Tietojärjestelmän jatkuvuudenhallinta prosessimallin avulla

Koko: px
Aloita esitys sivulta:

Download "Tietojärjestelmän jatkuvuudenhallinta prosessimallin avulla"

Transkriptio

1 TEKNILLINEN KORKEAKOULU Tietotekniikan osasto Tietoliikenneohjelmistojen ja multimedian laboratorio Anna Hosia Tietojärjestelmän jatkuvuudenhallinta prosessimallin avulla Diplomityö, joka on jätetty opinnäytteenä tarkastettavaksi diplomi-insinöörin tutkintoa varten Espoossa Valvoja Ohjaaja Prof. Teemupekka Virtanen DI Markku Asikainen

2 TEKNILLINEN KORKEAKOULU Tietotekniikan osasto DIPLOMITYÖN TIIVISTELMÄ Tekijä Työn nimi Päiväys Anna Hosia 11. toukokuuta 2004 Tietojärjestelmän jatkuvuudenhallinta prosessimallin avulla Sivumäärä Professuuri Työn valvoja Työn ohjaaja Koodi Tietoliikenneohjelmistot T-110 Professori Teemupekka Virtanen DI Markku Asikainen Atk-palveluiden jatkuvuudenhallinnan tarkoituksena on turvata tietojenkäsittely ja tiedonsiirto siten, että organisaation toiminta voi jatkua myös häiriötilanteissa. Tämän diplomityön tavoitteena on tukea Maanmittauslaitoksen JAKO-tietojärjestelmän jatkuvuudenhallinnan käynnistämistä. Jatkuvuudenhallintaan on kehitetty erilaisia projekti- ja prosessimalleja ja myös jotkin tietoturvastandardit käsittelevät aihetta. Menetelmien painotukset ja kattavuus vaihtelevat, eikä mikään niistä sovellu suoraan Maanmittauslaitoksen käytettäväksi. Diplomityössä on muodostettu oma prosessimalli tietojärjestelmien jatkuvuudenhallintaan käyttäen hyväksi olemassa olevia menetelmiä sekä BS tietoturvallisuusstandardin ohjeita tietoturvallisuuden hallintajärjestelmän luomisesta. Tavoitteena on ollut kehittää tietojärjestelmäkeskeinen, prosessiorientoitunut ja ratkaisun vaikuttavuuden säilyttävä toimintamalli. Prosessimallin sisältämät tehtävät voidaan jakaa neljään osaan: Suunnitteluvaiheessa prosessi käynnistetään, suoritetaan liiketoimintavaikutus- ja riskianalyysit sekä muodostetaan näiden pohjalta jatkuvuusstrategia. Toteutusvaiheessa suunnitellut ratkaisut toteutetaan ja aloitetaan koulutus. Tarkistusvaiheessa prosessin tilasta tuotetaan tietoa valvonnan, testauksen, katselmointien ja auditointien sekä raportoinnin avulla. Kehitysvaiheessa ratkaisuja parannetaan kerättyjen tietojen perusteella. Tietojärjestelmien jatkuvuudenhallintaan tulee kiinnittää huomiota järjestelmän koko elinkaaren ajan. Diplomityössä tutkitaan, miten esitetyn prosessimallin tehtävät nivoutuvat elinkaaren eri vaiheisiin. Lisäksi esitetään, miten jatkuvuudenhallintaan liittyvät roolit ja vastuut voidaan organisoida, ja miten elinkaaren aikaiset jatkuvuustehtävät kohdistuvat eri rooleille. Prosessimallin työvaiheita sovelletaan lisäksi Maanmittauslaitoksen JAKO-järjestelmään. Maanmittauslaitoksessa ei kuitenkaan diplomityön kirjoittamisen aikana perusteta jatkuvuudenhallinnan prosessia, joten tarkastelu ulottuu vain suunnittelua ja arviointia koskeviin tehtäviin. Prosessimallin soveltamista arvioidaan SSE-CMM -kypsyysmallin avulla. Tämän lisäksi tarkastellaan prosessin toteuttamisen kannattavuutta, jäännösriskejä sekä jatkotyötä MML:ssa. Lopullinen selvitys työn laadusta saadaan kuitenkin vasta, kun prosessi perustetaan. Avainsanat jatkuvuudenhallinta, BS 7799, SSE-CMM ii

3 HELSINKI UNIVERSITY OF TECHNOLOGY Department of Computer Science and Engineering ABSTRACT OF MASTER S THESIS Author Date Anna Hosia 11 May 2004 Pages Title of thesis Information system continuity management by application of process model Professorship Professorship Code Telecommunications Software T-110 Supervisor Professor Teemupekka Virtanen Instructor Markku Asikainen, M.Sc.(Tech.) The purpose of the IT service continuity management is to secure information processing and data transfer so that organisations can continue to operate even in exceptional situations. The goal of this Master s thesis was to support the initiation of continuity management activities for the JAKO information system of the National Land Survey of Finland (NLS). Several project and process models for continuity management and information security standards treat the subject. However, the methods cover and emphasize different issues, and none of them is suitable for the NLS as such. This thesis presents a new process model for continuity management. The model is based on existing methods and on a description of the BS 7799 information security standard about setting up an information security management system. The goal was to create a process oriented operations model to manage information systems and to ensure that the solution remains effective. The tasks included in the process model can be divided into four phases: The Plan phase initiates the process to perform business impact and risk analyses and develop a continuity strategy. The Do phase implements the solutions identified in the Plan phase and starts training. The Check phase collects information about the process by surveillance, testing, reviews, audits, and reporting. The Act phase improves the solutions according to the collected information. Continuity management should be taken into consideration during the whole life cycle of the information system. This thesis studies how the tasks of the presented process model are related to different stages of the life cycle. Furthermore the thesis shows how various roles and responsibilities required by continuity management can be organised, and how continuity tasks are assigned to them during the life cycle. The stages of the process model are also applied to the JAKO information system of the NLS. However, the continuity process was not actually initiated during the writing of the thesis. Thus the study covered only tasks related to planning and assessment. Process model application was evaluated by using the SSE-CMM maturity model. Additionally, the thesis studied the profitability of initiating the process and identified residual risks and further work required in the NLS. However, the actual quality of the thesis is to be seen only after the process is initiated. Keywords continuity management, BS 7799, SSE-CMM iii

4 Alkulause Olen tehnyt diplomityöni Maanmittauslaitoksen Atk-keskuksessa. Työn aikana olen saanut perehtyä oma-aloitteisesti jatkuvuudenhallintaan, ja työn tekeminen on antanut minulle erinomaisen mahdollisuuden tutustua Atk-keskukseen ja sen tietojärjestelmiin ja työtapoihin. Kiitänkin atk-tuotantopäällikkö Ari Huvista diplomityön aiheesta sekä valmistuvan työn kommentoimisesta. Kiitän ylitarkastaja Markku Asikaista diplomityöni kärsivällisestä ohjaamisesta. Kiitokset lisäksi professori Teemupekka Virtaselle työn valvomisesta sekä kommenteista sen loppuunsaattamiseksi. Kiitän avusta myös yli-insinööri Olli Jokista. Kiitokset lisäksi Jukka Vuoksiselle sekä Aija ja Martti Hosialle parannusehdotuksista ja valtaisasta oikoluku-urakasta. Haluan kiittää vielä kaikkia niitä maanmittauslaitoslaisia, jotka ovat jaksaneet vastata kysymyksiini. Helsingissä Anna Hosia iv

5 Sisällysluettelo ALKULAUSE... IV SISÄLLYSLUETTELO...V KÄSITTEET JA LYHENTEET...VII 1 JOHDANTO Atk-palveluiden jatkuvuudenhallinta Maanmittauslaitos ja JAKO Maanmittauslaitoksen tehtävät JAKO-tietojärjestelmä Tutkimusongelma Tutkimuskysymykset ja tavoite Työn arviointi Rajaukset OHJEITA JA MENETELMIÄ JATKUVUUDENHALLINTAAN ITIL NIST Jon Toigon projektimalli Helvi Salmisen liiketoiminnan jatkuvuussuunnittelumenetelmä BS Teemupekka Virtasen tietojärjestelmien luokittelumenetelmä VAHTI SSE-CMM Jatkuvuudenhallintamenetelmien ja -ohjeiden vertailu Projekti- ja prosessimallien ominaisuudet Muut ominaisuudet Yhteenveto jatkuvuudenhallintamenetelmistä ja -ohjeista TIETOJÄRJESTELMIEN JATKUVUUDENHALLINNAN PROSESSIMALLI PDCA-toimintamallin ja BS standardin käyttö Tietoturvallisuuden hallintajärjestelmän mukainen jatkuvuudenhallintaprosessi Suunnittele (jatkuvuudenhallintaprosessin luonti) Toteuta (jatkuvuudenhallintaprosessin toteutus ja käyttö) Tarkista (jatkuvuudenhallintaprosessin seuranta ja katselmointi) Kehitä (jatkuvuudenhallintaprosessin ylläpito ja parantaminen) JATKUVUUDENHALLINTA JÄRJESTELMÄN ELINKAAREN AIKANA Käytettävä elinkaarimalli Jatkuvuustehtävät elinkaaren eri vaiheissa Esitutkimus Määrittely Suunnittelu Toteutus Käyttöönotto Käyttö Ylläpito v

6 4.2.8 Version vaihto Käytöstä poisto Testaus ja laadunvarmistus Jatkuvuudenhallinnan roolit ja vastuut elinkaaren aikana Prosessiin liittyvät roolit ja vastuut Tietojärjestelmään liittyvät roolit ja vastuut Vastuut jatkuvuustehtävistä elinkaaren eri vaiheissa ARVIOINTIKRITEERIT PROSESSIMALLIN SOVELTAMINEN MML:N JAKO-JÄRJESTELMÄÄN Jatkuvuussuunnittelun käynnistäminen MML:ssa JAKO-järjestelmän arviointi JAKO:n vaikutus MML:n toimintaan JAKO:on kohdistuvat riskit Ohjeistuksen ja prosessien luonti Organisointi ja päätösvalta poikkeustilanteissa Toiminta häiriötilanteissa Tekniset suojatoimenpiteet Toimenpiteet JAKO:n jatkuvuuden turvaamiseksi Järjestelmä- ja varmistusratkaisun kehittäminen Muut suojatoimenpiteet Muut työvaiheet Jatkuvuussuunnitelman kirjoitus Jatkuvuussuunnitelman ylläpito ARVIOINTI Prosessin arviointi Arviointi SSE-CMM:n perusteella Yhteenveto prosessin arvioinnista Lisätarkastelu arviointiin Toteutuksen kannattavuuden arviointi Jäännösriskit Jatkotyö MML:ssa YHTEENVETO LÄHDEVIITTEET LIITTEET Liite A: JAKO-sovellusperhe ja sen tietovarannot Liite B: SSE-CMM -tietoturvaprosessialueiden peruskäytännöt vi

7 Käsitteet ja lyhenteet BS 7799 British Standard Brittiläinen kaksiosainen tietoturvastandardi. ISO/IEC ks. BS 7799 ISO/IEC ITIL JAKO MML NAS NIST PDCA PTS RAID snapshot SSE-CMM VAHTI WAN ks. SSE-CMM Information Technology Infrastructure Library Maanmittauslaitoksen tuotantoon ja tietopalveluun käyttämä tietojärjestelmä. Maanmittauslaitos Network Attached Storage. Tietoverkkoon liitetty itsenäinen tallennuspalvelin. National Institute of Standards and Technology. USA:n standardointiviranomainen. Plan, Do, Check, Act ( suunnittele, toteuta, tarkista, kehitä ). Mm. prosessien parantamisessa käytetty ongelmanratkaisumalli. Puolustustaloudellinen suunnittelukunta Redundant Array of Independent Disks. Tekniikka, jossa useita kiintolevyjä yhdistetään levyjärjestelmäksi, joka on vikasietoisempi ja/tai suorituskykyisempi kuin yksittäiset kiintolevyt. Tilannevedos kiintolevyn tiedoista joltain tietyltä ajanhetkeltä. Systems Security Engineering Capability Maturity Model Valtionhallinnon tietoturvallisuuden johtoryhmä Wide Area Network vii

8 1 Johdanto 1.1 Atk-palveluiden jatkuvuudenhallinta Ei riitä, että tietojenkäsittelyn varmistaminen aloitetaan vasta häiriön sattuessa. Jatkuvuuden varmistaminen edellyttää ennalta toteutettuja tietoturvallisuuden ja fyysisen turvallisuuden toimenpiteitä sekä perusteellista suunnittelua ja harjoittelua valmiuden luomiseksi häiriötilanteista toipumiseksi. [16] Yritysten ja organisaatioiden toiminta tukeutuu yhä selkeämmin tietotekniikan käyttöön. Riippuvuus tietojärjestelmistä ja tiedonsiirrosta on samalla muodostunut haavoittuvuudeksi, kun ongelmat atk-palveluissa voivat vahingoittaa organisaation toimintaa ja johtaa merkittäviin taloudellisiin tappioihin. Riippuvuus on kuitenkin tiedostettu, ja organisaatiot panostavat enenevissä määrin atk-palveluiden jatkuvuudenhallintaan. Sen tarkoituksena on turvata tietojenkäsittely ja tiedonsiirto siten, että organisaation toiminta voi jatkua myös häiriöiden aikana ja niiden jälkeen. Atk-palveluiden jatkuvuudenhallinta pohjautuu organisaation perustietoturvallisuudelle. Sen tavoitteena on hallita normaalioloihin liittyviä uhkia ja riskejä siten, että toiminnan jatkuvuus ei vaarannu sisäisten tai ulkoisten tapahtumien takia. Toimintaa haittaava tapahtuma voi olla esimerkiksi tietojärjestelmän häiriö, tietoliikennekatkos, inhimillinen virhe, väärinkäytös, tulipalo, vesivahinko tai avainhenkilön menetys. Normaaliolojen jatkuvuussuunnittelu toimii pohjana myös varautumiselle poikkeusoloihin, joita ovat valmiuslain ( /1080) määrittämät vakavat erityistilanteet. Kuitenkin jo normaalioloissa voi syntyä erityistilanteita, joissa atk-palveluiden käytön varmistamiseen on varauduttava joiltakin osin samoin kuin poikkeusoloissa. Puolustustaloudellisen suunnittelukunnan [16] mukaan raja normaali- ja poikkeusolojen varmistamistarpeiden välillä on tietotekniikkariippuvuuden vuoksi jopa häviämässä. Nykyiset järjestelmät edellyttävät jo normaalioloissa varautumista erilaisiin laajavaikutteisiin häiriöihin ja keskeytyksiin. Kuva 1.1 Toiminnan jatkuvuuden varmistaminen. [16] 1

9 Atk-palveluiden jatkuvuudenhallinta on osa laajempaa liiketoiminnan jatkuvuudenhallintaa. Toimintaa ei voi käsitellä irrallaan liiketoimintanäkemyksestä, koska sen tavoitteet juontuvat liiketoiminnan tarpeista: tietojenkäsittely ja tiedonsiirto on turvattava niin, ettei liiketoiminta esty häiriötilanteissakaan. 1.2 Maanmittauslaitos ja JAKO Maanmittauslaitos (MML) on Maa- ja metsätalousministeriön alainen valtion virasto. Laitoksella on pitkät perinteet Suomessa maanmittaus alkoi jo 1630-luvulla. Viime vuosina laitoksen toimintatavat ovat muuttuneet suuresti JAKO-tietojärjestelmän käyttöönoton vuoksi Maanmittauslaitoksen tehtävät Maanmittauslaitoksen tehtävänä on huolehtia Suomen kiinteistötietojärjestelmästä ja yleisistä kartastotöistä sekä edistää paikkatietojen yhteiskäyttöä. Toimintaa ohjaa mm. laki maanmittauslaitoksesta ( /505). Laitoksesta sekä maanmittauksesta saa tietoa MML:n [12] sekä Maa- ja metsätalousministeriön [7] WWW-sivuilta. Kiinteistöjärjestelmässä kuvataan kaikkien Suomen kiinteistöjen perustiedot, kuten pinta-ala ja sijainti. Se on osa yhteiskunnan tietoinfrastruktuuria ja mahdollistaa monipuolisen paikkatietojen käytön. Kiinteistöjärjestelmä muodostuu kolmesta elementistä: - Kiinteistörekisterikartta (eli lyhyemmin kartta) ilmaisee kiinteistöjen rajojen ja tilusten sijainnin. - Katasteri eli kiinteistörekisteri on luettelo, johon merkitään kaikki kiinteistöt ja niissä tapahtuvat muutokset. - Kiinteistökirja sisältää kiinteistöihin kohdistuvien oikeuksien luettelon. Kiinteistökirjan pidosta vastaa Oikeusministeriön hallinnonala. Kiinteistörekisteri lukeutuu yhteiskunnan perusrekistereihin. Muista perusrekistereistä sekä väestötietojärjestelmä että lainhuuto- ja kiinnitysrekisteri perustuvat siihen osittain. Kiinteistörekisterin tärkeys korostuu siinä, että se toimii edellytyksenä rahoitusmarkkinoiden vaatimalle vakuusjärjestelmälle. Rekisterin pidosta ohjeistetaan kiinteistörekisterilaissa ( /392) ja sen sisältämät tiedot ovat julkisia. Kiinteistöjärjestelmää ylläpidetään maanmittaustoimituksissa syntyvillä tiedoilla. Toimituksia ovat mm. lohkominen, halkominen ja rajankäynti. Toimitusten suorittaminen on Maanmittauslaitoksen mittavin tehtävä. Maanmittauslaitoksen huolehtimiin kartastotöihin lukeutuvat kiintopiste- ja perusmaastotietojen kerääminen ja ylläpito sekä erimittakaavaisten karttojen tuottaminen. Toiminnassa keskeinen käsite on maastotietojärjestelmä, joka sisältää valtakunnalliset maastotiedot sekä työkalut tietojen hallintaan ja maastotietotuotteiden tuotantoon. Maastotiedot ovat erilaisia paikkatietoja, jotka kuvaavat esimerkiksi maa- ja vesialueita tai korkeus- ja syvyyssuhteita. Tiedot kerätään maastomittauksen, ilmakuvakartoituksen ja satelliittikuvatulkinnan avulla. 2

10 1.2.2 JAKO-tietojärjestelmä JAKO on Maanmittauslaitoksen keskeisin tietojärjestelmä. Sitä käytetään kiinteistörekisterin, kiinteistörekisterikartan ja maastotietokannan ylläpitämiseen, maanmittaustoimitusten tekemiseen ja tietopalveluun. JAKO:n toimintaa ja käyttöä esitellään tämän WWW-sivuilla [8]. Erilaisten käyttökohteidensa vuoksi järjestelmä sisältää useita sovelluksia; näitä on kuvattu liitteessä A. JAKO on tärkeä MML:n tuotantotoiminnalle, koska se mahdollistaa työprosessin, jossa yksi ainoa henkilö tekee kiinteistötoimituksen työvaiheet aina toimituksen vireilletulosta rekisteröintiin. Järjestelmän käyttöastetta kuvaa se, että MML suorittaa vuosittain n kiinteistötoimitusta, joissa muutetaan n kiinteistöyksikön tietoja. [26] Järjestelmä on olennainen myös siksi, että MML:n ylläpitämät Suomen kiinteistö- ja maastotiedot on tallennettu juuri JAKO:n tietokantoihin. Järjestelmän suunnittelu alkoi vuonna 1990 esitutkimuksella. Vuonna 1994 järjestelmän kehitysalustaksi valittiin Smallworld GIS -paikkatieto-ohjelmisto. Ensimmäiset sovellukset otettiin tuotantokäyttöön Maanmittauslaitos kehittää järjestelmää edelleen. 1.3 Tutkimusongelma JAKO on kriittinen järjestelmä, jota käytetään lähes kaikessa Maanmittauslaitoksen tuotanto- ja tietopalvelutoiminnassa. Tästä huolimatta järjestelmälle ei ole jatkuvuussuunnitelmaa, eikä laitoksessa ole yleistä jatkuvuudenhallinnan prosessia. Näille on kuitenkin selkeä tarve: JAKO:ssa on usein eri syistä johtuvia lyhyitä käyttökatkoja, ja etenkin pidempiaikaisten häiriöiden kustannukset nousevat merkittäviksi. Jatkuvuudenhallintaan on kehitetty useita erilaisia malleja ja menetelmiä, mutta nämä eivät ole suoraan sovellettavissa JAKO:n tapauksessa. Käyttökelpoisen mallin tulisi tukea prosessinäkökulmaa ja ottaa huomioon laitoksen olemassa oleva toimintaympäristö ja johtamisjärjestelmä. Malli ei saisi olla raskas lukuisten työvaiheiden vuoksi, muttei myöskään liian ylimalkainen ja pintapuolinen. Mallien sovellettavuutta tarkasteltaessa on lisäksi muistettava, että kohteena on yksi tietojärjestelmä eikä koko organisaation liiketoiminnan jatkuvuudenhallinta. 1.4 Tutkimuskysymykset ja tavoite Diplomityön tavoitteena on tukea JAKO-järjestelmän jatkuvuudenhallinnan käynnistämistä. Tästä voidaan muotoilla seuraavat kysymykset: 1. Millainen on MML:n ympäristöön soveltuva atk-palveluiden jatkuvuudenhallintaprosessi? 2. Mikä on mallin suhde tietojärjestelmän elinkaareen? 3. Miten mallia voidaan soveltaa JAKO-järjestelmään? Tarkoituksenani on perehtyä olemassa oleviin jatkuvuudenhallintamalleihin ja luoda näiden pohjalta MML:een sopiva malli hallitusti toteutettavasta atk-palveluiden jatkuvuudenhallintaprosessista. Koska työn taustalla on yksittäinen tietojärjestelmä, tarkastelen mallin yhteyttä järjestelmän elinkaareen. Tämän jälkeen esitän, miten mallia sovelletaan JAKO-järjestelmän tapauksessa. 3

11 1.5 Työn arviointi Käsiteltyäni tutkimuskysymyksiä arvioin JAKO:n jatkuvuudenhallinnan käynnistämistä seuraavien asioiden kannalta. Näistä prosessin laatu on tärkein arviointiperuste; muu tarkastelu tarjoaa lisätietoa jatkuvuudenhallinnan soveltamisesta MML:ssa. - Prosessin laatu Jatkuvuudenhallinnan prosessin tulee sisältää olennaiset tietoturvallisuustoiminnot. - Prosessin kannattavuus Prosessin toteuttamisen tulee olla MML:lle kannattavaa. - Prosessin toteuttaminen Toteuttamisesta voidaan käsitellä jäännösriskejä ja jatkotyötä. Käsittelen arviointikriteereitä tarkemmin omassa luvussaan. 1.6 Rajaukset Diplomityön aiheena on atk-palveluiden jatkuvuudenhallinta eikä liiketoiminnan jatkuvuudenhallinta yleisesti. Rajauksesta johtuen termit "jatkuvuudenhallinta" ja "jatkuvuussuunnittelu" viittaavat atk-palveluihin. Sanoja käytetään lisäksi toisiaan korvaavasti. Työ rajoittuu normaaliolojen jatkuvuussuunnittelun käsittelyyn, eli poikkeusolot jäävät tarkastelun ulkopuolelle. Olen hyödyntänyt jatkuvuudenhallintamallin kehittämisessä ja arvioinnissa ohjeita ja standardeja, joista osaa ei ole suomennettu. Tämän takia osa kuvista on esitetty alkuperäiskielellään englanniksi. 4

12 2 Ohjeita ja menetelmiä jatkuvuudenhallintaan Jatkuvuussuunnitteluun on kehitetty useita projekti- ja prosessimalleja, ja myös jotkin standardit sivuavat aihetta. Mallien taso on kuitenkin kirjava, ja jo WWW:stä löytyy lukuisia, muutamasta työvaiheesta koostuvia ohjeita. Tässä luvussa kuvaan neljä jatkuvuudenhallinnan prosessi- tai projektimallia: ITIL:n, NIST:n, Jon Toigon ja Helvi Salmisen. Tämän lisäksi esittelen BS tietoturvastandardin ohjeistuksen liiketoiminnan jatkuvuudenhallinnasta, Teemupekka Virtasen esittämän tietojärjestelmien luokittelumenetelmän, suomalaisen valtionhallinnon tietoturvallisuuden johtoryhmän VAHTI:n sekä työn arvioinnissa käytettävän SSE-CMM -kypsyysmallin. 2.1 ITIL ITIL (Information Technology Infrastructure Library) [15] on kokoelma parhaita käytäntöjä atk-palveluiden hallintaprosessien optimoimiseksi. Toimintatavat on koonnut Britannian Office of Government Commerce. Ohjeistamisen motiivina toimi havainto siitä, että organisaatiot ovat yhä riippuvaisempia tietojärjestelmistään, mikä puolestaan nostaa näille asetettavia laatuvaatimuksia. Ohjeistus oli alun perin tarkoitettu Britannian keskushallinnolle, mutta nykyisin sitä käytetään useissa erikokoisissa organisaatioissa niin julkisella kuin yksityiselläkin sektorilla. ITIL-mallin jatkuvuudenhallintaosan tavoitteena on esittää prosessimalli (kuva 2.1), jonka avulla organisaatio pystyy myös häiriötilanteissa tuottamaan sovituntasoisia tietotekniikkapalveluita määrätyn aikarajan sisällä. ITIL painottaa sitä, että atkpalveluiden jatkuvuudenhallinnan on pohjauduttava liiketoiminnan tarpeisiin, joten se lähestyy aihetta liiketoiminnan jatkuvuuden kannalta. Mallin ensimmäisessä vaiheessa käynnistetään koko organisaation kattava jatkuvuudenhallintaprosessi. Tämä pohjautuu kriittisten liiketoimintaprosessien tunnistamiseen ja niiden resurssitarpeiden analysointiin. Toisessa vaiheessa arvioidaan liiketoimintaa uhkaavia tekijöitä ja tunnistetaan riskit. Näiden pohjalta muodostetaan jatkuvuusstrategia. Kolmannessa vaiheessa jatkuvuusratkaisut implementoidaan. Työvaiheessa myös kirjoitetaan toipumissuunnitelmat ja testataan ratkaisut. Neljäs vaihe kattaa operatiivisen hallinnoinnin, kun implementaatio on otettu käyttöön. ITIL suosittaa jatkuvuudenhallintaan hierarkkista organisointia, joka on integroitava osaksi olemassa olevaa johtorakennetta. Se esittää suurille organisaatioille olevan tyypillistä, että liiketoiminnan jatkuvuudenhallinnan johto ohjaa atk-palveluiden jatkuvuudenhallinnan johtoa, jonka alla toimii puolestaan useita jatkuvuustiimejä. ITIL myös painottaa ylimmän johdon sitoutumisen tärkeyttä: Jatkuvuudenhallintaa on tuettava organisaation johtoryhmästä lähtien. 5

13 Kuva 2.1 ITIL:n liiketoiminnan jatkuvuuden prosessimalli. [15] 2.2 NIST NIST (National Institute of Standards and Technology) on mm. standardeja ja teknologiaa kehittävä yhdysvaltalainen virasto. Sen tietoturvaosasto on tehnyt oman jatkuvuudenhallintaa käsittelevän julkaisunsa Contingency Planning Guide for Information Technology (IT) Systems [23]. Julkaisu kuvaa seitsenvaiheisen jatkuvuudenhallintaprosessin, joka on esitetty kuvassa

14 Kuva 2.2 NIST:n jatkuvuudenhallintaprosessi. Prosessin työvaiheet ovat seuraavat: 1. Jatkuvuudenhallintaprosessi alkaa sen tavoitteiden, puitteiden ja vastuiden määrittelyllä. Työvaiheessa määritetään myös prosessin resurssivaatimukset ja aikataulut. Johdon tulee hyväksyä suunnitelmat. 2. Erityistilanteiden vaikutus yrityksen liiketoimintaan analysoidaan. Näin saadaan määriteltyä toipumisvaatimukset ja -prioriteetit. 3. Valitaan ja toteutetaan turvamekanismit, jotka pienentävät tai poistavat edellisessä työvaiheessa havaittuja vaikutuksia ennaltaehkäisevästi. 4. Kehitetään toimintastrategiat ja varaudutaan toipumistilanteiden varalle. Ratkaisut integroidaan järjestelmäarkkitehtuuriin. 5. Kirjoitetaan varsinainen jatkuvuussuunnitelma. Tämä sisältää kuvauksen rooleista, vastuista, tiimeistä ja proseduureista toipumistilanteissa. 6. Testaan suunnitelma ja koulutetaan toimintaan osallistuva henkilöstö. 7. Ylläpidetään suunnitelmaa organisaation muutoksenhallintaprosessin mukaisesti. Vastuu prosessista keskitetään jatkuvuussuunnittelukoordinaattorille. Tämä kehittää jatkuvuusstrategian yhteistyössä niiden toimintojen johtajien kanssa, joiden työhön suojattava prosessi tai järjestelmä liittyy. Koordinaattori myös ylläpitää suunnitelmaa ja vastaa sen sisältämien ohjeiden seuraamisesta häiriötilanteissa. Julkaisu keskittyy etenkin toipumissuunnitelman luontiin ja varajärjestelmäratkaisuihin. Se käsittelee erikseen myös erityyppisille järjestelmille soveltuvia teknisiä jatkuvuusratkaisuja. Käsiteltäviä aiheita ovat työasemat ja kannettavat tietokoneet, palvelimet, verkkosivuja ylläpitävät järjestelmät, lähiverkot, WAN-verkot, hajautetut järjestelmät sekä keskustietokonejärjestelmät. 2.3 Jon Toigon projektimalli Jon Toigo esittää kirjassaan Disaster Recovery Planning: preparing for the unthinkable [25] projektiorientoituneen lähestymistavan toipumissuunnitteluun. Projektin vaiheet on esitetty kuvassa 2.3. Toigo painottaa käsittelevänsä toipumissuunnittelua siten, että sen tavoitteet ovat yhteneväiset jatkuvuussuunnittelun kanssa. 7

15 Kuva 2.3 Jon Toigon malli toipumissuunnitteluprojektille. [25] Toipumissuunnitteluprojekti etenee seuraavasti: 1. Projektin ensimmäinen vaihe on riskianalyysi, jossa tunnistetaan uhkat ja haavoittuvuudet. Työvaiheessa myös arvioidaan erityistilanteiden vaikutus liiketoimintaan ja sovelluksiin. Näin saadaan tunnistettua kriittiset liiketoimintaprosessit ja näitä tukeva infrastruktuuri sekä määritettyä toipumisen prioriteetit, tavoitteet ja vaatimukset. 2. Analyysien perusteella muodostetaan toipumisstrategiat. 3. Strategiasuunnitelmat katselmoidaan ja hyväksymisen jälkeen niistä muodostetaan tarkemmat toteutussuunnitelmat. Näille tehdään budjetti, joka liiketoimintajohdon tulee hyväksyä. 4. Toteutusvaiheessa hankitaan tarvittavat tuotteet ja palvelut sekä kehitetään ja dokumentoidaan toipumisproseduurit. 5. Suunnitelmat testataan ja toimintaan osallistuva henkilöstö koulutetaan. 6. Viimeisenä vaiheena suunnitelmat otetaan käyttöön, minkä jälkeen niitä tulee ylläpitää. Ylläpito vaatii suunnitelmien integroimista yrityksen muutoksenhallintajärjestelmään. Toipumissuunnitelman ylläpito tulee Toigon mukaan keskittää toipumissuunnittelukoordinaattorille. Koordinaattorin työssä vaaditaan laajapohjaista tietämystä, suunnittelu- ja kommunikointikykyjä sekä projektinjohtotaitoja. Keskisuurissa ja suurissa yrityksissä toimi on kokopäiväinen. Toigo keskittyy etenkin laitteistojen ja toimitilojen fyysiseen suojaamiseen, tietojen varmistamiseen sekä tietojärjestelmien, käyttäjäympäristöjen ja tietoverkkojen toipumisstrategioiden kehittämiseen. Hän antaa runsaasti käytännönläheisiä kannanottoja strategioiden muodostamiseen. Kirjassa paneudutaan myös onnettomuustilanteiden toimintaproseduureihin, ja kirja sisältää useita esimerkkejä pääasiassa Yhdysvalloissa tapahtuneista onnettomuuksista, näiden seurauksista ja toipumistoimenpiteistä. Toigo tuo esille myös tiedonhankinnan ja oppimisen tärkeyden toipumissuunnittelijoille, ja on varannut aiheelle oman lukunsa. Tässä hän käsittelee tiedonhankintaa kirjallisuuden, haastatteluiden sekä erilaisten toipumissuunnittelijoiden ammatillisten ja muiden yhdistysten avulla, ja kehottaa tutustumaan mm. puhelinyritysten varmistuskäytäntöihin sekä paikallisten toipumissuunnitteluviranomaisten toimintaan. Tutustumisen tarkoituksena on auttaa paitsi ymmärtämään onnettomuuksien vaikutuk- 8

16 sia myös huomaamaan ulkoisia tekijöitä, jotka voivat vaikuttaa organisaation oman toipumissuunnitelman toteuttamiseen. 2.4 Helvi Salmisen liiketoiminnan jatkuvuussuunnittelumenetelmä Helvi Salmisen liiketoiminnan jatkuvuussuunnittelumenetelmä [19] pohjautuu aiemmin tehtyjen jatkuvuussuunnittelumallien vertailuun ja niiden hyvien puolien ja puutteiden tutkimiseen. Vertailussaan Salminen päätyi siihen, että olemassa olevat menetelmät rajoittuvat liiaksi tietojärjestelmien toiminnan varmistamiseen ja ovat näin lähinnä toipumissuunnittelumenetelmiä. Omassa mallissaan hän pyrki ottamaan selkeämmin huomioon liiketoiminnan tarpeet, ja sanoi tavoitteekseen tukea jatkuvuussuunnittelun liittämistä osaksi yrityksen toiminnan suunnittelua ja päätöksentekoa. Malli on esitetty kuvassa 2.4. Kuva 2.4 Salmisen jatkuvuussuunnittelumenetelmä. [19] Julkaisu sisältää sanallisen kuvauksen kustakin työvaiheesta sekä näihin liittyviä työlomakkeita. Yrityksen johdon rooli on tuotu esille, ja johdolle raportointi nostettu 9

17 omaksi työvaiheekseen. Salmisen sanoo lisäksi kiinnittäneensä huomiota etenkin jatkuvuussuunnitelmien ylläpidon ohjeistamiseen. Salmisen tavoitteena on ollut, että menetelmä soveltuu käytettäväksi erilaisissa toimintaympäristöissä ja organisaatioissa. Työvaiheiden kuvauksissa mainitaan erikokoisten yritysten tarpeiden eroavaisuuksia, ja julkaisu sisältää luvun menetelmän yrityskohtaisesta soveltamisesta. Toiminnan organisoimiseksi Salminen ehdottaa seuraavaa mallia: - Yrityksen johto määrittää jatkuvuussuunnittelun tavoitteet ja laajuuden ja tekee merkittävät jatkuvuussuunnittelua koskevat päätökset. - Jatkuvuussuunnitteluvastaava huolehtii siitä, että eri liiketoimintojen jatkuvuussuunnitelmat tehdään, tukee ja kehittää jatkuvuussuunnittelun toimintatapoja sekä vastaa mm. testauksen ja koulutuksen järjestämisestä. - Jatkuvuussuunnitteluryhmä vastaa jatkuvuussuunnitelmien käytännön toteutuksesta. - Jatkuvuussuunnittelun ohjausryhmä ohjaa ja valvoo jatkuvuussuunnittelutoimintoa. - Erityistilanneorganisaatio vastaa vakavien häiriötilanteiden hallinnasta. Pienissä organisaatioissa tai jatkuvuussuunnittelun kohdistuessa rajoitettuun kohteeseen tarvitaan kevyttä organisointia. Salminen toteaa, että tarvittaessa johdon ja ohjausryhmän tehtävät voidaan yhdistää, erillinen jatkuvuussuunnitteluryhmä ei ole välttämätön ja johto voi vastata erityistilanteiden hallinnasta apunaan tarvittavia asiantuntijoita. 2.5 BS 7799 BS 7799 on kansainvälisesti tunnettu brittiläinen tietoturvastandardi. Se koostuu kahdesta osasta: - Osa 1: Tietoturvallisuuden hallintaa koskeva menettelyohje. [20] - Osa 2: Tietoturvallisuuden hallintajärjestelmät. Vaatimukset ja soveltamisohjeet. [21] Standardin pohjalta on kehitetty myös ISO-standardi ISO/IEC Standardin ensimmäisen osan tarkoituksena on esitellä monipuolinen tietoturvallisuuden hallintajärjestelmä, joka kattaa parhaimmat tietoturvallisuuteen liittyvät käytännöt. Se on tarkoitettu palvelemaan yksittäisenä viiteasiakirjana tunnistettaessa eri tilanteisiin sopivia turvamekanismeja, ja sen tulisi soveltua kaikenkokoisille organisaatioille. Standardi on muodoltaan opastava ja ohjeellinen. Ensimmäinen osa käsittelee yhtenä tietoturvallisuuden osa-alueena myös liiketoiminnan jatkuvuudenhallintaa. Se esittää viisi jatkuvuudenhallintaa tukevaa turvamekanismia: 1. Liiketoiminnan jatkuvuuden hallintaprosessi. Liiketoiminnan jatkuvuuden kehittämiseksi ja ylläpitämiseksi on luotava koko organisaation kattava prosessi. 2. Liiketoiminnan jatkuvuus- ja vaikutusanalyysi. Jatkuvuussuunnittelu on aloitettava tunnistamalla liiketoimintaa uhkaavat riskit ja arvioimalla niiden vaikutukset. Näiden pohjalta on luotava jatkuvuuden strategiasuunnitelma, jolle on saatava johdon hyväksyntä. 3. Jatkuvuussuunnitelmien laatiminen ja toteuttaminen. Liiketoiminnan ylläpitoon ja palauttamiseen häiriöiden jälkeen on kehitettävä suunnitelmat. 10

18 4. Liiketoiminnan jatkuvuussuunnittelun puitteet. Suunnitelmat tulee pitää yhtenäisissä puitteissa koskien mm. suunnitelmien käynnistysehtoja, hätätilanteita ja palautumista koskevia menettelyohjeita, ylläpitoa, koulutusta ja vastuuhenkilöitä. Kullakin suunnitelmalla tulee lisäksi olla vastuullinen omistaja. 5. Liiketoiminnan jatkuvuussuunnitelmien testaus, ylläpito ja uudelleenarviointi. Suunnitelmat on testattava ja katselmoitava säännöllisesti. Standardin toinen osa esittää yleisen prosessipohjaisen mallin tietoturvallisuuden hallintajärjestelmän luomiseksi. Tätä käsitellään tarkemmin esitettäessä tämän työn jatkuvuudenhallinnan prosessimalli. 2.6 Teemupekka Virtasen tietojärjestelmien luokittelumenetelmä Teemupekka Virtanen esittelee julkaisussaan Design Criteria to Classified Information Systems Numerically [34] tietojärjestelmien luokitteluun tavan, joka mahdollistaa järjestelmän uudelleenarvioinnin automaattisesti, kun jokin sen komponenteista muuttuu. Menetelmässä johto asettaa tavoitteet järjestelmän saatavuudelle, eheydelle tai luotettavuudelle. Alempi taso tarkistaa tavoitteiden toteutumisen eri komponenteissa ja tarvittaessa parantaa näiden toimintaa itsenäisesti siten, että ylemmän tason ei tarvitse tietää ratkaisumenetelmää. Ensimmäisessä vaiheessa (kuva 2.5) liiketoiminnan johto asettaa numeeriset tavoitteet tärkeille toiminnoille. Tavoitteena voi olla esim. sen todennäköisyys, että haluttu palvelu tuotetaan sovitussa ajassa. Tämän jälkeen tunnistetaan toimintojen onnistumisen vaatimat osatoiminnot, ja asetetaan näille tavoitteet: Välttämättömien osatoimintojen tavoitearvo on sama kuin päätoiminnon ja vaihtoehtoisten pienempi. Tunnistetut toiminnot jaetaan aina pienempiin kokonaisuuksiin, joille asetetaan tavoitearvot, kunnes päästään lopputason toimintakomponentteihin, joilla tavoitteiden toteutuminen on mitattavissa. Toiminnot kuvataan lohkokaaviona. 90 Get requirement from the upper level The mail service has to work Assign the requirements for the subprocesses 90 The Internetconnection has to work 90 The Intranetconnection has to work Mail server A has to work Mail server B has to work 90 The workstation has to work Send the requirements to the lower level Kuva 2.5 Tietojärjestelmien luokitteluprosessi. [34] Toisessa vaiheessa (kuva 2.6) määritetään, miten alimman tason komponenttien tavoitteet toteutuvat. Tulosten avulla lasketaan ylemmän tason toteutuma. Näin jatketaan, kunnes alkuperäisen tavoitteen toteutumiselle on saatu numeerinen tulos. Jos yhden komponentin tiedot muuttuvat, voidaan uusi toteutuma laskea automatisoidusti. 11

19 Kuva 2.6 Tietojärjestelmien saatavuuden arviointi. [34] Jos saadut tulokset eivät vastaa asetettuja tavoitteita, tilanteeseen voidaan reagoida kahdella tavalla: Olemassa olevien, alemman tason komponenttien toimintaa voidaan parantaa, tai ongelmakohtiin voidaan kehittää uusia vaihtoehtoisia toimintatapoja, jotka ilmenevät lohkokaavioissa rinnakkaisina aliprosesseina. 2.7 VAHTI Valtiovarainministeriön (VM) tehtävänä on ohjata valtionhallinnon tietoturvallisuutta ja sen kehittämistä. Tarvittavasta ohjeistuksesta vastaa VM:n asettama valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI), jonka on tarkoitus edustaa laajapohjaista tietoturvallisuuden asiantuntemusta. [27] VAHTI käsittelee ohjeistuksessaan tietoturvallisuutta kahdeksanosaisen jaon mukaisesti. Siinä tietoturvallisuuden osa-alueiksi katsotaan hallinnollinen tietoturvallisuus, henkilöstöturvallisuus, fyysinen turvallisuus, tietoliikenneturvallisuus, laitteistoturvallisuus, ohjelmistoturvallisuus, tietoaineistoturvallisuus ja käyttöturvallisuus. Ryhmän laatima ohjeistus sisältää mm. valtion viranomaisen tietoturvallisuustyön yleisohjeen. Suurin osa ohjeista käsittelee kuitenkin spesifisempiä aiheita, ja niillä pyritään vastaamaan tietoturvallisuuden haasteisiin ajankohtaisissa kehityskohteissa kuten tietohallintotoimien ulkoistamisessa ja etätyöskentelyssä. [27] VAHTI-ryhmällä ei ole erillistä jatkuvuudenhallintaohjetta, mutta aihetta sivutaan useissa eri julkaisuissa: Valtion tietohallintotoimintojen ulkoistamisen tietoturvallisuussuositus (VAHTI 2/1999) käsittelee toiminnan jatkuvuuden varmistamista ulkoistettaessa, Valtionhallinnon lähiverkkojen tietoturvallisuussuositus (VAHTI 2/2001) kehottaa ottamaan jatkuvuussuunnittelussa huomioon lähiverkkojen erityispiirteet, ja toiminnan jatkuvuus on yksi kriteeri Valtion tietotekniikkahankintojen tietoturvallisuuden tarkistuslistalla (VAHTI 6/2001). Kattavimmin VAHTI puuttuu jatkuvuudenhallintaan ohjeessaan Valtionhallinnon tietojärjestelmäkehityksen tietoturvallisuussuositus (VAHTI 3/2000). Suositus auttaa organisaatioita ottamaan tietoturvallisuusvaatimukset huomioon koko järjestelmän elinkaaren ajan. Käytännössä suositus jakaa järjestelmän elinkaaren kymmeneen eri vaiheeseen, ja esittelee kuhunkin vaiheeseen kuuluvat tietoturvallisuustehtävät, näissä syntyvät tuotokset sekä näihin liittyvät vastuut. Ohjeessa käsitellään jatkuvuudenhallintaa vain niiltä osin, jotka liittyvät suoraan tietojärjestelmän kehitysprojektiin. Työvaiheita käsitellään lisäksi erittäin lyhyesti: Jatkuvuussuunnittelu ja jatkuvuussuunnitelmien laatiminen mainitaan yksittäisinä tehtävinä ilman, että niiden tarkempaan merkitykseen tai sisältöön paneudutaan. Ohjeistus ei myöskään käsittele sitä, kuinka mainitut tehtävät suoritetaan. Vastuut jatku- 12

20 vuudenhallintatöistä on jaettu järjestelmän kehityksestä ja tietoturvasta vastaavalle henkilöstölle. 2.8 SSE-CMM Systems Security Engineering Capability Maturity Model (SSE-CMM) on erityisesti tietoturvallisuutta varten kehitetty kypsyysmalli, joka tunnetaan myös standardina ISO/IEC Standardi on vapaasti saatavilla WWW-sivuiltaan [22]. Mallin kuvauksessa käytetyt suomennokset ovat peräisin Ville Taposen diplomityöstä [24]. SSE-CMM on kypsyysmalli, jolla arvioidaan organisaation kykyä toteuttaa tietoturvaprosesseja. Prosesseille määritellään niiden suorittamistavan perusteella tietty kypsyystaso. Prosessien kehitystyössä malli auttaa hahmottamaan, mitä toimintoja prosessissa tulisi kehittää, jotta haluttu kypsyystaso saavutettaisiin. Kypsyystasojen olennainen sisältö on seuraava: - Taso 1: Epämuodollinen suoritus Tasolle 1 pääsy vaatii, että organisaatiossa tai projektissa suoritetaan vaaditut toiminnot. Suorittamisen laatua ei vielä käsitellä. - Taso 2: Suunniteltu ja seurattu Taso 2 sisältää vaatimuksia projektin määrittelyä, suunnittelua ja suorituskykyä koskien. Toimintaa käsitellään projekti-, ei prosessitasolla. - Taso 3: Hyvin määritelty Tasolla 3 prosessin tulee olla määritelty organisaation laajuisesti ja prosessia muokataan hallitusti. - Taso 4: Kvantitatiivisesti hallittu Tasolla 4 toiminnan mittarit sidotaan liiketoiminnan tavoitteisiin ja mittauksien tuloksia käytetään organisaation laajuisesti. - Taso 5: Jatkuvasti kehittyvä Tasolla 5 hyödynnetään kaikkia alemmilla tasoilla tehtyjä parannuksia. Lisäksi organisaation kulttuuria muokataan siten, että saavutetut hyödyt säilytetään. SSE-CMM -arkkitehtuurissa turvallisuusprosessin perustoimenpiteet erotetaan niiden hallinnasta ja soveltamisesta organisaatiossa. Mallissa on kaksi ulottuvuutta, toimialue ja kyky. Toimialueulottuvuus koostuu toiminnoista peruskäytännöistä jotka turvallisuustoiminnassa on suoritettava. Kykyulottuvuus sisältää prosessin hallintaan, mittaamiseen ja soveltamiseen liittyviä toimenpiteitä yleiskäytäntöjä. Prosessin kypsyyttä määriteltäessä tutkitaan, mitkä yleiskäytännöistä kunkin peruskäytännön kohdalla toteutuvat. Arviointia on havainnollistettu kuvassa 2.7. Siinä tutkitaan, määrittääkö organisaatio resursseja haavoittuvuuksien identifioimiseen. Peruskäytännöt on jaettu 22 prosessialueeseen. Ensimmäiset 11 prosessialuetta kattavat turvallisuustoiminnan päätehtävät. Loput 11 prosessialuetta käsittelevät toteutusprojektiin ja organisaatioon liittyviä toimintoja, jotka tukevat varsinaisia turvallisuusprosesseja. Yleiskäytännöt on järjestetty kykyulottuvuudessa sen mukaan, mitä kypsyystasoa ne indikoivat. Kypsyystasot on vielä jaettu tarkempiin loogisiin 13

Tietoturvapolitiikka

Tietoturvapolitiikka Valtiokonttori Ohje 1 (6) Tietoturvapolitiikka Valtion IT -palvelukeskus Valtiokonttori Ohje 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa...

Lisätiedot

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy. Tietoturvallisuuden kokonaisvaltainen hallinta 3.12.2015 Heikki O. Penttinen Castilsec Oy Tietoturvallisuuden päätavoitteet organisaatioissa Tietoturvallisuuden oikean tason varmistaminen kokonaisvaltaisesti

Lisätiedot

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi Järjestelyihin liittyviä asioita Tilatkaa

Lisätiedot

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 1 (6) 25.11.2015 Lappeenrannan kaupungin tietoturvapolitiikka 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0

Lisätiedot

KANNATTAVUUDEN ARVIOINTI JA KEHITTÄMINEN ELEMENTTILIIKETOIMINNASSA

KANNATTAVUUDEN ARVIOINTI JA KEHITTÄMINEN ELEMENTTILIIKETOIMINNASSA LAPPEENRANNAN TEKNILLINEN YLIOPISTO TEKNISTALOUDELLINEN TIEDEKUNTA Tuotantotalouden koulutusohjelma KANNATTAVUUDEN ARVIOINTI JA KEHITTÄMINEN ELEMENTTILIIKETOIMINNASSA Diplomityöaihe on hyväksytty Tuotantotalouden

Lisätiedot

Projektin tavoitteet

Projektin tavoitteet VBE II, vaihe 1: 2005-2006 Data yrityksistä ja rakennushankkeista TUT Tekniset ratkaisut RAK (VRLab)+ARK iroom validointi Työpajat Seminaarit Esitelmät Osallistuvat yritykset VTT Käyttöönotto- ja hyötymallit,

Lisätiedot

ISO Standardisarja Eräitä ulottuvuuksia Kari Komonen

ISO Standardisarja Eräitä ulottuvuuksia Kari Komonen ISO 55000 Standardisarja Eräitä ulottuvuuksia 6.11.2014 Kari Komonen Eräitä käsitteitä omaisuus, omaisuuserä kohteet, asiat tai kokonaisuudet, joilla on tai voi olla arvoa organisaatiolle omaisuudenhallinta

Lisätiedot

Vastausten ja tulosten luotettavuus. 241 vastausta noin 10 %:n vastausprosentti tyypillinen

Vastausten ja tulosten luotettavuus. 241 vastausta noin 10 %:n vastausprosentti tyypillinen Vastausten ja tulosten luotettavuus Vastaukset 241 vastausta noin 10 %:n vastausprosentti tyypillinen Kansainväliset IT:n hallinnan hyvät käytännöt. Luotettavuusnäkökohdat Kokemukset ja soveltamisesimerkit

Lisätiedot

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi Häiriötilanteisiin varautuminen korkeakoulukentässä Kari Wirman IT2012 - Valtakunnalliset IT-päivät 31.10.2012 Rovaniemi Jatkuvuudenhallinta Jatkuvuudenhallinnalla tarkoitetaan kaikkia niitä toimenpiteitä,

Lisätiedot

Järjestelmätoimitusprosessin tietoturva Mikko Jylhä

Järjestelmätoimitusprosessin tietoturva Mikko Jylhä Järjestelmätoimitusprosessin tietoturva 30.9.2009 Mikko Jylhä mikko.jylha@deloitte.fi Esityksen rakenne Puhujan esittäytyminen 3 min A) Toimitussisällöstä sopiminen tietoturvanäkökulmasta 15 min B) Toimitusprosessiin

Lisätiedot

Valmiuspäällikkö Sakari Ahvenainen. Valmiusohje ja ajankohtaista varautumisesta. Helsingin TIVA ja joukkoviestintäpooli (JVP)

Valmiuspäällikkö Sakari Ahvenainen. Valmiusohje ja ajankohtaista varautumisesta. Helsingin TIVA ja joukkoviestintäpooli (JVP) Valmiuspäällikkö Sakari Ahvenainen Helsingin TIVA ja joukkoviestintäpooli (JVP) Valmiusohje ja ajankohtaista varautumisesta Lapin TIVA:n alueseminaari 24.9.2009 Rovaniemi JVP:n ohje valmius-suunnitelman

Lisätiedot

Uusi toimintamalli henkilöturvallisuuden parantamiseen räjähdysvaarallisissa työympäristöissä. Tuija Luoma, VTT

Uusi toimintamalli henkilöturvallisuuden parantamiseen räjähdysvaarallisissa työympäristöissä. Tuija Luoma, VTT Uusi toimintamalli henkilöturvallisuuden parantamiseen räjähdysvaarallisissa työympäristöissä Tuija Luoma, VTT RÄJÄHDYSVAARALLISEN TYÖYMPÄRISTÖN HENKILÖTURVALLISUUTEEN VAIKUTTAVAT TEKIJÄT Tekijät määritetty

Lisätiedot

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan. Ammattitaidon osoittamistavat

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan. Ammattitaidon osoittamistavat 1(6) TYÖSSÄOPPIMINEN JA AMMATTIOSAAMISEN NÄYTTÖ Tutkinnon osa: Palvelinohjelmistojen ja virtualisointi 15 osp Työssäoppimisen keskeinen sisältö: työtehtävien suunnittelu ja valmistelu oman työn ja työn

Lisätiedot

SISÄLTÖ. 1 RISKIENHALLINTA... 3 1.1 Yleistä... 3 1.2 Riskienhallinta... 3 1.3 Riskienhallinnan tehtävät ja vastuut... 4 1.4 Riskienarviointi...

SISÄLTÖ. 1 RISKIENHALLINTA... 3 1.1 Yleistä... 3 1.2 Riskienhallinta... 3 1.3 Riskienhallinnan tehtävät ja vastuut... 4 1.4 Riskienarviointi... RHK Ohje riskienhallinnasta 2 SISÄLTÖ 1 RISKIENHALLINTA... 3 1.1 Yleistä... 3 1.2 Riskienhallinta... 3 1.3 Riskienhallinnan tehtävät ja vastuut... 4 1.4 Riskienarviointi... 5 RH Ohje riskienhallinnasta

Lisätiedot

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016

Lisätiedot

Aloite Onko asioiden esittämistapa riittävän selkeä ja kieleltään ymmärrettävä?

Aloite Onko asioiden esittämistapa riittävän selkeä ja kieleltään ymmärrettävä? Aloite 08.02.2017 1 (3) VVC VM036:00/2015 Lausunto luonnoksesta valtion riskienhallintopolitiikkamalliksi Yleistä Onko aineistokokonaisuus, jossa on riskienhallinnan järjestämistä koskevia ohjeita,

Lisätiedot

Tietoturvapolitiikat. Riitta Mäkinen. Extended Abstract. Helsinki HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos

Tietoturvapolitiikat. Riitta Mäkinen. Extended Abstract. Helsinki HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos Tietoturvapolitiikat Riitta Mäkinen Extended Abstract Helsinki 4.3.2003 HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos Tietoturva nykyaikaisessa liiketoimintaympäristössä -seminaari 1. Johdanto 1

Lisätiedot

SISÄISEN VALVONNAN PERUSTEET

SISÄISEN VALVONNAN PERUSTEET P A I M I O N K A U P U N K I SISÄISEN VALVONNAN PERUSTEET Hyväksytty kaupunginvaltuustossa 12.2.2015 11 Voimaan 1.3.2015 alkaen 1 Sisällysluettelo Lainsäädäntöperusta ja soveltamisala... 3 Sisäisen valvonnan

Lisätiedot

Laatukäsikirja - mikä se on ja miten sellainen laaditaan?

Laatukäsikirja - mikä se on ja miten sellainen laaditaan? Laatukäsikirja - mikä se on ja miten sellainen laaditaan? Matkailun laatu laatukäsikirja osaksi yrityksen sähköistä liiketoimintaa Sähköinen aamuseminaari matkailualan toimijoille 24.8.2010 Riitta Haka

Lisätiedot

Luku 6 Projektisuunnitteluvaihe

Luku 6 Projektisuunnitteluvaihe Luku 6 Projektisuunnitteluvaihe Projektisuunnittelu Project Planning Projektin Project Definition määrittely and ja Planning suunnittelu Projektin Initiate käynnistäminen andja organisointi Project Organize

Lisätiedot

Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat. Diplomityöesitelmä Juha Kalander

Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat. Diplomityöesitelmä Juha Kalander Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat Diplomityöesitelmä 29.1.2008 Juha Kalander Sisältö Esittely Tutkimusongelma Käytetyt metodit Työn sisällysluettelo Normiohjaus

Lisätiedot

Onnistunut SAP-projekti laadunvarmistuksen keinoin

Onnistunut SAP-projekti laadunvarmistuksen keinoin Onnistunut SAP-projekti laadunvarmistuksen keinoin 07.10.2010 Patrick Qvick Sisällys 1. Qentinel 2. Laadukas ohjelmisto täyttää sille asetetut tarpeet 3. SAP -projektin kriittisiä menestystekijöitä 4.

Lisätiedot

Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet

Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet 1 Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet Valtuusto 23.3.2015 16 2 Vieremän kunnan sisäisen valvonnan ja riskienhallinnan perusteet Lainsäädäntöperusta ja soveltamisala Kuntalain

Lisätiedot

Hanketoiminnan STAK-kehän mukainen auditointimatriisi

Hanketoiminnan STAK-kehän mukainen auditointimatriisi Jyväskylän yliopisto 1 (9) Hanketoiminnan STAK-kehän mukainen auditointimatriisi SUUNNITTELU PUUTTUVA Yksikön hanketoiminnalla ei ole selkeää visiota. Hanketoiminnan tavoitteita ei ole määritelty. Ei ole

Lisätiedot

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Lappeenrannan kaupungin tietoturvaperiaatteet 2016 1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015

Lisätiedot

Tampereen kaupungin paikkatietostrategia 2013 2015. Tampereen kaupunki

Tampereen kaupungin paikkatietostrategia 2013 2015. Tampereen kaupunki Tampereen kaupungin paikkatietostrategia 2013 2015 Tampereen kaupunki 28.3.2013 TAMPERE Tampereen kaupungin paikkatietostrategia 1 PAIKKATIETO JA PAIKKATIETOINFRASTRUKTUURI KÄSITTEENÄ Paikkatiedolla tarkoitetaan

Lisätiedot

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus) Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen 2012 2014 (pohjaehdotus) Arviointilomakkeiden tarkoitus Kunkin vastuualueen ja tulosyksikön sisäisen valvonnan

Lisätiedot

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan 1(7) TYÖSSÄOPPIMINEN JA AMMATTIOSAAMISEN NÄYTTÖ Tutkinnon osa: Palvelujen käyttöönotto ja tuki Tutkinnon osaan kuuluvat opinnot: Työasemaympäristön suunnittelu ja toteuttaminen Kouluttaminen ja asiakastuki

Lisätiedot

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Valtorin tietoturvaseminaari 2.4.2014 Pekka Ristimäki Johtava asiantuntija, CISM, CISSP, CRISC Valtori / Tietoturvapalvelut Mikä on hallintajärjestelmä?

Lisätiedot

Ubicom tulosseminaari

Ubicom tulosseminaari ITEA2 project #11011 2012 2015 Ubicom tulosseminaari Pertti Kortejärvi, Pohto Oy Helsinki 03.10.2013 Taustaa ja tavoitteita Nykyisin monien systeemien (teollisuusautomaatio, kommunikaatioverkot, jne.)

Lisätiedot

Monikäyttöinen, notkea CAF - mihin kaikkeen se taipuukaan?

Monikäyttöinen, notkea CAF - mihin kaikkeen se taipuukaan? Monikäyttöinen, notkea CAF - mihin kaikkeen se taipuukaan? Raila Oksanen 1.9.2016 Page 1 Monikäyttöisyyden lähtökohta CAF on tarkoitettu helppokäyttöiseksi työkaluksi julkisen sektorin organisaatioiden

Lisätiedot

Aalto-yliopiston laatujärjestelmä ja auditointi. Aalto-yliopisto Inkeri Ruuska, Head of Planning & Management Support

Aalto-yliopiston laatujärjestelmä ja auditointi. Aalto-yliopisto Inkeri Ruuska, Head of Planning & Management Support Aalto-yliopiston laatujärjestelmä ja auditointi Aalto-yliopisto Inkeri Ruuska, Head of Planning & Management Support 16.11.2016 The quality policy principles governing the activities of Aalto University

Lisätiedot

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj Kyberturvallisuus toiminta Valtio Kyberturvallisuuden poliittinen ohjaus kuuluu valtioneuvostolle,

Lisätiedot

LISÄOHJEITA DIPLOMITYÖN TEKEMISEEN

LISÄOHJEITA DIPLOMITYÖN TEKEMISEEN LISÄOHJEITA DIPLOMITYÖN TEKEMISEEN TÄYDENTÄMÄÄN OSASTON DIPLOMITYÖOHJETTA http://www.ee.oulu.fi/opiskelu/lomakkeet/diplomity%f6/diplomity%f6n.teko-ohjeet.pdf Prof. Mika Ylianttila Informaationkäsittelyn

Lisätiedot

Rakennuskustannukset hallintaan Fore-laskennan käyttö suunnittelussa

Rakennuskustannukset hallintaan Fore-laskennan käyttö suunnittelussa Rakennuskustannukset hallintaan Fore-laskennan käyttö suunnittelussa Hankesuunnittelupäivä 25.10.2016, Ari Huomo Kustannusohjauksen tavoitteet Tavoitteellinen, kuhunkin hankkeen vaiheeseen sopiva kustannusarvio

Lisätiedot

SÄHKÖTEKNIIKAN KOULUTUSOHJELMAN KANDIDAATINTYÖOHJE

SÄHKÖTEKNIIKAN KOULUTUSOHJELMAN KANDIDAATINTYÖOHJE SÄHKÖTEKNIIKAN KOULUTUSOHJELMAN KANDIDAATINTYÖOHJE Ohje hyväksytty osastoneuvostossa 17.8.2005 1 Sisällys 1. Kandidaatintyö ja sen tarkoitus...2 2. Kandidaatintyön aihe ja tarkastaja...3 3. Kandidaatintyön

Lisätiedot

Viitearkkitehtuurin suunnitteluprosessi. Ohje. v.0.7

Viitearkkitehtuurin suunnitteluprosessi. Ohje. v.0.7 Viitearkkitehtuurin suunnitteluprosessi Ohje v.0.7 Viitearkkitehtuurin suunnitteluprosessi XX.XX.201X 2 (13) Sisällys 1. Johdanto... 3 2. Viitearkkitehtuurin suunnitteluprosessin vaiheet... 3 2.1. Vaihe

Lisätiedot

Työterveys ja -turvallisuus uuden ISO standardin valossa Sertifioinnilla kilpailuetua - Inspectan tietopäivä

Työterveys ja -turvallisuus uuden ISO standardin valossa Sertifioinnilla kilpailuetua - Inspectan tietopäivä Sertifioinnilla kilpailuetua - Inspectan tietopäivä 7.9.2016 Seppo Salo, Pääarvioija 1 Tänään iskemme käsiksi näihin Agenda Standardin uudistamisen tilanne Miksi ISO 45001? Hyödyt Suurimmat erot ja muutokset

Lisätiedot

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET KOKKOLAN KAUPUNKI Syyskuu 2014 Keskushallinto SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET SISÄLLYSLUETTELO 1. YLEISTÄ 2. SISÄISEN VALVONNAN JA RISKIENHALLINNAN TAVOITE JA TARKOITUS; KÄSITTEET 3. SISÄISEN

Lisätiedot

Liite/Kvalt , 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Isonkyrön kunta

Liite/Kvalt , 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Isonkyrön kunta Öo Liite/Kvalt 13.10.2014, 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET Isonkyrön kunta Isonkyrön kunnan ja kuntakonsernin 1 (5) Sisällys 1 Lainsäädäntöperusta

Lisätiedot

voimavaroja. Kehittämishankkeen koordinaattori tarvitsee aikaa hankkeen suunnitteluun ja kehittämistyön toteuttamiseen. Kehittämistyöhön osallistuvill

voimavaroja. Kehittämishankkeen koordinaattori tarvitsee aikaa hankkeen suunnitteluun ja kehittämistyön toteuttamiseen. Kehittämistyöhön osallistuvill Niemi, Petri. 2006. Kehittämishankkeen toteuttaminen peruskoulussa toimintatutkimuksellisen kehittämishankkeen kuvaus ja arviointi. Turun yliopiston kasvatustieteellisen tiedekunnan lisensiaatintutkimus.

Lisätiedot

JHS XXX ICT-palvelujen kehittäminen: Laadunvarmistus Liite 6: Katselmointi

JHS XXX ICT-palvelujen kehittäminen: Laadunvarmistus Liite 6: Katselmointi JHS XXX ICT-palvelujen kehittäminen: Laadunvarmistus Liite 6: Katselmointi Versio: 0.9 Julkaistu: n.n.2011 Voimassaoloaika: toistaiseksi Sisällys 1 Katselmointi osana laadunvarmistusta... 2 2 Yleistä katselmoinneista...

Lisätiedot

itsmf Finland Conference 2016 Focus Markus Leinonen COBIT ja governance

itsmf Finland Conference 2016 Focus Markus Leinonen COBIT ja governance itsmf Finland Conference 2016 Focus Markus Leinonen COBIT ja governance Markus Leinonen M.Sc. (Econ.), CIA, CISA Senior Manager, Internal Controls Cargotec Oyj 1984 1986 1992 1995 1997 1997 2002 2002 2008

Lisätiedot

Paikkatiedon kypsyysmalli, case Espoo ja Turku. Aalto-yliopisto Insinööritieteiden korkeakoulu

Paikkatiedon kypsyysmalli, case Espoo ja Turku. Aalto-yliopisto Insinööritieteiden korkeakoulu Paikkatiedon kypsyysmalli, case Espoo ja Turku Aalto-yliopisto Insinööritieteiden korkeakoulu seminaari 12.5.2011 Esityksen sisältö Mitä organisaation paikkatietokypsyys tarkoittaa? Miksi paikkatietokypsyyden

Lisätiedot

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41 Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät

Lisätiedot

Julkaisun laji Opinnäytetyö. Sivumäärä 43

Julkaisun laji Opinnäytetyö. Sivumäärä 43 OPINNÄYTETYÖN KUVAILULEHTI Tekijä(t) SUKUNIMI, Etunimi ISOVIITA, Ilari LEHTONEN, Joni PELTOKANGAS, Johanna Työn nimi Julkaisun laji Opinnäytetyö Sivumäärä 43 Luottamuksellisuus ( ) saakka Päivämäärä 12.08.2010

Lisätiedot

TietoEnator Pilot. Ari Hirvonen. TietoEnator Oyj. Senior Consultant, Ph. D. (Economics) presentation TietoEnator 2003 Page 1

TietoEnator Pilot. Ari Hirvonen. TietoEnator Oyj. Senior Consultant, Ph. D. (Economics) presentation TietoEnator 2003 Page 1 TietoEnator Pilot Ari Hirvonen Senior Consultant, Ph. D. (Economics) TietoEnator Oyj presentation TietoEnator 2003 Page 1 Sallikaa minun kysyä, mitä tietä minun tulee kulkea? kysyi Liisa. Se riippuu suureksi

Lisätiedot

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat Teollisuusautomaation tietoturvaseminaari Purchasing Manager, Hydro Lead Buyer, Industrial Control Systems 1 Agenda / esityksen tavoite

Lisätiedot

VIRTU ja tietoturvatasot

VIRTU ja tietoturvatasot 1 VIRTU ja tietoturvatasot VIRTU/HAKA seminaari 3.2.2010 Erja Kinnunen VK/VIP VIPin palvelut Tietoturvallisuuden viitekehys valtionhallinnossa Ei tietoturvallisuutta koskevaa erillislakia Valtioneuvoston

Lisätiedot

Ohjelmiston testaus ja laatu. Ohjelmistotekniikka elinkaarimallit

Ohjelmiston testaus ja laatu. Ohjelmistotekniikka elinkaarimallit Ohjelmiston testaus ja laatu Ohjelmistotekniikka elinkaarimallit Vesiputousmalli - 1 Esitutkimus Määrittely mikä on ongelma, onko valmista ratkaisua, kustannukset, reunaehdot millainen järjestelmä täyttää

Lisätiedot

JHS 179 ICT-palvelujen kehittäminen: Kokonaisarkkitehtuurin kehittäminen Liite 1 Strategian kuvaaminen strategiakartan avulla

JHS 179 ICT-palvelujen kehittäminen: Kokonaisarkkitehtuurin kehittäminen Liite 1 Strategian kuvaaminen strategiakartan avulla JHS 179 ICT-palvelujen kehittäminen: Kokonaisarkkitehtuurin kehittäminen Liite 1 Strategian kuvaaminen strategiakartan avulla Versio: 0.2. 14.4.2015 keskustelutilaisuusversio Julkaistu: Voimassaoloaika:

Lisätiedot

WG1 DEC2011 DOC5a annexe A. Ohjeelliset kuvaimet koulutuksen järjestäjien käyttöön vastakkaisia väittämiä hyväksi käyttäen.

WG1 DEC2011 DOC5a annexe A. Ohjeelliset kuvaimet koulutuksen järjestäjien käyttöön vastakkaisia väittämiä hyväksi käyttäen. WG1 DEC2011 DOC5a annexe A koulutuksen järjestäjien käyttöön vastakkaisia väittämiä hyväksi käyttäen Toinen luonnos Laatuvaatimukset - suunnittelu järjestäjä kuvata Onko koulutuksen järjestäjällä näyttöä

Lisätiedot

toimeenpanosuunnitelma

<Viitearkkitehtuurin nimi> toimeenpanosuunnitelma toimeenpanosuunnitelma XX.X.201X Versio: 0.X toimeenpanosuunnitelma XX.XX.201X 2 (7) Sisällys 1. Johdanto... 3 2. Viitearkkitehtuurin vaikutukset... 3 2.1. Viitearkkitehtuurin vaikutukset toimintaympäristöön...

Lisätiedot

TOIMIJAREKISTERIN TOTEUTUKSEN JA YLLÄPIDON HANKINTA - HANKINNAN YKSI- LÖINTI HUOM!

TOIMIJAREKISTERIN TOTEUTUKSEN JA YLLÄPIDON HANKINTA - HANKINNAN YKSI- LÖINTI HUOM! TARJOUSPYYNTÖ / LIITE 1 1 (5) TOIMIJAREKISTERIN TOTEUTUKSEN JA YLLÄPIDON HANKINTA - HANKINNAN YKSI- LÖINTI HUOM! Tällä liitteellä yksilöidään hankinnan kohteen ominaisuuksia ja toiminnallisuuksia, jotka

Lisätiedot

Tietoturvavastuut Tampereen yliopistossa

Tietoturvavastuut Tampereen yliopistossa Tietoturvavastuut Tampereen yliopistossa Hyväksytty Tampereen yliopiston Yliopistopalvelujen johtoryhmässä 10.5.2016 Korvaa 18.10.2002 hyväksytyn vastaavan dokumentin. Tulee voimaan hyväksymispäivänä.

Lisätiedot

Apulaisylilääkäri. Sädehoito. Tuija Wigren. TAYS Syövänhoidon vastuualue

Apulaisylilääkäri. Sädehoito. Tuija Wigren. TAYS Syövänhoidon vastuualue Tuija Wigren Apulaisylilääkäri TAYS Syövänhoidon vastuualue Sädehoito Tähän asti kliininen auditointi ollut luonteeltaan informoiva ja sisältänyt neuvontaa monista perusvaatimuksista osittain päällekkäistä

Lisätiedot

ETU SEMINAARI Helsinki, Säätytalo

ETU SEMINAARI Helsinki, Säätytalo ETU SEMINAARI 10.5.2012 Helsinki, Säätytalo Terveydenhuolto osana tulevaisuuden laatujärjestelmiä ja auditointeja Tuija Lilja Kehityspäällikkö, laatutoiminnot SAARIOINEN OY Tuotantoeläinten terveydenhuolto

Lisätiedot

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke TITAN-SEMINAARI 9.11.2010 Pasi Ahonen, VTT TITAN projektissa koottiin

Lisätiedot

Yliopistotason opetussuunnitelmalinjaukset

Yliopistotason opetussuunnitelmalinjaukset Yliopistotason opetussuunnitelmalinjaukset Aalto-yliopiston akateemisten asiain komitea 30.8.2011 Alkaneen lukuvuoden aikana suunnitellaan yliopiston perustutkintojen opetussuunnitelmat ja tutkintovaatimukset

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 2.Luento Turvallisuusjohtaminen ja turvallisuuden

Lisätiedot

VÄLI- JA LOPPURAPORTOINTI

VÄLI- JA LOPPURAPORTOINTI Tuija Nikkari 2012 VÄLI- JA LOPPURAPORTOINTI Raportointikoulutus 23.8.12 Raportoinnin tarkoitus Raportoinnin tehtävänä on tuottaa tietoa projektin etenemisestä ja tuloksista rahoittajalle, yhteistyökumppaneille

Lisätiedot

Vuosi ISO 9001 ja 14001:2015 julkaisusta sertifioijan kokemuksia Sertifioinnilla kilpailuetua - Inspectan tietopäivä

Vuosi ISO 9001 ja 14001:2015 julkaisusta sertifioijan kokemuksia Sertifioinnilla kilpailuetua - Inspectan tietopäivä Sertifioinnilla kilpailuetua - Inspectan tietopäivä 7.9.2016 Seppo Salo, Pääarvioija 1 Tänään iskemme käsiksi näihin Agenda Siirtymäajan toimenpiteet ja mitä päivittäminen vaatii Tärkeimmät muutokset ja

Lisätiedot

JHS XXX ICT-palvelujen kehittäminen: Laadunvarmistus Liite 2: Tarkistuslistoja

JHS XXX ICT-palvelujen kehittäminen: Laadunvarmistus Liite 2: Tarkistuslistoja JHS XXX ICT-palvelujen kehittäminen: Laadunvarmistus Liite 2: Tarkistuslistoja Versio: 0.9 Julkaistu: n.n.2011 Voimassaoloaika: toistaiseksi 1 Yleistä Palvelun kehitys jakautuu vaiheisiin, joiden väleissä

Lisätiedot

Erilaisia Osaava verkostoja - Lapin hankkeiden Learning café

Erilaisia Osaava verkostoja - Lapin hankkeiden Learning café Erilaisia Osaava verkostoja - Lapin hankkeiden Learning café Aika 27.11.11.2013 klo 9.45 10.30 Kouluttaja: Koulutus- ja kehitysjohtaja Miten hankkeen toimintaa voidaan motivoida, keinoja viedä hanketta

Lisätiedot

Riippumattomat arviointilaitokset

Riippumattomat arviointilaitokset Riippumattomat arviointilaitokset CSM Riskienhallinta -asetuksen mukainen riippumaton arviointi Komission asetus (352/2009/EY) yhteisestä turvallisuusmenetelmästä, CSM riskienhallinta-asetus, vaatii rautatiejärjestelmässä

Lisätiedot

Hyväksytyt asiantuntijat

Hyväksytyt asiantuntijat 1(4) Hyväksytyt asiantuntijat Pätevyysalue Pätevyysluokat Tarkastuskohteet Tässä muistiossa käsitellään ajoneuvolain 1090/2002 (muutettuna viimeksi 1042/2014) 48 2 momentin nojalla Liikenteen turvallisuusviraston

Lisätiedot

JHS 179 Kokonaisarkkitehtuurin suunnittelu ja kehittäminen Liite 1. Strategian kuvaaminen strategiakartan avulla

JHS 179 Kokonaisarkkitehtuurin suunnittelu ja kehittäminen Liite 1. Strategian kuvaaminen strategiakartan avulla JHS 179 Kokonaisarkkitehtuurin suunnittelu ja kehittäminen Liite 1. Strategian kuvaaminen strategiakartan avulla Versio: palautekierrosversio, 2. palautekierros Julkaistu: Voimassaoloaika: toistaiseksi

Lisätiedot

LAATUSUUNNITELMAMALLI

LAATUSUUNNITELMAMALLI Liite 4 Yleisten alueiden aurausurakat Keskustan kehä- alueurakka-alueella 2016 2018 LAATUSUUNNITELMAMALLI 9.8.2016 9.8.2016 2(5) Sisällysluettelo 1. YLEISTÄ... 3 Laatusuunnitelman tarkoitus... 3 Laatusuunnitelman

Lisätiedot

Valtion taloushallinnon kokonaisarkkitehtuurin tavoitetila

Valtion taloushallinnon kokonaisarkkitehtuurin tavoitetila Valtion taloushallinnon kokonaisarkkitehtuurin tavoitetila Valtion taloushallintopäivä 18.11.2015 Olli Ahonen Valtiokonttori Sisällys Johdanto Visio ja tavoitteet 1. Toiminta-arkkitehtuuri - Palvelut -

Lisätiedot

Liite 2: Hankinnan kohteen kuvaus

Liite 2: Hankinnan kohteen kuvaus Asiakirjatyyppi 1 (8) Liite 2: Hankinnan kohteen kuvaus Asiakirjatyyppi 2 (8) Sisällysluettelo 1 Dokumentin tarkoitus... 3 2 Taustaa... 3 3 Future Watch palvelu osana Team Finlandin palvelusalkkua... 3

Lisätiedot

Sisäisen tarkastuksen ohje

Sisäisen tarkastuksen ohje Sisäisen tarkastuksen ohje Kuntayhtymähallitus 17.3.2009 SISÄLLYSLUETTELO 1 TARKOITUS JA PERIAATTEET 3 2 TEHTÄVÄT JA ARVIOINTIPERUSTEET 3 3 ASEMA, TOIMIVALTA JA TIETOJENSAANTIOIKEUS 3 4 AMMATILLINEN OSAAMINEN

Lisätiedot

PARTNERSHIP MONITOR. POTRA-NIS Oy I I

PARTNERSHIP MONITOR. POTRA-NIS Oy I I Partnership Monitor PARTNERSHIP MONITOR Partnership Monitor on menetelmä teollisuusyrityksille tuottavuuden lisäämiseksi ja liiketoiminnan kasvattamiseksi hyvin toimivien asiakas- ja toimittajasuhteiden

Lisätiedot

VBE II, vaihe 1:

VBE II, vaihe 1: VBE II, vaihe 1: 2005-2006 Data yrityksistä ja rakennushankkeista TUT Tekniset ratkaisut RAK (VRLab)+ARK iroom validointi Työpajat Seminaarit Esitelmät Osallistuvat yritykset VBE Kansainvälinen verkosto

Lisätiedot

Korkeakoulujen yhteiskunnallinen vuorovaikutus

Korkeakoulujen yhteiskunnallinen vuorovaikutus Korkeakoulujen yhteiskunnallinen vuorovaikutus Korkeakoulujen KOTA -seminaari 20.8.2013 Erikoissuunnittelija, KT Hannele Seppälä, Korkeakoulujen arviointineuvosto Korkeakoulujen yhteiskunnallisen ja alueellisen

Lisätiedot

Standardisarja IEC 62443. Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Standardisarja IEC 62443. Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus Standardisarja IEC 62443 Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus Matti Sundquist, Sundcon Oy Jukka Alve, SESKO ry 1 ASAFin tietoturvaseminaari 27.1.2004 Automaatioseuran

Lisätiedot

LUC-palvelupiste. Käyttöönoton vaiheet ja tulevaisuuden tavoitteet Sakari Tarvainen

LUC-palvelupiste. Käyttöönoton vaiheet ja tulevaisuuden tavoitteet Sakari Tarvainen LUC-palvelupiste Käyttöönoton vaiheet ja tulevaisuuden tavoitteet Sakari Tarvainen Taustat - Konsernin strategiasta (2009) löytyy toiminta-ajatus Palvelut tuotettava pääosin yhdessä - Yhdeksi kehityskohteeksi

Lisätiedot

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET Hall. 01.04.2014 Valt. 29.04.2014 1 Voimaantulo 01.07.2014 1 Lainsäädännöllinen perusta ja soveltamisala Kuntalain 13

Lisätiedot

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TOIMITILAPÄIVÄ 21.3.2013 Johtava asiantuntija Fyysinen turvallisuus ja varautuminen Marko Kalliokoski Verohallinto 020 612 5192 etunimi.sukunimi@vero.fi

Lisätiedot

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan Ammattitaidon osoittamistavat

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan Ammattitaidon osoittamistavat 1(6) TYÖSSÄOPPIMINEN JA AMMATTIOSAAMISEN NÄYTTÖ Tutkinnon osa: Tietoturvan ylläpito 15 osp Tietoturvan ylläpito Tutkinnon osan ammattitaitovaatimukset: työtehtävien suunnittelu ja valmistelu oman työn

Lisätiedot

Valtioneuvoston asetus

Valtioneuvoston asetus Valtioneuvoston asetus julkisen hallinnon turvallisuusverkkotoiminnasta Valtioneuvoston päätöksen mukaisesti säädetään julkisen hallinnon turvallisuusverkkotoiminnasta annetun lain (10/2015) nojalla: 1

Lisätiedot

MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA

MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA lukien toistaiseksi 1 (5) Sijoituspalveluyrityksille MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA Rahoitustarkastus antaa sijoituspalveluyrityksistä annetun lain

Lisätiedot

IT2015 EKT ERITYISEHTOJA OHJELMISTOJEN TOIMITUKSISTA KETTERIEN MENETELMIEN PROJEKTEILLA LUONNOS

IT2015 EKT ERITYISEHTOJA OHJELMISTOJEN TOIMITUKSISTA KETTERIEN MENETELMIEN PROJEKTEILLA LUONNOS 20.4.2015 IT2015 EKT ERITYISEHTOJA OHJELMISTOJEN TOIMITUKSISTA KETTERIEN MENETELMIEN PROJEKTEILLA 1 1.1 SOVELTAMINEN Näitä erityisehtoja sovelletaan ohjelmistojen tai niiden osien toimituksiin ketterien

Lisätiedot

Miten Väestörekisterikeskus valmistautuu lainsäädäntöuudistukseen?

Miten Väestörekisterikeskus valmistautuu lainsäädäntöuudistukseen? Miten Väestörekisterikeskus valmistautuu lainsäädäntöuudistukseen? VAHTIn EU-tietosuoja-asetusta käsittelevän raportin julkistustilaisuus 2.6.2016 Annina Hautala, johtava asiantuntija Väestörekisterikeskus

Lisätiedot

QL Excellence -käsikirja

QL Excellence -käsikirja QL Excellence -käsikirja QL Laatutoiminta Oy:n laadunhallinta 2010 Sisällysluettelo: QL Excellence -käsikirja...3 Yleiskuvaus... 3 Laatupolitiikka...3 Laatukäsikirja...3 Laadunhallintajärjestelmän kuvaus...

Lisätiedot

AVOIN DATA AVAIN UUTEEN Seminaarin avaus Kansleri Ilkka Niiniluoto Helsingin yliopisto

AVOIN DATA AVAIN UUTEEN Seminaarin avaus Kansleri Ilkka Niiniluoto Helsingin yliopisto AVOIN DATA AVAIN UUTEEN Seminaarin avaus 1.11.11 Kansleri Ilkka Niiniluoto Helsingin yliopisto TIETEELLINEN TIETO tieteellinen tieto on julkista tieteen itseäänkorjaavuus ja edistyvyys tieto syntyy tutkimuksen

Lisätiedot

INSPIRE:n määrittelyjen mukaisen tietotuotteen muodostaminen: KIINTEISTÖT

INSPIRE:n määrittelyjen mukaisen tietotuotteen muodostaminen: KIINTEISTÖT INSPIRE:n määrittelyjen mukaisen tietotuotteen muodostaminen: KIINTEISTÖT Suunnitelma Otsikko Päivämäärä 2010-11-10 Aihe/alue Julkaisija Tyyppi Kuvailu Tekijät Muoto Julkisuus Oikeudet Tunniste Kieli Viitteet

Lisätiedot

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA POHJOIS-KARJALAN SAIRAANHOITO- JA SOSIAALIPALVELUJEN KUNTAYHTYMÄ Johtoryhmä 7.4.2015 Yhtymähallitus 27.4.2015 SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA Sisällys 1. Lainsäädäntö 3 2. Soveltamisala

Lisätiedot

Green Growth Sessio - Millaisilla kansainvälistymismalleilla kasvumarkkinoille?

Green Growth Sessio - Millaisilla kansainvälistymismalleilla kasvumarkkinoille? Green Growth Sessio - Millaisilla kansainvälistymismalleilla kasvumarkkinoille? 10.10.01 Tuomo Suortti Ohjelman päällikkö Riina Antikainen Ohjelman koordinaattori 10/11/01 Tilaisuuden teema Kansainvälistymiseen

Lisätiedot

EU-tietosuoja-asetuksen toimeenpanon tukeminen Verkkokoulutus ja työpajat JUHTA Tuula Seppo erityisasiantuntija

EU-tietosuoja-asetuksen toimeenpanon tukeminen Verkkokoulutus ja työpajat JUHTA Tuula Seppo erityisasiantuntija EU-tietosuoja-asetuksen toimeenpanon tukeminen Verkkokoulutus ja työpajat JUHTA 7.2.2017 Tuula Seppo erityisasiantuntija EU-tietosuoja-asetus Astuu voimaan 25.5.2018 Edellyttää koko henkilöstön ja henkilötietoja

Lisätiedot

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan Ammattitaidon osoittamistavat

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan Ammattitaidon osoittamistavat 1(8) TYÖSSÄOPPIMINEN JA AMMATTIOSAAMISEN NÄYTTÖ Tutkinnon osa: Asiakaspalvelu 30 osp Tavoitteet: Opiskelija osaa toimia käytännön asiakaspalvelutehtävissä ja osoittaa ammattitaitonsa palvelutilanteessa,

Lisätiedot

MAANMITTAUSLAITOKSEN LAUSUNTO HALLITUKSEN ESITYKSESTÄ LAIKSI HALLINNON YHTEISISTÄ SÄHKÖISEN ASIOINNIN TUKIPALVELUISTA

MAANMITTAUSLAITOKSEN LAUSUNTO HALLITUKSEN ESITYKSESTÄ LAIKSI HALLINNON YHTEISISTÄ SÄHKÖISEN ASIOINNIN TUKIPALVELUISTA 1 (6) Valtiovarainministeriö valtiovarainministeriö@vm.fi Valtiovarainministeriön lausuntopyyntö 26.11.2015 / VM140:06/2013 MAANMITTAUSLAITOKSEN LAUSUNTO HALLITUKSEN ESITYKSESTÄ LAIKSI HALLINNON YHTEISISTÄ

Lisätiedot

Arviointi ja mittaaminen

Arviointi ja mittaaminen Arviointi ja mittaaminen Laatuvastaavien koulutus 5.6.2007 pirjo.halonen@adm.jyu.fi 014 260 1180 050 428 5315 Arviointi itsearviointia sisäisiä auditointeja ulkoisia auditointeja johdon katselmusta vertaisarviointeja

Lisätiedot

Raitiotieallianssin riskienhallintamenettelyt

Raitiotieallianssin riskienhallintamenettelyt Riskienhallintamenettelyt 1 (7) Raitiotieallianssin riskienhallintamenettelyt Riskienhallintamenettelyt 2 (7) SISÄLTÖ 1 PERIAATTEET JA TAVOITTEET... 3 2 ORGANISOINTI JA VASTUUT... 4 3 RISKIENHALLINTAPROSESSI...

Lisätiedot

ARVIOINTISUUNNITELMA Sivu 1/6

ARVIOINTISUUNNITELMA Sivu 1/6 ARVIOINTISUUNNITELMA Sivu 1/6 Ammattitaidon osoittamistavat: Ammattiosaamisen työprosessin kokonaan työmenetelmien, -välineiden materiaalin kokonaan työn perustana olevan tiedon pois lukien toimialueen

Lisätiedot

Luku 10 Käyttöönoton suunnitteluja toteutusvaihe

Luku 10 Käyttöönoton suunnitteluja toteutusvaihe Luku 10 Käyttöönoton suunnitteluja toteutusvaihe Käyttöönoton Roll-Out Planning suunnittelu- & Preparation ja valmistelu Design Tiedon- Data Conversion muunnos- prosessien Processes suunnittelu Toimipisteiden

Lisätiedot

Kieliaineistojen käyttöoikeuksien hallinnan tietojärjestelmä

Kieliaineistojen käyttöoikeuksien hallinnan tietojärjestelmä Kieliaineistojen käyttöoikeuksien hallinnan tietojärjestelmä Omistaja Tyyppi Tiedoston nimi Turvaluokitus Kohderyhmä Turvaluokituskäytäntö --- SE/Pekka Järveläinen Projektisuunnitelma projektisuunnitelma_kielihallinto.doc

Lisätiedot

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Tietoturvapolitiikka NAANTALIN KAUPUNKI 2016 Tietoturvapolitiikka NAANTALIN KAUPUNKI 1 Sisällysluettelo Johdanto... 2 Tietoturvallisuus... 2 Riskienhallinta... 3 Varautuminen... 3 Vaatimustenmukaisuus ja tavoitteet... 3 Organisointi, roolit

Lisätiedot