Toiminnan jatkuvuuden hallinta

Samankaltaiset tiedostot
Toiminnan jatkuvuuden hallinta

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta. 1 Ohjeen soveltamisala, tavoitteet ja rajaukset. 2 Jatkuvuuden hallinnan säädösympäristö

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Toiminnan jatkuvuus - käytännön näkökulma

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

LUONNOSVERSIO VAHTI 2/2016. Toiminnan jatkuvuuden hallinta

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Työpaja #10 lyhyt kertaus. #tuki2018 #stöd2018

Jatkuvuuden varmistaminen

Sopimuksiin perustuva toiminnan jatkuvuuden hallinta

Miksi varautuminen on tärkeää? Näkökulmia toiminnan jatkuvuuden suunnitteluun

Liiketoiminnan ICT-riippuvuus kasvaa hallitaanko riskit?

HUOVI-portaali. Huoltovarmuustoiminnan uusi painopiste: toiminnallinen huoltovarmuus

Digital by Default varautumisessa huomioitavaa

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

Valtioneuvoston asetus

VAHTI Ohjejaosto - vuosi toimintaa

Tietoturvapolitiikka

Jatkuvuuden hallinta. Kiwa Inspecta. ISO Yleistietoa. Jarkko Puistovirta Tuotepäällikkö, Pääarvioija. BECP Certified ISO Lead Implementor

Kooste riskienhallinnan valmistelusta

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Miten toteutetaan hyvä vesihuollon varautumissuunnitelma ja miten toimintaa häiriötilanteessa voidaan harjoitella? Lounais-Suomen vesihuoltopäivä

Tietoturvapolitiikka

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Vihdin kunnan tietoturvapolitiikka

Riskienhallinta Maanmittauslaitoksessa mitä pitkäaikainen kehittäminen on opettanut?

10 vuotta varautumista ja väestönsuojelua alueellisessa pelastustoimessa. Seppo Lokka Etelä-Savon pelastuslaitos

Kuinka toimin erilaisissa häiriötilanteissa? Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Erja Kinnunen, Verohallinto 2.10.

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

TOIMINNAN JATKUVUUDEN HALLINTA

KEMIJÄRVEN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Kommenttipuheenvuoro - Porin kaupungin häiriötilannesuunnittelu

Pelastuslaitoksen palvelutasopäätöksen väliarviointi PelJk

SFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen

Sosiaali- ja terveydenhuollon valmiussuunnitteluohjeistus

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA

SOPIVA-hankeryhmä, Kari Wirman

ICT-VARAUTUMINEN VALTIT-INFO

Sosiaali- ja terveydenhuollon valmiussuunnitteluohjeistus

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Sosiaali- ja terveydenhuollon valmiussuunnitteluohjeistus

Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat. Diplomityöesitelmä Juha Kalander

KUJA2: Kuntien ja maakuntien jatkuvuudenhallinta -projekti. Aki Pihlaja Projektipäällikkö

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Julkisen hallinnon tietoliikennepalvelulinjaukset. Yhteenveto. Linjausten tarkoitus ja kohdealue. Väestorekisterikeskus. Lausunto

Big Room -toiminta tutkimuksen näkökulmasta. Sari Koskelo, Vison Oy

ISO Standardisarja Eräitä ulottuvuuksia Kari Komonen

Pääesikunta, logistiikkaosasto

Valmius ja jatkuvuudenhallinta soterakenteissa Sari Vuorinen. Projektipäällikkö Kuntaliitto

Työpaja 3: ICT-tuen jatkovaihe tavoitetila ja kehittämiskohteet

VESIHUOLTOLAITOSTEN KRIITTISTEN ASIAKKAIDEN KARTOITUS JA HUOMIOIMINEN DI Ulla Koivisto Johdanto Kriittiset asiakkaat ja asiakastietokortit

Laat Laa uv t as uv t as a t a a v a ien t a t paaminen Laat Laa uty uty ja ja ko k ko k naisarkkiteh naisarkkit tuuri KA tiimi tiimi::

Tiera Sähköinen arkistointi. Palvelun käytettävyys ja sanktiot. Sopimus Tiera Sähköinen arkistointi-palvelusta

ETU SEMINAARI Helsinki, Säätytalo

Turvallisuus ja varautuminen. Vesa-Pekka Tervo Pelastustoimen kehittämispäällikkö Kanta-Hämeen maakuntatilaisuus Hämeenlinna

Gustin: Disaster and Recovery Planning: A Guide for Facility Managers T esitelmä

Tietoturvapolitiikka Porvoon Kaupunki

Espoon kaupunki Tietoturvapolitiikka

Viestintäviraston tilannekuvahanke TIKU2012+ Pertti Hölttä

Järjestelmäarkkitehtuuri (TK081702) Yritysarkkitehtuuri. Muutostarpeet

Johtaminen ja yritysjohtaminen osaamistarjotin samiedu.fi

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Teollisen valmiuden kehittäminen kunnossapidon kumppanuudessa

VESIHUOLTOLAITOKSEN OMAISUUDENHALLINNAN KÄSIKIRJA

Maakuntien asema ja rooli varautumisen toimijoina

Sairaalan puheviestintäjärjestelmät. Markus Markkinen Sairaanhoitopiirien kyberturvallisuusseminaari

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 4

Projektin tilannekatsaus

LAUSUNTO. Päiväys/Datum/Date Dnro/Dnr/Ind.no. Liikenteen turvallisuusviraston lausunto ICT-varautumisen vaatimuksista

Valtorin strategia. Hyväksytty Valtorin hallituksen kokouksessa

Muutos ja tietoturvallisuus, alueellistamisesta ulkoistamiseen -hallittu prosessi

Kunnossapito osana riskienhallintaa ja onnettomuuksien torjuntaa,case Metso

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

SISÄISEN VALVONNAN PERUSTEET

Valtorin strategia Töissä valtiolla sujuvasti ja turvatusti

ISO 9001:2015 JÄRJESTELMÄ- JA PROSESSIAUDITOIN- NIN KYSYMYKSIÄ

Tietoturvapalvelut valtionhallinnolle

Muutoksen hallittu johtaminen ja osaamisen varmistaminen

SaaS-palvelutoimittajan valinta kilpailukyvyn ja kustannustehokkuuden parantamiseksi. Ari-Pekka Syvänne, Xenetic Oy / HCM-seminaari, 26.3.

Yritysturvallisuuden johtamisen arviointi

RAKSAKYMPPI käytännöksi

Merlin Systems Oy. Kommunikaatiokartoitus päätöksenteon pohjaksi. Riku Pyrrö, Merlin Systems Oy

Uudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

SFS, STANDARDIEHDOTUKSEN ISO/DIS ESITTELY

OULUNKAAREN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Yritysturvallisuuden johtamisen arviointi

Tilintarkastuksen ja arvioinnin symposium

Kriisiviestintäohjeen päivitys

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Matkalla uuteen maakuntaan

Esimerkki sitoviin tavoitteisiin kohdistuvasta riskienarvioinnista ja niitä koskevista toimenpiteistä

Tiedonhallintalakiehdotus - vaikutukset Tommi Oikarinen / valtiovarainministeriö

Lausunto Palvelut ja tiedot käytössä - Julkisen hallinnon ICT:n hyödyntämisen strategia

Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet

KÄYTTÖOHJE (pikaohje) KUNNAN JOHTAMISEN VIITEARKKITEHTUURI

Julkisen hallinnon tietoliikennepalvelulinjaukset. Yhteenveto. Linjausten tarkoitus ja kohdealue. Tietoliikennepalvelulinjaukset

Transkriptio:

Toiminnan jatkuvuuden hallinta 13.9.2016 VAHTI-seminaari Riitta Gröhn, Aalto-yliopisto VAHTI

Tavoitteena Toiminnan jatkuvuuden kannalta keskeisten toimintojen yhtenäistäminen. Konkreettisia apuvälineitä toiminnan jatkuvuuden turvaamiseen. Keskeistä ydintoimintojen prosessien jatkuvuus, ydintoimintojen häiriötön toiminta Toiminnan jatkuvuuden hallinta kiinteä osa organisaation toimintaa. Dokumentoitu jatkuvuuden hallintajärjestelmä: Suojaudutaan ennakoivasti Vähennetään häiriöiden mahdollisuutta Valmistaudutaan korjaamaan häiriöitä Valmistaudutaan palautumaan häiriöistä.

Jatkuvuuden hallinnan johtaminen Mahdollista vain kun johto sitoutunut ja tukee jatkuvuuden hallintaa => Jatkuvuuden hallintajärjestelmän suunnittelu ja toteutus Johdon sitouttaminen kertomalla ydintoiminnan jatkuvuuteen liittyvistä riskeistä Varmista resursointi Varmista budjetti Dokumentoi periaatteet Sisällytä tehtävät vuosikelloon Määrittele roolit ja vastuut

Jatkuvuussuunnittelun termien ja määritelmien suhde toisiinsa 4

Jatkuvuussuunnittelun käsitteet ja määritelmät Toiminnan vaikutusanalyysi (BIA) Business Impact Analysis eli (liike)toiminnan vaikutusanalyysi pyrkii selvittämään ja kuvaamaan erilaisten haitallisten tekijöiden vaikutukset tarkastelun alla olevaan liiketoimintaprosessiin. Vaikutusanalyysi on pohjana toiminnan jatkuvuutta uhkaavien riskien arvioinnille sekä toimintojen väliselle priorisoinnille. Toipumisaika (RTO) RTO = Recovery Time Objective tarkoittaa tavoitellun toipumisajan määrittelyä. Toipumisaika määrittelee sen ajan, jonka kuluessa kyseessä oleva asia tai toiminto tulee saada palautettua toimintaan. Toipumispiste (RPO) RPO = Recovery Point Objective tarkoittaa tavoitellun toipumispisteen määrittelyä. Toipumispiste määrittelee sen tilan, johon toiminta, tieto tai järjestelmä tulee saada palautettua. Palautushetki ei välttämättä ole juuri sama kuin vakavan häiriön alkamishetki.

Tehtävälistaa Tunnista organisaation ydinprosessit ja toiminnot Valitse kohteeksi kriittiset toiminnot Tunnista kriittisiin toimintoihin liittyvät prosessit, palvelut, tietojärjestelmät ja tietovarannot sekä niiden väliset riippuvuudet Tunnista sidosryhmät ja niiden vaatimukset Ota huomioon toimintaympäristöön vaikuttavat lait, asetukset ja määräykset sekä sidosryhmien vaatimukset Dokumentoi määrämuotoisesti HUOM! Ilman kriittisten prosessien tuntemusta saatetaan turvata vääriä asioita tai väärällä tavalla oikeita asioita!

1. Toiminnan suunnittelu ja ohjaus Eri toimintayksiköiden näkemykset tulee yhdenmukaistaa koko organisaation tasolla Toimintojen keskinäinen kriittisyys ja tavoitetasot yhteismitallisia. Jatkuvuus- ja toipumissuunnitelmat muodostavat hierarkkisen kokonaisuuden = jatkuvuuden hallinnan kokonaisuus Suunnittele ja toteuta jatkuvuuden hallinnan suunnitelmien rakenne ja hierarkia vastaamaan oman organisaatiosi toimintaa (sisältö tärkein). Tunnistaminen Suunnittelu Toteuttaminen Hallinta

Keskeiset jatkuvuussuunnittelun prosessit ja vaiheet 8

2. Toimintaympäristön riskianalyysit ja skenaariot Toiminnan jatkuvuutta uhkaa suurelta osin samat riskit kuin muutenkin organisaation toimintaa => riskien kartoitus järkevintä osana yleistä riskienhallintaa Jatkuvuussuunnittelussa syytä varautua ainakin seuraavien skenaarioiden varalle: 1. Organisaation toimitilat tai merkittävä osa niistä ei ole käytössä 2. Organisaation henkilöstö, merkittävä osa siitä, ylin johto tai avainhenkilöt eivät ole käytettävissä 3. Tietovarantojen, tietojärjestelmien tai tietoliikenteen vakavat häiriöt 4. Merkittävä palveluntoimittaja, vastapuoli, sidosryhmä tms. ei ole käytettävissä Yleensä kaikki organisaation toiminnan jatkuvuutta uhkaavat riskit näiden pääryhmien alla Näihin skenaarioihin varautumalla voidaan toipua useimmista häiriöistä

3. Toiminnan vaikutusanalyysi (BIA) Tunne toimintaympäristö, suojattavat kohteet ja niihin liittyvät ydinprosessit ja toiminnot => Luokittelu kriittisyysluokkiin BIA = kartoitetaan erilaisten riskien toteutumisen toiminnalliset vaikutukset => Jatkuvuuden turvaamiseen ja toipumistilanteisiin oikeat ja riittävät toimenpiteet Vaikutusanalyysityökalu kriittisyysluokan määrittämiseksi: Jatkuvuus-BIA-työkalu Tarkoitettu järjestelmään tai palveluun kohdistuvien häiriöiden vaikutusten arviointiin Yhdenmukaistaa vaikutusten arviointia eri toimintojen välillä

4. Toimintojen priorisointi Kunkin toiminnon tavoiteltu palvelutaso ja toipumisaikavaade huomioitava jo suunnitteluvaiheessa Toimintojen luokittelu kriittisyyden mukaan ohjaa häiriötilanteissa korjaavien toimenpiteiden priorisointia Tuotantoon palautusjärjestys Jatkuvuus- tai toipumissuunnitelma ei auta jos palvelua tai järjestelmää suunniteltaessa ja rakentaessa ei ole otettu huomioon sen kriittisyyden vaatimia asioita. Kokonaisarkkitehtuurin huomioiminen

Palvelukerrokset palvelutoimittajien hallinta? tekninen palvelukerros Tarkenne Sovellus/järjestelmät Liiketoimintasovellus Sovellustietokannat Tietokannat Hakemisto/konfiguraatio Varusohjelmat, middleware, hakemistot Käyttöjärjestelmät Palvelinrauta Ulkoiset tietoliikenneliittymät Verkkopalvelut Storage/SAN Käyttöjärjestelmä: HP-UX, Windows, klusterointi Palvelinlaitteistot Varmennusverkko, palomuuripalvelut Toimistoverkko, hallintayhteydet, palvelutoimittajan toimistoverkko, nimipalvelut DNS, Active Directory Levyjärjestelmät, kytkennät Konesalien välinen siirtoyhteys Kahdennettu tekniikka Fyysinen konesali Salien rakenne, tilaturvallisuus, varmennettu sähkönsyöttö, jäähdytys 12

5. Järjestelmien ja palvelujen luokittelu Järjestelmän luokittelu: Käytön laajuus Kriittisyys Käyttökatkon vaikutukset Järjestelmien käyttötarkoitus Tietosisältö. JHS 174 mukainen SLA-palvelutaso: Lopullisen keskinäisen tärkeysjärjestyksen päättää organisaation ylin johto

6. Palautumistavoitteiden määrittely BIA -> RTO -> RPO! Toiminnan keskeytysvaikutusanalyysi => pisin toiminnan sietämä käyttökatko (RTO, toipumisaika) = Järjestelmä takaisin ylhäällä => kuinka pitkältä ajalta tietoa voidaan menettää (RPO, toipumispiste) = Mihin dataan palataan ts. mistä datasta jatketaan RTO ja RPO määritelty: Suunnitellaan tekniset ratkaisut Mitä lyhempää toipumisaikaa tai palautumispistettä halutaan, sitä suuremmat kustannukset HUOM! Vasteaika vs. Ratkaisuaika

7. Ohjelmistojen ja lisenssien hallinta Mikäli järjestelmä/palvelu joudutaan asentamaan uudestaan, toipumista nopeuttaa kun lisenssiavaimet ja koodit helposti saatavilla => kirjaa suunnitelmiin Lisenssiepäselvyydet, lisenssitarkastukset? Toiminto voi häiriintyä tai pysähtyä Tarkastuksen tuloksena suuria budjetoimattomia kustannuksia, joilla voi olla vaikutusta organisaation toiminnan jatkuvuuteen Varmista: Omaisuuden hallinnan ajantasaisuus Lisenssien ylläpitovastuut

8. Järjestelmien toipumistoimenpiteet Toipumissuunnitelmat kuvaavat operatiivisella tasolla järjestelmien palauttamisen häiriötilanteista Korjaus- ja palautustoimet käytännössä Hallittu alasajo/pakotettu alasajo Hallittu uudelleen käynnistäminen Toimivuuden testaaminen ennen käyttäjien pääsyä järjestelmään Huolto- ja ylläpitosopimukset Integraatiot ja riippuvuudet Varajärjestelmät ja korvaavat menettelyt.

9. Häiriötilanteiden johtaminen ja ohjaus Tilannejohtoryhmä Operatiivinen toipumisryhmä Johto vastaa toimenpiteiden hyväksymisestä Toiminnasta normaalioloissa vastaavat toimivat myös häiriötilanteissa ja poikkeusoloissa (jos käytettävissä) Kaikki suunniteltava ja dokumentoitava etukäteen Ihmisten oltava tietoisia ja sitoutuneita rooliinsa Huomioi johtamistyövälineiden ja viestintävälineiden käytön jatkuvuus -> korvaavat menetelmät

10. Tilannekuvan luominen ja ylläpito Tilannekuva = kaikki toiminnan kannalta relevantti informaatio Tilannekuvaa tarvitaan ilman häiriöitäkin Häiriötilanteessa tarvitaan teknistä tilannekuvaa Verkko Palveluiden käytettävyys Kyberuhkat Palvelutoimittajat Jne. Luo ennalta määritelty prosessi tietojen turvalliseen vaihtamiseen ja kommunikaatioyhteyden avaamiseen eri tahojen kanssa Kaikille osapuolille sama tieto tilanteesta Ajantasainen tilannekuva => johtaminen häiriötilanteessa mahdollista

11. Toipumisen edellyttämät tilat ja varatilat Määritettävä etukäteen tilat: Toipumisen johtamiseen Tekniseen toipumiseen Palvelun tuottamiseen Ja näiden varatilat Varusta toipumistilat etukäteen 12. Toiminta toipumistilanteessa Vakavan häiriötilanteen tunnistaminen Häiriön prioriteetin määrittäminen Minimoi tai estä ihmisiin, organisaation toimintaan, palveluihin, järjestelmiin, tietoon kohdistuvat vahingot Varmista kriittisten järjestelmien palautuminen ilman tarpeetonta viivytystä

13. Palvelutuottajan tehtävät, vastuut ja velvollisuudet Palvelutuottajan jatkuvuus- ja toipumissuunnitelmien tulee olla linjassa organisaation oman jatkuvuussuunnittelun kanssa Palvelutason mukaisesti -> huomioi jo kilpailutusvaiheessa kustannukset Varmista yhteinen käsitys sopimuksen sisällöstä, pätemisjärjestyksestä, sanktioista Harjoitukset koko järjestelmän elinkaaren ajan 14. Toimittajien ja alihankkijoiden ohjaus ja hallinta, sopimukset ja palvelutasot Kriittisten toimintojen palvelutoimittajaverkostolta vaadittava toimintamallit ko. organisaatioon kohdistuvien häiriötilanteiden varalta Velvoitteet ulotettava sopimuksissa koko alihankintaketjuun ja palvelutuottajaverkostoon Palvelua hankkiva organisaatio hyväksyy menettelytavat -> valvo vaatimusten toteutumista

15. Viestintä Sisäisen ja ulkoisen viestinnän periaatteet ja ohjeet, joihin sisältyy myös häiriötilanneviestinnän toteuttaminen Oikea tilannetieto ja tehdyt johtopäätökset Oikea-aikaista, jatkuvaa, avointa 16. Testaaminen, harjoittelu, koulutus Laajavaikutteisen häiriötilanteen harjoittelu kokonaisuudessaan kerran vuodessa Jatkuvuus- ja toipumissuunnitelmien ns. pöytätestaukset jos ei mahdollista harjoitella käytännössä laajoissa järjestelmissä Testaamisen ja harjoittelun avulla kehittyminen ja ongelmakohtien löytäminen -> kyky toimia oikein myös ennakoimattomissa tilanteissa Suunnitelmien säilytys eri muodoissa ja eri paikoissa

Jatkuvuuden hallinnan mittaaminen ja kehittäminen Jatkuvuuden hallinnan vuosikello Käytännössä seuranta ja mittaaminen tehdään yleensä harjoitusten yhteydessä ja toteutuneita häiriötilanteita arvioimalla Raportoi johdolle säännöllisesti Auditoi säännöllisesti Jatkuvuussuunnittelu on prosessi, joka saatava kiinteäksi osaksi organisaation muuta toimintaa ja prosesseja

Kiitos!

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute