LAUSUNTO. Päiväys/Datum/Date Dnro/Dnr/Ind.no. Liikenteen turvallisuusviraston lausunto ICT-varautumisen vaatimuksista

Samankaltaiset tiedostot
Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

Sopimuksiin perustuva toiminnan jatkuvuuden hallinta

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Jatkuvuuden varmistaminen

TOIMINNAN JATKUVUUDEN HALLINTA

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta. 1 Ohjeen soveltamisala, tavoitteet ja rajaukset. 2 Jatkuvuuden hallinnan säädösympäristö

Tietoturvapolitiikka

Palveluiden häiriöttömyys ja toimitusvarmuus. Varautuminen?

ICT-VARAUTUMINEN VALTIT-INFO

Valmiuspäällikkö Sakari Ahvenainen. Valmiusohje ja ajankohtaista varautumisesta. Helsingin TIVA ja joukkoviestintäpooli (JVP)

Helsingin valmiussuunnitelma

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

Kooste riskienhallinnan valmistelusta

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Palveluiden häiriöttömyyden varmistaminen

Toiminnan jatkuvuus - käytännön näkökulma

HELSINGIN KAUPUNKIKONSERNIN VARAUTUMINEN JA JATKUVUUDENHALLINTA

LUONNOSVERSIO VAHTI 2/2016. Toiminnan jatkuvuuden hallinta

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Suunnitellut alueellisen varautumisen rakenteet - katsaus valmistelutilanteeseen. Vesa-Pekka Tervo

Teollisen valmiuden kehittäminen kunnossapidon kumppanuudessa

Työpaja 3: ICT-tuen jatkovaihe tavoitetila ja kehittämiskohteet

Keskeiset muutokset varautumisen vastuissa 2020

SISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE

VISIO YHTEISKUNNAN ELINTÄRKEIDEN TOIMINTOJEN TURVAAMINEN. Väestön elinmahdollisuudet. Yhteiskunnan turvallisuus. Valtion itsenäisyys

RIITTÄÄKÖ LUOTTAMUS HÄIRIÖTILANTEESSA? SOPIMUSPERUSTEINEN VARAUTUMINEN Valmiusasiamies Jaakko Pekki

SOPIVA-hankeryhmä, Kari Wirman

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Tietoturvapolitiikka Porvoon Kaupunki

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

VARAUTUMISSEMINAARI VARAUTUMINEN ALUEHALLINNON UUDISTUKSESSA

1.2 Mahdollista joustava muutos suojaustasolta toiselle tilanteen mukaan myös ylöspäin

Turvallisuus ja varautuminen. Vesa-Pekka Tervo Pelastustoimen kehittämispäällikkö Kanta-Hämeen maakuntatilaisuus Hämeenlinna

Valmiusharjoituksesta hyödyt irti Häme17 - Sysmä. Taneli Rasmus

VISIO YHTEISKUNNAN ELINTÄRKEIDEN TOIMINTOJEN TURVAAMINEN. Väestön elinmahdollisuudet. Yhteiskunnan turvallisuus. Valtion itsenäisyys

Liiketoiminnan ICT-riippuvuus kasvaa hallitaanko riskit?

Tietoturvapolitiikka

Kriisitilanteiden tietoliikenne, informaatioinfrastruktuurin turvaaminen

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

YMPÄRISTÖTERVEYDENHUOLLON VARAUTUMINEN JA VALMIUSSUUNNITTELU

Turun kaupungin tietohallintostrategia Tiivistelmä

SFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen

Kuinka toimin erilaisissa häiriötilanteissa? Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Erja Kinnunen, Verohallinto 2.10.

Tietojärjestelmien varautuminen

Vihdin kunnan tietoturvapolitiikka

Tuloksellisuutta tekemässä Tietopolitiikka, ICT ja TORI

Toiminnan jatkuvuuden hallinta

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

MAAKUNNAN VARAUTUMINEN JA ALUEELLISEN VARAUTUMISEN YHTEENSOVITTAMINEN

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

ELINTARVIKEHUOLTOSEKTORIN POOLIT Valmiuspäällikkö Aili Kähkönen. Elintarvikehuoltosektorin poolit

Julkisen hallinnon tietoliikennepalvelulinjaukset. Yhteenveto. Linjausten tarkoitus ja kohdealue. Mika Koskinen. Lausunto KEHA/2778/2018

Lausunto Linjausten tulisi perustua pilvipalvelujen käyttöön liittyvään yleiseen riskiarvioon

Mitä varautumissuunnitelmilta odotetaan? Tarvo Siukola

ASIANTUNTIJAPALVELUT TARJOUS

Maakuntien asema ja rooli varautumisen toimijoina

Sosiaali- ja terveydenhuollon valmiussuunnitteluohjeistus

Ulkoistaminen ja varautumiseen liittyvät sopimusasiat alihankkijan näkökulmastakulmasta. Pentti Tammelin YIT Teollisuus- ja verkkopalvelut

Pääesikunta, logistiikkaosasto

Varautumis- ja valmiussuunnittelman laadinta Fingridissä Pekka Niemi

Julkisen hallinnon tietoliikennepalvelulinjaukset. Yhteenveto. Linjausten tarkoitus ja kohdealue. Tietoliikennepalvelulinjaukset

Hallituksen selonteko.

Valtorin strategia Töissä valtiolla sujuvasti ja turvatusti

YHTEISKUNNNAN TURVALLISUUSSTRATEGIA 2010

Varautuminen sotelainsäädännössä

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Toiminnan jatkuvuuden hallinta

Valmius ja jatkuvuudenhallinta soterakenteissa Sari Vuorinen. Projektipäällikkö Kuntaliitto

Kaikki VTV:n tarkastukset liittyvät riskienhallintaan ja tukevat hyvää hallintoa

SUUNNITTELE JA JOHDA TURVALLISUUTTA, ENNAKOI RISKIT JA VARMISTA LAATU- JA TURVALLISUUSKULTTUURI

TIETOTURVATASOVAATIMUKSET HANKINNOISSA

TAPAS - puheenvuoro - TAPAS-päätösseminaari Tommi Oikarinen, VM / JulkICT

Miksi varautuminen on tärkeää? Näkökulmia toiminnan jatkuvuuden suunnitteluun

Julkisen hallinnon tietoliikennepalvelulinjaukset. Yhteenveto. Linjausten tarkoitus ja kohdealue. Väestorekisterikeskus. Lausunto

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Turvallisuus- ja valmiussuunnittelu

Maakunnan ympäristöterveydenhuollon järjestäminen ja varautuminen. Teppo Heikkilä

Valtioneuvoston asetus

Valtorin strategia. Hyväksytty Valtorin hallituksen kokouksessa

HUOVI-portaali. Huoltovarmuustoiminnan uusi painopiste: toiminnallinen huoltovarmuus

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

Asiakirjasta omistajuuteen

Riippumattomat arviointilaitokset

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Maakuntauudistuksen esivalmistelu Satakunnassa Ohjausryhmä Satakunnan maakuntauudistus 1

VARAUTUMINEN SOPIMUKSIN KYBERTURVALLISUUSUHKIIN Varautumispäällikkö Erkki Räsänen Huoltovarmuuskeskus, Infrastruktuuriosasto

Jatkuvuuden hallinta. Kiwa Inspecta. ISO Yleistietoa. Jarkko Puistovirta Tuotepäällikkö, Pääarvioija. BECP Certified ISO Lead Implementor

Sosiaali- ja terveydenhuollon valmiussuunnitteluohjeistus

KUJA2: Kuntien ja maakuntien jatkuvuudenhallinta -projekti. Aki Pihlaja Projektipäällikkö

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Gustin: Disaster and Recovery Planning: A Guide for Facility Managers T esitelmä

Varautumisen uudet rakenteet. Vesa-Pekka Tervo pelastustoimen kehittämispäällikkö KUMA 2017, Tietoisku: Varautumisen uudet toimintatavat A 3.

Potilasturvallisuuden johtaminen ja auditointi

Yhteiskunnan turvallisuusstrategian perusteet

Yhteiskunnan turvallisuusstrategia 2017 Hyväksytty valtioneuvoston periaatepäätöksenä

Jatkuvuudenhallinta ja varautuminen kunnassa - yleisiä perusteita ja lähtökohtia -

Sosiaali- ja terveydenhuollon valmiussuunnitteluohjeistus

Tietoturvapalvelut valtionhallinnolle

Transkriptio:

LAUSUNTO Päiväys/Datum/Date 19.1.2012 Dnro/Dnr/Ind.no. Trafi/22300/04.04.05.03/2011 Valtiovarainministeriö Viite/Referens/Ref VM/1814/01.00.01/2011 Mikael Kiviniemi, Aku Hilve Liikenteen turvallisuusviraston lausunto ICT-varautumisen vaatimuksista Valtiovarainministeriön pyynnöstä Liikenteen turvallisuusvirasto (jatkossa Trafi) lausuu asiassa seuraavaa: 1a) Yleistä luonnoksen versiosta 0.9 Dokumentti vaikuttaa kattavalta ja tarjoaa monilta osin käyvän tuen jatkuvuuden hallinnan kehittämiselle. Sisältö vaikuttaa korostavan Trafin jatkuvuuden hallinnan projektin osaltakin huomioitua kokonaisvaltaista katsontakantaa liiketoiminnan jatkuvuuden hallintaan, mukaan lukien sen rajapinnat valmiussuunnitteluun ja poikkeusolosuhteiden edellyttämiin toimenpiteisiin. Luonnokseen sisältyy kuitenkin myös ristiriitaisia elementtejä. Siinä käytetään runsaasti erilaisia ja käytännössä varmasti miltei kaikkia alaan liittyviä - termejä, joiden keskinäisiä suhteita ei määritellä laisinkaan. Esimerkiksi juuri valmiussuunnittelun suhdetta jatkuvuudenhallintaan ei määritellä. Samoin riskienhallinnan ja jatkuvuuden hallinnan rajapinta jää määrittämättä. Koska käsitteet ovat osin samansisältöisiä, saattaa tämä johtaa lukijaa harhaan tai aikaansaada kaksinkertaista työtä organisaatiossa. Tarkastelumme perusteella vaikuttaa epätarkoituksenmukaiselle, että jostakin syystä luonnoksessa ei vaikuteta juurikaan olevan hyödynnetty aiemmissa valtionhallinnon ICT-varautumista tai huoltovarmuuden kautta jatkuvuutta tarkastelevissa dokumenteissa tehtyjä, varsin selkeitä käsitemäärittelyjä. Esimerkkejä tällaisista dokumenteista ovat mm.: Valtionhallinnon ICT-varautuminen Jatkuvuuden hallinta ja tiedon turvaaminen: toteutusvaatimukset (20.9.2009 versio 2.0) Huoltovarmuuskeskuksen tuottamat Huovi-ohjeistukset Huoltovarmuuskeskuksen ohje valmiussuunnitelman laatimisesta (versio 31.8.2009_yleinen) Seuraavassa on katkelma Huoltovarmuuskeskuksen 2009 ohjeesta valmiussuunnitelman laatimisesta. Dokumentti tuo esiin olennaisimpien käsitteiden keskinäiset suhteet havainnollistavalla tavalla. Valmiussuunnittelun avulla pyritään varmistamaan yrityksen toimintakyky normaaliolojen häiriö- ja erityistilanteissa sekä poikkeusoloissa. Valmiussuunnittelu ja jatkuvuussuunnittelu ovat tavoitteistaan johtuen käytännössä sama asia. Valmiussuunnittelu on lainsäädännön ja viranomaisten käyttämä termi hallinnon ja

sen virastojen, liikelaitosten ja yhtiöiden varautumisesta ja jatkuvuussuunnittelu yritysten toimintaa. Valmiussuunnittelu eroaa merkittävimmin jatkuvuussuunnittelusta siinä, että se sisältää varautumisen kaikkein vakavimpiin olosuhteisiin kuten sodanuhka ja sota. Valmiussuunnittelu jatkuu siitä, mihin jatkuvuussuunnittelu päättyy, kohti yhä vaikeampia turvallisuustilanteita. 2/10 Käsitteiden sisällöstä saattaa olla näkemyseroja riippuen organisaatiosta ja taustana olevasta vaatimuksesta/ohjeistuksesta/standardista, mutta tärkeintä on se, että niiden sisältö on vahvistettu ja niiden käyttö konsistenttia. Tämänkaltainen perusteellinen käsitteiden määrittely tukee yhteisen ymmärryksen muodostumista ja ennaltaehkäisee epätarkoituksenmukaista osaoptimointia ja päällekkäistä kehitystyötä. Toisena kriittisenä havaintona on luonnoksen perustuminen jatkuvuuden hallintaa ja tietoturvaa koskevien yleismaailmallisten standardien kuten ISO 27001, ISO 22301, BS25999 sijasta laatujohtamisen malleihin EFQM ja CAF. Esimerkiksi yllä kuvattu valtiohallinnon ICT-varautumisen vaatimukset vuodelta 2009 vaikuttaa nojaavan nimenomaan ISO- ja BS-standardeihin niin käsitemäärittelyn kuin menetelmällisen perustansa puolesta. Tällä tavoin sen osalta on varmistettu yhdenmukaisuus myös kansainvälisten sidosryhmien käyttämiin malleihin ja käsitteisiin.

3/10 1b) Vaatimuskortit Alla on kommentteja koskien yksittäisiä vaatimuskortteja. Osa-alue Määritelmä Kommentit STRATEGINEN OHJAUS 1.1: Organisaatiolla on tiedossa toimintaansa ja palveluihinsa liittyvä ICT-varautumista ohjaava lainsäädäntö ja muut normit ja nämä on huomioitu varautumisen linjauksissa ja toiminnassa. 1.1-2 Organisaatiolla on menettely ICT-varautumisen vaatimusten tunnistamiseksi ja näiden muutosten viemiseksi toiminnan suunnitteluun. Lainsäädäntö ja normit määrittelevät minimitason ICT-varautumisen ja jatkuvuuden hallinnan toteuttamiselle, jonka lisäksi on huomioitava organisaation toiminnan erityispiirteiden asettamat vaatimukset. Varautumiseen liittyvän vaatimuskokonaisuuden (ml. pakottavat ja suosittavat vaatimukset) seuranta ja siinä tapahtuvien muutosten kanavointi tietoturvan ja jatkuvuuden hallintaan on olennaista vastuuttaa tarkoituksenmukaiselle taholle. STRATEGINEN OHJAUS 1.2: ICT-varautumisen linjaukset on määritetty toiminnan asettamien vaatimusten perusteella. Pohjana toiminnan vaikuttavuusanalyysi (Business Impact Analysis) 1.2-3 Linjaukset, tavoitteet ja resurssit ICT-varautumiselle tarkistetaan toiminnan suunnittelun vuosikellon mukaisesti. ORGANISOINTI 1.3: Häiriötilanteiden hallinta on linjattu, organisoitu ja huomioitu ohjausmalleissa. 1.3-2 Organisaation johto varmistaa, että toiminta- ja johtamismallit sekä toipumissuunnitelmat riskiarvioidenperusteella todennäköisimmistä häiriötilanteista palautumiseen on määritetty. 1.3-2: Jatkuvuussuunnitelmassa on esim. tapahtumamallien kautta kuvattuina tarvittavat toipumisjärjestelyt ja niiden johtaminen. Toipuminen sovitaan palvelukohtaisesti järjestelmän käyttöpalveluntoimittajan kanssa. Käytännössä tämän linjauksen ilmaiseminen tapahtuu jatkuvuuden hallinnan politiikassa ja hallintomalliasiakirjassa. 1.3-3 Häiriötilanteiden yhtenäinen

4/10 perusohjeistus on koulutettu ja ulotettu sopimusvelvoittein palveluverkostoon. Jatkuvuussuunnittelu tulee ulottaa myös kolmansien osapuolien ylläpitämiin järjestelmiin. ORGANISOINTI 1.4: ICT-varautuminen on organisoitu ja vastuutettu osaksi normaalia johtamista, toimintaa sekä kumppanuusverkoston hallintaa. 1.4-2 Organisaation johto on määritellyt organisaation tehtävien, palvelujen ja resurssien käytön priorisoinnin häiriötilanteissa. Tapa toteuttaa tämä kuvataan hallintomallissa. Tehtävien, palvelujen ja resurssien käytön priorisoinnin perustuminen realistisiin oletuksiin ei ole mahdollista ilman perusteellista liiketoiminnan vaikuttavuusanalyysia (BIA). ORGANISOINTI 1.5: Varautumiselle ja jatkuvuuden hallinnalle on asetettu tavoitteisiin nähden riittävät resurssit. 1.5-2 ICT-varautumisen resursointi häiriötilanteita ja poikkeusoloja varten on huomioitu viraston budjetissa sekä toiminta- ja taloussuunnittelussa. Muun muassa riittävät henkilöresurssit huomioitava jatkuvuussuunnitelmia laadittaessa. Tarvittavat hankinnat ym. lisäkustannukset huomioitava budjetissa. YHTEISTYÖ, VIESTINTÄ JA RAPORTOINTI 1.6: Varautumisen ja jatkuvuuden hallinnan suunnittelu toteutetaan ydin- ja tukitoimintojen yhteistyönä. 1.6-3 Ydintoimintojen palvelujen hallinta häiriö- ja erityistilanteiden varalta suunnitellaan yhdessä tukitoimintojen, keskeisten sidosryhmien ja palveluntuottajien kanssa. Tässä kohdassa tärkeä huomio: jatkuvuudenhallinta on toteutettava niin, että kaikki tarvittavat ydin- ja tukitoiminnot ovat mukana. Ei riitä, että yksittäisessä ydinpalvelun osassa on varauduttu jatkuvuusuhkiin. Lisäksi ulkopuoliset palveluntuottajat on otettava mukaan varautumiseen. Esimerkkejä vaatimusten soveltamisen tueksi: Keskeisten tukitoimintojen, kuten tietohallinnon, henkilöstöhallinnon ja kiinteistöhuollon edustajat osallistuvat myös organisaation jatkuvuussuunnitteluun. Toimialan henkilöstö osallistuu jatkuvuuden hallinnan käsittelyyn osa-alueensa näkökulmasta. Palveluntuottajien kanssa koordinoidaan vuosittain heidän tilanteensa ja se, miten he

5/10 toteuttavat turvallisuussopimuksen mukaista jatkuvuudenhallintaa. YHTEISTYÖ, VIESTINTÄ JA RAPORTOINTI 1.7: Organisaation johto seuraa varautumisen kehittämistä ja jatkuvuussuunnittelua sekä näihin liittyvien toimenpiteiden vaikutuksia ja kustannuksia. 1.7-2 Organisaation johdolle raportoidaan toimintaympäristön muutosten vaikutuksesta sekä varautumiseen ja häiriötilanteiden hallintaan liittyvistä kehittämistarpeista ja - toimenpiteistä. Huomiona, että jatkuvuuden hallinta kuuluu myös organisaation johdolle niin kuin tässä sanotaan. Jatkuvuuden hallintaa ei voida menestyksellisesti toteuttaa ilman johdon sitoutumista. STRATEGIAT JA SUUNNITTELU: SUUNNITTELU RISKIENHALLINNAN AVULLA 2.1: Organisaation ja toimintaympäristön vuorovaikutus otetaan toiminnassa huomioon. Perustaso 2.1-1 Yhteiskunnan turvallisuusstrategian uhkamallien mukaisten häiriöiden vaikutus tärkeimpiin palveluihin ja tietojen käsittelyyn on tunnistettu ja arvioitu. Turvallisuusstrategian uhkamallit huomioitava projektin aikana (osana riskianalyysin päivitystä ja jatkuvuussuunnitelmien laadintaa). (Tässäkin kohdassa puhutaan palveluista -> palvelunäkökulma otettava huomioon kun määritellään jatkuvuussuunnitelmia) 2.1-2 Organisaation toiminnan kannalta keskeisistä toimintaympäristöistä sekä niihin liittyvistä palveluista, järjestelmistä ja toimijoista on ajantasainen dokumentaatio. 2.1-3 Organisaation johto käsittelee ja arvioi ydintoimintojen ICTriippuvuuksia vähintään kerran vuodessa. STRATEGIAT JA SUUNNITTELU: SUUNNITTELU RISKIENHALLINNAN AVULLA 2.2: Riskienhallinnan tulokset ohjaavat varautumisen kehittämistä. 2.2-2 Riskienhallinnan tulosten ja toimenpiteiden vaikuttavuusarvioinnin tuloksena määritetään ja dokumentoidaan Mitä tarkoittaa riskienhallinnan tulokset? Pitäisikö olla riskianalyysin tulokset? Näin ilmeisesti on ja riskienhallinnalla tarkoitettaneen riskienhallintaprosessin tuloksia. Toimenpiteiden vaikuttavuusarvioinnin käytännön toteutus jää auki.

6/10 ICT-varautumisen, jatkuvuuden hallinnan ja tiedon turvaamisen toteutustavat häiriötilanteiden ja poikkeusolojen varalle. STRATEGIAT JA SUUNNITTELU: SUUNNITTELU RISKIENHALLINNAN AVULLA 2.3: Varautumistoimenpiteet tukevat organisaation ydintoiminnan tavoitteita. Perustaso 2.3-1 Ydintoimintojen ja -prosessien suojattavat palvelut ja järjestelmät on tunnistettu ja sijoitettu perus-, korotetulle tai korkealle tasolle ydintoimintojen tai -prosessien vaatimusten mukaisesti. Hyvä huomio; varautumistoimenpiteet tulee suunnitella ydintoiminnan/ ydinprosessien/ ydinpalveluiden tavoitteiden näkökulmasta, ei yksittäisen tukifunktion/tukipalvelun näkökulmasta. Kriittiset palvelut tulee määritellä projektin aikana. 2.3-2 Organisaatio kykenee priorisoimaan kriittiset palvelut häiriötilanteissa muiden palveluiden edelle. STRATEGIAT JA SUUNNITTELU: SUUNNITTELU RISKIENHALLINNAN AVULLA 2.4: Häiriötilanteiden hallinnan ja poikkeusolojen menettelyt on dokumentoitu, koulutettu ja harjoiteltu. 2.4-3 Kriittisimmille palveluille on laadittu järjestelmäkohtaiset ohjeet ja avainhenkilöille on koulutettu toiminta keskeisimmissä häiriötilanteissa. Eteneminen kriittisiksi arvioiduista palveluista prosessien kautta tietopääomaan ja järjestelmiin. Palvelu-fokus tulee huomioida jatkuvuussuunnittelussa myös käsitteenä. Korotetulla tasolla kriittisten palveluiden joukko on supistettu kriittisimpien palveluiden osajoukoksi. Osajoukko varmasti edellyttää määrittelemistä, ellei sen käytöstä luovuta. HENKILÖSTÖ: OSAAMISEN JA TIETOISUUDEN KEHITTÄMINEN 3.2: Organisaatio kannustaa henkilöstöä noudattamaan ja kehittämään hyvää jatkuvuuden hallinnan ja tiedon turvaamisen toimintamallia. 3.2-2 Henkilöstö osallistuu häiriö- ja erityistilanteiden vaikutuksien arviointiin ja hallintakeinojen kehittämiseen. Kannustaminen lähtee ylimmästä johdosta -> politiikka ja viestintä. Huomioitavaa: Keskeisimmät henkilöt ydinpalveluista otettava mukaan suunnitteluun, ei ainoastaan tukitoimintojen henkilöstöä. Kokonaiskuvan varmistamiseksi tulee varmistaa harjoituksen heterogeeninen kokoonpano. HENKILÖSTÖ: OSAAMISEN JA TIETOISUUDEN 3.4: Avainroolit ja -henkilöt on tunnistettu ja varajärjestelyt on suunniteltu. Ydinpalveluiden avainhenkilöt on jatkuvuuden näkökulmasta määritettävä (sikäli kuin se on kevään aikana mahdollista - ei

7/10 KEHITTÄMINEN Perustaso 3.4-1 Avaintehtävät on tunnistettu ja niihin on nimetty varahenkilö tai henkilöt. 3.4-2 Kriittisistä tehtävistä vastuulliset avainhenkilöt on koulutettu toimimaan häiriötilanteissa. välttämättä kokonaisuudessaan tämän projektin osana, koska pääpaino tulee olemaan tietohallinnolla/-järjestelmillä, mutta lopullisessajatkuvuussuunnitelmassa se on välttämätöntä). 3.4-3 Kriittisten tehtävien suorittamiseksi on suunniteltu ja valmisteltu erityistilanteiden vaihtoehtoiset toimintatavat ja henkilöstön varajärjestelyt. 3.4-4 Avainhenkilöstö harjoittelee säännöllisesti ylläpitämään kriittisiä toimintoja erityistilanteissa. KUMPPANUUDET JA RESURSSIT: SOPIMUSTEN HALLINTA 4.1: Organisaation toiminnalle välttämättömät kumppanit, alihankkijat ja resurssit on tunnistettu. 4.1-2 Palveluverkosto on tärkeimmiltä osiltaan kuvattu ja jatkuvuudenhallinnan toimintaperiaatteet on sovittu ja koulutettu. Huomioitavaa: riippuvuus ulkopuolisista toimijoista on selvitettävä kunkin ydinpalvelun osalta ja määriteltävä tarvittavat toimenpiteet. 4.1-3 Ydintoiminnan ja sen jatkuvuuden edellyttämien verkoston palvelujen ja muiden resurssien saatavuus häiriötilanteissa ja poikkeusoloissa on selvitetty. KUMPPANUUDET JA RESURSSIT: SOPIMUSTEN HALLINTA 4.2: Sopimuksissa on vaatimukset toiminnan varautumiselle, jatkuvuuden hallinnalle ja tiedon turvaamiselle sekä niiden toteuttamiselle. 4.2-2 Sopimusosapuolten kanssa tarkastellaan sopimuksen toteutumista ja jatkuvuudenhallinnan tarpeita vuosittain. Huomioitavaa, että voimassa olevat sopimukset on hyvä käydä läpi ja pyrkiä tekemään tarvittavat lisäykset/muutokset niihin. Uusissa sopimuksissa pakottavasti huomioitava jatkuvuuden hallinta. Jatkuvuuden hallinta on aiheellista ottaa sopimusryhmän agendalle vähintään kerran vuodessa.

8/10 KUMPPANUUDET JA RESURSSIT: VARMISTAMINEN ERITYISTILANTEISSA 4.3: Kriittisen toiminnan jatkuvuuden ja tiedon turvaamisen hallintavelvoite on ulotettu keskeiseen toimittajaverkostoon. 4.3-3 Tärkeimpien palvelujen tuotanto ja ylläpito kyetään priorisoimaan palveluverkostossa. 4.3-4 ICT-järjestelmien valvonnan, hallinnan ja ylläpitämisen yhteistoimintamallit keskeisessä toimittajaverkostossa on organisoitu ja sovittu. Tärkeää asiaa. Olisiko hyvä jossain määritellä mitä on kriittinen toiminta, ydintoiminnot, tärkeimmät palvelut ym.? Nyt näitä kaikkia käytetään ehkä hieman sekaisin. Mitä pikemmin käsitemäärittely tehdään, sitä helpompaa jatkuvuuden hallinnasta on organisaatioon viestiä. Ulkoistettujen palveluiden kohdalla priorisointi saattaa edellyttää sopimusmuutoksia. ICT-JATKUVUUDEN HALLINTA: ICT- PALVELUJEN TURVAAMINEN 5.2: Ydintoimintojen palvelutuotanto on varmistettu ja ydintoiminnoilla on varamenettelyt. 5.2-2 Ydintoimintojen palvelutuotannon ja hallinnan prosesseissa on sovittu, ohjeistettu ja koulutettu häiriötilanteiden hallinta sekä varamenettelyt. 5.2-3 Keskeisten palvelujen varavoimansaanti häiriötilanteissa on toteutettu. ks. edellinen kohta Varautumisen käytännön taso määritetään vaikuttavuusanalyysin avulla määritettyjen ja johdon vahvistamien RTO (Recovery Time Objective) ja RPO (Recovery Point Objective) -parametrien perusteella. Koulutustarve edellyttää Trafin henkilöiden ohella toimittajien asiantuntijoiden kouluttamista. Tämä pitää ottaa huomioon sopimuksissa. ICT-JATKUVUUDEN HALLINTA: ICT- PALVELUJEN TURVAAMINEN 5.3: Kriittisten toimintojen tarvitsemat tiedot on turvattu häiriötilanteissa. 5.3-2 Tietoaineistojen käyttö häiriötilanteissa on suunniteltu, dokumentoitu, toteutettu ja testattu. 5.3-3 Organisaatiossa otetaan kriittisistä järjestelmistä varmistusten lisäksi suojakopioita, joita säilytetään toisessa rakennuksessa eri palotilassa kun varsinaisia tietoja. Kriittisten järjestelmien/tietojen suojakopiot huomioitava suunnitelmia tehdessä. Asettaa velvoitteen erityisten suojakopioiden tekemiseen varmistusten rinnalle. Säilytyspaikan suhteen on asetettu vaatimus suojakopioiden säilyttämisestä toisessa rakennuksessa eri palotilassa,kun yleensä vaatimus on muotoa eri palotilassa. Tämä korostaa myös kuljetusjärjestelyjen turvatasovaatimusta. Nämä kaikki tulee ottaa huomioon uusissa/uusittavissa sopimuksissa. ICT-JATKUVUUDEN HALLINTA: TIEDON TURVAAMINEN 5.4: Uhkien realisoituminen estetään käyttämällä fyysisen turvallisuuden menetelmiä ICT- Tietohallinnon palvelujen hoitaminen muista tiloista käsin huomioitava suunnitelmissa.

9/10 ympäristön suojaamiseen. 5.4-3 Organisaatiolla on testattu suunnitelma ICT-palvelujen tuotannon siirtämisestä toisiin tiloihin mikäli nykyiset tilat muuttuvat käyttökelvottomiksi. Vasta testattuun suunnitelmaan voidaan luottaa jatkuvuuden hallintakeinona. Käytännössä ICT-palveluja koskeva varatilavaatimus koskee paitsi Trafia myös sen toimittajia. Tämä pitää ottaa huomioon sopimuksissa, jolloin pitää määritellä myös varatiloihin liittyvät vaatimukset. Periaatteessa varatilat voivat olla toimittajakohtaisia tai Trafi-tasoisia. ICT-JATKUVUUDEN HALLINTA: HÄIRIÖTILANTEIDEN HALLINTA 5.5: Tiedonsiirron toimivuudesta huolehditaan palvelujen kriittisyysluokittelun edellyttämällä tavalla. 5.5-2 Tietoliikennelaitteiden, - yhteyksien ja kytkentäpisteiden sijainti on otettu huomioon suojausluokittelussa. 5.5-3 Valtionhallinnon keskeisimmät palvelut tukeutuvat VY-verkon ratkaisuihin. 5.5-4 Organisaatio on yhdessä palveluntoimittajan kanssa analysoinut, suunnitellut ja sopinut tietoliikennepalvelujen priorisoinnin ja muutokset häiriötilanteissa. Tässäkin huomioitava, että puhutaan palveluiden kriittisyysluokittelusta. Jatkuvuuden hallinnan kannalta tärkeää muistaa palveluiden aikakriittisyys ts. kaikki mikä on tärkeää, ei välttämättä ole automaattisesti kriittistä. Kriittisimpiä palveluntoimittajia tulisi osallistaa jatkuvuussuunnitelmien laadintaan ja testaukseen. Tässä korostetaan yhdessä tekemistä mikä on positiivinen ja käytännönläheinen poikkeama VIP:n Excelin vaatimuksiin; molempia sopijapuolia tarvitaan! ICT-JATKUVUUDEN HALLINTA: HÄIRIÖTILANTEIDEN HALLINTA 5.6: Tietojärjestelmien häiriöihin on varauduttu nopean palautumisen varmistamiseksi. 5.6-3 Organisaatiolla on tärkeimmistä järjestelmistä kirjalliset toipumissuunnitelmat. 5.6-4 Kriittisten palvelujen verkko-, palvelin- ja laiteympäristöt varmennetaan esimerkiksi kahdentamalla. ks. edellinen kohta Ilman kirjallista toipumissuunnitelmaa ja sitä tukevaa yksityiskohtaista järjestelmädokumentaatiota järjestelmien palauttaminen on joko mahdotonta tai jää parhaimmillaankin yhden tai kahden henkilöresurssin ja näiden hiljaisen tiedon varaan. Kriittisten palveluiden ryhmän mahdollisissa muutostilanteissa tulee huomioida kahdennusvaatimus.

10/10 Risto Knuuti Johtava asiantuntia, riskienhallinta Tietohallinto

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute