JUDO-HANKE DIGITURVAN YHTEIS- HANKE - PROJEKTIOPAS. JUDO-hanke Digiturvan yhteishanke Versio

Transkriptio

1 JUDO-HANKE DIGITURVAN YHTEIS- HANKE - PROJEK JUDO-hanke Digiturvan yhteishanke Versio

2 2 (60) DOKUMENTINHALLINTA Omistaja Laatinut Tarkastanut Hyväksynyt Väestörekisterikeskus Kimmo Rousku Jukka Uusitalo (KPMG Oy Ab) Erja Kinnunen Erja Kinnunen, Kimmo Rousku VERSION HALLINTA versionro mitä tehty pvm/henkilö 1.00 Ensimmäinen julkaisuversio projektiopasta tullaan päivittämään JUDO-hankkeen aikana säännöllisesti vuosien aikana / Jukka Uusitalo

3 3 (60) Sisällysluettelo 1 Johdanto ja keskeiset periaatteet TOIMINTAYMPÄRISTÖN TUNTEMINEN Sisäinen toimintaympäristö Ulkoinen toimintaympäristö Sidosryhmien tarpeet ja vaatimukset Noudatettava lainsäädäntö RISKIENHALLINTA Yleistä riskienhallinnasta Riskienhallinta johtamisen ja päätöksenteon välineenä Riskienhallintapolitiikka Riskienhallintaprosessi Riskienhallinnan toimintaympäristön määritteleminen Riskien arviointiprosessi Riskien tunnistaminen Riskianalyysi Riskien merkityksen arviointi Riskien käsittely Riskien seuranta, katselmointi ja viestintä Riskienhallinnan viitekehyksiä ja apuvälineitä Riskien arviointityökalu ISO Riskienhallinta Vaikutusanalyysi (Business Impact Analysis, BIA) Riskienhallintapolitiikka ja riskienhallinnan järjestäminen TOIMINNAN JATKUVUUS JA VARAUTUMINEN Yleistä toiminnan jatkuvuuden hallinnasta ja varautumisesta Jatkuvuuden hallinnan kehittäminen Jatkuvuuden hallinnan kehittämistarpeiden arviointi Jatkuvuuden hallintajärjestelmä ja järjestelmän piirissä oleva toiminta Jatkuvuuden hallinnan johtaminen Johdon sitoutuminen Periaatteet Roolit ja vastuut Tehtävien organisointi... 33

4 4 (60) 4.6 Jatkuvuuden hallintajärjestelmän suunnittelu Jatkuvuussuunnittelun tavoitteet Riskien tunnistaminen ja arviointi Henkilöstö ja osaaminen Osaamisen ja tietoisuuden kehittäminen Viestintä ja yhteistyömallit Jatkuvuuden hallinnan dokumentointi Tuotannontekijät Organisaatioiden väliset palvelut ja sopimukset Viitekehyksiä jatkuvuusjärjestelmän suunnitteluun Jatkuvuuden hallinnan toteuttaminen Toimintaympäristön riskianalyysit ja skenaariot Toiminnan vaikutusanalyysi Toimintojen priorisointi ja järjestelmien luokittelu Palautumistavoitteiden määrittely Suunnitelmien laadinta Häiriötilanteen johtaminen ja ohjaus Tilannekuvan luominen ja ylläpito Toipumisen edellyttämät tilat ja varatilat Järjestelmien toipumissuunnitelmat Toiminta toipumistilanteessa Palvelutuottajat Sopimukset ja palvelutasot Ohjelmistojen ja lisenssien hallinta Sisäinen ja ulkoinen viestintä häiriötilanteessa Viestintä rekisteröidyille henkilötietoihin kohdistuvissa tietoturvaloukkauksissa Suunnitelmien säilytys Testaaminen, harjoittelu ja koulutus Toiminta häiriötilanteessa Viestintä häiriötilanteessa Jatkuvuuden hallinnan mittaaminen ja arviointi Seuranta, mittaaminen ja arviointi Sisäinen ja ulkoinen auditointi Johdon katselmointi LIITTEET... 57

5 5 (60) SANASTO LIITE 2 Jatkuvuussuunnitelman sisällysluettelorunko (esimerkki) LIITE 3 Järjestelmän toipumissuunnitelman sisällysluettelorunko (esimerkki)... 59

6 6 (60) JUDO-HANKE DIGITURVAN YHTEISHANKE - PROJEK 1 Johdanto ja keskeiset periaatteet Tämä JUDO-hankkeen Digiturvan projektiopas on luotu Julkisen hallinnon digitaalisen turvallisuuden kehittämishankkeen projektissa 1, Riskienhallinnan ja johtamisen kehittäminen. Tämän projektioppaan, samoin kuin erikseen julkaistavan Digiturvaoppaan, toimeenpano tapahtuu projektin Digiturvan-yhteishankkeen työpajatilaisuuksissa. Projektiopas toimii yhteishankkeen ajan päivittyvänä asiakirjana, tässä versiossa 1.0 julkaistaan ensimmäinen versio seuraavista osa-alueista: 1. Riskienhallinta - versio Toiminnan jatkuvuus ja varautuminen - versio Tietoturvallisuus - julkaistaan myöhemmin erillisenä julkaisuna 4. Kyberturvallisuus - julkaistaan tässä asiakirjassa myöhemmin, alustavasti loppuvuoden 2019 aikana. Kaikki tämän projektioppaan luvut edesauttavat myös kyberturvallisuuden, digitaalisen toimintaympäristön turvaamista. 5. Tietosuoja - materiaali liitetään osaksi projektiopasta julkaistavaan versioon 1.1. Projektiopas pohjautuu aihetta käsitteleviin VAHTI-ohjeisiin sekä Julkisen hallinnon tietohallinnon neuvottelukunnan (Juhta) ja VAHTIn yhteishankkeeseen , jossa käsiteltiin tietosuojaa, sekä sen ohella myös riskienhallintaa, toiminnan jatkuvuutta ja varautumista. Tähän julkaisuun tullaan myös sisällyttämään yhteishankkeen käyttöön julkisen hallinnon organisaatioilta saatuja materiaaleja. Oppaassa esitetyt tavat ovat yksi keino toteuttaa oppaassa kuvattuja asioita. Kuten turvallisuuden kehittämisessä yleensäkin, asioita voidaan kehittää ja toteuttaa usealla eri tavalla. Sama koskee myös lainsäädännön vaatimusten toteuttamista; jatkossa riskilähtöinen toimintamalli tulee ohjaamaan turvallisuuden kehittämistä yhä enemmän. Tämä korostaa riskienhallinnan tärkeyttä, mutta samalla se ohjaa kehittämään niitä turvallisuuden osa-alueita, jotka aidosti tunnistetaan merkityksellisiksi riskienhallintaprosessin aikana. Vaikka jokainen projektioppaan osa-alue voidaan nähdä erillisenä kokonaisuutena, ne tulee nähdä myös toisiaan tukevina. Riskienhallinta palvelee kaikkea digiturvallisuuden kehittämistä,

7 7 (60) mutta myös toiminnan jatkuvuus ja varautuminen tukevat tietoturvallisuuden ja tietosuojan toteuttamista. Digiturvan osa-alueiden kehittäminen ei ole kertaluonteinen projekti, vaan sen tulee olla jatkuva kehittämisprosessi, jossa voidaan käyttää esimerkiksi tässä julkaisussa esiteltyä PDCA-mallia. Tällainen jatkuvan kehittämisen malli on ensimmäinen keskeinen digiturvan toteuttamisen periaate. Toinen keskeinen periaate liittyy osa-alueisiin liittyvien vastuiden tunnistamiseen, sekä organisaation sisällä että erityisesti organisaation ja sen käyttämien ulkoisten toimijoiden välillä. Digitaalisen toimintaympäristön palvelutuotanto monimutkaistuu, joten työnjaosta ja vastuukysymyksistä sopiminen eri toimijoiden kesken on entistä haastavampaa, mutta myös tärkeämpää. Tämä korostuu etenkin häiriö-, poikkeama- ja loukkaustilanteissa, joissa epäselvät vastuut saattavat hidastaa tilanteen selvittämistä ja jopa pahentaa sitä. Vastuiden määrittelyssä voidaan hyödyntää projektioppaassa julkaistavaa RACI-vastuunjakomallia. Kolmas keskeinen periaate on prosessien ja toimintamallien mukainen toiminta. Organisaation reagointi esimerkiksi häiriötilanteisiin tulee tapahtua suunnitellusti, kuvattujen ohjeiden mukaisesti, eikä saa perustua sillä hetkellä paikalla olevien asiantuntijoiden tuntemuksiin. Käytännössä tämä edellyttää tarkoituksenmukaisen, riittävän dokumentoinnin ja ohjeistuksen tuottamista. Neljäs periaate liittyy vuosikellomaiseen toimintatapaan. Jotta digiturvan hallinta tapahtuu säännönmukaisesti, kannattaa sen avuksi luoda vuosikello, joka sisältää riskienhallinnan, toiminnan jatkuvuuden ja varautumisen sekä tietoturvallisuuden toistuvat tehtävät. Lisätietoa: Mikäli organisaatiosi haluaa tarjota käyttöömme tukimateriaalia tai muuta sisältöä, ole yhteydessä:

8 8 (60) 2 TOIMINTAYMPÄRISTÖN TUNTEMINEN Organisaation on tunnettava sisäinen ja ulkoinen toimintaympäristönsä sidosryhmineen ja niiden vaatimuksineen sekä tunnistettava omat kriittiset toimintonsa ja niiden toimintaedellytykset, jotta organisaatio voi hallita riskejään, suunnitella toimintansa jatkuvuutta ja varautumista sekä toteuttaa tarpeelliset tietoturvan hallintamenettelyt. Organisaation toimintaympäristö on dokumentoitava määrämuotoisesti ja riittävällä tasolla. 2.1 Sisäinen toimintaympäristö Sisäisen toimintaympäristön muodostavat kaikki organisaation sisäiset tekijät, jotka voivat vaikuttaa toimintaan tai tulostavoitteiden saavuttamiseen. Sisäistä toimintaympäristöä kuvattaessa huomioidaan mm. seuraavia tekijöitä: hallintotapa, organisaatiorakenne, roolit ja vastuut toimintaperiaatteet, tavoitteet ja niiden saavuttamiseen tarvittavat strategiat resursseihin ja tietämykseen liittyvät voimavarat (esim. määrärahat, aika, henkilöt, prosessit, järjestelmät ja teknologia) suhteet sisäisiin sidosryhmiin sekä näiden näkemykset ja arvot organisaation kulttuuri tietojärjestelmät, tietovirrat ja päätöksentekoprosessit (sekä muodolliset että epämuodolliset) viraston käyttöön ottamat standardit, ohjeet ja mallit sopimussuhteiden muoto ja laajuus. Organisaation on tarpeen tuntea oma toimintansa ja sen kriittisyys: tunnistetaan organisaation ydinprosessit ja -toiminnot sekä niitä tukevat toiminnot tunnistetaan ja valitaan kriittiset toiminnot tunnistetaan kriittisiin toimintoihin liittyvät prosessit, palvelut, tietojärjestelmät ja tietovarannot sekä niiden väliset riippuvuudet Kriittisten prosessien tunnistaminen sekä niiden toiminnan ja sisällön tuntemus on riskienhallinnan ja jatkuvuussuunnittelun onnistumisen kannalta erittäin tärkeää. Tavoitteena on turvata organisaation kriittisten prosessien toiminta erilaisissa vakavissa häiriötilanteissa. Ilman kriittisten prosessien tuntemusta saatetaan keskittyä turvaamaan vääriä asioita tai oikeita asioita väärällä tavalla. Organisaation kriittisten toimintojen ja palveluiden arvioinnissa apuvälineenä voi käyttää Exceltyövälinettä Palveluiden kriittisyysluokittelutyökalu (Palko), jota on kuvattu jäljempänä Toiminnan jatkuvuus ja varautuminen -osiossa luvussa 4.4 Jatkuvuuden hallintajärjestelmä ja järjestelmän piirissä oleva toiminta.

9 9 (60) 2.2 Ulkoinen toimintaympäristö Ulkoisen toimintaympäristön tunnistaminen on tärkeää, jotta voidaan varmistaa, että kansalaisten, asiakkaiden ja muiden ulkoisten sidosryhmien tarpeet ja huolenaiheet otetaan huomioon tavoitteiden asettamisessa ja riskien arvioinnissa. Ulkoista toimintaympäristöä kuvattaessa huomioidaan mm. seuraavia tekijöitä: Hallitusohjelma, Suomen poliittinen ja taloudellinen tilanne EU ja globaali ulottuvuus sekä muu kansainvälinen, kansallinen, alueellinen tai paikallinen, yhteiskuntaan, kulttuuriin, politiikkaan, lainsäädäntöön, viranomaismääräyksiin, rahoitukseen, teknologiaan, talouteen, luontoon tai kilpailukykyyn liittyvä toimintaympäristö Tietoyhteiskuntaan ja digitalisaatioon liittyvä toimintaympäristö Keskeiset organisaation tavoitteisiin vaikuttavat kehityssuunnat yhteiskunnassa; kuten rikollisuustilanne, sabotaasit, terrorismi, onnettomuudet, epidemiat, arvojen muutokset ja polarisoituminen Muiden hallinnonalojen toimenpiteet, kuten lainsäädännön ja hallintorakenteiden muutokset Suhteet kansalaisiin, asiakkaisiin, rekrytoitavaan henkilöstöön ja kilpaileviin työnantajiin sekä muihin ulkoisiin sidosryhmiin. 2.3 Sidosryhmien tarpeet ja vaatimukset Organisaation on hyvä tunnistaa sidosryhmänsä ja niiden merkitys organisaation toiminnalle. Tässä sidosryhmillä tarkoitetaan erityisesti organisaation ulkopuolisia tahoja, kuten alihankkijoita, viranomaisia, asiakkaita ja mediaa. Nykyaikana eri ulkoisilla sidosryhmillä on merkittävä rooli organisaatioiden toiminnassa tai palvelujen tuottamisessa. Sidosryhmät voivat asettaa organisaation toiminnalle vaatimuksia, jotka organisaation on otettava huomioon riskienhallinnassaan ja suunnitellessaan toimintansa jatkuvuutta. Sidosryhmien vaatimusten lisäksi on otettava huomioon toimintaympäristöön vaikuttavat lait, asetukset ja määräykset. Organisaatiolla on oltava menettelyt, joilla se seuraa lakien ja viranomaisten vaatimusten muutoksia sekä olennaisten sidosryhmien intressien vaikutuksia toimintoihinsa tai palveluihinsa.

10 10 (60) Kuva Esimerkki sidosryhmistä 2.4 Noudatettava lainsäädäntö Tiedonhallintalaki (HE 284/2018, hyväksytty eduskunnassa , voimaan ) Laki on tiedonhallintaa koskeva yleislaki, joka koskee laajasti viranomaistoiminnassa tapahtuvaa tiedonhallintaa. Lailla varmistetaan viranomaisten tietoaineistojen yhdenmukainen hallinta ja tietoturvallinen käsittely julkisuusperiaatteen toteuttamiseksi. Lisäksi laissa säädetään viranomaisten tietojärjestelmien välillä tapahtuvasta tietojen luovuttamisesta sähköisesti. Tiedonhallintalain keskeisiä tietoturvaan liittyviä säädöskohtia ovat: Henkilöstön ja palveluntuottajien luotettavuuden varmistaminen (12 ) Tietoaineistojen ja tietojärjestelmien tietoturvallisuus (13 ) Tietojen siirtäminen tietoverkossa (14 ) Tietoaineistojen turvallisuuden varmistaminen (15 ) Tietojärjestelmien käyttöoikeuksien hallinta (16 ) Lokitietojen kerääminen (17 ) Turvallisuusluokittelu (18 ) Tietojen luovuttaminen teknisen rajapinnan avulla viranomaisten välillä (22 ) Katseluyhteyden avaaminen tietovarantoon viranomaiselle (23 ) Tietoaineistojen luovuttaminen teknisen rajapinnan avulla muille kuin viranomaisille (24 ) Arkistolaki (831/1994) Laissa säädetään asiakirjojen (tietoaineistojen) siirtämisestä arkistoon ja arkiston hallinnoinnista.

11 11 (60) EU:n tietosuoja-asetus (EU 679/2016) Asetusta sovelletaan lähtien ja se korvaa vuoden 1995 henkilötietodirektiivin (95/46/EY) sekä sen kansalliseksi täytäntöön panemiseksi annetun henkilötietolain (523/1999) säännökset niiltä osin kuin henkilötietojen käsittely kuuluu asetuksen soveltamisalaan. Asetus määrittelee mm. mikä tieto on henkilötietoa ja mitkä henkilötiedot ovat erityisiä henkilötietoja (arkaluonteisia henkilötietoja), millä perusteilla henkilötietoja voi käsitellä ja mitä periaatteita henkilötietoja käsiteltäessä on noudatettava, mitkä ovat rekisteröityjen, eli henkilöiden, joiden tietoja käsitellään, oikeudet, mitä velvollisuuksia henkilötietojen käsittelyyn liittyy, millä edellytyksillä henkilötietoja voi siirtää EU:n ulkopuolelle, millaisia seuraamuksia asetuksen säännösten rikkomisesta voidaan määrätä. Asetus edellyttää useissa kohden riskiperusteista lähestymistä, minkä vuoksi tässä ohjeessa kuvattua toimintamallia suositellaan sovellettavaksi myös tietosuojaa kehitettäessä. Laki digitaalisten palvelujen tarjoamisesta (306/2019) Lain tarkoituksena on edistää digitaalisten palvelujen saatavuutta, laatua, tietoturvallisuutta sekä sisällön saavutettavuutta ja siten parantaa jokaisen mahdollisuuksia käyttää yhdenvertaisesti digitaalisia palveluja. Tällä lailla pannaan täytäntöön julkisen sektorin elinten verkkosivustojen ja mobiilisovellusten saavutettavuudesta annettu Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/2102,(saavutettavuusdirektiivi). Laki viranomaisen toiminnan julkisuudesta (621/1999) Viranomaisen on hyvän tiedonhallintatavan luomiseksi ja toteuttamiseksi huolehdittava asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muista tietojen laatuun vaikuttavista tekijöistä. Viranomaisen on suunniteltava ja toteutettava asiakirja- ja tietohallintonsa samoin kuin ylläpitämänsä tietojärjestelmät ja tietojenkäsittely niin, että asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen suoja, eheys ja laatu turvataan asianmukaisin menettelytavoin ja tietoturvallisuusjärjestelyin. Tässä yhteydessä tulee ottaa huomioon tietojen merkitys ja käyttötarkoitus, asiakirjoihin ja tietojärjestelmiin kohdistuvat uhkatekijät sekä tietoturvallisuustoimenpiteistä aiheutuvat kustannukset. Kuntalaki (410/2015) Lain mukaan valtuuston tulee päättää kunnan ja kuntakonsernin sisäisen valvonnan ja riskienhallinnan perusteista (14 7). Hallintosäännössä tulee olla myös tarpeelliset määräykset hallinnon ja talouden riskienhallinnasta (39, 47, 67, 90 ). Riskienvalvonnan järjestäminen tulee myös ilmetä kunnan toimintakertomuksesta (115 ). Tilintarkastajan on otettava myös kantaa, onko sisäinen valvonta ja riskienhallinta sekä konsernivalvonta järjestetty asianmukaisesti (123 )

12 12 (60) Laki valtion talousarviosta (423/1988) Talousarviolain 24 b :n mukaan viraston ja laitoksen on huolehdittava siitä, että sisäinen valvonta on asianmukaisesti järjestetty sen omassa toiminnassa sekä toiminnassa, josta virasto ja laitos vastaa. Sisäisen valvonnan järjestämistä johtaa ja sen asianmukaisuudesta ja riittävyydestä vastaa viraston ja laitoksen johto. Riskienhallinta on osa sisäistä valvontaa ja siten jokaisen valtion viraston lakisääteinen tehtävä. Asetus valtion talousarviosta (1243/1992) Talousarvioasetuksen 69 :ssä säädetään tarkemmin sisäisen valvonnan sisällöstä, tavoitteista ja sen järjestämistä koskevista vaatimuksista. Viraston ja laitoksen johdon on huolehdittava asianmukaisista menettelyistä (sisäinen valvonta) talouden ja toiminnan laajuuteen ja sisältöön sekä niihin liittyviin riskeihin nähden. Menettelyillä varmistetaan talouden ja toiminnan laillisuus ja tuloksellisuus, varojen ja omaisuuden turvaaminen, johtamisen ja ulkoisen ohjauksen edellyttämät oikeat ja riittävät tiedot viraston ja laitoksen taloudesta ja toiminnasta. Työturvallisuuslaki (738/2002) Työnantajan on työn ja toiminnan luonne huomioon ottaen riittävän järjestelmällisesti selvitettävä ja tunnistettava työstä, työajoista, työtilasta, muusta työympäristöstä ja työolosuhteista aiheutuvat haitta- ja vaaratekijät sekä, jos niitä ei voida poistaa, arvioitava niiden merkitys työntekijöiden turvallisuudelle ja terveydelle. Valmiuslaki (1552/2011) Valtioneuvoston, valtion hallintoviranomaisten, valtion itsenäisten julkisoikeudellisten laitosten, muiden valtion viranomaisten ja valtion liikelaitosten sekä kuntien, kuntayhtymien ja muiden kuntien yhteenliittymien tulee valmiussuunnitelmin ja poikkeusoloissa tapahtuvan toiminnan etukäteisvalmisteluin sekä muilla toimenpiteillä varmistaa tehtäviensä mahdollisimman hyvä hoitaminen myös poikkeusoloissa. Puolustustilalaki (1083/1991) Puolustustilalaki viittaa useassa kohdassa valmiuslakiin. Valmiuslaki kuvaa viranomaisten velvoitteet, joiden tarkoituksena on poikkeusoloissa suojata väestöä sekä turvata sen toimeentulo ja maan talouselämä, ylläpitää oikeusjärjestystä, perusoikeuksia ja ihmisoikeuksia sekä turvata valtakunnan alueellinen koskemattomuus ja itsenäisyys. Valtioneuvoston päätös huoltovarmuuden tavoitteista (1048/2018), velvoittaa viranomaisia varautumiseen. Sen lisäksi varautumisen ohjauksessa ja vaatimusten muodostamisessa keskeisiä ovat: Valtioneuvoston periaatepäätös valtionhallinnon tietoturvallisuuden kehittämisestä (2009)

13 13 (60) Valtioneuvoston periaatepäätös yhteiskunnan turvallisuusstrategiasta (YTS2017) Valtioneuvoston periaatepäätös Suomen kyberturvallisuusstrategiasta (2013)

14 14 (60) 3 RISKIENHALLINTA Riskillä tarkoitetaan epävarmuuden vaikutusta tavoitteisiin, poikkeamaa odotetusta; vaikutus voi olla myönteinen tai kielteinen odotettuun verrattuna. Riskienhallinta tarkoittaa koordinoitua toimintaa, jolla organisaatiota johdetaan ja ohjataan riskien osalta. Organisaation on tunnettava toimintaympäristönsä, jotta se voi tunnistaa oleelliset riskit toiminnalleen ja hallita näitä riskejä. Toimintaympäristön määrittelyä on kuvattu tämän oppaan luvussa 2 Toimintaympäristön tunteminen. 3.1 Yleistä riskienhallinnasta Julkisten ja yksityisten organisaatioiden tulisi riskienhallinnassaan keskittyä yhteiskunnallisiin ja taloudellisiin tavoitteisiinsa. Sen sijaan, että digitaalisia riskejä käsiteltäisiin teknisenä ongelmana, joka edellyttää teknisiä ratkaisuja, niihin tulisi suhtautua taloudellisina riskeinä ja niiden tulisi näin ollen sisältyä olennaisena osana organisaation yleisiin riskienhallinnan ja päätöksenteon prosesseihin. On torjuttava käsitys, että digitaaliseen turvallisuuteen kohdistuviin riskeihin tulisi vastata muista riskiluokista perustavanlaatuisesti poikkeavalla tavalla. Turvallisuuteen kohdistuva riski voidaan dynaamisen hallinnan avulla pienentää kyseessä olevasta toiminnasta odotettaviin hyötyihin nähden hyväksyttäväksi katsottavalle tasolle. Digitaalisen turvallisuuden toimenpiteet tulisi suunnitella tavalla, joka huomioi toisten edut, on soveltuva ja oikeasuhteinen aiheutuviin riskeihin nähden, eikä tuota haittaa sille taloudelliselle ja yhteiskunnalliselle toiminnalle, jota toimenpiteillä pyritään suojelemaan. Oikein toteutettu ja toimiva riskienhallinta vaikuttaa tärkeimpänä prosessina digitaalisen turvallisuuden eli muun muassa tieto- ja kyberturvallisuuden sekä tietosuojan taustalla. Riskienhallinta on entistä tärkeämpää, kun tarve turvallisuuden eri osa-alueiden kehittämiseen on noussut. Tähän ovat vaikuttaneet niin toiminnan digitalisaatio, teknologian tarjoamat uudet mahdollisuudet kuin myös nopeasti kehittyneet uudenlaiset uhkat ja riskit. Ilman toimivaa riskienhallintaa vaarana on, että organisaatio ei tunnista tavoitteidensa saavuttamista uhkaavia tai jokapäiväiseen toimintaan liittyviä merkittäviä uhkia ja ettei se saa niitä hallintaan. Riskienhallinta toimii myös erinomaisena työvälineenä, kun organisaation tulee kehittää omaa turvallisuuttaan parantavia prosesseja, toimenpiteitä ja palveluita. Riskienhallinnan avulla saavutetaan kustannustehokkuutta, kun kehittäminen voidaan ohjata aidosti sellaisten asioiden toteuttamiseen, joilla on merkittävä vaikutus jonkun tunnistetun uhkan todennäköisyyden tai vaikutuksen pienentämiseen. Riskienhallinnassa on nostettava esille myös (positiivisten) mahdollisuuksien tunnistaminen, koska niiden hyödyntämättä jättäminen voi muodostaa uhkan esimerkiksi organisaation toiminnan kehittämiselle tai tavoitteiden saavuttamiselle. Tästä hyvä esimerkki on toiminnan digitalisaatio, joka tulisi nähdä merkittävänä toiminnan kehittäjänä ja mahdollistajana. Toiminnan digitalisaatiossa on kuitenkin myös osattava tunnistaa siihen liittyviä uhkia. 3.2 Riskienhallinta johtamisen ja päätöksenteon välineenä Riskienhallintaa tulisi käyttää toiminnan mahdollistajana ja kehittämisen tukena.

15 15 (60) Johdon tärkeimpiä tehtäviä ovat strategian toteuttaminen ja asetettujen tavoitteiden saavuttaminen. Toimiva riskienhallinta mahdollistaa niissä onnistumisen. Hyvin rakennettu perusta varmistaa alustan, jolta ponnistaen voi riskejä ottaa ja hallita. Riskienhallinnalla varaudutaan myös jokapäiväisiin toimintaan kohdistuviin uhkiin, joiden määrä ja vaikutus digitaalisessa toimintaympäristössä kasvavat. Seuraavassa kuvassa on havainnollistettu organisaation toiminnan ja riskienhallinnan yhteys sekä johdon tehtäviä ja rooleja riskienhallinnassa. Tavoitteiden saavuttaminen ja toiminnan onnistuminen edellyttää kunnossa olevaa perustaa sekä toimivaa riskienhallintaa. Johto on näiden edistämisessä keskeisessä asemassa. Käytettävissä olevat resurssit sekä niiden ohjaaminen ja kehittäminen vaikuttavat olennaisesti riskienhallinnassa onnistumiseen. Kuva Organisaation toiminnan ja riskienhallinnan yhteys Jokainen organisaatio päättää joko tietoisesti tai tiedostamattaan oman riskienhallinnan tason ja panostukset siihen. Riskienhallinnan olisi tuotettava havaittavissa olevaa lisäarvoa organisaation toiminnalle. Riskien hallintatoimenpiteiden toteuttamisen kustannusten ja vaikutusten tulisi olla mitattavissa.

16 16 (60) 3.3 Riskienhallintapolitiikka Kuva Riskienhallinnan taso Riskienhallinnan tulisi olla dynaamista ja huomioida toiminnan luonne, kriittisyys sekä toimintaympäristön muutokset. Riskienhallinnassa on keskeistä määritellä arvioinnissa löydetyille merkittävimmille riskeille tarvittavat hallintatoimenpiteet ja vastuut sekä varmistaa sovittujen hallintatoimenpiteiden eteneminen. Torjuminen esimerkiksi pidättäytymällä riskejä sisältävästä toiminnasta on tehokas uhkilta suojautumistoimenpide, mutta toiminnasta pidättäytyminen voi johtaa samalla myös positiivisten mahdollisuuksien menettämiseen. Yleisin suojautumistoimi on riskien lähteeseen vaikuttaminen siten, että riskien suuruutta tai sen merkitystä pienennetään. Samankaltainen vaikutus saavutetaan myös vaikuttamalla riskien todennäköisyyteen. Riskit voidaan jättää myös käsittelemättä, mikäli suojautumistoimenpiteet eivät pienentäisi riskejä tai niiden arvioidaan olevan siedettävissä. Joihinkin riskeihin sisältyy myös mahdollisuuksia, jolloin niitä riskejä voidaan ottaa tietoisesti tai jopa lisätä. Hallintatoimenpiteiden jälkeen voimaan jääviä riskejä, joihin ei voida tai haluta enää vaikuttaa, kutsutaan jäännösriskeiksi. Organisaatiolla pitäisi olla johtoryhmätason hyväksymä menetelmä jäännösriskien käsittelemiseksi ja niiden nostamiseksi tarvittaessa myös johtoryhmän käsiteltäväksi. Riskienhallinnan toimenpiteiden tärkein tavoite ei aina ole poistaa tai edes pienentää kaikkia mahdollisia riskitekijöitä. Riskien tunteminen on kuitenkin tärkeätä, jotta organisaatio voi varautua riskeihin toimintansa jatkuvuuden hallinnassa. Riskienhallinta voi myös auttaa organisaatiota tunnistamaan riskeihin sisältyviä mahdollisuuksia, tarvittaessa säilyttämään valittuja riskejä ja jopa lisäämään riskinottoa riskinottokykynsä puitteissa. Kun riskinottokyky on pieni, on suurta uhkaa sisältäviltä riskeiltä suojauduttava. Vastaavasti kyvyn ollessa korkea on mahdollisuuksia sisältäviä riskejä helpompi sietää. Organisaation on hyvä laatia itselleen riskienhallintapolitiikka ohjaamaan organisaation riskienhallintaa ja jatkuvuudenhallintaa. Riskienhallintapolitiikan laatimisessa voidaan hyödyntää valtioneuvoston asettaman sisäisen valvonnan ja riskienhallinnan neuvottelukunnan valmistelemaa valtionhallinnon riskienhallintapolitiikkamallia. Neuvottelukunta on myös koonnut riskienhallinnan järjestämistä koskevaa aineistoa hyödynnettäväksi virastojen riskienhallinnan kehittämisessä. Aineisto on tarkoitettu viraston johdon sekä riskienhallinnan kehittäjien käyttöön.

17 17 (60) 3.4 Riskienhallintaprosessi Politiikkamalli ja aineisto ovat saatavilla osoitteesta Niitä voivat hyvin soveltaa myös muut organisaatiot kuin valtionhallinnon virastot. Riskienhallintaan on tarpeen luoda toimiva riskienhallintaprosessi, joka kattaa kaikki riskeille tehtävät toimenpiteet. Riskienhallintaprosessi kytketään organisaation johtamis- ja tulosohjausmalliin ja edelleen tulostavoitteisiin. Riskienhallinnan tehtävät sisällytetään organisaation vuosikelloon. Alla oleva kuva havainnollistaa riskienhallintaprosessia. Prosessin vaiheet ovat toimintaympäristön määritteleminen, arviointiprosessi ja tunnistettujen riskien käsittely, joista jokaiseen liittyy seuranta ja katselmointi sekä viestintä ja tiedonvaihto. (Kuvan lähde: ISO ) Kuva Riskienhallintaprosessi Johdon tehtävänä on Varmistaa, että riskienhallinta on osa organisaation johtamisjärjestelmää. Varmistaa, että riskienhallintapolitiikka ja -prosessit ovat ajan tasalla. Varmistaa, että organisaatiolla on tarvittavat resurssit ja tahtotila riskienhallinnan toteuttamiseen. Tarkistaa, että riskienhallinta on käytössä niissä toiminnoissa, joissa sitä on sovittu käytettävän. Huolehtia, että riskienhallinta toteutuu sovitusti vuosikellon mukaisesti Riskienhallinnan toimintaympäristön määritteleminen Riskienhallintaprosessissa toimintaympäristön määrittelyvaiheessa tehdään riskien arvioinnin kannalta keskeiset rajaukset siitä, mitä sisällytetään riskien arviointiin ja mitä jätetään sen ulkopuolelle. Merkittävimpien riippuvuuksien tunnistaminen on myös välttämätöntä. Toimintaympäristön määrittelyn yhteydessä riskien arvioinnin kohde tarkentuu. Toimintaympäristön määrittelyä on kuvattu tämän oppaan luvussa 2 Toimintaympäristön tunteminen.

18 18 (60) Riskien arviointiprosessi Riskien arviointiprosessi on organisaation sopima ja johdon hyväksymä yhteinen menetelmä, jota käytetään riskien arviointiin. Arviointiprosessi sisältää seuraavat vaiheet: tunnistaminen analyysi merkityksen arviointi. Prosessin vaiheiden olisi lopulta johdettava riskien käsittelyyn eli riskeihin kohdistettaviin toimenpiteisiin Riskien tunnistaminen Tunnistamisen tavoite on havaita ja kuvata kaikki merkittävät riskit ja mahdollisuudet, riskien lähteet, vaikutusalueet, tapahtumat, mukaan lukien olosuhteiden muutokset ja niiden syyt sekä mahdolliset seuraukset. Tunnistamiseen osallistuvien henkilöillä tulisi olla tarkasteltavan toiminnan riittävä asiantuntemus. Tunnistamisessa otetaan huomioon organisaatioon vaikuttavat tekijät riippumatta siitä, onko riskien lähde organisaation itsensä hallinnassa. Riskille määritellään riskiluokka organisaatiossa valitun jaottelun mukaisesti. Riskit voidaan jakaa luokkiin esimerkiksi seuraavasti: strategiset, joilla on vaikutusta esimerkiksi tavoitteiden saavuttamiseen operatiiviset, joilla on vaikutusta esimerkiksi toiminnan tai palvelun laadun toteutumiseen taloudelliset, joilla on vaikutusta esimerkiksi rahoitukseen sekä yleensä talouteen ja varojen käyttöön vahinkoriskit, joilla on vaikutusta esimerkiksi käytössä oleviin resursseihin (ihmiset, koneet ja laitteet, toimitilat, ym.). Riskien tunnistamisen yhteydessä kirjataan kaikki olennaiset riskit havaitaan mahdollisesti myös uusia ja aiemmin tunnistamattomia riskejä tunnistetaan mahdolliset riippuvuuksista johtuvat riskit. Riskien tunnistamisvaiheen tuloksena muodostuu työ-/asialista niistä riskeistä, joiden todennäköisyyttä ja vaikutusta tulee arvioida analyysivaiheessa Riskianalyysi tiedetään tarkemmin toimintaa uhkaavat ja vaarantavat riskitekijät tulevat esiin myös ne riskit, jotka sisältävät aikaisemmin tunnistamattomia mahdollisuuksia. Analyysin avulla luodaan perusta päätöksille siitä, mitä ja miten riskejä käsitellään. Arvioitavana ovat riskin luonne ja suuruus.

19 19 (60) Strategisten riskien ja uusien mahdollisuuksien arviointi perustuu monissa tapauksissa kvalitatiiviseen tarkasteluun. Riskienoton tuottamaa hyötyä voidaan arvioida esimerkiksi taloudellisilla, toiminnallisilla tai laadullisilla kriteereillä. Riskinottohalua ja -kykyä voidaan arvioida esimerkiksi meneillään olevilla muilla uudistuksilla tai hankkeilla, käytettävissä olevilla resursseilla ja osaamisella sekä taloudellisilla mahdollisuuksilla. Operatiiviset ja vahinkoriskit voidaan usein analysoida arvioimalla riskien toteutumisen todennäköisyyttä ja niiden vaikutuksia. Todennäköisyyden ja vaikutuksen arvioinnissa käytetään yleensä ennalta määrättyä asteikkoa. Esimerkki analyysiasteikosta: Todennäköisyyden arviointi, esimerkkinä neliportainen asteikko: 1 Epätodennäköinen: Tapahtuma toteutuu vain poikkeuksellisissa oloissa. Mahdollisuus toteutumiseen on tällöin enimmäkseen teoreettinen. Esimerkiksi silloin, kun riskin ei tiedetä aikaisemmin toteutuneen. 2 Mahdollinen: Tapahtuma saattaa toteutua joissakin olosuhteissa tai tapauksissa. Tapahtuma on toteutunut joskus omassa organisaatiossa tai muualla. 3 Todennäköinen: Tapahtuman tiedetään tai odotetaan toteutuvan mitä suurimmalla todennäköisyydellä. 4 Lähes varma: Tapahtuma toteutuu tai on toteutunut usein ja on tapahtunut useita läheltä piti -tilanteita. Vaikutuksen arviointi, esimerkkinä neliportainen asteikko: 1 Vähäinen: Riskin toteutumisesta voi aiheutua vähäistä haittaa strategisen tavoitteen saavuttamiselle. Toteutumisella on vähäinen vaikutus organisaation toimintaan. 2 Kohtalainen: Riskin toteutuminen viivästyttää tai heikentää selvästi mahdollisuuksia saavuttaa yhtä tai useampia strategisista tavoitteista. Seuraus tai tapahtuma, jonka vuoksi ei tarvitse keskeyttää toimintaa, mutta saatetaan joutua muuttamaan toiminnallisia suunnitelmia. Tapahtumasta voi aiheutua vähäisiä kustannuksia. Maine luotettavana toimijana vaarantuu. 3 Merkittävä: Riskin toteutuminen vaikeuttaa, hidastaa tai muutoin vaarantaa merkittävällä tavalla tärkeän strategisen tavoitteen saavuttamisen. Toteutuminen voi aiheuttaa merkittävää vahinkoa tai kustannuksia. Seuraus tai tapahtuma, jonka vuoksi toiminta joudutaan keskeyttämään, tai tapahtuman seurauksena aiheutuu vähäistä suurempia kustannuksia. Tapahtumasta voi aiheutua myös omaisuuden rikkoontumista. Yksittäisten ihmisten terveys tai henki voi vaarantua. Maine luotettavana toimijana heikentyy merkittävästi. 4 Kriittinen: Riskin toteutuminen estää tai keskeyttää kokonaan esimerkiksi toiminnan kannalta tärkeän strategisen tavoitteen saavuttamisen tai jonkin organisaation tuottaman kriittisen prosessin tai palvelun. Toteutumisesta voi seurata suurta vahinkoa tai kustannuksia myös muille. Seuraus tai tapahtuma, jonka vuoksi toiminta joudutaan keskeyttämään ja se estyy pitkähköksi ajaksi. Tapahtumasta voi aiheutua merkittäviä kustannuksia organisaation

20 20 (60) tai valtionhallinnon näkökulmasta katsottuna. Suuren ihmisjoukon terveys tai henki vaarantuu ja sillä voi olla vaikutusta laajalti koko yhteiskunnan toimintaan. Suomen maine tai asema kansainvälisissä yhteyksissä vaarantuu. Riskejä analysoitaessa: on mahdollista muodostaa käsitys siitä, mitä riskejä voi ottaa, miten usein tai todennäköisesti jokin riski voi toteutua saadaan muodostettua käsitys siitä, mitä riskin ottamisesta tai toteutumisesta voi seurata. Riskien analysoinnin tuloksena: on kirjattuna yhteinen (paras saatavilla oleva) näkemys riskikohtaisista todennäköisyyksistä ja vaikutuksista Riskien merkityksen arviointi on luotu perusta riskien merkityksen arvioinnille eli päätöksenteolle siitä, mitä riskeille tullaan tekemään tai jätetään tekemättä. Merkityksen arvioinnin tavoitteena on auttaa tekemään päätöksiä, mitä riskejä on tarpeen käsitellä ja mikä on käsittelyn tärkeysjärjestys. Merkityksen arvioinnin yhteydessä voidaan päättää, että joitakin havaittuja riskejä ei käsitellä. Lisäksi merkityksen arvioinnin yhteydessä päätetään mahdollisista täydennys- tai uudelleenarviointitarpeista. Riskin suuruuden perusteella muodostuu tarve käsittelylle ja toimenpiteitä vaativalle päätöksenteolle esimerkiksi seuraavasti: Kriittinen tai ei siedettävissä oleva riski. Tällainen riskitekijä vaatii yleensä välittömiä toimia. Merkittävä tai nopeasti toimenpiteitä vaativa riski. Yleensä tämän kaltaiselle riskille on luotava suunnitelma, jolla sitä hallitaan, esimerkiksi sen pienentämisen osalta. Huomioitava tai seurattava riski. Välittömät toimenpiteet eivät ole välttämättömiä, mutta riskiä ja sen kehittymistä on seurattava. Ei riskiä tai hyvin matala riski. Ei vaadi välittömiä toimenpiteitä. Jäännösriski. Sellainen riski tai riskin osa, joka jää tehtyjen toimenpiteiden jälkeen voimaan, vaikka riskin vaikutusta tai todennäköisyyttä on pienennetty. Otettava riski. Riski, joka halutaan ottaa uusien mahdollisuuksien saavuttamiseksi. Riskien merkitystä arvioitaessa päätetään, mitä riskien suhteen tehdään arvioidaan toimenpiteiden tärkeyttä ja kiireellisyyttä Merkityksen arvioinnin tuloksena käytettävissä on työlista tehtävien vastuuttamista ja tavoiteaikataulujen asettamista varten.

21 21 (60) Riskien käsittely Riskien käsittelyn tulisi olla säännöllisesti toistuva prosessi, jossa päätetään toimenpiteet ja vastuulliset riskeille ja linjataan mahdollisten jäännösriskien sietämisestä. Käsittelyprosessi toteutetaan siinä organisaation toiminnossa, jolle se on vastuutettu. Nämä vastuut, myös johtoryhmän käsittelyn osalta, on kuvattu esimerkiksi organisaation riskienhallintapolitiikassa. Käsittelyvaihtoehdot ovat useimmiten seuraavia: torjuminen, esim. pidättäytymällä riskejä aiheuttavasta toiminnasta riskin ottaminen tai lisääminen jonkin mahdollisuuden saavuttamiseksi riskin syyn poistaminen riskin toteutumisen todennäköisyyteen vaikuttaminen riskin toteutumisen seurauksiin varautuminen tai vaikuttaminen riskin jakaminen osittain tai kokonaan yhden tai useamman osapuolen kesken tilanteen säilyttäminen sellaisenaan. Riskienhallintaa tukee riskienkäsittelysuunnitelman laatiminen, sen toteuttaminen ja säännöllinen seuranta. Suunnitelmasta käytetään usein myös nimitystä riskisalkku. Suunnitelman pääkohdiksi valitaan usein mm. riskit ja niiden käsittelytavat suunnitelman hyväksyjätahot ja toteuttamisvastuulliset riskeille tehtävät toimenpiteet käsittelyn tavoiteaikataulut, raportointi ja seuranta. Riskien käsittelyssä päätetään riskien omistajat riskienhallintatoimenpiteet toteutusaikataulut ja vastuuhenkilöt valvontavastuut. Riskien käsittelyn tuloksena saadaan kokonaisnäkemys riskeistä, niiden tasosta, käsittelytoimenpiteistä, vastuista ja aikataulusta Riskien seuranta, katselmointi ja viestintä Riskienhallintakeinojen vaikuttavuus ja tehokkuus varmistetaan seurannan ja katselmoinnin avulla. Ne suunnitellaan osaksi riskienhallintaprosessia ja vastuut määritellään ja viestitään selvästi. Seurantaan ja katselmointiin sisältyvät toimintaympäristön sisäisten ja ulkoisten muutosten, riskien muutosten ja riskikriteerien muutostarpeiden havaitseminen. Seurantaan ja katselmointiin kuuluu myös valvontaa ja tarkastuksia, joita voidaan tehdä määrävälein tai tapauskohtaisesti.

22 22 (60) Riskien seurannassa ja katselmoinnissa arvioidaan riskienhallinnan ja riskien käsittelyn tavoitteiden onnistumista. Seurannan ja katselmoinnin tuloksena voidaan puuttua tilanteisiin, joissa riskit ovat vaarassa jäädä käsittelemättä tiedetään, miten organisaation riskienhallinnassa onnistutaan. Riskien tunnistaminen, analysointi ja niiden merkityksen arviointi edellyttävät arvioinnin kohteena oleviin riskeihin ja toimintaympäristöön liittyvien osapuolten välistä viestintää. Myös riskien käsittely edellyttää niihin liittyvien osapuolten välistä aktiivista ja säännöllistä tiedonvaihtoa niin kauan kuin riski on olemassa. Riskienhallinnan viestinnässä varmistetaan jokaisessa vaiheessa olennaisten osapuolten kesken tarvittava tiedonvälitys. Viestinnän tuloksena tieto riskeistä tavoittaa tahot, joiden tulee olla niistä tietoisia on mahdollista jakaa riskienhallinnassa ja riskien käsittelyssä tarvittavaa tietoa toimenpiteistä ja valvonnasta vastuullisten kesken. 3.5 Riskienhallinnan viitekehyksiä ja apuvälineitä Riskien arviointityökalu Valtiovarainministeriö on julkaissut riskien arviointia varten Excel-työkalun (perusversio ja laajempi versio) sekä työkaluun liittyvän käyttö- ja täyttöohjeen. Riskien tunnistaminen Riskianalyysi Riskin merkityksen arviointi Riskin käsittely Riskin Riskiluokka Riski (riskin nimi) Riskin kuvaus (mistä riski Todennäköisyys Vaikutus Riskin suuruus (T x Toimenpidetarpeet Toimenpideehdotukset riskin vapaamuotoinen Toimenpiteiden Vastuuhenkilö tunniste johtuu, mitä voi tapahtua V) riskin käsittelylle toteutuessa): (vakavuus/sietokyky) käsittelylle (sanallinen) kuvaus Kuva Riskienarviointityökalu Perusversio: Tavoiteaikataulu (mihin mennessä toimenpiteitä) Lisätietoja

23 23 (60) Laajempi versio: VM 22/2017 Ohje riskienhallintaan, Riskiarviointityökalu - käyttö- ja täyttöohje: 106c40790d88&groupId= ISO Riskienhallinta ISO Riskienhallinta on standardointiorganisaation ISO (International Organization for Standardization) julkaisema standardi, joka antaa selkeän rakenteen organisaation riskienhallinnan kehittämiseen. Standardissa riskienhallinta jaetaan kolmeen pääkohtaan: Riskienhallinnan periaatteet: Organisaation johdon päättämät riskienhallintaan liittyvät periaatteet ja tavoitteet, jotka on kuvattu riskienhallintapolitiikka tai -periaatteet dokumentissa. Riskienhallinnan puitteet: Koostuvat osatekijöistä, jotka yhdessä muodostavat organisaation riskienhallinnan suunnittelun, toteutuksen, seurannan, katselmoinnin ja jatkuvan kehittämisen perustan ja organisoinnin. Riskienhallinnan prosessi: Sisältää hallintaperiaatteiden, -menettelyjen ja -käytäntöjen järjestelmällisen soveltamisen viestintään ja tiedonvaihtoon sidosryhmien kanssa, toimintaympäristön määrittelemiseen liittyviin toimintoihin sekä riskien tunnistamiseen, analysointiin, arviointiin, käsittelyyn, seurantaan ja katselmointiin. ISO standardi on kaupallinen kansainvälinen riskienhallinnan malli, joka soveltuu sellaisenaan riskienhallinnan toteuttamisen viitekehykseksi tai sillä voidaan täydentää muiden ISO-hallintajärjestelmästandardien (mm. ISO 9000 Laadunhallinta, ISO Ympäristöjohtaminen, ISO Yhteiskuntavastuu, ISO Tietoturvallisuuden hallinta, ISO Omaisuudenhallinta, OHSAS Työterveys- ja työturvallisuusjohtaminen, ym.) vaatimustenmukaisuutta Vaikutusanalyysi (Business Impact Analysis, BIA) Vaikutusanalyysillä tarkoitetaan toiminnan keskeyttävien tai toiminnan jatkuvuutta häiritsevien uhkien tunnistamista sekä toimintaan liittyvien riippuvuuksien tunnistamista. Vaikutusanalyysissä pyritään kartoittamaan erilaisten riskien toteutumisen toiminnalliset vaikutukset. Niiden perusteella voidaan valita jatkuvuuden turvaamiseen ja toipumistilanteisiin oikeat ja riittävät toimenpiteet. Tieto- ja kyberturvallisuuden näkökulmasta vaikutusanalyysissä erityisesti valtionhallinnon tai muun julkisen sektorin organisaation toiminnan kannalta tarkasteltavia asioita ovat mm. Vaikutukset omaan operatiiviseen toimintakykyyn

24 24 (60) Vaikutukset säädösperusteisten tehtävien suorittamiseen (vrt. myös yhteiskunnan elintärkeät tehtävät) Vaikutukset yhteiskunnalle Riippuvuussuhteet ja niiden vaikutukset: Oman organisaation riippuvuus toisesta osapuolesta tai palvelusta tai toisista organisaatioista tai palveluista Toisen organisaation tai palvelun riippuvuus oman organisaation tuottamasta palvelusta tai toiminnasta. Kuva BIA-analyysi Huolellisesti toteutetulla vaikutusanalyysillä (ns. BIA-analyysi) voidaan selvittää esimerkiksi palvelun tai järjestelmän tärkeys, kriittiset riippuvuudet, toimintaa uhkaavat riskit ja uhat sekä tarvittavat jatkokehitystoimet. Toiminnan vaikutusanalyysissä kerätään tietoa toimintaympäristöstä haastattelemalla toiminnasta vastaavia henkilöitä ja käymällä läpi dokumentaatiota. Toiminnan tuntemus on keskeistä vaikutusanalyysin kannalta. Kun toimintaympäristö, suojattavat kohteet ja niihin liittyvät ydinprosessit ja -toiminnot tunnetaan, voidaan ne luokitella kerättyjen tietojen perusteella kriittisyysluokkiin. Vaikutusanalyysissä arvioidaan keskeytysten vaikutuksia toiminnalle, ja siinä voidaan käyttää esimerkiksi seuraavia rahallisia tai laadullisia tekijöitä: Toiminnalliset / palvelun saatavuusvaikutukset (laadullinen) Kansalaisen luottamus viranomaiseen (laadullinen) Julkisuuskuva, uskottavuus, brändi (laadullinen) Organisaation lakisääteiset tehtävät (rahallinen / laadullinen) Mahdolliset sanktiot jotka lankeavat palvelun toimimattomuuden seurauksena (rahallinen) Korjaustyöt ja toimintojen palauttaminen normaalitilaan (rahallinen) Työpanoksen menetys keskeytyksen vuoksi (rahallinen) Asiakastuen kuormittuminen (rahallinen / laadullinen)

25 25 (60) Taloudelliset vaikutukset (rahallinen) Tulonmenetys palvelun toimimattomuuden vuoksi, kuten tulonmenetys / liikevaihdon menetys, ei voida tilata, ostaa, prosessoida, toimittaa, laskuttaa (rahallinen). Vaikutusanalyysin onnistumiseksi on olennaista tunnistaa tärkeimmät palvelut ja toiminnot sekä määritellä keskeytysten laadulliset ja rahalliset vaikutukset toiminnalle. Riskien vaikutusten arviointitapa eri toimintojen välillä tulisi yhdenmukaistaa. Valtionhallinnossa on kehitetty ja toteutettu vaikutusanalyysityökalu (Excel), jonka avulla organisaatiot voivat arvioida toiminnalleen kriittisten palveluiden tärkeyttä sekä niihin kohdistuvien häiriöiden vaikutuksia. Työkalu on saatavissa -sivustolta (BIA-vaikutusarviotyökalu ). Kuva Vaikutusanalyysityökalu

26 26 (60) 3.6 Riskienhallintapolitiikka ja riskienhallinnan järjestäminen Riskienhallintapolitiikka Valtioneuvoston asettama sisäisen valvonnan ja riskienhallinnan neuvottelukunta on valmistellut valtionhallinnon riskienhallintapolitiikkamallin sekä koonnut riskienhallinnan järjestämistä koskevaa aineistoa hyödynnettäväksi virastojen riskienhallinnan kehittämisessä. Aineisto on tarkoitettu viraston johdon sekä riskienhallinnan kehittäjien käyttöön. sekä suora linkki alla olevaan mallipohjaan

27 27 (60)

28 28 (60) Riskienhallinnan järjestäminen Riskienhallintaa tarvitaan varmistamaan strategian ja tavoitteiden toteutumista, toimintaedellytyksiä ja toiminnan jatkuvuutta. Lisäksi se voi auttaa tunnistamaan uusia toimintamahdollisuuksia. Riskienhallinnalla varmistetaan myös talouden ja toiminnan laillisuutta ja tuloksellisuutta sekä hyvää hallintotapaa

29 29 (60) 4 TOIMINNAN JATKUVUUS JA VARAUTUMINEN 4.1 Yleistä toiminnan jatkuvuuden hallinnasta ja varautumisesta Jatkuvuudenhallinta on organisaation prosessi, jonka tavoitteena on varmistaa organisaation mahdollisimman häiriötön toiminnan jatkuminen sekä arvon tuottaminen kaikissa tilanteissa varmistamalla organisaation avaintoiminnot mahdollisimman hyvin. Jatkuvuudenhallinnan prosessissa tunnistetaan toiminnan uhat ja niiden vaikutukset sekä luodaan kattava toimintamalli toimintakyvyn hallinnalle. Jatkuvuudenhallinnalla tuetaan organisaation toimintaa sen päämäärien ja tavoitteiden saavuttamisessa. Organisaation olisi tunnistettava jatkuvuuden hallinnan eri osa-alueet ja varmistettava, että suunnitelmat kattavat normaaliolot ja normaaliolojen häiriötilanteet sekä poikkeusolot, mikäli organisaatiolla on velvoite toimia poikkeusoloissa. Organisaation tulisi suunnitella toimintansa jatkuvuutta ja varautua toiminnan häiriötilanteisiin sekä laatia toipumissuunnitelmat häiriötilanteista palautumista varten. Organisaation ulkoiset sidosryhmät tulisi huomioida ja ottaa mukaan jatkuvuussuunnitteluun. On hyvä pitää yllä keskustelua ja tiedonvaihtoa sidosryhmien kanssa, jotta jatkuvuus varmistetaan myös sidosryhmien toiminnassa ja jotta organisaatioiden jatkuvuussuunnitelmat ovat keskenään yhteensopivia. Sidosryhmät voivat myös esittää vaatimuksia, jotka tulisi huomioida jatkuvuussuunnittelussa. Organisaation tulisi tuntea toimintaympäristönsä ja kuvata se riittävällä tasolla voidakseen suunnitella ja toteuttaa toimintansa jatkuvuutta kattavasti ja onnistuneesti. Organisaation tulisi kuvata ja dokumentoida toimintonsa, palvelunsa, prosessinsa sekä tietojärjestelmänsä ja tietovarantonsa. Niiden keskinäiset riippuvuudet ja kriittisyys pitäisi kuvata ja ottaa jatkuvuussuunnittelun pohjaksi. Jatkuvuuden hallinnan tulisi tukea organisaation päätehtävien ja strategian toteuttamista. Toimintaympäristön määrittelyä on kuvattu tämän oppaan luvussa 2 Toimintaympäristön tunteminen 4.2 Jatkuvuuden hallinnan kehittäminen Jatkuvuuden hallinta ei ole kertaluonteinen projekti vaan jatkuva, kehittyvä prosessi. Jatkuvuuden hallinnan ja varautumisen tulisi olla kiinteä osa organisaation muuta toimintaa, prosesseja ja palveluita. Suunnitelmien päivitys ja ylläpito olisi vastuutettava. Suunnitelmien tarkastus ja päivitys sidotaan jatkuvuuden hallinnan vuosikelloon. Suunnitelmien ajantasaisuus varmistetaan säännöllisesti esimerkiksi vuosikellon mukaisissa harjoituksissa ja testauksissa. Lisäksi suunnitelmia päivitetään aina, kun toimintaympäristössä, riskeissä tai toiminnoissa tunnistetaan merkittäviä muutoksia tai suunnitelmien testauksissa löydetään virheitä tai puutteita. Kun tunnistetaan kehityskohteita, niihin pitäisi reagoida välittömästi ja päättää niiden korjaamiseen liittyvistä toimenpiteistä. Jatkuvuuden hallintajärjestelmän kehittäminen on hyvä perustaa prosessien jatkuvaan parantamiseen PDCA-syklin mukaisesti: Ensin suunnitellaan (plan), sitten toteutetaan (do), tarkistetaan

30 30 (60) (check) ja tehdään tarvittaessa korjaukset ja kehitystoimet (act). Korjausten jälkeen ympyrässä palataan alkuun eli suunnitteluun. Kehittäminen nähdään spiraalina, päättymättömänä prosessina jokaisen ympyrän kierroksen jälkeen ollaan kierros lähempänä kulloistakin tavoitetta. Kuva Jatkuvan kehittämisen PDCA-sykli Samaa jatkuvan kehittämisen mallia suositellaan käytettäväksi myös riskien hallinnassa sekä tieto- ja kyberturvallisuuden osa-alueissa. 4.3 Jatkuvuuden hallinnan kehittämistarpeiden arviointi Organisaatio voi arvioida jatkuvuuden hallintansa tilaa ja kehittämistarpeita esim. Kuntaliiton KUJA-jatkuvuudenhallintaprojekteissa kehitetyillä apuvälineillä ( ): KUJA-pikatestillä voi nopeasti karkealla tasolla, esimerkiksi osana johtoryhmän kokousta, alustavasti arvioida oman organisaation jatkuvuudenhallinnan kehittämistarvetta ja hahmottaa kehittämistoimenpiteiden tarpeellisuutta tulevaisuudessa.

31 31 (60) Kuva KUJA-pikatesti KUJA-arviointimallilla voidaan alle puolessa päivässä saada kartoitettua organisaation varautumisen ja jatkuvuudenhallinnan kehitettävät osakokonaisuudet. KUJA-arviointimallin avulla voidaan rakentaa myös jatkuvuudenhallinnan kehittämispolku. Kuva KUJA-arviointimalli 4.4 Jatkuvuuden hallintajärjestelmä ja järjestelmän piirissä oleva toiminta Jatkuvuuden hallintajärjestelmän muodostavat kaikki ne prosessit, toimenpiteet, työkalut ja suunnitelmat, joiden avulla varmistetaan organisaation toiminnan jatkuvuus. Hallintajärjestelmä perustuu jatkuvaan kehittämiseen, vaatimusten seuraamiseen ja päivittämiseen. Siihen rakennetaan mekanismit, joilla tunnistetaan uusien sidosryhmien vaatimukset ja pystytään vastaamaan muuttuneeseen toimintaympäristöön. Jatkuva kehittäminen ja toiminnan optimointi perustuvat suunnittelulle asetettuihin tavoitteisiin ja mittareihin, joita tarkastellaan säännöllisesti.

32 32 (60) Jatkuvuuden hallinnan onnistumiseksi organisaation tulee määritellä ja tunnistaa kriittiset toimintonsa. Kun ne on tunnistettu, niihin voidaan kohdistaa suunnittelun kannalta tärkeitä toimenpiteitä, kuten riskienhallinta ja toiminnan keskeytysvaikutusanalyysi. Ei ole mielekästä tai kustannustehokasta toteuttaa jatkuvuussuunnittelua kaikelle toiminnalle tai komponenteille, jotka eivät ole kriittisiä tai toteuta organisaation ydintehtäviä. Organisaation kriittisten palveluiden arvioinnissa apuvälineenä voi käyttää alun perin Juhta/VAHTI-yhteishankkeissa vuosina toteutettua ja JUDO-hankkeessa päivitettyä Excel-työvälinettä Palveluiden kriittisyysluokittelutyökalu (Palko). Palveluiden kriittisyysluokittelutyökalu Palko» Kuva Palveluiden kriittisyysluokittelutyökalu (Palko) 4.5 Jatkuvuuden hallinnan johtaminen Johdon sitoutuminen Jatkuvuuden hallintaa on johdettava kuten muitakin organisaation prosesseja. Jatkuvuuden hallinnan onnistumisen edellytys on johdon sitoutuminen ja tuki. Organisaation johdon tulisi tiedostaa ydintoiminnan jatkuvuuteen liittyvät riskit ja sitoutua ydintoiminnan jatkuvuuden varmistamiseen. Jatkuvuuden hallintaan tulisi kohdentaa riittävästi henkilöresursseja sekä varoja budjettiin.

33 33 (60) Periaatteet Roolit ja vastuut Kuva Johdon sitoutuminen jatkuvuuden hallinnan johtamiseen on onnistumisen edellytys Ylimmän johdon tulisi hyväksyä jatkuvuuden hallinnan periaatteet ja linjaukset, jotka ovat organisaation ydintehtävien mukaiset. Periaatteet dokumentoidaan ja niiden tulisi olla selkeitä ja helposti ymmärrettäviä. Niissä määritellään jatkuvuuden hallintajärjestelmä, jatkuvuussuunnittelun vastuut sekä jatkuvuuden hallinnan raportointi ja viestintä. Periaatteet katselmoidaan säännöllisesti ja tarvittaessa päivitetään vastaamaan toimintaympäristön muutoksia. Jatkuvuuden hallinnan roolit ja vastuut on syytä määritellä. Johto nimeää jatkuvuuden hallinnan vastuuhenkilön. Toimintojen, palvelujen ja prosessien omistajat vastaavat siitä, että toiminnassa huomioidaan jatkuvuuden vaatimat toimenpiteet. Toimintojen omistajat nimeävät ja valtuuttavat jatkuvuuden hallinnan käytännön toimenpiteistä vastaavat Tehtävien organisointi Jatkuvuuden hallinta pohjautuu työjärjestyksiin, tehtäväkuvauksiin ja vuosikellon toimenpiteisiin. Se suositellaan organisoitavaksi osaksi normaalia toimintaa siten, että ohjausvastuut ja toimintamallit pysyvät mahdollisimman muuttumattomina häiriötilanteissa ja poikkeusoloissa. Jatkuvuuden hallinnan tehtävät sisällytetään organisaation vuosikelloon. 4.6 Jatkuvuuden hallintajärjestelmän suunnittelu Jatkuvuuden hallintajärjestelmä takaa toimivan johtamismallin häiriötilanteisiin. Jatkuvuuden hallinnan suunnittelussa olisi erityisesti huomioitava palvelujen riippuvuus muista palveluista ja toimijoista sekä näin muodostuvasta toimintaketjusta ja -verkostosta. Jatkuvuus-suunnittelua pitäisi tehdä sekä organisaatiotasolla että toiminto-, prosessi- ja palvelutasolla.

34 34 (60) Kuva Jatkuvuuden hallintajärjestelmä Jatkuvuuden hallinnan ohjaus-/suunnitteluryhmä arvioi toiminnallisia riskejä ja määrittää painopisteet suunnittelutyölle. Valmiuspäällikkö tai vastaava koordinoi yksiköiden suunnittelutyötä, kouluttaa henkilöstöä ja valvoo toimintaa. Toimintojen, prosessien, palvelujen ja tietojärjestelmien omistajat ja vastuuhenkilöt, tietohallinto ja viestintäyksikkö määrittävät riskienhallintakeinot sekä toipumisajat ja -pisteet, tunnistavat vaihtoehtoiset toimintatavat ja dokumentoivat jatkuvuus- ja toipumissuunnitelmat yhdessä valmiuspäällikön kanssa Jatkuvuussuunnittelun tavoitteet Jatkuvuussuunnittelun tavoitteena on varmistaa organisaation ydintoimintojen mahdollisimman häiriötön toiminta. Jatkuvuussuunnittelu noudattaa johdon hyväksymiä jatkuvuuden hallinnan periaatteita, toteuttaa tarvittavat toimenpiteet toiminnan jatkuvuuden varmistamiseksi sekä ottaa huomioon toimintaympäristön ja sidosryhmien vaatimukset. Jatkuvuuden hallinnan tavoitteet tulisi määritellä. Jatkuvuuden hallinnan toimenpiteet tulisi aikatauluttaa ja vaiheistaa, dokumentoida määrämuotoisesti ja niitä tulisi mitata, testata, päivittää ja kouluttaa henkilöstölle säännöllisesti. Suunnitellut toimenpiteet sisällytetään niistä vastaavien henkilöiden tehtävänkuviin ja tavoitteisiin Riskien tunnistaminen ja arviointi Jatkuvuutta uhkaavien riskien hallinnan sisällytetään organisaation kokonaisvaltaiseen riskienhallintaan. Jatkuvuutta uhkaavien riskien tunnistamisessa ja analysoinnissa huomioidaan sisäinen ja ulkoinen toimintaympäristö. Kriittisten toimintojen osalta analysoidaan oman ja sidosryhmien toiminnan riskit. Riskien priorisoinnilla ohjataan varautumisen ja jatkuvuudenhallinnan kehittämistä. Toimenpiteet ja resurssit mitoitetaan ja kohdennetaan tarkoituksenmukaisesti edistämään organisaation häiriötöntä toimintaa.

35 35 (60) Riskien tunnistamista ja analysointia sekä riskienhallintaa yleensä on kuvattu tämän oppaan luvussa 3 Riskienhallinta. Lisäksi Huoltovarmuuskeskus tarjoaa huoltovarmuuskriittisille toimijoille työkaluja ja ohjeita riskienhallinnan ja jatkuvuudenhallinnan kehittämiseen Henkilöstö ja osaaminen Kriittisistä tehtävistä vastuulliset avainhenkilöt nimetään ja heidän osaamisensa varmistetaan. Avainhenkilöt koulutetaan toimimaan häiriötilanteissa jatkuvuus- ja toipumissuunnitelmien mukaisesti. Myös varahenkilöjärjestelyjen osalta varmistetaan riittävä osaamistaso. Jatkuvuuden hallinnan resursointi tarkistetaan säännöllisesti sekä varmistetaan henkilöresurssien ja osaamisen saatavuus häiriötilanteiden ja poikkeusolojen varalle. Oleellinen tehtävä on myös henkilövarausten ylläpito omassa organisaatiossa sekä palveluja tuottavassa yritysverkostossa alihankintaketjuineen (VAP-henkilöt, jotka on vapautettu rauhan ja sodan ajan asepalveluksesta) Osaamisen ja tietoisuuden kehittäminen Jatkuvuuden hallinnan periaatteet koulutetaan henkilöstölle. Tietoisuuden ylläpitäminen ja lisääminen edellyttää säännöllistä koulutusta. Jatkuvuuden hallinnan suunnitelmien ja tarvittavan tiedon ajantasaisuus varmistetaan. Osaamisen ja tietoisuuden kehittämisessä huomioidaan oman henkilöstön lisäksi avainresurssit myös yhteistyökumppaneiden ja palvelutuottajien organisaatioissa. Organisaation jatkuvuuden hallinnan periaatteissa määritellään osaamisen ja tietoisuuden kehittämisen konkreettiset toimenpiteet. Näitä ovat: Osaamisen kartoitus ja säännöllinen koulutus Henkilökohtaiset kehityssuunnitelmat ja niiden seuranta Työtehtävien jakaminen Osaamisen ja tiedon jakaminen Jatkuvuuden hallinnan periaatteiden, hyötyjen ja mahdollisten riskien seurausten selkeä kommunikointi Jatkuvuuden hallinnan sitominen osaksi jokapäiväistä tekemistä (esim. osaksi säännöllisiä tiimien kokouksia, näkyvyys sisäisissä viestintäkanavissa jne.) Jatkuvuus- ja toipumisharjoitukset Henkilöstön ja sidosryhmien roolien ja vastuiden huomioiminen ja muutokset niissä Toimintaympäristön muutosten huomioiminen. Tietoa jatkuvuudenhallinnan toimenpiteistä jaetaan kaikille osapuolille, ei ainoastaan avainhenkilöille. Jatkuvuuden hallinta sidotaan osaksi jokapäiväistä tekemistä (esim. osaksi säännöllisiä tiimien kokouksia, näkyvyys sisäisissä viestintäkanavissa jne.)

36 36 (60) Viestintä ja yhteistyömallit Jatkuvuuden hallinnan ja häiriötilanteiden viestintä- ja yhteistyömallit eri kohderyhmille suunnitellaan etukäteen. Viestintämenettelyt ja yhteistyömallit sekä kohderyhmät määritellään ja kuvataan jatkuvuussuunnitelmissa siten, että ne tukevat jatkuvuuden hallintaa erityisesti häiriötilanteissa. Kun viestintä- ja yhteistyömallit määritellään etukäteen, taataan täsmällinen, nopea ja oikea viestintä kohderyhmille häiriötilanteessa. Yhteistyössä tulisi hyödyntää myös kansallisia toimintamalleja uhkien tunnistamiseen ja havainnointiin, kuten esimerkiksi Kyberturvallisuuskeskuksen CERT-FI-varoitukset ja HAVARO-raportointi (tietoturvaloukkausten havainnointi- ja varoitusjärjestelmä) Jatkuvuuden hallinnan dokumentointi Tuotannontekijät Jatkuvuus- ja toipumissuunnitelmille laaditaan määrämuotoiset mallipohjat. Jatkuvuuden hallinnan periaatteiden lisäksi sekä tekniset että hallinnolliset toimenpiteet tulisi olla dokumentoitu. Kokonaisuuden hallinnan kannalta on tärkeää että eri jatkuvuussuunnitelmat ja asiakirjakokonaisuus ovat määrämuotoisia ja noudattavat samaa rakennetta. Sama pätee toipumissuunnitelmiin. Organisaation toiminnan jatkuvuuden tai toipumisen avainresurssina voi olla myös jokin tuotannontekijä tai resurssi. Jatkuvuussuunnittelussa on tärkeää tunnistaa solmukohdat ja kriittiset pisteet, jotka hidastavat tai estävät palautumisen häiriön jälkeen. Mikäli toiminnan riippuvuutta eri tuotannon tekijöistä ei ole tunnistettu, ja niiden jatkuvaan saamiseen tai ylläpitoon ei ole varauduttu, voi koko toipumisprosessi pysähtyä. Toimintaa ja prosesseja tyypillisesti haittaavia asioita ovat muun muassa sähkön, fyysisen teleja tietoliikenneverkon, polttoaineiden, kuljetusvälineiden, varaosien tai raaka-aineiden saatavuuden keskeytyminen Organisaatioiden väliset palvelut ja sopimukset Organisaation olisi huomioitava myös muiden organisaatioiden kanssa sovitut palvelu- tai muut sopimukset. Organisaatio voi erityistilanteissa olla riippuvainen myös muista organisaatioista kuin normaalitilanteessa. Merkittävässä häiriötilanteessa toisen organisaation jatkuvuus- ja toipumisprosessien tulisi pystyä kommunikoimaan organisaation jatkuvuusprosessin kanssa. Jatkuvuusriskejä tunnistettaessa ja toiminnan keskeytysvaikutusanalyysia tehtäessä huomioidaan sopimuksiin sisältyvät sovitut palvelutasot ja sanktiot.

37 37 (60) Viitekehyksiä jatkuvuusjärjestelmän suunnitteluun Kun organisaatio haluaa kehittää jatkuvuuden hallintaansa pohjautumaan edistyneisiin toimintatapoihin, se voi hyödyntää standardoituja viitekehyksiä jatkuvuudenhallintajärjestelmänsä suunnittelussa. Yksi viitekehys on liiketoiminnan jatkuvuuden hallintaa käsittelevä kansainvälinen standardi SFS-EN ISO Yhteiskunnan turvallisuus. Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset. Siinä määritellään vaatimukset, jotka koskevat dokumentoidun hallintajärjestelmän suunnittelua, laatimista, toteuttamista, käyttämistä, seurantaa, katselmointia, ylläpitämistä ja jatkuvaa parantamista, kun hallintajärjestelmän tarkoitus on häiriötilanteilta suojautuminen, niiden esiintymisen todennäköisyyden pienentäminen, niihin varautuminen ja reagoiminen sekä niistä palautuminen. 4.7 Jatkuvuuden hallinnan toteuttaminen Organisaation tulisi tehdä jatkuvuussuunnittelu kaikille kriittisille toiminnoilleen. Organisaation tulisi tunnistaa, suunnitella, toteuttaa ja hallita menettelyjä, joita tarvitaan jatkuvuuden hallinnan toteuttamiseksi periaatteiden ja vaatimusten mukaisesti. Jatkuvuussuunnittelun keskeiset vaiheet on esitetty alla olevassa kuvassa. Kuva Jatkuvuussuunnittelun vaiheet

38 38 (60) Jatkuvuussuunnittelun prosessissa huomioidaan sekä yksikkö-/toimintotaso että organisaation taso. Toimintayksiköiden näkemykset yhdenmukaistetaan koko organisaation tasolla, jotta toimintojen keskinäinen kriittisyys ja tavoitetasot ovat yhteismitallisia Toimintaympäristön riskianalyysit ja skenaariot Toimintaympäristön määrittelyn pohjalta organisaatio hahmottaa seikat, jotka on otettava huomioon jatkuvuuden hallinnan tavoitteiden asettamisessa sekä riskien hallinnassa. Riskianalyysin tarkoituksena on tunnistaa mm. sosiaalisia, yhteiskunnallisia, taloudellisia, poliittisia ja lainsäädännöllisiä samoin kuin ympäristöön, teknologiaan ja turvallisuuteen liittyviä nykytilanteen ja tulevaisuuden riskejä, jotka uhkaavat organisaation toiminnan jatkuvuutta. Jatkuvuutta parantavat toimenpiteet kohdistetaan merkittävimpiin riskeihin. Jatkuvuuden riskit ovat suurilta osin samoja kuin riskit, jotka muutenkin uhkaavat organisaation toimintaa, joten monia jatkuvuussuunnittelun kannalta keskeisiä riskejä on jo mahdollisesti tunnistettu aiemmissa riskianalyyseissä. Jatkuvuussuunnitteluun liittyvä riskien kartoitus on järkevää sijoittaa organisaation yleisen riskienhallinnan ja riskianalyysien yhteyteen ja pyrkiä vähentämään päällekkäisen työn määrää. Riskienhallintaa on kuvattu tämän oppaan luvussa 3 Riskienhallinta. Jatkuvuussuunnitelmissa kannattaa varautua ainakin seuraavien skenaarioiden varalle: 1) Organisaation toimitilat tai merkittävä osa niistä ei ole käytössä (voimahuollon tai yhdyskuntatekniikan vakavat häiriöt, onnettomuudet, luonnon ääri-ilmiöt, ympäristöuhkat, terrorismi, sotilaallisen voiman käyttö) 2) Organisaation henkilöstö, merkittävä osa siitä, ylin johto tai avainhenkilöt eivät ole käytettävissä (kuljetuslogistiikan vakavat häiriöt, elintarvikehuollon vakavat häiriöt, väestön terveyden ja hyvinvoinnin vakavat häiriöt, suuronnettomuudet, luonnon ääri-ilmiöt, ympäristöuhkat, terrorismi ja muu yhteiskuntajärjestystä vaarantava rikollisuus, sotilaallisen voiman käyttö) 3) Tietovarantojen, tietojärjestelmien tai tietoliikenteen vakavat häiriöt (kyberuhkat, sovellus- tai ohjelmistovika, voimahuollon tai yhdyskuntatekniikan vakavat häiriöt, onnettomuudet, luonnon ääri-ilmiöt, terrorismi, sotilaallisen voiman käyttö) 4) Merkittävä palveluntoimittaja, vastapuoli, sidosryhmä tms. ei ole käytettävissä (rahoitus- ja maksujärjestelmän vakavat häiriöt, julkisen talouden rahoituksen saatavuuden häiriintyminen, voimahuollon tai yhdyskuntatekniikan vakavat häiriöt, onnettomuudet, luonnon ääri-ilmiöt, ympäristöuhkat, terrorismi, sotilaallisen voiman käyttö) Yleensä kaikki organisaation toiminnan jatkuvuutta uhkaavat riskit voidaan sijoittaa näiden pääryhmien alle. Näihin skenaarioihin varautumalla voidaan toipua useimmista häiriöistä Toiminnan vaikutusanalyysi Erilaisten riskien toteutumisen toiminnalliset vaikutukset kartoitetaan vaikutusanalyysillä (BIA). Sitä on kuvattu edellä luvussa 3 Riskienhallinta kappaleessa Vaikutusanalyysi (Business Impact Analysis, BIA).

39 39 (60) Toimintojen priorisointi ja järjestelmien luokittelu Ydin- ja tukitoimintojen priorisointi ohjaa varautumisen ja jatkuvuudenhallinnan kehittämistä. Keskeistä on myös määrittää kullekin toiminnolle tavoiteltu alin hyväksyttävä palvelutaso, jonka alapuolella toiminto tai palvelu ei ole enää sitä hyödyntävän toiminnan kannalta käyttökelpoinen. Tärkeimmille toiminnoille määritellään toimenpiteet ja ratkaisut, joilla häiriötilanteiden vaikutus minimoidaan ja toiminta saadaan mahdollisimman nopeasti palvelutasovaatimusten mukaiseksi. Toiminnot, tuotannon tekijät ja suojattavat kohteet luokitellaan niiden kriittisyyden mukaan, jotta häiriötilanteissa korjaavat toimenpiteet kyetään priorisoimaan ja kohdentamaan oikein. Toiminnot priorisoidaan kriittisyysluokittelun ja toiminnan vaikutusanalyysin (BIA) pohjalta. Kriittisten tuotannon tekijöiden ja suojattavien kohteiden palautusjärjestys voidaan sopia vaikutusanalyysin perusteella. Palautusjärjestystä laadittaessa on muistettava huomioida myös toimintaa tukevien infrastruktuuripalvelujen kriittisyys. Järjestelmien luokittelussa on otettava huomioon muun muassa niiden käytön laajuus, kriittisyys, käyttökatkojen vaikutukset tuotettaviin palveluihin, järjestelmien käyttötarkoitus, tietosisältö ja niiden välisen tietoliikenteen sisältö. Järjestelmien luokittelussa tulee erottaa toisaalta tiedon suojaaminen (luottamuksellisuus ja eheys) ja toisaalta käytettävyydestä johdettavat vaatimukset. Organisaation toiminnan kannalta elintärkeiden toimintojen ylläpidon tulee olla keskeytyksistä huolimatta mahdollisimman korkeatasoista. Yhdessä tietojärjestelmän osassa toteutuneen riskin vaikutusten leviäminen muualle tietojärjestelmään tulisi estää. JHS 174 ICT-palvelujen palvelutasoluokitus -suosituksen mukainen SLA-palvelutaso voidaan johtaa tietojärjestelmän käytettävyysvaatimuksesta alla kuvatulla tavalla: Käytettävyys Elintärkeä Erittäin tärkeä Tärkeä Jonkin verran tärkeä Ei lainkaan tärkeä SLA-palvelutaso Erittäin kriittinen Kriittinen Laajennettu Normaali Normaali Linjaorganisaation johto hyväksyy luokittelut, minkä jälkeen lopullisen keskinäisen tärkeysjärjestyksen päättää organisaation ylin johto. Luokittelussa on huomioitava, että yliluokiteltu palvelu johtaa liian koviin jatkuvuusvaateisiin ja korkeampiin kustannuksiin. Aliluokittelu vastaavasti johtaa liian huonoihin SLA-tasoihin, jotka eivät vastaa toiminnan tarpeita. Esimerkki valtionhallinnossa käytössä olevasta mallista palveluiden priorisointiin:

40 40 (60) Palautumistavoitteiden määrittely Toiminnon, prosessin tai palvelun omistaja määrittelee sen palautumistavoitteet. Palautumistavoitteiden määrittely on tärkeätä, jotta toipumissuunnitelmat vastaavat toiminnan tarpeita. Järjestelmille määritellään toipumispisteet ja toipumisajat. Toiminnan keskeytysvaikutusanalyysin perusteella saadaan käsitys pisimmästä toiminnan sietämästä käyttökatkosta (RTO, toipumisaika) sekä siitä, kuinka pitkältä ajalta tietoa voidaan menettää (RPO, toipumispiste). Toipumispistettä määritettäessä varaudutaan siihen, että tietoa ei pystytä palauttamaan häiriön alkamisajankohtaan, vaan saatetaan joutua palaamaan aikaisempaan palautuspisteeseen. Palautumistavoitteiden määrittelyssä huomioidaan ja optimoidaan niistä aiheutuvat kustannukset. Mitä lyhempää toipumisaikaa tai palautumispistettä tavoitellaan, sitä suuremmaksi kustannukset yleensä nousevat. Kun RTO- ja RPO-arvot on määritelty, suunnitellaan tekniset ratkaisut, joilla määritettyihin tavoitteisiin on mahdollista päästä. Konkreettinen esimerkki RPO:n määrittelystä on, että tietyn järjestelmän pitää pystyä palautumaan siten, että tietoa ei menetetä yli kahden minuutin ajalta (paljon tapahtumia minuutissa). Toisissa järjestelmissä RPO voi olla 24 tuntia (vähemmän tapahtumia, käyttäjiä tai muutoksia). Pitkästä palautumistavoitteesta esimerkkinä on järjestelmän rakentaminen uudelleen ja tiedon palautus viikkovarmistuksista jonkin verran tai ei lainkaan tärkeissä järjestelmissä. RTO vastaavasti valitaan järjestelmän luokittelun mukaisesti; elintärkeällä järjestelmällä RTO voi olla 1 tunti ja ei lainkaan tärkeällä voi riittää viikon RTO. Palvelutuottajia käytettäessä tulee huomioida RTO:n suhde kuvattuihin palvelutasoihin ja niihin sisältyviin vaateisiin. Ei lainkaan tärkeälle, jonkin verran tärkeälle tai tärkeälle järjestelmälle asetetaan yleensä vasteaikavaade, erittäin tärkeälle tai elintärkeälle järjestelmälle voidaan asettaa tämän sijaan ratkaisuaikavaade. Vasteaika tarkoittaa sitä aikaa, jonka kuluessa asia otetaan käsittelyyn. Ratkaisuaika eroaa vasteajasta siten, että se sisältää palautumislupauksen siitä, kuinka nopeasti järjestelmän toiminta palautuu takaisin normaalitilaan. SLA:t ja mahdolliset vasteaika- ja ratkaisuaikavaateet sisällytetään vaatimusmäärittelyyn järjestelmiä ja palveluita hankittaessa.

41 41 (60) Suunnitelmien laadinta Jatkuvuussuunnitelmat laaditaan kaikille organisaation kriittisiksi luokitelluille prosesseille ja toiminnoille sekä niiden toiminnan kannalta merkittäville tukiprosesseille. Toimintojen ja prosessien kannalta kriittisille tietojärjestelmille laaditaan toipumissuunnitelmat. Jatkuvuus- ja toipumissuunnitelmat muodostavat hierarkkisen kokonaisuuden, jossa eri tasoiset jatkuvuus- ja toipumissuunnitelmat muodostavat jatkuvuuden hallinnan kokonaisuuden. Alla olevassa kuvassa on esitetty esimerkinomaisesti eri suunnitelmien välinen hierarkia ja vaihtoehtojen kirjo. Kuva Jatkuvuus- ja toipumissuunnitelmien hierarkia (esimerkki) On tärkeätä suunnitella ja toteuttaa jatkuvuuden hallinnan suunnitelmien rakenne ja hierarkia heijastamaan oman organisaation toimintaa. Suunnitelmien määrä ei ole ratkaisevaa vaan niiden sisältö ja suunnitelmien mukainen harjoiteltu toiminta. Jatkuvuussuunnitelman ja järjestelmän toipumissuunnitelman esimerkkisisältörungot ovat tämän oppaan liitteinä 4 ja 5. Suunnitelmien tarkempia mallipohjia voi tiedustella VRK:lta (digiturva@vrk.fi ) Edellisessä luvussa ja tämän luvun edellisissä kappaleissa käsiteltyjen asioiden lisäksi suunnitelmiin dokumentoidaan tässä kappaleessa seuraavaksi kuvatut jatkuvuudenhallinnan toteuttamiseen liittyvät asiat.

42 42 (60) 4.8 Häiriötilanteen johtaminen ja ohjaus Häiriötilanteessa jatkuvuuden hallinnan toimenpiteet ja toipumisen käynnistää tilannejohtoryhmä. Organisaation johto vastaa toimenpiteiden hyväksymisestä. Yleensä ne, jotka vastaavat toiminnasta normaalioloissa, vastaavat siitä myös häiriötilanteissa ja poikkeusoloissa. Organisaation koosta tai toiminnasta riippuen voi olla myös erillinen operatiivista toipumista edistävä ryhmä. Operatiivinen toipumisryhmä vastaa teknisestä toipumisesta toipumissuunnitelmien mukaisesti. Ryhmien kokoonpanot, yhteystiedot ja tavoitettavuustiedot määritellään jatkuvuus- ja toipumissuunnitelmissa sekä kerrotaan etukäteen osallisille. Työnjako ja keskinäinen viestintä määritellään ja vastuutetaan etukäteen. Tilannetta johtaa ja koordinoi tilannejohtoryhmä, joka ohjaa mahdollista operatiivista toipumisryhmää. Huomattavia kustannuksia aiheuttaville korjaustoimenpiteille sovitaan ennalta toimintamallit ja päätöksentekijät. Häiriö voi vaikuttaa myös johtamistyövälineisiin ja niiden käytön jatkuvuuteen. Tämä huomioidaan ja siihen varaudutaan toipumissuunnitelmissa varmistamalla johtamistyövälineiden toiminta häiriötilanteessa. Esimerkkejä työvälineistä ovat viestintäkanavat, kuten matkapuhelimet, tekstiviestit / pikaviestit, sähköposti, videoneuvottelulaitteet, konferenssipuhelimet, sähköiset jakelulistat sekä tilannekuvaa luovat järjestelmät, kuten monitorointijärjestelmä tai käytettävyysmittarointi. Käytäntö on osoittanut, että tilannejohtoryhmällä on hyvä olla nimetty assistentti, joka vastaa mm. toimenpiteiden kirjaamisesta, yleisistä käytännön järjestelyistä ja raportoinnista Tilannekuvan luominen ja ylläpito Tilannekuva muodostuu kaikesta toiminnan kannalta relevantista informaatiosta. Tilannekuvaa ylläpidetään ja seurataan ajantasaisesti, jotta voidaan ennakoida ja pienentää mahdollisten häiriöiden vaikutuksia. Vain ajantasainen tilannekuva mahdollistaa onnistuneen johtamisen häiriötilanteissa. Häiriötilanteessa teknisen tilannekuvan muodostamiselle hyödyllisiä tietoja ovat esimerkiksi seuraavat: verkon tilannetieto palveluiden käytettävyyden tilannetieto suunnitellut huoltokatkot havainnot kyberuhista ja niiden mahdollisista vaikutuksista tilannetieto käyttö- ja palvelukeskusten sekä kenttätoiminnan valmiustason muutoksista muu merkittävä, palvelun tuottamiseen vaikuttava tapahtuma, esim. jakeluhäiriö sähköverkossa. Organisaatiolla ja sen palvelutuottajilla tulisi olla käytössä ennalta määritelty prosessi kommunikaatioyhteyden nopeaan avaamiseen sekä tietojen luontevaan ja turvalliseen vaihtamiseen. Tulisi myös varmistaa, että kaikilla osapuolilla on sama tieto tilanteesta.

43 43 (60) Organisaatioiden kesken jaettavan tilannekuvan muoto ja tietosisältö määritellään etukäteen sellaiseksi, että nopeiden, oikeiden ja tarkoituksenmukaisten päätösten tekeminen tilannekuvan perusteella on mahdollista Toipumisen edellyttämät tilat ja varatilat Toipumisen johtamiseen, tekniseen toipumiseen ja palvelun tuottamiseen tarvittavat tilat määritellään etukäteen ja kuvataan jatkuvuus- ja toipumissuunnitelmissa. Johtamistiloille asetettavat vähimmäisvaatimukset ovat: Tilannejohtoryhmän on helppo siirtyä tilaan Tilaan on rajoitettu pääsy Ääni- ja näköeristys (myös tilaan johtavilla kulkureiteillä) Käyttövalmiit ja etukäteen valitut viestintä- ja kommunikaatiovälineet, jotka mahdollistavat tilannetta johtavien henkilöiden osallistumisen työskentelyyn myös etänä Käytettävien palveluiden edellyttämät tietoliikenneyhteydet, mahdollisesti myös varayhteydet AV-laitteisto sovitinkaapeleineen, tulostin ja verkkoyhteydet (sovitinkaapelit tulostimeen, jotta se saadaan tarvittaessa toimimaan paikallisena) Laitteiden virtalähteitä, latureita ja jatkojohtoja Muistiinpanovälineitä, paperia ja fläppitaulu Ajan tasalla olevat jatkuvuus- ja toipumissuunnitelmat joko paperisina kassa- tai paloturvakaapissa tai sähköisinä esimerkiksi muistitikulla. Tiloille valitaan etukäteen myös varatilat, jotka tulisi voida helposti varustaa vastaavilla työvälineillä kuin varsinaiset tilat. Tiloina voi toimia myös poikkeusolojen johtamistilat, mikäli ne ovat helposti saavutettavissa. Tilannejohdon tilojen ja varatilan tulisi olla riippumattomia suojattavien kohteiden sijainnista. Häiriötilanteen pitkittyessä on tärkeää, että kriisiä hoitaville henkilöille on myös ravintoa, juotavaa ja virkistäytymistiloja ja että he pystyvät tarvittaessa lepäämään tilan läheisyydessä. 4.9 Järjestelmien toipumissuunnitelmat Toipumissuunnittelu on jatkuvuussuunnittelun osa. Toipumissuunnitelmat täydentävät jatkuvuussuunnitelmia. Toipumissuunnitelmat liittyvät yleensä tietojärjestelmiin ja sisältävät ohjeet häiriötilanteesta toipumiseen, normaaliin toimintaan paluusta ja toiminnan jatkamisesta. Toipumissuunnitelma määrittelee prosesseille ja tietojärjestelmille varajärjestelmävaatimukset, vastuut ja toimet valmiuden luomiseksi sekä ohjeet toiminnasta normaaliolojen häiriötilanteissa. Toipumissuunnitelmat kuvaavat operatiivisella tasolla ja konkreettisesti järjestelmien palauttamisen häiriötilanteista. Toipumissuunnitelmia laadittaessa tulee huomioida ja kuvata mm. seuraavia asioita: korjaus- ja palautustoimenpiteet yleisimmistä virhetilanteista, järjestelmän hallittu alasajo / pakotettu alasajo,

44 44 (60) järjestelmän hallittu ja priorisoitu uudelleen käynnistäminen, ympäristön toimivuuden testaaminen ennen tuotannon palauttamista, kuvaus huolto- ja ylläpitosopimuksista ja niiden kattavuudesta, integraatiot ja riippuvuudet muista järjestelmistä sekä varajärjestelmät ja korvaavat menettelyt. Varajärjestelmistä kuvataan järjestelmien hankinta, käynnistys ja testaaminen sekä varajärjestelmän käyttöön siirtyminen. Toipumissuunnitelmissa tulee ottaa huomioon myös poikkeamatilanteissa tarvittavat käyttöoikeudet sekä käyttöoikeuksien rajoittaminen häiriötilanteen aikana Toiminta toipumistilanteessa Jatkuvuussuunnitelman aktivoinnin ja tehokkaan palautumisprosessin tavoitteena on helpottaa ja nopeuttaa toiminnan palautumista sekä vähentää toiminnoille ja järjestelmille aiheutuvia vahinkoja tai muita vaikutuksia. Merkittävän häiriötilanteen sattuessa on tärkeää estää ja minimoida ihmisiin kohdistuvat vahingot minimoida häiriötilanteen vaikutukset organisaation toimintaan, sen tuottamiin palveluihin ja sidosryhmiin minimoida vaikutukset toimintaa tukeviin järjestelmiin ja niissä olevaan tietoon varmistaa kriittisten järjestelmien palautuminen ilman tarpeetonta viivytystä palauttaa normaali toiminta lyhimmässä mahdollisessa ajassa mahdollisimman kustannustehokkaasti rajoittaa keskeytyksen vaikutuksia organisaation maineeseen, toimintaan ja talouteen. Jatkuvuus- ja toipumissuunnitelmien käyttöönottoon liittyy useita eri vaiheita ja tehtäviä: vakavan häiriötilanteen tunnistaminen ja häiriön prioriteetin määrittäminen päätös jatkuvuussuunnitelman piiriin kuuluvien toimenpiteiden aloittamisesta tilannejohtoryhmän informointi ja koolle kutsuminen (fyysinen paikallaolo / etäneuvottelu) vahinkojen rajoittaminen sekä häiriövaikutusten kartoitus ja minimointi operatiivisen toipumisryhmän ohjaaminen ja toipumistoimenpiteiden etenemisen valvonta ajantasainen viestintä eri kohderyhmille ennalta määritettyjen mallien mukaan toimenpiteiden ja päätösten kirjaaminen ( tapahtumaloki ) tehtyjen toimien ja tilanteen analysointi sekä suunnitelmien päivittäminen. Häiriön prioriteetti määräytyy häiriön vakavuuden ja laajuuden perusteella. Esimerkki häiriön vakavuuden määrittelystä: Vakavuusluokka Estävä Kuvaus Häiriö estää tai pysäyttää asiakkaan toiminnan

45 45 (60) Vaikeuttava Haittaava Häiriö vaikeuttaa asiakkaan toimintaa Häiriö haittaa / häiritsee asiakkaan toimintaa Esimerkki häiriön laajuuden määrittelystä: Laajuusluokka Laaja Paikallinen Rajoitettu Kuvaus Häiriö koskee useita asiakkuuksia tai tuhansia käyttäjiä Häiriö koskee käyttäjäryhmää tai asiakkuutta Häiriö koskee yksittäisiä käyttäjiä Esimerkki häiriön prioriteetin luokittelusta: Prioriteetti Vakavuus Estävä Vaikeuttava Haittaava Laajuus Laaja Kriittinen Keskitaso Matala Paikallinen Korkea Keskitaso Matala Rajoitettu Korkea Matala Matala Palvelutuottajat Häiriötilanteen ratkaisumenettely käynnistetään aina kun häiriö on kriittinen. Tarvittaessa ratkaisumenettely käynnistetään myös silloin, kun häiriö on prioriteetiltaan korkea. Prioriteettiluokittelu tehdään etukäteen osana häiriönhallintaprosessia. Organisaation jatkuvuuden ja toipumisen suunnittelussa kuvataan, toteutetaan, koulutetaan ja testataan myös palvelutuottajien toiminta. Ostetuissa palveluissa palvelutuottajat vastaavat ylläpitämiensä palvelujen ja järjestelmien toimivuudesta palvelusopimuksessa sovitun palvelutason mukaisesti. Organisaation tulisi valvoa ostamilleen palveluille asetettujen jatkuvuus- ja varautumisvaatimusten toteutumista. On erittäin tärkeää, että osapuolilla on yhtenevä käsitys sopimuksen sisällöstä, pätemisjärjestyksestä ja mahdollisista sanktioista jatkuvuuteen vaikuttavissa häiriötilanteissa. Sanktiot määritellään selkeästi ja niiden tulisi olla oikeassa suhteessa häiriöiden toiminnalle aiheuttamiin vahinkoihin. Väärin määritellyt sanktiot voivat ohjata palvelutuottajan toimintaa organisaation toiminnan jatkuvuuden kannalta väärään suuntaan. Selkeät jatkuvuus- ja varautumisvaatimukset tulisi määritellä jo tarjouskilpailuvaiheessa palvelua hankittaessa, jolloin niiden kustannusvaikutukset ovat tiedossa alusta lähtien. Palvelutuottajan jatkuvuus- ja toipumissuunnitelmien tulisi olla linjassa organisaation oman jatkuvuussuunnittelun kanssa ja tukea sitä. Palvelutuottajan tulisi kuvata vähintään seuraavat asiat palvelunsa jatkuvuudesta ja toipumisesta: varautumisen sisäiset henkilöjärjestelyt ja vastuut

46 46 (60) häiriötilanteiden ja poikkeusolojen vaikutukset palveluun (ml. toipumisskenaarioiden kuvaaminen) toimet, joilla estetään tai minimoidaan teknisten häiriöiden haitat sähkönsyötön ongelmat laite- ja kaapeliviat tietojärjestelmäviat palveluohjelmien häiriöt palvelukeskustiloihin kohdistuvat häiriöt tietoliikenneverkkojen häiriöt (verkonhallinta-, palvelinhallinta-, valvonta-, tuotanto-, varmistus- jne. verkot) ohjelmistotuen tai ohjelmistopäivitysten loppuminen toimet, joilla minimoidaan verkkohyökkäysten vaikutukset toimet, joilla varmistetaan avainhenkilöiden käytettävyys toimet, joilla varmistetaan henkilöresurssien saatavuus kaikissa tilanteissa toimet, joilla varmistetaan korvaavien laiteresurssien saatavuus kaikissa tilanteissa. Lisäksi palvelutuottajan tulisi laatia järjestelmien tekniset toipumissuunnitelmat, jotka perustuvat riskiarvioinnissa kuvattuihin uhkaskenaarioihin. Organisaation tulisi määrittää kullekin hankkimalleen palvelulle vastuuhenkilö, joka vastaa palvelun hallinnasta, toiminnan jatkuvuudesta sekä toipumisen koordinoinnista poikkeus- ja häiriötilanteissa. Vastuuhenkilö voi olla palvelua ostavan organisaation oma henkilö tai nimetty kumppani. Palvelujen toimittaja- ja teknologiavalinnoissa tulisi ottaa huomioon ylläpitopalvelujen ja -resurssien sekä varaosien saatavuus häiriötilanteissa ja poikkeusoloissa palvelujen luonteen edellyttämässä laajuudessa. Toimittajien ja alihankkijoiden kanssa määritellään etukäteen toimintamallit organisaatioon kohdistuvien häiriötilanteiden varalta Sopimukset ja palvelutasot Omien asiakkaiden kanssa sovitut palvelutasot ja sanktiot tulisi huomioida jatkuvuusriskejä tunnistettaessa ja toiminnan keskeytysvaikutusanalyysia tehtäessä. Nämä vaatimukset tulisi sisällyttää myös palvelutuottajien sopimuksiin. Häiriötilanteessa saumaton toiminta palvelutoimittajan ja organisaation välillä on palautumisen ehdoton edellytys. Toiminnan jatkuvuuteen liittyvät velvoitteet ulotetaan sopimuksissa koko alihankintaketjuun ja palvelutuottajaverkostoon ottaen huomioon tuotettavan palvelun luonne ja sopijaosapuolten rooli sen tuottamisessa. Jatkuvuuden hallinnan vaatimukset sisällytetään vaatimusmäärittelyihin palveluja hankittaessa ja kirjataan palvelusopimuksiin.

47 47 (60) Vaatimusten noudattamisvelvoite ulotetaan myös alihankkijoihin ja kumppanuusverkostoon. Organisaation tulisi varmistua siitä, että vaatimukset asetetaan ulkoisille tai sisäisille sopimuskumppaneille ja että nämä huolehtivat niiden asettamisesta edelleen alihankkijoilleen. Tuotettavat palvelut, niiden palvelutasotavoitteet, palvelutason mittaaminen ja poikkeamien seuraamukset sekä palvelutuottajan ja asiakkaan yksilöidyt vastuut kuvataan ja sovitaan palvelutasosopimuksessa (SLA). Palvelutasotavoitteet määritellään vastaamaan palvelun kriittisyysluokitusta. Julkisessa hallinnossa käytettävien keskeisten jatkuvien ICT-palvelujen palvelutasoluokitus on määritetty JHS 174 ICT-palvelujen palvelutasoluokitus -suosituksessa ( ) Ohjelmistojen ja lisenssien hallinta On tärkeätä varmistaa organisaation omaisuuden hallinnan ajantasaisuus. Jatkuvuuden hallinnan piirissä olevista järjestelmistä tulisi tietää, mitä ohjelmistoja ja versioita kyseinen järjestelmä tarvitsee. Tämä voi olla dokumentoituna esimerkiksi palvelutuottajan omaisuudenhallintajärjestelmässä. Järjestelmän toipumissuunnitelmaan dokumentoidaan, miten eri komponentit ja ohjelmistot on määritelty ja konfiguroitu. Asianmukaisen ylläpidon kannalta on tärkeää että organisaation käyttämät lisenssit on dokumentoitu ja niiden ylläpitovastuut on sovittu. Häiriötilanteista toipumista nopeuttaa, kun lisenssiavaimet ja koodit ovat helposti ja nopeasti saatavilla. Tämän vuoksi lisenssien ylläpitäjät ja tarvittavien lisenssiavaimien sijainti dokumentoidaan toipumissuunnitelmiin. Tärkeää on myös sopimusten ja lisenssiasiakirjojen hallinta, sekä näistä syntyvien käyttöoikeuksien linkittäminen ohjelmistojen asennus- ja käyttötietoihin. Väärin lisensoitu järjestelmä on myös itsessään jatkuvuusriski. Jatkuvuuden hallinnassa unohdetaan usein varautuminen lisenssitarkastuksiin. Jos lisenssit eivät ole kunnossa, saattaa toiminto häiriintyä tai pysähtyä. Tarkastusten tuloksena voi syntyä yllättävän suuria, budjetoimattomia kustannuksia, joilla voi pahimmillaan olla vaikutus myös organisaation toiminnan jatkuvuuteen Sisäinen ja ulkoinen viestintä häiriötilanteessa Organisaatiolla tulisi olla viestintäperiaatteet ja -ohjeet sisäiseen ja ulkoiseen tiedottamiseen. Niissä kuvataan myös häiriöviestinnän toteuttaminen, sekä siihen liittyvät roolit ja vastuut. Sidosryhmät ja kontaktipisteet, joille organisaatio on vastuussa palvelujen jatkuvuudesta ja tietoturvallisuudesta, tunnistetaan esimerkiksi toimintojen kuvaamisen yhteydessä. Kommunikointi organisaatioiden sekä palvelutuottajien ja alihankkijoiden välillä korostuu erityisesti hajautetussa tieto- ja viestintäteknologisten palvelujen tuotannossa. Viestinnän sisältöä suunniteltaessa huomioidaan esimerkiksi pitkät käyttökatkot, suunnitellut korjaustoimenpiteet, haittaohjelmien aiheuttamat katkot tai isojen tietomäärien varmistusten palautuksen vaatima aika-arvio. Viestinnän tulisi aina olla oikea-aikaista, jatkuvaa ja avointa. Viestinnän työvälineiden saatavuus tulisi huomioida jatkuvuussuunnittelussa.

48 48 (60) Sidosryhmiin vaikuttavista tietoturva-asioista raportointi sekä tietoturvapoikkeamista tiedottaminen organisoidaan ja vastuutetaan. Myös ulkoisen ja sisäisen tiedottamisen tulisi olla suunniteltua, vastuutettua ja ohjeistettua. Viestintäryhmällä tulisi olla toimiva varallaolo- tai päivystysmenettely, jolla taataan laadukas ja jatkuva viestintä kaikissa vakavissa häiriö- ja poikkeamatilanteissa. Onnistunut kriisiviestintä edellyttää suunnitelmallisuutta. Kriisiviestintäsuunnitelma koostuu kolmesta osa-alueesta: 1) Kriisiin varautuminen 2) Suunnitelma kriisin aikaiseen toimintaan ja viestintään 3) Tukimateriaali. Kriisiviestisuunnitelmassa kerrotaan mm. miten aktivoidaan jatkuvuussuunnitelman mukainen kriisiviestintä? kuka päättää kriisiviestinnästä? kuka viestii asioista? mitä tilanteesta kerrotaan julkisuuteen? Häiriötilanteiden viestinnän järjestämiseen on saatavissa seuraavaa ohjeistusta: Valtionhallinnon sivusto, jossa on ohjeita valtionhallinnon viestintään häiriötilanteissa ja poikkeusoloissa ( ) Vaaratiedoteopas ( ) Varaudu. Opas kunnan viestintään kriisi- ja erityistilanteissa ( ) Viestintä rekisteröidyille henkilötietoihin kohdistuvissa tietoturvaloukkauksissa Henkilötietojen tietosuojaloukkauksesta on ilmoitettava sen kohteiksi joutuneille viipymättä, jos tietosuojaloukkaus todennäköisesti aiheuttaa luonnollisen henkilön oikeuksia ja vapauksia koskevan suuren riskin. Ilmoituksessa on kuvattava henkilötietojen tietoturvaloukkauksen luonne ja esitettävä suosituksia siitä, miten asianomainen luonnollinen henkilö voi lieventää mahdollisia haittavaikutuksia. Ilmoitusta ei vaadita, jos henkilörekisterin pitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja henkilötietojen tietoturvaloukkauksen kohteena oleviin henkilötietoihin on sovellettu kyseisiä toimenpiteitä kuten salausta. Ilmoitus voidaan myös jättää tekemättä, jos rekisterinpitäjä on toteuttanut jatkotoimenpiteitä, joilla varmistetaan, että korkea riski ei enää todennäköisesti toteudu tai jos ilmoituksen tekeminen vaatisi kohtuutonta vaivaa. Tällaisissa tapauksissa on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröidyille tiedotetaan tietoturvaloukkauksesta. Lisäksi tapahtuneesta tulee ilmoittaa myös valvovalle viranomaiselle eli tietosuojavaltuutetulle. Tässä yhteydessä on huomioitava EU-tietosuoja-asetuksen velvoitteet.

49 49 (60) Lisätietoja tietosuoja-asetuksesta ja sen velvoitteista on saatavissa Tietosuojavaltuutetun toimiston verkkosivustolta ( ) sekä JUDO-digiturvayhteishankkeen tietosuojatyöpajamateriaaleista Suunnitelmien säilytys Suunnitelmien versionhallinta, asianmukainen säilytys ja saatavuus tilanteessa, jossa toiminnan jatkuvuus on uhattuna, on tärkeä osa jatkuvuuden hallintaprosessia. Suunnitelmien saatavuus varmistetaan myös silloin kun tietoliikenneyhteydet eivät toimi. Ajantasaisia jatkuvuus- ja toipumissuunnitelmia säilytetään vähintään seuraavissa, fyysisesti erillisissä paikoissa: Tilannejohdon tila Tilannejohdon varatila Operatiivisen toipumisryhmän tilat Kaikissa säilytyspaikoissa säilytetään suunnitelmista kopio sekä paperilla että sähköisessä muodossa. Suunnitelmien päivityksen yhteydessä päivitetään kaikki kopiot ajantasaisiksi sekä hävittää vanhat versiot. Suunnitelmissa luetellaan fyysisten kopioiden sijaintipaikat sekä vastuuhenkilö, joka vastaa suunnitelmien toimittamisesta ko. tiloihin. Käytännön esimerkki suunnitelmien säilytyksestä Jatkuvuus- ja toipumissuunnitelmien sähköiset versiot sijaitsevat dokumentinhallintajärjestelmässä sekä vastuuhenkilöiden työasemissa. Ajantasaiset versiot tiedostoista synkronoituvat dokumentinhallintajärjestelmästä työasemille (offline-kopiot). Fyysiset paperikopiot ajantasaisista suunnitelmista sijaitsevat tilannejohdon ja operatiivisten toipumisryhmien tiloissa lukituissa säilytyskaapeissa. Fyysinen ja looginen pääsynhallinta tiloihin ja säilytyskaappeihin on etukäteen määritelty ja kuvattu suunnitelmiin Testaaminen, harjoittelu ja koulutus Testaamisen, harjoittelun ja koulutuksen tarkoituksena on perehdyttää jatkuvuutta ja toipumista ohjaavat ryhmät sekä kaikki muut suunnitelmien kanssa tekemisissä olevat tahot tietoisiksi toimenpidevelvoitteistaan, vastuistaan sekä rooleistaan jatkuvuuden hallinnassa ja laajavaikutteisen häiriötilanteen ratkaisemisessa. Testaamaton jatkuvuus- tai toipumissuunnitelma on riski palautumiselle ja prosessin kehittymiselle. Testauksella varmistetaan, että suunnitelmissa on otettu huomioon kaikkien ydintoimintojen jatkuvuus ja toipuminen muuttuvassa toimintaympäristössä. Suunnitelmien ylläpito ja päivitys aikataulutetaan jatkuvuuden hallinnan vuosikelloon. Testaamisen ja harjoittelun tulokset raportoidaan aina jatkuvuuden hallintaa ohjaaville tahoille, jotta prosessista mahdollisesti löydetyt puutteet tai virheellisyydet saadaan resursoitua ja korjattua. Myös häiriötilanneviestinnän harjoittelu olisi sidottava toipumisharjoituksiin.

50 50 (60) Säännöllinen harjoittelu kehittää valmiuksia ja antaa varmuutta toimia oikealla tavalla nopeasti ja tehokkaasti, kun suunnitelma otetaan käyttöön tositilanteessa. Harjoittelu kehittää osallistujien kykyä tehdä toiminnan kannalta järkeviä päätöksiä myös sellaisissa tilanteissa, joihin suunnitelmissa ei ole varauduttu. Säännöllisellä harjoittelulla organisaatio voi osoittaa sidosryhmilleen ja yhteistyökumppaneilleen olevansa kykenevä hallitsemaan organisaatiota mahdollisesti kohtaavat ongelmat ja näin lisätä niiden luottamusta toimintaansa kohtaan. Olennaista on myös, että jatkuvuutta ohjaavat ja toipumista operoivat tahot tuntevat suunnitelmien sisällön jo ennalta, eikä niihin tutustuta vasta tositilanteessa. Suoritettujen harjoitusten on tarkoitus kehittää myös jatkuvuuden hallinnan prosessia. Harjoitusten jälkeen arvioidaan: kuinka hyvin harjoitus vastasi tavoitteita, saatiinko halutut asiat testattua, toimiko harjoitus suunnitellulla tavalla, kuinka tilannejohtoryhmä ja toipumisryhmä toimivat ja havaittiinko harjoituksessa ennalta tuntemattomia riskejä? Harjoituksen esille tuomista kehityskohteista laaditaan toimenpideluettelo aikatauluineen. Jatkuvuuden harjoittelussa kannattaa käyttää apuna ulkoisia tai sisäisiä tarkkailijoita. He eivät osallistu harjoitteluun, vaan heidän tehtävänsä on kirjata ylös havaintoja. Tarkkailijoiden käyttö on hyödyllistä siksi, että usein harjoituksiin osallistujat itse eivät ehdi tai huomaa kirjata ylös kaikkia havaintoja. Jatkuvuussuunnitelman toteuttamiseen liittyvästä koulutuksesta, sen suunnittelusta, kohdentamisesta ja tavoitteista vastaa yleensä jatkuvuussuunnittelua ohjaava taho. Koulutusten tulisi olla jatkuvaa sekä kohdennettua eri ryhmien ja roolien mukaisesti. Koulutukset sisällytetään organisaation jatkuvuuden hallinnan vuosikelloon osaksi muuta säännöllistä toimintaa. Vuosittaisessa koulutuksessa ja suunnitelmien harjoittelussa on hyvä huomioida ainakin seuraavat asiat ja kohderyhmät: johdolle perehdytys ja päivitys jatkuvuussuunnittelusta häiriötilanteen viestintää ja toipumista ohjaavien ryhmien (tilannejohtoryhmä ja operatiiviset toipumisryhmät) koulutus toipumissuunnitelmien harjoittelu varavoimalaitteiden ja generaattoreiden testauksen yhteydessä suunnitellun käyttökatkon yhteydessä suoritetut jatkuvuusharjoitukset poistumisharjoitukset koko henkilökunnalle hälytysten yhteydessä uusien jatkuvuussuunnittelun vastuuhenkilöiden perehdytys. Kriittisissä järjestelmissä toiminnan jatkuvuuden harjoittelu ja testaus tulee ulottaa myös toimintaverkostoon. Oppiminen ylittää organisaatiorajat, kun jatkuvuutta testataan yhdessä yhteistyökumppaneiden, palvelutuottajien ja muiden toimijoiden kanssa. Ohjetta harjoitusten läpiviennistä ja erilaisista harjoitustyypeistä voi tiedustella VRK:lta osoitteesta

51 51 (60) Toiminta häiriötilanteessa Vakavassa häiriötilanteessa aktivoidaan jatkuvuussuunnitelman mukainen toiminta. Täsmällinen toiminta häiriötilanteessa nopeuttaa palautumista normaalitilanteeseen. Kuva Toiminta häiriötilanteessa Jokaisen tulee ilmoittaa havaitsemastaan häiriöstä tai poikkeavasta tilanteesta eteenpäin heti. Ilmoittaminen tapahtuu jatkuvuussuunnitelmassa kuvatulla tavalla suunnitelmassa kuvatulle taholle (esim. turvallisuuspäivystäjälle tai IT-tukeen). Vakavan häiriötilanteen tunnistamisen ja häiriön prioriteetin määrittämisen jälkeen tehdään päätös jatkuvuussuunnitelman piiriin kuuluvien toimenpiteiden aloittamisesta. Päätöksen teko tapahtuu jatkuvuussuunnitelmassa kuvatun käytännön mukaisesti. Tilannejohtoryhmää informoidaan ja se kutsutaan koolle (fyysinen kokous tai etäneuvottelu). Toiminta häiriötilanteessa koostuu monesta eri tehtävästä ja vaiheesta: tilannejohtoryhmän kokoaminen vahinkojen rajoittaminen sekä häiriövaikutusten kartoitus ja minimointi tilannekuvan luominen ja ylläpito vaihtoehtoisten toimintatapojen aktivointi mahdollisen operatiivisen toipumisryhmän kokoaminen ja ohjaaminen toipumistoimenpiteiden etenemisen valvonta toimenpiteiden ja päätösten kirjaaminen (tapahtumaloki) sisäinen viestintä ulkoinen viestintä palautuminen normaaliin toimintaan. Tilannejohtoryhmän on kyettävä tekemään operatiivisia päätöksiä. Ryhmään on kuuluttava yksikön johtoa, prosessivastaavia, viestintähenkilö sekä koordinaattori. Ryhmä tekee päätökset tilannekuvan pohjalta ja toteuttaa ne välittömästi. Tilannejohtoryhmälle tulee taata

52 52 (60) riittävä taloudellinen valtuutus riittävä asiantuntemus toiminnan yksityiskohdista johtamistyövälineet (esim. kommunikointivälineet, tilannekuva, riittävät dokumenttipohjat, yms.) kokoontumispaikka. Tilanteen salliessa tilannejohtoryhmä käynnistää toimenpiteet toiminnan palauttamiseksi normaalitilaan. Tässä hyödynnetään laadittuja toipumissuunnitelmia ja toimitaan niiden mukaisesti Viestintä häiriötilanteessa Kriisiviestintä on kiinteä osa häiriötilanteen johtamista, eikä niitä voi erottaa peräkkäisiksi toiminnoiksi. Mikäli häiriötilanteessa on useita osapuolia, tulisi heidän organisoitua kriisissä siten, että yhteistyö viestinnän osalta on mahdollista. Häiriötilanteen viestintä tapahtuu kriisiviestintäsuunnitelman mukaisesti. Tiedottaminen ja viestintä edellyttävät: hyvää ja selkeää kriisitiedottamisen ohjeistusta koulutusta ja harjoittelua henkilövastuiden määrittämistä riittäviä viestintätehtäviin varattavia resursseja usein myös yhteistyötä muiden viranomaisten sekä kuntien viestintävastaavien kanssa. Kriisitilanteessa on erittäin tärkeää, että viestintä perustuu oikeisiin tilannetietoihin ja niistä tehtyihin johtopäätöksiin. Kriisitilanteen viestinnän käynnistymisen ja onnistumisen kannalta on tärkeää, että viestinnästä vastaavat saavat viipymättä realistiset ja ajantasaiset tilannetiedot tapahtumista. Häiriötilanteesta annettava tiedote antaa medialle signaalin ryhtyä seuraamaan tilanteen kehittymistä. Tiedotteen antamisen jälkeen lisätiedon tarve kasvaa yleensä voimakkaasti sidosryhmien halutessa lisätietoa ja julkisen tiedotteen herättäessä vaikutuspiirissä olevien ihmisten huolen. Jatkuvuussuunnitelman mukaisen toiminnan aktivoiminen on häiriönhallintaprosessin ensimmäisiä kohtia, jossa tarvitaan selkeätä sisäistä viestintää ja tilannekuvan määrittelyä. Ensimmäiset viralliset viestit häiriöstä tulisi julkaista viimeistään siinä vaiheessa, kun tilannejohtoryhmä on kokoontunut, arvioinut tilanteen ja käynnistänyt tilanteen mukaiset toimenpiteet. Valmiit mallit ovat tärkeitä nopean ja täsmällisen viestinnän onnistumiseksi. Henkilötietojen tietosuojaloukkauksesta on ilmoitettava sen kohteiksi joutuneille EU:n tietosuoja-asetuksen velvoitteiden mukaisesti. Kriisiviestinnän prosessia on havainnollistettu seuraavassa kuvassa:

53 53 (60) Kuva Kriisiviestinnän prosessi Häiriöstä tai tietoturvapoikkeamasta on syytä viestiä ennen kuin virheellisiä tai puutteellisia tietoja alkaa levitä muuta kautta. Viestintää tarvitaan useassa häiriö- poikkeamatilanteen käsittelyvaiheessa. Sidosryhmiä tulee informoida esimerkiksi silloin, kun tilanne on todettu, sen käsittelemiseksi on jouduttu tekemään käyttäjiä koskevia toimenpiteitä, käyttäjien halutaan tekevän toimenpiteitä esim. poikkeaman leviämisen estämiseksi tai kun tilanne on laajentunut kriisiksi. Häiriö- tai poikkeamatilanteeseen liittyvä viestintä käynnistetään viestintäsuunnitelman mukaisesti heti tilanteen ilmettyä. Samalla arvioidaan, estääkö häiriö tai poikkeama teknisesti joidenkin viestintäkanavien käytön. Sisäisen viestinnän tavoitteena on pitää organisaation johto tarvittavilta osin tietoisena tilanteen käsittelystä. Täsmällisellä viestinnällä on mahdollista myös varmistaa, että vääriä tietoja ei pääse leviämään organisaation sisällä eikä sen ulkopuolelle.