Työpaja #10 lyhyt kertaus. #tuki2018 #stöd2018

Samankaltaiset tiedostot
Toiminnan jatkuvuus - käytännön näkökulma

Miksi varautuminen on tärkeää? Näkökulmia toiminnan jatkuvuuden suunnitteluun

YHTEISKUNNAN TURVALLISUUSSTRATEGIA - KOMMENTTIPUHEENVUORO

Image size: 7,94 cm x 25,4 cm. SKTY:N SYYSPÄIVÄT , Lahti RISKIENHALLINTA. Eeva Rantanen Ramboll CM Oy

YHTEISKUNNNAN TURVALLISUUSSTRATEGIA 2010

VISIO YHTEISKUNNAN ELINTÄRKEIDEN TOIMINTOJEN TURVAAMINEN. Väestön elinmahdollisuudet. Yhteiskunnan turvallisuus. Valtion itsenäisyys

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Jatkuvuudenhallinta ja varautuminen kunnassa - yleisiä perusteita ja lähtökohtia -

Toiminnan jatkuvuuden hallinta

TAMPEREEN ALUEPELASTUSLAITOS

Toiminnan jatkuvuuden hallinta

LUONNOSVERSIO VAHTI 2/2016. Toiminnan jatkuvuuden hallinta

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

VISIO YHTEISKUNNAN ELINTÄRKEIDEN TOIMINTOJEN TURVAAMINEN. Väestön elinmahdollisuudet. Yhteiskunnan turvallisuus. Valtion itsenäisyys

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Miten toteutetaan hyvä vesihuollon varautumissuunnitelma ja miten toimintaa häiriötilanteessa voidaan harjoitella? Lounais-Suomen vesihuoltopäivä

Tietoturvallisuuden vaatimukset ja vaikutukset liiketoimintaan sekä yhteiskuntaan

LAPPEENRANNAN KAUPUNGIN VARAUTUMINEN JA VIRANOMAISYHTEISTOIMINTA

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Kuntien varautumisen muutostarpeet - tärkeät askeleet kohti parempaa valmiutta ja kykyä

GDPR-pikaopas. Demand more. Puh

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

Jatkuvuuden varmistaminen

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Liiketoiminnan ICT-riippuvuus kasvaa hallitaanko riskit?

ETELÄ-SAVON VALMIUSSUNNITTELU. Tuomo Halmeslahti Varautumisen valtakunnalliset opintopäivät , Tampere

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Kuinka toimin erilaisissa häiriötilanteissa? Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Erja Kinnunen, Verohallinto 2.10.

Tietoturvapolitiikka

Helsingin valmiussuunnitelma

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Yrityksen jatkuvuussuunnitelma

Riskienhallinta- ja turvallisuuspolitiikka

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 5

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

Sairaalan puheviestintäjärjestelmät. Markus Markkinen Sairaanhoitopiirien kyberturvallisuusseminaari

TIETOTURVAPOLITIIKKA

Valmiuspäällikkö Sakari Ahvenainen. Valmiusohje ja ajankohtaista varautumisesta. Helsingin TIVA ja joukkoviestintäpooli (JVP)

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Sähköi sen pal l tietototurvatason arviointi

Suomen kyberturvallisuusstrategia ja toimeenpano-ohjelma Jari Pajunen Turvallisuuskomitean sihteeristö

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

TOIMINNAN JATKUVUUDEN HALLINTA

Eläketurvakeskuksen tietosuojapolitiikka

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Kooste riskienhallinnan valmistelusta

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Henkilötietojen käsittelyn ehdot

Onnistunut SAP-projekti laadunvarmistuksen keinoin

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Tietosuojavastaavan nimittäminen, asema ja tehtävät

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

ICT-VARAUTUMINEN VALTIT-INFO

Tietoturvapolitiikka Porvoon Kaupunki

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Vihdin kunnan tietoturvapolitiikka

GDPR Tietosuoja-asetus

EU:n tietosuoja-asetus ja sähköposti

Hanki myös itse koulutusta säännöllisesti UKK-dokumentin tekeminen Verkkokoulutusohjelma testeineen Blogi/muu sisäinen viestintä

Sosiaali- ja terveydenhuollon valmiussuunnitteluohjeistus

Sovelto Oyj JULKINEN

SUUNNITTELE JA JOHDA TURVALLISUUTTA, ENNAKOI RISKIT JA VARMISTA LAATU- JA TURVALLISUUSKULTTUURI

Kansallinen varautuminen kriiseihin. Yleissihteeri, Jari Kielenniva

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

Roolit henkilötietojen käsittelyssä LOTTA YLÄ-SULKAVA

Henkilötietojen käsittelyn ehdot. 1. Yleistä

KUJA2: Kuntien ja maakuntien jatkuvuudenhallinta -projekti. Aki Pihlaja Projektipäällikkö

LIITE 2. Henkilötietojen käsittelyn ehdot. 1. Yleistä

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

SISÄINEN TURVALLISUUS KUNNASSA PAIKALLISHALLINNON NÄKÖKULMA

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa

Tämä henkilötietojen käsittelyä ja tietosuojaa koskeva sopimusliite on tehty seuraavien sopijapuolten (Rekisterinpitäjä ja Toimittaja) välillä.

Maakuntauudistuksen esivalmistelu Satakunnassa Ohjausryhmä Satakunnan maakuntauudistus 1

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

Pilvipalveluiden arvioinnin haasteet

Omavalvontasuunnitelma ja EU-tietosuojadirektiivi

Sopimuksiin perustuva toiminnan jatkuvuuden hallinta

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

EU:n yleinen tietosuoja-asetus (GDPR) ja sen toimeenpano Tampereen kaupungilla

ISO 9001:2015 JÄRJESTELMÄ- JA PROSESSIAUDITOIN- NIN KYSYMYKSIÄ

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta. 1 Ohjeen soveltamisala, tavoitteet ja rajaukset. 2 Jatkuvuuden hallinnan säädösympäristö

Poikkeusolojen riskianalyysi

EU:N TIETOSUOJA-ASETUKSET WALMU

Oulun Maanmittauskerho ry. Tietosuojaseloste

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Pilvipalvelut ja henkilötiedot

Digital by Default varautumisessa huomioitavaa

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Savonlinnan kaupungin valmiustoiminta Kaupunginjohtaja Janne Laine

Perustaako PMO. PM Club Turku, Tuire Mikola Kehittämispäällikkö.

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Transkriptio:

Työpaja #10 lyhyt kertaus

Edellinen työpaja keskittyi pääosin varautumisen käsitteisiin

Tietosuoja ja jatkuvuudenhallinta ISO27001 vs. tietosuoja-asetus

ISO27001 ja tietosuoja-asetus varautumisen näkökulmasta Artikla ISO/IEC 27001 28 Henkilötietojen käsittelijä Henkilötietojen käsittelijä rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot 8.1 Organisaation on varmistettava, että ulkoistetut prosessit määritetään ja että niitä valvotaan. 9 Organisaation on arvioitava tietoturvan tasoa ja tietoturvallisuuden hallintajärjestelmän vaikuttavuutta A.15 Suhteet toimittajiin - Sopimusten turvallisuus - Toimitusketju - Palvelujen seuranta A.18 Vaatimustenmukaisuus - Lainsäädäntöön ja sopimuksiin sisältyvien vaatimusten noudattaminen - Tietoturvallisuuden katselmoinnit (tekniset testaukset ja riippumaton katselmointi) Linkki lähde: IAPP

ISO27001 ja tietosuoja-asetus varautumisen näkökulmasta Artikla ISO/IEC 27001 32 Käsittelyn turvallisuus Kyky taata vikasietoisuus kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa 6 Suunnittelu (mitä tehdään) - Tietoturvariskien arviointi - Tunnistaminen, analysointi, arviointi - Riskien käsittely - Tietoturvatavoitteiden määrittely ja toiminnan suunnittelu - Omistajan nimeäminen riskeille - Toimenpiteiden kuvaus ja aikataulutus 8 Toiminta (miten tehdään käytännössä) - Suunnittelu ja ohjaus - Tietoturvariskien arviointi - Tietoturvariskien käsittely A.10 Salaus - Salauksen hallinta Linkki lähde: IAPP

Johdon sitoutuminen on jatkuvuuden hallinnan suunnittelun lähtökohta

Jatkuvuuden hallinnan suunnittelua on johdettava kuten muitakin prosesseja Johdon sitoutuminen Toimintojen, prosessien, palvelujen ja tietojärjestelmien omistajat ja vastuuhenkilöt Viestintäyksikkö Sisäiset ja ulkoiset palvelutuottajat ja niiden alihankkijat Tietohallinto Integraatiopalvelut

Jatkuvuuden hallintajärjestelmä takaa toimivan johtamismallin häiriötilanteisiin Jatkuvuuden hallinnan ohjaus-/suunnitteluryhmä Valmiuspäällikkö tai vastaava Arvioi toiminnallisia riskejä ja määrittää painopisteet suunnittelutyölle Koordinoi yksiköiden suunnittelutyötä, kouluttaa henkilöstöä ja valvoo toimintaa Toimintojen, prosessien, palvelujen ja tietojärjestelmien omistajat ja vastuuhenkilöt Palvelutuottajat Viestintäyksikkö Tietohallinto Määrittää riskienhallintakeinot sekä toipumisajat ja pisteet. Tunnistaa vaihtoehtoiset toimintatavat sekä dokumentoi jatkuvuus- ja toipumissuunnitelmat yhdessä valmiuspäällikön kanssa.

Onnistunut jatkuvuussuunnittelu edellyttää organisaation tärkeiden resurssien tunnistamista

Organisaation toimintojen edellyttämä erityisosaaminen on huomioitava jatkuvuussuunnittelussa Sanna Osaamisalue: Tietoliikenne laitteiden konfigurointi Erik: Osaamisalue: Lainsäädäntö ja neuvottelu Suunnitelmissa nimetyt henkilöt tulee tarkistaa säännöllisesti Varahenkilöjärjestelyjen osalta varmistettava riittävä osaamistaso Henkilövarausten tekeminen poikkeustilanteen varalle (VAP*) myös palvelutoimittajien osalta *Vapautus aseellisesta palveluksesta (linkki)

Tietoisuuden ylläpitäminen ja lisääminen edellyttää säännöllistä koulutusta Väistötilana toimii Tampereen Häiriötilanteessa käynnistämme generaattorin Tietoa jatkuvuudenhallinnan toimenpiteistä tulee jakaa kaikille osapuolille, ei ainoastaan avainhenkilöille Jatkuvuuden hallinta tulee sitoa osaksi jokapäiväistä tekemistä (esim. osaksi säännöllisiä tiimien kokouksia, näkyvyys sisäisissä viestintäkanavissa jne.)

Henkilöstön lisäksi jatkuvuuteen voi vaikuttaa yksittäinen prosessi tai järjestelmä Jatkuvuussuunnittelussa on Ydinvoimalan toimintaperiaate Lähde: Fennovoima tunnistettava solmukohdat, kriittiset pisteet, jotka hidastavat tai estävät palautumisen häiriön jälkeen. Kriittisiä pisteitä ovat muun muassa sähkön jakelu, fyysisten tele- ja tietoliikenneverkkojen käyttökatkot, polttoaineiden, kuljetusvälineiden, varaosien tai raaka-aineiden saatavuuden keskeytyminen

Palvelutuottajien sopimukset eivät aina kata häiriötilanteen toimintaa Omien asiakkaiden kanssa sovitut palvelutasot ja sanktiot on huomioitava jatkuvuusriskejä tunnistettaessa ja toiminnan keskeytysvaikutusanalyysia tehtäessä. Nämä vaatimukset tulee sisällyttää myös palvelutuottajien sopimuksiin Häiriötilanteessa saumaton toiminta palvelutoimittajan ja organisaation välillä on palautumisen ehdoton edellytys

Harjoitus Yleisimmät riskiskenaariot jatkuvuuden hallinnan osalta liittyen tiloihin, henkilöstöön, tietojärjestelmiin ja palvelutuottajiin

Riskien tunnistaminen on varautumisen lähtökohta Riskianalyysi Vaikutus analyysi Toimintojen priorisointi Tavoiteaikojen määrittely (RTO, RPO) Suunnitel mien laadinta Harjoittelu ja testaus Tilat Ihmiset Laitteet Prosessit Palvelujen saatavuus Julkisuuskuva Lakisääteiset tehtävät Taloudelliset vaikutukset Tiedon eheys Kriittisyyden määrittäminen Nopeuden ja budjetin suhteen määrittely Ajan säästö maksaa rahaa Mahdollisimman lähellä normaalitilan toiminnan kuvauksia Ainoa tie onnistuneeseen varautumiseen harjoittele, harjoittele, harjoittele

110 kerrosta, 417 metriä Morgan Stanleyn toimisto 44-70. kerroksissa 2700 ihmisestä 10 katosi onnettomuudessa. Pelastautuminen oli harjoittelun tulos

40 kerrosta, 160 metriä

35 kerrosta, 132 metriä

29 kerrosta, 205 metriä

Harjoitus 15 min Jakaudutaan ryhmiin, jossa fasilitaattori johdattaa keskustelua uhkakuvista, jotka aiheuttavat laajavaikutteisen häiriötilanteen Tehtävä: Konkreettisten vaikutusten kuvaaminen yhden osa-alueen osalta: Henkilöstöön kohdistuva uhka Tiloihin kohdistuva uhka Tietojärjestelmiin kohdistuva uhka Palvelutuottajiin kohdistuva uhka Dokumentointi: Fasilitaattori kuvaa ryhmän tuotoksen taulukkoon

Uhkakuvat Aihealue Uhka Konkreettinen vaikutus Henkilöstöön kohdistuva uhka kuljetuslogistiikan vakavat häiriöt, elintarvikehuollon vakavat häiriöt, väestön terveyden ja hyvinvoinnin vakavat häiriöt, suuronnettomuudet, luonnon ääri-ilmiöt, ympäristöuhkat, terrorismi ja muu yhteiskuntajärjestystä vaarantava rikollisuus Tiloihin kohdistuva uhka Tietojärjestelmiin kohdistuva uhka Palvelutuottajiin kohdistuva uhka voimahuollon tai yhdyskuntatekniikan vakavat häiriöt, onnettomuudet, luonnon ääri-ilmiöt, ympäristöuhkat, terrorismi, sotilaallisen voiman käyttö kyberuhkat, sovellus- tai ohjelmistovika, voimahuollon tai yhdyskuntatekniikan vakavat häiriöt, onnettomuudet, luonnon ääri-ilmiöt, terrorismi rahoitus- ja maksujärjestelmän vakavat häiriöt, julkisen talouden rahoituksen saatavuuden häiriintyminen, voimahuollon tai yhdyskuntatekniikan vakavat häiriöt, onnettomuudet, luonnon ääri-ilmiöt, ympäristöuhkat, terrorismi

Tehokas toiminta häiriötilanteessa edellyttää valmisteluja

Täsmällinen toiminta häiriötilanteessa nopeuttaa palautumista normaalitilanteeseen 2 Minimoi vaikutukset kriittisiin palveluihin aktivoimalla vaihtoehtoiset toimintatavat 1 Estä ihmisiin kohdistuvat vahingot 3 Viesti tilanteesta sidosryhmille nopeasti

Toiminta häiriötilanteessa koostuu monesta eri tehtävästä ja vaiheesta Aika Häiriön alkupiste Johtoryhmän kokoaminen Palautuminen normaaliin Tilannekuvan luominen ja ylläpito Toimenpiteiden ja päätösten kirjaaminen Vaihtoehtoisten toimintatapojen aktivointi Sisäinen viestintä Ulkoinen viestintä

Tilannejohtoryhmän on kyettävä tekemään operatiivisia päätöksiä Ryhmään on kuuluttava yksikön johtoa, prosessivastaavia, viestintähenkilö sekä koordinaattori Ryhmä tekee päätökset tilannekuvan pohjalta ja toteuttaa ne välittömästi Ryhmälle tulee taata Riittävä taloudellinen valtuutus Riittävä asiantuntemus toiminnan yksityiskohdista Johtamistyövälineet (esim. kommunikointivälineet, tilannekuva, riittävät dokumenttipohjat, yms.) Kokoontumispaikka Kassavarat riittävät 10 päivää

Palvelutuottajan tehtävät, vastuut ja velvollisuudet perustuvat sopimuksiin Palvelutuottajat vastaavat ylläpitämiensä palvelujen ja järjestelmien toimivuudesta sovitun palvelutason mukaisesti Tärkeän palvelutuottajan tulisi kuvata jatkuvuusja toipumissuunnitelmissaan ainakin Henkilöjärjestelyt (kriittiset henkilöt varahenkilöineen) Häiriötilanteiden vaikutukset palveluun Vaihtoehtoiset toimintatavat (sähkönsyöttö, tietoliikenne, datakeskus, ohjelmistotuen päättyminen) Toimet tärkeiden henkilöiden saatavuuden varmistamiseksi Toimet verkkohyökkäyksen varalta Toimet korvaavien laitteiden saatavuuden varmistamiseksi

Harjoitus 30 min Jakaudutaan ryhmiin, jossa fasilitaattori johdattaa keskustelua uhkakuvista, jotka aiheuttavat laajavaikutteisen häiriötilanteen Tehtävä: Vaihtoehtoisten toimintamallien kuvaus aiemmin tunnistettujen riskien/uhkien osalta Dokumentointi: Fasilitaattori kuvaa ryhmän tuotoksen taulukkoon

Vaihtoehtoiset toimintamallit Uhka Vaikutus Vaihtoehtoinen toimintamalli Henkilöstöön kohdistuva uhka Henkilöstö ei pääse toimipisteeseen luonnonmullistuksen johdosta Tiloihin kohdistuva uhka Tietojärjestelmiin kohdistuva uhka Pääsy viraston toimitiloihin voi estyä joko ulkoisista tai sisäisistä tekijöistä johtuen. Näitä tekijöitä voivat olla esimerkiksi vesivahingot, tulipalot, säh-kö- tai tietoliikennekatkot tai muut vastaavat häiriötilanteet. Toiminnan kannalta kriittiset järjestelmät eivät ole käytettävissä Palvelutuottajiin kohdistuva uhka Esimerkiksi tietokannan korruptoituminen palvelutoimittajan ylläpitämän tietojärjestelmän päivityksen epäonnistuessa.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute