Liiketoimintaosaamisen klusteri Tietohallintojohtamisen EO Ylempi AMK Kumppanuus, sopimukset ja jatkuvuussuunnittelu Ilkka Meriläinen 4.5.2011
Hankintojen merkitys organisaatiolle Vaikuttaminen kilpailuetuun - Toimittaja/kumppanuus markkinoiden hallinta ja johtaminen Nykyisten toimittajien toiminnan ymmärtäminen Hinnan muodostuksen ymmärtäminen Uusien toimittajien etsiminen Osaamisen innovatiivinen hyödyntäminen Kilpailun ja toisaalta yhteistyön hyödyntäminen Hankintastrategian luominen yrityksen strategiasta Hankintapolitiikan luominen yritykselle Kustannusten laskenta ja -ymmärtäminen 2
Hankintojen ryhmittely Investoinnit Rakennukset Tuotteisiin liittyvät palvelut Raaka-aineet, tuotteet, alihankinnat ja tuotteisiin liittyvät palvelut Tuotteisiin liittymättömät hankinnat Tietojärjestelmät Rahoituspalvelut Energia (Voi olla myös tuotteiden raaka-aine) Muut palvelut 3
Hankkeiden ryhmittely 2 Taloudellinen merkittävyys Jaottelu toimittajittain Hankinnan kohteen monimutkaisuus Hankinnan tulosvaikutus Hankinnan kohteen pitkäaikaisuus ja sitovuus Strategiset tuotteet ja palvelut Kumppanitoimittajat Strategiset hankinnat -> kumppanuusverkostot 4
Kumppanuussuhteet Kumppani valittiin aikaisemmin harvojen tunnettujen toimittajien joukosta Aina ei saatu parasta kumppania, koska vaihtoehtoja ei tarkasteltu laajemmin Vanha kumppani ei kyennyt kehittymään ympäristön vaatimusten Neuvottelutaktiikat mukana 1 Kumppanuus ei pakota toimittajaa kehittämään toimintaansa -> Tästä on päätettävä erikseen Kilpailu Sopimukset Tekemisestä ostamiseen Yki organisaatioiden menevät prosessit 5
Kumppanuusmallin arviointia Lähtökohtana on yhteistyökykyisyyden arviointi Sopimusmallien ja ehtojen soveltuvuus kumppaniorganisaatioon Yhteinen tavoita Prosessien toimivuus ja mittaus Toiminnan kehittäminen Yhteistyön onnistumisen mittaus Kokonaistaloudellinen ajattelutapa Startegia Hinta Laatu Elinkaariajattelu 6
Ostajan ja myyjän väliset valtasuhteet Kilpailu Yhteistoiminta Vallanjako Ostajan dominoiva kilpailu Ostajan dominoima yhteistoiminta Ostaja 100 % Aito kilpailu Aito yhteistoiminta 50 %-50% Myyjän dominoima kilpailu Myyjän dominoima yhteistoiminta Myyjä 100 % 7
Kokonaiskustannusajattelu Mistä osista tuotteiden hinta ja kustannukset muodostuvat? Hankintahinta Ylläpito ja käyttö Tarvikkeet ja raaka-aineet Ulkoiset kustannukset - Sisäiset kustannukset Rahoituskustannukset Huonosta laadusta johtuvat seisokit ym. Kustannukset Jatkuvan osaamisen ylläpidon aiheuttamat kustannukset Kierrätyskustannukset 8
Kilpailuttaminen ja sen sudenkuopat Hinta laskee laatu heikkenee Sopimukset, laatusopimukset Riski siirtyy ostajalle Edellyttää kunnon määrittelyä tarjouspyynnöissä Toimittajat lupaavat yli todellisen kykynsä Hinta voi nousta ylläpidossa tai muissa palveluissa myöhemmin Toimitusaikataulu pettää Kilpailu on vain näennäistä Piilokartelli Toimittajien erilaisuutta ei osata hyödyntää Tulisi huomioida tarjouspyynnöissä mahdollisuus hyödyntää eri toimittajien vahvuuksia ja innovaatioita Parhaita toimittajia ei saavuteta Ostajan potentiaali ei riitä Huono tarjouspyyntö 9
Neuvotteluista Neuvottelu on peli johon vaikuttavat Osapuolten keskinäiset valtasuhteet Keskinäiset riippuvuudet Intressien ja tarpeiden pitkäjänteisyys Kaupan kohteen merkitys osapuolille Kulttuurierot Siihen vaikuttavat lisäksi Kilpailu Keskinäisen liikevaihdon tärkeys Toimittajan vaihtamisen kustannukset Uuden toimittajan etsinnän kustannukset Neuvottelun kohteen räätälöinnin aste Tiedon epäsymmetria 10
Neuvotteluaseman arviointia Mikä on meidän neuvotteluasema kunkin toimittajan suhteen? Kuinka kiinnostavana toimittajat pitävät hankintaa? Miten toimittaja kokee oman asemansa meidän suhteen? Keitä tulee neuvotteluun? Mitkä ovat neuvottelijoiden henkilökohtaiset tavoitteet? Mistä toimittajan kustannukset muodostuvat? Mihin kustannuseriin neuvottelemalla voidaan vaikuttaa? Voidaanko hankintaa varioida helposti siten, että kustannukset pienenevät? 11
Neuvotteluasemaa heikentävät Huono valmistautuminen neuvotteluihin Riittämätön toimittajamarkkinoiden tunteminen Ei ymmärretä oikein riippuvuus- ja valtasuhteita Pieni tarjolla olevien vaihtoehtojen määrä Ei tunneta toimittajan organisaatiota eikä toimintatapaa Toimittajaa ei kuunnella Riittämätön käsitys toimittajan näkökulmista Liian vähäinen kokemus neuvotteluista 12
Neuvottelutavoitteet Mitkä asiat ovat tärkeimpiä missäkin tilanteessa? Miten niihin voi vaikuttaa? Mikä on meille tärkeää? Mikä auttaa parhaiten omissa prosesseissamme? Millä keinoilla pyrimme tavoitteeseemme? Mitkä ovat argumenttimme? Mikä vahvistaa näkökulmaamme? Ketkä osallistuvat meiltä neuvotteluun? Miten reagoimme vastapuolen toimenpiteisiin? Miten varaudumme yllättäviin käänteisiin? Ostajan on vaikea olla kaikissa tilanteissa rationaalinen, koska käytettävissä oleva tieto on puutteellista 13
Neuvottelutaktiikat 1 Ota tai jätä Toimii jos muita vaihtoehtoja ei ole Voidaan käyttää harhauttamiseen Pieni parannus Luodaan ystävällinen ilmapiiri Suostutaan kauppaan, jos myyjä säätää tarjoustaan ostajan haluamalla tavalla Tiukka paikka kiinalaisittain Viime hetkellä kun sopimus on lähes valmiiksi neuvoteltu asetetaan yksi ongelma vielä myyjän ratkaistavaksi, josta koko sopimus on kiinni. (Kaikki kaatuu, ellei tätä saada) Hollantilainen huutokauppa Ostaja pyytää myyjiä erikseen kertomaan, miksi ostajan tulisi valita juuri heidät. 14
Neuvottelutaktiikat 2 Hyvä kaveri Paha kaveri Ensin kylmä ja karski neuvottelija pessimistisesti tenttaa myyjää ja asettaa kyseenalaisiksi yhden tai kaikki myyjän argumentit. Sitten toinen ostajan neuvottelija alkaa puolustaa myyjää ja rakentaa kompromissia, johon myyjä voi suostua. Agressiiviset neuvottelutaktiikat Jos on hyvä neuvotteluasema, lopputulos voidaan jopa sanella Järjestetään useita perättäisiä neuvotteluita kilpailijoiden kesken. Riski on siinä, että tapetaan lypsylehmä, jos toimittaja tekee konkurssin Julkishallinnolla hintaa ei saa tinkiä. 15
Jatkuvuussuunnittelu esimerkkinä kumppanuussuhteiden laatusopimuksesta Mitä jatkuvuussuunnittelu on Valtion evare hanke esimerkkinä jatkuvuussuunnittelu- sopimuksista Miten perustaa, määritellä, johtaa ja valvoa toimintoja ja prosesseja, jotka menevät usean organisaation läpi. 16
Mitä jatkuvuussuunnittelu on Jatkuvuussuunnittelulla tarkoitetaan yrityksen tai organisaation toiminnan varmistamista eriasteisissa häiriötilanteissa Yrityksen tuottamien palvelujen jatkumista Tietohallinnon jatkuvuussuunnittelulla tarkoitetaan tietojärjestelmien ja niihin liittyvien prosessien toiminnan varmistamista ja ennalta varautumista erilaisten häiriötilanteiden varalle.
Miksi jatkuvuussuunnittelua tarvitaan Yrityksen toiminta on tietojärjestelmistä riippuvaa. Sillä voi olla suunnattoman suuri taloudellinen riski. Kaikkia riskejä ei voida edes taloudellisesti mitata Oikeusprosessit Hengen tai terveyden uhat Valtakunnan tasoisen toiminnan vakava häiriintyminen Joillakin aloilla lakisääteistä Viranomaistoiminta Terveydenhuolto Rahoituslaitokset ja Pankit Huoltovarmuuskriittiset yritykset ja laitokset Tarjoaa kaikille yrityksille kilpailuetua koska se parantaa yrityksen palvelujen luotettavuutta. Valtaosa World Trade centerin yrityksistä pystyi nopeasti palauttamaan toimintansa, koska tiedot sijaitsivat muualla olevilla palvelimilla.
Tietojärjestelmien jatkuvuussuunnittelu koskee Tietojärjestelmiä Tietoja Tiedonsiirtoa Prosesseja, toimintaa ja käytettävyyttä Käyttöhenkilöitä Tukihenkilöitä Tietoturvaa - käytettävyys, eheys ja luotettavuus
IT riskien seitsemän kategoriaa Projektit, jotka eivät valmistu kun oli suunniteltu. IT palvelujen jatkuvuus kun liiketoiminta lamaantuu Tieto-omaisuus, joka ei pysy tallessa Palveluntarjoajat ja IT-toimittajat- katkoksia IT toiminnan arvoketjussa Sovellukset murenevat järjestelmät Infrastruktuuri hyllyvä perusta Strategiset riskit ja tulevaisuuden uhat: kun IT tekee kyvyttömäksi
Jatkuvuussuunnittelu on prosessi Tunnistetaan ja analysoidaan uhat, joita vastaan jatkuvuutta suunnitellaan Kartoitetaan ja dokumentoidaan liiketoimintaprosessit Analysoidaan näiden uhkien toteutumisen vaikutus sekä toteutumisen todennäköisyys. Laaditaan jatkuvuussuunnittelun periaatteet ja ohjeet Jatkuvuussuunnittelun koordinointi, organisointi ja ylläpito Jatkuvuussuunnittelun testaus, harjoittelu sekä auditoinnit Jatkuvuussuunnitelma on osa yrityksen laadunvarmistusta ja laatustrategiaa Jatkuvuussuunnittelu on osa yrityksen riskienhallintaa, yritysturvallisuutta ja tietoturvallisuutta Jatkuvuussuunnittelun tulisi olla osa liiketoimintaa
Millaisia häiriötiloja voi olla Inhimillinen virhe Väärinkäytös Tietoliikennekatkos Sähkökatkos Tulipalo Vesivahinko Toimitilojen osittainen tai täydellinen tuhoutuminen Avainhenkilöiden menetys Poikkeusolot (lakko, luonnononnettomuudet, taloudellinen kriisi, hallitsemattomat väestön liikkeet, terrorismi, sotilaallinen uhka) Näiden jatkuvuussuunnitelmasta käytetään nimeä valmiussuunnitelma Ulkoisten sidosryhmien toiminnan häiriöt
Kuka vastaa jatkuvuussuunnittelusta Jatkuvuussuunnittelu on ylimmän johdon vastuulla Jatkuvuussuunnitelman tekee se, jolla on parhaat tiedot riskien ja uhkien vaikutuksista liiketoimintaan. Jatkuvuussuunnitelman tekemiseen osallistuu myös sisäiset ja/tai ulkoiset asiantuntijat Usein tietohallinto tekee yksin jatkuvuussuunnitelman tietohallinnon osalta ja esittelee sen sitten johdolle.
Varajärjestelyjä ovat Varahenkilöjärjestelyt Vaarallisten tehtäväyhdistelmien välttäminen Toimintaprosessien kuvaaminen ja dokumentointi Riskikartoitukset Laitteistojen kahdentaminen replikoinnit ja klusterointi Varmuuskopiointi Varmistetut tietoliikenneyhteydet UPS laitteistot ja varavoiman järjestäminen EMP suojaus Kulku- ja käyttöoikeuksien suunnittelu Yksityiskohtaiset palautussuunnitelmat ja -ohjeet
Varautumisen tavoitteet Ennakoida mahdolliset häiriötilanteet Turvata riittävän nopea toiminnan jatkuminen häiriötilanteessa Neutraloida häiriön vaikutus lyhyellä ja pitkällä aikavälillä Toipumissuunnitelma Varautua myös suunniteltuihin muutoksiin Estää tietovuodot muutostilanteissa
Varautumisen haasteita Tietotekniikan ulkoistaminen Osa palveluista kuten neuvontapalvelut on siirretty maan rajojen ulkopuolelle Ulkomailla olevat tietokannat, palvelimet tai tietovarastot Laajat varautumisvelvoitteet voivat aiheuttaa ongelmia EU tasolla. Tietoliikenteen häiriöt poikkeusoloissa Tietoverkkohyökkäykset kuten tietomurrot tai palvelunestohyökkäykset
Jatkuvuussuunnittelun keinoja ja periaatteita 1 Tietojenkäsittelyn infrastruktuuri on kuvattu Tietojenkäsittelyn tulee olla kahdessa erillisessä toimipisteessä, joiden kapasiteetti on sellainen, että poikkeusoloissa ylläpidettäviä palveluja voidaan tarjota, vaikka toinen toimipiste ei olisi käytettävissä Toiminnan jatkuvuuden kannalta riittävä tietojen ja ohjelmien suojakopiointi toipumisjärjestelmineen on järjestetty riittävän etäälle varsinaisista tietojenkäsittelykeskuksista turvallisiin tiloihin mahdollisuuksien mukaan toiselle paikkakunnalle Tämä malli mahdollistaa myös järjestelmän päivittämisen ja muuttamisen esim toisiin tiloihin asteittain, ilman pitkiä toimintakatkoja tai yliheittoja
Jatkuvuussuunnittelun keinoja ja periaatteita 2 Varmuuskopioiden käyttö tulee suunnitella siten, että yritys pystyy varmuuskopioidun tiedon ja käytettävissä olevien ohjelmistojen avulla käynnistämään liiketoimintansa uudelleen siinäkin tapauksessa, että varsinainen tietojenkäsittelykeskus ja sen lähialueet ovat pysyvästi tuhoutuneet. Lisäksi tulee varmistua siitä, että varmuuskopiot ovat koska tahansa käyttöönotettavissa ja että niiden tietosisältö on käyttökelpoista. Varmuuskopioiden palauttamista tulee testata ja harjoitella ajoittain
Jatkuvuussuunnittelun keinoja ja periaatteita 3 On selvitettävä mitkä ovat kriittiset tiedot mikä on tavoiteaika tietojen palautukselle miten palautettua tietoa voidaan käytännössä hyödyntää Mitkä ovat kriittiset prosessit Käyttäjien kirjautuminen Tapahtumien käsittely Ketkä ovat kriittiset resurssit tai henkilöt Käyttäjät Tukihenkilöt Ennakoitava henkilökunnan lomajärjestelyt, työnkierto ja eläköitymiset Laadittava kaikkien tietojärjestelmien toipumissuunnitelmat Varmistuttava tietoturvan säilymisestä poikkeustilanteiden tai toipumisen aikana
Jatkuvuussuunnittelun keinoja ja periaatteita 4 Varmistuttava, että järjestelmien kaikilla ohjelmistokomponenteilla ja niiden versioilla on toimittajan tuki ja ylläpito ja että päivitykset ovat ajan tasalla. Virustorjunta,Palomuurit, Käyttöjärjestelmät, ym. WSUS (Windows Server Update Service) -palvelu Pidettävä ylläpitosopimukset ajan tasalla siten, että ongelmatilanteissa saadaan toimittajalta riittävän nopeasti apua. Liitettävä varautumisvelvollisuus myös kumppaneiden ja alihankkijoiden välisiin sopimuksiin Määriteltävä palvelutasot (SLA) kaikkiin sopimuksiin. Näihin yksiselitteiset mittarit ja sanktiot.
Jatkuvuussuunnittelun keinoja ja periaatteita 5 Valitaan mahdollisimman yleiset ja laajakäyttöiset järjestelmäratkaisut. (Toisaalta yleisiin sovelluksiin tehdään eniten haittaohjelmia) Varmistetaan paikallinen osaaminen,tuki ja viankorjaus tarvittaessa 24/7 -periaatteella Räätälöidyistä sovelluksista hyvät Escrow sopimukset tai lähdekoodit itselle Avoimen lähdekoodin järjestelmät Varmistettava ylläpito Järjestelmien ja ohjelmistojen keskinäiset riippuvuudet on kuvattava ja dokumentoitava Jos käyttöjärjestelmä vaihdetaa, se voi vaikuttaa sovelluksiin tai laitteistoon Yhteistyö Verkko-operaattoreiden ja CERT Finlandin kanssa Yhteistyö Huoltovarmuusdatan kanssa yhteiskunnallisesti tärkeiden tietojen varmuuskopioinnissa.
Jatkuvuussuunnittelun keinoja ja periaatteita 5 Hyvä tapa on, että asennukseen käytetään eri käyttäjätunnusta kuin normaaliin käyttöön Jokaisella on vain omat käyttäjätunnukset Vain koulutetut tukihenkilöt asentavat järjestelmään mitään. Käytettyjen koneiden kovalevyt, levykkeet sekä muistitikut on hävitettävä asianmukaisesti. (Esim. Lassila&Tikanoja) Henkilökohtainen varmuuskopiointi on halpa henkivakuutus Omatkin varmuuskopiot on säilytettävä turvassa, varustettava päivämäärällä ja dokumentoitava Tietohallinto joutuu usein konsultoimaan ja kertomaan ylimmälle johdolle riskit ja haavoittuvuudet. Johto tai hallitus ei välttämättä itse tiedosta näitä. Hajautettujen järjestelmien (matkapuhelin sovellukset ym) ylläpito on kallista. Niissä esiintyvät viat ovat yleisiä ja kiusallisia
Miten ICT-huoltovarmuutta voidaan kehittää Talous- ja elinkeinopoliittiset toimenpiteet Lainsäädäntö, regulaatio ja viranomaismääräykset Omistajuus Jatkuvuus- ja valmiussuunnittelu sekä harjoitukset Yhteistoiminnan edistäminen Huoltovarmuusjärjestelyjen rahoitus Kansainväliset sopimukset Lähde Kananen 3.3.2009
Jatkuvuussuunnitelmien auditointi Mihin tilanteisiin on varauduttu? Onko kaikkiin tilanteisiin varauduttu? Miten ja mitä toimenpiteitä käyttäen yritys selviää kustakin häiriötilanteesta? Mitkä ovat avaintekijät ja pullonkaulat? Henkilöt, Alihankkijat, Toimittajat, Osaaminen, Sopimukset Järjestelmät, Komponentit, Varaosat, Tietokannat, Tietoliikenne Järjestelmän kaikki rajapinnat ulkomaailmaan Energia, toimitilat, tietoliikenne Viranomaisyhteistyö, Sopimukset, VAP -varaukset, lainsäädäntö Onko tarve katkeamattomalle toiminnalle? Tarvitaanko nopeaa palautumista? Millainen on toipumissuunnitelma? Millainen on toisen vaiheen korjausprosessi? Kuinka kauan poikkeusoloissa toiminnan tulee jatkua? Onko käyttöoikeudet yksilölliset, dokumentoitu sekä ajan tasalla? Vaara verkosta Onko päivitykset kunnossa? Onko virustorjunta ajan tasalla? Onko Palomuuri säädetty oikein? Huomaako verkonvalvonta, jos sisäverkkoon tulee uusi laite?
Valtion ICT Varautuminen (Jatkuvuussuunnittelu) Vuoden 2010 loppuun mennessä ICT-varautumisen ohjauksen on oltava osana hallinnonalojen ja virastojen yleisiä ohjausmenetelmiä. Virastojen on määritettävä, mille vaatimustasolle niiden palvelut ja järjestelmät sijoittuvat. Hallinnonalojen ja virastojen on oltava suunnitellut ja käynnistänyt ICT-varautumisen toteuttamisen. 35
evare Vaatimusten ryhmittely 1 1. Johtaminen 1.1 Strateginen ohjaus ja organisointi 1.2 Yhteistyö, viestintä ja raportointi 2. Toiminnan ohjaus ja toimintamallit 2.1 Toiminnan suunnittelu riskienhallinnan avulla 2.2 Palvelujen jatkuvuuden suunnittelu 3 Henkilöstön ja henkilöresurssien hallinta 3.1 Osaamistarpeet ja osaamisen kehittäminen 3.2 Henkilöstöresurssien hallinta 4 Kumppanuusverkosto 4.1 Sopimusten hallinta 4.2 Toiminnan varmistaminen erityistilanteissa 36
evare Vaatimusten ryhmittely 2 5 Prosessit ja järjestelmäympäristöt 5.1 ICT-jatkuvuuden hallinta 5.1.1 ICT-johtaminen 5.1.2 ICT-palvelut 5.1.3 Käyttöpalvelut 5.1.4 Tietovarannot ja rekisterit 5.1.5 Tietoteknisen infrastruktuurin ja sen tukipalvelujen toteuttaminen 5.2 Tietoturvallisuuden hallinta 5.2.1 Tietoaineistojen hallinta ja raportointi 5.2.2 Tietojenkäsittely-ympäristöjen hallinta 5.2.3 Tiedon turvaaminen 5.2.4 Häiriötilanteiden hallinta 5.2.5 Tietojärjestelmäkehityksen ja sovellusylläpidon hallinta 37
EVARE Vaatimusten toteuttaminen Valtionhallinnossa Vuoden 2010 loppuun mennessä hallinnonalojen ja virastojen tulee: kuvata keskeisimmät toiminta- ja palveluverkostonsa määrittää organisaatioille ja niiden osille sekä palveluille ja järjestelmille tavoiteltava vaatimustaso määrittää aikataulu, jonka kuluessa palvelut toteutetaan ICTvarautumisen vaatimustasojen mukaisesti resursoida toteutus osana normaalia toiminnan ja talouden suunnitteluaan. 38
evare:n toteuttaminen johtajuus Strateginen ohjaus ja organisointi 1A: Organisaatio on tunnistanut ydintoimintoihinsa liittyvät jatkuvuuden ja erityistilanteiden hallintaa sekä tiedon turvaamista ohjaavat keskeiset tekijät, velvoitteet ja riippuvuudet. 1B: Jatkuvuuden hallinnan ja tiedon turvaamisen linjaukset on määritetty ydintoiminnan asettamien vaatimusten perusteella. 1C: Erityistilanteiden hallinta on organisoitu, ohjeistettu ja huomioitu ohjausmalleissa. 1D: Jatkuvuuden hallinta ja tiedon turvaaminen on organisoitu ja vastuutettu osana normaalia johtamista, toimintaa sekä kumppanuusverkoston hallintaa. 1E: Jatkuvuuden hallinnalle ja tiedon turvaamiselle on asetettu tavoitteisiin nähden riittävät resurssit. 1F: Jatkuvuuden hallinnan ja tiedon turvaamisen suunnittelu toteutetaan ydin- ja tukitoimintojen yhteistyönä. 39
EVARE Toteuttaminen viestintä Yhteistyö, viestintä ja raportointi 1G: Tieto varautumisen tilanteesta sekä kehittämistoimenpiteiden toteutumisesta ja kustannuksista sekä toimintamuutoksien vaikutuksista suunnitelmiin välitetään organisaation johdolle. 1H: Viestinnän ja raportoinnin vastuut ja toimintamalli keskeisimpien sidosryhmien kanssa on määritetty ja organisoitu. 40
Strategiat ja toiminnan suunnittelu Toiminnan suunnittelu riskienhallinnan avulla 2A: Toimintaympäristön ja organisaation vuorovaikutus toiminnassa on huomioitu. 2B: Riskienhallinnan tulokset ohjaavat jatkuvuuden hallinnan ja tiedon turvaamisen kehittämistä. 2C: Toiminnan jatkuvuuden hallinnan ja tiedon turvaamisen toimenpiteet tukevat organisaation ydintoiminnan tavoitteita. Palvelujen jatkuvuuden suunnittelu 2D: Erityistilanteiden hallinnan menettelyt on suunniteltu, koulutettu ja harjoiteltu. 2E: 24/7 toiminta ja CERT-FI -yhteistoiminta vastaa organisaation tavoitteita ja velvoitteita. 41
HENKILÖSTÖ Osaamisen ja tietoisuuden kehittäminen 3A: Jatkuvuuden hallinnan ja tiedon turvaamisen osaamiselle on asetettu rooli- tai tehtäväkohtaiset vaatimukset, osaamistaso tunnetaan ja osaamista kehitetään. 3B: Organisaatio kannustaa henkilöstöä noudattamaan ja kehittämään hyvää jatkuvuuden hallinnan ja tiedon turvaamisen toimintamallia. 3C: Organisaatiossa on sovittu tapa toimia valvonnassa, turvallisuuspoikkeamissa javäärinkäytöstilanteissa. Henkilöstöresurssien ja tehtävien hallinta 3D: Avainroolit ja -henkilöt on tunnistettu ja varajärjestelyt on suunniteltu. 3E: Henkilöstö ja sen käyttö on suunniteltu ja mitoitettu ydintoimintojen jatkuvuuden hallinnanja tiedon turvaamisen edellyttämällä tavalla. 42
KUMPPANUUDET JA RESURSSIT Sopimusten hallinta 4A: Organisaation tuotannolle kriittiset kumppanit, alihankkijat ja resurssit on tunnistettu. 4B: Sopimuksissa on vaatimukset toiminnan jatkuvuuden hallinnalle ja tiedon turvaamiselle sekä niiden toteuttamiselle. Toiminnan varmistaminen erityistilanteissa 4C: Kriittisen toiminnan jatkuvuuden ja tiedon turvaamisen hallintavelvoite on ulotettu keskeiseen toimittajaverkostoon. 4D: Yhteistoiminta kumppanien kanssa häiriö- ja YETT:n erityistilanteiden hallitsemiseksi on organisoitu ja vastuutettu. 43
PROSESSIT: ICT-JATKUVUUDEN HALLINTA 1. ICT-johtaminen 5A: ICT-hankkeen jokaisessa vaiheessa sekä johtamisessa otetaan huomioon keskeiset jatkuvuuden tekijät. ICT-palvelujen turvaaminen 5B: Kriittisten ja keskeisten toimintojen sähköiset palvelut on turvattu häiriö- ja erityistilanteissa. 5C: Ydintoimintojen palvelutuotanto ja hallinnan prosessit on varmistettu ja niillä on varamenettelyt. 5D: Kriittisten toimintojen vaatimat tietovarannot ja -palvelut on turvattu häiriö- jaerityistilanteissa. 5E: Tietoturvallisuuden ja jatkuvuudenhallinnan tilasta raportoidaan. 44
PROSESSIT: ICT-JATKUVUUDEN HALLINTA 2. Tietojenkäsittely-ympäristön hallinta 5F: Omaisuuden hallinnalla tunnistetaan organisaation vastuulla oleva ICT sen turvallisuudesta huolehtimiseksi. 5G: Tietojenkäsittely-ympäristöjen käyttöönotto ja käytöstä poistaminen toteutetaan turvallisesti. 5H: Tietojenkäsittely-ympäristöt päivitetään hallitusti, jotta estetään haavoittuvuuksien hyväksikäyttö ja tietoturvaongelmien synty. 45
PROSESSIT: ICT-JATKUVUUDEN HALLINTA 3. Tiedon turvaaminen 5I: Turva-alueiden muodostamisella ja niiden välisellä suodatuksella varmistetaan, että tieto kulkee tietoverkosta toiseen vain valtuutetusti. 5J: Pääsynvalvonnan keinoin varmistetaan, että tietoon pääsevät käsiksi vain valtuutetut käyttäjät. 5K: Käyttäjätunnukset ja käyttövaltuudet ovat yhdistettävissä niitä käyttävään henkilöön tai rooliin. 5L: Organisaation tietovarannot on suojattu haittaohjelmasuojauksella. 5M: Tietoturvallisuusriskien realisoituminen estetään käyttämällä myös sopivia fyysisen turvallisuuden menetelmiä ympäristön suojaamiseen. 5N: Varmuuskopioinnilla estetään tiedon hallitsematon katoaminen organisaatiosta ja vähennetään erilaisten häiriötilanteiden vaikutusta organisaation toimintaan. 46
PROSESSIT: ICT-JATKUVUUDEN HALLINTA 4. Häiriötilanteiden hallinta 5O: Tietoturvapoikkeamien valvonnalla mahdollistetaan niiden havaitseminen ja selvittäminen. 5P: Tietojärjestelmiä kohtaaviin häiriöihin on varauduttu niistä nopean palautumisen varmistamiseksi. Tietojärjestelmäkehitys 5Q: Tietojärjestelmäkehityksen hallinnassa ja hankinnoissa huomioidaan tietoturva- ja jatkuvuusvaatimukset. 5R: Sovellusylläpidossa huomioidaan tietoturva- ja jatkuvuusvaatimukset. 47
evare toteutus 6 MITTAAMINEN 6A: Jatkuvuuden hallinnan ja tiedon turvaamisen toteutumista ja tarkoituksenmukaisuuttaseurataan ja arvioidaan. 6B: Yhteistoimintaa kumppanien kanssa seurataan. 6C: Jatkuvuuden- ja riskienhallinnan toimenpiteitä seurataan. 48
Viitteitä ja referenssejä 1 Doz&Kosonen, Nopea Strategia, Talentum, Jyväskylä 2008 Eskola&Ruohoniemi, WSOYPRO, Juva 2007 Grönroos Christian, Palveluiden johtaminen ja markkinointi, WSOY, Porvoo 2001 Iivari&Laaksonen, Liiketoiminnan jatkuvuussuunnittelu ja ICT varautuminen, Tietosanoma Oy, Tallinna 2009 Iloranta&Pajunen-Muhonen, Hankintojen johtaminen, Tietosanoma Oy, Jyväskylä 2008 Jordan&Silcock, Strateginen IT riskien hallinta, Edita Prima Oy, Helsinki 2006 Kuusniemi&Takala, Julkiset Hankinnat Käsikirja, Edita Prima Oy, Helsinki 2008 Leppänen Juha, Yritysturvallisuus käytännössä, Talentum, Helsinki 2006 Pekkala Elise, Hankintojen kilpailuttaminen, Tietosanoma Oy, Jyväskylä 2007 Pelin Risto,Projektihallinan käsikirja,projektijohtaminen Oy, Jyväskylä 2009 Takki Pekka, ATK-Sopimukset, Kauppakaari OYJ, Helsinki 1999 Turban, Leidner, McLean and Wetherbe, Information technology for Management Fifth and Sixth edition. John Wiley&sons, Inc. 2006, 2008 Valtonen Katri&co,Verkostot liiketoiminnan kehittämisessä, WSOYpro, Helsinki Virtanen&Stenvall, Julkinen johtaminen,tietosanoma Oy,Tallinna 2010 49
Viitteitä ja referenssejä 2 Valtionhallinnon Vahti ohjeistus www.vm.fi hakusana VAHTI Sisäministeriön hallinnonalan tietojärjestelmäarkkitehtuuri http://www.intermin.fi/intermin/biblio.nsf/a6ca812519bd9a00c22570b2003fb1ea/ $file/322005.pdf JHS 165 Tietojärjestelmän vaatimusten määrittely osana järjestelmän hankintaa http://docs.jhs-suositukset.fi/jhs-suositukset/jhs165/jhs165.pdf http://www.huoltovarmuus.fi/documents/3/sopiva_suositukset.pdf http://www.huoltovarmuus.fi/documents/3/sopiva_mallilausekkeet.pdf http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/03_muut_asiakirjat/20090820lau sun/02_vare_vaatimukset_ver_2_02_20_8_2009_.pdf http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/03_muut_asiakirjat/20090514ict var/02_halonen_evare_vaatimukset_info_13.5.2009.pdf http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/01_julkaisut/08_muut_julkaisut/i CT_esite_low.pdf 50
Kysymyksiä, ajatuksia? 51