Sopimuksiin perustuva varautuminen tietoyhteiskuntasektorilla Vaihe 4: Varautumiseen liittyvien sopimusehtoluonnosten laatiminen Tietoyhteiskuntasektori Elektroniikkapooli Tietotekniikkapooli Tietoverkkopooli HVK 2009
RAPORTTI Tietoyhteiskuntasektori Elektroniikka-, tietotekniikka- ja tietoverkkopooli 31.12.2008 VERSIO 1.0F 1 (18) SOPIMUKSIIN PERUSTUVA VARAUTUMINEN TIETOYHTEISKUNTASEKTORILLA OSARAPORTTI VAIHE 4: VARAUTUMISEEN LIITTYVIEN SOPIMUSEHTOLUONNOSTEN LAATIMINEN Elektroniikkapooli Tietotekniikkapooli Tietoverkkopooli 2008
2 (18) Julkaisija Elektroniikka-, tietotekniikka- ja tietoverkkopooli Tekijät "Sopimuksiin perustuva varautuminen tietoyhteiskuntasektorilla" -projektin IV-vaiheen "Varautumiseen liittyvien sopimusehtoluonnosten laatiminen " -projektiryhmä KUVAILULEHTI Asiakirjan päivämäärä 31.12.2008 Asiakirjan laji Osaraportti (vaihe 4) Toimeksiantaja Tietoyhteiskuntasektori Asiakirjan nimi VARAUTUMISEEN LIITTYVIEN SOPIMUSEHTOLUONNOSTEN LAATIMINEN Tiivistelmä Elektroniikka-, tietotekniikka- ja tietoverkkopooli päättivät 17.8.2005 käynnistää nelivaiheisen projektin nimeltä Sopimuksiin perustuva varautuminen tietoyhteiskuntasektorilla. Projektin neljännen vaiheen tavoitteena oli alkuperäisen projektisuunnitelman mukaan tehdä ehdotuksia sellaisiksi sopimusrakenteiksi ja -ehdoiksi, joita käyttäen lakisääteisen varautumisvelvollisuuden piiriin kuuluva toimija voi vyöryttää varautumisvelvoitettaan kolmannelle käyttäessään tätä varautumisvelvollisuuden piiriin kuuluvan toiminnan toteuttamisessa. Projektiryhmä luopui alkuperäisen tehtävän rajauksesta, joka kohdisti työn lakisääteisen varautumisvelvollisuuden piiriin kuuluviin toimijoihin. Projektiryhmä muotoili tehtävän seuraavaan muotoon: SOPIVA IV -projektin tehtävänä on tehdä ehdotuksia sellaisiksi sopimusrakenteiksi ja -ehdoiksi, joita käyttäen lakiin tai sopimukseen perustuva toiminnan jatkuvuus voidaan toteuttaa vaatimusten mukaisesti erilaisissa olosuhteissa käytettäessä kolmannen osapuolen palveluja. Työn lopputulos on lisäksi siten muotoiltu, että sitä voidaan hyödyntää muillakin kuin projektin asettaneiden poolien edustamilla toimialoilla. Projektiryhmä perusti työnsä edeltävien vaiheiden työlle ottaen huomioon aikaisempien projektivaiheiden keskeisimmät tähän työvaiheeseen liittyneet havainnot ja johtopäätökset. Alati muuttuvissa tietojärjestelmäpalveluiden tuotantoverkostoissa palveluiden tuottamisen toimitusvarmuus edellyttää, että palvelutuotannon jatkuvuutta johdetaan systemaattisesti koko palvelun tuottamiseen liittyvässä verkostossa tukipalvelut mukaan lukien. Projektiryhmän näkemyksen mukaan edellä kuvatun mukaiseen tilanteeseen päästään kehittämällä jokaisen palvelun tuottamiseen osallistuvan organisaation toiminnan jatkuvuuden hallintaa ja etenkin sen suunnittelua. Projektiryhmä laati mallisopimuslausekkeita, joiden tarkoituksena on auttaa yrityksiä ottamaan toiminnan jatkuvuuden hallintaa koskevat suositukset osaksi varsinaista pääsopimusta. Sopimuslausekemalleja on laadittu kuusi, joista sopijapuolet voivat tarvittaessa muokata kulloinkin kyseessä olevaan tilanteeseen sopivan version. Lausekemalleja kehitettiin kolmeen erilaiseen tilanteeseen: - päämies ostaa alihankkijalta palveluita, alihankkija vakuuttaa toimintansa täyttävän suositukset (ns. alihankintamalli) - kumppanuusmalli, jossa molemmat osapuolet vakuuttavat toimintansa täyttävän suositukset (ns. kumppanuusmalli) - kumppanuusmalli, jossa osapuolten toiminta täyttää erikseen mainittujen palveluiden osalta suositukset (ns. suppea kumppanuusmalli) Projektissa laadittiin toiminnan jatkuvuuden hallintaa koskevat suositukset, jotka yhtäältä yhtenäistävät palveluita käyttävien organisaatioiden vaatimuksiin perustuvat tarpeet sekä toisaalta ottavat huomioon palveluiden tuottamiseen osallistuvien organisaatioiden mahdollisuudet. Suositukset soveltuvat noudattaviksi erilaisiin osto- ja hankintatilanteisiin olipa kyse tuotteiden tai palveluiden hankinnasta, alihankinnasta tai erilaisista kumppanuuksista. Suositusten keskeisenä tavoitteena on saada organisaation (ylin) johto määrittelemään kyseisen organisaation toiminnan jatkuvuuden hallinnan strategiat ja tavoitteet sekä organisoimaan ja vastuuttamaan jatkuvuuden hallintaan liittyvät asiat. Suositusten keskeisin sisältö muodostuu toiminnan jatkuvuuden ja häiriötilanteiden hallinnan perustason vaatimuksista, joiden katsotaan kuuluvan normaaliin palvelutasoon ja hinnoitteluun. Suositukset ottavat myös huomioon yritysten kaupalliset reunaehdot ja tavoitteet ja ovat siten osa liiketaloudellisesti tehokasta palvelutoimintaa. Palvelutuotantoverkoston tulisi edellyttää sopimuksissaan jokaiselta verkostokumppanilta toiminnan jatkuvuuden hallintaan liittyvien suositusten toteuttamista. Projektiryhmän ehdotuksen pitkän aikavälin tavoitteena on, että kaikki huoltovarmuuden kannalta kriittiset yritykset sekä yhteiskunnan elintärkeiden toimintojen palvelurakenteen osana olevat organisaatiot täyttävät mainitut suositukset. Projektiryhmän työhön ovat osallistuneet - Erkki Heliö, TietoEnator Oyj - Hellevi Huhanantti, Väestörekisterikeskus - Erkki Kataja, Nokia Oyj - Kari Keskiivari, Neste Oil Oyj - Tuija Kyrölä, Huoltovarmuuskeskus - Tero Leppänen, Insta Defsec Oy - Kimmo Manni, Suomen Erillisverkot Oy - Aki Markkola, EADS Finland - Eero Sivunen, Rakennusteollisuus - Vesa Vuoti, DNA Oy - Sauli Savisalo, Digia Oyj, konsultti - Kari Wirman, FiCom ry, projektiryhmän sihteeri
3 (18) Avainsanat tietoyhteiskuntasektori, kriittinen, infrastruktuuri, suoritteet, palvelut, tietojärjestelmä, maahantuonti, valmistus Muut tiedot Kokonaissivumäärä 3 + 15 (tekstiosa) + liitteet Kieli Suomi Luottamuksellisuus Julkinen Jakaja Kustantaja Huoltovarmuuskeskus
4 (18) SOPIVA-PROJEKTI VAIHE 4: VARAUTUMISEEN LIITTYVIEN SOPIMUSEHTOLUONNOSTEN LAATIMINEN Sisällysluettelo KUVAILULEHTI...2 1 Projektin tausta ja tavoitteet...5 2 Johdanto...6 2.1 Tietoyhteiskuntasektorin kriittisten infrastruktuurijärjestelmien ja -palveluiden tunnistaminen vaiheen I keskeisimmät havainnot...6 2.2 Tunnistettujen järjestelmien ja -palveluiden toteuttamiseen ja ylläpitoon liittyvien verkostojen kuvaus vaiheen II keskeisimmät havainnot...7 2.3 Varautumisen suhde liiketoiminnan jatkuvuuteen...7 2.4 Toiminnan jatkuvuuden hallinnan nykytila...9 3 Toiminnan jatkuvuuden hallinnasta sopiminen...10 3.1 Mallisopimuslausekkeet...12 3.2 Toiminnan jatkuvuuden hallintaa koskevat suositukset...13 3.3 Suositusten noudattamisen todentaminen...13 3.4 Huoltovarmuussopimus...14 4 Hankesuunnitelma...14 4.1 Toteutusohjelma...15 4.2 Hankkeen riskien tarkastelu...17 5 Raportin liitteet...18
5 (18) 1 Projektin tausta ja tavoitteet Elektroniikka-, tietotekniikka- ja tietoverkkopooli päättivät 17.8.2005 käynnistää nelivaiheisen projektin nimeltä Sopimuksiin perustuva varautuminen tietoyhteiskuntasektorilla, jolle annettiin tehtäväksi - tehdä ehdotuksia lainsäädännön kehittämiseksi siten, että lakisääteinen varautumisvelvollisuus on ulotettu koskemaan eri toimijoita oikeasuhtaisella tavalla riittävän kansallisen huoltovarmuuden turvaamiseksi ja - tehdä ehdotuksia sellaisiksi sopimusrakenteiksi ja -ehdoiksi, joita käyttäen lakisääteisen varautumisvelvollisuuden piiriin kuuluva toimija voi vyöryttää varautumisvelvoitettaan kolmannelle käyttäessään tätä varautumisvelvollisuuden piiriin kuuluvan toiminnan toteuttamisessa Asetetun projektin kaikki vaiheet olivat: I. Tietoyhteiskuntasektorin kriittisten infrastruktuurijärjestelmien ja -palveluiden tunnistaminen II. Tunnistettujen järjestelmien ja palveluiden toteuttamiseen ja ylläpitoon liittyvien verkostojen kuvaus III. Varautumiseen liittyvien lakisääteisten ja muiden velvoitteiden kattavuus verkoston toimijoita koskien IV. Varautumiseen liittyvien sopimusehtoluonnosten laatiminen Vaiheet I ja II Projektisuunnitelman mukaan ensimmäisen vaiheen tavoitteena oli tunnistaa tietoyhteiskuntasektorin kriittinen infrastruktuuri, järjestelmät ja palvelut. Projekti tuotti loppuraportin, joka muodosti perustan tunnistettujen infrastruktuurijärjestelmien ja -palveluiden toteuttamiseen ja ylläpitoon liittyvien verkostojen kuvaamiselle (projektin vaihe 2). Projektin toisen vaiheen tavoitteena oli alkuperäisen projektisuunnitelman mukaan kokonaisprojektin ensimmäisessä vaiheessa tunnistettujen järjestelmien ja palveluiden toteuttamiseen ja ylläpitoon liittyvien verkostojen kuvaus. Projektin tuottamassa raportissa kuvatuista syistä johtuen projektiryhmä joutui luopumaan ajatuksesta verkostojen kuvauksesta. Raportissa kuvataan verkostojen sijasta keskeiset toiminnot, joita tarvitaan tietoyhteiskunnan kriittisten suoritteiden ja palveluiden tuottamiseksi ja aikaansaamiseksi. Vaihe III: Varautumiseen liittyvien lakisääteisten ja muiden velvoitteiden kattavuus verkoston toimijoita koskien Projektin vaihe 3 sivuutettiin, koska varautumisen lakisääteisyyteen ja muihin velvoitteisiin liittyviä hankkeita on projektin toteutusajankohtana käynnissä useita niin kotimaassa (LVM, Viestintävirasto, jne.) kuin kansainvälisesti (mm. EPCIP). Projektin kolmannesta vaiheesta luopumisen ei havaittu haittaavan tai vaikeuttavan viimeisen vaiheen työskentelyä.
6 (18) Vaihe IV: Varautumiseen liittyvien sopimusehtoluonnosten laatiminen Projektin neljännen vaiheen tavoitteena on alkuperäisen projektisuunnitelman mukaan tehdä ehdotuksia sellaisiksi sopimusrakenteiksi ja -ehdoiksi, joita käyttäen lakisääteisen varautumisvelvollisuuden piiriin kuuluva toimija voi vyöryttää varautumisvelvoitettaan kolmannelle käyttäessään tätä varautumisvelvollisuuden piiriin kuuluvan toiminnan toteuttamisessa. Projektiryhmä perusti työnsä edeltävien vaiheiden työlle ottaen huomioon aikaisempien projektivaiheiden keskeisimmät tähän työvaiheeseen liittyneet havainnot ja johtopäätökset. Projektiryhmä luopui alkuperäisen tehtävän rajauksesta, joka kohdisti työn lakisääteisen varautumisvelvollisuuden piiriin kuuluviin toimijoihin. Projektiryhmä muotoili tehtävän seuraavaan muotoon: SOPIVA IV -projektin tehtävänä on tehdä ehdotuksia sellaisiksi sopimusrakenteiksi ja -ehdoiksi, joita käyttäen lakiin tai sopimukseen perustuva toiminnan jatkuvuus voidaan toteuttaa vaatimusten mukaisesti erilaisissa olosuhteissa käytettäessä kolmannen osapuolen palveluja. Työn lopputulos on siten muotoiltu, että sitä voidaan hyödyntää muillakin kuin projektin asettaneiden poolien edustamilla toimialoilla. SOPIVA IV -työ on tehty kiinteässä yhteistoiminnassa valtiovarainministeriön Valtion IT-varautumisen esitutkimus -hankkeen sekä Huoltovarmuuskeskuksen HUOVI-hankkeen kanssa. Eräiden työssä käytettyjen käsitteiden kuvaukset on esitetty liitteessä 1. 2 Johdanto 2.1 Tietoyhteiskuntasektorin kriittisten infrastruktuurijärjestelmien ja -palveluiden tunnistaminen vaiheen I keskeisimmät havainnot Tietoyhteiskunnan perustana on teknisesti globaali, elektroninen ja integroitu tieto. Kaikki siihen liittyvät uhkat ovat tietoyhteiskunnan uhkia ja huoltovarmuustoimenpiteiden kohteita. Tietoyhteiskuntasektorin toimijoiden suoritteet ovat pääosin muiden yhteiskunnan toimijoiden toimintaa palvelevia hyödykkeitä. Tietotekniikka liittyy kiinteästi lähes kaikkiin yhteiskunnan prosesseihin ilman tietotekniikan palveluita toimintoja ei pystyttäisi käytännössä hoitamaan lainkaan tai hoitaminen vähintäänkin vaikeutuisi oleellisesti. Tietojärjestelmien toimintakyky on yhteiskunnan toimivuuden kannalta tarkastellen kriittistä, sillä vaihtoehtoisia tai tietotekniikan korvaavia toimintatapoja ei ole järkevillä kustannuksilla mahdollista ylläpitää. Keskeisten tietoteknisten järjestelmien on vain yksinkertaisesti toimittava. Niiden mahdollisen vikaantumisen seurauksena varsinainen prosessi on halvaantunut siihen saakka, kunnes tietojärjestelmä on saatu jälleen toimintakuntoon. Toimintaprosessit tukeutuvat niitä palveleviin ja tukeviin tietojärjestelmiin. Tietojärjestelmät puolestaan ovat rakenteeltaan kerroksellisia, joissa ylemmät tasot tukeutuvat alempien tasojen niille tarjoamiin palveluihin. Tasot liittyvät toisiinsa kerrosmaisella rakenteella, jossa ylempi kerros lähes poikkeuksetta tarvitsee alemman kerroksen tarjoamia palveluita (SOPIVA I; 6).
7 (18) 2.2 Tunnistettujen järjestelmien ja -palveluiden toteuttamiseen ja ylläpitoon liittyvien verkostojen kuvaus vaiheen II keskeisimmät havainnot Uudet teknologiat ja niiden käyttöönotto synnyttävät uusia rakenteita teknologioiden hyödyntämiseen. Tuotteet ja suoritteet tuotetaan yhä enenevässä määrin erilaisissa verkostoissa, joiden rakenteet ja joissa toimijat muuttuvat liiketoimintamallien kehittymisen seurauksena. Tietoyhteiskuntasektorin kriittisten infrastruktuurijärjestelmien ja -palveluiden tuottamisen voidaan nähdä rakentuvan kolmesta tasosta: (1) suorite, (2) sen toteuttamiseksi tarvittavat toiminnot ja (3) varsinaiset tekijät (yritykset) liiketoimintamalleineen. Liiketoimintamalleihin (tekijä tason tarkastelu) perustuva tarkastelu ei johtanut projektin toisen vaiheen kannalta tarkoituksenmukaiseen lopputulokseen. Syy tähän on se, että suoritteiden tuottamiseen kiinteästi liittyvät liiketoimintamallit elävät kysynnän muuttuessa. Yhä merkittävämpi osa tuotteista ja palveluista syntyy erilaisissa yritysten muodostamissa verkostoissa. Verkoston rakenne elää kulloisenkin markkinatilanteen mukaan. Tämä puolestaan merkitsee sitä, että tuotteiden ja palveluiden elinkaarien yleisesti lyhentyessä verkoston jäsenet saattavat vaihdella merkittävästi jopa lyhyelläkin aikavälillä. Toisen vaiheen raportin mukaan yritysten ja yritystoiminnan verkostoituminen liiketoimintamallien kehittyessä on keskeisesti vaikuttanut tapaan, jolla tietoyhteiskuntasektorin kriittiset suoritteet ja palvelut tuotetaan. Verkottumista ja verkostojen johtamista haluttiin erityisesti korostaa, koska liiketoimintamallit elävät yritysverkostojen mukana ja huoltovarmuus tuotetaan yksittäisen yrityksen tai toimijan sijasta verkostossa. Verkostojen johtaminen edellyttää monia muutoksia perinteiseen hierarkioiden johtamisajatteluun verrattuna. Nämä muutokset heijastuvat myös tapaan johtaa verkostoja. Näitä havaintoja täydentävät eräät ensimmäisen vaiheen johtopäätökset: 1 Kriittisiä ovat: - systeemi kokonaisuutena kaikkien oleellisten osien osalta, jotka estävät systeemin toiminnan systeeminä - systeemissä välttämättömät, peräkkäisen toiminnan osat - rinnakkaiset järjestelmät, jos niille löytyy yhteinen, toiminnan estävä menettelytapa - systeemin keskeiset solmut, hubit. 2 Verkottuneissa systeemeissä hubit, voimakkaasti verkottuneet solmut ovat kriittisiä. 3 Verkottumisen kasvaessa mm. ulkoistamisen ja globalisaation kautta, huoltovarmuudesta tulee vaikeampaa, sopimuksiin perustuvaa. Verkostojohtamisen korostuminen, eli siirtyminen mekanistisen vaiheen hierarkiasta orgaanisen vaiheen sopimusten kautta dynaamiseen verkostojohtamiseen, on SOPIVA -projektin neljännen vaiheen kannalta oleellinen havainto. 2.3 Varautumisen suhde liiketoiminnan jatkuvuuteen Yhteiskunnan varautuminen normaaliolojen häiriötilanteisiin, erityistilanteisiin ja poikkeusoloihin on perustunut lakeihin, asetuksiin ja viranomaismääräyksiin, valtioneuvoston päätökseen huoltovarmuuden tavoitteista, viranomaisten ja yritysten välisiin sopimuksiin, erilaisiin resurssien saatavuutta parantaviin viranomaisten ohjaamiin toimenpiteisiin sekä sotien jälkeiseen varautumisen perinteeseen. Keskeisiä viranomaistoimijoita ovat olleet kukin ministeriö omalla hallinnonalallaan kuten esimerkiksi liikenne- ja viestintä- sekä kauppa- ja
8 (18) teollisuusministeriö, Puolustustaloudellinen Suunnittelukunta (PTS), Huoltovarmuuskeskus (HVK) sekä puolustusvoimat. Viranomaisten ja yritysten toimintatavoissa ja rakenteissa sekä uhkaskenaarioissa on tapahtunut merkittäviä muutoksia. Näiden vuoksi organisaatioiden toiminnan jatkuvuuteen kohdistuvat vaatimukset joudutaan arvioimaan uudelleen sekä säädännössä että ohjausmekanismeissa. Nykykäsitteistössä toiminnan jatkuvuus ja jatkuvuuden hallinta sisältävät samat elementit kuin laajasti ymmärrettynä käsite varautuminen. Riski - arvio Uhka - arvio Uhkien ja riskien hallinta Operatiivinen toiminta J ää nnös- Toiminnan riskit sopeuttaminen Häiriötilanteiden minen, teet hallinta toipuminen ja ja Erityis - enna - oppiminen Palautta - Raken - tilanteiden koivat hallinta toimen - Poikkeus - piteet olojen aikainen hallinta Normaali toiminta ICT ja muu tukitoiminta Kuva 1: Toiminnan jatkuvuuden kokonaisuus Ennakoivilla toimenpiteillä ja toiminnan jatkuvuuden hallinnalla pyritään vähentämään erilaisten häiriöiden ja erikoistilanteiden vaikutusta toimintaan sekä nopeuttamaan niistä toipumista alla olevan kuvan esittämällä tavalla.
9 (18) Toiminnan palvelutaso Normaali Toipumisen nopeuttaminen Vaikutuksen pienentäminen aika Riskien hallinta Tapahtuman hallinta Jatkuvuussuunnitelman keinojen käyttöönotto Toipuminen Kriisin hallinta Kuva 2 Häiriöihin varautumisen ja toiminnan jatkuvuuden hallinnan konsepti 2.4 Toiminnan jatkuvuuden hallinnan nykytila Toiminnan jatkuvuuden hallinnan nykytilaan ja sen kehittymiseen vaikuttavia tekijöitä on tarkasteltu perusteellisesti SOPIVA I ja II -raporteissa. Seuraavaan taulukkoon on kerätty raporteissa esitettyjä jatkuvuuden hallintaan liittyviä johtopäätöksiä ja niiden perusteita. Johtopäätös Palvelujen käyttäjiin kohdistetut liiketoiminnan jatkuvuuden vaatimukset pysyvät ennallaan tai kasvavat Palvelutuotantoon voidaan käytännössä kohdistaa vähemmän kansallisia säädösperustaisia jatkuvuusvaatimuksia Palveluverkostojen jatkuvuuden varmistamista voidaan ohjata lähinnä verkoston ulkoisten ja sisäisten palvelusopimusten avulla yhteiseen intressiin perustuen Palveluntuottajille on taattava sopimusta vastaavat toimintamahdollisuudet Peruste - Uudet uhat - Tietotekniikkariippuvuus - Tietoriippuvuus - Toimintojen ulkoistaminen verkostoon - Yritysten globalisoituminen - Kansallisvaltion ja yrityksen mahdollinen intressiristiriita - Kilpailun ja talouden avautuminen (mm. EU) - Kustannusten kilpailua vääristämätön kohdentuminen - Kompleksisuus - Dynaamisesti muuttuvat verkostot ja mallit - Muuttuvat yritysrakenteet, omistussuhteet ja globaali sijoittuminen - Tuotannon verkostoituminen ja erikoistuminen - Kilpailulainsäädäntö - Tuotannon ylläpitämisen edellytykset (henkilöstö, tilat, energia, kuljetukset ) - Usean viranomaisen koordinoitu yhteistyö
10 (18) Johtopäätös Palvelujen jatkuvuuden varmistaminen voidaan kytkeä normaaliin toimintamalliin ja palvelutoimittajan valintakriteeriksi Liiketoiminnan jatkuvuudesta voidaan sopia strategisesti merkittävien palveluntuottajien kanssa Yhteiskunnan toimenpiteillä voidaan turvata vain kaikkein kriittisimpiä perus- ja avainresursseja Palvelutuotannon ja riippuvuuksien tulee olla jatkuvan tarkastelun kohteena Peruste - Standardointi ja hyvät käytännöt (mm. ITIL, Cobit) - Normaaleilla toimintamalleilla katetaan valtaosa häiriötilanteista - Liiketoiminnan ja palvelujen jatkuminen on osa sekä palveluintegraattorin että verkostotoimijan laadukasta toimintaa - Yhteiset hankintakriteerit (Suositus, JIT, IT 2007) - Palveluja integroivien ja verkostossa toimivien yritysten keskittyminen - Suurten toimijoiden kautta toimintamalli leviää pienempiin - Toimenpiteiden pysyvyys - Kilpailuasetelman vääristäminen - Sähkö, DNS, verkkotuotteet - Dynaamisessa rakenteessa nopeasti ja jatkuvasti muuttuvat riskit Edellä esitettyjen näkemysten perusteella voi tehdä toiminnan jatkuvuuden hallintaan liittyen mm. seuraavat johtopäätökset: Palvelun käyttäjä vastaa aina: - palvelua koskevien toiminnan jatkuvuuden tarpeiden asettamisesta - toteutumisen valvonnasta sekä - aiheutuneista kustannuksista palvelusopimuksen ehtojen mukaisesti Palvelun tarjoajalta voidaan edellyttää: - palvelusopimuksen mukaista laadukasta palvelutuotantoa, johon kuuluu myös toiminnan jatkuvuuden ja palvelujen toimitusvarmuuden hallinta - laadun ja jatkuvuuden todentamismahdollisuutta Strategisesti merkittävän yrityksen kanssa yhteiskunta voi: - sopia liiketoiminnan jatkuvuuden yleisvelvoitteista ja - antaa tukea sopimusvelvoitteiden täyttämisessä. 3 Toiminnan jatkuvuuden hallinnasta sopiminen Alati muuttuvissa tietojärjestelmäpalveluiden tuotantoverkostoissa palveluiden tuottamisen toimitusvarmuus edellyttää, että palvelutuotannon jatkuvuutta johdetaan systemaattisesti koko palvelun tuottamiseen liittyvässä verkostossa tukipalvelut mukaan lukien. Projektiryhmän näkemyksen mukaan edellä kuvatun mukaiseen tilanteeseen päästään kehittämällä jokaisen palvelun tuottamiseen osallistuvan organisaation toiminnan jatkuvuuden hallintaa ja etenkin sen suunnittelua siten, että organisaatioilla olisi käytettävissään yhteiset toiminnan jatkuvuuden hallinnan perusteet. Jatkuvuussuunnittelun ja sen käynnistämisen helpottamiseksi projektissa on laadittu suositukset, jotka yhtäältä yhtenäistävät palveluita käyttävien organisaatioiden vaatimuksiin
11 (18) perustuvat tarpeet sekä toisaalta ottavat huomioon palveluiden tuottamiseen osallistuvien organisaatioiden mahdollisuudet. Suositukset soveltuvat noudattaviksi erilaisiin osto- ja hankintatilanteisiin olipa kyse tuotteiden tai palveluiden hankinnasta, alihankinnasta tai erilaisista kumppanuuksista. Suositusten keskeisenä tavoitteena on saada organisaation (ylin) johto määrittelemään kyseisen organisaation toiminnan jatkuvuuden hallinnan strategiat ja tavoitteet sekä organisoimaan ja vastuuttamaan jatkuvuuden hallintaan liittyvät asiat. Suositusten keskeisin sisältö muodostuu toiminnan jatkuvuuden ja häiriötilanteiden hallinnan perustason vaatimuksista, joiden katsotaan kuuluvan normaaliin palvelutasoon ja hinnoitteluun. Suositus ottaa myös huomioon yritysten kaupalliset reunaehdot ja tavoitteet ja on siten osa liiketaloudellisesti tehokasta palvelutoimintaa. Tarpeiden kokoaminen ja sopimusten kokonaisuus esitetään kuvissa 3 ja 4. Asiakkaan Asiakkaan tarvitsema palvelu ja Asiakkaan tarvitsema palvelu ja Asiakkaan tarvitsema sen sen varautumisominaisuus palvelu ja Asiakkaan tarvitsema sen palvelu ja Asiakkaan Kriittinen tarvitsema sen palvelu ja tarvitsema sen varautumisominaisuus toiminto palvelu ja sen ja sen varautumisominaisuus vaatimukset palvelutuotannolle Tarve Mahdollisuudet Toiminnan Liiketoiminnan ja palvelutuotannon ja jatkuvuuden jatkuvuuden suositukset vaatimukset yrityksille Asiakkaan Asiakkaan tarvitsema palvelu ja Asiakkaan tarvitsema palvelu ja Asiakkaan sen tarvitsema sen palvelu ja Asiakkaan tarvitsema sen varautumisominaisuus palvelu ja Asiakkaan tarvitsema sen palvelu ja sen Palvelutuotanto tarvitsema palvelu ja varautumisominaisuus ja sen sen jatkuvuuden varautumisominaisuus takaaminen Kuva 3: Toiminnan ja palvelutuotannon jatkuvuuden tarpeiden yhteensovittaminen Liiketoiminnan Liiketoiminnan ja palvelutuotannon ja palvelutuotannon jatkuvuuden jatkuvuuden jatkuvuuden vaatimukset yrityksille suositukset Toiminnan ja palvelutuotannon Kriittisen palvelun yritys Kriittisen palvelun organisaatio yritys Sopimukset, joiden osana suositukset Kriittisen palvelun organisaatio yritys Kriittisen palvelun yritys Kuva 4: Toiminnan ja palvelutuotannon jatkuvuuden sopimusjärjestelmä
12 (18) Palvelutuotantoverkoston tulisi edellyttää sopimuksissaan jokaiselta verkostokumppanilta toiminnan jatkuvuuden hallintaan liittyvien suositusten toteuttamista. Pitkän aikavälin tavoitteena on, että kaikki huoltovarmuuden kannalta kriittiset yritykset sekä yhteiskunnan elintärkeiden toimintojen palvelurakenteen osana olevat organisaatiot täyttävät mainitut suositukset. Projektiryhmän ehdottaman sopimusmenettelyn hyödyt kohdistuisivat sekä yrityksille että huoltovarmuudesta vastaaville viranomaisille. Yritysten näkökulmasta hyötyjä olisivat mm. seuraavat: - toiminnan jatkuvuuden hallinta perustuisi merkittäviltä osiltaan yhtenäisesti asetettuihin suosituksiin, jolloin tarve usean erilaisen asiakastarpeen täyttämiseen vähenee - yrityksillä on halutessaan mahdollisuus täyttää toiminnan jatkuvuuden hallintaa koskevat suositukset ja vastata näin asiakastarpeeseen kilpailutilanteissa - toiminnan jatkuvuuden hallintaa koskevat suositukset parantaisivat osaltaan yrityksen riskien hallintaa Viranomaisten näkökulmasta hyötyjä olisivat mm. seuraavat: - yhteiskunnan ja sen kriittisten toimintojen jatkuvuutta erilaisissa häiriö- ja erityistilanteissa sekä poikkeusoloissa voitaisiin selkeästi parantaa ja varmistaa dynaamisessa, monimuotoisessa ja verkostoituneessa toimintamallissa - ohjaus- ja todentamismekanismia voitaisiin yksinkertaistaa sekä saada ne kustannustehokkaammiksi ja yhdenmukaisemmiksi 3.1 Mallisopimuslausekkeet Yritysten toimintavarmuuden kehittämistä pyritään edistämään siten, että palveluhankintoja tekevät asiakkaat edellyttäisivät jatkossa ainakin kriittisiä palveluja koskevissa sopimuksissaan toiminnan jatkuvuuden hallintaa koskevan suosituksen noudattamista sekä ensisijaiselta toimittajalta että tämän alihankintayrityksiltä ja verkostokumppaneilta. Projektiryhmä laati mallisopimuslausekkeita, joiden tarkoituksena on auttaa yrityksiä ottamaan toiminnan jatkuvuuden hallintaa koskevat suositukset osaksi varsinaista pääsopimusta. Lausekemallit eivät ota kantaa ko. sopimuksen muuhun sisältöön eivätkä mihinkään muuhun sopimuskohtaan kuten esimerkiksi soveltamisjärjestykseen tai siihen, mitä mahdollisesta sopimusrikkomuksesta seuraa. Sopimuslausekemalleja on laadittu kuusi, joista voi tarvittaessa muokata kulloinkin kyseessä olevaan tilanteeseen sopivan version. Lausekemalleja kehitettiin kolmeen erilaiseen tilanteeseen: - päämies ostaa alihankkijalta palveluita, alihankkija vakuuttaa toimintansa täyttävän suositukset (ns. alihankintamalli) - kumppanuusmalli, jossa molemmat osapuolet vakuuttavat toimintansa täyttävän suositukset (ns. kumppanuusmalli) - kumppanuusmalli, jossa osapuolten toiminta täyttää erikseen mainittujen palveluiden osalta suositukset (ns. suppea kumppanuusmalli)
13 (18) Mallilausekkeita on kahta eri sitovuustasoa: sitova ja tahdonvarainen. Tahdonvaltaisuuteen perustuvassa mallissa sopimuksen osapuoli voi vakuuttaa pyrkivänsä toimitusvarmuuteen ja suositusten noudattamiseen tai vain ilmaista pyrkivänsä siihen, että toiminta täyttää suositukset, ilman yksiselitteistä sitoutumista. Toiminnan jatkuvuussuunnittelua käynnistävä yritys ei välttämättä heti pysty täyttämään kaikkia suosituksia ja se saattaa tarvita aikaa vaatimusten täyttämiseen. Jos osapuolet haluavat sopia, että suositukset täytetään vasta myöhemmin, voi tämän huomioida esimerkiksi kirjaamalla sopimuskohdan loppuun: "Suositukset pystytään täyttämään viimeistään X.X.200X mennessä" tai vastaavalla kirjauksella. Mallisopimuslausekkeet sopimusten kohdaksi Toiminnan jatkuvuus on esitetty liitteessä 2. 3.2 Toiminnan jatkuvuuden hallintaa koskevat suositukset Toiminnan jatkuvuuden hallintaa koskevien suositusten tavoitteena on kannustaa ja helpottaa elinkeinoelämän yrityksiä sekä julkishallinnon organisaatioita kehittämään toimintaedellytystensä parantamista ja tuotannontekijöiden varmistamista. Suosituksia noudattamalla yritys tai julkishallinnon toimija voi yhtäältä kehittää kykyään ehkäistä mahdollisia toiminnan häiriöitä ja toisaalta pienentää häiriön vaikutuksia toimintaan sekä nopeuttaa mahdollisen häiriön vaikutuksista palautumista. Toiminnan jatkuvuuden hallintaan liittyvät suositukset soveltuvat sekä elinkeinoelämän yrityksissä että julkishallinnon organisaatioissa noudatettaviksi. Toiminnan jatkuvuus ja sen suunnittelu on pääosin yritysten ja viranomaisten normaalia laadukasta toimintaa. Suosituksissa esitetään toiminnan jatkuvuuden ja häiriötilanteiden hallinnan perustaso. Tavoitteena on, että mahdollisimman moni toimija kehittää toimintaansa siten, että perustaso täyttyy. Tällöin myös näistä toimijoista koostuvan verkoston toimintavarmuus erilaisissa uhka- ja häiriötilanteissa paranee. Toiminnan jatkuvuuden hallintaa koskevat suositukset koostuvat kaikille toimijoille soveltuvista yhteisistä määrityksistä. Mikäli yksittäiset palvelut asettavat toiminnan jatkuvuudelle sellaisia vaatimuksia, joita toimintaa ohjaavassa suosituksessa ei ole, nämä vaatimukset tulee sisällyttää kyseisen palvelun palvelusopimukseen. Toiminnan jatkuvuuden hallintaa koskevat suositukset on esitetty liitteessä 3. 3.3 Suositusten noudattamisen todentaminen Kohdassa 3.1 kuvattujen mallisopimuslausekkeiden mukaan sopimuskumppanilla saattaa olla velvollisuus pyydettäessä esittää toiselle sopimuskumppanille selvitys siitä, miten toiminnan jatkuvuuden hallintaa koskevat suositukset on käytännössä täytetty. Yksinkertaisimmillaan tämä tarkoittaa sitä, että osoittamiseen velvollinen sopimuskumppani tekee itse arvioinnin omasta toiminnastaan käyttäen tähän Huoltovarmuuskeskuksen kehittämää ja ylläpitämää HUOVI-portaalin kypsyysarviointimenetelmää. Suositusten täyttäminen edellyttää mainitun arviointimenetelmän kypsyystason 3 saavuttamista.
14 (18) Toiminnan jatkuvuuden hallinnan todentamis- ja auditointimenetelmiä kehitetään jatkossa tarpeen mukaan. 3.4 Huoltovarmuussopimus Projektiryhmä tarkasteli osana työtään ratkaisua, jossa valtio tekisi strategisesti merkittävän yrityksen kanssa nk. huoltovarmuussopimuksen. Projektiryhmä myös hahmotteli alustavasti huoltovarmuussopimuksen sisältöä. Useista eri syistä johtuen projektiryhmä ei työstänyt sopimusta lopulliseen muotoon eikä projektiryhmä ehdota varsinaisia toimenpiteitä sopimusten käyttöönottamiseksi. Laadittu luonnos huoltovarmuussopimuksen sisällöksi on tämän raportin liitteenä 4. Mikäli strategisesti merkittävien yritysten kanssa päätettäisiin solmia huoltovarmuussopimus, perusteena sille voisivat olla muun muassa yrityksen strateginen merkitys yhteiskunnan huoltovarmuudelle, kansallisen turvallisuuden toteuttamiselle tai strategisen vientitoiminnan ylläpitämiselle poikkeusoloissa. Huoltovarmuussopimuksessa strategisesti merkittävä yritys sitoutuisi tiettyihin yhteiskunnan toimintavarmuutta ja yleistä turvallisuutta edistäviin tavoitteisiin ja toimintaan sekä varmistamaan näitä myös omassa alihankinta- ja kumppanuusverkostossaan. Julkinen valta puolestaan sitoutuisi ylläpitämään sopimusvelvoitteiden tarkoittamat toimintaedellytykset. Huoltovarmuussopimukset olisivat sisällöltään yrityskohtaisia ja ne voisivat sisältää sekä rahallisia korvauksia että sopimussanktioita. Velvoitteiltaan vähemmän sitovana voitaisiin myös laatia vastaava huoltovarmuuden yhteistoimintamenettely (MoU). Huoltovarmuussopimusten ja yhteistoimintamenettelyjen laatimisesta, ylläpitämisestä sekä toteutumisen seurannasta voisi vastata esimerkiksi Huoltovarmuuskeskus. 4 Hankesuunnitelma Sopimuksiin perustuvalle varautumiselle asetetaan tavoitetila vuodelle 2012 ja siinä on neljä vuodelle 2009 asetettua välitavoitetta. Lisäksi hankkeella on kaksi hankkeen etenemisen tarkasteluajankohtaa.
15 (18) Tavoitetilassa vuonna 2012 hankkeen tulokset ovat osa normaalia sopimuskäytäntöä. Vuoden 2009 - huhtikuun loppuun mennessä on laadittu lopulliset sopimusklausuulit ja viimeistelty suositus perusvaatimuksineen käytettäväksi osana sopimuksia. - huhtikuun loppuun mennessä on sovittu suosituksen ja sopimusehtojen ylläpitoprosessi osallistujineen - toukokuussa julkistetaan projektin tulokset sekä jatkotoimet - syksyllä käynnistetään sopimusmenettelyjen käyttöönottoon tähtäävä viestintä toiminnan jatkuvuussuunnitteluun liittyvän koulutuksen tukemana. Vuoden 2010 keväällä tehdään ensimmäinen hankkeen etenemisen tarkastelu. Vuoden 2011 keväällä tehdään hankkeen etenemisen toinen tarkastelu. Hankkeen tavoitetilan saavuttamisessa noudatetaan seuraavia periaatteita: 1 Liiketoiminnan jatkuvuus on yritysten ja viranomaisten normaalia laadukasta toimintaa, joka mahdollistaa toiminnan jatkuvuuden erilaisissa häiriö- ja erityistilanteissa sekä poikkeusoloissa. Jatkuvuuden hallinnan perustaso kuvataan toiminnan jatkuvuuden hallintaa koskevilla suosituksilla ja siihen voi sisältyä toimialakohtaisia erityismäärittelyjä. Suositusten noudattaminen voidaan asettaa sopimuksissa koko palvelun tuotantoverkostoa velvoittavaksi. 2 Yritykset ja julkishallinnon organisaatiot pyrkivät siihen, että toiminnan jatkuvuuden hallintaa koskevat suositukset täytetään koko kyseistä palvelua tuottavassa palveluntuotantoverkostossa. 3 Toiminnan jatkuvuuden hallintaa koskevat suositukset pyritään saamaan osaksi yleisesti käytössä olevia sopimuskäytäntöjä kuten esimerkiksi IT-hankintojen yleiset sopimusehdot, julkishallinnon IT-hankintojen yleiset sopimusehdot, jne. Samalla selvitetään, onko suositukset mahdollista saada osaksi pörssiyhtiöissä noudatettavia, yleistä hallintotapaa koskevia suosituksia. 4 Toiminnan jatkuvuuden hallintaa koskevien suositusten käyttöönottoa tuetaan erilaisen koulutus- ja valmennustarjonnan keinoin. Käyttöönotto suunnitellaan tehtäväksi yhteistyössä eri tahojen kanssa. Näitä voisivat olla esimerkiksi laatutyötä edistävät organisaatiot sekä erilaiset koulutus- ja konsultointiyritykset. 5 Toiminnan jatkuvuuden hallintaa koskevien suositusten kehittäminen ja ylläpito organisoidaan tarkoituksenmukaisella tavalla yhteistyössä eri asiaan liittyvien intressiryhmien kanssa. 4.1 Toteutusohjelma Tehtävä Sopimusehtojen sekä suositusten viimeistely Aikataulu ja osatehtäviä Talvi 2009 (1-2/2009) Sopimusklausuulien viimeistely
16 (18) Tehtävä 1. päätös: Pilottivaiheen perusteiden hyväksyminen Pilotointi Aikataulu ja osatehtäviä Suositusten lopullinen tarkastelu ja yhteensovittaminen - VARE - SOPIVA - HUOVI Helmi-maaliskuun vaihteessa Maaliskuu 2009 Pilotointiin liittyvä koulutus - Yleiskatsaus toiminnan jatkuvuussuunnitteluun "Pöytätestaus" - Vaatimukset ja kontrollit - Sopimusprosessit - Kaksi yhden päivän tilaisuutta - Osallistujat sovitaan erikseen Testauksessa esiin tulleiden muutostarpeiden toteuttaminen 15.4. mennessä 2. päätös: Testauksen tulosten perusteella kehitetyn tuotantoversion hyväksyminen Ylläpito/organisoituminen Jalkauttaminen Huhtikuu 2009 Suosituskokonaisuuden ja sopimusehtojen ylläpitoprosessin hyväksyminen; huhtikuu 2009 - Projektin tulosten julkistaminen ja jatkotoimien käynnistäminen: toukokuu 2009 - Varsinaiset toimenpiteet käynnistyvät syyskuussa 2009 Jalkauttamissuunnitelma huhtikuun loppuun mennessä Sopimusprosessia tukevaa, toiminnan jatkuvuussuunnitteluun liittyvää koulutusta - yhteistyössä mm. HUOVI-hankkeen kanssa Yhteistyökumppaneiden valinta sopimusmenettelyjen jalkauttamiseen Hankkeen tulosten ammattimainen viestintä erillisen viestintäsuunnitelman mukaan Hankkeen etenemisen tarkasteluajankohdat Hankkeen etenemisen tarkastelut - 1. tarkastelu 2010 keväällä - 2. tarkastelu 2011 talvella
17 (18) Tehtävä Aikataulu ja osatehtäviä Vakiinnuttaminen Hankkeen tulokset ovat osa normaalia sopimuskäytäntöä vuonna 2012 Projektiryhmä ehdottaa, että sopimuksiin perustuvan varautumisen menettelyjen luomiseksi Tietoyhteiskuntasektori perustaa koordinointihankkeen vuosille 2009 2012. Hankkeen ohjaukseen osallistuvat huoltovarmuusorganisaation lisäksi keskeiset yritykset sekä hallinnonalat. Hankkeesta raportoidaan myöhemmin päätettävällä tavalla kuitenkin vähintään Tietoyhteiskuntasektorille. Hankkeen käynnistämiseksi vaaditaan seuraavat päätökset ja toimenpiteet: 1 Päätös raportin hyväksymisestä ja siinä esitettyjen kehittämistoimenpiteiden toteutuksesta 2 Päätös kehittämistoimenpiteiden koordinointihankkeen perustamisesta vuosille 2009 2012 sekä hankkeen ohjaus- ja raportointimallista 3 Päätökset kehittämistoimenpiteiden resursoinnista 4 Päätökset suosituskokonaisuuden ja mallisopimusehtojen ylläpitoprosessin organisoinnista 5 Päätös SOPIVA-hankkeen sekä muiden toiminnan jatkuvuuteen ja varautumiseen liittyvien hankkeiden yhteistoiminnasta ja keskinäisestä vastuujaosta 4.2 Hankkeen riskien tarkastelu Hankkeen riskejä on tarkasteltu seuraavassa taulukossa: Riskin kuvaus Merkitys Toimenpiteet Ohjauksen, koordinaation, päätöksenteon ja viestinnän hajautuminen ja puutteellisuus, ei selkeää johtoroolia - Hanke hajautuu - Hallinnonalojen sitoutuminen heikkenee - Toteutuksen aikataulu- ja resurssiongelmat lisääntyvät - Huoltovarmuusorganisaation ja eri osapuolien sitoutuminen tavoitteisiin - Yksiselitteiset ja selkeät ohjausmallit, vastuut ja raportointimenettelyt Hankkeeseen ei voida kohdentaa riittäviä henkilöstö- ja raharesursseja Projektin aikainen tavoitteen tarkentaminen ei onnistu - Toteutuksen syvyydestä ja laadusta joudutaan tinkimään menettelyn käytännön soveltaminen ei onnistu yhtenäisesti ja vähin resurssein - Toteutus ei vastaa muuttunutta tarvetta - Elinkeinoelämän ja huoltovarmuusorganisaation hyödyntäminen - Tehokas ulkopuolisen asiantuntemuksen käyttäminen - Vuosittain arvioidaan toteutuma ja tavoitteet hallinnon ja yhteiskunnan muutoksia vasten
18 (18) Riskin kuvaus Merkitys Toimenpiteet Päällekkäisyys ja epäyhtenäisyys muiden liiketoiminnan jatkuvuuteen ja varautumiseen liittyvien hankkeiden kanssa - Liiketoiminnan jatkuvuuden ja varautumisen kokonaisuuden epäyhtenäisyys - Tehoton resurssien käyttö - Tiivis ja organisoitu yhteistoiminta liiketoiminnan jatkuvuuden ja varautumisen hankkeiden välillä tehtävien jakaminen hankkeiden välillä - Yhtenäinen ja säännönmukainen raportointi johdolle sekä muille sidosryhmille Yritykset ja julkishallinnon organisaatiot eivät sitoudu tulosten käyttöönottoon ja tekevät omia poikkeavia ratkaisuja Kansainvälinen kehitys jää huomioimatta - Epäyhtenäisyys ja kustannukset lisääntyvät - Toiminta vaikeissa erityistilanteissa ei parane - Voi ilmentyä yllättäviä velvoitteita ja vaatimuksia (EU, OECD, NATO, jne.) tai mahdollisuuksia (standardointi) - Yritysten ja hallinnon tietoisuus tavoitteista ja sitoutuminen niihin - Saavutettavien ja saavutettujen hyötyjen arviointi ja maksimointi - Raportointi- ja auditointimenettelyjen yhtenäistäminen ja säännöllinen käyttö - Jatkuva kansainvälinen seuranta ja yhteistyö (CIP, CIIP, standardointi) - Elinkeinoelämän tietotaidon hyödyntäminen - Valtionhallinnon kansainvälisiin työryhmien työskentelyyn osallistuminen 5 Raportin liitteet Liite 1: Käsitteet ja määritelmät Liite 2: Mallilausekkeita - Sopimuksen kohta Toiminnan jatkuvuus Liite 3: Suositus: Toiminnan jatkuvuuden hallinta Liite 4: Huoltovarmuussopimusluonnos: Huoltovarmuussopimus strategisesti merkittävän yrityksen kanssa