Jatkuvuuden hallinta. Kiwa Inspecta. ISO Yleistietoa. Jarkko Puistovirta Tuotepäällikkö, Pääarvioija. BECP Certified ISO Lead Implementor

Samankaltaiset tiedostot
SFS-EN ISO (2014): Yhteiskunnan turvallisuus. Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset SFS-seminaari

Yritysturvallisuuden johtamisen arviointi

Yritysturvallisuuden johtamisen arviointi ja hallintamalli

Yritysturvallisuuden johtamisen arviointi

Yritysturvallisuuden johtamisen viitekehys Kiwa Rima

SFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

SFS, STANDARDIEHDOTUKSEN ISO/DIS ESITTELY

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

OHSAS vs. ISO mikä muuttuu?

Turvallisuus- ja valmiussuunnittelu

Vastuullisuus ja johtaminen

Sisällysluettelo LIIKENNEVIRASTO OHJE 2 (7) Dnro 4258/005/2011

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

Vuosi ISO 9001 ja 14001:2015 julkaisusta sertifioijan kokemuksia Sertifioinnilla kilpailuetua - Inspectan tietopäivä

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

ISO Standardisarja Eräitä ulottuvuuksia Kari Komonen

Kooste riskienhallinnan valmistelusta

Varautumis- ja valmiussuunnittelman laadinta Fingridissä Pekka Niemi

Quality Consulting M.Mikkola OY

Jatkuvuuden varmistaminen

Mitä varautumissuunnitelmilta odotetaan? Tarvo Siukola

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Työterveys- ja työturvallisuusjärjestelmän. sertifiointi. Trust, Quality & Progress ISO 45001:2018. Kiwa Inspecta

Yritysturvallisuuden johtamisen arviointi

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Laatua läpi toimitusketjun

Riskit hallintaan ISO 31000

Uusien ISO 9001 ja ISO vaikutukset konepajoille

Sopimuksiin perustuva toiminnan jatkuvuuden hallinta

Tietoisku ISO 14001:n ja OHSAS 18001:n tulevista muutoksista. Tuulikki Lammi Versio1,

Yhteiskunnan turvallisuusstrategian perusteet

Yhteiskunnan turvallisuusstrategia 2017 Hyväksytty valtioneuvoston periaatepäätöksenä

Espoon kaupunki Tietoturvapolitiikka

Finanssivalvonnan painopisteet varautumisen valvonnassa

Palveluiden häiriöttömyys ja toimitusvarmuus. Varautuminen?

Valmistuksen LAATUKÄSIKIRJA

Miksi auditoidaan? Pirkko Puranen FT, Ylitarkastaja

Kolmannen osapuolen valvonta betonikiviainesten valmistuksessa

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Riskienhallinta- ja turvallisuuspolitiikka

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta. 1 Ohjeen soveltamisala, tavoitteet ja rajaukset. 2 Jatkuvuuden hallinnan säädösympäristö

Uusi SFS-ISO/IEC 27001:2013. Jyrki Lahnalahti Versio 1.0

Ajankohtaista varautumisesta ja Jäätyvä 2018 kokemukset

Tiia Tuomi. Kiwa Inspecta Kiwa Inspecta

Tietoturvapolitiikka

ISO 9001:2015 JÄRJESTELMÄ- JA PROSESSIAUDITOIN- NIN KYSYMYKSIÄ

EN sarja Innovaatiojohtaminen yksi uusi työkalu

VIESTINTÄVERKKOJEN JA VIESTINTÄPALVELUIDEN VARMISTAMINEN; OHJEITA KÄYTTÄJILLE. TIVA-seminaari

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

TIETOTURVAPOLITIIKKA

Toiminnan jatkuvuuden hallinta

ONKO YRITYKSILLÄ KYKYÄ SOPEUTUA ENNAKOIMATTOMIIN MUUTOSTILANTEISIIN Valmiusasiamies Jaakko Pekki

Kuntien valmiussuunnittelu ja alueen oppilaitokset. Valmiusmestari Vesa Lehtinen LAHTI

Asiakirjasta omistajuuteen

Miksi varautuminen on tärkeää? Näkökulmia toiminnan jatkuvuuden suunnitteluun

Toiminnan jatkuvuuden hallinta

VISIO YHTEISKUNNAN ELINTÄRKEIDEN TOIMINTOJEN TURVAAMINEN. Väestön elinmahdollisuudet. Yhteiskunnan turvallisuus. Valtion itsenäisyys

Pilvipalveluiden arvioinnin haasteet

HUOVI-portaali. Huoltovarmuustoiminnan uusi painopiste: toiminnallinen huoltovarmuus

ISO uudistuu mikä muuttuu? TERVETULOA!

Arviointiraportti. Patenttitoimisto Jaakko Väisänen

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

Liite 2 (velvoittava) Hallintajärjestelmästandardien yleisrakenne ja vakiotekstit sekä yhteiset termit ja keskeiset määritelmät

Yllättikö puun alkuperän hallinnan vaatimus FSC- ja PEFC-standardit

Koneyhdistelmät. Kiwa & Kiwa Inspecta Lukuina. Turvallisen tekniikan seminaari Kiwa Inspecta. Kiwa Inspecta Suomi. Kiwa Inspecta.

OMAVALVONTA ISO 9001 ISO / FSSC ISO OHSAS SATAFOOD KEHITTÄMISYHDISTYS RY Marika Kilpivuori

Valmiusharjoituksesta hyödyt irti Häme17 - Sysmä. Taneli Rasmus

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC Reijo Savola Johtava tutkija VTT

Laboratorion näkökulma muuttuvaan standardiin 15189: 2012 mikä muuttuu?

Vastausten ja tulosten luotettavuus. 241 vastausta noin 10 %:n vastausprosentti tyypillinen

10 vuotta varautumista ja väestönsuojelua alueellisessa pelastustoimessa. Seppo Lokka Etelä-Savon pelastuslaitos

Pääesikunta, logistiikkaosasto

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

YHTEISKUNNNAN TURVALLISUUSSTRATEGIA 2010

VAHTI Ohjejaosto - vuosi toimintaa

Teollisen valmiuden kehittäminen kunnossapidon kumppanuudessa

Miten innovointia tehdään Euroopassa

HELSINGIN KAUPUNKIKONSERNIN VARAUTUMINEN JA JATKUVUUDENHALLINTA

VARAUTUMISSEMINAARI VARAUTUMINEN ALUEHALLINNON UUDISTUKSESSA

Kuntien valmiussuunnittelu ja alueen oppilaitokset

Toiminnan jatkuvuus - käytännön näkökulma

Piiska vai porkkana? Kiwa Inspecta. Toimittaja-arvioinnit käytännössä. Toivo Pulkkinen, yksikön päällikkö,

Palveluiden häiriöttömyyden varmistaminen

Sosiaali- ja terveydenhuollon valmiussuunnitteluohjeistus

Yhteinen varautuminen alueella

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Elinkeinoelämä ja huoltovarmuus

Varmaa ja vaivatonta viestintää kaikille Suomessa Viestintätoimialan muutostekijät 2010-luvulla

Jatkuvuudenhallinta ja varautuminen kunnassa - yleisiä perusteita ja lähtökohtia -

STANDARDI SFS-EN ISO 14006, YMPÄRISTÖNÄKÖKOHDAT HUOMIOON OTTAVAN SUUNNITTELUN SISÄLLYTTÄMINEN YMPÄRISTÖJÄRJESTELMÄÄN

TOIMINNAN JATKUVUUDEN HALLINTA

PETU10+ Pelastustoimen tutkimuslinjaukset

Espoon kaupunki Tietoturvapolitiikka

Johtamisen standardit mitä ja miksi

Sosiaali- ja terveysministeriö. Potilas- ja asiakasturvallisuusstrategia Tiivistelmä taustasta sekä tavoitetilasta vuoteen 2021 mennessä

MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Turvallisuudenhallinta ja EASA-asetus

Transkriptio:

[presentation title] via >Insert >Header & Footer Jatkuvuuden hallinta ISO 22301 Yleistietoa Kiwa Inspecta Jarkko Puistovirta Tuotepäällikkö, Pääarvioija BECP Certified ISO 22301 Lead Implementor Julkinen v.1.0

ISO 22301 Liiketoiminnan jatkuvuuden hallintajärjestelmä FINAS:n ISO 22301 akkreditointi Inspecta Sertifiointi Oy:lle 30.8.2018 Ensimmäinen ISO 22301 sertifiointiesitys pilottiasiakkaalle 31.8.2018 Sertifikaatin luovutustilaisuus 24.9.2018 Asiakascase: Telia Oyj Klo 13:40-14:10 2

Yhteiskunnan turvallisuusstrategia Yrityksillä on jatkossakin keskeinen asema erityisesti talouden ja infrastruktuurin toimivuuden varmistamisessa. Samaan aikaan yritysten rooli esimerkiksi sosiaali- ja terveydenhuollon palveluissa kasvaa. Elinkeinoelämän roolin kasvun seurauksena on entistä tärkeämpää turvata yritysten oman toiminnan jatkuvuus. (YTS, 2017, 8) 3

Käsitteitä ja niiden eroja Liiketoiminnan jatkuvuuden hallinta Kokonaisvaltainen hallintaprosessi, jossa tunnistetaan organisaatioon kohdistuvat mahdolliset uhat ja niiden mahdolliset vaikutukset liiketoimintaan ja joka mahdollistaa organisaation mukautumiskyvyn ja tehokkaan reagoinnin sekä tärkeimpien sidosryhmien intressien, maineen, brändin ja arvoa luovien toimintojen suojaamisen. (ISO 22301:2012) Jatkuvuuden hallinta Organisaation prosessi, jolla tunnistetaan toiminnan uhkat ja arvioidaan niiden vaikutukset organisaatiossa ja sen toimijaverkostossa sekä luodaan toimintatapa häiriötilanteiden hallinnalle ja toiminnan jatkuvuudelle kaikissa olosuhteissa. (Lähde: Kyberturvallisuuden sanasto, TSK 52, 2018) 4

Muita käsitteitä Valmiussuunnitelma Valmiuslain (1552/2011) 12 velvoittaa viranomaiset varautumaan mm. valmiussuunnitelmien avulla. Valmiussuunnitelmia testataan valmiusharjoituksissa. Varautumissuunnitelma Sähköverkonhaltijan suunnitelma, joka sisältää voimassaolevat toimintamallit ja - ohjeet normaaliolojen vakavien, toimituskeskeytyksen aiheuttavien tapahtumien sekä poikkeusolojen varalle. Sähkömarkkinalaki (588/2013) velvoittaa Huoltovarmuuskeskusta valvomaan sähköverkonhaltijoiden varautumissuunnittelua. 5

Kansallinen viitekehys ja liiketoimintavaatimukset lainsäädäntö, mm. valmiuslaki Yhteiskunnan turvallisuusstrategia 2017 Kansallinen riskienarvio 2018 Huoltovarmuus (HVO Extranet-portaali ja SOPIVA-hanke) Sopimukset Vaatimustenmukaisuus Standardit, mm. ISO 22031 6

ISO 22301:2012 vakioitu sisällysluettelo Esipuhe 0 Johdanto 1 Soveltamisala 2 Velvoittavat viittaukset 3 Termit ja määritelmät 4 Organisaation toimintaympäristö 5 Johtajuus 6 Suunnittelu 7 Tukitoiminnot 8 Toiminta 9 Suorituskyvyn arviointi 10 Parantaminen Kirjallisuus Sama sisällysluettelon rakenne kuin muissa ISO hallintajärjestelmissä Erityispiirteet löytyvät alaluvuista, esim. 8.4.2 Häiriötilanteeseen reagoimisen malli Tai 8.4.3 Varoitukset ja viestintä 7

Korrelaatiota ISO/IEC 27001:2013 kanssa ISO/IEC 27001:2013 Liite A ISO 22301 vaatimuksia A.17.1.1 Tietoturvallisuuden jatkuvuuden suunnittelu 6 Suunnittelu A.17.1.2 Tietoturvallisuuden jatkuvuuden toteuttaminen 8 Toiminta A.17.1.3 Tietoturvallisuuden jatkuvuuden todentaminen, katselmointi ja arviointi 8.5 Harjoittelu ja testaus 9 Suorituskyvyn arviointi A.17.2.1 Tietojenkäsittelypalvelujen saatavuus 8.4 Liiketoiminnan jatkuvuuden menettelyjen luominen ja toteuttaminen Toisin sanoen tietoturvallisuus huomioidaan myös jatkuvuuden hallinnassa. 8

Standardin erityispiirteitä ja termejä Pisin hyväksyttävä katkos (MAO) Pisin siedettävä häiriön kesto (MTPD) Liiketoiminnan jatkuvuuden vähimmäistavoite (MBCO) Palautustavoite (RPO) Palautumisaikatavoite (RTO) Maximum Acceptable Outage Maximum Tolerable Period of Disruption Minimum Business Continuity Objective Recovery Point Objective Recovery Time Objective 9

Liiketoiminnan jatkuvuuden strategia Strategian määrittelyn ja valinnan on perustuttava liiketoiminnan vaikutusanalyysin tuloksiin ja riskien arviointiin. Organisaation on määriteltävä asianmukainen liiketoiminnan jatkuvuuden strategia, jolla suojataan ensisijaiset toiminnot vakautetaan, jatketaan ja palautetaan ensisijaiset toiminnot ja niiden riippuvuussuhteet sekä niitä tukevat resurssit lievennetään ja hallitaan vaikutuksia ja reagoidaan niihin. Strategian määrittelyn on sisällettävä toimintojen uudelleenkäynnistämistä koskevien ensisijaisten aikataulujen hyväksyminen. Organisaation on suoritettava arviointeja toimittajien liiketoiminnan jatkuvuuden tasosta. 10

Liiketoiminnan jatkuvuussuunnitelma BCP (Business Continuity Plan) Dokumentoidut menettelyt, jotka ohjaavat organisaatioita reagoimaan, palautumaan, jatkamaan ja palauttamaan ennalta määritellyn toimintatason häiriötilanteen jälkeen. HUOM. Suunnitelma kattaa tyypillisesti resurssit, palvelut ja toiminnot, joita kriittisten liiketoimintojen jatkuvuuden varmistaminen vaatii. (ISO 22301:2012) 11

Liiketoiminnan jatkuvuuden hallintajärjestelmä BCMS (Business Continuity Management System) Yleisen hallintajärjestelmän osa, jolla laaditaan, toteutetaan, käytetään, seurataan, katselmoidaan, ylläpidetään ja parannetaan liiketoiminnan jatkuvuutta. HUOM. Hallintajärjestelmä sisältää organisaatiorakenteen, toimintaperiaatteet, suunnittelutoiminnot, vastuut, menettelyt, prosessit ja resurssit. (ISO 22301:2012) 12

Liiketoiminnan vaikutusanalyysi Prosessi, jossa analysoidaan toimintoja ja liiketoiminnan mahdollisen häiriön vaikutusta niihin. Pääpainopiste seurauksilla, ei todennäköisyyksillä. Ei korvaa riskienarviointia, mutta tukee sitä erinomaisesti. 13

Harjoittelu ja testaus Vaatimukset harjoitusten toteuttamiselle ja niiden vaikuttavuuden arvioinnille sekä jatkuvalle parantamiselle. 14

Häiriötilanteeseen reagoimisen malli Organisaation on luotava, dokumentoitava ja toteutettava menettelyt ja johtamisrakenteet, joilla voidaan reagoida häiriötilanteeseen käyttämällä henkilöstöä, jolla on tarvittavat vastuut, valtuudet ja pätevyys hallita häiriötilannetta. Määriteltävä vaikutuskynnys, joka oikeuttaa käynnistämään määritellyt toimenpiteet. Arvioitava häiriötilanteiden luonne ja laajuus sekä niiden mahdolliset vaikutukset. Käynnistettävä asianmukainen liiketoiminnan jatkuvuutta edistävät vastetoimenpiteet. 15

Häiriötilanteeseen reagoimisen malli Organisaation on päätettävä, viestiikö se siihen kohdistuvista merkittävistä riskeistä ja vaikutuksista ulkoisesti, ja dokumentoitava päätöksensä. Päätöksenteossa on huomioitava ensisijaisesti henkilöturvallisuus ja kuultava olennaisia sidosryhmiä. Jos päätetään viestiä, organisaation on luotava ja toteutettava menettelyt ulkoista viestintää, hälytyksiä ja varoituksia varten. Myös tiedotusvälineet on huomioitava asianmukaisesti. 16

Varoitukset ja viestintä Lisäksi on huomioitava ja toteutettava tarvittaessa seuraavat toimenpiteet: Varoitetaan sidosryhmiä, joihin todellinen tai odotettavissa oleva häiriötilanne mahdollisesti vaikuttaa. Varmistetaan eri vastuuorganisaatioiden ja niiden henkilöstöjen välinen yhteistoiminta. Hyödynnetään viestintäjärjestelmiä. Viestintä- ja varoitusmenettelyjä on harjoiteltava säännöllisesti. 17

Palautuminen Palautuminen Organisaatiolla on oltava dokumentoidut menettelyt, joilla se palauttaa liiketoimintonsa häiriötilanteen jälkeen väliaikaisista toimenpiteistä, jotka on otettu käyttöön tavallisen liiketoiminnan tukemiseksi. Toisin sanoen prosessit jatkuvat ja tietotekniikka palautuu 18

Trust, Quality & Progress 19

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute