[presentation title] via >Insert >Header & Footer Jatkuvuuden hallinta ISO 22301 Yleistietoa Kiwa Inspecta Jarkko Puistovirta Tuotepäällikkö, Pääarvioija BECP Certified ISO 22301 Lead Implementor Julkinen v.1.0
ISO 22301 Liiketoiminnan jatkuvuuden hallintajärjestelmä FINAS:n ISO 22301 akkreditointi Inspecta Sertifiointi Oy:lle 30.8.2018 Ensimmäinen ISO 22301 sertifiointiesitys pilottiasiakkaalle 31.8.2018 Sertifikaatin luovutustilaisuus 24.9.2018 Asiakascase: Telia Oyj Klo 13:40-14:10 2
Yhteiskunnan turvallisuusstrategia Yrityksillä on jatkossakin keskeinen asema erityisesti talouden ja infrastruktuurin toimivuuden varmistamisessa. Samaan aikaan yritysten rooli esimerkiksi sosiaali- ja terveydenhuollon palveluissa kasvaa. Elinkeinoelämän roolin kasvun seurauksena on entistä tärkeämpää turvata yritysten oman toiminnan jatkuvuus. (YTS, 2017, 8) 3
Käsitteitä ja niiden eroja Liiketoiminnan jatkuvuuden hallinta Kokonaisvaltainen hallintaprosessi, jossa tunnistetaan organisaatioon kohdistuvat mahdolliset uhat ja niiden mahdolliset vaikutukset liiketoimintaan ja joka mahdollistaa organisaation mukautumiskyvyn ja tehokkaan reagoinnin sekä tärkeimpien sidosryhmien intressien, maineen, brändin ja arvoa luovien toimintojen suojaamisen. (ISO 22301:2012) Jatkuvuuden hallinta Organisaation prosessi, jolla tunnistetaan toiminnan uhkat ja arvioidaan niiden vaikutukset organisaatiossa ja sen toimijaverkostossa sekä luodaan toimintatapa häiriötilanteiden hallinnalle ja toiminnan jatkuvuudelle kaikissa olosuhteissa. (Lähde: Kyberturvallisuuden sanasto, TSK 52, 2018) 4
Muita käsitteitä Valmiussuunnitelma Valmiuslain (1552/2011) 12 velvoittaa viranomaiset varautumaan mm. valmiussuunnitelmien avulla. Valmiussuunnitelmia testataan valmiusharjoituksissa. Varautumissuunnitelma Sähköverkonhaltijan suunnitelma, joka sisältää voimassaolevat toimintamallit ja - ohjeet normaaliolojen vakavien, toimituskeskeytyksen aiheuttavien tapahtumien sekä poikkeusolojen varalle. Sähkömarkkinalaki (588/2013) velvoittaa Huoltovarmuuskeskusta valvomaan sähköverkonhaltijoiden varautumissuunnittelua. 5
Kansallinen viitekehys ja liiketoimintavaatimukset lainsäädäntö, mm. valmiuslaki Yhteiskunnan turvallisuusstrategia 2017 Kansallinen riskienarvio 2018 Huoltovarmuus (HVO Extranet-portaali ja SOPIVA-hanke) Sopimukset Vaatimustenmukaisuus Standardit, mm. ISO 22031 6
ISO 22301:2012 vakioitu sisällysluettelo Esipuhe 0 Johdanto 1 Soveltamisala 2 Velvoittavat viittaukset 3 Termit ja määritelmät 4 Organisaation toimintaympäristö 5 Johtajuus 6 Suunnittelu 7 Tukitoiminnot 8 Toiminta 9 Suorituskyvyn arviointi 10 Parantaminen Kirjallisuus Sama sisällysluettelon rakenne kuin muissa ISO hallintajärjestelmissä Erityispiirteet löytyvät alaluvuista, esim. 8.4.2 Häiriötilanteeseen reagoimisen malli Tai 8.4.3 Varoitukset ja viestintä 7
Korrelaatiota ISO/IEC 27001:2013 kanssa ISO/IEC 27001:2013 Liite A ISO 22301 vaatimuksia A.17.1.1 Tietoturvallisuuden jatkuvuuden suunnittelu 6 Suunnittelu A.17.1.2 Tietoturvallisuuden jatkuvuuden toteuttaminen 8 Toiminta A.17.1.3 Tietoturvallisuuden jatkuvuuden todentaminen, katselmointi ja arviointi 8.5 Harjoittelu ja testaus 9 Suorituskyvyn arviointi A.17.2.1 Tietojenkäsittelypalvelujen saatavuus 8.4 Liiketoiminnan jatkuvuuden menettelyjen luominen ja toteuttaminen Toisin sanoen tietoturvallisuus huomioidaan myös jatkuvuuden hallinnassa. 8
Standardin erityispiirteitä ja termejä Pisin hyväksyttävä katkos (MAO) Pisin siedettävä häiriön kesto (MTPD) Liiketoiminnan jatkuvuuden vähimmäistavoite (MBCO) Palautustavoite (RPO) Palautumisaikatavoite (RTO) Maximum Acceptable Outage Maximum Tolerable Period of Disruption Minimum Business Continuity Objective Recovery Point Objective Recovery Time Objective 9
Liiketoiminnan jatkuvuuden strategia Strategian määrittelyn ja valinnan on perustuttava liiketoiminnan vaikutusanalyysin tuloksiin ja riskien arviointiin. Organisaation on määriteltävä asianmukainen liiketoiminnan jatkuvuuden strategia, jolla suojataan ensisijaiset toiminnot vakautetaan, jatketaan ja palautetaan ensisijaiset toiminnot ja niiden riippuvuussuhteet sekä niitä tukevat resurssit lievennetään ja hallitaan vaikutuksia ja reagoidaan niihin. Strategian määrittelyn on sisällettävä toimintojen uudelleenkäynnistämistä koskevien ensisijaisten aikataulujen hyväksyminen. Organisaation on suoritettava arviointeja toimittajien liiketoiminnan jatkuvuuden tasosta. 10
Liiketoiminnan jatkuvuussuunnitelma BCP (Business Continuity Plan) Dokumentoidut menettelyt, jotka ohjaavat organisaatioita reagoimaan, palautumaan, jatkamaan ja palauttamaan ennalta määritellyn toimintatason häiriötilanteen jälkeen. HUOM. Suunnitelma kattaa tyypillisesti resurssit, palvelut ja toiminnot, joita kriittisten liiketoimintojen jatkuvuuden varmistaminen vaatii. (ISO 22301:2012) 11
Liiketoiminnan jatkuvuuden hallintajärjestelmä BCMS (Business Continuity Management System) Yleisen hallintajärjestelmän osa, jolla laaditaan, toteutetaan, käytetään, seurataan, katselmoidaan, ylläpidetään ja parannetaan liiketoiminnan jatkuvuutta. HUOM. Hallintajärjestelmä sisältää organisaatiorakenteen, toimintaperiaatteet, suunnittelutoiminnot, vastuut, menettelyt, prosessit ja resurssit. (ISO 22301:2012) 12
Liiketoiminnan vaikutusanalyysi Prosessi, jossa analysoidaan toimintoja ja liiketoiminnan mahdollisen häiriön vaikutusta niihin. Pääpainopiste seurauksilla, ei todennäköisyyksillä. Ei korvaa riskienarviointia, mutta tukee sitä erinomaisesti. 13
Harjoittelu ja testaus Vaatimukset harjoitusten toteuttamiselle ja niiden vaikuttavuuden arvioinnille sekä jatkuvalle parantamiselle. 14
Häiriötilanteeseen reagoimisen malli Organisaation on luotava, dokumentoitava ja toteutettava menettelyt ja johtamisrakenteet, joilla voidaan reagoida häiriötilanteeseen käyttämällä henkilöstöä, jolla on tarvittavat vastuut, valtuudet ja pätevyys hallita häiriötilannetta. Määriteltävä vaikutuskynnys, joka oikeuttaa käynnistämään määritellyt toimenpiteet. Arvioitava häiriötilanteiden luonne ja laajuus sekä niiden mahdolliset vaikutukset. Käynnistettävä asianmukainen liiketoiminnan jatkuvuutta edistävät vastetoimenpiteet. 15
Häiriötilanteeseen reagoimisen malli Organisaation on päätettävä, viestiikö se siihen kohdistuvista merkittävistä riskeistä ja vaikutuksista ulkoisesti, ja dokumentoitava päätöksensä. Päätöksenteossa on huomioitava ensisijaisesti henkilöturvallisuus ja kuultava olennaisia sidosryhmiä. Jos päätetään viestiä, organisaation on luotava ja toteutettava menettelyt ulkoista viestintää, hälytyksiä ja varoituksia varten. Myös tiedotusvälineet on huomioitava asianmukaisesti. 16
Varoitukset ja viestintä Lisäksi on huomioitava ja toteutettava tarvittaessa seuraavat toimenpiteet: Varoitetaan sidosryhmiä, joihin todellinen tai odotettavissa oleva häiriötilanne mahdollisesti vaikuttaa. Varmistetaan eri vastuuorganisaatioiden ja niiden henkilöstöjen välinen yhteistoiminta. Hyödynnetään viestintäjärjestelmiä. Viestintä- ja varoitusmenettelyjä on harjoiteltava säännöllisesti. 17
Palautuminen Palautuminen Organisaatiolla on oltava dokumentoidut menettelyt, joilla se palauttaa liiketoimintonsa häiriötilanteen jälkeen väliaikaisista toimenpiteistä, jotka on otettu käyttöön tavallisen liiketoiminnan tukemiseksi. Toisin sanoen prosessit jatkuvat ja tietotekniikka palautuu 18
Trust, Quality & Progress 19