ICT-VARAUTUMINEN VALTIT-INFO 27.11.2008
VARAUTUMINEN Jatkuvuuden hallinta ICT-VARAUTUMINEN Jatkuvuuden hallinta Riskienhallinta Riskienhallinta Valmius Johtaminen Tilannetietoisuus Tiedon turvaaminen Häiriö- ja erityistilanteiden hallinta Erityistilanteiden hallinta
TARKASTELUALUE Varautumisen yleisohjaus,vnos, YETTS Kansainvälinen ympäristö (EU, NATO, OECD yms) Valtion IT Palvelun tuottajat, talouselämä Alue- ja paikallishallinto Muu julkishallinto/ yhteisöt Kansalaispalvelut
Johdon yhteenveto Esitutkimusraportti ESITUTKIMUSRAPORTTI Liitteet 1. ICT-varautumisen käsitteet ja lyhenteet 2. Esimerkkejä erityistilanteiden vaikutuksesta ICT-toimintaan 3. Luonnos ICT-varautumisen perustason vaatimuksista 4. Esimerkki ICT-varautumisen edellyttämistä osaamisvaatimuksista 5. Hankekartta ja resurssitarpeet 6. Keskeisimmät ICT-varautumista ohjaavat säädökset ja normit Joulukuu 2008 lausunnoille: -VAHTI-ohje Valtionhallinnon ICT-varautumisesta (luonnos) -Toiminnan ja palvelujen jatkuvuuden, tiedon turvaamisen ja varautumisen perusvaatimukset (luonnos)
ICT-VARAUTUMISEN MÄÄRITTELY JA TOTEUTUS 2009-2016 Kehittämisalueet Vaatimustasot Ohjaus ja todentaminen Palveluverkon hallinta ja hyödyntäminen ICT-tilannetietoisuus Uhka- ja riskianalyysi Osaamisen varmistaminen ja harjoitustoiminta ValtIT kärkihankkeet Hallinnonalojen kehitystyö ICT-varautumisen kehitystyö ICT -toiminnan jatkuvuus ja tietoturva Kansalaiset Julkishallinto Yhteiskunta Globaali erityistilanteet Kehityslinjaukset YETT-Strategia Valtion IT-strategia Huoltovarmuuspäätös
Palvelujen tuottajat Sidosryhmät? Äkillisyys Ennakoimattomuus Eskaloituminen Tietovaranto JärjestelmäA JärjestelmäB Perusrekisteri Palvelujen käyttäjät Ministeriö x Normaaliolojen häiriöt Virastoy paikallinen alueellinen valtakunnallinen -- globaali sekunteja minuutteja tunteja vuorokausia -- viikkoja Kunnat xyz YETTS - erityistilanne
Riippuvuuksien tunnistaminen Ministeriö Tehtävä Palvelukeskukset ja yritykset ICT-palvelut Järjestelmät, tietovarannot Virasto Kunta Yhteisö Yritys Kansalaiset Vastuut ja kompetenssi käyttäjä ostaja omistaja myyjä valmistaja ylläpitäjä
PALVELUN JATKUVUUDEN HALLINTA Toiminnan edellyttämä palvelutaso Normaali Minimi Toipumisen nopeuttaminen Vaikutuksen pienentäminen aika Riskienhallinta Jatkuvuussuunnittelu Päätöksen teko Tapahtuman hallinta Toipuminen Uudelleen aloittaminen Jatkuvuussuunnitelman keinojen käyttö Kriisin hallinta
Vaatimusten hallinta Onko palvelut ja järjestelmät toteutettu toiminnan tarpeita vastaavasti? Onko ylläpitoon liittyvät käyttö- ja tukipalvelut sekä tarvittavat resurssit käytettävissä myös erityistilanteissa ja poikkeusoloissa? Käyttäjä Hankkija Myyjä Integraattori Toteutus ja ylläpito Tarpeiden välittyminen?? Yritys A Yritys B Yritys C Rajoitteiden/riskien välittyminen?? Yritys D Yritys E Yritys F
JATKUVUUDEN HALLINNAN, TIEDON TURVAAMISEN JA ICT VARAUTUMISEN OHJAUS Valtioneuvoston ohjaus, YETT strategia Hallinnonalan tehtävä YETT Uhka Toiminnan tarpeet ICT:lle ICT varautumisen vaatimukset Keskeinen toiminto/prosessi Tärkeät sidosryhmät Välttämätön palvelu ja tieto Kriittinen ICT Ohjaus Suunnittelu Toteuttaminen Palvelujen käyttö Ylläpito Osaaminen Tilannetietoisuus Häiriötilanteiden hallinta Palautuminen Strategiset tehtävät Johtaminen ja yhteistoiminta toiminta - tietohallinto - tietotekniikka Sähköiset palvelut, Tietovarannot ja rekisterit -sisäiset- yhteiset- ulkoiset- Tietotekniset peruspalvelut Tietotekninen infrastruktuuri Tukevat rakenteet Jatkuvuuden hallinta YETTS:n erityistilanteet
ICT-varautumisen kehittämisen tavoite Palvelujen jatkuvuus ja tiedon turvaaminen virastoissa ja hallinnonaloilla on kyettävä takaamaan toiminnan vaatimusten mukaisesti häiriötilanteissa, YETTSerityistilanteissa ja poikkeusoloissa. Valtionhallinnolla on yhteiset perusvaatimukset, keinot ja menetelmät, joilla ICT-varautuminen saadaan kustannustehokkaaksi ja koordinoiduksi osaksi kunkin hallinnonalan jokapäiväistä toimintaa. ICT-varautuminen ei ole erillinen toiminto, vaan osa tietohallinnon ja yleisen varautumisen kokonaisuutta. Vuoden 2010 loppuun mennessä ICT-varautumisen ohjaus on osana hallinnonalojen ja virastojen yleisiä ohjausmenetelmiä. Virastot ovat määrittäneet palveluilleen ja järjestelmilleen, mille vaatimustasolle ne sijoittuvat. Hallinnonalat ja virastot ovat suunnitelleet ja käynnistäneet ICT-varautumisen toteuttamisen. Vuoden 2012 loppuun mennessä ministeriöissä ja virastoissa on saavutettu kriittisissä toiminnoissa ICT-varautumisen perustaso. Kumppanusverkoston vaatimusten hallinta ja sopimusmenettelyt on yhtenäistetty. Vuoden 2016 loppuun mennessä valtionhallinto, hallinnonalat ja virastot ovat kokonaisuudessaan saavuttaneet ja todentaneet ICT-varautumisen perustason sekä erikseen määritellyiltä osiltaan korotetun tai korkean tason.
Vaatimustasot -Sisältö + mittarit ICT VARAUTUMISEN KEHITTÄMISEN AIKATAULU Ohjaus -Ohjausmallien kehitys -Auditointi ja tarkastus Osaamisen varmistaminen -Osaamistarpeet -Koulutus ja harjoitukset Palveluverkon hallinta ja hyödyntäminen -Palvelusopimukset -Tuotantoketjut Uhka- ja riskianalyysi -Prosessit -Työkalut ICT-tilannetiedot -Tietosisällöt -Käsittely/analyysiympäristöt 2008 2009 2010 2011 2012 2013-2016 Vaihe I: Ohjausrakenteet Määrittely Määrittely Testaus Testaus Määrittely Määrittely Määrittely Vaihe II: Tukirakenteet Testaus Määrittely Käyttöönotto Testaus Testaus Käyttöönotto Käyttöönotto Käyttöönotto Testaus Käyttöönotto Vaihe III: Vakiinnuttaminen Käyttöönotto
Osa-hanke ICT-varautumisen vaatimukset ICT-varautumisen ohjaus ICT-varautumisen tilannetiedot Uhka- ja riskianalyysi Osaamisen varmistaminen Palveluverkoston hallinta ja hyödyntäminen Pääsisältö valtionhallinnon ICT-varautumiselle Tuotetaan yhteiset vaatimukset, ohjeet ja mittarit ICT-varautumisen toteuttamiselle sekä määritetään toteutuksen seuranta osana toiminnan raportointia ja seurantaa Sisällytetään ICT-varautuminen osaksi tulosohjausta, resurssisuunnittelua, työjärjestyksiä, tehtäväkuvauksia ja muita ohjausasiakirjoja sekä tarkistetaan säädännön kehittämistarpeet Määritetään kehittämisen ja erityistilanteiden hoitamisen tarpeet ja vastuut tietojen keräämiselle, analysoinnille, esittämiselle ja jakamiselle. Hyödynnetään olemassa olevia mekanismeja ja järjestelmiä. Määritetään valtionhallintoon yhtenäiset menetelmät, mallit ja työvälineet ICT-varautumisen toteuttamista tukevaan uhka- ja riskianalyysiin. Määritetään ICT-varautumisen osaamistarpeet johdolle ja asiantuntijoille. Määritetään keinot kriittisen osaamisen varmistamiseksi. Otetaan huomioon sisäiset ja ulkoiset toimijat. Luodaan yhtenäiset menettelyt ICT-varautumisen huomioimiseksi palveluverkoston kaikissa sopimuksissa ja palvelutason todentamisessa. Todennetaan palvelunlaatu myös alihankintaketjussa.
Toimintojen ja palvelujen jatkuvuuden hallinta, tiedon turvaaminen ja varautuminen Tavoite ICT-varautumisen vaatimusten kehittämisessä: ICT-varautumisen vaatimukset vastaavat normaaliolojen häiriötilanteiden, erityistilanteiden ja poikkeusolojen tarpeisiin. Hallinnonalan tunnistavat osana omia prosessejaan palvelujensa kriittisyyden ja määrittävät niiden sijoittumisen eri vaatimustasoille. Valtionhallinnon palvelut on toteutettu vaatimustasojen mukaisesti. Vaatimukset, vaatimustasot ja niiden noudattaminen tarkastetaan YETTS:n tarkastamiseen liittyen säännöllisesti. Vuoden 2010 loppuun mennessä tarkka perustason vaatimusmäärittely, kuvaukset ja mittaaminen on määritelty ja testattu. Runkovaatimukset korotetulle ja korkealle tasolle on asetettu. Kukin hallinnonala on määrittänyt aikataulun, jonka kuluessa palvelut toteutetaan ICT-varautumisen vaatimustasojen mukaisesti. Vuoden 2012 loppuun mennessä hallinnonaloilla ja virastoissa saavutetaan kriittisissä toiminnoissa ICT-varautumisen perustaso. Korotetun ja korkean tason vaatimukset, kuvaukset ja mittaaminen on määritelty ja testattu. Vuoden 2016 loppuun mennessä valtionhallinto on kokonaisuudessaan saavuttanut ja todentanut ICT-varautumisen perustason sekä erikseen määritellyiltä osiltaan korotetun tai korkean tason.
Toimintojen ja palvelujen jatkuvuuden hallinnan, tiedon turvaamisen ja varautumisen vaatimustasot Vaatimustasot KORKEA TASO toiminta poikkeusoloissa erityisvaatimuksia omalle osaamiselle KOROTETTU TASO kriittisten toimintojen minimitaso nopea palautuminen erityistilanteissa PERUSTASO verkostoitunut sähköinen asiointi palautuminen häiriötilanteissa toteutettavissa normaaleilla kaupallisilla palveluilla ja sopimuksilla SIIRTYMÄTASO välivaiheen tilanne organisaatioiden, palvelujen ja järjestelmien siirtyessä perustasolle Palvelut Tietoliikenneratkaisu Turvallisuusviranomaisten op.järjestelmät Perusrekisterit potilastietojärjestelmät Hallintopalvelut Valtion turvallinen tietoliikenneratkaisu TUVE Julkinen tietoliikenne Hallinnon palveluyksiköt Tukiorganisaatio PVJJK HALTIK VIP T O I M I T T A J A T
Yhteiset vaatimukset: talouselämä- julkishallinto 1. Johtaminen 1.1 Strateginen ohjaus 1.2 Resursointi ja organisointi 1.3 Yhteistyön koordinointi 1.4 Raportointi ja viestintä sidosryhmille 1.5 Johtaminen erityistilanteissa 2. Henkilöstöresurssien hallinta 2.1 Osaamisen ja tietoisuuden kehittäminen 2.2 Henkilöresurssien ja tehtävien hallinta 2.3 Erityistilanteissa toimiminen 3. Toimintaperiaatteet ja strategiat 3.1 Toimintaympäristön vaikutus 3.2 Toiminnan kehittäminen riskienarvioinnin avulla 3.3 Tavoitteiden määrittely 3.4 Toimintaverkoston hallinta 3.5 Erityistilanteiden hallinta 3.6 Raportointi johdolle 4. Kumppanuudet ja resurssit 4.1 Sopimusten hallinta 4.2 Toiminnan varmentaminen erityistilanteissa 5. Prosessit 5.1 Jatkuvuuden ja varautumisenhallinta 5.2 Tietoturvallisuuden hallinta 5.3 Huoltovarmuus 6. Mittaaminen ja todentaminen 6.1 Toiminnan arviointi ja todentaminen
Valtionhallinto Ylin johto Yleisjohto IT-johto Valmiusjohto Palveluyksikkö Palvelutoimittaja Konsultointi Toiminto Yleinen /prosessi varautuminen Osaamistarpeet ICT varautuminen Tietohallinnon johtaminen IT-ja tietoturva erityiskysymykset Tietotekniikan johtaminen Järjestelmätuotanto käyttöpalvelu Turvallisuus ja tietoturva Syvä asiantuntemus Hyvä tietämys Yleistietous Ei oleellinen
Q4/2008 Perusvaatimukset ja mittarit Kustannusmalli VAR e KEHITTÄMINEN 2009 Q1/2009 Hallinnonalojen valmistelut: Arvio tilanteesta perustasoon nähden Kustannusvaikutukset Toteutusaikataulut Ohjauksen kehittäminen - TTS,työjärjestykset, - osaamisprofiilit, tehtäväkuvaukset, -palveluverkon/kriittisen ICT:n kuvausmalli Kuntaesitutkimus VARe määrittely/ toteutussuunnitelman tarkennus Viestintäsuunnitelma Luonnos Q2/2009 Q3-4/2009 Kartoitukset: - palveluverkko - kriittinen ICT - kriitt. osaaminen - avainhenkilöstö Kuvausväline Riskienhallinta/Kaikuluotain? Yhteistyöhankkeet: Huovi, Sopiva, TTT, TUVE/Turvallinen tietoliikenneratkaisu, Yhteiskunnan kriittisen ICT:n käytettävyys(lvm), 24/7 toiminta, Valtion tietoturvallisuuden kehitysohjelma
ICT-varautuminen on jatkuvaa yhteistoimintaa Uhkien tunnistaminen ja seuranta, riskien hallinta YETTS - erityistilanteet Tilannetietoisuus, Tilannekuva ICT -palvelujen jatkuvuus ja tietoturva Kansalaiset Julkishallinto Yhteiskunta Globaali Ennaltaehkäisy Vastatoimet Palvelun tuottajat Talouselämä Viranomaiset Julkishallinto