Toiminnan jatkuvuuden hallinta

Samankaltaiset tiedostot
Toiminnan jatkuvuuden hallinta

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta. 1 Ohjeen soveltamisala, tavoitteet ja rajaukset. 2 Jatkuvuuden hallinnan säädösympäristö

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Toiminnan jatkuvuus - käytännön näkökulma

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

LUONNOSVERSIO VAHTI 2/2016. Toiminnan jatkuvuuden hallinta

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Työpaja #10 lyhyt kertaus. #tuki2018 #stöd2018

Miksi varautuminen on tärkeää? Näkökulmia toiminnan jatkuvuuden suunnitteluun

Jatkuvuuden varmistaminen

Sopimuksiin perustuva toiminnan jatkuvuuden hallinta

HUOVI-portaali. Huoltovarmuustoiminnan uusi painopiste: toiminnallinen huoltovarmuus

Liiketoiminnan ICT-riippuvuus kasvaa hallitaanko riskit?

Jatkuvuuden hallinta. Kiwa Inspecta. ISO Yleistietoa. Jarkko Puistovirta Tuotepäällikkö, Pääarvioija. BECP Certified ISO Lead Implementor

Digital by Default varautumisessa huomioitavaa

Kooste riskienhallinnan valmistelusta

Valtioneuvoston asetus

VAHTI Ohjejaosto - vuosi toimintaa

Tietoturvapolitiikka

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Miten toteutetaan hyvä vesihuollon varautumissuunnitelma ja miten toimintaa häiriötilanteessa voidaan harjoitella? Lounais-Suomen vesihuoltopäivä

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

10 vuotta varautumista ja väestönsuojelua alueellisessa pelastustoimessa. Seppo Lokka Etelä-Savon pelastuslaitos

Tietoturvapolitiikka

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

TOIMINNAN JATKUVUUDEN HALLINTA

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Vihdin kunnan tietoturvapolitiikka

Riskienhallinta Maanmittauslaitoksessa mitä pitkäaikainen kehittäminen on opettanut?

Kuinka toimin erilaisissa häiriötilanteissa? Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Erja Kinnunen, Verohallinto 2.10.

Sosiaali- ja terveydenhuollon valmiussuunnitteluohjeistus

KEMIJÄRVEN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Kommenttipuheenvuoro - Porin kaupungin häiriötilannesuunnittelu

Pelastuslaitoksen palvelutasopäätöksen väliarviointi PelJk

SFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA

SOPIVA-hankeryhmä, Kari Wirman

Sosiaali- ja terveydenhuollon valmiussuunnitteluohjeistus

ICT-VARAUTUMINEN VALTIT-INFO

Työpaja 3: ICT-tuen jatkovaihe tavoitetila ja kehittämiskohteet

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Sairaalan puheviestintäjärjestelmät. Markus Markkinen Sairaanhoitopiirien kyberturvallisuusseminaari

KUJA2: Kuntien ja maakuntien jatkuvuudenhallinta -projekti. Aki Pihlaja Projektipäällikkö

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat. Diplomityöesitelmä Juha Kalander

Julkisen hallinnon tietoliikennepalvelulinjaukset. Yhteenveto. Linjausten tarkoitus ja kohdealue. Väestorekisterikeskus. Lausunto

Big Room -toiminta tutkimuksen näkökulmasta. Sari Koskelo, Vison Oy

Espoon kaupunki Tietoturvapolitiikka

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

ISO Standardisarja Eräitä ulottuvuuksia Kari Komonen

Teollisen valmiuden kehittäminen kunnossapidon kumppanuudessa

PK-yrityksen tietoturvasuunnitelman laatiminen

Valmius ja jatkuvuudenhallinta soterakenteissa Sari Vuorinen. Projektipäällikkö Kuntaliitto

VESIHUOLTOLAITOSTEN KRIITTISTEN ASIAKKAIDEN KARTOITUS JA HUOMIOIMINEN DI Ulla Koivisto Johdanto Kriittiset asiakkaat ja asiakastietokortit

Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen

LapIT mukana maakuntavalmistelussa. Antti Mathlin

Laat Laa uv t as uv t as a t a a v a ien t a t paaminen Laat Laa uty uty ja ja ko k ko k naisarkkiteh naisarkkit tuuri KA tiimi tiimi::

Tiera Sähköinen arkistointi. Palvelun käytettävyys ja sanktiot. Sopimus Tiera Sähköinen arkistointi-palvelusta

Muutos ja tietoturvallisuus, alueellistamisesta ulkoistamiseen -hallittu prosessi

Kriisiviestintäohjeen päivitys

Sosiaali- ja terveydenhuollon valmiussuunnitteluohjeistus

Gustin: Disaster and Recovery Planning: A Guide for Facility Managers T esitelmä

Turvallisuus ja varautuminen. Vesa-Pekka Tervo Pelastustoimen kehittämispäällikkö Kanta-Hämeen maakuntatilaisuus Hämeenlinna

Tietoturvapolitiikka Porvoon Kaupunki

Jatkuvuudenhallinta ja varautuminen kunnassa - yleisiä perusteita ja lähtökohtia -

Viestintäviraston tilannekuvahanke TIKU2012+ Pertti Hölttä

Järjestelmäarkkitehtuuri (TK081702) Yritysarkkitehtuuri. Muutostarpeet

Pääesikunta, logistiikkaosasto

Johtaminen ja yritysjohtaminen osaamistarjotin samiedu.fi

VESIHUOLTOLAITOKSEN OMAISUUDENHALLINNAN KÄSIKIRJA

Kertomusluonnoksesta annetut lausunnot 20/2018 Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus 263/54/2017

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 4

Projektin tilannekatsaus

LAUSUNTO. Päiväys/Datum/Date Dnro/Dnr/Ind.no. Liikenteen turvallisuusviraston lausunto ICT-varautumisen vaatimuksista

Kunnossapito osana riskienhallintaa ja onnettomuuksien torjuntaa,case Metso

Valtorin strategia. Hyväksytty Valtorin hallituksen kokouksessa

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

SISÄISEN VALVONNAN PERUSTEET

Harjoituksen ohjaaminen

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Valtorin strategia Töissä valtiolla sujuvasti ja turvatusti

Keskitetyn integraatiotoiminnon hyödyt

ETU SEMINAARI Helsinki, Säätytalo

ISO 9001:2015 JÄRJESTELMÄ- JA PROSESSIAUDITOIN- NIN KYSYMYKSIÄ

Tietoturvapalvelut valtionhallinnolle

Muutoksen hallittu johtaminen ja osaamisen varmistaminen

APPLICATION MANAGEMENT SERVICES. ecraft

SaaS-palvelutoimittajan valinta kilpailukyvyn ja kustannustehokkuuden parantamiseksi. Ari-Pekka Syvänne, Xenetic Oy / HCM-seminaari, 26.3.

Julkisen hallinnon ICT:n kehittäminen. Kuntien paikkatietoseminaari Tommi Oikarinen, valtiovarainministeriö

Merlin Systems Oy. Kommunikaatiokartoitus päätöksenteon pohjaksi. Riku Pyrrö, Merlin Systems Oy

Uudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet

Yritysturvallisuuden johtamisen arviointi

SFS, STANDARDIEHDOTUKSEN ISO/DIS ESITTELY

OULUNKAAREN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa

Yritysturvallisuuden johtamisen arviointi

Transkriptio:

Toiminnan jatkuvuuden hallinta 15.11.2016 SohviTellu 2016 Riitta Gröhn, Aalto-yliopisto VAHTI Ohjeen tavoitteena Toiminnan jatkuvuuden kannalta keskeisten toimintojen yhtenäistäminen. Konkreettisia apuvälineitä toiminnan jatkuvuuden turvaamiseen. Keskeistä ydintoimintojen prosessien jatkuvuus, ydintoimintojen häiriötön toiminta. Toiminnan jatkuvuuden hallinta on kiinteä osa organisaation toimintaa. Dokumentoitu jatkuvuuden hallintajärjestelmä: Suojaudutaan ennakoivasti Vähennetään häiriöiden mahdollisuutta Valmistaudutaan korjaamaan häiriöitä Valmistaudutaan palautumaan häiriöistä. Häiriötilanne: merkittävä tai vakava häiriö => laajavaikutteisen häiriötilanteen ratkaisumenettely. 1

Jatkuvuuden hallinnan johtaminen Jatkuvuuden hallinta on mahdollista vain kun organisaation johto on sitoutunut ja tukee jatkuvuuden hallintaa. Jatkuvuuden hallintajärjestelmän suunnittelu ja toteutus. Johdon sitouttaminen kertomalla ydintoiminnan jatkuvuuteen liittyvistä riskeistä. Muistilista: Varmista resursointi Varmista budjetti Dokumentoi periaatteet Sisällytä tehtävät vuosikelloon Määrittele roolit ja vastuut Jatkuvuussuunnittelun termien ja määritelmien suhde toisiinsa 4 2

Jatkuvuussuunnittelun käsitteet ja määritelmät Toiminnan vaikutusanalyysi (BIA) Business Impact Analysis eli (liike)toiminnan vaikutusanalyysi pyrkii selvittämään ja kuvaamaan erilaisten haitallisten tekijöiden vaikutukset tarkastelun alla olevaan (liiketoiminta)prosessiin. Vaikutusanalyysi on pohjana toiminnan jatkuvuutta uhkaavien riskien arvioinnille sekä toimintojen väliselle priorisoinnille. Toipumisaika (RTO) RTO = Recovery Time Objective tarkoittaa tavoitellun toipumisajan määrittelyä. Toipumisaika määrittelee sen ajan, jonka kuluessa kyseessä oleva asia tai toiminto tulee saada palautettua toimintaan. Toipumispiste (RPO) RPO = Recovery Point Objective tarkoittaa tavoitellun toipumispisteen määrittelyä. Toipumispiste määrittelee sen tilan, johon toiminta, tieto tai järjestelmä tulee saada palautettua. Palautushetki ei välttämättä ole juuri sama kuin vakavan häiriön alkamishetki. Tehtävälistaa Tunnista organisaation ydinprosessit ja toiminnot Valitse kohteeksi kriittiset toiminnot Tunnista kriittisiin toimintoihin liittyvät prosessit, palvelut, tietojärjestelmät ja tietovarannot sekä niiden väliset riippuvuudet Tunnista sidosryhmät ja niiden vaatimukset Ota huomioon toimintaympäristöön vaikuttavat lait, asetukset ja määräykset sekä sidosryhmien vaatimukset Dokumentoi määrämuotoisesti HUOM! Ilman kriittisten prosessien tuntemusta saatetaan turvata vääriä asioita tai väärällä tavalla oikeita asioita! 3

1. Toiminnan suunnittelu ja ohjaus Eri toimintayksiköiden näkemykset tulee yhdenmukaistaa koko organisaation tasolla: Toimintojen keskinäinen kriittisyys ja tavoitetasot yhteismitallisia. Jatkuvuus- ja toipumissuunnitelmat muodostavat hierarkkisen kokonaisuuden = jatkuvuuden hallinnan kokonaisuus. Suunnittele ja toteuta jatkuvuuden hallinnan suunnitelmien rakenne ja hierarkia vastaamaan oman organisaatiosi toimintaa (sisältö tärkein). Tunnistaminen Suunnittelu Toteuttaminen Hallinta Keskeiset jatkuvuussuunnittelun prosessit ja vaiheet 8 4

2. Toimintaympäristön riskianalyysit ja skenaariot Toiminnan jatkuvuutta uhkaa suurelta osin samat riskit kuin muutenkin organisaation toimintaa => riskien kartoitus järkevintä osana yleistä riskienhallintaa Jatkuvuussuunnittelussa syytä varautua ainakin seuraavien skenaarioiden varalle: 1. Organisaation toimitilat tai merkittävä osa niistä ei ole käytössä. 2. Organisaation henkilöstö, merkittävä osa siitä, ylin johto tai avainhenkilöt eivät ole käytettävissä. 3. Tietovarantojen, tietojärjestelmien tai tietoliikenteen vakavat häiriöt. 4. Merkittävä palveluntoimittaja, vastapuoli, sidosryhmä tms. ei ole käytettävissä. Yleensä kaikki organisaation toiminnan jatkuvuutta uhkaavat riskit näiden pääryhmien alla. Näihin skenaarioihin varautumalla voidaan toipua useimmista häiriöistä. 3. Toiminnan vaikutusanalyysi (BIA) Tunne toimintaympäristö, suojattavat kohteet ja niihin liittyvät ydinprosessit ja toiminnot => Luokittelu kriittisyysluokkiin BIA = kartoitetaan erilaisten riskien toteutumisen toiminnalliset vaikutukset => Jatkuvuuden turvaamiseen ja toipumistilanteisiin oikeat ja riittävät toimenpiteet Vaikutusanalyysityökalu kriittisyysluokan määrittämiseksi: Jatkuvuus-BIA-työkalu Tarkoitettu järjestelmään tai palveluun kohdistuvien häiriöiden vaikutusten arviointiin Yhdenmukaistaa vaikutusten arviointia eri toimintojen välillä 5

4. Toimintojen priorisointi Kunkin toiminnon tavoiteltu palvelutaso ja toipumisaikavaade huomioitava jo suunnitteluvaiheessa. Toimintojen luokittelu kriittisyyden mukaan ohjaa häiriötilanteissa korjaavien toimenpiteiden priorisointia. Toimintojen tuotantoon palautusjärjestys mietittävä ennakolta. Jatkuvuus- tai toipumissuunnitelma ei auta jos palvelua tai järjestelmää suunniteltaessa ja rakentaessa ei ole otettu huomioon sen kriittisyyden vaatimia asioita. Kokonaisarkkitehtuurin huomioiminen toipumisessa. Tietojärjestelmien tarvitsemat palvelukerrokset palvelutoimittajien hallinta? Sovellus/järjestelmät Sovellustietokannat Hakemisto/konfiguraatio Käyttöjärjestelmät Palvelimet tekninen palvelukerros Ulkoiset tietoliikenneliittymät Verkkopalvelut Storage/SAN Konesalien välinen siirtoyhteys Fyysinen konesali Liiketoimintasovellus Tietokannat Tarkenne Varusohjelmat, middleware, hakemistot Käyttöjärjestelmä: Linux, AIX, Windows, klusterointi Palvelinlaitteistot Varmennusverkko, palomuuripalvelut Toimistoverkko, hallintayhteydet, palvelutoimittajan toimistoverkko, nimipalvelut DNS, Active Directory Levyjärjestelmät, kytkennät Kahdennettu tekniikka Salien rakenne, tilaturvallisuus, varmennettu sähkönsyöttö, jäähdytys 12 6

5. Järjestelmien ja palvelujen luokittelu Luokittelu: Käytön laajuus Kriittisyys Käyttökatkon vaikutukset Järjestelmien käyttötarkoitus Tietosisältö. JHS mukainen SLA-palvelutaso: Lopullisen keskinäisen tärkeysjärjestyksen päättää organisaation ylin johto. 6. Palautumistavoitteiden määrittely BIA -> RTO -> RPO! Toiminnan keskeytysvaikutusanalyysi => pisin toiminnan sietämä käyttökatko (RTO, toipumisaika) = Järjestelmä takaisin ylhäällä => kuinka pitkältä ajalta tietoa voidaan menettää (RPO, toipumispiste) = Mihin dataan palataan ts. mistä datasta jatketaan toimintaa RTO ja RPO määritelty: Suunnitellaan tekniset ratkaisut Mitä lyhempää toipumisaikaa tai palautumispistettä halutaan, sitä suuremmat kustannukset HUOM! Vasteaika vs. Ratkaisuaika 7

7. Ohjelmistojen ja lisenssien hallinta Mikäli järjestelmä/palvelu joudutaan asentamaan uudestaan, toipumista nopeuttaa kun lisenssiavaimet ja koodit helposti saatavilla => kirjaa suunnitelmiin. Lisenssiepäselvyydet, lisenssitarkastukset? Toiminto voi häiriintyä tai pysähtyä Tarkastuksen tuloksena suuria budjetoimattomia kustannuksia, joilla voi olla vaikutusta organisaation toiminnan jatkuvuuteen Varmista: Omaisuuden hallinnan ajantasaisuus Lisenssien ylläpitovastuut 8. Järjestelmien toipumistoimenpiteet Toipumissuunnitelmat kuvaavat operatiivisella tasolla järjestelmien palauttamisen häiriötilanteista Korjaus- ja palautustoimet käytännössä Hallittu alasajo/pakotettu alasajo Hallittu uudelleen käynnistäminen Toimivuuden testaaminen ennen käyttäjien pääsyä järjestelmään Huolto- ja ylläpitosopimukset Integraatiot ja riippuvuudet Varajärjestelmät ja korvaavat menettelyt. 8

9. Häiriötilanteiden johtaminen ja ohjaus Tilannejohtoryhmä Operatiivinen toipumisryhmä Johto vastaa toimenpiteiden hyväksymisestä Toiminnasta normaalioloissa vastaavat toimivat myös häiriötilanteissa ja poikkeusoloissa (jos käytettävissä) Kaikki suunniteltava ja dokumentoitava etukäteen Ihmisten oltava tietoisia ja sitoutuneita rooliinsa Huomioi johtamistyövälineiden ja viestintävälineiden käytön jatkuvuus -> korvaavat menetelmät 10. Tilannekuvan luominen ja ylläpito Tilannekuva = kaikki toiminnan kannalta relevantti informaatio Tilannekuvaa tarvitaan ilman häiriöitäkin Häiriötilanteessa tarvitaan teknistä tilannekuvaa Verkko Palveluiden käytettävyys Kyberuhkat Palvelutoimittajat Jne. Luo ennalta määritelty prosessi tietojen turvalliseen vaihtamiseen ja kommunikaatioyhteyden avaamiseen eri tahojen kanssa Kaikille osapuolille sama tieto tilanteesta Ajantasainen tilannekuva => johtaminen häiriötilanteessa mahdollista 9

11. Toipumisen edellyttämät tilat ja varatilat Määritettävä etukäteen tilat: Toipumisen johtamiseen Tekniseen toipumiseen Palvelun tuottamiseen Ja näiden varatilat Varusta toipumistilat etukäteen 12. Toiminta toipumistilanteessa Vakavan häiriötilanteen tunnistaminen Häiriön prioriteetin määrittäminen Minimoi tai estä ihmisiin, organisaation toimintaan, palveluihin, järjestelmiin, tietoon kohdistuvat vahingot Varmista kriittisten järjestelmien palautuminen ilman tarpeetonta viivytystä 13. Palvelutuottajan tehtävät, vastuut ja velvollisuudet Palvelutuottajan jatkuvuus- ja toipumissuunnitelmien tulee olla linjassa organisaation oman jatkuvuussuunnittelun kanssa Palvelutason mukaisesti -> huomioi jo kilpailutusvaiheessa kustannukset Varmista yhteinen käsitys sopimuksen sisällöstä, pätemisjärjestyksestä, sanktioista Harjoitukset koko järjestelmän elinkaaren ajan 14. Toimittajien ja alihankkijoiden ohjaus ja hallinta, sopimukset ja palvelutasot Kriittisten toimintojen palvelutoimittajaverkostolta vaadittava toimintamallit ko. organisaatioon kohdistuvien häiriötilanteiden varalta Velvoitteet ulotettava sopimuksissa koko alihankintaketjuun ja palvelutuottajaverkostoon Palvelua hankkiva organisaatio hyväksyy menettelytavat -> valvo vaatimusten toteutumista 10

15. Viestintä Sisäisen ja ulkoisen viestinnän periaatteet ja ohjeet, joihin sisältyy myös häiriötilanneviestinnän toteuttaminen Oikea tilannetieto ja tehdyt johtopäätökset Oikea-aikaista, jatkuvaa, avointa 16. Testaaminen, harjoittelu, koulutus Laajavaikutteisen häiriötilanteen harjoittelu kokonaisuudessaan kerran vuodessa Jatkuvuus- ja toipumissuunnitelmien ns. pöytätestaukset jos ei mahdollista harjoitella käytännössä laajoissa järjestelmissä/palveluissa Testaamisen ja harjoittelun avulla kehittyminen ja ongelmakohtien löytäminen -> kyky toimia oikein myös ennakoimattomissa tilanteissa Suunnitelmien säilytys eri muodoissa ja eri paikoissa Jatkuvuuden hallinnan mittaaminen ja kehittäminen Jatkuvuuden hallinnan vuosikello Käytännössä seuranta ja mittaaminen tehdään yleensä harjoitusten yhteydessä ja toteutuneita häiriötilanteita arvioimalla Raportoi johdolle säännöllisesti Auditoi säännöllisesti Jatkuvuussuunnittelu on prosessi, joka saatava kiinteäksi osaksi organisaation muuta toimintaa ja prosesseja Toiminnan jatkuvuuden hallinta entistä ajankohtaisempaa: Vanhat uhat Kyberuhat Hybridiuhat 11

Kiitos! 12

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute