetaan joskus keskenään Asiakas hakee ratkaisulta korkeaa käytettävyyttä, joka määritellään normaaliolojen mukaisesti. Toisinaan kuvitellaan, että tietty käytettävyyden taso on voimassa myös erilaisissa poikkeustilanteissa automaattisesti, jolloin pitäisi todellisuudessa puhua jatkuvuudesta. Jatkuvuuden lisääminen palvelusopimuksiin tarkoittaa usein force majeure -ehtojen poisrajaamista lisäpalveluihin ja ydinpalvelua tukeviin ratkaisuihin investoimalla. Kuitenkin on syytä muistaa, että hyvä varautuminen lähtee hyvin hoidetusta normaaliajan varautumisesta. Normaalioloissa, ei siis poikkeusolojen tai kriisin aikana, tapahtuu väistämättä eritasoisia häiriöitä, joiden aiheuttamat liiketoimintavaikutukset voidaan eliminoida tai vähintäänkin rajata hyvällä suunnittelulla. 3.4 Raha ratkaisee Asiakkailla on ainakin tavanomaisimmissa IT-palveluissa vahvat hintamielikuvat, jotka ohjaavat myös päätöksentekoa. Jatkuvuusasiat jäävät usein taka-alalle. Lopputulos saattaa olla, että asiakkaan odotukset eivät välttämättä täyty poikkeustilanteessa, kun sopimus ei sido toimittajaa. Riippumatta siitä mitä sopimuksessa on tosiasiassa määritelty, toimittaja joutuu aina jollakin tapaa ottamaan kantaa asiakkaan ongelmaan. Toimittajien haasteena onkin saada asiakas ymmärtämään, mikä jatkuvuuden taso tietyllä asiakkaan haluamalla palvelutasolla ja kokonaisuudella pystytään saavuttamaan. Liiketoiminnan riippuvuus ICT:sta kasvaa, hallitaanko riskit? sivu 21/131

Liiketoiminnan ICT-riippuvuus kasvaa hallitaanko riskit?

Liiketoiminnan ICT-riippuvuus kasvaa hallitaanko riskit? Liiketoiminnan ICT-riippuvuus kasvaa hallitaanko riskit? Mika Ollikainen, Tutkimusjohtaja j Keskeisiä tuloksia 10.5.2010 2 Tutkimuksen sisältö Tutkimuksen kannalta keskeiset kysymykset jaettiin viiteen

Lisätiedot

Sopimuksiin perustuva toiminnan jatkuvuuden hallinta

Sopimuksiin perustuva toiminnan jatkuvuuden hallinta Sopimuksiin perustuva toiminnan jatkuvuuden hallinta Haasteena verkoston toimintavarmuuden kehittäminen Ohjaus heikkenee Häiriö toimijan toiminnassa vaikuttaa verkoston toiminnan jatkuvuuteen 2 Vaatimuksia

Lisätiedot

Jatkuvuuden varmistaminen

Jatkuvuuden varmistaminen Jatkuvuuden varmistaminen kriittisessä ympäristössä SADe-ohjelman tietosuoja- ja tietoturvailtapäivä 26.11.2014 Aku Hilve http: ://www.capitolhillblue.com/node/47903/060413internet 2 Varautumisella ymmärretään

Lisätiedot

Suomalaisten organisaatioiden kehittämistoiminnassa on paljon parannettavaa

Suomalaisten organisaatioiden kehittämistoiminnassa on paljon parannettavaa Suomalaisten organisaatioiden kehittämistoiminnassa on paljon parannettavaa CxO Mentor Oy tutki hankesalkun hallintaa, projektitoimiston toimintaa ja kokonaisarkkitehtuurityötä maalis-huhtikuussa 2012

Lisätiedot

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi Häiriötilanteisiin varautuminen korkeakoulukentässä Kari Wirman IT2012 - Valtakunnalliset IT-päivät 31.10.2012 Rovaniemi Jatkuvuudenhallinta Jatkuvuudenhallinnalla tarkoitetaan kaikkia niitä toimenpiteitä,

Lisätiedot

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta Luo / Muokkaa Lähetä Lausunnonantajat Yhteenveto Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta Johdanto Kommentit ja huomiot - Johdanto Tiivistäisin alkuun jatkuvuuden määritelmän esim. seuraavasti:

Lisätiedot

Vastausten ja tulosten luotettavuus. 241 vastausta noin 10 %:n vastausprosentti tyypillinen

Vastausten ja tulosten luotettavuus. 241 vastausta noin 10 %:n vastausprosentti tyypillinen Vastausten ja tulosten luotettavuus Vastaukset 241 vastausta noin 10 %:n vastausprosentti tyypillinen Kansainväliset IT:n hallinnan hyvät käytännöt. Luotettavuusnäkökohdat Kokemukset ja soveltamisesimerkit

Lisätiedot

Valtorin asiakasyhteistyö

Valtorin asiakasyhteistyö Valtorin asiakasyhteistyö Asiakaspalvelujohtaja Jukka Rautanen Valtion tieto- ja viestintätekniikkakeskus Valtori Valtio Expo 2014 Esityksen sisältö Asiakasyhteistyön käynnistyminen Asiakasyhteistyön toimintamalli

Lisätiedot

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.

Lisätiedot

Yhteisöllinen tapa työskennellä

Yhteisöllinen tapa työskennellä Yhteisöllinen tapa työskennellä Pilvipalvelu mahdollistaa uudenlaisten työtapojen täysipainoisen hyödyntämisen yrityksissä Digitalisoituminen ei ainoastaan muuta tapaamme työskennellä. Se muuttaa meitä

Lisätiedot

HUOVI-portaali. Huoltovarmuustoiminnan uusi painopiste: toiminnallinen huoltovarmuus

HUOVI-portaali. Huoltovarmuustoiminnan uusi painopiste: toiminnallinen huoltovarmuus Miten yrityksesi toiminta jatkuu, kun sähkönsaannissa on pitkäkestoinen katko tietoliikenneyhteydet ovat poikki myrskyn vuoksi tuotantokiinteistö tuhoutuu tulipalossa tärkeimmän raaka-ainetoimittajan tai

Lisätiedot

Valmiuspäällikkö Sakari Ahvenainen. Valmiusohje ja ajankohtaista varautumisesta. Helsingin TIVA ja joukkoviestintäpooli (JVP)

Valmiuspäällikkö Sakari Ahvenainen. Valmiusohje ja ajankohtaista varautumisesta. Helsingin TIVA ja joukkoviestintäpooli (JVP) Valmiuspäällikkö Sakari Ahvenainen Helsingin TIVA ja joukkoviestintäpooli (JVP) Valmiusohje ja ajankohtaista varautumisesta Lapin TIVA:n alueseminaari 24.9.2009 Rovaniemi JVP:n ohje valmius-suunnitelman

Lisätiedot

SOPIVA-hankeryhmä, Kari Wirman

SOPIVA-hankeryhmä, Kari Wirman Toiminnan jatkuvuuden hallinta verkostoituneessa toimintaympäristössä SOPIVA-hankeryhmä, Haasteena koko verkoston toimintavarmuuden kehittäminen 10.5.2010 2 Tuotantotoiminta Tuotantoprosessi Tuotannontekijät

Lisätiedot

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Miten varmennan ICT:n kriittisessä toimintaympäristössä? Miten varmennan ICT:n kriittisessä toimintaympäristössä? Sairaalatekniikan päivät 2018 8.2.2018 Tommi Tervo, Istekki Oy Kehittämispäällikkö Mistä sairaalan ICT koostuu? Noin 6000 päätelaitetta Noin 200

Lisätiedot

Tietoturvallisuuden vaatimukset ja vaikutukset liiketoimintaan sekä yhteiskuntaan

Tietoturvallisuuden vaatimukset ja vaikutukset liiketoimintaan sekä yhteiskuntaan Tietoturvallisuuden vaatimukset ja vaikutukset liiketoimintaan sekä yhteiskuntaan Markku Siltanen CISA, CGEIT, CRISC Miksi yhteiskunta haluaa suojautua On viimeinkin ymmärretty tietotekniikan ja sen laadullisen

Lisätiedot

Talousjohdon haasteet kyselyn tulokset Amy Skogberg Markkinointipäällikkö Business Intelligence and Performance Management

Talousjohdon haasteet kyselyn tulokset Amy Skogberg Markkinointipäällikkö Business Intelligence and Performance Management Talousjohdon haasteet kyselyn tulokset Amy Skogberg Markkinointipäällikkö Business Intelligence and Performance Management 2008 IBM Corporation IBM Cognos: suorituskyvyn johtamisen asiantuntija IBM osti

Lisätiedot

Porvoon kaupungin ja kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan perusteet

Porvoon kaupungin ja kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan perusteet Porvoon kaupungin ja kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan perusteet KV 25.3.2015 KH 16.3.2015 2 Sisällys 1. Sisäisen valvonnan ja riskienhallinnan tarkoitus ja tavoitteet... 3 2. Sisäisen

Lisätiedot

ICT-VARAUTUMINEN VALTIT-INFO 27.11.2008

ICT-VARAUTUMINEN VALTIT-INFO 27.11.2008 ICT-VARAUTUMINEN VALTIT-INFO 27.11.2008 VARAUTUMINEN Jatkuvuuden hallinta ICT-VARAUTUMINEN Jatkuvuuden hallinta Riskienhallinta Riskienhallinta Valmius Johtaminen Tilannetietoisuus Tiedon turvaaminen Häiriö-

Lisätiedot

Turvallisuuskulttuuri ja ydinlaitosrakentaminen

Turvallisuuskulttuuri ja ydinlaitosrakentaminen ja ydinlaitosrakentaminen - Tsernobyl 1986 - Onnettomuustutkinnan yhteydessä luotiin Turvallisuuskulttuuri -käsite - Turvallisuuskulttuuri -käsite määriteltiin 1991 ensimmäisen kerran 1991 IAEA:n (The

Lisätiedot

Keneltä ICT-palvelut hankitaan tulevaisuudessa: perinteiseltä IT-palveluntarjoajalta, tietoliikennepalveluntarjoajalta vai molemmilta?

Keneltä ICT-palvelut hankitaan tulevaisuudessa: perinteiseltä IT-palveluntarjoajalta, tietoliikennepalveluntarjoajalta vai molemmilta? Keneltä ICT-palvelut hankitaan tulevaisuudessa: perinteiseltä IT-palveluntarjoajalta, tietoliikennepalveluntarjoajalta vai molemmilta? 8.2.2005 Tommi Rinnemaa Market-Visio Oy www.marketvisio.fi Potentiaalisten

Lisätiedot

Miten julkinen hallinto ja Tampereen kaupungin organisaatio on muuttunut ja muuttumassa?

Miten julkinen hallinto ja Tampereen kaupungin organisaatio on muuttunut ja muuttumassa? Miten julkinen hallinto ja Tampereen kaupungin organisaatio on muuttunut ja muuttumassa? Valtuustoseminaari 23.3.2015 ----------------------------------- Kari Hakari johtaja, HT Tampereen kaupunki, tilaajaryhmä

Lisätiedot

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn! 1(16) Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn! Arvoisa vastaaja, Tällä kyselyllä selvitetään Suomen kuntien tieto- ja kyberturvallisuuden

Lisätiedot

Perusterveydenhuollon suunta 2011 kyselytutkimuksen tulokset. Nordic Healthcare Group Oy Suomen Lääkäriliitto 1.4.2011

Perusterveydenhuollon suunta 2011 kyselytutkimuksen tulokset. Nordic Healthcare Group Oy Suomen Lääkäriliitto 1.4.2011 Perusterveydenhuollon suunta 0 kyselytutkimuksen tulokset Nordic Healthcare Group Oy Suomen Lääkäriliitto..0 Johdanto Perusterveysbarometri 0 Nordic Healthcare Group Oy ja Suomen Lääkäriliitto ovat toteuttaneet

Lisätiedot

RIITTÄÄKÖ LUOTTAMUS HÄIRIÖTILANTEESSA? SOPIMUSPERUSTEINEN VARAUTUMINEN Valmiusasiamies Jaakko Pekki

RIITTÄÄKÖ LUOTTAMUS HÄIRIÖTILANTEESSA? SOPIMUSPERUSTEINEN VARAUTUMINEN Valmiusasiamies Jaakko Pekki RIITTÄÄKÖ LUOTTAMUS HÄIRIÖTILANTEESSA? SOPIMUSPERUSTEINEN VARAUTUMINEN 5.3.2019 Valmiusasiamies Jaakko Pekki LUOTTAMUS? Odotus toisen osapuolen tietynlaisesta käyttäytymisestä tai ominaisuuksista Toisen

Lisätiedot

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016

Lisätiedot

Ulkoistaminen ja varautumiseen liittyvät sopimusasiat alihankkijan näkökulmastakulmasta. Pentti Tammelin YIT Teollisuus- ja verkkopalvelut

Ulkoistaminen ja varautumiseen liittyvät sopimusasiat alihankkijan näkökulmastakulmasta. Pentti Tammelin YIT Teollisuus- ja verkkopalvelut Ulkoistaminen ja varautumiseen liittyvät sopimusasiat alihankkijan näkökulmastakulmasta Pentti Tammelin YIT Teollisuus- ja verkkopalvelut Verkkojen toiminta tulee varmistaa puheen, datan tai kuvansiirtoon

Lisätiedot

Yritysturvallisuuden johtamisen arviointi

Yritysturvallisuuden johtamisen arviointi Yritysturvallisuuden johtamisen arviointi Kiwa Rima Kiwa Inspecta Trust, Quality & Progress Mitä hyvä yritysturvallisuuden johtaminen on? Turvallisuuden johtaminen on tavoitteellista ja liiketoimintaa

Lisätiedot

Pelastuslaitoksen palvelutasopäätöksen väliarviointi PelJk

Pelastuslaitoksen palvelutasopäätöksen väliarviointi PelJk Pelastuslaitoksen palvelutasopäätöksen väliarviointi 2016 PelJk 18.8.2016 Palvelutasopäätös 2014-2018 Pelastustoimen palvelutasopäätös on pelastuslain 28 :n mukainen päätös alueen palvelutasosta ja suunnitelma

Lisätiedot

Julkaistu Helsingissä 15 päivänä kesäkuuta 2011. 634/2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta

Julkaistu Helsingissä 15 päivänä kesäkuuta 2011. 634/2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta SUOMEN SÄÄDÖSKOKOELMA Julkaistu Helsingissä 15 päivänä kesäkuuta 2011 634/2011 Laki julkisen hallinnon tietohallinnon ohjauksesta Annettu Helsingissä 10 päivänä kesäkuuta 2011 Eduskunnan päätöksen mukaisesti

Lisätiedot

Yritysturvallisuuden johtamisen arviointi

Yritysturvallisuuden johtamisen arviointi Yritysturvallisuuden johtamisen arviointi Kiwa Rima Kiwa Inspecta Trust, Quality & Progress Mitä hyvä yritysturvallisuuden johtaminen on? Turvallisuuden johtaminen on tavoitteellista ja liiketoimintaa

Lisätiedot

Valtioneuvoston asetus

Valtioneuvoston asetus Valtioneuvoston asetus julkisen hallinnon turvallisuusverkkotoiminnasta Valtioneuvoston päätöksen mukaisesti säädetään julkisen hallinnon turvallisuusverkkotoiminnasta annetun lain (10/2015) nojalla: 1

Lisätiedot

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus Nykytila-arvio toiminnan osa-alueesta Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus Trust, Quality & Progress on tehokas tapa tietää enemmän Oletko tietoinen organisaationne tietohallinnon, tietoturvallisuuden,

Lisätiedot

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET Hall. 01.04.2014 Valt. 29.04.2014 1 Voimaantulo 01.07.2014 1 Lainsäädännöllinen perusta ja soveltamisala Kuntalain 13

Lisätiedot

IT-ERP Tietohallinnon toiminnanohjausratkaisuna. ja ITIL palveluiden kehittämisessä

IT-ERP Tietohallinnon toiminnanohjausratkaisuna. ja ITIL palveluiden kehittämisessä IT-ERP Tietohallinnon toiminnanohjausratkaisuna ja ITIL palveluiden kehittämisessä Case PRH Timo Junnonen Esityksen sisältö: 1. Patentti- ja rekisterihallitus (PRH) 2. PRH tietohallinto (PIT projekti)

Lisätiedot

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta Kimmo Rousku, VAHTI-pääsihteeri, JulkICT-osasto Esitykseni - viisi

Lisätiedot

SISÄLTÖ. 1 RISKIENHALLINTA... 3 1.1 Yleistä... 3 1.2 Riskienhallinta... 3 1.3 Riskienhallinnan tehtävät ja vastuut... 4 1.4 Riskienarviointi...

SISÄLTÖ. 1 RISKIENHALLINTA... 3 1.1 Yleistä... 3 1.2 Riskienhallinta... 3 1.3 Riskienhallinnan tehtävät ja vastuut... 4 1.4 Riskienarviointi... RHK Ohje riskienhallinnasta 2 SISÄLTÖ 1 RISKIENHALLINTA... 3 1.1 Yleistä... 3 1.2 Riskienhallinta... 3 1.3 Riskienhallinnan tehtävät ja vastuut... 4 1.4 Riskienarviointi... 5 RH Ohje riskienhallinnasta

Lisätiedot

JHS 179 Kokonaisarkkitehtuurin suunnittelu ja kehittäminen Liite 2. Liiketoimintamallit ja kyvykkyydet KA-suunnittelussa

JHS 179 Kokonaisarkkitehtuurin suunnittelu ja kehittäminen Liite 2. Liiketoimintamallit ja kyvykkyydet KA-suunnittelussa JHS 179 Kokonaisarkkitehtuurin suunnittelu ja kehittäminen Liite 2. Liiketoimintamallit ja kyvykkyydet KA-suunnittelussa Versio: Luonnos palautekierrosta varten Julkaistu: Voimassaoloaika: toistaiseksi

Lisätiedot

Kertomusluonnoksesta annetut lausunnot 20/2018 Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus 263/54/2017

Kertomusluonnoksesta annetut lausunnot 20/2018 Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus 263/54/2017 Kertomusluonnoksesta annetut lausunnot 20/2018 Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus 263/54/2017 Valtioneuvoston kanslia, 12.11.2018. Valtiovarain controller -toiminto, 12.11.2018.

Lisätiedot

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa 12.3.2013.

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa 12.3.2013. AEO-Toimijapäivä Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa 12.3.2013 Sami Hyytiäinen Johdanto Turvallisuus ja vaarattomuus toimitusketjussa Kuljetusketjun

Lisätiedot

ICT:n johtamisella tuloksia

ICT:n johtamisella tuloksia Tuottava IT ICT:n johtamisella tuloksia Data: Tietohallintojen johtaminen Suomessa 2012 Tietääkö liiketoimintajohto mitä IT tekee? Ei osaa sanoa tietääkö Ei tiedä Osittain Tietää 0 % 10 % 20 % 30 % 40

Lisätiedot

Markkinoinnin tila 2010 -kyselytutkimuksen satoa. StratMark-kesäbrunssi 17.6.2010 Johanna Frösén

Markkinoinnin tila 2010 -kyselytutkimuksen satoa. StratMark-kesäbrunssi 17.6.2010 Johanna Frösén Markkinoinnin tila 2010 -kyselytutkimuksen satoa StratMark-kesäbrunssi 17.6.2010 Johanna Frösén Markkinoinnin tila -kyselytutkimus Tavoitteena laaja yleiskuva suomalaisen markkinoinnin tilasta ja kehityksestä

Lisätiedot

Tietohallinnon nykytilan analyysi. Analyysimenetelmä (sovitettu Tietohallintomallista) 9.10.2013

Tietohallinnon nykytilan analyysi. Analyysimenetelmä (sovitettu Tietohallintomallista) 9.10.2013 Tietohallinnon nykytilan analyysi Analyysimenetelmä (sovitettu Tietomallista) 9.10.2013 Haastattelurunko Kerättävät perustiedot Budjetti (edellisvuoden) Henkilöstökustannukset IT-ostot Muut Liite - Kypsyysanalyysin

Lisätiedot

Riski = epävarmuuden vaikutus tavoitteisiin. Valtionhallinnossa = epävarmuuden vaikutus lakisääteisten tehtävien suorittamiseen ja tavoitteisiin

Riski = epävarmuuden vaikutus tavoitteisiin. Valtionhallinnossa = epävarmuuden vaikutus lakisääteisten tehtävien suorittamiseen ja tavoitteisiin Juha Pietarinen Riski = epävarmuuden vaikutus tavoitteisiin Valtionhallinnossa = epävarmuuden vaikutus lakisääteisten tehtävien suorittamiseen ja tavoitteisiin - Voiko riski olla mahdollisuus myös lakisääteisten

Lisätiedot

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA Turvallinen ohjelmistokehitys seminaari 30.9.2008 1 Turvallisuusvaatimukset ohjelmiston hankinnassa Tehtävä/toiminta liittyvä toiminnot/prosessit

Lisätiedot

LOGHU3. Kokemuksia ja suosituksia

LOGHU3. Kokemuksia ja suosituksia LOGHU3 Kokemuksia ja suosituksia 31.3.2011 Pekka Rautiainen ja Irmeli Rinta-Keturi, Talent Partners Oy LOGHU3 on Huoltovarmuuskeskuksen, puolustusvoimien ja liikenne- ja viestintäministeriön yhteishanke,

Lisätiedot

Ei näyttöä tai puheen tasolla

Ei näyttöä tai puheen tasolla Jyväskylän yliopisto 1(5) Dokumenteilla tarkoitetaan suuntaa ohjaavia asiakirjoja, strategioita ja linjauksia. Keskeisiä ovat vain ko. auditointikohdetta koskevat ja ohjaavat dokumentit. Dokumentit voivat

Lisätiedot

Valtori tänään ja huomenna Valtorin strategia. Valtorin asiakaspäivä 30.10.2014 Toimitusjohtaja Kari Pessi

Valtori tänään ja huomenna Valtorin strategia. Valtorin asiakaspäivä 30.10.2014 Toimitusjohtaja Kari Pessi Valtori tänään ja huomenna Valtorin strategia Valtorin asiakaspäivä 30.10.2014 Toimitusjohtaja Kari Pessi MUUTOS = MAHDOLLISUUS JA HAASTE On etuoikeus olla toteuttamassa muutosta ja ottaa haaste vastaan.

Lisätiedot

Espoon kaupunki Pöytäkirja 96. Valtuusto 08.06.2015 Sivu 1 / 1. 96 Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

Espoon kaupunki Pöytäkirja 96. Valtuusto 08.06.2015 Sivu 1 / 1. 96 Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta Valtuusto 08.06.2015 Sivu 1 / 1 1909/07.01.00/2015 Kaupunginhallitus 189 25.5.2015 96 Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta Valmistelijat / lisätiedot: Juha Kalander,

Lisätiedot

1.2 Mahdollista joustava muutos suojaustasolta toiselle tilanteen mukaan myös ylöspäin

1.2 Mahdollista joustava muutos suojaustasolta toiselle tilanteen mukaan myös ylöspäin VNK Lausunto 04.09.2018 VNK/1263/03/2018 Asia: VM/275/00.01.00.01/2018 Julkisen hallinnon tietoliikennepalvelulinjaukset Yhteenveto Linjausten tarkoitus ja kohdealue Tietoliikennepalvelulinjaukset Käytettävyys,

Lisätiedot

Näin me sen teimme, Reumasäätiön sairaalan järjestelmäuudistus TOIMI-hanke

Näin me sen teimme, Reumasäätiön sairaalan järjestelmäuudistus TOIMI-hanke Näin me sen teimme, Reumasäätiön sairaalan järjestelmäuudistus TOIMI-hanke Hankkeen hallinta hankejohtaja, johdon konsultti Jyrki Etelämäki Pivotal Consulting Oy Terveydenhuollon atk-päivät 19.-20.5.2008

Lisätiedot

Maakuntauudistuksen esivalmistelu Satakunnassa Ohjausryhmä Satakunnan maakuntauudistus 1

Maakuntauudistuksen esivalmistelu Satakunnassa Ohjausryhmä Satakunnan maakuntauudistus  1 Maakuntauudistuksen esivalmistelu Satakunnassa Ohjausryhmä 20.6.2017 Satakunnan maakuntauudistus www.satakunta2019.fi 1 Valmisteluryhmän tehtävä ja keskeiset tavoitteet - Yhteiskunnan turvallisuusympäristö

Lisätiedot

Kuinka toimin erilaisissa häiriötilanteissa? Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Erja Kinnunen, Verohallinto 2.10.

Kuinka toimin erilaisissa häiriötilanteissa? Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Erja Kinnunen, Verohallinto 2.10. Kuinka toimin erilaisissa häiriötilanteissa? Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Erja Kinnunen, Verohallinto 2.10.2017 Sisältö Miksi palveluiden toimivuus ja jatkuvuus on tärkeää?

Lisätiedot

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta. 1 Ohjeen soveltamisala, tavoitteet ja rajaukset. 2 Jatkuvuuden hallinnan säädösympäristö

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta. 1 Ohjeen soveltamisala, tavoitteet ja rajaukset. 2 Jatkuvuuden hallinnan säädösympäristö Luo / Muokkaa Lähetä Lausunnonantajat Yhteenveto Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta Johdanto Kommentit ja huomiot - Johdanto 3. kappaleessa sanotaan Ohjeella pyritään sekä julkishallinnon

Lisätiedot

Finanssivalvonnan painopisteet varautumisen valvonnassa

Finanssivalvonnan painopisteet varautumisen valvonnassa Finanssivalvonnan painopisteet varautumisen valvonnassa Vakuutusalan varautumisen uudet haasteet -koulutustilaisuus 1.2.2011 Jukka Vesala, apulaisjohtaja Fivan missio Edistämme finanssimarkkinoiden vakautta

Lisätiedot

OHEISMATERIAALIN TARKOITUS

OHEISMATERIAALIN TARKOITUS (2012) OHEISMATERIAALIN TARKOITUS Kalvosarja on oheismateriaali oppaalle TASA ARVOSTA LAATUA JA VAIKUTTAVUUTTA JULKISELLE SEKTORILLE Opas kuntien ja valtion alue ja paikallishallinnon palveluihin ja toimintoihin

Lisätiedot

ForeMassi2025 Tiedotustilaisuus 3.5.2011. Teemu Santonen, KTT Laurea-ammattikorkeakoulu

ForeMassi2025 Tiedotustilaisuus 3.5.2011. Teemu Santonen, KTT Laurea-ammattikorkeakoulu ForeMassi2025 Tiedotustilaisuus 3.5.2011 Teemu Santonen, KTT Laurea-ammattikorkeakoulu Hankkeen tavoitteet Pitkän aikavälin laadullisen ennakoinnin verkostohanke Teemallisesti hanke kohdistuu hyvinvointi-

Lisätiedot

Potilasturvallisuuden johtaminen ja auditointi

Potilasturvallisuuden johtaminen ja auditointi 1 Potilasturvallisuuden johtaminen ja auditointi Pirjo Berg, Anna Maksimainen & Olli Tolkki 16.11.2010 Potilasturvallisuuden johtaminen ja auditointi Taustaa STM velvoittaa sairaanhoitopiirit laatimaan

Lisätiedot

Toiminnanohjausjärjestelmien hyödyntäminen Suomessa 2013

Toiminnanohjausjärjestelmien hyödyntäminen Suomessa 2013 Toiminnanohjausjärjestelmien hyödyntäminen Suomessa 2013 Loppukäyttäjätutkimus, alle 500 henkilön organisaatiot Osa 1/3: Pilvipalvelujen hyödyntäminen toiminnanohjausjärjestelmissä Leena Mäntysaari, Mika

Lisätiedot

TOIMINNAN JATKUVUUDEN HALLINTA

TOIMINNAN JATKUVUUDEN HALLINTA VERSIO 1.0F 15.5.2009 TOIMINNAN JATKUVUUDEN HALLINTA Versio: 1.0F Julkaistu: 15.5.2009 Sisällys 1 Johdanto... 2 2 Soveltamisala... 3 3 Toiminnan jatkuvuuden hallintaa koskevat suositukset... 3 3.1 Johtaminen...

Lisätiedot

Liiketoiminta, logistiikka ja tutkimustarpeet

Liiketoiminta, logistiikka ja tutkimustarpeet VTT Älykkään liikenteen ja logistiikan seminaari Espoo 2.11.2010 Vuorineuvos, taloustiet. tri Kari Neilimo Liiketoiminta, logistiikka ja tutkimustarpeet Muuttuva elinkeinojen rakenne; kasvava ja monimuotoistuva

Lisätiedot

WG1 DEC2011 DOC5a annexe A. Ohjeelliset kuvaimet koulutuksen järjestäjien käyttöön vastakkaisia väittämiä hyväksi käyttäen.

WG1 DEC2011 DOC5a annexe A. Ohjeelliset kuvaimet koulutuksen järjestäjien käyttöön vastakkaisia väittämiä hyväksi käyttäen. WG1 DEC2011 DOC5a annexe A koulutuksen järjestäjien käyttöön vastakkaisia väittämiä hyväksi käyttäen Toinen luonnos Laatuvaatimukset - suunnittelu järjestäjä kuvata Onko koulutuksen järjestäjällä näyttöä

Lisätiedot

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus) Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen 2012 2014 (pohjaehdotus) Arviointilomakkeiden tarkoitus Kunkin vastuualueen ja tulosyksikön sisäisen valvonnan

Lisätiedot

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA 1 S i v u Kokkolan kaupungin tietoturvapolitiikka 1. JOHDANTO Tietojenkäsittely tukee Kokkolan kaupungin palvelujen tuottamista ja palveluiden tehokkuus riippuu

Lisätiedot

Market Expander & QUUM analyysi

Market Expander & QUUM analyysi Market Expander & QUUM analyysi KANSAINVÄLISTYMISEN KEHITYSTASOT Integroitua kansainvälistä liiketoimintaa Resurssien sitoutuminen, tuotteen sopeuttaminen, kulut, KV liiketoiminnan osaaminen Systemaattista

Lisätiedot

Työryhmäraportti. Tietohallinto. Nykytilan kuvaus sekä uuden kunnan palvelujen järjestäminen, organisointi ja kehittäminen

Työryhmäraportti. Tietohallinto. Nykytilan kuvaus sekä uuden kunnan palvelujen järjestäminen, organisointi ja kehittäminen Työryhmäraportti Nykytilan kuvaus sekä uuden kunnan palvelujen järjestäminen, organisointi ja kehittäminen Tietohallinto päiväys 13.03.2014 1 Yhteenveto Kotkan ja Haminan tietohallintoyksiköt vastaavat

Lisätiedot

Johda myös riskejä riskienhallinta mahdollistaa #onnistuminen #menestyminen - seminaari

Johda myös riskejä riskienhallinta mahdollistaa #onnistuminen #menestyminen - seminaari Johda myös riskejä riskienhallinta mahdollistaa #onnistuminen #menestyminen - seminaari Havaintoja ja kokemuksia riskienhallinnan toteuttamisesta kunnissa mitä johto haluaa riskienhallinnasta? Tietohallintojohtaja

Lisätiedot

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy. Tietoturvallisuuden kokonaisvaltainen hallinta 3.12.2015 Heikki O. Penttinen Castilsec Oy Tietoturvallisuuden päätavoitteet organisaatioissa Tietoturvallisuuden oikean tason varmistaminen kokonaisvaltaisesti

Lisätiedot

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvapolitiikka Porvoon Kaupunki Tietoturvapolitiikka Porvoon Kaupunki 1 Sisältö 1 Johdanto... 3 2 Mitä tietoturvallisuus on?... 4 Tietoturvallisuuden hallinta... 4 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen... 5 3 Tietoturvallisuustavoitteet...

Lisätiedot

Tietoturvapolitiikka

Tietoturvapolitiikka Valtiokonttori Ohje 1 (6) Tietoturvapolitiikka Valtion IT -palvelukeskus Valtiokonttori Ohje 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa...

Lisätiedot

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN Tietoturva Nyt! 4.11.2015 Säätytalo Toimitusjohtaja Raimo Luoma HUOLTOVARMUUDEN PERUSTAVOITE Huoltovarmuuden turvaamisesta annetun lain tarkoituksena on

Lisätiedot

Palvelutoimisto. Prosessit ja ihmiset rokkaamaan yhdessä. itsmf TOP10 @Kalastajatorppa 3.-4.10.2013 Hanna Nyéki-Niemi ja Mika Lindström 3.10.

Palvelutoimisto. Prosessit ja ihmiset rokkaamaan yhdessä. itsmf TOP10 @Kalastajatorppa 3.-4.10.2013 Hanna Nyéki-Niemi ja Mika Lindström 3.10. Palvelutoimisto Prosessit ja ihmiset rokkaamaan yhdessä itsmf TOP10 @Kalastajatorppa 3.-4.10.2013 Hanna Nyéki-Niemi ja Mika Lindström 3.10.2013 Keitä olemme? Mika Lindström Hanna Nyéki-Niemi Ei anneta

Lisätiedot

SUOMEN VESIALAN KANSAINVÄLINEN STRATEGIA: Tiivistelmä

SUOMEN VESIALAN KANSAINVÄLINEN STRATEGIA: Tiivistelmä SUOMEN VESIALAN KANSAINVÄLINEN STRATEGIA: Tiivistelmä Luonnos 23.4.2008 Visio ja avainsanat Kansainvälinen vesialan strategia rakentuu seuraavalle pitkän aikavälin visiolle: Suomen vesialan toimijat ehkäisevät

Lisätiedot

Riskienhallinta. Minna Lehmuskero Johtaja, analyysitoiminnot Tela

Riskienhallinta. Minna Lehmuskero Johtaja, analyysitoiminnot Tela Riskienhallinta Minna Lehmuskero Johtaja, analyysitoiminnot Tela Twitter: @MinnaLehmuskero Mihin riskienhallintaa tarvitaan? Riskienhallinta on osa sisäistä valvontaa. Riskienhallinnan tavoitteena on eläkkeensaajien

Lisätiedot

Tietopyyntö / Markkinakartoitus

Tietopyyntö / Markkinakartoitus Apotti-hanke Tietopyyntö / Markkinakartoitus 5.3.2015 Sisältö 1 Johdanto... 3 2 Mahdollisen hankinnan kohde... 4 3 Mahdolliseen hankintaan liittyvät muut tarpeet... 8 1 Johdanto Apotti-hankkeen tarkoituksena

Lisätiedot

Valmiusharjoituksesta hyödyt irti Häme17 - Sysmä. Taneli Rasmus

Valmiusharjoituksesta hyödyt irti Häme17 - Sysmä. Taneli Rasmus Valmiusharjoituksesta hyödyt irti Häme17 - Sysmä Taneli Rasmus Tavoitteet harjoitukselle Sysmän kunnassa Testata uutta hallintosääntöä Testata ulkoistettujen palveluiden varautumista Teknisten ratkaisujen

Lisätiedot

Miten asiakaspolku näkyy asiakaskokemuksen seurannassa?

Miten asiakaspolku näkyy asiakaskokemuksen seurannassa? YHTEENVETO 25.4.2017 Feelback Oy Pieni Robertinkatu 9, 00130 HELSINKI Y-tunnus 1702297-8 www.feelback.com Miten asiakaspolku näkyy asiakaskokemuksen seurannassa? Tausta!! - Asiakaspolku - Tutkimuksen toteuttaminen

Lisätiedot

Rakentamispolitiikka. Verkkotoimikunta 6.9.2011 Keijo Välimaa

Rakentamispolitiikka. Verkkotoimikunta 6.9.2011 Keijo Välimaa Rakentamispolitiikka Verkkotoimikunta 6.9.2011 Keijo Välimaa 2 PAS 55 Omaisuuden hallinnan elementit Omaisuuslajit Elinkaaren vaiheet: Hankkiminen Käyttäminen Kunnossapitäminen Uusiminen/hävittäminen 3

Lisätiedot

Valtorin strategia. Hyväksytty Valtorin hallituksen kokouksessa

Valtorin strategia. Hyväksytty Valtorin hallituksen kokouksessa Valtorin strategia Hyväksytty Valtorin hallituksen kokouksessa 26.10.2017 TORI Töissä valtiolla sujuvammin Valtorin strategia Visio Luotettu ja toiminnan kaikissa tilanteissa turvaava Tuotamme valtionhallinnon

Lisätiedot

Hyvät hankintamenettelyt kehityshanke Hankkeen esittely ja tilannekatsaus. Santeri Naumanen SKOL ry

Hyvät hankintamenettelyt kehityshanke Hankkeen esittely ja tilannekatsaus. Santeri Naumanen SKOL ry Hyvät hankintamenettelyt kehityshanke Hankkeen esittely ja tilannekatsaus Santeri Naumanen SKOL ry Diplomityö: Hyvän suunnittelun vaikuttavuus rakennushankeen onnistumiseen (1/2) Tutkittiin suunnittelun

Lisätiedot

Tietohallintoyhteistyö Pohjois-Suomessa

Tietohallintoyhteistyö Pohjois-Suomessa Tietohallintoyhteistyö Pohjois-Suomessa (Alueellinen) yhteentoimivuus Länsi- ja pohj. alueen sote johtajat Pohtimolampi 13.11.2014 FM, HTT, Harri Ihalainen tietohallintojohtaja CV:stä - Sosiaali- ja terveysministeriön

Lisätiedot

VISIO YHTEISKUNNAN ELINTÄRKEIDEN TOIMINTOJEN TURVAAMINEN. Väestön elinmahdollisuudet. Yhteiskunnan turvallisuus. Valtion itsenäisyys

VISIO YHTEISKUNNAN ELINTÄRKEIDEN TOIMINTOJEN TURVAAMINEN. Väestön elinmahdollisuudet. Yhteiskunnan turvallisuus. Valtion itsenäisyys Valtioneuvoston periaatepäätös 16.12.2010 VISIO YHTEISKUNNAN ELINTÄRKEIDEN TOIMINTOJEN TURVAAMINEN Väestön elinmahdollisuudet Yhteiskunnan turvallisuus Valtion itsenäisyys Talouden ja infrastruktuurin

Lisätiedot

Tietoturvapolitiikka

Tietoturvapolitiikka Mäntsälä Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 0.9 2/8 Sisällys 1 Johdanto... 4 2 Mitä tietoturvallisuus on?... 4 2.1 Tietoturvallisuuden hallinta... 5 2.2 Riskienhallinta sekä jatkuvuuden

Lisätiedot

Sisäisen tarkastuksen ohje

Sisäisen tarkastuksen ohje Sisäisen tarkastuksen ohje Kuntayhtymähallitus 17.3.2009 SISÄLLYSLUETTELO 1 TARKOITUS JA PERIAATTEET 3 2 TEHTÄVÄT JA ARVIOINTIPERUSTEET 3 3 ASEMA, TOIMIVALTA JA TIETOJENSAANTIOIKEUS 3 4 AMMATILLINEN OSAAMINEN

Lisätiedot

Valtorin strategia Töissä valtiolla sujuvasti ja turvatusti

Valtorin strategia Töissä valtiolla sujuvasti ja turvatusti Valtorin strategia Valtorin strategia Visio, toimintaajatus ja arvot Töissä valtiolla sujuvasti ja turvatusti Tuotamme valtionhallinnon toimialariippumattomat ict-palvelut sekä korkean varautumisen ja

Lisätiedot

Tervetuloa! Tietohallinnon rajapinnat ja organisointi

Tervetuloa! Tietohallinnon rajapinnat ja organisointi Tervetuloa! Tietohallinnon rajapinnat ja organisointi Reino Myllymäki CxO Mentor Oy johtava mentori, päätoimittaja / Tietohallinnon johtaminen 20.11.2014 Reinon aikajana IT-LT-yhteistyö 2.0 Muutosjohtaminen

Lisätiedot

Turvallisuus ja varautuminen. Vesa-Pekka Tervo Pelastustoimen kehittämispäällikkö Kanta-Hämeen maakuntatilaisuus Hämeenlinna

Turvallisuus ja varautuminen. Vesa-Pekka Tervo Pelastustoimen kehittämispäällikkö Kanta-Hämeen maakuntatilaisuus Hämeenlinna Turvallisuus ja varautuminen Vesa-Pekka Tervo Pelastustoimen kehittämispäällikkö Kanta-Hämeen maakuntatilaisuus 29.5. Hämeenlinna Maakuntahallituksen tehtävistä (hallintosääntömalli) 1. hyväksyy sisäistä

Lisätiedot

Kartoitus investointi- ja projektiprosessien harmonisointiasteesta. Juuso Äikäs Suomen Projekti-Instituutti Oy

Kartoitus investointi- ja projektiprosessien harmonisointiasteesta. Juuso Äikäs Suomen Projekti-Instituutti Oy Kartoitus investointi- ja projektiprosessien harmonisointiasteesta Juuso Äikäs Suomen Projekti-Instituutti Oy 1 Haastettelukartoitus investointiprojekteista 3 7% 3 7% 5% 1 % Kartoituksen teemana oli investointien

Lisätiedot

JHS XXX ICT-palvelujen kehittäminen: Laadunvarmistus Liite 2: Tarkistuslistoja

JHS XXX ICT-palvelujen kehittäminen: Laadunvarmistus Liite 2: Tarkistuslistoja JHS XXX ICT-palvelujen kehittäminen: Laadunvarmistus Liite 2: Tarkistuslistoja Versio: 0.9 Julkaistu: n.n.2011 Voimassaoloaika: toistaiseksi 1 Yleistä Palvelun kehitys jakautuu vaiheisiin, joiden väleissä

Lisätiedot

Valtion taloushallinnon kokonaisarkkitehtuurin tavoitetila

Valtion taloushallinnon kokonaisarkkitehtuurin tavoitetila Valtion taloushallinnon kokonaisarkkitehtuurin tavoitetila Valtion taloushallintopäivä 18.11.2015 Olli Ahonen Valtiokonttori Sisällys Johdanto Visio ja tavoitteet 1. Toiminta-arkkitehtuuri - Palvelut -

Lisätiedot

MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA

MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA lukien toistaiseksi 1 (5) Sijoituspalveluyrityksille MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA Rahoitustarkastus antaa sijoituspalveluyrityksistä annetun lain

Lisätiedot

Yhtiön yleisesittely

Yhtiön yleisesittely Yhtiön yleisesittely Muokkaa alaotsikon perustyyliä Asko Savolainen napsautt. Vergo Oy Tässä dokumentaatiossa esitettyjä tietoja ei saa hyödyntää, jäljentää tai muuten saattaa Vergo Oy l kolmansien osapuolten

Lisätiedot

E-OPPIMINEN/ VIRTUAALISUUS LIIKETOIMINTA- STRATEGIASSA

E-OPPIMINEN/ VIRTUAALISUUS LIIKETOIMINTA- STRATEGIASSA E-OPPIMINEN/ VIRTUAALISUUS LIIKETOIMINTA- STRATEGIASSA Oppiminen ja oppimisympäristöt 8.3.2004 Merja Eskola, Senior Executive Consultant, 16.3.2004 1 Talent Partners Oy Sisältö Liiketoimintastrategia Kilpailukyky

Lisätiedot

Henkilöstövoimavarat kuntakonsernissa strategiat hallinnaksi?

Henkilöstövoimavarat kuntakonsernissa strategiat hallinnaksi? Henkilöstövoimavarat kuntakonsernissa strategiat hallinnaksi? 19.4.2012 Kuntatalo, Helsinki KT Kuntatyönantajat Erityisasiantuntija Jari Salomaa, Oy Audiapro Ab jari.salomaa@audiapro.fi 045 671 2322 Esitykseni

Lisätiedot

Viitta talous- ja henkilöstöhallinnon itsearviointityökalu. Esittelymateriaali

Viitta talous- ja henkilöstöhallinnon itsearviointityökalu. Esittelymateriaali Viitta talous- ja henkilöstöhallinnon itsearviointityökalu Esittelymateriaali Esityksen sisältö Viitta-työkalun tausta Miten työkalu on syntynyt? Viitta-työkalun tavoitteet ja hyödyt Itsearviointiprosessi

Lisätiedot

Pysyvä toimintatapamuutos keskushallinnon uudistuksella - seminaari Riikka Pellikka

Pysyvä toimintatapamuutos keskushallinnon uudistuksella - seminaari Riikka Pellikka Pysyvä toimintatapamuutos keskushallinnon uudistuksella - seminaari 9.3.2017 Riikka Pellikka Uudistamme julkiset palvelut käyttäjälähtöisiksi ja ensisijaisesti digitaalisiksi toimintatapoja uudistamalla.

Lisätiedot

Verkostojen tehokas tiedonhallinta

Verkostojen tehokas tiedonhallinta Tieto Corporation Verkostojen tehokas tiedonhallinta Value Networks 3.9.2014 Risto Raunio Head of Lean System Tieto, Manufacturing risto.raunio@tieto.com Sisältö Mihin verkostoitumisella pyritään Verkoston

Lisätiedot

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten? Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten? 20.11.2015 Kimmo Rousku, VAHTI-pääsihteeri Julkisen hallinnon ICT-toiminto Kyberturvallisuus- ja infrastruktuuriyksikkö

Lisätiedot

Teollisen valmiuden kehittäminen kunnossapidon kumppanuudessa

Teollisen valmiuden kehittäminen kunnossapidon kumppanuudessa Teollisen valmiuden kehittäminen kunnossapidon kumppanuudessa Asiakkuusjohtaja Heikki Härtsiä Millog Oy 17.3.2015 17.3.2015 1 Strateginen kumppanuus Puolustushallinnon kumppanuusstrategia (Puolustusministeriön

Lisätiedot

TIETOHALLINTOJEN JOHTAMINEN SUOMESSA 2010

TIETOHALLINTOJEN JOHTAMINEN SUOMESSA 2010 TIETOHALLINTOJEN JOHTAMINEN SUOMESSA 2010 TUTKIMUSRAPORTTI 26.2.2010 Sisällysluettelo 1 Johdanto ja keskeiset havainnot... 2 1.1 Tutkimuksen tiedot... 3 1.2 Yhteenveto... 5 2 Governance... 6 2.1 Yrityksen

Lisätiedot

Kommenttipuheenvuoro - Porin kaupungin häiriötilannesuunnittelu

Kommenttipuheenvuoro - Porin kaupungin häiriötilannesuunnittelu Kommenttipuheenvuoro - Porin kaupungin häiriötilannesuunnittelu Kuntien varautumisseminaari 19.3.2013 Pasi Vainio riskienhallintapäällikkö Porin kaupunki Pitkä Uhkat sähkökatko Arvio, miten uhka vaikuttaa

Lisätiedot