SOPIVA-suositukset: työkaluja soveltamiseen 09.06.2015

Samankaltaiset tiedostot
Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

Sopimuksiin perustuva toiminnan jatkuvuuden hallinta

TOIMINNAN JATKUVUUDEN HALLINTA

SOPIVA-hankeryhmä, Kari Wirman

Tietoturvapolitiikka

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Valmiuspäällikkö Sakari Ahvenainen. Valmiusohje ja ajankohtaista varautumisesta. Helsingin TIVA ja joukkoviestintäpooli (JVP)

Kunnallisen toiminnan periaatteet, määritelty ja toimitaanko niiden mukaisesti? 3 strategialähtöiset

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

Kriisiviestintäohjeen päivitys

LIITE 5. Vaaratapahtumajoukon tarkastelua ohjaavat kysymykset

HUOVI-portaali. Huoltovarmuustoiminnan uusi painopiste: toiminnallinen huoltovarmuus

Palveluiden häiriöttömyys ja toimitusvarmuus. Varautuminen?

Sisäisen valvonnan ja riskienhallinnan perusteet Hyväksytty: kaupunginvaltuusto xx.xx.2014 xx

LAATUKÄSIKIRJA SFS-EN ISO 9001:2000

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

Keuruun kaupunki Päivä Tilapalvelu

Miten toteutetaan hyvä vesihuollon varautumissuunnitelma ja miten toimintaa häiriötilanteessa voidaan harjoitella? Lounais-Suomen vesihuoltopäivä

YHTEINEN TYÖPAIKKA, aliurakointi ja ketjutus Kansainvälinen työturvallisuuspäivä

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta. 1 Ohjeen soveltamisala, tavoitteet ja rajaukset. 2 Jatkuvuuden hallinnan säädösympäristö

SEURAN SINETTIKRITEERIEN ARVIOINTI TYÖSTÖPOHJA SEURAN KÄYTTÖÖN

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Siirtyminen käyttöönotosta tuotantoon

SISÄISEN VALVONNAN PERUSTEET

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Helsingin valmiussuunnitelma

Sisäinen valvonta ja riskienhallinta. Suomen Kuntaliitto Marja-Liisa Ylitalo erityisasiantuntija

Tehtaanjohtajan tekemä ensimmäisen vaiheen auditointi

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet

Yrityksen jatkuvuussuunnitelma

Sovelto Oyj JULKINEN

SYSTEMAATTINEN RISKIANALYYSI YRITYKSEN TOIMINTAVARMUUDEN KEHITTÄMISEKSI

Mikä on projekti? J Ä R J E S T Ö H A U T O M O. Matti Forsberg järjestökonsultti Järjestöhautomo Matti Forsberg

Eläketurvakeskuksen tietosuojapolitiikka

Miksi auditoidaan? Pirkko Puranen FT, Ylitarkastaja

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia

Sairaalan puheviestintäjärjestelmät. Markus Markkinen Sairaanhoitopiirien kyberturvallisuusseminaari

KEMIJÄRVEN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

ISO/DIS 14001:2014. DNV Business Assurance. All rights reserved.

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

TIETOTEKNIIKAN HYÖDYNTÄMINEN OSANA LIIKETOIMINTAPROSESSEJA: Toiminnan raportointi ja seuranta, tapahtuneisiin poikkeamiin nopea reagointi.

Seinäjoen ammattikorkeakoulun työsuojelu- ja turvallisuusorganisaatio. SeAMKin johtoryhmän hyväksymä

Liite/Kvalt , 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Isonkyrön kunta

Potilasturvallisuuden johtaminen ja auditointi

Sisäisen valvonnan ja riskienhallinnan perusteet

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Markku Savolainen. Jykesin Sijoittumispalvelut Markku Savolainen, yhteyspäällikkö

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

VARAUTUMINEN SOPIMUKSIN KYBERTURVALLISUUSUHKIIN Varautumispäällikkö Erkki Räsänen Huoltovarmuuskeskus, Infrastruktuuriosasto

Esityksen sisältö. Ideasta hankkeeksi. Kulttuurihankkeen suunnittelu Novgorod 2013 Marianne Möller Hankeidea

OPERATIIVISET RISKIT JA NIIDEN ENNAKOIMINEN

Työkyvyn hallinta ja varhainen tuki

Toiminnan jatkuvuus - käytännön näkökulma

Tuotannon esimiestyön erikoisammattitutkinnon perusteet

T Henkilöturvallisuus ja fyysinen turvallisuus, k-04

Hallituksen selonteko.

Tietoturvapolitiikka

PALVELUKUVAUS järjestelmän nimi versio x.x

Dnro:375/ /2013 Ehdotus kunanhallitukselle

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Kaarinan kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan periaatteet. Luonnos 0 (6)

JHS XXX ICT-palvelujen kehittäminen: Laadunvarmistus Liite 2: Tarkistuslistoja

akkreditointistandardi SFS-EN ISO FINAS - akkreditointipalvelu

Tilaliikelaitos TILALIIKELAITOKSEN VIESTINTÄSUUNNITELMA

OULUN YLIOPISTO. Tulevaisuuden uutta osaamista

Junaliikenteen häiriötilannetietojen tuottaminen ja tiedotus

Tietoturvavastuut Tampereen yliopistossa

Projektinhallinta. Kielten POP-hankkeiden koordinaattoritapaaminen Koulutus- ja kehittämiskeskus Palmenia, Ulla Pehrsson ja Johanna Heimonen

Turun kaupungin tietohallintostrategia Tiivistelmä

Vihdin kunnan tietoturvapolitiikka

HAKEMUS KKI-KEHITTÄMISHANKKEEKSI

ELINVOIMAPALVELUT. 1. Valvontaympäristö l. johtamisen ja hallinnon järjestäminen ARVIOINTIHUOMIOT 2018

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Projekti, projektinhallinta ja projektiliiketoiminta. Projektin ympäristö, päämäärä, tavoitteet, elinkaari, laajuus ja työn ositus

TAMPEREEN KAUPUNKILIIKENNE LIIKELAITOKSEN TOIMINTASÄÄNTÖ ALKAEN

LAUSUNTO. Päiväys/Datum/Date Dnro/Dnr/Ind.no. Liikenteen turvallisuusviraston lausunto ICT-varautumisen vaatimuksista

Esimerkki sitoviin tavoitteisiin kohdistuvasta riskienarvioinnista ja niitä koskevista toimenpiteistä

Tietohallinnon nykytilan analyysi. Analyysimenetelmä (sovitettu Tietohallintomallista)

Harjoitustyö Case - HelpDesk

Riskienhallintamalli. ja kuvaus riskienhallinnan kehittämisestä keväällä Inka Tikkanen-Pietikäinen

Todennäköisyys. Vaikutus

KUJA2: Kuntien ja maakuntien jatkuvuudenhallinta -projekti. Aki Pihlaja Projektipäällikkö

Yritysturvallisuuden johtamisen arviointi

VESIHUOLTOLAITOSTEN KRIITTISTEN ASIAKKAIDEN KARTOITUS JA HUOMIOIMINEN DI Ulla Koivisto Johdanto Kriittiset asiakkaat ja asiakastietokortit

Reilun Pelin työkalupakki: Kiireen vähentäminen

Valmiusharjoituksesta hyödyt irti Häme17 - Sysmä. Taneli Rasmus

Käyttöpäällikön tekemä toisen vaiheen auditointi

Kokemuksia BSCI-jäsenyydestä

Sisäisen valvonnan ja Riskienhallinnan perusteet

TORI-siirtoprojektit. Toukokuu 2014

Antti Ylä-Jarkko Tietohallintojohtaja Vantaan kaupunki. Epäsovinnaisia tuottavuusratkaisuja kuntakentässä

SISÄLTÖ. 1 RISKIENHALLINTA Yleistä Riskienhallinta Riskienhallinnan tehtävät ja vastuut Riskienarviointi...

TIETOTURVA- POLITIIKKA

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Transkriptio:

SOPIVA-suositukset: työkaluja soveltamiseen 09.06.2015

Strateginen ohjaus Suositus 1: Organisaatio on tunnistanut ydintoimintoihinsa liittyvät jatkuvuuden ja erityistilanteiden hallintaa ohjaavat keskeiset tekijät, velvoitteet ja riippuvuudet.» Mitä koneita, laitteita, raaka-aineita, energiaa, tietoa, työtä ja osaamista tarvitaan, jotta organisaatio voi tuottaa peruspalveluitaan asiakkailleen? Missä tiloissa toimintaa voidaan harjoittaa? Kuka toimittaa tuotannontekijät organisaatiolle ja miten organisaatio saa omat tuotteensa jakeluketjussa eteenpäin? 2

Suositus 1: (riippuvuudet) E Oy K Oy 1 Oy 2 Oy 3 Oy L Oy ICTpalveluyritykset Tavarantoimittajat Laitehuolto D Oy Yritys Palkkalaskenta Kiinteistöhuolto S Oy Sähkölaitos Teleoperaattorit Vartiointi Kuljetusyritykset Tilitoimisto A Oy G Oy P Oy M Oy V Oy Vesilaitos T Oy X Oy R Oy 3

Strateginen ohjaus Suositus 2: Ydintoimintojen asettamat vaatimukset jatkuvuuden hallinnalle on määritetty» Mitä sopimuksia (liiketoiminta: asiakkaat, kumppanit, alihankkijat, työntekijät) ja velvoitteita (yhteiskunta: lait, säädökset, viranomaispäätökset) organisaation tulee täyttää? Miten mahdolliset häiriöt voivat vaikuttaa sopimusten tai velvoitteiden sisällön ja aikataulun toteutumiseen? 4

Suositus 2: (sopimusrekisteri) Nro Sopimuslaji Osapuoli Alkaa Päättyy Uudis tusaika Vastuuhlö Keskeinen sisältö Tärkeys 12 Toimitussopimus Firma Oy 1.1. 2015 31.12. 2015 Loka / 2015 Liisa 1000 laitetta / kk 1 Top 13 Tilaus -sopimus Alihankinta Oy 1.6. 2014 30.8. 2014 - Lasse 200 laatikkoa / vko 3 Basic 14 5

Strateginen ohjaus Suositus 3: Johto edellyttää organisaatiolta ydintoimintojen ja kriittisten tukitoimintojen jatkuvuuden hallinnan suunnittelua» Johto valvoo, että organisaation osat toteuttavat omaa jatkuvuussuunnitteluaan: arvioimalla, mitkä asiat voivat uhata normaalia, häiriötöntä tuotantotoimintaa sekä suunnittelemalla, miten näitä häiriöitä voidaan ennaltaehkäistä tai niiden vaikutuksia rajoittaa.» Tyypillisesti tällaisia ongelmia voivat olla tulipalo, ilkivalta, energiansaannin ja jakelun vaikeudet, keskeisten laitteiden vikaantumiset, vakavat tietojärjestelmien häiriöt, väkivaltatilanteet tai niiden uhka toimitiloissa sekä avainhenkilöiden menetys 6

Suositus 3: (riskienarviointi) Kohde Aikataulu Pakkaamo Tulipalo (lämpölamput) Pakkaamo Riski & aiheuttaja Vuoto (vesipiste) Tuotanto Kone 1:n karan rikkoontumi nen : : Todennäköisyys (1-5) Vaikutus (1-5) Riskiluku 3 4 12 Vaihto ledeihin 2 3 6 Vesipisteen poisto 4 2 8 Varaosa varastoon Vastuu Korjaus / minimointi Toivo 7/2014 Ok Kuitattu Mikko 10/2014 Kesken Heikki 6/2014 Ok 7

Organisointi ja resursointi Suositus 4: Jatkuvuuden hallinta on organisoitu ja vastuutettu osana normaalia johtamista, toimintaa sekä kumppanuusverkoston hallintaa» Organisaation osat (osastot, toimipisteet) huomioivat ja vastaavat oman toimintansa jatkuvuussuunnittelusta. Tämä voidaan toteuttaa linjaorganisaatiossa käymällä riskit ja suunnitelmat lävitse esimerkiksi kerran vuodessa, täsmentämällä tehtävät ja vastuut eri toiminnoista sekä korjaamalla havaitut puutteet. Poikkeamat normaalista toiminnasta kirjataan ja arvioidaan, edellyttävätkö ne muutoksia jatkuvuussuunnitelmaan tai toimintaan kumppanien kanssa. Jatkuvuussuunnitelma sekä mahdolliset toimenpide-esitykset toimitetaan eteenpäin arviointia varten. 8

Suositus 4: (organisoi ja jalkauta) Tj Johtoryhmä Yrityksen jatkuvuussuunnitelma Osasto 1 Osasto 2 Osasto 3 Jatkuvuussuunnitelma osasto 1 Jatkuvuussuunnitelma osasto 2 Jatkuvuussuunnitelma osasto 3 9

Organisointi ja resursointi Suositus 5: Jatkuvuussuunnittelun koordinointi on vastuutettu» Yrityksessä on nimetty yksittäinen henkilö koordinaattoriksi. Tämä rooli voi esiintyä oman toimen ohella. Koordinaattori vastaa siitä, että eri organisaatiot tuottavat jatkuvuussuunnitelmat keskitetysti aikataulussa, annettujen ohjeiden mukaisesti ja suunnitelmien tasot ovat yhteneväiset. Lisäksi koordinaattori valvoo, että eri suunnitelmat voidaan helposti koota yhteen eikä mikään toiminto jää suunnitelman ulkopuolelle. Koordinaattori ohjeistaa jatkuvuussuunnittelun toteuttamisesta ja tarvittavista dokumenteista sekä tukee organisaatioita prosessissa. 10

Suositus 5: (koordinoi) Tj Johtoryhmä Ohjeistus, aikataulutus, koulutus Raportointi Jatkuvuuskoordinaattori Osasto 3 Osasto 2 Osasto 1 11

Organisointi ja resursointi Suositus 6: Jatkuvuuden hallinnalle on asetettu tavoitteisiin nähden resurssit» Johto antaa jatkuvuussuunnittelua toteuttaville organisaation osille (osastot, toimipisteet) aikaa ja taloudellisia mahdollisuuksia toteuttaa jatkuvuussuunnittelua. Mahdollisesti suunnittelussa havaitut, tarvittavat turvallisuusratkaisut tai varajärjestelyt huomioidaan organisaation budjetissa, työmäärissä ja ajankäytössä. Erityisesti ulkoistuksen osalta erittäin kriittisissä tehtävissä tulee erikseen harkita, voidaanko toimintaa ulkoistaa lainkaan vain onko syytä pitää osaaminen omassa hallinnassa riittävin resurssein. 12

Suositus 6: (resurssointi/tavoitteet) Prosessi Tärkeimmät toiminnot / laitteet Kriittisyysluokka Prioriteetti Omistaja Ulkoistus Kustannusarvio (varajärjestely) Infra Sähkö Tietoverkko Jäähdytys A 1 CIO Ilkka Sallittu osin (sähkö, jäähdytys: kyllä; tietoverkko: ei) 4 000 Työ Tuotantoprosessi Viestinvälityspalvelimet A 2 CPO Esko Ei sallittu 50 000 varakone/työ Laskutusprosessi Reskontra-/kipipalvelin B 3 CFO Maija Sallittu Tilausprosessi ERP-palvelin B 2 COO Jari Asiakkuuden hallintaprosessi Henkilöstöprosessi Toimitilat ERP-palvelin C 1 COO Jari HR-palvelin C 2 CHRO Eila Tuotantotila Toimistotila Muut tilat B 1 4 5 COO Jari Sallittu Ei sallittu 10 000 varakone/työ Sallittu Sallittu osin (tuotanto: ei; toimisto, muut: kyllä) 24 000 ylläpito 13

Yhteistyön koordinointi Suositus 7: Jatkuvuuden hallinnan suunnittelu toteutetaan ydin- ja tukitoimintojen yhteistyönä» Ydintoiminnot (tuotanto) vaatii tuekseen tukitoimintoja (tietojärjestelmiä, energiansaatia, henkilöstöpalveluja, kiinteistönhoitoa). Ydintoiminnot määrittelevät ne tarpeet, mitä tukitoiminnot tuottavat, jotta ydintoimintoa voidaan pyörittää riittävällä kapasiteetilla. Tämä kirjataan esimerkiksi palvelutasovaatimuksiin. 14

Suositus 7: (palvelutasovaatimus) Osasto Voima Kaasu Välinehuolto Höyry Happi NO2 Ilma 7-18 7-18 - - 7-18 Keittiö 6-21 6-18 - - - Pesula 8-17 - - - - Leikkaus -osasto Vuodeosasto Varavoima Päiväpoli - 0-24 0-24 0-24 0-24 - 0-24 0-24 - - - 7-17 7-19 7-19 7-19 15

Suositus 8: Viestintä sidosryhmien kanssa ja raportointi johdolle Viestinnän ja raportoinnin vastuut ja toimintamalli keskeisimpien sidosryhmien kanssa on määritetty ja organisoitu» Kuka tai ketkä ovat yhteydessä eri sidosryhmiin? Millä kanavalla viestitään (puhelin, sähköposti, verkkoyhteys, video, henkilökohtainen tapaaminen) missäkin tilanteessa? Onko yhteydenpito säännöllistä vai tilanteen vaatimaa? Miten yhteydenpidosta ja päätöksistä raportoidaan? Onko viestintä määrämuotoista vai vapaamuotoista tiedonvälitystä? 16

Suositus 8: (yhteystiedot ja tapa) Kuka/ ketkä Yht. tiedot Tapa Sidosryhmä Säännölliset Asialista Osakkaat ATKlähituki Arja, Markku CEO Pekka CIO Ilkka Oy Öljy Ab, p. 11111 email: oljy@xx. yyy Öljyntoimittaja Sähköpostitse kuukausittain, 2 krt /v tapaaminen (Eino L.) lista 2 krt / katsaus IT Oy, p. 1010109 Vko 22 ja vko 47 Vko 6 ja vko 38 6 krt / v : : Toimitukset, seur. ½ v aikana, muutos-tarpeet, ongelmat Yleistilanne, markkinat, talous 17

Suositus 9: Viestintä sidosryhmien kanssa ja raportointi johdolle Organisaation johto seuraa jatkuvuuden hallinnan kehittämistä, jatkuvuussuunnittelua sekä toimenpiteiden vaikutuksia ja kustannuksia» Johto saa vastuualueilta säännöllisesti (esim. puolivuosittain) katsauksen / raportin niistä toimenpiteistä, joita jatkuvuudenhallintaan on tehty tai jotka ovat vielä keskeneräisiä 18

Suositus 9: (toimenpide-edistyminen) 100 % 90 % 80 % 70 % 60 % 50 % 40 % 30 % 20 % 10 % 0 % 1 1 3 2 1 9 4 8 6 4 2 5 Varasto Tuotanto Viimeistely Lähetys Ei aloitettu Kesken Valmis 19

Johtaminen erityistilanteissa Suositus 10: Erityistilanteiden hallinta on organisoitu, ohjeistettu ja huomioitu toimintamalleissa» Toimipisteissä, toiminnoissa tai organisaatioyksiköissä on nimetty kriisiorganisaation jäsenet ja laadittu toimintamallit erityistilanteiden (kuten tulipalo, vesivahinko, laiterikko varalle). 20

Suositus 10: (kriisiorganisaation nimeäminen ja hälyttäminen) Organisaatio Hlö Tehtävä Puhelin Ilm. Status X Kriisijohto Pekka Toimitusjohtaja X Kriisijohto Ilkka ICTpäällikkö X Kriisijohto Aila Viestintäpäällikkö X Kriisijohto Lauri Turvallisuuspääll. 123123 19:30 Tulossa 222222 19:33 Ei tav. 333333 19:34 Ulkomailla 121212 19:32 Tulossa X Kriisiryhmä 1 Arto ICT-osaaja 212321 19:35 Ei tav. X Kriisiryhmä 1 Iina ICT-osaaja 291911 19:36 Tulossa Kriisiryhmä 2 Toivo Sähkömies 392111 Kriisiryhmä 2 Heikki Laitekorjaus 112233 21

Toimintaympäristön vaikutus Suositus 11: Organisaation ja toimintaympäristön vuorovaikutus otetaan toiminnassa huomioon» Jatkuvuussuunnittelussa huomioidaan sidosryhmissä, asiakkaissa, lainsäädännössä ja poliittisessa ympäristössä tapahtuvat muutokset, tarpeet ja toiveet sekä korjataan jatkuvuusstrategian salliessa organisaation jatkuvuussuunnitelmia niiden mukaisesti. 22

Suositus 11: (toimintaympäristö) Raakaainemaat Toimintamaat Markkinamaat Globaalisti Taloustilanne Poliittinen tilanne Lainsäädännön tilanne Luonnonilmiöt ja ympäristötilane Maine- ja bränditilanne Turvallisuustilanne Kilpailija- ja markkinatilanne 23

Suositus 12: Toiminnan kehittäminen riskien arvioinnin avulla Säännöllinen riskienhallintamenettely on käytössä» Organisaation osat arvioivat säännöllisesti vuosittain (esimerkiksi vuosikellona) omaa toimintaansa sekä siihen kohdistuvia riskejä ja niiden todennäköisyyttä. Tämän perusteella tehdään toimenpidesuunnitelmat riskien poistamiseksi, pienentämiseksi, siirtämiseksi tai pitämiseksi omalla vastuulla. Toimenpiteitä voivat olla turvallisuus- ja suojaus- ja varamenettelyjä, toimintatapamuutoksia, prosessimuutoksia tai toiminnasta luopumista. Riski voidaan myös pitää omalla vastuulla. 24

Suositus 12: (vuosikello) Tarkastuspiste 25

Suositus 13: Toiminnan kehittäminen riskien arvioinnin avulla Riskienhallinnan tulokset ohjaavat jatkuvuuden hallinnan kehittämistä» Jos riskienhallinnassa havaitaan merkittävä riski, joka toteutuessaan voi vaarantaa ydintoimintojen häiriöttömän toiminnan eikä sitä voida riskienhallinnallisin keinoin poistaa, pienentää tai siirtää, se käsitellään erikseen kohtana jatkuvuudenhallinnassa. 26

Suositus 13: (riskienhallinta/jatkuvuus) Kohde Riski & aiheuttaja Todennäköisyys (1-5) Vaikutus (1-5) Korjaus / minimointi Vastuu Riskiluku Aikataulu Kuitattu Tuotanto Räjähdys (Vedyn käsittely) 3 5 15 Ei korjattavissa / jatkuvuussuunnitteluun CPO Esko 1/2015 : Kohde Riski Jatkuvuuussuunnitelma (osa 2.1.1) Tuotanto (Mikkeli) Vedyn käsittelyssä räjähdys laitteisto tuhoutuu Toimenpiteet Ajetaan linjalta 2 (Kuopio) tuote 3 alas ja siirretään Mikkelin tuotannosta 3000 yksikköä Kuopioon. Ilmoitetaan kuljetuksille, että uusi lähetys Kuopiosta. Aloitetaan räjähdyksen jälkeiset raivaustyöt. Tuote 3 ostetaan yritys X:ltä ja... Yhteyshlöt Pekka (Mikkeli), Lasse (Kuopio), Liisa (Kuljetukset) 27

Tavoitteiden määrittely Suositus 14: Toiminnan jatkuvuuden hallinnan toimenpiteet tukevat organisaation ydintoiminnan tavoitteita» Jatkuvuuden hallinta keskittyy yrityksen ydintoimintojen ylläpitämiseen mahdollisessa kriisitilanteessa. Prosessit, toiminnat, järjestelmät ja laitteet on kriittisyysluokiteltu ja priorisoitu. Mahdollisessa ongelmatilanteessa tiedetään, mitä toimintoja tulee saattaa ensin toimintakuntoon, että häiriön vaikutukset jäisivät ydintoimintojen kannalta mahdollisimman vähäisiksi. 28

Suositus 14: (kriittisyysluokittelu) Prosessi Tärkeimmät toiminnot / laitteet Kriittisyysluokka Prioriteetti Omistaja Riippuvuudet Infra Tuotantoprosessi Laskutusprosessi Sähkö Tietoverkko Jäähdytys Viestinvälityspalvelimet Reskontra- /kipi-palvelin A 1 CPO Esko A 2 CPO Esko Infra B 4 CFO Maija Infra, tilaus, asiakkuus, tuotanto Tilausprosessi ERP-palvelin B 3 COO Jari Infra, henkilöstö Asiakkuuden hallintaprosessi ERP-palvelin C 5 COO Jari Infra, tilausprosessi Henkilöstöprosessi HR-palvelin C 6 CHRO Aila Infra 29

Erityistilanteiden hallinta Suositus 16: Erityistilanteiden hallinnan menettelyt on suunniteltu» Organisaatiossa on määritelty se, missä erityistilanteissa ja milloin siirrytään varajärjestelyihin, kuka päätöksen tekee ja miten siitä viestitään. Millä edellytyksillä voidaan palata taas normaaliin toimintaan ja kuka tekee tämän päätöksen. 30

Suositus 16: (toimintamalli) Häiriötilanne Estä lisävahingot Ensiarvio tilanteen vakavuudesta Käynnistä alustavat toimenpiteet Ilmoita lähiesimiehelle Jatkoarvio tilanteen vakavuudesta Ilmoita kriisijohtoryhmän jäsenelle Kutsu kriisijohto koolle Päätös varajärjestelyyn siirtymisestä Kriisiorganisaatioon siirtyminen Tilanteenmukainen toiminta Tilannearvio ja tiedotus Päätös normaalitoiminnasta Paluu normaalitoimintaan Kriisiorganisaation purku Tapahtuman dokumentointi ja analysointi 31

Erityistilanteiden hallinta Suositus 17: Kriisiviestintämenettelyt on suunniteltu ja harjoiteltu» On sovittu, kuka tiedottaa organisaation puolesta tapahtuneesta sisäisesti, yhteistyökumppaneille, asiakkaille ja tiedotusvälineille. Mitä ja minkä verran tietoa kullekin kohderyhmälle annetaan. Mikä on viestinnässä käytetty tapa (esim. sähköposti, soitto, tiedotustilaisuus, henkilökohtainen tapaaminen). 32

Suositus 17: (kriisiviestintävastuut) Toimitusjohtaja Sisäinen tiedotus Kumppanit LInjaorganisaatio Kriisijohtoryhmä Myyntiorganisaatio Asiakkaat Viestintäpäällikkö Tiedotusvälineet Viranomaiset Tiedotusvälineet 33

Erityistilanteiden hallinta Suositus 18: Kriittisten toimintojen häiriöiden hallintaohjeet on laadittu, koulutettu ja toiminta harjoiteltu» Henkilöstöllä on todennäköisimpiin poikkeustilanteisiin selvät kirjalliset ohjeet, joiden mukaan toimintaa voidaan jatkaa mahdollisimman pienellä haitalla. Ohjeiden mukainen toiminta on koulutettu henkilöstölle ja toimintaa on harjoiteltu. Täydennyskoulutusta järjestetään säännöllisesti. 34

Suositus 18: (häiriönhallintakoulutus) Tulipalo Laiterikko Sähkökatko Ohjeet Ohjeet Ohjeet Teoriaosuus Poistumisharjoitus Teoriaosuus Koulutus Vianetsintäharjoitus Alkusammutusharjoitus Turvallisuuskävely Uudelleenasennusharjoitus Teoriaosuus Koulutus (ups, varavoima) Varavoiman käyttöönotto -harjoitus 35

Suositus 19: Osaamisen ja tietoisuuden kehittäminen Jatkuvuuden hallinnan osaamiselle on asetettu rooli- tai tehtäväkohtaiset vaatimukset, osaamistaso tunnetaan ja osaamista kehitetään» Organisaatioon on perustettu poikkeustilanteita varten kriisiorganisaatio, johon on nimetty henkilöt. Kriisiorganisaatioon on määritelty, millaisia tehtäviä siellä on, mitä osaamista ne vaativat ja mikä on tehtäviin nimettyjen henkilöinen nykyinen osaamistaso. On myös määritetty, miten ja milloin kriisihenkilöstöä koulutetaan ja miten varmistutaan koulutuksen sisällön omaksumisesta. 36

Suositus 19: (rooli- ja tehtävävaatimukset) Roolin ja tehtävän osaamiskortti jatkuvuussuunnitteluun Nykytaso (1-5) Tavoitetaso (1-5) Tavoiteaika Ryhmä Kriisijohto Nimi Ilkka Työtehtävä ICT-päällikkö (CIO) Rooli ICT-infran omistaja Vaadittu osaaminen liiketoimintastrategia, tietostrategia, järjestelmäarkkitehtuuri, tietoturvallisuus, kehittäminen, sähkötekniikka 2 5 5 4 4 2 4 5 5 4 5 3 3 / 2H15 - - - 5 / 1H16 3 / 2H16 37

Suositus 20: Osaamisen ja tietoisuuden kehittäminen Organisaatio kannustaa henkilöstöä noudattamaan ja kehittämään hyvää jatkuvuuden hallinnan ja tiedon turvaamisen toimintamallia» Henkilöstölle annetaan mahdollisuus edistää jatkuvuussuunnitelmaa palautekyselyillä, avoimilla kysymyksillä ja aloitetoiminnalla. Palautetta mahdollisiin toimintavirheisiin annetaan rakentavassa hengessä, ei syyllistämällä. Ansioituneesta toiminnasta turvallisuuden edistämiseksi voidaan palkita. Sisäisessä tiedottamisessa tai sidosryhmäviestinnässä tuodaan esiin onnistumisia turvallisuustyössä. 38

Suositus 20: (palaute/kehittäminen) Havaittu ongelma tai puute Mahdollinen ratkaisuesitys Palautekanava Palaute / palkitseminen Arviointi Tiedottaminen Toimenpiteet Oma organisaatio, sidosryhmät 39

Suositus 21: Osaamisen ja tietoisuuden kehittäminen Organisaatiossa on sovittu tapa toimia valvonnassa, turvallisuuspoikkeamissa ja väärinkäytöstilanteissa» Organisaatiossa on ilmoitusmenettely, johon työntekijät voivat ilmoittaa epäilyttävistä tilanteista tai häiriöistä normaalissa toiminnassa. Ilmoitukset kirjataan riittävillä tiedoilla (esim. aika, ilmoittaja, havainto, mihin vaikuttaa, arvio kriittisyydestä, alustavat toimenpiteet) ja välitetään kriittisyydestä ja tilanteesta riippuen jatkokäsittelyyn. Ilmoituksista laaditaan tilasto, jolla voidaan seurata tapahtumien esiintymistaajuutta ja trendejä. 40

Suositus 21: (poikkeamanseuranta) Nro Hav. aika 23 1.3.2014 13:40 / Pekka 24 9.3.2014 08:00 / Lasse Tap. aika 25 : : Prosessi Järjestelmä Vaikutus Kuvau s 24.2.2014 Laskutus ERP Vakava (4) Syöttöaineistossa... 9.3.2014 8:00 Tuotanto Palo Häiriö (2) Väärä hälytys pölystä... Tilanne nyt Selvitys käynnissä Kunnossa 41

Suositus 22: Henkilöresurssien ja tehtävien hallinta Avainroolit ja -henkilöt on tunnistettu ja varajärjestelyt on suunniteltu» Ydintoimintojen kannalta korvaamatonta tai vaikeasti korvattavaa osaamista, tietoa tai toimintavaltaa käyttävät henkilöt tiedetään. Heidän prosessien kannalta olennaiset ominaisuutensa on dokumentoitu ja on mietitty, miten ydintoimintoja voidaan jatkaa, jos henkilö tai henkilöt eivät ole käytettävissä. Varajärjestelyjä voivat olla esimerkiksi varahenkilöt, työvaiheiden dokumentointi, työn kierrätys osaamisen nostamiseksi, vaihtoehtoiset toimintatavat ja ulkopuolisen palvelun ostaminen. 42

Suositus 22: (avainhenkilökartoitus) Nro Rooli Prosessi / Järjestel mä 12 Jatkuvuuskoordinaattori 13 Omistaja Kirjanpito ja laskutus 14 Omistaja Tilaustenhallinta 15 Varautumispäällikkö 16 Omistaja Kiinteistöautomaatio Vastaa va COO Jari CFO Maija CPO Esko CSO Lauri 1. Vara 2. Vara CIO Ilkka Elina??? CTO Ismo Pertti Anssi 43

Suositus 23: Henkilöresurssien ja tehtävien hallinta Henkilöstö ja sen käyttö on suunniteltu ja mitoitettu vähintään ydintoimintojen jatkuvuuden hallinnan edellyttämällä tavalla» Organisaatiossa on töissä niin paljon osaavia henkilöitä, että ydinprosessit voidaan pitää tuotannossa vaikka osa henkilökunnasta olisi estynyt saapumaan työpaikalle (esimerkiksi epidemian, vaarallisten olosuhteiden tai poikkeuksellisen sään vuoksi). Henkilöstö on koulutettu siten, että sitä voidaan tarvittaessa siirtää ydinprosessien painopistealueelta toiselle. 44

Suositus 23: (henkilöstövaraukset) Hlöt ma-pe Hlöt la-su Varalla ma-pe Vastaanotto 1 Kari Eino Alkukäsittely 1 Jouni Varalla la-su Leikkaus 2 Ari, Mika Janne Jouni Kokoonpano 3 Matti, Yrjö, Aapo 2 Tero, Janne Viimeistely 2 Aila, Liisa 1 Eino Ulla Kari Pakkaus 2 Maija, Iida 1 Ulla Jos varahenkilöä ei saada, soita työvoimavuokraus NN p. 01234567 45

Sopimusten hallinta Suositus 24: Organisaation tuotannolle kriittiset kumppanit, alihankkijat ja resurssit on tunnistettu» Ydintoimintojen kannalta tiedetään ne kumppanit, tavarantoimittajat ja yhteistyötahot, jotka ovat kriittisiä toimijoita. Nämä on kirjattu ylös ja on pohdittu toimenpiteitä, jos he eivät pysty osallistumaan häiriöttömästi toimintaan. Tiedetään myös, mihin prosesseihin tai tuotteisiin jonkin resurssin puuttuminen, alihankkijan tai kumppanin toimintahäiriö voi vaikuttaa. 46

Suositus 24: (prosessit) Raaka-aine A Raaka-aine B Komponentti C Komponentti D Uuni Y Kone Z Laite W1 Laite W2 Laite X Tuote 1, arvo firmalle 1000 ke Tuote 1, arvo firmalle 5000 ke Tuote 3, arvo firmalle 200 ke 47

Suositus 24: (kalanruotomalli) Oma Oy Tuote Laite 1 Laite 2 Laite 3 Laite 4 48

Sopimusten hallinta Suositus 25: Sopimuksissa on vaatimukset toiminnan jatkuvuuden hallinnan toteuttamiselle» Sopimuksiin tuotannontekijöiden toimittajien kanssa on kirjattu vaatimus toimittajan omasta jatkuvuussuunnittelusta ja siihen liittyvistä jatkuvuuden hallintaa parantavista toimenpiteistä. 49

Suositus 25: (SOPIVA-mallilausekkeet) Yritys A Perussopimus Sopimus 1 2 : n Alihankkija B SOPIVAmallilauseke SOPIVAsuositukset Sopimus SOPIVAsuosituksin Sopimus 1 2 2a SOPIVA... : n LIITE 1: SOPIVA 50

Suositus 27: Toiminnan varmistaminen erityistilanteissa Yhteistoiminta kumppanien kanssa häiriö- ja erityistilanteiden hallitsemiseksi on organisoitu ja vastuutettu» Yhteistyökumppaneilla on nimetyt henkilöt, joihin voidaan ottaa yhteyttä häiriötilanteissa. Näiden henkilöiden yhteystiedot ovat omien vastuuhenkilöiden tiedossa. Kumppanin nimetyillä yhteyshenkilöillä on riittävä osaaminen ja päätösasema erityistilanteen ratkaisemiseksi. 51

Suositus 27: (häiriöt - organisointi) Ongelma Yht. tiedot Huom! Sähköhäiriöt Sähkö Oy, p. 11111 (mape 8-17) p. 11112 muulloin Jos katko yli 30 min, ilmoitus myös... Toimitusongelma / raaka-aine X Kuljetus ei saapunut Laitevika kone B:ssä Laitevika kone C:ssä AB-mättö Oy, p. 121212, varalla 040-200000 (Ilpo) Kiito Oy, p. 2323232, varalla 050-333333 (Mika) Mekano Ky, huoltopäivystys 041-8888 7777 : : : Raportoi KUHA:aan 52

Suositus 28: Toiminnan varmistaminen erityistilanteissa Jatkuvuuden hallinnan toteutumista ja tarkoituksenmukaisuutta seurataan ja arvioidaan» Organisaatio arvioi säännöllisesti omaa toimintaansa joko itseauditoinneilla tai ulkoisella auditoinneilla. Myös osaorgansaatiot voivat tehdä vastaavaa itseauditointia. Jos tarkastustoimintaa ei ole muuten säädelty, on hyvä tapa on tehdä esimerkiksi joka vuosi itseauditointi ja 2-3 vuoden välein ulkopuolinen auditointi. Auditoinnissa tulee kiinnittää erityistä huomiota vastuutukseen, henkilöstön osaamiseen ja koulutukseen, tapahtuneisiin häiriötilanteisiin ja niiden korjaamiseen sekä teknisten turvalaitteiden toimivuuteen. 53

Suositus 28: (seuranta ja arviointi) 1.v oma auditointi Oy Ab 2. v oma auditointi Sammuttimet Vastuuhlö Harjoitukset Vuosihuolto Ok Selvitettävä Korjattava 3. v ulkopuolinen auditointi Raportointi Johtoryhmä Ohjeistus Organisaatio 54

www.kyberturvallisuuskeskus.fi www.viestintävirasto.fi

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute