Tietojärjestelmän jatkuvuudenhallinta prosessimallin avulla
|
|
- Maria Niemelä
- 8 vuotta sitten
- Katselukertoja:
Transkriptio
1 TEKNILLINEN KORKEAKOULU Tietotekniikan osasto Tietoliikenneohjelmistojen ja multimedian laboratorio Anna Hosia Tietojärjestelmän jatkuvuudenhallinta prosessimallin avulla Diplomityö, joka on jätetty opinnäytteenä tarkastettavaksi diplomi-insinöörin tutkintoa varten Espoossa Valvoja Ohjaaja Prof. Teemupekka Virtanen DI Markku Asikainen
2 TEKNILLINEN KORKEAKOULU Tietotekniikan osasto DIPLOMITYÖN TIIVISTELMÄ Tekijä Työn nimi Päiväys Anna Hosia 11. toukokuuta 2004 Tietojärjestelmän jatkuvuudenhallinta prosessimallin avulla Sivumäärä Professuuri Työn valvoja Työn ohjaaja Koodi Tietoliikenneohjelmistot T-110 Professori Teemupekka Virtanen DI Markku Asikainen Atk-palveluiden jatkuvuudenhallinnan tarkoituksena on turvata tietojenkäsittely ja tiedonsiirto siten, että organisaation toiminta voi jatkua myös häiriötilanteissa. Tämän diplomityön tavoitteena on tukea Maanmittauslaitoksen JAKO-tietojärjestelmän jatkuvuudenhallinnan käynnistämistä. Jatkuvuudenhallintaan on kehitetty erilaisia projekti- ja prosessimalleja ja myös jotkin tietoturvastandardit käsittelevät aihetta. Menetelmien painotukset ja kattavuus vaihtelevat, eikä mikään niistä sovellu suoraan Maanmittauslaitoksen käytettäväksi. Diplomityössä on muodostettu oma prosessimalli tietojärjestelmien jatkuvuudenhallintaan käyttäen hyväksi olemassa olevia menetelmiä sekä BS tietoturvallisuusstandardin ohjeita tietoturvallisuuden hallintajärjestelmän luomisesta. Tavoitteena on ollut kehittää tietojärjestelmäkeskeinen, prosessiorientoitunut ja ratkaisun vaikuttavuuden säilyttävä toimintamalli. Prosessimallin sisältämät tehtävät voidaan jakaa neljään osaan: Suunnitteluvaiheessa prosessi käynnistetään, suoritetaan liiketoimintavaikutus- ja riskianalyysit sekä muodostetaan näiden pohjalta jatkuvuusstrategia. Toteutusvaiheessa suunnitellut ratkaisut toteutetaan ja aloitetaan koulutus. Tarkistusvaiheessa prosessin tilasta tuotetaan tietoa valvonnan, testauksen, katselmointien ja auditointien sekä raportoinnin avulla. Kehitysvaiheessa ratkaisuja parannetaan kerättyjen tietojen perusteella. Tietojärjestelmien jatkuvuudenhallintaan tulee kiinnittää huomiota järjestelmän koko elinkaaren ajan. Diplomityössä tutkitaan, miten esitetyn prosessimallin tehtävät nivoutuvat elinkaaren eri vaiheisiin. Lisäksi esitetään, miten jatkuvuudenhallintaan liittyvät roolit ja vastuut voidaan organisoida, ja miten elinkaaren aikaiset jatkuvuustehtävät kohdistuvat eri rooleille. Prosessimallin työvaiheita sovelletaan lisäksi Maanmittauslaitoksen JAKO-järjestelmään. Maanmittauslaitoksessa ei kuitenkaan diplomityön kirjoittamisen aikana perusteta jatkuvuudenhallinnan prosessia, joten tarkastelu ulottuu vain suunnittelua ja arviointia koskeviin tehtäviin. Prosessimallin soveltamista arvioidaan SSE-CMM -kypsyysmallin avulla. Tämän lisäksi tarkastellaan prosessin toteuttamisen kannattavuutta, jäännösriskejä sekä jatkotyötä MML:ssa. Lopullinen selvitys työn laadusta saadaan kuitenkin vasta, kun prosessi perustetaan. Avainsanat jatkuvuudenhallinta, BS 7799, SSE-CMM ii
3 HELSINKI UNIVERSITY OF TECHNOLOGY Department of Computer Science and Engineering ABSTRACT OF MASTER S THESIS Author Date Anna Hosia 11 May 2004 Pages Title of thesis Information system continuity management by application of process model Professorship Professorship Code Telecommunications Software T-110 Supervisor Professor Teemupekka Virtanen Instructor Markku Asikainen, M.Sc.(Tech.) The purpose of the IT service continuity management is to secure information processing and data transfer so that organisations can continue to operate even in exceptional situations. The goal of this Master s thesis was to support the initiation of continuity management activities for the JAKO information system of the National Land Survey of Finland (NLS). Several project and process models for continuity management and information security standards treat the subject. However, the methods cover and emphasize different issues, and none of them is suitable for the NLS as such. This thesis presents a new process model for continuity management. The model is based on existing methods and on a description of the BS 7799 information security standard about setting up an information security management system. The goal was to create a process oriented operations model to manage information systems and to ensure that the solution remains effective. The tasks included in the process model can be divided into four phases: The Plan phase initiates the process to perform business impact and risk analyses and develop a continuity strategy. The Do phase implements the solutions identified in the Plan phase and starts training. The Check phase collects information about the process by surveillance, testing, reviews, audits, and reporting. The Act phase improves the solutions according to the collected information. Continuity management should be taken into consideration during the whole life cycle of the information system. This thesis studies how the tasks of the presented process model are related to different stages of the life cycle. Furthermore the thesis shows how various roles and responsibilities required by continuity management can be organised, and how continuity tasks are assigned to them during the life cycle. The stages of the process model are also applied to the JAKO information system of the NLS. However, the continuity process was not actually initiated during the writing of the thesis. Thus the study covered only tasks related to planning and assessment. Process model application was evaluated by using the SSE-CMM maturity model. Additionally, the thesis studied the profitability of initiating the process and identified residual risks and further work required in the NLS. However, the actual quality of the thesis is to be seen only after the process is initiated. Keywords continuity management, BS 7799, SSE-CMM iii
4 Alkulause Olen tehnyt diplomityöni Maanmittauslaitoksen Atk-keskuksessa. Työn aikana olen saanut perehtyä oma-aloitteisesti jatkuvuudenhallintaan, ja työn tekeminen on antanut minulle erinomaisen mahdollisuuden tutustua Atk-keskukseen ja sen tietojärjestelmiin ja työtapoihin. Kiitänkin atk-tuotantopäällikkö Ari Huvista diplomityön aiheesta sekä valmistuvan työn kommentoimisesta. Kiitän ylitarkastaja Markku Asikaista diplomityöni kärsivällisestä ohjaamisesta. Kiitokset lisäksi professori Teemupekka Virtaselle työn valvomisesta sekä kommenteista sen loppuunsaattamiseksi. Kiitän avusta myös yli-insinööri Olli Jokista. Kiitokset lisäksi Jukka Vuoksiselle sekä Aija ja Martti Hosialle parannusehdotuksista ja valtaisasta oikoluku-urakasta. Haluan kiittää vielä kaikkia niitä maanmittauslaitoslaisia, jotka ovat jaksaneet vastata kysymyksiini. Helsingissä Anna Hosia iv
5 Sisällysluettelo ALKULAUSE... IV SISÄLLYSLUETTELO...V KÄSITTEET JA LYHENTEET...VII 1 JOHDANTO Atk-palveluiden jatkuvuudenhallinta Maanmittauslaitos ja JAKO Maanmittauslaitoksen tehtävät JAKO-tietojärjestelmä Tutkimusongelma Tutkimuskysymykset ja tavoite Työn arviointi Rajaukset OHJEITA JA MENETELMIÄ JATKUVUUDENHALLINTAAN ITIL NIST Jon Toigon projektimalli Helvi Salmisen liiketoiminnan jatkuvuussuunnittelumenetelmä BS Teemupekka Virtasen tietojärjestelmien luokittelumenetelmä VAHTI SSE-CMM Jatkuvuudenhallintamenetelmien ja -ohjeiden vertailu Projekti- ja prosessimallien ominaisuudet Muut ominaisuudet Yhteenveto jatkuvuudenhallintamenetelmistä ja -ohjeista TIETOJÄRJESTELMIEN JATKUVUUDENHALLINNAN PROSESSIMALLI PDCA-toimintamallin ja BS standardin käyttö Tietoturvallisuuden hallintajärjestelmän mukainen jatkuvuudenhallintaprosessi Suunnittele (jatkuvuudenhallintaprosessin luonti) Toteuta (jatkuvuudenhallintaprosessin toteutus ja käyttö) Tarkista (jatkuvuudenhallintaprosessin seuranta ja katselmointi) Kehitä (jatkuvuudenhallintaprosessin ylläpito ja parantaminen) JATKUVUUDENHALLINTA JÄRJESTELMÄN ELINKAAREN AIKANA Käytettävä elinkaarimalli Jatkuvuustehtävät elinkaaren eri vaiheissa Esitutkimus Määrittely Suunnittelu Toteutus Käyttöönotto Käyttö Ylläpito v
6 4.2.8 Version vaihto Käytöstä poisto Testaus ja laadunvarmistus Jatkuvuudenhallinnan roolit ja vastuut elinkaaren aikana Prosessiin liittyvät roolit ja vastuut Tietojärjestelmään liittyvät roolit ja vastuut Vastuut jatkuvuustehtävistä elinkaaren eri vaiheissa ARVIOINTIKRITEERIT PROSESSIMALLIN SOVELTAMINEN MML:N JAKO-JÄRJESTELMÄÄN Jatkuvuussuunnittelun käynnistäminen MML:ssa JAKO-järjestelmän arviointi JAKO:n vaikutus MML:n toimintaan JAKO:on kohdistuvat riskit Ohjeistuksen ja prosessien luonti Organisointi ja päätösvalta poikkeustilanteissa Toiminta häiriötilanteissa Tekniset suojatoimenpiteet Toimenpiteet JAKO:n jatkuvuuden turvaamiseksi Järjestelmä- ja varmistusratkaisun kehittäminen Muut suojatoimenpiteet Muut työvaiheet Jatkuvuussuunnitelman kirjoitus Jatkuvuussuunnitelman ylläpito ARVIOINTI Prosessin arviointi Arviointi SSE-CMM:n perusteella Yhteenveto prosessin arvioinnista Lisätarkastelu arviointiin Toteutuksen kannattavuuden arviointi Jäännösriskit Jatkotyö MML:ssa YHTEENVETO LÄHDEVIITTEET LIITTEET Liite A: JAKO-sovellusperhe ja sen tietovarannot Liite B: SSE-CMM -tietoturvaprosessialueiden peruskäytännöt vi
7 Käsitteet ja lyhenteet BS 7799 British Standard Brittiläinen kaksiosainen tietoturvastandardi. ISO/IEC ks. BS 7799 ISO/IEC ITIL JAKO MML NAS NIST PDCA PTS RAID snapshot SSE-CMM VAHTI WAN ks. SSE-CMM Information Technology Infrastructure Library Maanmittauslaitoksen tuotantoon ja tietopalveluun käyttämä tietojärjestelmä. Maanmittauslaitos Network Attached Storage. Tietoverkkoon liitetty itsenäinen tallennuspalvelin. National Institute of Standards and Technology. USA:n standardointiviranomainen. Plan, Do, Check, Act ( suunnittele, toteuta, tarkista, kehitä ). Mm. prosessien parantamisessa käytetty ongelmanratkaisumalli. Puolustustaloudellinen suunnittelukunta Redundant Array of Independent Disks. Tekniikka, jossa useita kiintolevyjä yhdistetään levyjärjestelmäksi, joka on vikasietoisempi ja/tai suorituskykyisempi kuin yksittäiset kiintolevyt. Tilannevedos kiintolevyn tiedoista joltain tietyltä ajanhetkeltä. Systems Security Engineering Capability Maturity Model Valtionhallinnon tietoturvallisuuden johtoryhmä Wide Area Network vii
8 1 Johdanto 1.1 Atk-palveluiden jatkuvuudenhallinta Ei riitä, että tietojenkäsittelyn varmistaminen aloitetaan vasta häiriön sattuessa. Jatkuvuuden varmistaminen edellyttää ennalta toteutettuja tietoturvallisuuden ja fyysisen turvallisuuden toimenpiteitä sekä perusteellista suunnittelua ja harjoittelua valmiuden luomiseksi häiriötilanteista toipumiseksi. [16] Yritysten ja organisaatioiden toiminta tukeutuu yhä selkeämmin tietotekniikan käyttöön. Riippuvuus tietojärjestelmistä ja tiedonsiirrosta on samalla muodostunut haavoittuvuudeksi, kun ongelmat atk-palveluissa voivat vahingoittaa organisaation toimintaa ja johtaa merkittäviin taloudellisiin tappioihin. Riippuvuus on kuitenkin tiedostettu, ja organisaatiot panostavat enenevissä määrin atk-palveluiden jatkuvuudenhallintaan. Sen tarkoituksena on turvata tietojenkäsittely ja tiedonsiirto siten, että organisaation toiminta voi jatkua myös häiriöiden aikana ja niiden jälkeen. Atk-palveluiden jatkuvuudenhallinta pohjautuu organisaation perustietoturvallisuudelle. Sen tavoitteena on hallita normaalioloihin liittyviä uhkia ja riskejä siten, että toiminnan jatkuvuus ei vaarannu sisäisten tai ulkoisten tapahtumien takia. Toimintaa haittaava tapahtuma voi olla esimerkiksi tietojärjestelmän häiriö, tietoliikennekatkos, inhimillinen virhe, väärinkäytös, tulipalo, vesivahinko tai avainhenkilön menetys. Normaaliolojen jatkuvuussuunnittelu toimii pohjana myös varautumiselle poikkeusoloihin, joita ovat valmiuslain ( /1080) määrittämät vakavat erityistilanteet. Kuitenkin jo normaalioloissa voi syntyä erityistilanteita, joissa atk-palveluiden käytön varmistamiseen on varauduttava joiltakin osin samoin kuin poikkeusoloissa. Puolustustaloudellisen suunnittelukunnan [16] mukaan raja normaali- ja poikkeusolojen varmistamistarpeiden välillä on tietotekniikkariippuvuuden vuoksi jopa häviämässä. Nykyiset järjestelmät edellyttävät jo normaalioloissa varautumista erilaisiin laajavaikutteisiin häiriöihin ja keskeytyksiin. Kuva 1.1 Toiminnan jatkuvuuden varmistaminen. [16] 1
9 Atk-palveluiden jatkuvuudenhallinta on osa laajempaa liiketoiminnan jatkuvuudenhallintaa. Toimintaa ei voi käsitellä irrallaan liiketoimintanäkemyksestä, koska sen tavoitteet juontuvat liiketoiminnan tarpeista: tietojenkäsittely ja tiedonsiirto on turvattava niin, ettei liiketoiminta esty häiriötilanteissakaan. 1.2 Maanmittauslaitos ja JAKO Maanmittauslaitos (MML) on Maa- ja metsätalousministeriön alainen valtion virasto. Laitoksella on pitkät perinteet Suomessa maanmittaus alkoi jo 1630-luvulla. Viime vuosina laitoksen toimintatavat ovat muuttuneet suuresti JAKO-tietojärjestelmän käyttöönoton vuoksi Maanmittauslaitoksen tehtävät Maanmittauslaitoksen tehtävänä on huolehtia Suomen kiinteistötietojärjestelmästä ja yleisistä kartastotöistä sekä edistää paikkatietojen yhteiskäyttöä. Toimintaa ohjaa mm. laki maanmittauslaitoksesta ( /505). Laitoksesta sekä maanmittauksesta saa tietoa MML:n [12] sekä Maa- ja metsätalousministeriön [7] WWW-sivuilta. Kiinteistöjärjestelmässä kuvataan kaikkien Suomen kiinteistöjen perustiedot, kuten pinta-ala ja sijainti. Se on osa yhteiskunnan tietoinfrastruktuuria ja mahdollistaa monipuolisen paikkatietojen käytön. Kiinteistöjärjestelmä muodostuu kolmesta elementistä: - Kiinteistörekisterikartta (eli lyhyemmin kartta) ilmaisee kiinteistöjen rajojen ja tilusten sijainnin. - Katasteri eli kiinteistörekisteri on luettelo, johon merkitään kaikki kiinteistöt ja niissä tapahtuvat muutokset. - Kiinteistökirja sisältää kiinteistöihin kohdistuvien oikeuksien luettelon. Kiinteistökirjan pidosta vastaa Oikeusministeriön hallinnonala. Kiinteistörekisteri lukeutuu yhteiskunnan perusrekistereihin. Muista perusrekistereistä sekä väestötietojärjestelmä että lainhuuto- ja kiinnitysrekisteri perustuvat siihen osittain. Kiinteistörekisterin tärkeys korostuu siinä, että se toimii edellytyksenä rahoitusmarkkinoiden vaatimalle vakuusjärjestelmälle. Rekisterin pidosta ohjeistetaan kiinteistörekisterilaissa ( /392) ja sen sisältämät tiedot ovat julkisia. Kiinteistöjärjestelmää ylläpidetään maanmittaustoimituksissa syntyvillä tiedoilla. Toimituksia ovat mm. lohkominen, halkominen ja rajankäynti. Toimitusten suorittaminen on Maanmittauslaitoksen mittavin tehtävä. Maanmittauslaitoksen huolehtimiin kartastotöihin lukeutuvat kiintopiste- ja perusmaastotietojen kerääminen ja ylläpito sekä erimittakaavaisten karttojen tuottaminen. Toiminnassa keskeinen käsite on maastotietojärjestelmä, joka sisältää valtakunnalliset maastotiedot sekä työkalut tietojen hallintaan ja maastotietotuotteiden tuotantoon. Maastotiedot ovat erilaisia paikkatietoja, jotka kuvaavat esimerkiksi maa- ja vesialueita tai korkeus- ja syvyyssuhteita. Tiedot kerätään maastomittauksen, ilmakuvakartoituksen ja satelliittikuvatulkinnan avulla. 2
10 1.2.2 JAKO-tietojärjestelmä JAKO on Maanmittauslaitoksen keskeisin tietojärjestelmä. Sitä käytetään kiinteistörekisterin, kiinteistörekisterikartan ja maastotietokannan ylläpitämiseen, maanmittaustoimitusten tekemiseen ja tietopalveluun. JAKO:n toimintaa ja käyttöä esitellään tämän WWW-sivuilla [8]. Erilaisten käyttökohteidensa vuoksi järjestelmä sisältää useita sovelluksia; näitä on kuvattu liitteessä A. JAKO on tärkeä MML:n tuotantotoiminnalle, koska se mahdollistaa työprosessin, jossa yksi ainoa henkilö tekee kiinteistötoimituksen työvaiheet aina toimituksen vireilletulosta rekisteröintiin. Järjestelmän käyttöastetta kuvaa se, että MML suorittaa vuosittain n kiinteistötoimitusta, joissa muutetaan n kiinteistöyksikön tietoja. [26] Järjestelmä on olennainen myös siksi, että MML:n ylläpitämät Suomen kiinteistö- ja maastotiedot on tallennettu juuri JAKO:n tietokantoihin. Järjestelmän suunnittelu alkoi vuonna 1990 esitutkimuksella. Vuonna 1994 järjestelmän kehitysalustaksi valittiin Smallworld GIS -paikkatieto-ohjelmisto. Ensimmäiset sovellukset otettiin tuotantokäyttöön Maanmittauslaitos kehittää järjestelmää edelleen. 1.3 Tutkimusongelma JAKO on kriittinen järjestelmä, jota käytetään lähes kaikessa Maanmittauslaitoksen tuotanto- ja tietopalvelutoiminnassa. Tästä huolimatta järjestelmälle ei ole jatkuvuussuunnitelmaa, eikä laitoksessa ole yleistä jatkuvuudenhallinnan prosessia. Näille on kuitenkin selkeä tarve: JAKO:ssa on usein eri syistä johtuvia lyhyitä käyttökatkoja, ja etenkin pidempiaikaisten häiriöiden kustannukset nousevat merkittäviksi. Jatkuvuudenhallintaan on kehitetty useita erilaisia malleja ja menetelmiä, mutta nämä eivät ole suoraan sovellettavissa JAKO:n tapauksessa. Käyttökelpoisen mallin tulisi tukea prosessinäkökulmaa ja ottaa huomioon laitoksen olemassa oleva toimintaympäristö ja johtamisjärjestelmä. Malli ei saisi olla raskas lukuisten työvaiheiden vuoksi, muttei myöskään liian ylimalkainen ja pintapuolinen. Mallien sovellettavuutta tarkasteltaessa on lisäksi muistettava, että kohteena on yksi tietojärjestelmä eikä koko organisaation liiketoiminnan jatkuvuudenhallinta. 1.4 Tutkimuskysymykset ja tavoite Diplomityön tavoitteena on tukea JAKO-järjestelmän jatkuvuudenhallinnan käynnistämistä. Tästä voidaan muotoilla seuraavat kysymykset: 1. Millainen on MML:n ympäristöön soveltuva atk-palveluiden jatkuvuudenhallintaprosessi? 2. Mikä on mallin suhde tietojärjestelmän elinkaareen? 3. Miten mallia voidaan soveltaa JAKO-järjestelmään? Tarkoituksenani on perehtyä olemassa oleviin jatkuvuudenhallintamalleihin ja luoda näiden pohjalta MML:een sopiva malli hallitusti toteutettavasta atk-palveluiden jatkuvuudenhallintaprosessista. Koska työn taustalla on yksittäinen tietojärjestelmä, tarkastelen mallin yhteyttä järjestelmän elinkaareen. Tämän jälkeen esitän, miten mallia sovelletaan JAKO-järjestelmän tapauksessa. 3
11 1.5 Työn arviointi Käsiteltyäni tutkimuskysymyksiä arvioin JAKO:n jatkuvuudenhallinnan käynnistämistä seuraavien asioiden kannalta. Näistä prosessin laatu on tärkein arviointiperuste; muu tarkastelu tarjoaa lisätietoa jatkuvuudenhallinnan soveltamisesta MML:ssa. - Prosessin laatu Jatkuvuudenhallinnan prosessin tulee sisältää olennaiset tietoturvallisuustoiminnot. - Prosessin kannattavuus Prosessin toteuttamisen tulee olla MML:lle kannattavaa. - Prosessin toteuttaminen Toteuttamisesta voidaan käsitellä jäännösriskejä ja jatkotyötä. Käsittelen arviointikriteereitä tarkemmin omassa luvussaan. 1.6 Rajaukset Diplomityön aiheena on atk-palveluiden jatkuvuudenhallinta eikä liiketoiminnan jatkuvuudenhallinta yleisesti. Rajauksesta johtuen termit "jatkuvuudenhallinta" ja "jatkuvuussuunnittelu" viittaavat atk-palveluihin. Sanoja käytetään lisäksi toisiaan korvaavasti. Työ rajoittuu normaaliolojen jatkuvuussuunnittelun käsittelyyn, eli poikkeusolot jäävät tarkastelun ulkopuolelle. Olen hyödyntänyt jatkuvuudenhallintamallin kehittämisessä ja arvioinnissa ohjeita ja standardeja, joista osaa ei ole suomennettu. Tämän takia osa kuvista on esitetty alkuperäiskielellään englanniksi. 4
12 2 Ohjeita ja menetelmiä jatkuvuudenhallintaan Jatkuvuussuunnitteluun on kehitetty useita projekti- ja prosessimalleja, ja myös jotkin standardit sivuavat aihetta. Mallien taso on kuitenkin kirjava, ja jo WWW:stä löytyy lukuisia, muutamasta työvaiheesta koostuvia ohjeita. Tässä luvussa kuvaan neljä jatkuvuudenhallinnan prosessi- tai projektimallia: ITIL:n, NIST:n, Jon Toigon ja Helvi Salmisen. Tämän lisäksi esittelen BS tietoturvastandardin ohjeistuksen liiketoiminnan jatkuvuudenhallinnasta, Teemupekka Virtasen esittämän tietojärjestelmien luokittelumenetelmän, suomalaisen valtionhallinnon tietoturvallisuuden johtoryhmän VAHTI:n sekä työn arvioinnissa käytettävän SSE-CMM -kypsyysmallin. 2.1 ITIL ITIL (Information Technology Infrastructure Library) [15] on kokoelma parhaita käytäntöjä atk-palveluiden hallintaprosessien optimoimiseksi. Toimintatavat on koonnut Britannian Office of Government Commerce. Ohjeistamisen motiivina toimi havainto siitä, että organisaatiot ovat yhä riippuvaisempia tietojärjestelmistään, mikä puolestaan nostaa näille asetettavia laatuvaatimuksia. Ohjeistus oli alun perin tarkoitettu Britannian keskushallinnolle, mutta nykyisin sitä käytetään useissa erikokoisissa organisaatioissa niin julkisella kuin yksityiselläkin sektorilla. ITIL-mallin jatkuvuudenhallintaosan tavoitteena on esittää prosessimalli (kuva 2.1), jonka avulla organisaatio pystyy myös häiriötilanteissa tuottamaan sovituntasoisia tietotekniikkapalveluita määrätyn aikarajan sisällä. ITIL painottaa sitä, että atkpalveluiden jatkuvuudenhallinnan on pohjauduttava liiketoiminnan tarpeisiin, joten se lähestyy aihetta liiketoiminnan jatkuvuuden kannalta. Mallin ensimmäisessä vaiheessa käynnistetään koko organisaation kattava jatkuvuudenhallintaprosessi. Tämä pohjautuu kriittisten liiketoimintaprosessien tunnistamiseen ja niiden resurssitarpeiden analysointiin. Toisessa vaiheessa arvioidaan liiketoimintaa uhkaavia tekijöitä ja tunnistetaan riskit. Näiden pohjalta muodostetaan jatkuvuusstrategia. Kolmannessa vaiheessa jatkuvuusratkaisut implementoidaan. Työvaiheessa myös kirjoitetaan toipumissuunnitelmat ja testataan ratkaisut. Neljäs vaihe kattaa operatiivisen hallinnoinnin, kun implementaatio on otettu käyttöön. ITIL suosittaa jatkuvuudenhallintaan hierarkkista organisointia, joka on integroitava osaksi olemassa olevaa johtorakennetta. Se esittää suurille organisaatioille olevan tyypillistä, että liiketoiminnan jatkuvuudenhallinnan johto ohjaa atk-palveluiden jatkuvuudenhallinnan johtoa, jonka alla toimii puolestaan useita jatkuvuustiimejä. ITIL myös painottaa ylimmän johdon sitoutumisen tärkeyttä: Jatkuvuudenhallintaa on tuettava organisaation johtoryhmästä lähtien. 5
13 Kuva 2.1 ITIL:n liiketoiminnan jatkuvuuden prosessimalli. [15] 2.2 NIST NIST (National Institute of Standards and Technology) on mm. standardeja ja teknologiaa kehittävä yhdysvaltalainen virasto. Sen tietoturvaosasto on tehnyt oman jatkuvuudenhallintaa käsittelevän julkaisunsa Contingency Planning Guide for Information Technology (IT) Systems [23]. Julkaisu kuvaa seitsenvaiheisen jatkuvuudenhallintaprosessin, joka on esitetty kuvassa
14 Kuva 2.2 NIST:n jatkuvuudenhallintaprosessi. Prosessin työvaiheet ovat seuraavat: 1. Jatkuvuudenhallintaprosessi alkaa sen tavoitteiden, puitteiden ja vastuiden määrittelyllä. Työvaiheessa määritetään myös prosessin resurssivaatimukset ja aikataulut. Johdon tulee hyväksyä suunnitelmat. 2. Erityistilanteiden vaikutus yrityksen liiketoimintaan analysoidaan. Näin saadaan määriteltyä toipumisvaatimukset ja -prioriteetit. 3. Valitaan ja toteutetaan turvamekanismit, jotka pienentävät tai poistavat edellisessä työvaiheessa havaittuja vaikutuksia ennaltaehkäisevästi. 4. Kehitetään toimintastrategiat ja varaudutaan toipumistilanteiden varalle. Ratkaisut integroidaan järjestelmäarkkitehtuuriin. 5. Kirjoitetaan varsinainen jatkuvuussuunnitelma. Tämä sisältää kuvauksen rooleista, vastuista, tiimeistä ja proseduureista toipumistilanteissa. 6. Testaan suunnitelma ja koulutetaan toimintaan osallistuva henkilöstö. 7. Ylläpidetään suunnitelmaa organisaation muutoksenhallintaprosessin mukaisesti. Vastuu prosessista keskitetään jatkuvuussuunnittelukoordinaattorille. Tämä kehittää jatkuvuusstrategian yhteistyössä niiden toimintojen johtajien kanssa, joiden työhön suojattava prosessi tai järjestelmä liittyy. Koordinaattori myös ylläpitää suunnitelmaa ja vastaa sen sisältämien ohjeiden seuraamisesta häiriötilanteissa. Julkaisu keskittyy etenkin toipumissuunnitelman luontiin ja varajärjestelmäratkaisuihin. Se käsittelee erikseen myös erityyppisille järjestelmille soveltuvia teknisiä jatkuvuusratkaisuja. Käsiteltäviä aiheita ovat työasemat ja kannettavat tietokoneet, palvelimet, verkkosivuja ylläpitävät järjestelmät, lähiverkot, WAN-verkot, hajautetut järjestelmät sekä keskustietokonejärjestelmät. 2.3 Jon Toigon projektimalli Jon Toigo esittää kirjassaan Disaster Recovery Planning: preparing for the unthinkable [25] projektiorientoituneen lähestymistavan toipumissuunnitteluun. Projektin vaiheet on esitetty kuvassa 2.3. Toigo painottaa käsittelevänsä toipumissuunnittelua siten, että sen tavoitteet ovat yhteneväiset jatkuvuussuunnittelun kanssa. 7
15 Kuva 2.3 Jon Toigon malli toipumissuunnitteluprojektille. [25] Toipumissuunnitteluprojekti etenee seuraavasti: 1. Projektin ensimmäinen vaihe on riskianalyysi, jossa tunnistetaan uhkat ja haavoittuvuudet. Työvaiheessa myös arvioidaan erityistilanteiden vaikutus liiketoimintaan ja sovelluksiin. Näin saadaan tunnistettua kriittiset liiketoimintaprosessit ja näitä tukeva infrastruktuuri sekä määritettyä toipumisen prioriteetit, tavoitteet ja vaatimukset. 2. Analyysien perusteella muodostetaan toipumisstrategiat. 3. Strategiasuunnitelmat katselmoidaan ja hyväksymisen jälkeen niistä muodostetaan tarkemmat toteutussuunnitelmat. Näille tehdään budjetti, joka liiketoimintajohdon tulee hyväksyä. 4. Toteutusvaiheessa hankitaan tarvittavat tuotteet ja palvelut sekä kehitetään ja dokumentoidaan toipumisproseduurit. 5. Suunnitelmat testataan ja toimintaan osallistuva henkilöstö koulutetaan. 6. Viimeisenä vaiheena suunnitelmat otetaan käyttöön, minkä jälkeen niitä tulee ylläpitää. Ylläpito vaatii suunnitelmien integroimista yrityksen muutoksenhallintajärjestelmään. Toipumissuunnitelman ylläpito tulee Toigon mukaan keskittää toipumissuunnittelukoordinaattorille. Koordinaattorin työssä vaaditaan laajapohjaista tietämystä, suunnittelu- ja kommunikointikykyjä sekä projektinjohtotaitoja. Keskisuurissa ja suurissa yrityksissä toimi on kokopäiväinen. Toigo keskittyy etenkin laitteistojen ja toimitilojen fyysiseen suojaamiseen, tietojen varmistamiseen sekä tietojärjestelmien, käyttäjäympäristöjen ja tietoverkkojen toipumisstrategioiden kehittämiseen. Hän antaa runsaasti käytännönläheisiä kannanottoja strategioiden muodostamiseen. Kirjassa paneudutaan myös onnettomuustilanteiden toimintaproseduureihin, ja kirja sisältää useita esimerkkejä pääasiassa Yhdysvalloissa tapahtuneista onnettomuuksista, näiden seurauksista ja toipumistoimenpiteistä. Toigo tuo esille myös tiedonhankinnan ja oppimisen tärkeyden toipumissuunnittelijoille, ja on varannut aiheelle oman lukunsa. Tässä hän käsittelee tiedonhankintaa kirjallisuuden, haastatteluiden sekä erilaisten toipumissuunnittelijoiden ammatillisten ja muiden yhdistysten avulla, ja kehottaa tutustumaan mm. puhelinyritysten varmistuskäytäntöihin sekä paikallisten toipumissuunnitteluviranomaisten toimintaan. Tutustumisen tarkoituksena on auttaa paitsi ymmärtämään onnettomuuksien vaikutuk- 8
16 sia myös huomaamaan ulkoisia tekijöitä, jotka voivat vaikuttaa organisaation oman toipumissuunnitelman toteuttamiseen. 2.4 Helvi Salmisen liiketoiminnan jatkuvuussuunnittelumenetelmä Helvi Salmisen liiketoiminnan jatkuvuussuunnittelumenetelmä [19] pohjautuu aiemmin tehtyjen jatkuvuussuunnittelumallien vertailuun ja niiden hyvien puolien ja puutteiden tutkimiseen. Vertailussaan Salminen päätyi siihen, että olemassa olevat menetelmät rajoittuvat liiaksi tietojärjestelmien toiminnan varmistamiseen ja ovat näin lähinnä toipumissuunnittelumenetelmiä. Omassa mallissaan hän pyrki ottamaan selkeämmin huomioon liiketoiminnan tarpeet, ja sanoi tavoitteekseen tukea jatkuvuussuunnittelun liittämistä osaksi yrityksen toiminnan suunnittelua ja päätöksentekoa. Malli on esitetty kuvassa 2.4. Kuva 2.4 Salmisen jatkuvuussuunnittelumenetelmä. [19] Julkaisu sisältää sanallisen kuvauksen kustakin työvaiheesta sekä näihin liittyviä työlomakkeita. Yrityksen johdon rooli on tuotu esille, ja johdolle raportointi nostettu 9
17 omaksi työvaiheekseen. Salmisen sanoo lisäksi kiinnittäneensä huomiota etenkin jatkuvuussuunnitelmien ylläpidon ohjeistamiseen. Salmisen tavoitteena on ollut, että menetelmä soveltuu käytettäväksi erilaisissa toimintaympäristöissä ja organisaatioissa. Työvaiheiden kuvauksissa mainitaan erikokoisten yritysten tarpeiden eroavaisuuksia, ja julkaisu sisältää luvun menetelmän yrityskohtaisesta soveltamisesta. Toiminnan organisoimiseksi Salminen ehdottaa seuraavaa mallia: - Yrityksen johto määrittää jatkuvuussuunnittelun tavoitteet ja laajuuden ja tekee merkittävät jatkuvuussuunnittelua koskevat päätökset. - Jatkuvuussuunnitteluvastaava huolehtii siitä, että eri liiketoimintojen jatkuvuussuunnitelmat tehdään, tukee ja kehittää jatkuvuussuunnittelun toimintatapoja sekä vastaa mm. testauksen ja koulutuksen järjestämisestä. - Jatkuvuussuunnitteluryhmä vastaa jatkuvuussuunnitelmien käytännön toteutuksesta. - Jatkuvuussuunnittelun ohjausryhmä ohjaa ja valvoo jatkuvuussuunnittelutoimintoa. - Erityistilanneorganisaatio vastaa vakavien häiriötilanteiden hallinnasta. Pienissä organisaatioissa tai jatkuvuussuunnittelun kohdistuessa rajoitettuun kohteeseen tarvitaan kevyttä organisointia. Salminen toteaa, että tarvittaessa johdon ja ohjausryhmän tehtävät voidaan yhdistää, erillinen jatkuvuussuunnitteluryhmä ei ole välttämätön ja johto voi vastata erityistilanteiden hallinnasta apunaan tarvittavia asiantuntijoita. 2.5 BS 7799 BS 7799 on kansainvälisesti tunnettu brittiläinen tietoturvastandardi. Se koostuu kahdesta osasta: - Osa 1: Tietoturvallisuuden hallintaa koskeva menettelyohje. [20] - Osa 2: Tietoturvallisuuden hallintajärjestelmät. Vaatimukset ja soveltamisohjeet. [21] Standardin pohjalta on kehitetty myös ISO-standardi ISO/IEC Standardin ensimmäisen osan tarkoituksena on esitellä monipuolinen tietoturvallisuuden hallintajärjestelmä, joka kattaa parhaimmat tietoturvallisuuteen liittyvät käytännöt. Se on tarkoitettu palvelemaan yksittäisenä viiteasiakirjana tunnistettaessa eri tilanteisiin sopivia turvamekanismeja, ja sen tulisi soveltua kaikenkokoisille organisaatioille. Standardi on muodoltaan opastava ja ohjeellinen. Ensimmäinen osa käsittelee yhtenä tietoturvallisuuden osa-alueena myös liiketoiminnan jatkuvuudenhallintaa. Se esittää viisi jatkuvuudenhallintaa tukevaa turvamekanismia: 1. Liiketoiminnan jatkuvuuden hallintaprosessi. Liiketoiminnan jatkuvuuden kehittämiseksi ja ylläpitämiseksi on luotava koko organisaation kattava prosessi. 2. Liiketoiminnan jatkuvuus- ja vaikutusanalyysi. Jatkuvuussuunnittelu on aloitettava tunnistamalla liiketoimintaa uhkaavat riskit ja arvioimalla niiden vaikutukset. Näiden pohjalta on luotava jatkuvuuden strategiasuunnitelma, jolle on saatava johdon hyväksyntä. 3. Jatkuvuussuunnitelmien laatiminen ja toteuttaminen. Liiketoiminnan ylläpitoon ja palauttamiseen häiriöiden jälkeen on kehitettävä suunnitelmat. 10
18 4. Liiketoiminnan jatkuvuussuunnittelun puitteet. Suunnitelmat tulee pitää yhtenäisissä puitteissa koskien mm. suunnitelmien käynnistysehtoja, hätätilanteita ja palautumista koskevia menettelyohjeita, ylläpitoa, koulutusta ja vastuuhenkilöitä. Kullakin suunnitelmalla tulee lisäksi olla vastuullinen omistaja. 5. Liiketoiminnan jatkuvuussuunnitelmien testaus, ylläpito ja uudelleenarviointi. Suunnitelmat on testattava ja katselmoitava säännöllisesti. Standardin toinen osa esittää yleisen prosessipohjaisen mallin tietoturvallisuuden hallintajärjestelmän luomiseksi. Tätä käsitellään tarkemmin esitettäessä tämän työn jatkuvuudenhallinnan prosessimalli. 2.6 Teemupekka Virtasen tietojärjestelmien luokittelumenetelmä Teemupekka Virtanen esittelee julkaisussaan Design Criteria to Classified Information Systems Numerically [34] tietojärjestelmien luokitteluun tavan, joka mahdollistaa järjestelmän uudelleenarvioinnin automaattisesti, kun jokin sen komponenteista muuttuu. Menetelmässä johto asettaa tavoitteet järjestelmän saatavuudelle, eheydelle tai luotettavuudelle. Alempi taso tarkistaa tavoitteiden toteutumisen eri komponenteissa ja tarvittaessa parantaa näiden toimintaa itsenäisesti siten, että ylemmän tason ei tarvitse tietää ratkaisumenetelmää. Ensimmäisessä vaiheessa (kuva 2.5) liiketoiminnan johto asettaa numeeriset tavoitteet tärkeille toiminnoille. Tavoitteena voi olla esim. sen todennäköisyys, että haluttu palvelu tuotetaan sovitussa ajassa. Tämän jälkeen tunnistetaan toimintojen onnistumisen vaatimat osatoiminnot, ja asetetaan näille tavoitteet: Välttämättömien osatoimintojen tavoitearvo on sama kuin päätoiminnon ja vaihtoehtoisten pienempi. Tunnistetut toiminnot jaetaan aina pienempiin kokonaisuuksiin, joille asetetaan tavoitearvot, kunnes päästään lopputason toimintakomponentteihin, joilla tavoitteiden toteutuminen on mitattavissa. Toiminnot kuvataan lohkokaaviona. 90 Get requirement from the upper level The mail service has to work Assign the requirements for the subprocesses 90 The Internetconnection has to work 90 The Intranetconnection has to work Mail server A has to work Mail server B has to work 90 The workstation has to work Send the requirements to the lower level Kuva 2.5 Tietojärjestelmien luokitteluprosessi. [34] Toisessa vaiheessa (kuva 2.6) määritetään, miten alimman tason komponenttien tavoitteet toteutuvat. Tulosten avulla lasketaan ylemmän tason toteutuma. Näin jatketaan, kunnes alkuperäisen tavoitteen toteutumiselle on saatu numeerinen tulos. Jos yhden komponentin tiedot muuttuvat, voidaan uusi toteutuma laskea automatisoidusti. 11
19 Kuva 2.6 Tietojärjestelmien saatavuuden arviointi. [34] Jos saadut tulokset eivät vastaa asetettuja tavoitteita, tilanteeseen voidaan reagoida kahdella tavalla: Olemassa olevien, alemman tason komponenttien toimintaa voidaan parantaa, tai ongelmakohtiin voidaan kehittää uusia vaihtoehtoisia toimintatapoja, jotka ilmenevät lohkokaavioissa rinnakkaisina aliprosesseina. 2.7 VAHTI Valtiovarainministeriön (VM) tehtävänä on ohjata valtionhallinnon tietoturvallisuutta ja sen kehittämistä. Tarvittavasta ohjeistuksesta vastaa VM:n asettama valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI), jonka on tarkoitus edustaa laajapohjaista tietoturvallisuuden asiantuntemusta. [27] VAHTI käsittelee ohjeistuksessaan tietoturvallisuutta kahdeksanosaisen jaon mukaisesti. Siinä tietoturvallisuuden osa-alueiksi katsotaan hallinnollinen tietoturvallisuus, henkilöstöturvallisuus, fyysinen turvallisuus, tietoliikenneturvallisuus, laitteistoturvallisuus, ohjelmistoturvallisuus, tietoaineistoturvallisuus ja käyttöturvallisuus. Ryhmän laatima ohjeistus sisältää mm. valtion viranomaisen tietoturvallisuustyön yleisohjeen. Suurin osa ohjeista käsittelee kuitenkin spesifisempiä aiheita, ja niillä pyritään vastaamaan tietoturvallisuuden haasteisiin ajankohtaisissa kehityskohteissa kuten tietohallintotoimien ulkoistamisessa ja etätyöskentelyssä. [27] VAHTI-ryhmällä ei ole erillistä jatkuvuudenhallintaohjetta, mutta aihetta sivutaan useissa eri julkaisuissa: Valtion tietohallintotoimintojen ulkoistamisen tietoturvallisuussuositus (VAHTI 2/1999) käsittelee toiminnan jatkuvuuden varmistamista ulkoistettaessa, Valtionhallinnon lähiverkkojen tietoturvallisuussuositus (VAHTI 2/2001) kehottaa ottamaan jatkuvuussuunnittelussa huomioon lähiverkkojen erityispiirteet, ja toiminnan jatkuvuus on yksi kriteeri Valtion tietotekniikkahankintojen tietoturvallisuuden tarkistuslistalla (VAHTI 6/2001). Kattavimmin VAHTI puuttuu jatkuvuudenhallintaan ohjeessaan Valtionhallinnon tietojärjestelmäkehityksen tietoturvallisuussuositus (VAHTI 3/2000). Suositus auttaa organisaatioita ottamaan tietoturvallisuusvaatimukset huomioon koko järjestelmän elinkaaren ajan. Käytännössä suositus jakaa järjestelmän elinkaaren kymmeneen eri vaiheeseen, ja esittelee kuhunkin vaiheeseen kuuluvat tietoturvallisuustehtävät, näissä syntyvät tuotokset sekä näihin liittyvät vastuut. Ohjeessa käsitellään jatkuvuudenhallintaa vain niiltä osin, jotka liittyvät suoraan tietojärjestelmän kehitysprojektiin. Työvaiheita käsitellään lisäksi erittäin lyhyesti: Jatkuvuussuunnittelu ja jatkuvuussuunnitelmien laatiminen mainitaan yksittäisinä tehtävinä ilman, että niiden tarkempaan merkitykseen tai sisältöön paneudutaan. Ohjeistus ei myöskään käsittele sitä, kuinka mainitut tehtävät suoritetaan. Vastuut jatku- 12
20 vuudenhallintatöistä on jaettu järjestelmän kehityksestä ja tietoturvasta vastaavalle henkilöstölle. 2.8 SSE-CMM Systems Security Engineering Capability Maturity Model (SSE-CMM) on erityisesti tietoturvallisuutta varten kehitetty kypsyysmalli, joka tunnetaan myös standardina ISO/IEC Standardi on vapaasti saatavilla WWW-sivuiltaan [22]. Mallin kuvauksessa käytetyt suomennokset ovat peräisin Ville Taposen diplomityöstä [24]. SSE-CMM on kypsyysmalli, jolla arvioidaan organisaation kykyä toteuttaa tietoturvaprosesseja. Prosesseille määritellään niiden suorittamistavan perusteella tietty kypsyystaso. Prosessien kehitystyössä malli auttaa hahmottamaan, mitä toimintoja prosessissa tulisi kehittää, jotta haluttu kypsyystaso saavutettaisiin. Kypsyystasojen olennainen sisältö on seuraava: - Taso 1: Epämuodollinen suoritus Tasolle 1 pääsy vaatii, että organisaatiossa tai projektissa suoritetaan vaaditut toiminnot. Suorittamisen laatua ei vielä käsitellä. - Taso 2: Suunniteltu ja seurattu Taso 2 sisältää vaatimuksia projektin määrittelyä, suunnittelua ja suorituskykyä koskien. Toimintaa käsitellään projekti-, ei prosessitasolla. - Taso 3: Hyvin määritelty Tasolla 3 prosessin tulee olla määritelty organisaation laajuisesti ja prosessia muokataan hallitusti. - Taso 4: Kvantitatiivisesti hallittu Tasolla 4 toiminnan mittarit sidotaan liiketoiminnan tavoitteisiin ja mittauksien tuloksia käytetään organisaation laajuisesti. - Taso 5: Jatkuvasti kehittyvä Tasolla 5 hyödynnetään kaikkia alemmilla tasoilla tehtyjä parannuksia. Lisäksi organisaation kulttuuria muokataan siten, että saavutetut hyödyt säilytetään. SSE-CMM -arkkitehtuurissa turvallisuusprosessin perustoimenpiteet erotetaan niiden hallinnasta ja soveltamisesta organisaatiossa. Mallissa on kaksi ulottuvuutta, toimialue ja kyky. Toimialueulottuvuus koostuu toiminnoista peruskäytännöistä jotka turvallisuustoiminnassa on suoritettava. Kykyulottuvuus sisältää prosessin hallintaan, mittaamiseen ja soveltamiseen liittyviä toimenpiteitä yleiskäytäntöjä. Prosessin kypsyyttä määriteltäessä tutkitaan, mitkä yleiskäytännöistä kunkin peruskäytännön kohdalla toteutuvat. Arviointia on havainnollistettu kuvassa 2.7. Siinä tutkitaan, määrittääkö organisaatio resursseja haavoittuvuuksien identifioimiseen. Peruskäytännöt on jaettu 22 prosessialueeseen. Ensimmäiset 11 prosessialuetta kattavat turvallisuustoiminnan päätehtävät. Loput 11 prosessialuetta käsittelevät toteutusprojektiin ja organisaatioon liittyviä toimintoja, jotka tukevat varsinaisia turvallisuusprosesseja. Yleiskäytännöt on järjestetty kykyulottuvuudessa sen mukaan, mitä kypsyystasoa ne indikoivat. Kypsyystasot on vielä jaettu tarkempiin loogisiin 13
Tietoturvapolitiikka
Valtiokonttori Ohje 1 (6) Tietoturvapolitiikka Valtion IT -palvelukeskus Valtiokonttori Ohje 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa...
LisätiedotTIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä
TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.
LisätiedotTietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.
Tietoturvallisuuden kokonaisvaltainen hallinta 3.12.2015 Heikki O. Penttinen Castilsec Oy Tietoturvallisuuden päätavoitteet organisaatioissa Tietoturvallisuuden oikean tason varmistaminen kokonaisvaltaisesti
LisätiedotYritysturvallisuuden perusteet
Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi Järjestelyihin liittyviä asioita Tilatkaa
LisätiedotSFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet
SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet Yleisesittely Julkaisutilaisuus 12.6.2014 Teknologiajohtaja Aki Siponen, Microsoft Oy SFS-ISO/IEC 27002:2013 tietoturvallisuuden
LisätiedotTietoturvapolitiikka
Mäntsälä Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 0.9 2/8 Sisällys 1 Johdanto... 4 2 Mitä tietoturvallisuus on?... 4 2.1 Tietoturvallisuuden hallinta... 5 2.2 Riskienhallinta sekä jatkuvuuden
LisätiedotVihdin kunnan tietoturvapolitiikka
Vihdin kunnan tietoturvapolitiikka Kunnanhallitus 2.3.2015 50, liite 2 Kunnan johtoryhmä 18.11.2014 Tietohallinnon ohjausryhmä (Thor) 24.9.2014 Sisällys 1 Johdanto... 2 2 Mitä tietoturvallisuus on?...
LisätiedotSFS, 27.11 2014 STANDARDIEHDOTUKSEN ISO/DIS 14001 ESITTELY
SFS, 27.11 2014 STANDARDIEHDOTUKSEN ISO/DIS 14001 ESITTELY Anna-Liisa Koskinen SISÄLTÖ Uusi rakenne Uusia määritelmiä Keskeisistä muutoksista 2 ISO 14001 ympäristöjohtamisjärjestelmä ISO 14001 on tunnettu
LisätiedotSovelto Oyj JULKINEN
1 (5) 21.3.2018 JULKINEN :n Vastuu :n toiminnasta on sen ylimmällä johdolla. Yrityksen toiminta ja palvelut ovat suuresti riippuvaisia tietotekniikkapalveluiden saatavuudesta ja niiden turvallisesta toiminnasta.
LisätiedotMuutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen
1 (6) 25.11.2015 Lappeenrannan kaupungin tietoturvapolitiikka 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0
LisätiedotTietoturvapolitiikka Porvoon Kaupunki
Tietoturvapolitiikka Porvoon Kaupunki 1 Sisältö 1 Johdanto... 3 2 Mitä tietoturvallisuus on?... 4 Tietoturvallisuuden hallinta... 4 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen... 5 3 Tietoturvallisuustavoitteet...
LisätiedotISO 9001:2015 JÄRJESTELMÄ- JA PROSESSIAUDITOIN- NIN KYSYMYKSIÄ
ISO 9001:2015 JÄRJESTELMÄ- JA PROSESSIAUDITOIN- NIN KYSYMYKSIÄ IMS Business Solutions Oy, J Moisio 10/ 2016 2.10.2016 IMS Business Solutions Oy 2 ISO 9001:2015 PROSESSIEN AUDITOINTIKYSYMYKSIÄ ISO 9001:2015
LisätiedotYritysturvallisuuden johtamisen arviointi
Yritysturvallisuuden johtamisen arviointi Kiwa Rima Kiwa Inspecta Trust, Quality & Progress Mitä hyvä yritysturvallisuuden johtaminen on? Turvallisuuden johtaminen on tavoitteellista ja liiketoimintaa
LisätiedotKOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA
KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA 1 S i v u Kokkolan kaupungin tietoturvapolitiikka 1. JOHDANTO Tietojenkäsittely tukee Kokkolan kaupungin palvelujen tuottamista ja palveluiden tehokkuus riippuu
LisätiedotLuotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus
Nykytila-arvio toiminnan osa-alueesta Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus Trust, Quality & Progress on tehokas tapa tietää enemmän Oletko tietoinen organisaationne tietohallinnon, tietoturvallisuuden,
LisätiedotSFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen
SFS-ISO/IEC 27003 Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta Riku Nykänen 14.12.2018 SFS-ISO/ IEC 2 70 0 3 Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta Riku Ny kän en, 14.12.2 0 18
LisätiedotLuonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta
Luo / Muokkaa Lähetä Lausunnonantajat Yhteenveto Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta Johdanto Kommentit ja huomiot - Johdanto Tiivistäisin alkuun jatkuvuuden määritelmän esim. seuraavasti:
LisätiedotYritysturvallisuuden johtamisen arviointi
Yritysturvallisuuden johtamisen arviointi Kiwa Rima Kiwa Inspecta Trust, Quality & Progress Mitä hyvä yritysturvallisuuden johtaminen on? Turvallisuuden johtaminen on tavoitteellista ja liiketoimintaa
LisätiedotEspoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015
Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015 Espoon kaupunki 2015 Tietoturvapolitiikka 1 (7) Yhteenveto Tietoturvapolitiikka on kaupunginhallituksen ja kaupunginjohdon tahdonilmaisu tietoturvan
LisätiedotKANNATTAVUUDEN ARVIOINTI JA KEHITTÄMINEN ELEMENTTILIIKETOIMINNASSA
LAPPEENRANNAN TEKNILLINEN YLIOPISTO TEKNISTALOUDELLINEN TIEDEKUNTA Tuotantotalouden koulutusohjelma KANNATTAVUUDEN ARVIOINTI JA KEHITTÄMINEN ELEMENTTILIIKETOIMINNASSA Diplomityöaihe on hyväksytty Tuotantotalouden
LisätiedotJohtamisen standardit mitä ja miksi
Johtamisen standardit mitä ja miksi Forum 2013 Sari Sahlberg Johtamisen standardi Auttaa organisaatiota kehittämään valittua johtamisen osa-aluetta Laadunhallinta Ympäristöasioiden hallinta Tietoturvallisuuden
LisätiedotTIETOTURVAPOLITIIKKA
TIETOTURVAPOLITIIKKA Lapin ammattikorkeakoulun rehtori on hyväksynyt tietoturvapolitiikan 18.3.2014. Voimassa toistaiseksi. 2 Sisällysluettelo 1 Yleistä... 3 1.1 Tietoturvallisuuden kolme ulottuvuutta...
LisätiedotYleisten kartastotöiden strategia 2011-2020 - Maastotietojärjestelmä kovaan käyttöön
Suomen Kartografinen Seura Kevätseminaari Yleisten kartastotöiden strategia 2011-2020 - Maastotietojärjestelmä kovaan käyttöön 29.3.2012 Antti Vertanen Maa- ja metsätalousministeriö 2001-2010 strategia
LisätiedotLuonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta. 1 Ohjeen soveltamisala, tavoitteet ja rajaukset. 2 Jatkuvuuden hallinnan säädösympäristö
Luo / Muokkaa Lähetä Lausunnonantajat Yhteenveto Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta Johdanto Kommentit ja huomiot - Johdanto 3. kappaleessa sanotaan Ohjeella pyritään sekä julkishallinnon
LisätiedotJatkuvuuden hallinta. Kiwa Inspecta. ISO Yleistietoa. Jarkko Puistovirta Tuotepäällikkö, Pääarvioija. BECP Certified ISO Lead Implementor
[presentation title] via >Insert >Header & Footer Jatkuvuuden hallinta ISO 22301 Yleistietoa Kiwa Inspecta Jarkko Puistovirta Tuotepäällikkö, Pääarvioija BECP Certified ISO 22301 Lead Implementor Julkinen
LisätiedotTietoliikennepalveluiden palvelutasonhallinnan kehittäminen kohdeyrityksessä
S-38.3310 Tietoverkkotekniikan diplomityöseminaari Tietoliikennepalveluiden palvelutasonhallinnan kehittäminen kohdeyrityksessä Tuomas Laajanen Työn ohjaaja: Prof. Heikki Hämmäinen Työn valvoja: DI Tom
LisätiedotSopimuksiin perustuva toiminnan jatkuvuuden hallinta
Sopimuksiin perustuva toiminnan jatkuvuuden hallinta Haasteena verkoston toimintavarmuuden kehittäminen Ohjaus heikkenee Häiriö toimijan toiminnassa vaikuttaa verkoston toiminnan jatkuvuuteen 2 Vaatimuksia
LisätiedotISO Standardisarja Eräitä ulottuvuuksia Kari Komonen
ISO 55000 Standardisarja Eräitä ulottuvuuksia 6.11.2014 Kari Komonen Eräitä käsitteitä omaisuus, omaisuuserä kohteet, asiat tai kokonaisuudet, joilla on tai voi olla arvoa organisaatiolle omaisuudenhallinta
LisätiedotHäiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi
Häiriötilanteisiin varautuminen korkeakoulukentässä Kari Wirman IT2012 - Valtakunnalliset IT-päivät 31.10.2012 Rovaniemi Jatkuvuudenhallinta Jatkuvuudenhallinnalla tarkoitetaan kaikkia niitä toimenpiteitä,
LisätiedotYritysturvallisuuden johtamisen arviointi ja hallintamalli
[presentation title] via >Insert >Header & Footer Yritysturvallisuuden johtamisen arviointi ja hallintamalli Kiwa Inspecta Yritysturvallisuus? Elinkeinoelämän keskusliiton (EK) yritysturvallisuusmalli
LisätiedotTietohallinnon nykytilan analyysi. Analyysimenetelmä (sovitettu Tietohallintomallista) 9.10.2013
Tietohallinnon nykytilan analyysi Analyysimenetelmä (sovitettu Tietomallista) 9.10.2013 Haastattelurunko Kerättävät perustiedot Budjetti (edellisvuoden) Henkilöstökustannukset IT-ostot Muut Liite - Kypsyysanalyysin
LisätiedotStandardien PCI DSS 3.0 ja Katakri II vertailu
Standardien PC DSS 3.0 ja Katakri vertailu Copyright Solinor Oy 2014 Solinor Oy, Teollisuuskatu 21 A, F-00510 HELSNK, FNLAND +358 10 279 2940 / www.solinor.com / Business D 17967170 Standardien PC DSS
LisätiedotProjektin tavoitteet
VBE II, vaihe 1: 2005-2006 Data yrityksistä ja rakennushankkeista TUT Tekniset ratkaisut RAK (VRLab)+ARK iroom validointi Työpajat Seminaarit Esitelmät Osallistuvat yritykset VTT Käyttöönotto- ja hyötymallit,
LisätiedotRiskit hallintaan ISO 31000
Riskit hallintaan ISO 31000 Riskienhallinta ja turvallisuus forum 17.10.2012 Riskienhallintajohtaja Juha Pietarinen Tilaisuus, Esittäjä Mitä on riskienhallinta? 2 Strategisten riskienhallinta Tavoitteet
LisätiedotMiten varmennan ICT:n kriittisessä toimintaympäristössä?
Miten varmennan ICT:n kriittisessä toimintaympäristössä? Sairaalatekniikan päivät 2018 8.2.2018 Tommi Tervo, Istekki Oy Kehittämispäällikkö Mistä sairaalan ICT koostuu? Noin 6000 päätelaitetta Noin 200
LisätiedotTIETOTURVA- POLITIIKKA
TIETOTURVA- POLITIIKKA Kaupunginhallitus 3.9.2013 216 HAAPAJÄRVEN KAUPUNGIN TIETOTURVAPOLITIIKKA 1. JOHDANTO... 3 2. KATTAVUUS... 3 3. TIETOTURVA... 3 4. TIETOTURVATYÖ... 4 5. ORGANISOINTI JA VASTUUT...
LisätiedotJärjestelmätoimitusprosessin tietoturva Mikko Jylhä
Järjestelmätoimitusprosessin tietoturva 30.9.2009 Mikko Jylhä mikko.jylha@deloitte.fi Esityksen rakenne Puhujan esittäytyminen 3 min A) Toimitussisällöstä sopiminen tietoturvanäkökulmasta 15 min B) Toimitusprosessiin
LisätiedotOMAVALVONTA ISO 9001 ISO / FSSC 22000 ISO 14001 OHSAS 18001 SATAFOOD KEHITTÄMISYHDISTYS RY 24.9.2015. Marika Kilpivuori
SATAFOOD KEHITTÄMISYHDISTYS RY Laatu- ja ympäristöjärjestelmät 24.9.2015 Marika Kilpivuori OMAVALVONTA ISO 9001 ISO / FSSC 22000 BRC ISO 14001 OHSAS 18001 IFS 1 MIKÄ JÄRJESTELMÄ MEILLÄ TARVITAAN? Yrityksen
LisätiedotVastausten ja tulosten luotettavuus. 241 vastausta noin 10 %:n vastausprosentti tyypillinen
Vastausten ja tulosten luotettavuus Vastaukset 241 vastausta noin 10 %:n vastausprosentti tyypillinen Kansainväliset IT:n hallinnan hyvät käytännöt. Luotettavuusnäkökohdat Kokemukset ja soveltamisesimerkit
LisätiedotValmiuspäällikkö Sakari Ahvenainen. Valmiusohje ja ajankohtaista varautumisesta. Helsingin TIVA ja joukkoviestintäpooli (JVP)
Valmiuspäällikkö Sakari Ahvenainen Helsingin TIVA ja joukkoviestintäpooli (JVP) Valmiusohje ja ajankohtaista varautumisesta Lapin TIVA:n alueseminaari 24.9.2009 Rovaniemi JVP:n ohje valmius-suunnitelman
LisätiedotStandardit tietoturvan arviointimenetelmät
Standardit tietoturvan arviointimenetelmät Tietoturvaa teollisuusautomaatioon (TITAN) VTT Auditorio, Vuorimiehentie 5, Espoo, 9.11.2010 Jarkko Holappa Tietoturvallisuuden arviointi osana tietoturvan hallintaa
LisätiedotValtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta
Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta Kimmo Rousku, VAHTI-pääsihteeri, JulkICT-osasto Esitykseni - viisi
LisätiedotPotilasturvallisuuden johtaminen ja auditointi
1 Potilasturvallisuuden johtaminen ja auditointi Pirjo Berg, Anna Maksimainen & Olli Tolkki 16.11.2010 Potilasturvallisuuden johtaminen ja auditointi Taustaa STM velvoittaa sairaanhoitopiirit laatimaan
LisätiedotJULKISTEN VERKKOPALVELUJEN LAATUKRITEERISTÖN KONSEPTI
JULKISTEN VERKKOPALVELUJEN LAATUKRITEERISTÖN KONSEPTI Onesta Solutions Oy Pasilanraitio 5 00240 HELSINKI www.onesta.fi 2/6 Versiohistoria Versio Pvm Selitys Muutokset Tekijät 0.1 26.3.2007 Alustava versio
LisätiedotRiski = epävarmuuden vaikutus tavoitteisiin. Valtionhallinnossa = epävarmuuden vaikutus lakisääteisten tehtävien suorittamiseen ja tavoitteisiin
Juha Pietarinen Riski = epävarmuuden vaikutus tavoitteisiin Valtionhallinnossa = epävarmuuden vaikutus lakisääteisten tehtävien suorittamiseen ja tavoitteisiin - Voiko riski olla mahdollisuus myös lakisääteisten
LisätiedotSISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET 1.1.2014
1 Parikkalan kunta SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET 1.1.2014 1. Lainsäädäntöperusta ja soveltamisala Kuntalain 13 :n mukaan valtuuston tulee päättää kunnan ja kuntakonsernin sisäisen valvonnan
LisätiedotQuality Consulting M.Mikkola OY Mari.mikkola@qcmm.fi 050-3205088
Quality Consulting M.Mikkola OY Mari.mikkola@qcmm.fi 050-3205088 Laadunhallintajärjestelmän tulisi olla organisaation strateginen päätös ISO9001 tarkoituksena ei ole edellyttää, että kaikilla laadunhallintajärjestelmillä
LisätiedotTIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103
TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI Hyväksytty:, asiakohta 28, asiakohta 103 Sisällysluettelo 1. Periaatteet... 3 1.1 Henkilötietojen käsittelyn lainmukaisuus... 3 2. Tietosuojan vastuut ja organisointi...
LisätiedotTietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat. Diplomityöesitelmä Juha Kalander
Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat Diplomityöesitelmä 29.1.2008 Juha Kalander Sisältö Esittely Tutkimusongelma Käytetyt metodit Työn sisällysluettelo Normiohjaus
LisätiedotSISÄLTÖ. 1 RISKIENHALLINTA... 3 1.1 Yleistä... 3 1.2 Riskienhallinta... 3 1.3 Riskienhallinnan tehtävät ja vastuut... 4 1.4 Riskienarviointi...
RHK Ohje riskienhallinnasta 2 SISÄLTÖ 1 RISKIENHALLINTA... 3 1.1 Yleistä... 3 1.2 Riskienhallinta... 3 1.3 Riskienhallinnan tehtävät ja vastuut... 4 1.4 Riskienarviointi... 5 RH Ohje riskienhallinnasta
LisätiedotVirtu tietoturvallisuus. Virtu seminaari 18.3.2014
Virtu tietoturvallisuus Virtu seminaari 18.3.2014 Sisältö Virtu edistää tietoturvallisuutta Tietoturvallisuus Valtorin palveluissa Tietoturvavaatimukset luottamusverkostoon liityttäessä 2 Kertakirjautuminen
LisätiedotOhjelmistotekniikka kevät 2003 Laatujärjestelmät
Laatujärjestelmät Ohjelmistotekniikka kevät 2003 Prosessiajattelu Sisään Prosessi Ulos ohjaus mittaus Laatujärjestelmät Laatujärjestelmät määrittelevät sen, mitkä prosessit täytyy olla määritelty ei sitä,
LisätiedotEspoon kaupunki Tietoturvapolitiikka
Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016
LisätiedotSYSTEMAATTINEN RISKIANALYYSI YRITYKSEN TOIMINTAVARMUUDEN KEHITTÄMISEKSI
Päivitetty 28.3.2017 SYSTEMAATTINEN RISKIANALYYSI YRITYKSEN TOIMINTAVARMUUDEN KEHITTÄMISEKSI Riskianalyysiohjeen tarkoitus on tukea yrityksen toimintaa uhkaavien tilanteiden (riskien) tunnistamisessa,
LisätiedotYRKK18A Agrologi (ylempi AMK), Ruokaketjun kehittäminen, Ylempi AMK-tutkinto
Seinäjoen Ammattikorkeakoulu Oy YRKK18A Agrologi (ylempi AMK), Ruokaketjun kehittäminen, Ylempi AMK-tutkinto Ruokaketjun kehittämisen koulutuksen opinnot on tarkoitettu asiantuntijoille, jotka tarvitsevat
LisätiedotFujitsu SPICE Lite. Kimmo Vaikkola Fujitsu Finland Oy Laatu ja liiketoimintatavat. Copyright 2010 FUJITSU
Fujitsu SPICE Lite Kimmo Vaikkola Fujitsu Finland Oy Laatu ja liiketoimintatavat Copyright 2010 FUJITSU Laatu ja prosessit Fujitsussa Laatujärjestelmän rakentaminen ja systemaattinen prosessijohtaminen
LisätiedotTietoturvallisuuden hallintajärjestelmä pähkinänkuoressa
Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Valtorin tietoturvaseminaari 2.4.2014 Pekka Ristimäki Johtava asiantuntija, CISM, CISSP, CRISC Valtori / Tietoturvapalvelut Mikä on hallintajärjestelmä?
LisätiedotHUOVI-portaali. Huoltovarmuustoiminnan uusi painopiste: toiminnallinen huoltovarmuus
Miten yrityksesi toiminta jatkuu, kun sähkönsaannissa on pitkäkestoinen katko tietoliikenneyhteydet ovat poikki myrskyn vuoksi tuotantokiinteistö tuhoutuu tulipalossa tärkeimmän raaka-ainetoimittajan tai
LisätiedotSisäisen valvonnan ja riskienhallinnan perusteet Hyväksytty: kaupunginvaltuusto xx.xx.2014 xx
Sisäisen valvonnan ja riskienhallinnan perusteet Hyväksytty: kaupunginvaltuusto xx.xx.2014 xx 2 1. Lainsäädäntöperusta ja soveltamisala Kuntalain 13 :n mukaan valtuuston tulee päättää kunnan ja kuntakonsernin
LisätiedotKertomusluonnoksesta annetut lausunnot 20/2018 Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus 263/54/2017
Kertomusluonnoksesta annetut lausunnot 20/2018 Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus 263/54/2017 Valtioneuvoston kanslia, 12.11.2018. Valtiovarain controller -toiminto, 12.11.2018.
LisätiedotTietoturvapolitiikat. Riitta Mäkinen. Extended Abstract. Helsinki HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos
Tietoturvapolitiikat Riitta Mäkinen Extended Abstract Helsinki 4.3.2003 HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos Tietoturva nykyaikaisessa liiketoimintaympäristössä -seminaari 1. Johdanto 1
LisätiedotAloite Onko asioiden esittämistapa riittävän selkeä ja kieleltään ymmärrettävä?
Aloite 08.02.2017 1 (3) VVC VM036:00/2015 Lausunto luonnoksesta valtion riskienhallintopolitiikkamalliksi Yleistä Onko aineistokokonaisuus, jossa on riskienhallinnan järjestämistä koskevia ohjeita,
LisätiedotIntegrated Management System. www.ims.fi, Ossi Ritola
Integrated Management System www.ims.fi, Ossi Ritola Mitä prosessien tunnistaminen on? Löydämme ja ryhmittelemme organisaation toistettavat työnkulut optimaalisimmalla tavalla organisaation tulevaisuuden
LisätiedotTietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä
Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä FINAS-päivä 22.1.2013 Helsingin Messukeskus Laura Kiviharju Viestintävirasto Viestintäviraston
LisätiedotVALVO JA VARAUDU PAHIMPAAN
VALVO JA VARAUDU PAHIMPAAN Erkki Sivonen Senior Account Manager Nordic LAN&WAN Communication erkki.sivonen@lanwan.fi 5/13/2015 5/13/2015 5/13/2015 1.10.2013 UUSI SÄHKÖMARKKINALAKI JATKUVUUDENHALLINNAN
LisätiedotYritysturvallisuuden perusteet
Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi Järjestelyihin liittyviä asioita Tilatkaa
LisätiedotLuku 6 Projektisuunnitteluvaihe
Luku 6 Projektisuunnitteluvaihe Projektisuunnittelu Project Planning Projektin Project Definition määrittely and ja Planning suunnittelu Projektin Initiate käynnistäminen andja organisointi Project Organize
Lisätiedottyössäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan. Ammattitaidon osoittamistavat
1(6) TYÖSSÄOPPIMINEN JA AMMATTIOSAAMISEN NÄYTTÖ Tutkinnon osa: Palvelinohjelmistojen ja virtualisointi 15 osp Työssäoppimisen keskeinen sisältö: työtehtävien suunnittelu ja valmistelu oman työn ja työn
LisätiedotSisäisen valvonnan ja Riskienhallinnan perusteet
Sisäisen valvonnan ja Riskienhallinnan perusteet 9.5.2018 Sisällys 1. Lainsäädäntöperusta ja soveltamisala... 2 2. Sisäisen valvonnan ja riskienhallinnan tavoite ja tarkoitus... 2 3. Sisäisen valvonnan
LisätiedotLappeenrannan kaupungin tietoturvaperiaatteet 2016
1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015
LisätiedotOnnistunut SAP-projekti laadunvarmistuksen keinoin
Onnistunut SAP-projekti laadunvarmistuksen keinoin 07.10.2010 Patrick Qvick Sisällys 1. Qentinel 2. Laadukas ohjelmisto täyttää sille asetetut tarpeet 3. SAP -projektin kriittisiä menestystekijöitä 4.
Lisätiedot6.10.2015. Esimiestyö on pääsääntöisesti vaativampaa kuin esimiehen johtaman tiimin/ryhmän toimihenkilöiden tekemä työ.
Henkilöstöosasto 6.10.2015 ESIMIESTYÖN VAATIVUUSLUOKITUS Yleistä Esimiestyön vaativuuden arviointi perustuu vahvistettuun toimenkuvaukseen. Esimies toimii usein myös itse asiantuntijana, jolloin toimenkuvaukseen
LisätiedotLaboratorion näkökulma muuttuvaan standardiin 15189: 2012 mikä muuttuu?
Laboratorion näkökulma muuttuvaan standardiin 15189: 2012 mikä muuttuu? Laatupäällikkö Anna-Maija Haapala osastonylilääkäri, dosentti Fimlab Laboratoriot Oy STANDARDI 15189 (2012) Suomennos standardista
LisätiedotTURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA
TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA Turvallinen ohjelmistokehitys seminaari 30.9.2008 1 Turvallisuusvaatimukset ohjelmiston hankinnassa Tehtävä/toiminta liittyvä toiminnot/prosessit
LisätiedotOHEISMATERIAALIN TARKOITUS
(2012) OHEISMATERIAALIN TARKOITUS Kalvosarja on oheismateriaali oppaalle TASA ARVOSTA LAATUA JA VAIKUTTAVUUTTA JULKISELLE SEKTORILLE Opas kuntien ja valtion alue ja paikallishallinnon palveluihin ja toimintoihin
LisätiedotJulkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet
VM Lausunto 07.09.2018 VM/1499/00.00.05/2018 Asia: VM/276/00.01.00.01/2018 Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta Yhteenveto Kommentit yhteenvetoon: Taustaa linjauksille Kommentit
LisätiedotUbicom tulosseminaari
ITEA2 project #11011 2012 2015 Ubicom tulosseminaari Pertti Kortejärvi, Pohto Oy Helsinki 03.10.2013 Taustaa ja tavoitteita Nykyisin monien systeemien (teollisuusautomaatio, kommunikaatioverkot, jne.)
LisätiedotProjektijohtaminen. Ohjelma Paikka: HAUS kehittämiskeskus, Munkkiniemen koulutustalo, Hollantilaisentie 11. 00330 Helsinki
KEHITTÄMISKESKUS OY 28. 29.2.2012 Ohjelma Paikka: HAUS kehittämiskeskus, Munkkiniemen koulutustalo, Hollantilaisentie 11. 00330 Helsinki Pertti Melonen, toimitusjohtaja, Pro HR Consulting Oy Erkki Rajala,
LisätiedotEläketurvakeskuksen tietosuojapolitiikka
Eläketurvakeskus Tietosuojapolitiikka 1 (5) Eläketurvakeskuksen tietosuojapolitiikka Eläketurvakeskus Tietosuojapolitiikka 2 (5) Sisällysluettelo 1 Yleistä... 3 2 Tietosuojatoimintaa ohjaavat tekijät...
LisätiedotPilvipalveluiden arvioinnin haasteet
Pilvipalveluiden arvioinnin haasteet Tietoturvallisuus- ja jatkuvuuden hallinnan vaatimukset ICT-hankinnoissa, 12.5.2014 Laura Kiviharju Pilvipalvelut Pilvilaskenta (CloudComputing) tarkoittaa internetissä
LisätiedotRiskienhallinta Maanmittauslaitoksessa mitä pitkäaikainen kehittäminen on opettanut?
Riskienhallinta Maanmittauslaitoksessa mitä pitkäaikainen kehittäminen on opettanut? Riskienhallintaseminaari VM / VAHTI 12.3.2018 Tuija Lehtinen Ihaa kuiskasi: "En väitä ettei nyt voisi sattua Onnettomuutta.
LisätiedotOpistojohtaminen muutoksessa hanke. Kansanopiston kehittämissuunnitelma. Tiivistelmä kehittämissuunnitelman laatimisen tukiaineistoista
Opistojohtaminen muutoksessa hanke Kansanopiston kehittämissuunnitelma Tiivistelmä kehittämissuunnitelman laatimisen tukiaineistoista Opistojohtaminen muutoksessa hankkeessa ryhmä kansanopistoja laati
LisätiedotSOVELLUSALUEEN KUVAUS
Tik-76.115 Tietojenkäsittelyopin ohjelmatyö Tietotekniikan osasto Teknillinen korkeakoulu SOVELLUSALUEEN KUVAUS LiKe Liiketoiminnan kehityksen tukiprojekti Versio: 2.1 Tila: hyväksytty Päivämäärä: 12.12.2000
LisätiedotUusi toimintamalli henkilöturvallisuuden parantamiseen räjähdysvaarallisissa työympäristöissä. Tuija Luoma, VTT
Uusi toimintamalli henkilöturvallisuuden parantamiseen räjähdysvaarallisissa työympäristöissä Tuija Luoma, VTT RÄJÄHDYSVAARALLISEN TYÖYMPÄRISTÖN HENKILÖTURVALLISUUTEEN VAIKUTTAVAT TEKIJÄT Tekijät määritetty
LisätiedotYhteisöllisen toimintatavan jalkauttaminen!
Yhteisöllisen toimintatavan jalkauttaminen! Käyttöönoton vaiheet Yrityksen liiketoimintatavoitteet Yhteisöllisen toimintatavan käyttöalueet Työkalut Hyödyt yritykselle Hyödyt ryhmälle Hyödyt itselle Miten
LisätiedotHanketoiminnan STAK-kehän mukainen auditointimatriisi
Jyväskylän yliopisto 1 (9) Hanketoiminnan STAK-kehän mukainen auditointimatriisi SUUNNITTELU PUUTTUVA Yksikön hanketoiminnalla ei ole selkeää visiota. Hanketoiminnan tavoitteita ei ole määritelty. Ei ole
LisätiedotMitä riskienhallinnan auditointi voisi tarkoittaa - referenssinä ISO 31000
Suomen Riskienhallintayhdistys Miniseminaari 21.9.2010 Mitä riskienhallinnan auditointi voisi tarkoittaa - referenssinä ISO 31000 Lassi Väisänen Matti Paakkolanvaara Yrityksen ja riskienhallinnan kehitysvaiheet
LisätiedotTIETOTURVAPOLITIIKKA
TUUSULAN KUNNANSÄÄDÖSKOKOELMA TIETOTURVAPOLITIIKKA Kunnanhallitus XX.X.2018 XXX Voimaantulopv. X.X.2018 Tuusulan kunta PL60 www.tuusula.fi 04301 Tuusula puh. (09) 87 181 Sisällys 1 Johdanto... 3 2 Mitä
LisätiedotHankkeen toiminnot työsuunnitelman laatiminen
Hankkeen toiminnot työsuunnitelman laatiminen Hanketyöpaja LLP-ohjelman keskitettyjä hankkeita (Leonardo & Poikittaisohjelma) valmisteleville11.11.2011 Työsuunnitelma Vastaa kysymykseen mitä projektissa
LisätiedotSISÄISEN VALVONNAN PERUSTEET
P A I M I O N K A U P U N K I SISÄISEN VALVONNAN PERUSTEET Hyväksytty kaupunginvaltuustossa 12.2.2015 11 Voimaan 1.3.2015 alkaen 1 Sisällysluettelo Lainsäädäntöperusta ja soveltamisala... 3 Sisäisen valvonnan
LisätiedotJärjestelmäarkkitehtuuri (TK081702) Yritysarkkitehtuuri. Muutostarpeet
Järjestelmäarkkitehtuuri (TK081702) Ympäristö Muutostarpeet ja niihin vastaaminen Yritysarkkitehtuuri Liiketoiminta-arkkitehtuuri Tavoitteet, Palvelut, Prosessit Informaatioarkkitehtuuri Tietotarpeet,
LisätiedotMaakuntauudistuksen esivalmistelu Satakunnassa Ohjausryhmä Satakunnan maakuntauudistus 1
Maakuntauudistuksen esivalmistelu Satakunnassa Ohjausryhmä 20.6.2017 Satakunnan maakuntauudistus www.satakunta2019.fi 1 Valmisteluryhmän tehtävä ja keskeiset tavoitteet - Yhteiskunnan turvallisuusympäristö
LisätiedotGustin: Disaster and Recovery Planning: A Guide for Facility Managers T esitelmä
Gustin: Disaster and Recovery Planning: A Guide for Facility Managers T-110.5690 2. esitelmä Tuomas Toropainen 23.11.2005 Tuomas Toropainen () Gustin: Disaster & Recovery Planning 23.11.2005 1 / 16 2.
LisätiedotKUNTAINFRAN ELINKAARILASKENNASTA KOHTI OMAISUUDEN HALLINTAA. SKTY 22.5.2015 Jyrki Paavilainen
KUNTAINFRAN ELINKAARILASKENNASTA KOHTI OMAISUUDEN HALLINTAA SKTY 22.5.2015 Jyrki Paavilainen TERMIT JA NIMIKKEET 1/2 Infran pito Maankäytön suunnittelu Hankkeiden ohjelmointi Rakentaminen Infran hallinta
LisätiedotJussi Klemola 3D- KEITTIÖSUUNNITTELUOHJELMAN KÄYTTÖÖNOTTO
Jussi Klemola 3D- KEITTIÖSUUNNITTELUOHJELMAN KÄYTTÖÖNOTTO Opinnäytetyö KESKI-POHJANMAAN AMMATTIKORKEAKOULU Puutekniikan koulutusohjelma Toukokuu 2009 TIIVISTELMÄ OPINNÄYTETYÖSTÄ Yksikkö Aika Ylivieska
LisätiedotVesihuollon häiriötilannesuunnitelman laatiminen. Vesa Arvonen
Vesihuollon häiriötilannesuunnitelman laatiminen Vesa Arvonen Esityksen sisältö Vesihuollon häiriötilanne Häiriötilannesuunnitelma Mikä? Miksi? Miten? Häiriötilannesuunnitelman malli Vesihuollon häiriötilanne
LisätiedotLaatua ja tehoa toimintaan
Laatua ja tehoa toimintaan Tietoturvallisuus osana laatua Kuntamarkkinat 12.9.2013 Aapo Immonen, Senior Manager, FCG konsultointi Oy 5.9.2013 Page 1 Sisältö Tavoitteet Tietoturvallisuutta ohjaavat tekijät
LisätiedotSR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC 27000. Reijo Savola Johtava tutkija VTT
SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques Tietoturvallisuuden hallinta ISO/IEC 27000 Reijo Savola Johtava tutkija VTT FORUM 2013, 30.10.2013 SISÄLTÖ Työohjelma ja organisaatio
LisätiedotInnovaatiivinen hallinta Saimaan ja Atlantin rannalla. Case: I-SSHP & Walter Reed Army Medical Center
Innovaatiivinen hallinta Saimaan ja Atlantin rannalla Case: I-SSHP & Walter Reed Army Medical Center Vain sitä voi hallita, mitä voi mitata Mitä yhteistä? Walter Reed Army Medical Center, Washington DC,
Lisätiedot