Valtorin kokonaisvaltaisen riskienhallinnan ja kokonaisturvallisuuden toteuttaminen

Samankaltaiset tiedostot
Valtori tänään ja huomenna Valtorin strategia. Valtorin asiakaspäivä Toimitusjohtaja Kari Pessi

Valtorin strategia. Päivitetty

Valtorin strategian toimeenpanosuunnitelma

Kooste riskienhallinnan valmistelusta

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka

Miten Valtori auttaa valtionhallinnon ICT-kustannustavoitteiden saavuttamisessa? Valtio Expo Toimitusjohtaja Kari Pessi, Valtori

Espoon kaupunki Tietoturvapolitiikka

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka

Valtorin palveluiden tuotteistaminen ja yhtenäistäminen. Valtorin asiakaspäivä Tuotantojohtaja Jukka Yli-Koivisto

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Palveluiden häiriöttömyys ja toimitusvarmuus. Varautuminen?

Case-esimerkki: Miten Valtori hallitsee riskejä? Tommi Simula Riskienhallintapäällikkö

Maakunnan ympäristöterveydenhuollon järjestäminen ja varautuminen. Teppo Heikkilä

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Paloturvallisuuden varmistaminen sosiaali- ja terveysalalla ja tuetussa asumisessa Tapaturmien ehkäisyn yksikkö

Valtorin strategia. Hyväksytty Valtorin hallituksen kokouksessa

Riskienhallinta- ja turvallisuuspolitiikka

Valtorin strategia Töissä valtiolla sujuvasti ja turvatusti

TIETOTURVAPOLITIIKKA

Valtion tieto- ja viestintätekniikkakeskus Valtori. Tilannekatsaus Hallituksen kokous Kari Pessi

Maakuntauudistuksen esivalmistelu Satakunnassa Ohjausryhmä Satakunnan maakuntauudistus 1

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Valmiuspäällikkö Sakari Ahvenainen. Valmiusohje ja ajankohtaista varautumisesta. Helsingin TIVA ja joukkoviestintäpooli (JVP)

Seuraavaksi: Toimitusjohtaja Kari Pessi, Valtori: Strategiasta toteutukseen. Osallistu keskusteluun, kysy ja kommentoi Twitterissä: #Valtori2015

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Yritysturvallisuuden johtamisen arviointi

Sopimuksiin perustuva toiminnan jatkuvuuden hallinta

MAAKUNNAN VARAUTUMINEN JA ALUEELLISEN VARAUTUMISEN YHTEENSOVITTAMINEN

Mitä turvallisuus on?

Valtorin strategia, päivitetty syksyllä 2016

Soodakattila ja kemikaalionnettomuusriskit. Kemikaalikuljetukset, rautatie/maantieliikenne. Tietoturva- auditoinnit ja SOX vaatimukset

Jatkuvuuden varmistaminen

Keski-Pohjanmaan erikoissairaanhoito- ja peruspalvelukuntayhtymän sisäisen valvonnan ja riskienhallinnan perusteet

Yritysturvallisuuden johtamisen arviointi

Valtion tieto- ja viestintätekniikkakeskus Valtori valtionhallinnon toimalariippumattomien ict-palveluiden tuottajana

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa

TIETOTURVAPOLITIIKKA

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

Karkkilan kaupungin tietoturvapolitiikka

Yritysturvallisuuden johtamisen arviointi ja hallintamalli

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

Valmius ja jatkuvuudenhallinta soterakenteissa Sari Vuorinen. Projektipäällikkö Kuntaliitto

Tietoturvallisuuden ja tietoturvaammattilaisen

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Turun kaupungin tietohallintostrategia Tiivistelmä

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

Varautuminen ja riskienhallinta - alajaosto. Tilannekatsaus Jukka Koponen

Organisaation turvallisuusvelvoitteet - Mitä lainsäädäntö ja sopimukset edellyttävät?

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Onko ketterää hankintaa olemassa? Johanna Sorvettula Johtaja, VT, emba

Espoon kaupunkikonsernin tietoturvapolitiikka

Loppuyhteenveto. Valtorin asiakaspäivä Toimitusjohtaja Kari Pessi

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Turvallisuus- ja valmiussuunnittelu

Yhteiskunnan turvallisuusstrategia 2017 Hyväksytty valtioneuvoston periaatepäätöksenä

Valtori Kehittäminen ja laatu

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Valmiusharjoituksesta hyödyt irti Häme17 - Sysmä. Taneli Rasmus

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

VAHTIn toiminta

Valtion tietojärjestelmäpalvelut ja turvallisuus

VALVO JA VARAUDU PAHIMPAAN

Tietoturvallisuuden johtaminen

Turvallisuusjohtaminen osana esimiestyötä. Merja Ahonen Osastonhoitaja Keski-Suomen seututerveyskeskus Keuruun sairaala

KOULUTUSTARJOTIN 1 (11) Ryhmäkoko Hinta (alv 24 %) Koulutuskuvaukset Tavoite Kesto. Kokonaisvaltainen riskienhallinta

PELASTUSTOIMI JA VARAUTUMINEN

Sisäisen valvonnan ja Riskienhallinnan perusteet

Yhteiskunnan turvallisuusstrategian perusteet

Riskienhallintapolitiikka

Kertomusluonnoksesta annetut lausunnot 20/2018 Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus 263/54/2017

Ammatillisen koulutuksen turvallisuuskysymyksiä. Miten turvallisuustietoisuus näkyy työelämälähtöisissä oppimisympäristöissä? Arto Pekkala 4.12.

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

OULUNKAAREN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Standardit tietoturvan arviointimenetelmät

Lapin yliopiston tietoturvapolitiikka

Suunnitellut alueellisen varautumisen rakenteet - katsaus valmistelutilanteeseen. Vesa-Pekka Tervo

Turvallisuus ja varautuminen

SUUNNITTELE JA JOHDA TURVALLISUUTTA, ENNAKOI RISKIT JA VARMISTA LAATU- JA TURVALLISUUSKULTTUURI

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Tietoturvavastuut Tampereen yliopistossa

VISIO YHTEISKUNNAN ELINTÄRKEIDEN TOIMINTOJEN TURVAAMINEN. Väestön elinmahdollisuudet. Yhteiskunnan turvallisuus. Valtion itsenäisyys

YHTEISKUNNNAN TURVALLISUUSSTRATEGIA 2010

Tietoturva- ja tietosuojapolitiikka

Valtion tieto- ja viestintätekniikkakeskus Valtori. Tilannekatsaus Hallituksen kokous Kari Pessi

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

Sisäinen valvonta ja riskienhallinta. Luottamushenkilöiden perehdytystilaisuus

Kasva tietoturvallisena yrityksenä

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Maakuntien asema ja rooli varautumisen toimijoina

Virtu tietoturvallisuus. Virtu seminaari

Turvallisuus ja riskienhallinta sotepalvelujen. Martti Herman Pisto Laajavuori

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Transkriptio:

Valtorin kokonaisvaltaisen riskienhallinnan ja kokonaisturvallisuuden toteuttaminen Valtorin asiakaspäivä 30.10.2014 Riskienhallintajohtaja Kimmo Rousku

Riskienhallinta ja kokonaisturvallisuus Valtorin kokonaisturvallisuus Strategiset riskit Palveluiden yhdenmukaistaminen ja kehittäminen eivät tapahdu Valtorin sovitulla aikataululla Asiakkaat eivät sitoudu kokonaisvaltainen tuotettaviin palveluihin Ohjaus ei tue Valtorin toimintaa riskienhallinta Avainosaamisen menettäminen Vahinkoriskit Kriittinen, laajavaikutteinen konesaleihin tai toimitiloihin liittyvä vakava vahinko Taloudelliset riskit Hinnoissa ja laadussa ei saavuteta kilpailukykyisyyttä Operatiiviset riskit Tietoturvallisuuden ja varautumisen tasoja ei saavuteta Palvelukulttuurin ja erilaisten toimintakulttuurien yhtenäistäminen ei onnistu Johto tai esimiehet eivät onnistu muutoksen johtamisessa ja esimiestyössä Palkkausjärjestelmä ei tue toimintaa Valtorin kokonaisturvallisuus 1. Tietoturvallisuus 2. Tuotannon ja toiminnan turvallisuus jatkuvuudenhallinta ja varautuminen 3. Valmiussuunnittelu 4. Henkilöturvallisuus 5. Kiinteistö- ja toimitilaturvallisuus 6. Pelastustoiminta 7. Työturvallisuus 8. Rikosturvallisuus 9. Ympäristöturvallisuus 10. Ulkomaantoimintojen turvallisuus 2

Valtorin kokonaisvaltainen riskienhallinta ja kokonaisturvallisuus Valtorin hallitus Valtorin toimitusjohtaja ja johtoryhmä Tulosyksikkö Tulosalue Palvelunhallintajärjestelmä prosessit ml tukiprosessit: Taloushallinto Henkilöstöhallinto Riskienhallinta Viestintä Tietohallinto Valtorin tuottamat palvelut Sisäinen tarkastus Henkilöstö Asiakkaat Alihankkijat Kokonaistvaltainen riskienhallinta ja kokonaisturvallisuus 3

Valtorin kokonaisvaltainen riskienhallinta 4

Valtorin kokonaisvaltainen riskienhallinta Valtorin palvelunhallintajärjestelmä (ISO/IEC 20000) COSO ERM ISO 31000 ISO 27000 ISO 22301 ISO 20000-viitekehys Valtorin palvelunhallintajärjestelmä COSO-ERM-viitekehys kokonaisvaltainen riskienhallinta ISO 31000:2009-standardi periaatteet, ohjeet ja toteutus ISO 27000-viitekehykset tietoturvallisuus ISO 22301-viitekehys - jatkuvuuden hallinta 5

Valtorin kokonaisvaltainen riskienhallinta Strategisten tavoitteiden saavuttamista uhkaavat riskit Strategiset riskit Taloudelliset riskit Toiminnan ja talouden suunnitteluun ja seurantaan liittyvät riskit Vahinkoriskit Operatiiviseet riskit (sisältävät tietoriskit) Vahinkoriskit ovat toimintaan kohdistuvia riskejä, esimerkiksi henkilöstöön, ympäristö-, luonnonkatastrofi tai toimitilaturvallisuuteen liittyvät riskit Liiketoimintatavoitteita tai normaalia toimintaa uhkaavat riskit 6

Valtorin kokonaisvaltainen riskienhallinta 7

Valtorin kokonaisvaltainen riskienhallinta Riskien arvioinnin ja käsittelyn keskeiset osa-alueet Tunnistaminen Riskianalyysi 16 20 12 9 4 8 6 Riskienkäsittely ja -suunnitelma 20 Valvonta Entä jos Seuranta ja raportointi 1 2 3 4 5 6 7 1 2 3 4 5 6 7 Suunnittele Toteuta Arvioi Toimi Plan - Suunnittele Act - Toimi Do - Toteuta Check- Arvioi 9

Tilanne Politiikka: johtoryhmä käsitellyt, Valtorin hallitus käsittelee 12.12. Ohjeistus ja pilotointi toteutetaan valittujen toimintojen osalta marrasjoulukuussa 2014. Jalkauttaminen koko Valtorin toimintaan: alkuvuodesta 2015 alkaen. Tavoitetila: riskienhallinta, raportointi ja seuranta on laaja-alaisesti käytössä Valtorissa vuoden 2015 loppuun mennessä. 10

Valtorin kokonaisturvallisuus 11

Kokonaisturvallisuuden määritys Valtorin kokonaisturvallisuus 1. Tietoturvallisuus 2. Tuotannon ja toiminnan turvallisuus jatkuvuudenhallinta ja varautuminen 3. Valmiussuunnittelu 4. Henkilöturvallisuus 5. Kiinteistö- ja toimitilaturvallisuus 6. Pelastustoiminta 7. Työturvallisuus 8. Rikosturvallisuus 9. Ympäristöturvallisuus 10. Ulkomaantoimintojen turvallisuus Valtorin kokonaisturvallisuuden tavoitteet: Valtoriin toimintaan kohdistuvat turvallisuusuhat on tunnistettu ja ne on käsitelty riskienhallinnan keinoin. Valtorin toimintaan ja palveluihin liittyvät toiminnot turvataan yhteistoiminnassa henkilöstön, alihankkijoiden, viranomaisten sekä asiakkaiden kanssa. Turvaamisen toimiin kuuluvat uhkien ennaltaehkäisy, niihin varautuminen, häiriötilanteiden ja poikkeusolojen hallinta ja johtaminen sekä niistä toipuminen. 12

Kokonaisturvallisuuden määritys Kokonaisturvallisuuden avulla Valtori huolehtii siitä, että sen toiminta, prosessit ja palvelut ovat laadukkaita, turvallisia, vaatimustenmukaisia ja asiakastarpeet täyttäviä. Yleiset tavoitteet kaikille osa-alueille 1) Vastuut on kuvattu. 2) Tarvittavat prosessit ja toimintamallit ovat kuvattu, koulutettu ja käyttöönotettu. 3) Tarvittavat ohjeet, suunnitelmat ja muu kirjallinen dokumentaatio on tuotettu sekä tarvittavilta osin koulutettu. 4) Osa-alueiden toteutumista seurataan, raportoidaan ja kehitetään. Kokonaisturvallisuus koostuu kymmenestä osa-alueesta, joiden priorisointi ja kehittäminen v. 2014 2016. 13

1) Tietoturvallisuuden toteuttaminen Olemme koko ajan erilaisten järjestäytyneiden organisaatioiden mielenkiinnon kohteena, motiivina esimerkiksi Tieto (tiedusteluorganisaatiot, signaalitiedustelu ) Raha (tietoverkkorikolliset) Vaikuttaminen (haktivistit) Järjestyneen yhteiskunnan toiminnan lamauttaminen (terrorismi) 15

1) Tietoturvallisuuden toteuttaminen Tietoturvallisuus => tiedon L-E-S luottamuksellisuus eheys saatavuus Huolehdimme siitä, että omia ja asiakkaidemme, alihankkijoidemme ja sidosryhmien tietoja käsitellään vaatimusten mukaisesti sekä siitä, että toimintamme ja palvelumme ovat tietoturvallisia ja vaatimustason mukaisia. Toteuttamalla tietoturvallisuuden hallintajärjestelmän ja jalkauttamalla palveluihin tietoturvallisuuden vuosikellon ja palvelunhallintajärjestelmän mukanaan tuomat prosessit, täytämme tietoturvallisuusasetuksen mukaiset velvoitteet tietoturvallisuuden perus ja korotetun tason osalta. Toteutuminen varmistetaan auditoinneilla v. 2015 2016 16

2) Tuotannon ja toiminnan turvallisuus jatkuvuuden hallinta Vaikka kuinka varaudumme erilaisiin häiriötilanteisiin esimerkiksi riskienhallinnalla, toimivilla prosesseilla, häiriöitä joka tapauksessa syntyy. Valtorilla on kyvykkyys reagoida ja korjata näitä häiriöitä palvelutasolupaustemme mukaisesti lisäksi valmiudet tiedottaa näistä häiriöistä asiakkaille ja muille sidosryhmille. 17

2) Tuotannon ja toiminnan turvallisuus jatkuvuuden hallinta Tuotannon ja toiminnan turvallisuus jatkuvuuden hallinta Toteutamme palvelutasolupausten mukaista palvelutuotantoa ja pystymme reagoimaan Valtorin toimintaa tai palveluita uhkaaviin normaaliolojen häiriötilanteisiin tai poikkeusoloihin. Tätä varten laaditut prosessit ja suunnitelmat mahdollistavat tarkoituksen- ja sopimustenmukaisen toiminnan jatkuvuuden sekä palautumisen normaalitoimintaan (varautuminen). 18

3) Valmiussuunnittelu Olemme tärkeässä roolissa valtion/julkishallinnon ict-perustietotekniikan ja -palveluiden tuottajana. Edellä kuvatun jatkuvuudenhallinnan ja varautumisen lisäksi meidän täytyy varautua takaamaan toimintakyky niiden toimintojen, prosessien ja palveluiden osalta, jotka sitä myös edellyttävät, kaikissa normaaliolojen häiriötilanteissa ja myös poikkeusoloissa. 19

3) Valmiussuunnittelu Valmiussuunnittelu Valtori on varautunut tarkoituksenmukaisin keinoin laajaalaisiin ja erittäin vakaviin häiriötilanteisiin sekä poikkeusoloihin. Toteutamme tarvittavat suunnitelmat Valtorin virastotason ja toiminnalta edellyttävien prosessien ja palveluiden valmiussuunnittelun osalta sekä harjoittelemme suunnitelman mukaista toimintaa. 20

4) Henkilöturvallisuus Valtori on turvallinen työpaikka meille kaikille; meillä on ohjeet toimia eri tilanteissa. Meillä on toimivat prosessit esimerkiksi henkilöiden tunnistamiseen ja turvallisuusselvityksiin. Viestinnällä, koulutuksilla ja toimivilla prosesseilla mahdollistetaan henkilöturvallisuuden toteutuminen. 21

5) Kiinteistö- ja toimitilaturvallisuus Kiinteistö- ja toimitilaturvallisuus Valtorin toimitilat ovat turvallisia niin siellä työskenteleville kuin vieraileville. Toimitilat täyttävät niille asetetut turvallisuutta koskevat vaatimukset. Käsittelemme tietoja ja tuotamme palveluita toimitiloissamme turvallisuutta koskevat vaatimukset huomioiden. Kehitämme toimitilaturvallisuutta vaatimustenmukaisuuden perusteella. Toimitilaturvallisuutta kehitetään mm. Vahti-toimitilojen tietoturvaohjeen mukaisesti. Kuva: Petteri Kivimäki 22

6) Pelastustoiminta Tulipalot ja vesivahingot ovat eräs yleisimpiä organisaatioiden toimintaa uhkaavia vahinkolajeja. Tässä keskeisessä roolissa on niiden ennaltaehkäisy kouluttamalla, ohjeistamalla ja tiedottamalla. Jos kaikista varotoimenpiteistä huolimatta jotain tapahtuu, meillä on eri tilanteita varten ohjeet ja toimintamallit siitä, miten silloin toimitaan. 23

6) Pelastustoiminta Pelastustoiminta Pelastustoiminnan kehittämisellä pyritään onnettomuuksien ennaltaehkäisemiseen. Valtorin henkilöstöllä on valmiudet toimia onnettomuustilanteissa. Valtori toimii yhteistyössä pelastusalan organisaatioiden kanssa. Valtorin pelastusorganisaatio, joka toimii jokaisessa Valtorin toimipisteessä varmistaa turvallisen toiminnan onnettomuuksien yhteydessä. Onnettomuuksia ennaltaehkäistään säännöllisellä henkilöstön koulutuksilla ja tiedottamisella. 24

7) Työturvallisuus Turvallinen ja tuottava - riskienhallinta 25

7) Työturvallisuus Työturvallisuus Valtori tarjoaa työpaikkana turvallisen työympäristön ja työolosuhteet sekä kehittää toimintaa henkilöstön työkyvyn turvaamiseksi ja ylläpitämiseksi. Tämä tapahtuu työturvallisuusriskien arvioinnilla ja toteuttamalla Valtorin työsuojelun toimintaohjelmaa. Keskeisessä roolissa kuten kaikessa toiminnassa ovat ennaltaehkäisy, ohjeistus, koulutus, säännöllinen tiedottaminen ja seuranta. 26

8) Rikosturvallisuus Käyttäjiä yritetään huijata ja saada soittamaan maksullisiin palvelunumeroihin. Tietoverkkorikollisuus on nopeimmin kasvava osa-alue ei pidä kuitenkaan unohtaa perinteistä rikollisuutta! 27

8) Rikosturvallisuus Rikosturvallisuus Valtorin liiketoimintaa, henkilöstöä ja omaisuutta suojataan rikollisuudelta ja väärinkäytöksiltä. Valtori toimii yhteistyössä viranomaisten ja yksityisten turvallisuusalan organisaatioiden kanssa. Rikosturvallisuus on huomioitu ja ohjeistettu toiminnan edellyttämällä tavalla. 28

9) Ulkomaantoimintojen turvallisuus Ulkomaantoimintojen turvallisuus Valtorin henkilöstön on turvallista työskennellä ulkomailla. Ulkomailta tuotetut palvelut täyttävät niille asetetut vaatimukset. Turvallisuus on huomioitu ja ohjeistettu toiminnan edellyttämällä tavalla niin tuotettaessa tai käsiteltäessä Valtorin tai sen asiakkaiden tietoja ulkomailta tai Valtorin henkilöstön matkustaessa ulkomaille. Ulkomailla toimittaessa huomioitava paikallinen lainsäädäntö. 29

10) Ympäristöturvallisuus Ympäristöturvallisuudella edistämme toiminnan ekologista tehokkuutta ja vähennämme toimintamme ja palveluiden ympäristöhaittoja. 30

10) Ympäristöturvallisuus Ympäristöturvallisuus Valtori toteuttaa ympäristöturvallisuusohjelmaa sekä huomioi ekologisuuden ja ympäristöturvallisuuden omaa toimintaa ja palvelutuotantoa kehittäessään. Nämä asiat otetaan huomioon myös kilpailutuksissa ja hankinnoissa. Case esimerkki: Hyödynnä esimerkiksi Valtorin tarjoamaa Vyvi-viestintäratkaisua kokouksia järjestäessäsi Vähennät samalla matkustamista myös kustannussäästöt hiilijalanjäljen pienentämiseksi! Mitä meillä olikaan ennen Vyviä ja Lyncciä? 31

Entäs kyberturvallisuus? Suomen kyberturvallisuusstrategian mukaan kyberuhat ovat tietoturvauhkia. Kehittämällä kokonaisturvallisuutta kannamme kortemme kekoon myös kyberturvallisuusstrategian täytäntöönpanon osalta Kyberturvallisuuden kehittäminen on Valtorin jatkuvuudenhallinnan ja varautumisen sekä tietoturvallisuuden kehittämistä. 32

Tietoturvallisuuden toteuttaminen Ohjaavat tekijät Lait, asetukset ja määräykset Valtorin strategia, tavoitteet ja johtaminen Valtorin riskienhallintapolitiikka Asiakas- ja palvelusopimukset VAHTI-ohjeet ja JHS-suositukset HALLINTAJÄRJESTELMÄ Jatkuvuuspolitiikka Tietoturvapolitiikka Vuosikello Kehityssuunnitelma Tietoriskien hallinnan politiikka Periaatteet Ohjeet, mallipohjat ja työkalut Valtorin palvelunhallintajärjestelmä sekä muut tarvittavat tukiprosessit Jatkuvien palvelujen tietoturvallisuuden hallinta Hankkeiden tietoturvallisuuden hallinta Tietoturvallisuuden hallintajärjestelmän kehittäminen ja ylläpitäminen Tietoriskien hallinta ISO 20000 tietoturvalllisuus 33

Jatkuvuudenhallinta ja varautuminen Valmiussuunnittelu ja toiminta Toimintamme ja palvelumme Toimintamme tavoitetilassa ja palvelumme nykytilassa Tietoturvallisuuden perustaso Tietoturvallisuuden korotettu taso Tietoturvallisuuden korkea taso Varautumisen korkea taso Varautumisen korotettu taso Varautumisen perustaso Varautumisen avoin taso 34

Riskienhallinnan ja jatkuvuuden hallinnan suhde Muu tunnistamaton uhka 4 16 12 9 20 8 6 1 2 3 4 5 6 7 Häiriö tai poikkeama Valtorin normaali toiminta Riskienhallinta tunnistetut riskit Valtorin palvelunhallintajärjestelmä Käytettävyyden ja jatkuvuudenhallinta-prosessi Muut tukiprosessit kuten riskienhallinta sekä kokonaisturvallisuuden toteuttaminen Kun riskienhallinta toimii oikeaoppisesti, häiriö tai poikkeama syntyy tunnistamattomien uhkien toteutumisen seurauksena. Jos aiheuttaja on tunnistettu riski, toimenpiteet eivät ole purreet tai ne on kohdistettu vääriin asioihin. 35

Miten tämä kaikki toteutetaan? 36

Riskienhallinta ja kokonaisturvallisuus Toiminta on turvallista ja vaatimustenmukaista Palvelutuotanto Asiakasyhteistyö Palvelujen tuotteistaminen Prosessit Henkilöstö Hankinnat ja toimittajahallinta Toiminnan organisointi ja ohjaus Kehittäminen ja innovointi Riskienhallinta ja kokonaisturvallisuus Tukitoiminnot viestintä, tilat, talous, tietohallinto TORI-tehtävien siirrot Tavoitetilan kuvaus Kokonaisvaltainen riskienhallinta Strategisten, taloudellisten, operatiivisten ja vahinkoriskien tunnistaminen ja hallinta Riskienhallinta on säännöllistä ja muutoksiin reagoivaa Kokonaisturvallisuuden kehittäminen Turvallisuuden kehittäminen ja toteuttaminen laaja-alaisesti ja määrätietoisesti koko organisaation, prosessien sekä palveluiden osalta Analysoi Sovittujen toimenpiteiden toteutumista seurataan ja toiminnasta raportoidaan Seuraa Arvioi Toteuta Tietoturvallisuuden hallintajärjestelmä ja jatkuvuudenhallinta Toiminta ja palvelut täyttävät tietoturvallisuuden, jatkuvuudenhallinnan ja varautumisen vaatimukset Toiminta ja palvelut ovat auditoitu 37

Riskienhallinta ja kokonaisturvallisuus Toiminta on turvallista ja vaatimustenmukaista Palvelutuotanto Asiakasyhteistyö Palvelujen tuotteistaminen Prosessit Henkilöstö Hankinnat ja toimittajahallinta Toiminnan organisointi ja ohjaus Kehittäminen ja innovointi Riskienhallinta ja kokonaisturvallisuus Tukitoiminnot viestintä, tilat, talous, tietohallinto TORI-tehtävien siirrot Tavoitetilan edellyttämät toimenpiteet ja aikataulu TORI-tehtävien kokoaminen Toiminnan yhtenäistäminen 2014 2015 2016 2017 2018 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 Riskienhallintamallin käyttöönotto Kokonaisturvallisuuden mallin käyttöönotto Vaihekohtaiset lopputuotokset Riskit tunnistettu ja hallintamalli on laadittu sekä otettu käyttöön Kokonaisturvallisuuden hallintamalli on laadittu ja otettu käyttöön Tietoturva auditoitu perus-/korotetulle tasolle 2015/2016 Hyötyjen toteuttaminen ja toiminnan jatkuva kehittäminen Jatkuvuus- ja toipumissuunnitelmien käyttöönotto Varautumis- ja valmiussuunnitelmien käyttöönotto Riskien tunnistaminen, arviointi ja hallintatoimenpiteiden toteuttaminen Jatkuvuus- ja toipumis-suunnitelmat laadittu ja sovitusti testattu Varautumis- ja valmiussuunnitelmat laadittu ja sovitusti testattu Hallitut riskit 38

Riskienhallinta ja kokonaisturvallisuus 1) Valtorin kokonaisvaltainen riskienhallinta riskienhallintapolitiikka => hallitaan riskit Politiikka ja sen jälkeen tätä täydentävä ohje ja jalkautus 4) Jatkuvuudenhallinnan periaatteet => miten toteutamme palvelutasovaatimusten mukaisen toiminnan? Valtorin toiminnan takaaminen normaalioloissa, normaaliolojen häiriötilanteissa ja poikkeusoloissa organisaatio-, prosessit ja palvelut 2) Kokonaisturvallisuuden linjaukset => olemme turvallisia (henkilöstö toiminta palvelut) Kymmenen osa-alueen sisältö, tavoitteet, vastuut ja kehittämissuunnitelma 3) Tietoturvapolitiikka => tietoturvallisuuden kehittäminen luotettavuus eheys saatavuus Tietoturvallisuuden hallintajärjestelmä, ohjeet, koulutus, jatkuva kehittäminen ja tarvittavat auditoinnit Perus- ja korotetun tason saavuttaminen Vaatimustenmukaisuuus 39

Tilanne Riskienhallintapolitiikka Kokonaisturvallisuuden linjaukset Tietoturvapolitiikka Jatkuvuudenhallinnan periaatteet: johtoryhmä käsitellyt, Valtorin hallitus käsittelee 12.12. Osa sovituista toimenpiteistä liikkeellä, osa vielä suunnittelussa, osa aloittamatta Valtorin tietoturvapäällikön rekrytoinnin osalta haastattelut käynnissä Tavoitetila: Hallinnollinen tietoturvallisuus Tietoturvallisuuden perustaso v. 2015 Tietoturvallisuuden korotettu taso v. 2016 Valmius-, jatkuvuus- ja toipumissuunnittelu ja suunnitelmat ovat toteutettu ja sovitulta osin harjoiteltu. Kaikki Valtorin kehittämät uudet palvelut täyttävät alusta alkaen niiltä edellytettävät tietoturvallisuuden ja jatkuvuudenhallinnan vaatimukset. Asiakkailta siirtyneiden palveluiden osalta tilanne käydään läpi palveluittain. 40

Yhteenveto mitä tämä mahdollistaa? Näillä käynnistetyillä toimenpiteillä Valtorin riskienhallintaja kokonaisturvallisuus mahdollistavat hallitun, turvallisen toiminnan ja edesautamme Valtorin strategian tavoitteiden saavuttamista. Samalla tämä on osa meidän laatutyötä. Pienennämme tällä kaikella toimintamme turvallisuuteen liittyviä riskejä niin oman toiminnan, asiakkaiden kuin alihankkijoiden näkökulmasta Mahdollistamme sopimusten ja palvelutasolupausten mukaisen toiminnan. 41

Kiitos! Riskienhallintajohtaja Kimmo Rousku p. 050 566 298, kimmo.rousku[at]valtori.fi www.valtori.fi 42

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute