KUNTALIITTO 11.6.2013 HUOVI-PORTAALI: TYÖKALUJA JATKUVUUDENHALLINNAN PARANTAMISEKSI Johtaja Tuija KyröläTuija Kyrölä, KTL 1
HVO Mikä on HUOVI-portaali? Esimerkkejä kypsyysanalyysin kysymyksistä Miten eteenpäin? 2
HUOLTOVARMUUSORGANISAATIO: JULKISEN JA YKSITYISEN SEKTORIN YHTEISTOIMINTA- JA ASIANTUNTIJAVERKOSTO (N. 1 100 OSALLISTUJAA) Huoltovarmuuskeskus Hallitus Huoltovarmuusneuvosto Elintarvikehuoltosektori Energiahuoltosektori Logistiikkasektori Terveydenhuoltosektori Tietoyhteiskuntasektori Finanssialan sektori Teollisuussektori Alkutuotantopooli Elintarviketeollisuuspooli Kauppa- ja jakelupooli - KOVA-toimikunta Voimatalouspooli - aluetoimikunnat - kaukolämpöjaosto - kotimaisten poltto aineiden jaosto Öljypooli - maakaasujaosto Ilmakuljetuspooli Maakuljetuspooli Vesikuljetuspooli Terveydenhuoltopooli Vesihuoltopooli Tekstiili- ja jalkinepooli Graafinen pooli Joukkoviestintäpooli ICT-pooli Aluepooli - TIVA-toimikunnat Rahoitushuoltopooli Vakuutusalan pooli MIL pooli Kemian pooli Teknologiapooli Elektroniikkapooli Metsäpooli Muovi- ja kumipooli Rakennuspooli - aluetoimikunnat 3 Huoltovarmuuskriittiset yritykset (n. 1 900)
YHTEISKUNNAN TOIMINTAEDELLYTYSTEN TURVAAMINEN HÄIRIÖ- JA POIKKEUSTILANTEISSA Laki huoltovarmuuden turvaamisesta 1390/1992, Vnp huoltovarmuuden tavoitteista 2008 Materiaalinen varautuminen Varmuusvarastot Resurssivaraukset Tuotantovaraukset Valmiusinvestoinnit Tekniset varajärjestelmät Jatkuvuudenhallinta Yritysten ja niiden toimintaverkostojen häiriönsietokyky Yhteistoiminta elinkeinoelämän ja viranomaisten välillä Yhteistoiminta järjestöjen kanssa HUOVI-portaali ja sen työkalut 4
YHTEISTOIMINTA YHTEISKUNNAN TOIMINTAKYVYN TURVAAMISEKSI Viranomainen vastaa yhteiskunnan varautumisesta (häiriötilanteet, poikkeusolot) Toiminta normaalioloissa - Toimintatapa ja -strategiat - Yhteistoiminta ja tilannekuva - Varautumisen suunnitelmat ja sopimukset - Resurssivaraukset (henkilöstö, kalusto) - Valmiusharjoitukset ja - tarkastukset Häiriötilanteen aikainen toiminta - Toimintaedellytysten varmistaminen - Viranomaistuki toiminnan varmistamiseksi - Tilanteen mukainen toiminta - Poikkeusolojentoimintojen varmistaminen Huoltovarmuuskriittinen yritys: Liiketoiminnan ja verkoston jatkuvuudenhallinta (häiriönhallinta) (vastuu sopimuksien mukaisen toiminnan toteuttamisesta) Ennakoiva toiminta - Riskienhallinta - Jatkuvuussuunnittelu, -suunnitelmat /strategia - Toimintatapa, yhteistoiminta, tilannekuva - Sopimuksissa häiriönhallintamenettelyt - Jatkuvuusharjoitukset, -tarkastukset, -auditoinnit Häiriötilanteen aikainen toiminta - Toiminnan jatkuvuuden varmistaminen - Tilanteen mukainen toiminta / yhteistoiminta - Vaihtoehtoiset sopimuskumppanit
JATKUVUUDENHALLINNAN POSITIO YRITYSJOHDOSSA LIIKETOIMINNALLE TÄRKEÄ Tärkeä mutta vieras aihe Liiketoiminnan ytimessä PASSIIVINEN AIKOVAT YRITYKSET AKTIIVISET YRITYKSET AKTIIVINEN Ei tietoa aiheesta Johto on tutkinut asiaa, ei aiheuta toimenpiteitä LIIKETOIMINNALLE VÄHEMMÄN TÄRKEÄ
TYÖKALUJA JATKUVUUDENHALLINTAAN 1. 2. Yrityksen toiminnan jatkuvuuden varmistaminen Kumppanien toiminnan jatkuvuuden hallinnan arviointi 3. Poolin tuki
HUOVIN KÄYTTÖ NUMEROIDEN VALOSSA Yritysten lukumäärä 1561 (yr) 891 (tp) / 3.6.2013 1546 kpl / 15.1.2013 1503 kpl / 6.6.2012 1324 kpl / 7.12.2011 Käyttäjien lukumäärä 2223 kpl / 3.6.2013 2044 kpl / 15.1.2013 1825 kpl / 6.6.2012 1526 kpl / 7.12.2011 Yritysten kypsyysanalyysit 166 kpl / 2012; 142 kpl/ 2011 Poolien (24) tilannekuvat 19 kpl/2012; 13 kpl/ 2011 Poolien analyysit? Kpl/ 2013; 5 kpl / 3.5.2012
MITÄ ON MUUTTUNUT YRITYKSISSÄ SYKSYSTÄ 2010 Toiminnan painopiste Vastuuhenkilö Tietoisuus riskeistä Ohje/ suunnitelma Yhteistoiminta 9 Nykyinen: Tämän päivän häiriöt Strategista suunnittelua ja toimintaa (vuosikello) Yrityksen liiketoimintojen jatkuvuuden varmistaminen: tuotanto ja sidosryhmät Johtoryhmät (laajennettu) Toimitusjohtaja, tehtaanjohtaja, riskienhallinta, tietotekniikka, laatu Riskiexceleista jatkuvuussuunnitteluun Laaja joukko henkilöitä Laajasti hyödynnettävät häiriötilanteiden toimintakortit Jatkuvuussuunnitelmat HallintoHUOVI, KuntaHUOVI SUPO yhteistyö Viranomaisten tilannekuvahanke Helsinki HUOVI Aiemmin: Poikkeusolot Yhteiskunnan poikkeusoloihin varautuminen: Varastointi, tuotantotaso, VAP Perinteinen valmiusturvallisuuspäällikkö Muutamalla henkilöllä Salainen valmiussuunnitelma
VIISI JATKUVUUDENHALLINNAN KEHITTÄMISEN PORRASTA 3. TASO ON HYVÄ Arvioi oma tasosi kypsyysanalyysilla II Dokumentoitu ja sovittu I riskienhallintamenettely Ajatuksia, aikomisia ja puheita Jatkuvuudenhallinnan kehittämishankkeet Kriittisten kumppanien III sopimuksissa häiriöiden hallintamenettelyt Koordinoitu Jatkuvuusharjoitukset Vastuuhenkilö Jatkuvuudenhallinnan nyky- ja tavoitetilan tunnistaminen (kypsyysarviointi) IV V Kriittisten kumppanien toimintakyvyn varmistaminen Jatkuvuudenhallinnan menettelyjen auditointi Liiketoiminnan toimintavarmuuden kehittämistä
MIKÄ ON HUOVI-PORTAALI - JÄRJESTELMÄALUSTA - KÄYTTÖLIITTYMÄ - SOVELLUKSIA (MM. KYPSYYSANALYYSI) - HANKEALUEET - KÄYTTÄJÄHALLINTA - OHJEITA YMS Alatunnisteteksti 20.11.2012
Työkalu: - Jatkuvuussuunnitteluun - Häiriöiden hallinnan kehittämiseen Uutiset Metsäliiton kriisin johtamisja kriisiviestintäharjoitus Automaation tietoturvaa Dokumentit Jatkuvuudenhallinnan käsitteet Riskianalyysiohje Kypsyysanalyysiohje Sopiva-lausekkeet Sähköiset työalueet: - Poolit - Hankkeet Käyttöoikeuksien hallinta Turvallisuus Sovellukset Organisaatiot Kypsyysanalyysi Kalenteri Hvk:n tapahtumat Poolin tapahtumat Työkalu: - Viestintään - Yhteistoimintaan Jatkuvuusharjoitus sovellus: CRISIM Meltwater News
HUOVI-portaali TYÖKALU HÄIRIÖIDEN HALLINAN TOIMEN- PITEIDEN ARVIOINTIIN Ohjeita riskien arvioimiseksi ja jatkuvuudenhallinnan kehittämiseksi Kypsyysanalyysi -sovellus SOPIVA suositukset: Tarjouspyynnöissä ja sopimuksissa sovellettavaksi HANKEALUE: Luottamuksellisen tiedon käsittelyyn ja vaihtoon Alatunnisteteksti 20.11.2012 Auditoitu ja luotettava portaali (suojaustaso III, luottamuksellinen)
Vahva tunnistautuminen > Kypsyysanalyysi Alatunnisteteksti 20.11.2012
Alatunnisteteksti 20.11.2012
JATKUVUUDENHALLINTA-OHJEET MIHIN VARAUTUA 16 26.9.2013 HVK Powe rpoint templ
RISKIANALYYSIN OHJEISTUS Uhkan todennäköisyyden, vaikutuksen ja merkittävyyden määrittely Kunkin uhkan riskiluku saadaan riskitasomatriisista uhkan todennäköisyyden ja vaikutuksen kohdalta tai kertomalla uhkan todennäköisyys ja vaikutus keskenään Riskitaso Vaikutus Todennäköisyys Matala Keskisuuri Korkea 1 2 3 4 5 6 Matala 1 1 2 3 4 5 6 2 2 4 6 8 10 12 Keskisuuri 3 3 6 9 12 15 18 4 4 8 12 16 20 24 Korkea 5 5 10 15 20 25 30 6 6 12 18 24 30 36 Todennäköisyys Todennäköisyyden määrittely 1 äärimmäisen harvinainen riski (ei 5 vuodessa) 2 harvinainen (4v -5 v) 3 melko harvinainen (2 v - 4 v) 4 melko todennäköinen (6 kk -2 v) 5 erittäin todennäköinen riski (6 kk) 6 varma (1 kk) Vaikutus Vaikutuksen määrittely 1 mitätön vaikutus 2 lievä 3 haitallinen 4 merkittävä / tuntuva vaikutus 5 suuri / vakava vaikutus 6 tuhoisa vaikutus, katastrofi Lähde: Huoltovarmuuskeskus
Maksuliikenne- häiriö Osaamis- vaje LVI- saantihäiriö Käyttöpalvelu- häiriö Tietoliikenne- häiriö Kuljetus- häiriö Raaka- aineiden saanti- häiriö Teknologian toimitushäiriö Käyttäjätuki- palveluhäiriö Hyödyketoimittajat Omistusrakenne Energia Tuotanto- teknologia Henkilöstö Kiinteistöt Materiaalit Hankinta LVI Komponentit Raaka-aineet Laskutus Tilaus/toimitus Teknologia Talous Rahoitus Johtaminen Palvelutoimittajat Yritys Esimerkki: Huoltovarmuuden kannalta kriittisen tuotantotoiminnan riskikartan muodostaminen Materiaalien saanti- häiriö Kompo- nenttien saanti- häiriö TUOTANTO Hallinto Energian saantihäiriö
JATKUVUUSSUUNNITTELUN TUKIMATERIAALI Jatkuvuussuunnitteluohje (kysymykset) Yritys Toimintakortit häiriötilanteita varten Nämä löytyvät HUOVIsta Häiriötietopankki Häiriötilanteiden kuvauksia Jatkuvuusharjoitusohje (kysymykset) Yritys Jatkuvuusharjoitussuunnitelma ja - ohjelma
KYPSYYSANALYYSI JATKUVUUDENHALLINNAN ARVIOINNIN JA KEHITTÄMISEN TYÖKALUNA Toteutus Päätösten toimeenpano Analysointi Vaatimuksia - Nykytila - Tavoitetila Kehitystarpeita Päätökset etenemisestä Kypsyysanalyysi Vertailut: Edut ja haitat Vaihtoehdot Päätösten teko Keinojen tunnistaminen Maakuljetuspooli HUOVI ei vertaile vaihtoehtoja, ei 07.04.2011 tee päätöksiä eikä toteuta toimenpiteitä
Kuinka jatkuvuudenhallinnan arviointi tehdään HUOVIn kypsyysanalyysilla ja hyödynnetään arvioinnin tulokset Tutustuminen Suunnittelukokous 2h Koordinoijan nimeäminen Kysymysten valinta (osa/kaikki, excel) Kysymysten vastaajien tunnistaminen Kysymysten toimitus vastaajille I Analysointi Kysymykset (osa/kaikki) Excel / sovellus Nykytilan tunnistaminen ja tavoitetilan määrittäminen Itsellinen (2h) ja/tai yhteinen (3h) analysointi Koordinaattori kirjaa tulokset sovellukseen II Tuloksien läpikäynti Omat ja poolin raportit Tulos- ja vertailuraporttien vertailu (poolin), käsittely ja tavoitetilan tarkistus (3h) III Kehittämisehdotusten käsittely Kehittämisehdotusten kirjaaminen, budjetointi, niiden käsittely (3h) Päätös kehittämisestä IV Menettelyjen kehittäminen Menettelyjen kehittäminen (päiviä) Kehittämisen seuranta (1h/kk) V Analysoinnin uusinta Tehdyt arvioinnit uuden analyysin pohjana Tarpeen mukaan aiemman arvioinnin uusiminen Arvioitavien kysymysten laajentaminen Muiden yksiköiden mukaan ottaminen
KYPSYYSANALYYSIN OHJE KYPSYYSANALYYSIN ARVIOINTIPERIAATTEET: Kannattaa perehtyä Toiminnan jatkuvuudenhallinnan arviointi kypsyysanalyysin avulla ohjeeseen. Ohje sisältää analyysin periaatteen. Alatunnisteteksti 20.11.2012
KYPSYYSANALYYSIN ARVIOINTIKOHTEET JA KYSYMYKSET EFQM / CAF (SISÄLLÖN KEHITTÄMINEN N. 250 HENKILÖÄ ) Jatkuvuudenhallinnan suunnittelu ja toteutus Toteutetut hankkeet: yritys ja toimiala/pooli, yht 7 Johtaminen (11) Toimintaperiaatteet (13) Henkilöstö (5) Kumppanuudet ja resurssit (31) Prosessit (40 +) Prosessivalmius Osaaminen Tekninen valmius SOPIVA-soveltaminen Toimialan valmius Toimialan verkoston Toimialan SOPIVA-sov
KYPSYYSANALYYSIN SISÄLLÖN PERUSTA VANKKA Euroopan laatupalkinto, EFQM, kehys (hallinnossa CAF) European Foundation for Quality Management EFQM, kehys Maturiteetti malli, CMM Capability Maturity Model Toiminnan jatkuvuudenhallinnan standardi ISO 22399 Societal security - Guideline for incident preparedness and operational continuity management Vuosina 2007-2008 toimineet 24 poolin toimialakohtaiset työpajat takaavat kypsyyskysymysten laadun kehittäminen jatkuu
Tutustuminen (excel) Valitse/priorisoi Arvioi Tulkitse Kehitä
Luottamuksellisuus: Analyysien vastaukset vain yrityksen käytössä ja tiedossa! Havainnot Kommentit Tulostuvat raportille
Yritys 1.1. Jatkuvuudenhallinnan strateginen ohjaus Poolin x keskiarvo
Yritys 2.3 Vakavan häiriötilanteen hallintamenettelyt Poolin x keskiarvo
SOPIVA-SOPIMUSMALLIT YRITYKSEN TOIMIJAVERKOSTON TOIMINTAVARMUUDEN KEHITTÄMISEKSI Yritys Yritys Yritys Ohjaus heikkenee Yritys Yritys Yritys Yritys Yritys Yritys Yritys Yritys Yritys Häiriö toimijan toiminnassa vaikuttaa verkoston toiminnan jatkuvuuteen
Yritys 4.3 Jatkuvuudenhallinnan menettelyt kumppanien kanssa tehdyissä sopimuksissa Poolin x keskiarvo
ESIMERKKI SOPIMUSTEN TÄYDENTÄMISESTÄ 1. Vastuuhenkilöt / sopimusosapuolet 2. Hankittavaan toimitukseen liittyvien riskien tunnistaminen 3. Toimintaohjeet häiriötilanteiden varalle 4. Häiriöidenhallintamenettelyjen auditointioikeus 5..sopimussakko Alatunnisteteksti 20.11.2012
ESIMERKKEJÄ HUOVI-PORTAALIN SISÄLLÖN SOVELTAMISESTA YRITYKSISSÄ - TOIMINNAN SUUNNITTELUSSA - RISKIANALYYSIEN TUKENA - JATKUVUUSSUUNNITTELUSSA Alatunnisteteksti 20.11.2012
HELSINKI-HUOVI Käyttöönottoprojekti menossa Kunnan toimijoiden käyttöön Alatunnisteteksti 20.11.2012
Yrityskohtaisia tilaisuuksia Yrityksen ja sen alihankkijaverkoston yhteisiä tilaisuuksia Yleisiä HUOVI koulutuksia Poolien eri tilaisuuksia. Alatunnisteteksti 20.11.2012
Nyt vasta tajuan eihän tämä olekaan sotaan varautumista Tämähän vaatii usean henkilön osallistumista. johtamista, hankintaa, tekniikkaa, infraa Mehän tehdään tätä jo nyt Johtoryhmän sitoutuminen.toimintaa Alatunnisteteksti 20.11.2012
HUOVI-portaalin palvelut osaksi yrityksen liiketoiminnan suunnittelua ja toteutusta Liiketoimintajohto - vuosikello Toimintaympäristöt Liiketoimintasuunnittelu Liiketoimintatavoitteet: tuotteet, palvelut, asiakkaat Liiketoiminta: toiminnot, prosessit, resurssit ja kumppanit Liiketoiminnan riskit, häiriöt, riippuvuudet 1 Jatkuvuudenhallinnan menettelyjen arviointi 2 Jatkuvuudenhallinnan menettelyt kumppanien sopimuksissa 3 Jatkuvuudenhallinnan kehittämisen tarpeet Liiketoimintassuunnitelmat ja -budjetit + Jatkuvuudenhallinnan kehittämisen suunnitelma (toimintavarmuus ja toiminnan jatkuvuus häiriötilanteissa) 4 1 Riskianalyysi 2 Kypsyysanalyysi 3 Sopimuksiin liitettävät häiriöiden hallinnan menettelyt 4 Analyysin raportit
TERVEYDENHUOLTOPOOLI Esimerkki - RH-OHJE - SOPIVA - KYPSYYS ANALYYSI Toiminnan riskien ja menettelytapojen tunnistaminen Potilashoidon riskit Palvelutoimittajan riskit 3h Sopimuksiin liitettävät häiriöiden hallinnan menettelyt Ostajan kannalta Palvelutoimittajan kannalta 3h Jatkuvuudenhallinnan menettelyjen arviointi (kypsyysanalyysi) Sairaala Kukin palvelutoimittaja 8 h Alatunnisteteksti 20.11.2012
ESIMERKKEJÄ HUOVI-PORTAALIN HANKEALUEIDEN KÄYTÖSTÄ - TTVVA - KYBERTURVALLISUUS Alatunnisteteksti 20.11.2012
Alatunnisteteksti 20.11.2012
VIRANOMAISTEN TILANNEKUVA -HANKE esimerkki Viranomaisten ja elinkeinoelämän yhteisen tilannekuva pilottihankkeen valmistelu aloitettiin Sisäasiainministeriön yritysturvallisuuden kansallisen yhteistyöryhmän aloitteesta. Yritysturvallisuuden kansallinen yhteistyöryhmä toimii osana Valtioneuvoston asettamaa sisäisen turvallisuuden ohjelmaa. Strategian toimenpide 8 tarkoittaa nyt meneillään olevaa pilottihanketta http://www.intermin.fi/fi/ajankohtaista/julkaisut/julkaisusarjat
HUOVI-PORTAALI ON TOIMIVA KANAVA JAKAA VIRANOMAISTEN TIEDOTTEITA JA JULKAISUJA HUOVI-portaali mahdollistaa viranomaistiedotteiden ja julkaisujen jakamisen portaalin käyttäjille, jolloin portaali voi toimia yhtenä viranomaisen viestintäkanavana. Portaalissa on mahdollista lähettää palautetta, lisäksi suora yhteydenotto ko. viranomaiseen on mahdollista Kukin viranomainen itse päättää julkaistavasta aineistostaan (esim. tilannekuvaraportit). Aineistot sijoitetaan portaalin etusivulle, jolloin ne ovat kaikkien portaalin käyttäjien luettavissa.
VIRANOMAISTEN TILANNEKUVA HANKKEEN TIEDONTUOTTAJAT VNtike SM VIVI KRP SUPO Liikennevirasto OM tulli Liittymässä mukaan: UM Poliisihallitus Trafi Yritykset 44
YHTEISTOIMINNAN HYÖDYT Yhteistoiminta lisää viranomaisten ja huoltovarmuusorganisaation välistä yhteistyötä tukee viranomaisten viestintää elinkeinoelämän toimijoille vahvistaa elinkeinoelämän kykyä varautua häiriöihin ja uhkiin.
TTVV-PILOTTI: TURVALLISUUSTIEDON VÄLITYSVERKOSTO esimerkki Tavoite: luoda tehokas tiedonvälitysverkosto kaupan ja viranomaisten välille Verkoston on tarkoitus välittää merkityksellistä turvallisuustietoa mahdollisimman tehokkaasti ja automaattisesti. Verkostossa välitetään sekä ennalta estävää että reaaliaikaista turvallisuustietoa.
TIEDON VÄLITYS Poliisi Rikostietopalvelu/esikunta Hätäkeskus Simpanen Jussi Pirkanmaan osuuskauppa Savikko Carita Pelastuslaitos Viesti- ja johtokeskus Wivi HUOVI Kesko Palveluyksikkö/Turvatiimi Pirkanmaan yrittäjät Yrittäjien toimisto Sähköposti Suomen lähikaupat Kaupan tuki Securitas Tampereen palvelukeskus
TTVV Turvallisuuden parantaminen ja tehokas ongelmien ratkaisu edellyttävät eri toimijoiden yhteisesti sopimaa ja ajoittamaa toimintaa. Hanke toteuttaa Sisäisen turvallisuuden ohjelman, Turvallisempi huomen, tavoitteita parantaa kauppakeskusten turvallisuutta ja tehostaa tiedonvaihtoa. Pilotin alueena on Tampere.
TTVV Tehostuneen tiedonvaihdon avulla voidaan lisätä turvallisuudentunnetta, ennalta estää rikoksia, häiriöitä ja onnettomuuksia. Tiedonvaihto lisää kiinnijäämisriskiä, tehostaa rikosten selvittämistä ja siitä uskotaan olevan myös taloudellista hyötyä.
TTVV Hanke toteutetaan Pirkanmaan Turvallisuusklusterin osaamisverkostona Turvallisuustiedon välitysverkoston hankeryhmän muodostavat: Pirkanmaan poliisilaitos Poliisiammattikorkeakoulu Polamk Pirkanmaan aluepelastuslaitos Pirkanmaan hätäkeskus Kesko Oyj Pirkanmaan Osuuskauppa Suomen Lähikauppa Oy Securitas Oy Pirkanmaan yrittäjät Huoltovarmuuskeskus
TTVV VS. VO-TIKU Alueellinen pilotti Sisältö nähtävissä: Rajattu käyttäjäjoukko Sisältö: Käyttäjien (TTVV solmujen) itse tuottamaa Valtakunnallinen pilotti Sisältö nähtävissä: Kaikki portaalin käyttäjät Sisältö: Eri viranomaisten tuottamaa Atte Kokkinen 23.1.2013
Esimerkki: Analyysin rakenteesta työkalussa Kyberturvallisuuden osa-alueet 1 Kyberuhkien tunnistaminen ja hallinta 4 Kehittäminen Kyberturvallisuusstrategian toimeenpanon arviointi 2 Hyökkäyksen havainnointi ja hallinta 3 Toipuminen FISC jäsenten kyberturvallisuuskysymykset (luonnoksia)
YHTEISKUNNAN TILANNEKUVA MINISTERIÖIDEN JA YRITYSTEN KYBERTURVALLISUUSTOIMENPITEISTÄ Yrityskohtainen Poolikohtainen (24) Huoltovarmuuden tilannekuva II /2012 Virastokohtainen tilannekuva Ministeriökohtainen tilannekuva Yhteiskunnan kyberturvallisuuden tila: ministeriöiden tilannekuvat Esimerkkinä Huoltovarmuuskeskuksen HUOVI-portaalin kypsyysanalyysin käyttäminen Uutta: Sähkömarkkinalain varautumisen velvoitteista tehdyt kysymykset.
OTE KYPSYYSANALYYSIN RAPORTILTA 1. Kyberuhkien tunnistaminen ja hallinta Yrityskohtainen (24) Ministeriön X Viraston arviot Kyberuhkien tunnistaminen ja vaikutusten arviointi It-ratkaisujen haavoittuvuuksien tunnistaminen Verkon hallinta ja valvonta Ministeriön x keskiarvo Kyberuhkien tunnistaminen ja vaikutusten arviointi It-ratkaisujen haavoittuvuuksien tunnistaminen Toiminnan turvaamisen vaikutukset ja kustannukset Tietoliikenneyhteydet sidosryhmiin ja yhteistyökumppaneihin Toiminnan turvaamisen vaikutukset ja kustannukset Verkon hallinta ja valvonta Tietoliikenneyhteydet sidosryhmiin ja yhteistyökumppaneihin
Esimerkki KYPSYYSANALYYSI Ministeriö kyberturvallisuustoimenpiteitään. 2013 OSA-ALUEET Kyberuhkien tunnistaminen ja hallinta Hyökkäyksen havainnointi ja hallinta Toipuminen Kehittäminen
Esimerkki: Osa-alueen 1 kysymyksistä 1. Kyberuhkien tunnistaminen ja hallinta (ennakointi) Kyberuhkien tunnistaminen ja vaikutusten arviointi Verkon hallinta ja valvonta * Esimerkki It-ratkaisujen haavoittuvuuksien tunnistaminen Tietoliikenneyhteydet sidosryhmiin ja yhteistyökumppaneihin * Esimerkki Toiminnan turvaamisen vaikutukset ja kustannukset * Esimerkki FISC jäsenten kyberturvallisuuskysymykset (luonnoksia)
* Esimerkki 1. Kyberuhkien tunnistaminen ja hallinta taso Kyberuhkien tunnistaminen ja vaikutusten arviointi 1 Kyberuhkien tunnistamiseen ja niiden vaikutusten arviointiin ei ole toimintatapaa. 2 Riskien analysointi sisältää kyberuhkien tunnistamisen tapauskohtaisesti. Toimintaa ei ole ohjeistettu. Vastuuhenkilöitä ei kouluteta kyberuhkien tunnistamiseen. Laite- ja sovellusrekisterit ovat olemassa. Rekisterit sisältävät myös versiotiedot käytössä olevista sovelluksista ja koodeista. 3 Riskien analysointi sisältää kyberuhkien tunnistamisen. Kyberuhkien tunnistamiselle on toimintaprosessi ja -ohje. Tehtävät on vastuutettu. Käytössä olevien laitteiden ja ohjelmistojen haavoittuvuudet on tiedossa ja niitä etsitään/testataan säännöllisesti. Laite- ja sovellusrekisterit ovat ajan tasalla ja ne kattavat myös tuotannon ja tuotannonohjauksen mm. prosessinohjauslaitteet ja järjestelmät (ei-toimisto laitteet). Yritys tekee yhteistyötä toimialansa toimijoiden ja kumppaniensa kanssa. Osapuolet välittävät toisilleen ja muille toimijoille tietoa tietoturvauhista. Yritys seuraa aktiivisesti viranomaisten (CERT-Fi) ja laite- sekä ohjelmistotoimittajien julkaisemia haavoittuvuustiedotteita. Yritys on mukana yhteiskunnan kyberuhkien torjunnassa (osallistuu harjoituksiin tai koulutustapahtumiin). 4 Kyberuhkien tunnistaminen ja niiden vaikutusten analysointi on säännöllistä. Laitteiden ja ohjelmistojen tarkastamisen, teknisen toimintaympäristön seurannan ja riskianalyysitulosten perusteella kehitetään menettelyjä. 5 Kyberuhkien tunnistaminen ja niiden vaikutusten analysointi on jatkuvan parantamisen kohde. Kyberuhkien tunnistamisen prosessia ja ohjetta arvioidaan vuosittain. Menettelyjä kehitetään tulosten perusteella. FISC jäsenten kyberturvallisuuskysymykset (luonnoksia)
* Esimerkki 1. Kyberuhkien tunnistaminen ja hallinta taso Toiminnan turvaamisen vaikutukset ja kustannukset 1 ICT-ympäristön turvaamisen vaikutusten ja kustannusten arviointiin ei ole toimintatapaa. 2 ICT-ympäristön turvaamisen vaikutusten ja kustannusten arviointi on tapauskohtaisesti. Toimintaa ei ole ohjeistettu. Vastuuhenkilöitä ei kouluteta vaikutusten ja kustannusten arviointiin. 3 ICT-ympäristön tietoturvainvestoinnit ja -ratkaisut arvioidaan säännöllisesti. Arvioinnille on toimintaprosessi ja -ohje. Tehtävät on vastuutettu. Arvioinneilla varmistetaan, että tietoturvaratkaisut ja palauttavat mekanismit ovat riittäviä varmistamaan yrityksen toiminnan jatkuvuuden. Yritys on varautunut mahdollisten välittömien taloudellisten vahinkojen korvaamiseen. 4 ICT-ympäristön tietoturvainvestointien ja -ratkaisujen arviointi on säännöllistä. Yrityksen vastuuvakuutus kattaa sen liiketoiminnan aiheuttamat välittömät taloudelliset vahingot esim. asiakkaille ja kumppaneille. Arvioinnin perusteella kehitetään menettelyjä. 5 ICT-ympäristön tietoturvainvestointien ja -ratkaisujen arviointi on jatkuvan parantamisen kohde. Arviointiprosessia ja toimintaohjetta arvioidaan vuosittain. Tietoturvaratkaisuja kehitetään tulosten perusteella. FISC jäsenten kyberturvallisuuskysymykset (luonnoksia)
* Esimerkki 1. Kyberuhkien tunnistaminen ja hallinta taso Tietoliikenneyhteydet sidosryhmiin ja kumppaneihin 1 Yrityksen ja sen kumppanien välisten tietoliikenneyhteyksien katselmointeihin ei ole toimintatapaa. 2 Kumppanien yhteyksien katselmointi on tapauskohtaisesti. Toimintaa ei ole ohjeistettu. Vastuuhenkilöitä ei kouluteta. 3 Yrityksellä on käytäntö, jolla kumppanien yhteyksiä katselmoidaan ja tarkastetaan yhteyksien tarpeellisuus. Toiminta on ohjeistettu. Tehtävät on vastuutettu. Yritys on määritellyt yksityiskohtaiset tekniset rajapinnat ja teknologiat, millä kumppanit liitetään yrityksen verkkoon. Suojaamistaso perustuu yrityksen ja kumppanin välillä käsiteltävän tiedon luokitteluun. 4 Kumppanien yhteyksien katselmointi on säännöllistä. Katselmointien perusteella kehitetään menettelyjä. 5 Kumppanien yhteyksien katselmointi on jatkuvan parantamisen kohde. Katselmointikäytäntöä ja ohjetta arvioidaan vuosittain. Menettelyjä kehitetään tulosten perusteella. FISC jäsenten kyberturvallisuuskysymykset (luonnoksia)
Esimerkki: Osa-alueen 2 kysymyksistä 2. Hyökkäyksen havainnointi ja hallinta =(reagointi) Hyökkäyksen havainnointi * Esimerkki Reagointikyky * Esimerkki Yhteistoiminta häiriötilanteessa * Esimerkki Tilannekuvan muodostaminen * Esimerkki Tiedottaminen * Esimerkki Eri osapuolten toiminta häiriötilanteessa Viranomaisten toimenpiteet Toiminnan vaikutukset ja kustannukset FISC jäsenten kyberturvallisuuskysymykset (luonnoksia)
* Esimerkki Ministeriö Tietoliikenneyhteydet sidosryhmiin ja kumppaneihin 2013 OSA-ALUEET Kyberuhkien tunnistaminen ja hallinta (kesken) Vaatimukset Todennettu taso Luottamuksellisuus: Analyysien vastaukset vain viraston käytössä! 1 Yrityksen ja sen kumppanien välisten tietoliikenneyhteyksien katselmointeihin ei ole toimintatapaa. 2 Kumppanien yhteyksien katselmointi on tapauskohtaisesti. Toimintaa ei ole ohjeistettu. Vastuuhenkilöitä ei kouluteta. 3 Yrityksellä on käytäntö, jolla kumppanien yhteyksiä katselmoidaan ja tarkastetaan yhteyksien tarpeellisuus. Toiminta on ohjeistettu. Tehtävät on vastuutettu. Yritys on määritellyt yksityiskohtaiset tekniset rajapinnat ja teknologiat, millä kumppanit liitetään yrityksen verkkoon. Suojaamistaso perustuu yrityksen ja kumppanin välillä käsiteltävän tiedon luokitteluun. 4 Kumppanien yhteyksien katselmointi on säännöllistä. Katselmointien perusteella kehitetään menettelyjä. Havainnot Kommentit Toimenpiteet 5 Kumppanien yhteyksien katselmointi on jatkuvan parantamisen kohde. Katselmointikäytäntöä ja ohjetta arvioidaan vuosittain. Menettelyjä kehitetään tulosten perusteella. Tulostuvat raportille
YHTEISKUNNAN TILANNEKUVA MINISTERIÖIDEN KYBERTURVALLISUUSTOIMENPITEISTÄ Virastokohtainen tilannekuva Ministeriökohtainen tilannekuva (5 kpl: virastojen + ministeriön arvioinnit) Yhteiskunnan kyberturvallisuuden tila: ministeriöiden tilannekuvat Viraston kyberturvallisuuden kehittämisen toimenpiteet Yhteistoimintatarpeet Ministeriön kyberturvallisuuden kehittämisen toimenpiteet Yhteistoimintatarpeet Yhteiskunnan kyberturvallisuuden kehittämisen toimenpiteet Yhteistoimintatarpeet Yhteiskunnan tietoverkkojen ja järjestelmien toimintavarmuus paranee
KYPSYYSANALYYSIN HYÖTYJÄ Ministeriön ja sen virastojen johdolle tieto kyberturvallisuutta takaavien menettelyjen ja ratkaisujen heikkouksista ja vahvuuksista Antaa kattavan kuvan ministeriön/viraston kyberturvallisuustoimenpiteistä Antaa käsityksen tärkeiden kumppaneiden häiriöiden hallintakyvystä Antaa vertailutietona keskiarvon ministeriön kaikista vastaajista (min 5 virastoa) Nostaa esiin kyberturvallisuustoiminnan kehitystarpeita Analyysia voi soveltaa: valitse/priorisoi osa-alueet ja kysymykset Luo kyberturvallisuustoimenpiteiden arviointiin ja kehittämiseen systematiikkaa Olemassa oleva ja turvallinen työkalu (auditoitu)
samalla sovelluksella voitaisiin arvioida YTS:n mukaisten toimenpiteiden toteutusta.tt-tasot vaatimusten toimenpiteiden toteutusta.katakri toimenpiteiden toteutusta (sisällöt tulee liittää sovellukseen omana arviointilistana)
ESIMERKKEJÄ KYPSYYSKYSYMYKSISTÄ - RAKENNUSPOOLI - KYBERTURVALLISUUS - SÄHKÖMARKKINALAIN MUKAISET KYSYMYKSET Alatunnisteteksti 20.11.2012
MITEN ETEENPÄIN. - TUKEMAAN PORTAALIN PILOTOINTIA - TEKNISEN TOIMEN KYSYMYSTEN LAATIMINEN - PILOTOINNIN SUUNNITTELUN JA TOTEUTUKSEN TUKI Alatunnisteteksti 20.11.2012
Malli: Ideoitava osa-alueet Teknisentoimen osa-alueet 1 Teknisen toimen riskien tunnistaminen ja hallinta 4 Häiriöiden hallinnan kehittäminen Teknisentoimen häiriöidenhallinnan arviointi 2 Alihankkijatoiminnan riskien hallinta 3 Toiminta häiriötilanteissa
* Esimerkki 1. Teknisen toimen riskien tunnistaminen ja hallinta taso 1 2 Teknisen toimen riskien tunnistaminen ja vaikutusten arviointi 3 4 5
LYHYT KATSAUS VUODEN 2012 HUOLTOVARMUUDEN TILANNEKUVAAN Alatunnisteteksti 20.11.2012
HUOLTOVARMUUSORGANISAATIO: JULKISEN JA YKSITYISEN SEKTORIN YHTEISTOIMINTA- JA ASIANTUNTIJAVERKOSTO (N. 1 100 OSALLISTUJAA) Poolit edistävät työkalujen käyttöä toimintasuunnitelmiensa mukaisesti Huoltovarmuuskeskus Hallitus Huoltovarmuusneuvosto Elintarvikehuoltosektori (47) Energiahuoltosektori (41) Logistiikkasektori (27) Terveydenhuoltosektori (37) Tietoyhteiskuntasektori (19) Finanssialan sektori (6) Teollisuussektori (48) Alkutuotantopooli 11/29 Elintarviketeollisuuspooli 30/170 Kauppa- ja jakelupooli 6/36 - KOVA-toimikunta Voimatalouspooli 32/276 - aluetoimikunnat - kaukolämpöjaosto - kotimaisten poltto aineiden jaosto Öljypooli 9/58 - maakaasujaosto Ilmakuljetuspooli Maakuljetuspooli 19/195 Vesikuljetuspooli 8/50 Terveydenhuoltopooli 24/61 Vesihuoltopooli 13/61 Tekstiili- ja jalkinepooli Graafinen pooli 8/94 Joukkoviestintäpooli 5/18 ICT-pooli 6/92 Aluepooli - TIVA-toimikunnat Rahoitushuoltopooli Vakuutusalan pooli 6/31 MIL pooli Kemian pooli 24/82 Teknologiapooli 8/299 Elektroniikkapooli 9/164 Metsäpooli Muovi- ja kumipooli 7/67 Rakennuspooli 9/164 - aluetoimikunnat 70 Huoltovarmuuskriittiset yritykset (n. 1 900) 240 analyysia (2012, 2011)
HUOLTOVARMUUDEN TILANNEKUVA VUODELTA 2012 Yritykset Huoltovarmuusorganisaatio Tilannekuva - yritys - toimipaikka 248 (166/2011) kypsyysanalyysivastausta Poolin tilannekuva 19 (13/2011) poolin raportit ml.? analyysiraporttia HVO:n tilannekuva (Raportoitu TEMille) Kehittämisen toimenpiteet Yhteistoimintatarpeet Huoltovarmuustoiminnan kehittämisen perusta Yhteistoimintatarpeet Toimintavarmuus ja toiminnan jatkuvuus häiriötilanteissa paranee
Vuoden 2012 yritysten/toimipaikkojen kypsyysanalyysin vastausprosentit pooleittain: (yritysten/toimipaikkojen kypsyysanalyysivastausten lukumäärä / poolin toimipaikkojen lukumäärä) Pooli Vastausprosentti Vastaajien lkm / Poolin toimipaikkojen lkm Pooli Vastausprosentti Vastaajien lkm / Poolin toimipaikkojen lkm Alkutuotanto 38 % 11/29 Voimatalous 11 % 32/276 Terveydenhuolto 25 % 24/94 Graafinen 9 % 8/94 Joukkoviestintä 23 % 5/22 Maakuljetus 9 % 19/195 Kemia 22 % 24/109 Muovi- ja kumi 9 % 7/82 Vakuutusala 19 % 6/31 Tietoverkko 9 % 6/65 Elintarvike 18 % 30/170 Elektroniikka 6 % 9/154 Kauppa- ja jakelu 16 % 6/36 Tietotekniikka 6 % 6/92 Vesikuljetus 16 % 8/50 Rakennus 5 % 9/164 Öljy 15 % 9/58 Teknologia 3 % 8/299 Vesihuolto 13 % 13/102 Yhteensä 240 kypsyysanalyysivastausta 2120 toimipaikalta (11.3 %)
TÄRKEIMMÄT KEHITYSKOHTEET YRITYSTEN ANALYYSIEN MUKAAN 2012 6.2.3 HVO:n hankkeet huoltovarmuuskriittisen organisaation kannalta 6.2.3 SOPIVAsuositusten soveltamisen valmius toimintaverkostoissa Johtaminen Poolin 2.1.1 Suunnittelu: Toimintojen kriittisyysluokittelu 6.1.4 SOPIVAsuositusten soveltamisen valmius tuki 3.1.2 Osaaminen: Jatkuvuudenhallinnan koulutus 2.1.2 Suunnittelu: Toimintojen riippuvuuksien tunnistaminen Alatunnisteteksti 20.11.2012
Alatunnisteteksti 20.11.2012 MITEN ETEENPÄIN?
MITEN ETEENPÄIN? Päätös työkalujen käytöstä kunnassa X Käyttäjätunnukset (pääkäyttäjä, käyttäjä) Tutustuminen portaalin sisältöön Teknisen toimen kysymysten laatiminen HVKsta kutsu Portaalissa ohjenappi + Help Desk tuki Käyttökohteiden ideointi Analyysin tekeminen
YHTEYSTIEDOT Huoltovarmuuskeskus Pohjoinen Makasiinikatu 7 A 00130 Helsinki, Finland 040 5455 465 tuija.kyrola@nesa.fi CRISIM ohjelmisto: Ralf Sontag / Atte Kokkinen www.huoltovarmuus.fi www.nesa.fi 76
KÄYTTÄJÄHIERARKIA JA -ROOLIT Hajautettu käyttäjien hallinta: HVK Pooli yritys PK PK PK Toiminnot KYS pääkäyttäjä rooli: henkilö X Käyttäjäroolit: sovittavat henkilöt Kypsyysanalyysin roolit (pk huolehtii) HYVÄ OHJEISTUS PORTAALIN OHJE NAPIN TAKANA (HELPDESK) 26.9.2013 77