evare Valtionhallinnon ICT-varautumisen kehittäminen ITJORY 10.6.2009 kalevi.halonen@vm.fi
evare hanke VM:n 17.2.2009 asettama Valtionhallinnon ICTvarautumisen kehittämishanke (VM 11:04/2006) Toimikausi 1.3.2009-31.12.2010 Tehtävät Viimeistellä ICT-varautumisen vaatimustasomääritykset Määritellä ICT-varautumisen eri osa-alueiden sisältö ja suunnitella toimeenpano määritysten pohjalta Tuottaa kustannuslaskelmat kehittämis-, toteuttamis- ja ylläpitokustannuksista Tuottaa ohjausmenetelmät sekä työvälineet hallinnonaloille ja virastoille ICT-varautumisen suunnitteluun ja toteuttamiseen Ohjata valtionhallinnon ICT-varautumisen yhteisen osuuden toteutusta pp.kk.vvvv pp.kk.vvvv 2
Normaaliolot ICT-varautuminen YETTS -erityistilanteet Häiriötilanteet Poikkeusolot ICT-toiminnan jatkuvuuden hallinta Riskienhallinta Valmius Johtaminen Tilannetietoisuus Tiedon turvaaminen Häiriö- ja erityistilanteiden hallinta Jatkuvuussuunnittelu Valmiussuunnittelu ICT-varautuminen on riskien hallintaan pohjautuvaa jatkuvuuden hallintaa, tiedon turvaamista sekä häiriö-ja erityistilanteiden hallintaa pp.kk.vvvv pp.kk.vvvv 3
evare 1.3.2009 31.12.2010 evare ohjausryhmä Pj. Mikael Kiviniemi (VM) Halonen (VM) Paananen (SM) Holmroos (VM) Ristola (LVM) Kuparinen (HVK) Siponen (PLM) Olander (VNK) Uusikartano (UM) siht. Marja-Leena Viitala (VM) Erjansola (OM) Kommonen (TuYO) Kupari (VRK) Liimatta (PE) Mämmi (HALTIK) evare hankeryhmä pj. Kalevi Halonen (VM) Rousku (VIP) Romppanen (MMM/TIKE) Savisalo (HVK) Tanner (Kuntaliitto) Vesterinen (LVM) Vaatimuspilotit OM/ Erjansola MMM/Romppanen VIP/Rousku Vaatimustyöpajat Rousku (VIP) NETUM oy Viestintä Viitala (VM) Takaloeskola (VM) Romppanen (MMM) Palveluverkon hallinta HVK/Savisalo VIP/Rousku pp.kk.vvvv pp.kk.vvvv 4
ICT-VARAUTUMISEN KEHITTÄMINEN (evare) 2009 2016 Kehittämisalueet Vaatimukset Ohjaus ja todentaminen Palveluverkon hallinta ja hyödyntäminen ICT-tilannetietoisuus Uhka- ja riskianalyysi Osaamisen varmistaminen ja harjoitustoiminta ValtIT kärkihankkeet Hallinnonalojen kehitystyö ICT-varautumisen kehitystyö ICT -palvelujen jatkuvuus ja tietoturva Kansalaiset Elinkeinoelämä Julkishallinto Yhteiskunta Globaali erityistilanteet Kehityslinjaukset YETT-Strategia Valtion IT-strategia Huoltovarmuuspäätös pp.kk.vvvv pp.kk.vvvv 5
Tavoite ja merkitys valtionhallinnolle ICT -varautuminen on kustannustehokasta ja koordinoitua osa kunkin hallinnonalan jokapäiväistä toimintaa siten, että palvelujen jatkuvuus kyetään takaamaan toiminnan vaatimusten mukaisesti häiriötilanteissa, YETTS-erityistilanteissa ja poikkeusoloissa. ICT -varautuminen ei ole erillinen toiminto, vaan osa tietohallinnon ja yleisen varautumisen kokonaisuutta, ja tukee osaltaan hyvän tiedonhallintatavan (JulkL 18 ) toteuttamista. pp.kk.vvvv pp.kk.vvvv 6
O P E R A T I I V I N E N T I E T O H A L L I N T O ICT-VARAUTUMISEN VAATIMUSTEN MUODOSTAMINEN Ydintehtävät Toiminta-analyysi Strategiat Ohjausasiakirjat ICT-linjaukset ICT:n toteuttaminen palvelutasovaatimukset varautumistarpeet Osaaminen Terrorismi sekä järjestäytynyt ja muu vakava rikollisuus Ympäristöuhkat Suuronnettomuudet ja luonnon aiheuttamat onnettomuudet Taloudellisen toimintakyvyn vakava häiriintyminen Väestön terveyden ja toimeentuloturvan vakava häiriintyminen YETTS-ERITYISTILANTEET Sähköisen infrastruktuurin häiriintyminen Jatkuvuuden hallinta Helppokäyttöinen, luotettava ja turvallinen sähköinen palvelu ja käyttövarma ICTinfrastruktuuri Sotilaallisen voiman käyttö Poliittinen, taloudellinen ja sotilaallinen painostus Väestöliikkeisiin liittyvät uhkat Resurssit Organisaation ydintehtävät pp.kk.vvvv pp.kk.vvvv 7
Toimintojen ja palvelujen jatkuvuuden hallinnan, tiedon turvaamisen ja varautumisen vaatimustasot Vaatimustasot KORKEA TASO toiminta poikkeusoloissa erityisvaatimuksia omalle osaamiselle KOROTETTU TASO kriittisten toimintojen minimitaso nopea palautuminen erityistilanteissa PERUSTASO verkostoitunut sähköinen asiointi palautuminen häiriötilanteissa normaalit kaupalliset palvelut ja sopimukset SIIRTYMÄTASO Välivaiheen tilanne organisaatioiden, palvelujen ja järjestelmien siirtyessä perustasolle Palvelut Tietoliikenneratkaisu Turvallisuusviranomaisten op.järjestelmät Perusrekisterit potilastietojärjestelmät Hallintopalvelut Valtion turvallinen tietoliikenneratkaisu TUVE Julkinen tietoliikenne Hallinnon palveluyksiköt Tukiorganisaatio PVJJK HALTIK VIP T O I M I T T A J A T pp.kk.vvvv pp.kk.vvvv 8
ICT-varautumisen vaatimukset Palvelut Tietoliikenne Kehitettävä asia = Yleisvaatimus (evare) = Tavoite (TTT) = Suositus (SOPIVA) Palvelun toimittaja TUVE Erityistaso Korkea taso Korotettu taso Perustaso Kehitettävä asia on yhtenäinen evare, SOPIVA ja TTT -hankkeille Aloittava taso, siirtymätaso Vaatimustasoilla on vaatimuksia, joilla ilmennetään otantana kokonaisuuden nousujohteista kehittämistä. Vaatimuksia tulee ICT varautumisesta ja tietoturvatasoista. Ne täydentyvät myöhemmin STO II:n yritysturvallisuuskriteeristöllä. Vaatimukset voivat olla luonteeltaan ja yksityiskohtaisuudeltaan toisistaan poikkeavia. pp.kk.vvvv pp.kk.vvvv 9 9
JATKUVUUDEN HALLINNAN VAATIMMUSTEN YETTS: uhka- ja riskimallit sekä säädösvelvoitteet VALTIONEUVOSTO Vaatimukset, Kontrollit (~30+300) HALLINNONALAT, HALLINNONALAT, KUNNAT, KUNNAT, VIRASTOT, VIRASTOT, LAITOKSET, LAITOKSET, JULKISHALLINNON JULKISHALLINNON YRITYKSET YRITYKSET KOORDINAATIO VYSE YSE JIT IT-2007 SOPIMUKSET: Vaatimukset Kontrollit ~30 300, eri tasoja HUOLTOVARMUUS- ORGANISAATIO ORGANISAATIO Suositukset, Sopimuslausekkeet (~30) HUOLTOVARMUUSKRIITTISET HUOLTOVARMUUSKRIITTISET YRITYKSET YRITYKSET JA JA ORGANISAATIOT ORGANISAATIOT SOPIMUKSET: Suositukset MUUT YRITYKSET JA MUU PALVELUVERKOSTO pp.kk.vvvv pp.kk.vvvv 10 10 10
ICT- VARAUTUMISEN OHJEET JA VAATIMUKSET VAHTI-ohje ICT-toiminnan varautuminen häiriö- ja erityistilanteisiin huhtikuu 2009 SOPIVA Sopimuksiin perustuva varautuminen osa IV Kesäkuu 2009 HUOVI Huoltovarmuuskriitisten yritysten kypsyysarviointi Joulu 2009 STO II Yritysturvallisuuskriteeristö syksy 2009 Valtionhallinnon ICT-varautuminen: Jatkuvuuden hallinnan ja tiedon turvaamisen vaatimukset elokuu 2009 Tietoturvatasot -ohje + työkirja kesäkuu 2009 Tavoite: Ohjeista ja vaatimuksista muodostuu yksi yhtenäinen kokonaisuus pp.kk.vvvv pp.kk.vvvv 11
Q1-Q2/2009 ICT-varautumisen vaatimukset evare - kehittäminen Q3/2009 - Q4/2009 2010 Vaatimusdokumentti Pilotointi MMM, OM, VIP Arviointityöpajat sidosryhmät - hallinnonalat evare määrittely/ toteutussuunnitelma Kuntaselvitys (KVARE) Ministeriöt/virastot Arvio tilanteesta, tavoitetaso Toteutusaikataulut, Kustannukset Palveluverkosto - kriittinen ICT - osaaminen - avainhenkilöstö Viestintä- ja markkinointi 2011-2016 Julkishallinnon ICT-varautumisen toteutus Yhteistyöhankkeet: Sopiva (HVK/HVO), STO II/yritysturvallisuus (SM/PLM), Yhteiskunnan kriittisen ICT:n käytettävyys (LVM) 24/7-toiminta (VM), TELVE (LVM), TUVE (VNK), KYTKY-verkkoratkaisu (VIP), ALKU-hanke, SADe Korkea Korotettu Perus pp.kk.vvvv pp.kk.vvvv 12 12
Vuoden 2010 loppuun mennessä Ministeriöiden ja virastojen tulee: kuvata keskeisimmät toiminta- ja palveluverkostonsa määrittää organisaatioille ja niiden osille sekä palveluille ja järjestelmille tavoiteltava vaatimustaso määrittää aikataulu, jonka kuluessa palvelut toteutetaan asetetulla tasolla ICTvarautumisen vaatimustasojen mukaisesti ( 2016 mennessä) resursoida toteutus osana normaalia toiminnan ja talouden suunnitteluaan. pp.kk.vvvv pp.kk.vvvv 13
Saavutettavat hyödyt Kansallisesti Palvelut yhtenäiselle perustason vaatimukset täyttävälle tasolle Organisaatioiden välinen turvallinen verkottuminen mahdollistuu Organisaatioiden turvallisuus mitattavissa ja auditoitavissa Kokonaisturvallisuus paranee Yrityksille Alihankinnoissa yhtenäinen kriteeristö, laadun varmistus ja auditointi Sopimusten varautumiseen liittyvien vaatimusten ohjaaminen Hallinnolle ja sen työntekijöille Osaamisen vahvistaminen ja hallinnan apuvälineet Turvatietoisuuden parantuminen Yhdenmukaiset toimintamallit eri organisaatioissa Hyvän ja laadukkaan hallinnon tuottaminen Kansalaiselle Hallinnon tuottama turvallinen palvelu Varmuus yhteiskunnan kyvystä toimia häiriötilanteissa pp.kk.vvvv pp.kk.vvvv 14 14
Vaikuttavuus, tulosohjauksen osa Tuloksellisuus Yhtenevä taso- ja kyvykkyysajattelumalli parantaa laatua Hanke tuottaa hyödyllisiä välineitä organisaatioiden käyttöön aikasäästöt hallinnonaloille Kansalaiset asiakkaana Luottamus hallinnon toimintaan ja palveluihin lisääntyy. Prosessit ja toiminta Palveluissa perustana standardit ja parhaat käytännöt Organisaatioiden toiminta on arvioitavissa Osaaminen ja henkilöstö Vastuut työjärjestyksissä ja tehtäväkuvissa ICT varautumisen jatkuva kehitys prosessien osana pp.kk.vvvv pp.kk.vvvv 15 15
Ennaltaehkäisy - säädökset, ohjeet - arkkitehtuuriratkaisut - tietoturva, auditoinnit - sopimusmallit - osaaminen - viestintä - harjoittelu/testaus Tilannetietoisuus Häiriötilanne ICT-VARAUTUMINEN Oma toiminta CERT-FI, 24/7 Palvelun tuottajat- Infrastruktuurin käytettävyys ICT-palvelut Kansalaiset Julkishallinto Elinkeinoelämä Yhteiskunta Globaaliympäristö Reagointi, hallinta Tilannekuva Suunnitelmat Sopimukset Resurssit Määrä Laatu Osaaminen Saatavuus Yhteistoiminta Viestintä Harjoittelu OHJAUS, KOORDINAATIO, VASTUUT!!? pp.kk.vvvv pp.kk.vvvv 16