Laadun kaava: riskienhallinta + tietoturvallisuus + varautuminen + seuranta

Samankaltaiset tiedostot
Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

VIRTU ja tietoturvatasot

Riskienhallintapolitiikka

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

Espoon kaupunki Tietoturvapolitiikka

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Valtorin tietoturvapalvelut ja VAHTI yhteistyö. Valtorin asiakaspäivä Johtava asiantuntija Pekka Ristimäki

Mittarilistoista strategian jalkauttamiseen

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

Virtu tietoturvallisuus. Virtu seminaari

Vihdin kunnan tietoturvapolitiikka

Valtorin tarjoamat tietoturvapalvelut. Valtorin tietoturvaseminaari Kimmo Rousku Apulaisjohtaja, tietoturvapalvelut

Tietoturvapolitiikka

Tietoturvallisuuden standardisointiverkosto - Kokous 1/2018 VAHTI Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Jatkuvuuden varmistaminen

P A R T. Professional Assault Response Training Seppo Salminen Auroran koulu. Valtakunnalliset sairaalaopetuksen koulutuspäivät

Kyberturvallisuus. Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Valtorin asiakasyhteistyö

JYVÄSKYLÄN YLIOPISTO. OPM:n palvelukeskushanke; missä mennään?

Valtorin strategia. Päivitetty

VAHTIn toiminta

Raportointi hankkeen tulosten kuvaajana ja toteutuksen tukena

LIIKETOIMINNAN TIETOTURVALLISUUS - ASIANTUNTIJAN ERIKOISTUMISOPINNOT (30 op)

Asiakaspalvelun uusi toimintamalli autetaan asiakasta digitaalisten palveluiden käytössä (AUTA)

Valtorin kokonaisvaltaisen riskienhallinnan ja kokonaisturvallisuuden toteuttaminen

Valtion riskienhallintakehikko ja innovatiiviset hankinnat. Esko Mustonen

Itsehallintoalueen valmistelutilaisuus Jarkko Wuorinen Maakuntahallituksen puheenjohtaja

Katsaus tieto- ja kyberturvallisuuteen. Valtorin tietoturvaseminaari Paasitorni Kimmo Rousku Apulaisjohtaja, tietoturvapalvelut

Valtori tänään ja huomenna Valtorin strategia. Valtorin asiakaspäivä Toimitusjohtaja Kari Pessi

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen turvallisuuden kehittämiseen?

Väli- ja loppuraportointi

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Mihin kotityöpalvelu perustuu asiakkaan kanssa tehtyyn sopimukseen

Mielestämme hyvä kannustus ja mukava ilmapiiri on opiskelijalle todella tärkeää.

Laatua ja tehoa toimintaan

Yleinen osa - Kuntoutuksessa tukena,

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

SUOMALAISET PK-YRITYKSET EIVÄT LUOTA PILVIPALVELUIHIN

Katso-palvelun siirto VRK:lle

Espoon kaupunki Tietoturvapolitiikka

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvallisuuden johtaminen

Perusopetuksen aamu- ja iltapäivätoiminnan laadun arviointi 2016 Västankvarns skola/ Tukiyhdistys Almus ry.

PROJEKTIN DOKUMENTOINTI JOUNI HUOTARI, ESA SALMIKANGAS

Riskienhallinta- ja turvallisuuspolitiikka

Vuosittainen raportti

Case-esimerkki: Miten Valtori hallitsee riskejä? Tommi Simula Riskienhallintapäällikkö

ALOITTEEN PÄÄASIALLINEN SISÄLTÖ

VAHTI-toiminta ja kuntien tietoturvajaosto Kimmo Rousku, VAHTI-pääsihteeri JUHTA

Syksyn aloituskampanjat lippukunnissa

KiVa Koulu henkilökunnan tilannekartoituskysely 2016 sivu 1/14. KiVa Koulu henkilökunnan tilannekartoituskysely 2016 sivu 2/14

Valtori Kehittäminen ja laatu

Strategia, johtaminen ja KA. Virpi Einola-Pekkinen

Keski-Pohjanmaan erikoissairaanhoito- ja peruspalvelukuntayhtymän sisäisen valvonnan ja riskienhallinnan perusteet

ICT-VARAUTUMINEN VALTIT-INFO

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

JOENSUUN SEUDUN HANKINTATOIMI KOMISSIOMALLI

Opiskeluympäristöarviointi yliopiston näkökulmasta. Johanna Naukkarinen Kehittämispäällikkö, LUT Opintopalvelut

Kokemusasiantuntijan tarina. Kasvamista kokemusasiantuntijaksi

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Asiantunteva ja asiakaslähtöinen avoin yliopisto. Osaamishaasteet

Sisäinen auditointi osa Oamkin ympäristöohjelmatyötä

Ohje hakulomakkeen täyttämiseen yliopistohaku.fi -palvelussa

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta

Käyttövaltuushallintaa kehitetään (SAP IDM -projekti), hyödyt virastoille

Tietoturva-asetus ja VIPin tietoturvapalvelut Kimmo Rousku

Uudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet

Tietoturvapalvelut valtionhallinnolle

Cerion ohjaamo: Strategian suunnittelusta raportointiin - kokonaisvaltainen johtamisen tietojärjestelmä

Diakonian tutkimuspäivä 2014

Suorin reitti Virtu-palveluihin

Empatiaosamäärä. Nimi: ********************************************************************************

ASSESSING STRATEGY DEPLOYMENT IN SERVICE OPERATOR BUSINESS (STRATEGIAN TOIMINNALLISTAMINEN PALVELUOPERAATTORILIIKETOIMINNASSA)

Valmiuspäällikkö Sakari Ahvenainen. Valmiusohje ja ajankohtaista varautumisesta. Helsingin TIVA ja joukkoviestintäpooli (JVP)

Johda myös riskejä riskienhallinta mahdollistaa #onnistuminen #menestyminen Valtiovarainministeriö

Riskienhallinta Maanmittauslaitoksessa mitä pitkäaikainen kehittäminen on opettanut?

Mitä lapsen tulisi varhaiskasvatuksesta saada? Leikki-ikäisen hyvän kasvun eväät MLL Helsinki Marjatta Kalliala

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Päivitetty markkina-analyysi Pohjois-Savo Rautalampi -hankealueen tukikelpoisuudesta

SIILINJÄRVEN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Luottamus ja yrittäjän etiikka

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Lakisääteinen tapaturmavakuutus Tapaturman sattuessa - vakuutustodistuksen täyttöohje esimiehille

Turvallisuus ja turvallisuudenhallintajärjestelmä

Tilaajavastuulain muutokset

TILASTOLLINEN LAADUNVALVONTA

Helsingin kaupunki Pöytäkirja 1/ (8) Liikennelaitos -liikelaitoksen johtokunta (HKL) Tj/

Kriittisen polun hallinta CRIPMAN (CRItical Path MANagement) Pekka Maijala & Jaakko Paasi

Tietoturvapolitiikka

ICT kehitysnäkymät. Pelastustoimen ajankohtaispäivät Ylitarkastaja Teemu Luukko

Ennakoiva johtaminen ja talousjohtaminen

Esiopetuksen arvot. Arvokysely tammikuu 2015

Rekisterinpidon ja käytönvalvonnan haasteet

Turvapaikanhakijoiden vastaanottopalvelut Helsingissä. Helsingin kaupunginkanslia Elinkeino-osasto

Mitä on opiskelijan arki? Opintopsykologinen näkökulma

Julkisen hallinnon kokonaisarkkitehtuurin jalkauttaminen ja jatkokehitys. Itä-Suomen yliopisto, Kuopio neuvotteleva virkamies Jari Kallela

Valtion konesali- ja kapasiteettipalvelun merkitys valtion konesalistrategian toteuttamisessa VM/JulkICT / Tuomo Pigg

Transkriptio:

Laadun kaava: riskienhallinta + tietoturvallisuus + varautuminen + seuranta Kimmo Rousku Apulaisjohtaja

Esityksessäni Hallitseeko organisaatio riskejä vai meneekö työ tulipalojen sammutteluun? Riskit pääsevät laukeamaan Miksi tietoturvallisuus koetaan niin hankalaksi? Todennäköisesti tietoja yliluokitellaan ja tämän takia on toteutettu liian tiukat suojakontrollit Miksi erilaiset ict-toiminnan häiriöt aiheuttavat meille niin paljon ongelmia? Tiedetäänkö, mikä on organisaation toiminnassa oikeasti kriittistä? Mistä organisaatiosi tietää, missä näissä osa-alueissa mennään ja mikä on tilanne? Raportointi ja erilaiset auditoinnit => Uudenlainen laadun kaava

Lähtötilanne Riskit ja myös mahdollisuudet Tiedon turvaaminen Laatu Jatkuvuuden takaaminen Säännöllinen seuranta

Riskienhallinta Kuinka moni aamulla kotoa lähtiessään jätti ulko-oven sulkematta, kahvinkeittimen päälle ja vesihanan juoksemaan? Jotta organisaatio pystyy saavuttamaan sille asetetut tavoitteet sekä suojautumaan järkevästi eli tarkoituksenmukaisesti sen toimintaa uhkaavia erilaisia riskejä vastaan esimerkiksi Strategiset riskit, taloudelliset riskit, operatiiviset riskit, vahinkoriskit sen on pitänyt tunnistaa ja arvioida, päättää riskienhallintakeinot ja mahdollinen varautuminen vahinkoihin sekä huolehtia prosessin jatkuvasta seurannasta.

Riskienhallinta Riskienhallintapolitiikka Riskienhallinnan tavoitteet Riskien tunnistaminen ja arviointi Riskien käsittely Toimenpiteistä päättäminen ja näiden toimenpiteiden toteuttaminen Toteutumisen seuranta Viestintä, seurana ja valvonta Jatkuva parantaminen

Organisaation eri tasoilla toteutetaan riskienhallintaa eri näkökulmista. Strateginen taso Taktinen taso Esimerkiksi tietoturvallisuuden osalta riskienhallinta pitää viedä osaksi myös palveluiden tietoturvallisuuden vuosikelloa Operatiivinen taso

Riskienhallinta Riskienhallintakokonaisuudessa tärkeintä ei ole alkuvaiheessa keskittyminen itse menetelmään tai käytettävään työvälineeseen vaan se, että prosessi saadaan organisaatiossa toimintaan. Riskien tunnistamisen ohella prosessi tarjoaa mahdollisuuden organisaatiolle tunnistaa sen toimintaa, suorituskykyä kehittäviä ja parantavia mahdollisuuksia riskien- ja mahdollisuuksienhallinta Pienennetään tavoitteiden saavuttamista ja toimintaa uhkaavia riskejä sekä samalla etsitään mahdollisuuksia parantaa organisaation suorituskykyä ja toimintaa

Riskienhallinta Miten? organisaation johto hyväksyy riskienhallintapolitiikan / linjauksen, joka toteutetaan ja jalkautetaan läpi koko organisaation

Tiedon turvaaminen Muista! Tiedon turvaaminen, ei holvaaminen tai halvaannuttaminen Välillä tuntuu siltä, että keskitymme liikaa tietoturvallisuudessa sen yhden osa-alueen, luottamuksellisuuden, takaamiseen Luottamuksellisuus Eheys Saatavuus Nämä kolme tietoturvallisuuden osa-aluetta voivat olla tasapainossa, tosin hyvin harvoin Eheys Saatavuus Julkisen tiedon osalta eheys ja saatavuus voivat olla tärkeässä roolissa Eheys Saatavuus Etenkin erilaisten kriittisten viestintä- ja tiedotuspalveluiden osalta 24/7/365 saatavuus saattaa olla tärkein vaatimus

Tiedon turvaaminen Tietoturvallisuusasetuksen ja tietoturvatasojen mukaisesti jokaisen organisaation pitää luokitella suojattavat kohteet perus korotettu korkea taso. Luokittelussa pitää huomioida tiedon luottamuksellisuuden ohella tiedon eheyteen ja saatavuuteen liittyvät vaatimukset. Kuten riskienhallinnassa, ilman luokittelua organisaatio ei pysty kohdistamaan oikeanlaisia toimintatapoja suojattavaan kohteeseen Jos kohteeseen liittyvää tietoa yliluokitellaan, kohdistettavat suojausmenetelmät (kontrollit) maksavat liikaa Jos tietoa aliluokitellaan, vaarannetaan tietojen luottamuksellisuus (vaarana tietovuoto), eheys (tietoja saatetaan päästä muuttamaan hallitsemattomasti) tai saatavuus (kriittinen palvelu ei ole käytettävissä silloin kun on tarve)

Tiedon turvaaminen Miten? tietoturvallisuusasetuksen mukaisesti suojattavat kohteet luokitellaan sekä täytetään tietoturvallisuusasetuksen mukaiset vaatimukset

Jatkuvuuden takaaminen Häiriötiedote Palvelussa XYZ on havaittu häiriö, jonka takia ÅÄÖ ei ole toiminnassa. Ilmoitamme lisätietoja kahden tunnin kuluttua, mikäli häiriötä ei saada ennen sitä korjattua. ICT:n kuten kaikki elektroniikan tai ihmisen toiminnan varassa tapahtuva on häiriöaltista. Kuten emme voi koskaan toteuttaa 100% tietoturvallisesti toimivaa palvelua, sama koskeen palveluiden käytettävyyttä. Voimme pyrkiä 99 + mahdollisimman moneen ysiin, mutta jokainen ysi maksaa lisää rahaa Jatkuvuuden takaamisen tarkoituksena on huolehtia tarkoituksenmukaisesta palvelun saatavuudesta (tietoturvanäkökulma) ja käytettävyydestä (SLA). Jos palvelu ei ole organisaatiolle tärkeä tai kriittinen, häiriön kesto voi olla pitempi mutta toiminnon kriittisyyden kasvaessa myös keston eli korjaamiseen kuluvan ajan pitää lyhentyä.

Jatkuvuuden takaaminen Häiriötilanne tilanne korjaantuu pikku hiljaa, kun sitä aletaan korjaamaan palvelutasosopimuksen mukaisesti. Entäs jos ei ole palvelutasosopimusta? Häiriötilanne koska kyseessä on kriittinen palvelu, saadaan a) häiriö havaittua nopeasti sekä palvelutasovaatimusten mukaisesti b) sen korjaaminen lähtee liikkeelle nopeasti ja häiriö saadaan korjattua ilman merkittävää vaikutusta toimintaan

Jatkuvuuden takaaminen Miten? organisaatio on luokitellut kohteet (toiminto prosessi ICT-järjestelmä) kriittisyyden mukaan ja edellyttänyt sen tuottamisessa tarvittavia varautumiseen liittyvä vaatimuksia sekä käytössä on kriittisyyden mukainen palvelutaso. Nämä molemmat koskevat sekä itse tuotettuja tai ulkoistettuja palveluita.

Säännöllinen seuranta Kaikki edellä oleva edellyttää seurantaa, joka koostuu esimerkiksi säännöllisestä raportoinnista ja vaatimustenmukaisuuden täyttymisen arvioinnista eli auditoinneista. Muutama esimerkki: Riskienhallinta Mistä tietää että tämä ei toimi? Samat riskit pysyvät korkeina jopa vuodesta toiseen tehtyjä toimenpiteiden mukaisia päätöksiä pitää valvoa ja seurata, että ne toteutetaan, jolloin niiden riskiarvon tulisi pienentyä ja uusia nousta tilalle Tiedon turvaaminen Onko organisaation toiminnot prosessit tietojärjestelmät luokiteltu sekä tietoturvallisuuden että jatkuvuuden osalta perus korotettu korkea sekä tämän ja asiakastarpeen perusteella luotu kohteen kriittisyydestä luokitus? Kun kriittisyys tiedetään, voidaan myös kohteeseen liittyvät sekä toimittaja että asiakasraportointi suhteuttaa kohteen tärkeyden mukaisesti

Säännöllinen seuranta Jatkuvuuden takaaminen Palvelutasoa on seurattava! Kun jotain on tapahtunut (häiriö tai ongelma) ja siitä saadaan raportti niin samalla pitää selvittää keinot, millä saman häiriön toistuminen voidaan välttää Auditoinnit => vaatimustenmukaisuuden todentaminen Mitä kriittisemmästä kohteesta on kyse, sitä tärkeämpää on arvioida kohteen vaatimustenmukaisuus itse- tai ulkopuoliselta taholta hankittavana arviointina. Auditoinnin tilaaja määrittää, mitkä ovat ne vaatimukset, joita toteutumista arvioinnissa tullaan tarkastelemaan. Valtaosan edellä kuvatuista toiminnoista voidaan toteuttaa tietoturvallisuuden ja jatkuvuuden hallinnan osalta täyttämällä valtionhallinnon tietoturvatasojen (VAHTI 2/2010) ja ICT-varautumiseen (VAHTI 2/2012) vaatimukset toteuttamalla.

Laadun kaava - kertaus Toteutetaan samalla tieto- ja yksityisyydensuojaa! Seuranta ja raportointi Riskienhallinta Tiedon turvaaminen Jatkuvuuden takaaminen Vuosikello, auditoinnit, raportointi Saavutetaan tavoitteet ja hallitaan toimintaa uhkaavia kriittisiä riskejä Salassa pidettävät tiedot eivät vuoda, tiedot säilyvät eheinä ja ovat saatavilla niitä tarvitseville henkilöille Häiriö saadaan hallintaan sovitun mukaisesti ilman että se uhkaa toimintaa

Valtorin tietoturvallisuuden asiantuntijapalvelut Tarvitsetko apua riskienhallintaan, tietoturvallisuuden tai jatkuvuuden hallinnan kehittämiseen tai onko organisaatiollasi tarvetta tehdä ulkopuolisen tahon tekemä auditointi? Käytössämme on omien asiantuntijoiden ohella >100 alihankkijamme turvallisuusselvitettyä, vaitiolositoumuksen allekirjoittanutta konsulttia Ota yhteys Valtorin asiakasvastaaviin tai ttpalvelut@valtori.fi saadaksesi lisätietoa!

Kiitos! TULOSSA: Valtorin asiakaspäivä 31.10.2014 Helsingissä Merkitse päivä jo kalenteriisi! Tervetuloa! Apulaisjohtaja Kimmo Rousku Valtion tieto- ja viestintätekniikkakeskus Valtori kimmo.rousku@valtori.fi

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute