Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Samankaltaiset tiedostot
VAHTI kuntien tietoturvajaoston toimintakatsaus

VAHTIn toiminta

VAHTI-toiminta ja kuntien tietoturvajaosto Kimmo Rousku, VAHTI-pääsihteeri JUHTA

Sopimuksiin perustuva toiminnan jatkuvuuden hallinta

TIETOTURVATASOVAATIMUKSET HANKINNOISSA

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

Espoon kaupunki Tietoturvapolitiikka

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

Katsaus tieto- ja kyberturvallisuuden tilanteeseen. Aku Hilve JUHTA

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka

Tietoturvapolitiikka

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Vihdin kunnan tietoturvapolitiikka

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

VAHTI:n toimintakertomus vuodelta 2015

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Tietoturva- ja tietosuojapolitiikka

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Sovelto Oyj JULKINEN

Tietoturvapolitiikka Porvoon Kaupunki

VAHTIn kesäseminaari Kimmo Rousku VAHTI

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Aikamatka digitaaliseen tulevaisuuteen: olemmeko turvassa? Pekka Jykes &

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Apteekista löytyy listaus tärkeimmistä säädöksistä. Apteekista löytyy listaus ydinprosesseista ja niiden vastuuhenkilöistä.

Karkkilan kaupungin tietoturvapolitiikka

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

SOPIVA-hankeryhmä, Kari Wirman

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Valmiuspäällikkö Sakari Ahvenainen. Valmiusohje ja ajankohtaista varautumisesta. Helsingin TIVA ja joukkoviestintäpooli (JVP)

Tietoturvapolitiikka NAANTALIN KAUPUNKI

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

VIRTU ja tietoturvatasot

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana. Sami Laaksonen, Propentus Oy

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Vesihuolto päivät #vesihuolto2018

Verkostoautomaatiojärjestelmien tietoturva

VALVO JA VARAUDU PAHIMPAAN

Fennian tietoturvavakuutus

Yritysturvallisuuden johtamisen arviointi

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

SELVITYS TIETOJEN SUOJAUKSESTA

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa

Yritysturvallisuuden johtamisen arviointi

TOIMINNAN JATKUVUUDEN HALLINTA

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Tietoturvapolitiikka

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA

Tietoturvavastuut Tampereen yliopistossa

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

VARAUTUMINEN SOPIMUKSIN KYBERTURVALLISUUSUHKIIN Varautumispäällikkö Erkki Räsänen Huoltovarmuuskeskus, Infrastruktuuriosasto

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

Järkevää sääntelyä koskeva sidosryhmien kuuleminen Euroopan unionissa. Suomen Ammattiliittojen Keskusjärjestö SAK ry vastaa lausuntonaan seuraavaa:

HUOVI-portaali. Huoltovarmuustoiminnan uusi painopiste: toiminnallinen huoltovarmuus

Uuden sairaalan kokonaisturvallisuus. Juhana Suurnäkki FM, CISM

Digital by Default varautumisessa huomioitavaa

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö

TIETOTURVAPOLITIIKKA

Lokipolitiikka (v 1.0/2015)

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

JUHTA: n toteuttamat tietosuojayhteishankkeet Kick off-tilaisuus ja 1. työpaja

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

TIETOTURVA- POLITIIKKA

Laatua ja tehoa toimintaan

Espoon kaupunki Pöytäkirja 96. Valtuusto Sivu 1 / Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

Eläketurvakeskuksen tietosuojapolitiikka

RIITTÄÄKÖ LUOTTAMUS HÄIRIÖTILANTEESSA? SOPIMUSPERUSTEINEN VARAUTUMINEN Valmiusasiamies Jaakko Pekki

Pilvipalveluiden arvioinnin haasteet

Dnro:375/ /2013 Ehdotus kunanhallitukselle

HELSINGIN KAUPUNKI OHJE 1/8 LIIKENNELAITOS

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

Verkostoautomaatiojärjestelmien tietoturva

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Rakenna muuri verkkorosvolle. Antti Nuopponen, Nixu Oy

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen turvallisuuden kehittämiseen?

TIETOTURVAPOLITIIKKA

KEMIJÄRVEN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Helsingin yleiset tietoturvan ohjeet toimittajalle

Lokitietojen käsittelystä

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Transkriptio:

1(16) Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn! Arvoisa vastaaja, Tällä kyselyllä selvitetään Suomen kuntien tieto- ja kyberturvallisuuden nykytilaa. Vastaamiseen kuluu aikaa arviolta yksi (1) tunti. Huomioithan, etteivät antamasi vastaukset sisällä salassa pidettäviä tietoja. Vastausaika päättyy 31.8.2015 klo 15.

2(16) Sivu 1: Ohje vastaajalle Vastatkaa nykytilannetta vastaavan mielikuvanne mukaisesti. Jos kysyttyä asiaa ei esiinny ollenkaan toiminnassa, niin vastaus on. Jos kysyttyä asiaa on havaittavissa ainakin joissain määrin, vastaus on ja tarvittaessa voitte tarkentaa vastauksianne kyselyn lopussa olevassa vapaatekstikentässä. Vastauksien ei tule sisältää salassa pidettävää tietoa.

3(16) Sivu 2: 1.1 Taustatiedot = Kysymykseen on pakko vastata 1.1.1 Vastaajaorganisaatio Kunta tai kaupunki 1.1.2 Vastausten yhdyshenkilö Nimi Tehtävä- tai virkanimike Sähköpostiosoite

4(16) Sivu 3: 1.2 Tietoturvallisuuden hallinta ja johtaminen 2015 = Kysymykseen on pakko vastata 1.2.1 Käsitteleekö organisaation ylin johto tietoturvaan tai kyberturvaan liittyviä asioita johtamistyössään? 1.2.1B Onko organisaatiollanne arkistonmuodostussuunnitelma, joka sisältää ohjeet aineistojen hävittämiseen? (tai tiedonohjaussuunnitelma TOS), sähköinen arkistomuodostussuunnitelma 1.2.2 Onko organisaatiolla käytössä organisaatiotason riskienhallintamenetelmä (asiakirja jossa on kuvattu riskienhallintaan liittyvät periaatteet) ja säännöllinen riskiraportointi johdolle? Jos kyllä: Minä vuonna vahvistettu? 1.2.2B Arvioidaanko asiakasrajapintoihin liittyviä riskejä? (asiointiportaalit, palvelutilanteet ja muut asiakkaan kohtaamiset) 1.2.3 Onko organisaatiolla johdon hyväksymä ja säännöllisesti arvioitu tietoturvatoimintamalli tai muu vastaava yleiskuvaus tietoturvaperiatteista? (Esimerkiksi tietoturvapolitiikka) Jos kyllä: Minä vuonna vahvistettu? 1.2.4 Onko organisaatioon nimetty tietoturvavastaava, jonka työnkuvassa on mainittu tietoturvavastuut? Jos kyllä: Tehtävä- tai virkanimike:, osapäivätoiminen, kokopäivätoiminen 1.2.5 Organisaatiossa tehdään säännöllisesti kyber- ja tietoturvallisuuteen liittyvää riskien arviointia?

5(16) Jos kyllä: Minä vuonna arvioitu viimeksi? 1.2.6 Tieto- ja kyberturvallisuudesta raportoidaan organisaation johdolle säännöllisesti? 1.2.6B Lisäkysymys 1.2.6B Raportointimenettely on kuvattu kirjallisesti

6(16) Sivu 5: 1.2 Tietoturvallisuuden hallinta ja johtaminen 2015 = Kysymykseen on pakko vastata 1.2.7 Tietoturvapoikkeaminen käsittely on organisoitu ja vastuutettu? 1.2.8 Vakavista tietoturvapoikkeamista kerrotaan organisaation johdolle viivytyksettä? 1.2.9 Onko organisaatio tunnistanut, että siihen tai sen vastuulla oleviin toimintoihin kohdistuu pakollinen (lakisääteinen,sopimusperustainen) tietoturvaloukkausten ilmoitusvelvollisuus. Jos : Mitkä toiminnot, mihin ilmoitetaan? 1.2.10 Onko organisaatiolla ICT-jatkuvuussuunnitelma? Jos kyllä: Minä vuonna vahvistettu? 1.2.11 Onko organisaation ICT-jatkuvuussuunnitelmaa harjoiteltu? Jos kyllä: Minä vuonna harjoiteltu viimeksi? 1.2.12 Onko organisaatiolla ICT-valmiussuunnitelma? Jos kyllä: Minä vuonna vahvistettu? 1.2.13 Onko organisaatiolla ICT-toipumissuunnitelmia? Jos kyllä: Minä vuonna vahvistettu? 1.2.14 Onko organisaation tietoturvavastuut kuvattu tehtäväkuvauksissa? Jos kyllä: Minä vuonna?

7(16) 1.2.15 Organisaation tietoturvaohjeisto on sisällöltään: Keskeiset alueet kattava? Jos kyllä: Minä vuonna kattavuus on arvioitu? 1.2.16 Toimiiko organisaatiossa eri toiminnot kattava tietoturvallisuuden yhteistyöryhmä? (esimerkiksi johtoryhmä) Jos kyllä: Minä vuonna käynnistetty? 1.2.17 Organisaatiossa on tiedossa, missä verkostoissa organisaatio on mukana sekä mitä alihankkijoita ja yhteistyökumppaneita sen tietojen kanssa toimii missäkin roolissa? Jos kyllä: Minä vuonna alihankkijat tarkasteltu? 1.2.18 Käsitelläänkö johdon sisäisen valvonnan ja riskienhallinnan arviointi- ja vahvistuslausumassa tietoturvariskejä? 1.2.19 Onko organisaatiolla tiedossaan, mitä lokeja organisaation tietojärjestelmät, ohjelmistot ja laitteet keräävät?

8(16) Sivu 6: 1.3 Tietoturvaongelmat 2015 = Kysymykseen on pakko vastata 1.3.1 Onko havaittu erityistoimenpiteitä aiheuttaneita ulkopuolisia hyökkäyksiä? 1.3.2 Mitä keinoja organisaatio käyttää kyber- ja tietoturvahyökkäysten havaitsemiseksi? 1.3.3 Minkä tyyppisiä tietoturvapoikkeamia organisaatio on havainnut toiminnassaan?

9(16) Sivu 7: 1.4 Tietotekninen tietoturvallisuus vuonna 2015 = Kysymykseen on pakko vastata 1.4.1 Onko erilliset tietojenkäsittelyn toimintaympäristöt ja niihin kuuluvat järjestelmät ja toiminnot tunnistettu? 1.4.2 Onko organisaation keskeisten tietojärjestelmien tietoturvallisuus arvioitu? 1.4.3 Organisaatiossa on tunnistettu ja eriytetty tietoverkon eri suojaustasoa vaativat osat ja eri suojaustason verkkojen välistä liikennettä rajoitetaan ja suodatetaan? 1.4.4 Estetäänkö organisaatiossa teknisesti huonolaatuisten salasanojen käyttö? Tässä hyvälaatuisiksi salasanoiksi määritellään vähintään 10 merkin mittaiset erilaisia merkkijoukkoja sisältävät salasanat. 1.4.5 Organisaatiossa on sovittu käyttövaltuuksien hallintaperiaatteet? 1.4.6 Tunnusten ja valtuuksien myöntö, muuttaminen ja poisto on organisoitu ja vastuutettu käyttövaltuuksien hallintaperiaatteiden mukaisesti? 1.4.6B Valvotaanko pääkäyttäjätunnuksien (root, superuser, admin, tai muu sellainen) käyttöä erityisesti? 1.4.7 Organisaatiossa on vastuutettu varmuuskopioiden ottaminen sekä tunnistettu varmuuskopioinnin kannalta suojattavat kohteet ja otetaan varmuuskopioita suunnitelmallisesti? 1.4.8 Käytetäänkö organisaatiossanne: Haittaohjelmatarkastusta saapuville html-sivuille Tunkeutumisen havaitsemisjärjestelmiä IDS tai vastaava? Salausteknologiaa sähköpostiviestinnän ja viestinvälityksen suojaamisessa

) 10(16 Salausteknologiaa tiedostojen, hakemistojen ja kovalevyjen suojaamisessa Käyttöoikeuksien hallintajärjestelmää (IDM / IAM)? mitään näistä Jos organisaatiossanne käytetään salausteknologiaa sähköpostiviestinnän ja viestinvälityksen suojaamisessa, kuinka monta käyttäjää? Jos organisaatiossanne käytetään salausteknologiaa tiedostojen, hakemistojen ja kovalevyjen suojaamisessa, kuinka monta käyttäjää? Jos organisaatiossanne käytetään käyttöoikeuksien hallintajärjestelmää (IDM / IAM), minkälaisiin kohteisiin ja järjestelmiin? 1.4.9 Onko organisaatiolla päätelaitteiden hallintamalli, joka kattaa myös mobiilipäätelaitteet, kuten älypuhelimet ja tabletit? (pelkät puhelimet eivät sisälly tähän, mutta älypuhelimet ja tabletit sisältyvät) Käytössä olevien päätelaitteiden kokonaislukumääräarvio Suojausratkaisuja sisältävien päätelaitteiden lukumäärä 1.4.9B Onko kaikissa mobiilipäätelaitteissa suojausratkaisu? 1.4.10 Onko organisaatiolla henkilöstön tiedossa oleva, johdon hyväksymät käyttöperiaatteet, joissa linjataan sähköpostien pelisäännöt? 1.4.11 Työntekijöiden tekninen valvonta on käsitelty YT-menettelyn mukaisesti (Laki yksityisyyden suojasta työelämässä)? 1.4.11B Viestintään liittyvien välitystietojen käsittelyssä noudatettavien menettelyjen perusteet ja käytännöt on käsitelty yhteistoiminnassa tietoyhteiskuntakaaren mukaisesti?"

) 11(16 Sivu 8: 1.6 Tietoturvallisuuteen käytetyt resurssit organisaatiossanne 2014 = Kysymykseen on pakko vastata 1.6.1 Resurssiarviot Arvio siitä, kuinka paljon organisaatiossa panostettiin henkilötyöpäiviä ja varoja tietoturvallisuuteen ja ICT-varautumiseen htp Kuinka paljon henkilötyöpäiviä ja varoja tietoturvallisuuden haavoittuvuuksien korjaamiseen on käytetty? htp Kuinka monta henkilötyöpäivää ja kuinka paljon varoja on käytetty tietoturvallisuuden koulutukseen? htp Kuinka paljon henkilötyöpäiviä ja varoja tietoturvallisuuden arviointiin on käytetty? htp

) 12(16 Sivu 9: 1.7 Henkilöstöturvallisuus 2015 = Kysymykseen on pakko vastata 1.7.1 Sisältävätkö tietoturvasuunnitelmat varautumisen sisäpiiriuhkiin, jotka aiheutuvat omasta henkilöstöstä tai palvelutoimittajien henkilöstöstä? 1.7.2 Onko organisaatiossanne käytössä turvallisuusselvitysmenettely? 1.7.2B Onko organisaatiossanne käytössä tietoturva- ja tietosuojasitoumus tai vastaava henkilöstöä koskeva sitoumus? 1.7.2C Onko organisaatiossanne käytössä etätyön ohjeet, jossa ohjeistetaan tietoturvallisista toimintatavoista ja oman talon tietoteknisistä pelisäännöistä? 1.7.3 Onko organisaationne sopimuksissa sovittu turvallisuusselvityksien tekemisestä palveluntoimittajista? 1.7.4 Onko organisaationne sopimuksissa käytössä vaitiolositoumuksia palveluntoimittajista? (tietoturva- ja tietosuojasitoumus tai vastaava ulkopuolisia palvelutuottajia koskeva sitoumus) 1.7.4B Millä tavoilla organisaationne varmistaa sopimuksissa mahdollisten pitkienkin alihankintaketjujen (tieto)turvallisuuden? Alihankkijat hyväksytetään teidän organisaatiolla Alihankkijoiden toiminnan tarkastamisoikeudesta sovitaan jo osana palvelusopimusta Muu keino, mikä: 1.7.5 Arvioidaanko organisaatiossanne tietoturvaosaamista tulos- ja kehityskeskusteluissa tehtäviin nähden? Koskee turvallisuushenkilöstöä Koskee ICT-henkilöstöä Koskee johtoa/esimiehiä Koskee koko henkilöstöä

) 13(16 Sivu 10: 1.8 Kyberturvallisuus 2015 = Kysymykseen on pakko vastata 1.8.1 Toimintayksiköiden ja organisaation tietohallinnon (tai vastaavan) välinen yhteistyö häiriötilanteessa Toimintayksikön ja organisaation tietohallinnon (tai vastaavan) välistä yhteistoimintaa ei ole suunniteltu toimintayksikön toimintaa haittaavien vakavien tietoteknisten häiriöiden varalle. Kun tietotekninen häiriö havaitaan, käynnistyy organisaation tietohallinnon (tai vastaavan)toimesta selvitys häiriön luonteesta. Tiedostetaan tietoteknisen häiriön vaikuttavan liiketoimintaan (sisäiset ja ulkoiset asiakkaat). Saattaa olla tiedostettu tarve täsmentää organisaation tietohallinnon (tai vastaavan) toiminnan jatkuvuuden turvaavat tietotekniset tehtävät, menettelyt ja tekniset ratkaisut. Vakavassa tietoteknisessä häiriötilanteessa toimitaan toimintayksikön ja organisaation tietohallinnon (tai vastaavan) kesken sovitun toimintatavan mukaisesti. Toimintayksikön ja organisaation tietohallinnon (tai vastaavan) kesken on tunnistettu vakavassa häiriötilanteessa suorittamatta jäävien liiketoimintatehtävien merkitys liiketoiminnalle (sisäisille tai ulkoisille asiakkaille) ja arvioitu häiriön aiheuttamat kustannukset. Vakavassa tietoteknisessä häiriötilanteessa toimintayksikön jaorganisaation tietohallinnon (tai vastaavan) jatkuvuussuunnitelmat ohjaavat yhteistoimintaa. Suunnitelmat sisältävät toiminnan ohjaamisen ja vahinkojen rajoittamisen toimenpiteet, toteutettavat toimintayksikön liiketoimintatehtävät (ml. välineet) ja organisaation tietohallinnon (tai vastaavan) tehtävät sekä tarvittavien muiden toimintayksiköiden, tukitoimintayksiköiden ja ulkoisten toimijoiden tehtävät (ml. välineet). Tehtävät ovat vastuutettu. Tilanteen selvittämiseksi on riittävästi päteviä henkilöitä. Vastaava häiriö pyritään jatkossa ehkäisemään. Vakavassa tietoteknisessä häiriötilanteessa toimintayksikön ja organisaation tietohallinnon (tai vastaavan)yhteistoiminnan jatkuvuus varmistetaan jatkuvuussuunnitelmiin dokumentoiduilla ja käyttöönotetuilla toimenpiteillä. Keskinäinen yhteistoiminta ja muu yhteistoiminta tarpeellisten toimintayksiköiden, tukitoimintayksiköiden ja ulkoisten toimijoiden kanssa on selvästi määritelty. Toimintayksikkö ja organisaation tietohallinnon (tai vastaavan) ovat tietoisia toistensa tehtävistä ja jatkuvuudenhallinnan menettelyistä. Häiriön aikaansaanut syy pyritään poistamaan välittömästi. Vakavassa häiriötilanteessa toimintayksikön ja organisaation tietohallinnon (tai vastaavan)yhteistoiminnan jatkuvuus kyetään varmistamaan säännöllisesti arvioiduilla ja harjoitelluilla toimintayksikön ja organisaation tietohallinnon (tai vastaavan) sekä muiden tarvittavien ulkoisten toimijoiden jatkuvuudenhallinnan menettelyillä liiketoimintavaikutukset (ulkoiset ja sisäiset asiakkaat) minimoiden.

) 14(16 1.8.2 ICT-varautuminen ICT-varautumisen ja jatkuvuudenhallinnan (mm. harjoitusten, ohjeiden, toimintatapojen, järjestelyjen tai teknisten ratkaisujen) kehittämishankkeista ei ole näyttöä tai hankkeet ovat puhetasolla. ICT-varautumisen ja jatkuvuudenhallinnan (mm. harjoitusten, ohjeiden, toimintatapojen, järjestelyjen tai teknisten ratkaisujen) kehittämishankkeista on jonkin verran näyttöä. On esimerkiksi tunnistettu tietotekniikkaan ja /tai automaatiojärjestelmiin liittyviä riskejä. ICT-varautumisen ja jatkuvuudenhallinnan (mm. harjoitusten, ohjeiden, toimintatapojen, järjestelyjen tai teknisten ratkaisujen) kehittämishankkeista on näyttöä. Toiminta on ohjeistettu tai on suunniteltu vaihtoehtoiset toimintatavat häiriötilanteen varalle. Tietoteknisen toimintavarmuuden ja jatkuvuudenhallinnan kehittämishankkeista on selvää näyttöä. Toimintatapoja, järjestelyjä ja teknisiä ratkaisuja kehitetään systemaattisesti. Esimerkiksi arviointien perusteella on kehitetty tietoteknisten kumppaneiden kanssa sopimuksissa sovittuja jatkuvuudenhallinnan menettelyjä. ICT-varautumisen ja jatkuvuudenhallinnan kehittämishankkeista on laajaalaista näyttöä. Harjoituksia, ohjeita, toimintatapoja, järjestelyjä ja teknisiä ratkaisuja kehitetään systemaattisesti. Esimerkiksi harjoitusten avulla on kehitetty tietoteknisten kumppaneiden kanssa sopimuksissa sovittuja jatkuvuudenhallinnan menettelyjä. 1.8.3 Yhteistoiminta Tietoverkon hyökkäystilanteiden varalle ei ole tarvittavien osapuolten kanssa sovittua toimintatapaa. Häiriötilanteessa tarvittavien osapuolten (organisaation sisäiset resurssit, asiakkaat, viranomaiset, laite- ja ohjelmistotoimittajat sekä asiantuntijapalveluita tarjoavat organisaatiot) välistä yhteistoimintaa ei ole ohjeistettu. Osapuolten vastuuhenkilöt on tunnistettu. Yhteistoimintamalli on keskusteltu kunkin osapuolen kanssa. Toiminta keskittyy ICT-järjestelmien hallintaan. Häiriötilanteita varten on kuvattu yhteistoimintamalli (organisaation sisäiset resurssit, asiakkaat, viranomaiset, laite- ja ohjelmistotoimittajat sekä asiantuntijapalveluita tarjoavat organisaatiot) ja siitä on sovittu kunkin osapuolen kanssa. Yhteistyötahot on velvoitettu vastuuttamaan ja ohjeistamaan vastuuhenkilönsä toimimaan tilanteessa. Häiriötilanteessa yhteistyötahot toimivat aktiivisesti ohjeittensa mukaan. Yhteistoimintamallit kattavat ICTjärjestelmien lisäksi tuotannon ja tuotannonohjauksen mm. prosessinohjauslaitteet ja järjestelmät. Tilanteen selvittämiseksi on riittävästi päteviä henkilöitä. Vastaava häiriö pyritään jatkossa ehkäisemään. Yhteistyötahojen kanssa harjoitellaan säännöllisesti häiriötilanteen johtamista, häiriön aikaista toimintaa, tilannetiedon muodostamista ja sen raportointia. Häiriötilanteen johtamista ja osapuolten ohjeita ja toimintatapoja kehitetään harjoitusten perusteella. Tulokset ja jatkotoimenpidesuositukset raportoidaan ylimmälle johdolle. Häiriön aikaansaanut syy pyritään poistamaan välittömästi.

) 15(16 Yhteistoiminta eri osapuolten kanssa häiriötilanteessa on jatkuvan parantamisen kohde. Häiriötilanteen hallinnan toimintamallia arvioidaan välittömästi tapahtuneiden tilanteiden jälkeen ja vähintään vuosittain. Häiriön hallintaa kehitetään systemaattisesti tulosten perusteella.

) 16(16 Sivu 11: 1.9 1.9.1 Muita huomioita, palautetta Lähetä Kiitos vastauksista!

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute