The organization should define, document, and maintain the scope of its Business Continuity Management System (BCMS). The scope must define the boundaries and applicability of the BCMS, considering internal and external factors, stakeholder requirements, and organizational objectives. It should explicitly identify included products, services, and functions, provide justification for any exclusions, and be sufficient to meet all continuity obligations.

The organization should conduct a formal business impact analysis to identify its prioritized business activities. This analysis should evaluate the escalating consequences of disruption for each critical activity over time, using defined criteria to determine the point at which impacts become unacceptable.

The organization should implement the selected business continuity strategies and solutions, including necessary infrastructure, processes, and personnel arrangements, to ensure the continuity of critical activities during disruptive incidents. This involves deploying recovery sites, backup systems, alternative communication channels, and establishing necessary operational procedures.

The organization should regularly test and validate the implemented business continuity solutions and arrangements to ensure their constant operational readiness and reliable activation when required. This includes conducting drills, simulations, and full-scale exercises to verify recovery capabilities, identify gaps, and train personnel on activation procedures.

The organization should establish a process for evaluating and selecting business continuity strategies and solutions. This process should ensure that chosen solutions are capable of resuming and sustaining prioritized activities at the required operational capacity and within defined recovery timelines. The selection should also align with the organization's defined risk appetite.

The organization should systematically evaluate proposed business continuity strategies and solutions. This evaluation should assess their effectiveness in enabling the recovery of prioritized activities within predefined timelines and at the required operational capacity. Additionally, the evaluation should consider how well the strategies protect critical functions, decrease the likelihood of incidents, shorten disruption durations, and minimize the impact on products and services.

The organization should establish and implement a formal change management process for all modifications to the Business Continuity Management System (BCMS). This process should include evaluating the justification for the change, its potential consequences, impact on system integrity, resource adequacy, and necessary adjustments to roles and responsibilities.

For each management review, the organization should prepare and document a comprehensive set of inputs.

The review inputs should include information on:

• Status of actions from previous management reviews
• Changes in internal and external issues
• Performance data, including trends in nonconformities, monitoring results, and audit results
• Feedback from interested parties
• Findings from business impact analysis and risk assessments
• Opportunities for continual improvement

Top management should ensure that roles, responsibilities, and authorities for the Business Continuity Management System (BCMS) are assigned and communicated. This must include assigning specific responsibility for:

• Ensuring the BCMS conforms to the requirements of the ISO 22301 standard.
• Reporting on the performance of the BCMS to top management for review.

All roles relevant to business continuity, along with their responsibilities and authorities, should be defined and understood within the organization.

The organization has determined which issues related to the business continuity management system need to be communicated on a regular basis. The plan must include the answers, e.g. to the following points:

• What issues are communicated? These can be e.g. new or changed continuity objectives.
• How and when to communicate? What channels are used and how often?
• To whom is communicated? How often for quality executives, how often for the entire organization or partners.
• Who takes part? Who has the right to message and from whom, for example, messages should be approved.

Task owner will take care of the implementation of the plan and regular evaluation of its effectiveness.

Each business continuity plan shall specify its scope, objectives, resource requirements, and dependencies that support the recovery of critical activities. The plan shall define communication protocols to be used during activation, response, recovery, and stand-down phases. These protocols must outline responsibilities for internal and external communications, stakeholder notifications, and the communication channels to be used.

Each plan shall also include stand-down procedures describing how and when to formally conclude response actions, transition to normal operations, and notify all relevant stakeholders of the stand-down decision.

The organization should establish and maintain a structured program for the continual improvement of its Business Continuity Management System (BCMS). This program should systematically gather and analyze inputs from performance evaluations, internal audits, management reviews, and incident post-mortems to proactively identify opportunities for enhancing the BCMS's suitability, adequacy, and effectiveness. Identified improvement opportunities should be prioritized, planned, implemented, and monitored to ensure their successful integration into the BCMS.

The organization should establish a process to determine, provide, and review the resources needed for the establishment, implementation, maintenance, and continual improvement of the Business Continuity Management System (BCMS). This includes ensuring sufficient human, financial, technical, and physical resources are allocated and remain adequate throughout the BCMS lifecycle.

The organization should establish a comprehensive process to monitor, measure, analyze, and evaluate the operational performance and effectiveness of its Business Continuity Management System (BCMS). This process should define the scope of what will be monitored, determine suitable methods for data collection and analysis to ensure valid results, and assign clear schedules and responsibilities for these activities. All outcomes from monitoring, measurement, analysis, and evaluation should be retained as documented information to provide evidence of the BCMS's overall efficacy.

The organization should conduct a systematic assessment to identify all resources required for the successful execution of its business continuity strategies. This includes personnel, essential data and information assets, physical infrastructure such as operational sites and associated utilities, equipment and supplies, technology and communication infrastructure, transportation logistics, financial backing, and dependencies on external partners and suppliers. The assessment should determine the quantity, type, and availability of these resources.

The organization should develop and formally institute a business continuity policy. This policy should align with the organization's strategic purpose and provide a clear framework for setting business continuity objectives. It must also explicitly state the organization's commitment to fulfilling all applicable business continuity requirements and to the continual improvement of the Business Continuity Management System (BCMS).

The organization should systematically validate the effectiveness of its business continuity program, including its Business Impact Analysis (BIA), risk assessments, and continuity plans. This validation should utilize methods such as exercises and post incident analysis. All findings from these evaluations should be promptly incorporated into updated documentation.

The organization should establish a systematic process to ensure the timely execution of all follow-up actions and adjustments mandated by Business Continuity Management System (BCMS) management reviews. This includes monitoring the progress and verifying the effectiveness of implemented changes.

The organization should establish and maintain a formalized program to understand and manage the consequences of operational interruptions. This program should define the scope, responsibilities, and processes for conducting business impact analysis and risk assessment activities as part of the BCMS.

The organisation should ensure its business continuity policy is formally documented, maintained, and communicated. The policy should be effectively disseminated to all relevant internal personnel and made available to appropriate external stakeholders as needed.

The organization should define specific, measurable business continuity objectives for relevant functions. These objectives should align with the continuity policy and be documented. A process should be in place for monitoring, communicating, and regularly updating these objectives.

The organization should implement a systematic process for the continual improvement and refinement of the Business Continuity Management System (BCMS) across its entire lifecycle. This process should leverage performance evaluations, audit results, and management reviews to identify and address opportunities for enhancement.

The organization should establish, implement, and maintain a comprehensive Business Continuity Management System (BCMS) that aligns with its context and strategic direction. This includes defining the overall framework, policies, and objectives for business continuity.

Following any business continuity exercise or test, the organization should produce a formal report documenting the outcomes, recommendations, and identified corrective actions. The organization must then implement necessary improvements based on these findings to ensure the ongoing viability and effectiveness of its business continuity framework.

Organisaation on Asiakastietolain 41 §:n mukaisesti ilmoitettava tietojärjestelmän tuottajalle, mikäli järjestelmässä ilmenee poikkeama järjestelmien olennaisista vaatimuksista. Poikkeamia on kuvattu THL:n määräyksen 5/2021 luvussa 10.4.

Tietojärjestelmien merkittävistä poikkeamista on ilmoitettava Valviralle, erityisesti tilanteissa, joissa poikkeama voi aiheuttaa merkittävän riskin asiakas- tai potilasturvallisuudelle tai tietoturvalle. Merkittävien poikkeamien korjaamiseksi on ryhdyttävä korjaaviin toimenpiteisiin.

Tiedonhallintayksikön on suoritettava olennaiset riskiarvioinnit sen tietoaineistojen käsittelyn, tietojärjestelmien hyödyntämisen ja toiminnan jatkuvuuden suhteen. Riskiarvioinnin perusteella tiedonhallintayksikön on:

a) Laadittava valmiussuunnitelmat ja etukäteisvalmistelut häiriötilanteiden varalle.

b) Suoritettava muut tarvittavat toimenpiteet, jotta tietoaineistojen käsittely, tietojärjestelmien hyödyntäminen ja niihin perustuva toiminta voivat jatkua mahdollisimman häiriöttömästi normaaliolojen häiriötilanteissa sekä valmiuslaissa (1552/2011) tarkoitetuissa poikkeusoloissa.

Joskus yllättävä tapahtuma, kuten tulipalo, tulva tai laiterikko, voi aiheuttaa toiminnan keskeytyksen. Jotta toimintaa pystyttäisiin jatkamaan mahdollisimman pian ja sujuvasti, tehdään jatkuvuussuunnittelua, eli suunnitellaan etukäteen toiminta poikkeustilanteiden varalle.

Jokaiseen jatkuvuussuunnitelmaan sisältyvät vähintään seuraavat tiedot:

• Tapahtuma, jonka varalle suunnitelma on tehty
• Tavoiteaika palautumiselle
• Vastuuhenkilöt sekä liittyvät sidosryhmät ja yhteystiedot
• Suunnitellut välittömät toimet
• Suunnitellut toipumisen askeleet

The organization should document the roles, responsibilities, and authority of its designated business continuity team(s). This documentation should include procedures for activation, operation, and communication to ensure an effective response to disruptions.

The organisation should ensure that all warning and communication procedures are regularly practiced as an integral component of the organisation's exercise program to validate their effectiveness and improve response capabilities.

The organization should conduct a thorough analysis of the financial investment and operational costs associated with proposed business continuity solutions. This analysis should weigh these costs against the anticipated benefits and the reduction in risk achieved by implementing the solutions.

The organization should ensure that any chosen continuity strategy is supported by an adequate allocation of resources. This includes verifying that sufficient personnel, financial, and technical assets are available to implement and maintain the selected approach.

The organization should ensure that all personnel are informed about the potential negative consequences of failing to adhere to the Business Continuity Management System (BCMS) requirements. This includes understanding the impact on operational resilience, organizational reputation, and individual accountability.

All business continuity plans should be stored in a manner that ensures their accessibility at all times, including during a disruptive event. This includes considering alternative storage locations and access methods to guarantee that relevant personnel can retrieve and utilize the plans when needed.

Each business continuity plan should clearly define the specific conditions or triggers that necessitate its activation. It should also outline immediate protocols for ensuring the safety and welfare of personnel and preventing further losses following an incident.

The business continuity strategic framework should define options for managing disruptions across their entire lifecycle, including pre-incident mitigation, in-event response, and post-incident recovery. These strategies should incorporate specific technical or procedural solutions to achieve operational resilience.

The organization should document the results of BCMS performance evaluations in a clear and presentable format. The documentation should include all results from monitoring, measurement, and analysis to provide evidence of the BCMS's overall efficacy.

The organisation should retain documented information as evidence that its processes are being performed according to plan. This includes keeping records to demonstrate that operational planning, management of changes, and control of outsourced processes are effectively implemented.

The organization should ensure that all documented business continuity procedures are explicitly developed from the organization's pre-selected business continuity strategies and solutions. These procedures should be designed with sufficient flexibility to remain adaptable and effective in managing the organization throughout the dynamic nature of a crisis.

The organization should communicate the outcomes and formal decisions from Business Continuity Management System (BCMS) management reviews to all relevant internal and external stakeholders to ensure awareness and alignment.

The organization should establish a process to review its business impact analysis (BIA) and risk assessment documentation to ensure ongoing validity. Reviews should be conducted at planned intervals and also be triggered by significant internal or external changes.

The organization should plan business continuity exercises and tests using realistic, planned scenarios with defined objectives. These exercises should aim to validate the effectiveness of continuity strategies and enhance the competence, confidence, and teamwork of personnel with assigned responsibilities during a disruption.

Organisaation olisi nimettävä varatoimipaikka, jonne toiminta ja laitteet voidaan väliaikaisesti siirtää, jos päätoimipaikka ei ole käytettävissä. Tämän varapaikan on täytettävä samat turvallisuus- ja toimintavaatimukset kuin pääpaikan, jotta varmistetaan toiminnan jatkuvuus.

Organisaation olisi määriteltävä liiketoimintavaikutusten analyysin perusteella toipumisaikatavoitteet (RTO) kriittisten toimintojen jatkamiseksi vähintään hyväksyttävällä kapasiteetilla. Tässä prosessissa on myös yksilöitävä kaikki tarvittavat resurssit ja riippuvuudet, mukaan lukien yhteistyökumppanit, joita tarvitaan näiden ensisijaisten toimintojen tukemiseen toipumisen aikana.

Organisaation on tunnistettava kaikki pakolliset kansalliset kyberturvallisuusharjoitukset ja osallistuttava niihin kansallisten säännösten mukaisesti. Tähän sisältyy harjoituksiin ilmoittautuminen, asianmukaisen henkilöstön nimeäminen, aktiivinen osallistuminen harjoitusskenaarioihin ja saatujen kokemusten dokumentointi sisäistä parantamista varten.

Organisaation olisi testattava säännöllisesti kykyään palauttaa sen toiminnan kannalta keskeiset tietojärjestelmät. Nämä testit olisi suoritettava vähintään neljännesvuosittain, jotta voidaan varmistaa, että järjestelmät voidaan palauttaa varmuuskopioista suuronnettomuuden sattuessa. Testissä olisi varmistettava, että palautettu järjestelmä on täysin toimiva ja täyttää organisaation palautustavoitteet.

Organisaation olisi varmistettava, että koko henkilöstö on tietoinen omista rooleistaan ja vastuualueistaan organisaation hätävalmius- ja reagointisuunnitelmien puitteissa. Tähän sisältyy erilaisten hätätilanteiden menettelyjen, viestintäprotokollien ja omien toimiensa ymmärtäminen liiketoiminnan jatkuvuuden ja toipumisen tukemiseksi.

Organisaation on laadittava ja dokumentoitava menettelyt, joilla osallistutaan kansalliseen kriisinhallintaan.

Menettelyissä on määriteltävä, miten virallisia valmiustiedotteita vastaanotetaan ja seurataan, miten vastuulliset roolit arvioivat niiden vaikutuksia ja miten muutokset muunnetaan oikea-aikaisiksi sisäisiksi toimiksi, jotta voidaan ylläpitää palvelujen tarjontaa ja täyttää ilmoitusvelvollisuudet.

Menettelyjä olisi tarkistettava, testattava ja päivitettävä todellisten tapahtumien tai alakohtaisten valmiusmuutosten jälkeen.

Organisaation olisi luotava ja ylläpidettävä varamenettelyjä fyysistä tuotantoympäristöä ja keskeisiä laitteita varten, jotta voidaan varmistaa palvelun jatkuvuus, kun normaali toiminta häiriintyy.

Menettelyjen tulisi kattaa ainakin seuraavat asiat

• Vaihtoehtoiset toimintamenetelmät: Vaihtoehdot siirtyä manuaaliseen tai turvalliseen varatoimintoon, jos automatisoidut prosessit epäonnistuvat.
• Redundanssin aktivointi: Menetelmät ja ehdot, joilla otetaan käyttöön redundantit verkko- ja tietojärjestelmät ja käynnistetään hätätoiminta.
• Ohjausjärjestelmien eristäminen: Teollisuuden ohjausjärjestelmien (ICS) ja operatiivisten teknologioiden (OT) eristämiseen liittyvät vaiheet ja ehdot häiriötilanteiden rajoittamiseksi tai leviämisen estämiseksi.
• Laitoksen palauttaminen ennalleen: Vaiheet vahingoittuneiden tuotantolaitosten palauttamiseksi, mukaan luettuna odotettu aika varaosien, teknisten resurssien ja henkilöstön hankkimiseksi.
• Kriittisten varaosien hankinta: Pääsy sisäisiin varastoihin ja toimittajien järjestelyihin nopeaa palautumista varten.

Menettelyt on pidettävä ajan tasalla, testattava säännöllisesti ja sovitettava yhteen organisaation yleisen jatkuvuusstrategian kanssa.

Organisaation olisi arvioitava, onko sen palveluiden tarjoamisen kannalta kriittisissä fyysisissä tiloissa tarpeen käyttää redundanssia. Arvioinnissa olisi yksilöitävä yksittäiset vikapisteet ja ehdotettava toimenpiteitä, joilla varmistetaan jatkuva toiminta, kuten vaihtoehtoiset toimipaikat, toimitilojen sisällä oleva tarpeeton infrastruktuuri tai kriittisten toiminta-alueiden varavoimajärjestelmät.

Organisaation olisi luotava ja ylläpidettävä viestintäkanavia, jotka toimivat ensisijaisesta tieto- ja viestintätekniikan infrastruktuurista riippumatta ja joita voidaan käyttää suurten häiriöiden aikana. Tässä vaihtoehtoista viestintää koskevassa suunnitelmassa olisi määriteltävä käytettävät menetelmät, kuten puhelinpuu, satelliittipuhelimet tai nimetty ulkoinen viestipalvelu. Suunnitelmassa olisi myös määriteltävä, miten nämä kanavat aktivoidaan ja miten yhteystiedot pidetään ajan tasalla ja miten ne ovat käytettävissä offline-tilassa.

Organisaation olisi laadittava, tulostettava ja päivitettävä säännöllisesti fyysisiä kopioita henkilöstön tärkeimmistä yhteystietoluetteloista ja puhelinluetteloista ja varmistettava, että ne ovat helposti saatavilla useilla osastoilla. Organisaation olisi laadittava toistuva aikataulu laitteiden fyysistä tarkastusta, paristojen tarkistusta sekä ECP-asiakirjan ja yhteystietoluetteloiden päivittämistä varten henkilöstön tai menettelytapojen muutosten huomioon ottamiseksi.

Organisaatiolla on oltava suunnitelma riskinsietokyvyn uudelleenarviointia varten. Suunnitelman pitäisi sisältää aikavälit, joiden perusteella uudelleenarviointi olisi suoritettava. Suunnitelmassa olisi myös käsiteltävä riskinsietokyvyn uudelleenarviointia seuraavissa tapauksissa:

• Merkittävät muutokset organisaatiossa
• Teknologian kehittyminen
• muutokset liiketoiminnan tavoitteissa
• sisäiset ja ulkoiset tapahtumat, mukaan lukien tunnistetut uhat
• muutokset yhteiskunnallisessa ilmapiirissä

Jos organisaatio on arvopaperikeskus, sen on otettava seuraavat osapuolet mukaan tieto- ja viestintätekniikan jatkuvuustestaukseen:

• arvopaperikeskuksen käyttäjät
• kriittiset yleishyödylliset palvelut ja palveluntarjoajat
• muut markkinainfrastruktuurit
• kaikki muut laitokset, joilla on riippuvuussuhteita liiketoiminnan jatkuvuuteen

Testauksessa on validoitava toiminnan häiriönsietokyky kaikissa näissä suhteissa ja arvioitava kyky palauttaa normaalit toiminnot kriisitilanteessa.

Jos organisaatio toimii keskusvastapuolena, sen on otettava mukaan:

• selvitysosapuolet
• ulkoiset palveluntarjoajat
• muut rahoituslaitokset, joilla on keskinäisiä riippuvuussuhteita

tieto- ja viestintätekniikan toiminnan jatkuvuussuunnitelmien testaamiseen.

Testauksessa on varmistettava keskusvastapuolen ja näiden sidosryhmien välinen häiriönsietokyky ja tiedonsiirtovirrat uskottavissa häiriöskenaarioissa.

Organisaatio suorittaa erityisiä testejä, jotka koskevat siirtymistä ensisijaisista järjestelmistä varmuuskopioihin, redundanttiseen infrastruktuuriin ja tiloihin.

Tämä testaus koskee kaikkia organisaatioita mikroyrityksiä lukuun ottamatta, ja sen on todennettava:

• Redundanssiasetusten tehokkuus
• varmuuskopiointitoimintojen kesto ja luotettavuus
• voivatko kriittiset tai tärkeät toiminnot toimia siirtymisen aikana.
• organisaation kyky palauttaa täysi palvelu hyväksyttävässä ajassa.

Kuvaus:

Organisaatio varmistaa, että kolmannen osapuolen palveluntarjoajat otetaan tarvittaessa mukaan tieto- ja viestintätekniikan toiminnan jatkuvuussuunnitelmien testaukseen.

Testiskenaarioissa on otettava huomioon:

• Toiminnan häiriöt palveluntarjoajalla
• Palveluntarjoajan maksukyvyttömyyteen tai poliittiseen epävakauteen liittyvät riskit palveluntarjoajan lainkäyttöalueella
• Palveluntarjoajan reagointikapasiteetti ja toipuminen organisaation omien jatkuvuusodotusten mukaisesti

Tulosten on autettava arvioimaan riippuvuusriskejä ja varmistamaan ulkoistettujen kriittisten tai tärkeiden toimintojen jatkuvuus.

Organisaation on määriteltävä kriteerit sille, milloin jatkuvuussuunnitelmat otetaan käyttöön ja milloin ne poistetaan käytöstä. Tämä koskee myös reagointi- ja toipumissuunnitelmia sekä kriisiviestintäsuunnitelmia.

Politiikkaan on sisällytettävä seuraavat aiheet:

• politiikan tavoitteet
• politiikan soveltamisala
• katettava ajanjakso
• suunnitelmien aktivointi- ja deaktivointikriteerit

Politiikkaan on sisällytettävä myös:

• politiikan täytäntöönpanon hallinto ja organisaatio, mukaan lukien roolit ja vastuut
• eskalaatiomenettelyt, joilla varmistetaan riittävien resurssien saatavuus

Politiikassa on otettava huomioon, miten tieto- ja viestintäteknologian jatkuvuussuunnitelmat sopivat yhteen muiden liiketoiminnan jatkuvuussuunnitelmien kanssa.

Politiikkaan on sisällytettävä kriittisten toimintojen enimmäistoipumisaika, joka ei saa ylittää kahta tuntia. Politiikassa on otettava huomioon ulkoiset yhteydet ja riippuvuudet rahoitusalan infrastruktuuriin.

Politiikassa on vaadittava järjestelyjä, jotka koskevat

• kriittisten toimintojen jatkuvuuden varmistamista
• toissijaisen käsittelypaikan ylläpitämistä, jolla voidaan varmistaa jatkuvuus
• toisen toimipaikan ylläpitämistä tai välitöntä pääsyä sinne
• tarpeen arviointia lisäkäsittelypaikoille

Tieto- ja viestintäteknologian toiminnan jatkuvuutta koskevassa politiikassa on otettava huomioon riippuvuudet käyttäjistä, kriittisistä palveluntarjoajista ja muista markkinainfrastruktuureista sekä varmistettava, että kriittiset tai tärkeät toiminnot voidaan palauttaa kahden tunnin kuluessa. Kauppapaikkojen osalta politiikalla on myös varmistettava, että kaupankäyntiä voidaan jatkaa kahden tunnin kuluessa tai lähes kahden tunnin kuluessa häiriöstä ja että tietotekniikkapalveluista aiheutuu mahdollisimman vähän tai ei lainkaan tietojen menetystä.

Organisaation olisi luotava ja dokumentoitava prosessi, jonka avulla se analysoi säännöllisesti kriittisen infrastruktuurinsa haavoittuvuuksia.

Kokonaisvaltaisen haavoittuvuusanalyysin ja vaikutusten arvioinnin keskeisiä vaiheita ovat seuraavat:

• Määritellään ja dokumentoidaan kaikki keskeiset laitteistot, ohjelmistot, verkot ja tiedot, jotka tukevat ydintoimintoja.
• Luodaan erilaisia realistisia skenaarioita, mukaan lukien tekniset viat (esim. laitteistoviat, ohjelmistovirheet), ilkivaltaiset hyökkäykset (esim. verkkohyökkäykset, sisäpiirin uhat) ja luonnonkatastrofit (esim. tulvat, maanjäristykset).
• Analysoidaan kriittisen infrastruktuurin erityiset heikkoudet, joita voitaisiin hyödyntää tai joihin voitaisiin vaikuttaa kussakin tunnistetussa skenaariossa.
• Kunkin skenaarion mahdollisten seurausten kvantifiointi, jossa otetaan huomioon käyttökatkokset, tietojen menetykset, taloudelliset kustannukset, lainsäädännölliset seuraamukset ja maineen vahingoittuminen.
• Laaditaan kattava raportti, jossa esitetään yksityiskohtaisesti haavoittuvuudet, mahdolliset vaikutukset sekä suositellut lieventämisstrategiat ja valvontatoimet.

Organisaation on dokumentoitava ja otettava käyttöön julkinen varoitusjärjestelmä, jonka tarkoituksena on varmistaa julkisten varoitusten keskeytymätön välittäminen vakavien hätätilanteiden ja katastrofien aikana.

Järjestelmän dokumentaatiossa on kuvattava kokonaisarkkitehtuuri ja toimintaprosessit ja yksilöitävä kaikki kriittiset osat virallisen ohjeen vastaanottamisesta varoituksen lopulliseen lähettämiseen.

Varoitusjärjestelmä on suunniteltava niin, että se on erittäin häiriönsietokykyinen ja ettei siinä ole yksittäisiä vikapisteitä. Tähän sisältyy redundanssin toteuttaminen sekä kriittisten komponenttien, kuten virtalähteiden, verkkoyhteyksien ja palvelimien, fyysisen turvallisuuden toteuttaminen ja ylläpitäminen. Automaattisen vikasietoisuusmekanismin olisi oltava käytössä, jotta voidaan varmistaa jatkuva toiminta häiriön aikana.

Organisaation on osana sen kyber-riskienhallintakehystä ylläpidettävä ja tarkistettava digitaalista häiriönsietokyvyn testausohjelmaa. Sen on autettava organisaatiota arvioimaan niiden valmiutta:

• käsitellä ICT:hen liittyviä häiriöitä
• tunnistaa heikkoudet, puutteet ja aukot digitaalisessa häiriönsietokyvyssä
• suorittaa korjaustoimenpiteitä

Testausohjelma:

• tulee sisältää erilaisia arviointeja, testejä ja työkaluja testauksen oikeellisuuden varmistamiseksi.
• tulee suorittaa riskiperusteisesti tunnistaakseen ICT:hen liittyvien riskien kehittyvän maiseman.
• tulee suorittaa riippumattomien osapuolten, ulkoisten tai sisäisten, toimesta varmistamalla riittävät resurssit ja välttämällä eturistiriitoja

Organisaatiolla on oltava prosesseja priorisoida, luokitella ja korjata testausohjelman paljastamat ongelmat.

Osana ohjelmaa organisaation on varmistettava, että kaikki tukevat kriittiset tai tärkeät ICT-järjestelmät ja sovellukset testataan vuosittain.

Organisaatiolla on oltava prosessi tarvittavien tarkastusten suorittamiseksi varmistaakseen tietojen eheyden säilymisen ICT-häiriöstä toivuttaessa.

Tarkastus tulisi tehdä myös silloin, kun tietoja rekonstruoidaan ulkopuolisilta sidosryhmiltä sen varmistamiseksi, että tiedot ovat johdonmukaisia ja oikeita järjestelmien välillä.

Järjestelmien luotettavuuden varmistamiseksi tulisi olla tehtynä seuraavia toimenpiteitä:

• Kahdennukset järjestelmistä
• Suunniteltuja tilapäisratkaisuja ongelmatilanteiden varalle
• Varaosia saatavilla
• Erityiskomponenttien avulla
• Aktiivisella valvonnalla
• Aktiivisilla huoltotoimilla

Tietojärjestelmien, laitteiden ja verkkojen huoltaminen, päivittäminen ja mahdollinen uusiminen tulee suunnitella tarvittavien komponentti- ja ohjelmistopäivitysten toteuttamiseksi ennen mahdollisia vikoja. Komponenttien kriittisyyttä tarkastellessa tulee ottaa huomioon asiakas- ja potilasturvallisuuden näkökulma.

Organisaation on dokumentoitava ennalta toimintatavat tietoturvahäiriöihin reagointiin, joiden avulla varmistetaan liittyvien osastojen, asiakkaiden ja muiden kriittisten kumppanien toiminta tietoturvahäiriötilanteissa.

Organisaation on testattava ja päivitettävä tietoturvahäiriöön reagointia sunnitelluin väliajoin tai merkittävien muutoksien jälkeen. Kriittisille osille organisaation toimintaa suunnitelmia tulisi testata vähintään vuosittain. Testauksen tulokset tulee dokumentoida ja kommunikoida, suunnitelman parantamiseksi.

Organisaation on luotava häiriöön vastaamissuunnitelma kriittisiin tietojärjestelmiin tapahtuvia tietoturvahäiriöitä varten. Vastaamissuunnitelmia tulee myös testata tarvittavien organisaation elementtien toimesta. Suunnitelmassa tulisi ottaa huomioon ainakin:

• Tietojärjestelmän toiminnan tarkoitus ja sen katkeamista varten tarvittavat varautumistoimet
• Palautussuunnitelmat, tavoitteet ja palautuskohteiden priorisointijärjestys
• Vastaussuunnitelmien toteuttamisen roolitus ja rooleihin määrättyjen henkilöiden yhteystiedot
• Normaalin toiminnan jatkuminen tietojärjestelmien tilasta riippumatta.
• Vastaussuunnitelmien jakelu, hyväksyminen ja tarkastaminen

Lisäksi suunnitelman tulisi ainakin:

• Luoda etenemissuunnitelma häiriöiden hallintakyvyn kehittämistä varten
• Kuvata häiriönhallintakyvyn rakenne ja organisaatio
• Antaa mittarit häiriönhallintakyvyn mittaamiseksi

Häiriötilanteessa viestintää sisäisten ja ulkoisten sidosryhmien kanssa täytyy toteuttaa häiriöön vastaamissuunnitelman mukaisesti.

Häiriötilanteessa vastaamissuunnitelman toteutus sidosryhmien kanssa on toteutettava suunnitelman määrittelemällä tavalla.

Palvelua hankittaessa tulee huomioida, että palvelua voi olla hankala kotiuttaa ja toimittajalukkoon jäänyttä palvelua vaikea siirtää toiselle palveluntarjoajalle. Erityisesti vaatimus tulee huomioida hankittaessa pilvipalveluita.

Jatkuvuussuunnitelmissa on huomioitu yhtenä erityistä tarkkuutta vaativana näkökulmana palveluiden kotiuttamiset ja siirrot toiselle palveluntarjoajalle.

Organisaatio on tunnistanut toimintansa jatkuvuuden kannalta kriittiset työtehtävät. Kriittisten tehtävien jatkamiseksi on suunniteltu ja valmisteltu erityistilanteiden vaihtoehtoiset toimintatavat ja henkilöstön saatavuus ja varajärjestelyt.

Jatkuussuunnitelmien toteuttamista varten on nimetty suunnitelmien omistajat, heille varahenkilöt sekä tarkennettu suunnitelman toteuttamiseen tarvittavat muut henkilöt. Lisäksi heidän kykynsä hoitaa tehtävät normaalitilanteissa on varmistettu.

Palvelujen riippuvuus muista palveluista ja toisista toimijoista on otettu huomioon koko tietojenkäsittely-ympäristön ja sen vikasietoisuuden suunnittelussa.

ICT:ltä vaaditut jatkuvuusvaatimukset muodustuvat organisaation tuotteiden ja palveluiden tarjoamiseen liittyville ydinprosesseille muodostettujen jatkuvuussuunnitelmien ja niihin sisältyvien palautusmisaikatavoitteiden kautta.

Organisaation on tunnistettava, millaiset palautumisajat ja palautumispisteet eri ICT-palvelujen on pystyttävä saavuttamaan huomioiden liittyville prosesseille määritellyt palautumistavoitteet, ja varmistettava kyky näiden saavuttamiseen.

Suunnittelussa on huomioitava etenkin:

• vastuut on määritetty ICT-palvelujen häiriöihin valmistautumiseen, hallintaan sekä vastaamiseen
• erityisesti ICT-palveluihin liittyvät jatkuvuussuunnitelmat on luotu, hyväksytty ja niitä testataan säännöllisesti
• jatkuvuussuunnitelmat sisältävät tiedon suorituskykyvaatimuksista, palautumisaikavaatimuksen sekä palautumistoimet jokaiselle tärkeälle ICT-palvelulle sekä palautumispistevaatimukset sekä palauttamistoimet jokaiselle tärkeälle ICT-palvelulle

Organisaation on tunnistettava vaadittu saavutettavuustaso tarjoamilleen palveluille sekä niihin liittyville tietojärjestelmille ja muulle tietojenkäsittely-ympäristölle. Organisaation on suunniteltava järjestelmänsä ja toimintansa niin, että saavutettavuustaso voidaan täyttää.

Vikasietoisen tietojenkäsittely-ympäristön suunnittelussa organisaation tulisi huomioida seuraavat tekijät:

• vikasietoisten verkkojen käyttö
• kahden maantieteellisesti erillisen datakeskuksen käyttö peilatuin tietokannoin
• useiden rinnakkaisten ohjelmistokomponenttien käyttö automaattisella kuormituksen jaolla
• duplikoitujen avainkomponenttien käyttö järjestelmissä (esim. CPU, kiintolevyt, muistit) tai verkoissa (esim. palomuurit, reitittimet, kytkimet)

Esimerkiksi tärkeissä tuotantojärjestelmissä järjestelmien vikasietoisuutta tulisi myös testata säännöllisesti, jotta varmistetaan sujuva vararatkaisuihin siirtymä vikatilanteissa.

Organisaatiolla on selkeä prosessi, jonka mukaisesti se tunnistaa toimintansa kannalta kaikkein kriittisimmät toiminnot (esim. asiakkaille tarjottavat palvelut), joihin kohdistuvat jatkuvuusvaatimukset ovat kaikkein korkeimmat.

Näiden toimintojen kannalta välttämättömät tietojenkäsittely-ympäristön kohteet (kuten tietojärjestelmät, tietovarannot, toimintaprosessit, kumppanit, yksiköt, laitteisto) luokitellaan kriittisiksi.

Kriittiset toiminnot huomioidaan korkeimmalla prioriteetilla mm. jatkuvuussuunnittelussa ja niihin voidaan muutenkin kohdistaa tiukempia turvallisuusvaatimuksia, kuin ympäristön muihin kohteisiin.

Organisaation on huomioitava katastrofeista palautuminen jatkuvuussuunnitelmissaan. Suunnittelulle relevantteja katastrofeja ovat sekä luonnonkatastrofit (mm. tulva, maanjäristys, hurrikaani) että ihmislähtöiset katastrofit (mm. terrori-isku, kemiallinen isku, sisäpiirihyökkäys).

Katastrofisuunnittelussa on jatkuvuussuunnittelua suurempi painoarvo toiminnan turvallisessa palauttamisessa normaalille tasolle. Tämän jälkeen fokus siirtyy normaalin toiminnan jatkamiseen.

Jatkuvuussuunnitelmia tulee päivittää vähintään vuosittain tai merkittävien muutosten jälkeen.

Organisaation tulisi säännöllisesti, vähintään vuosittain, testata ja tarkistaa tietoturvan jatkuvuussuunnitelmansa sen varmistamiseksi, että ne ovat päteviä ja tehokkaita epäsuotuisissa tilanteissa.

Jatkuvuussuunnitelmien testaukseen on tarvittaessa otettava mukaan kunkin suunnitelman kannalta kriittiset sidosryhmät. Organisaation tulisi määritttää ja dokumentoida tarvittavat yhteyshenkilöt toimittajien ja kumppaneiden kanssa.

Lisäksi jatkuvuussuunnitelmien ja niihin liittyvien hallintamekanismien riittävyys olisi arvioitava uudelleen, jos toiminnassa tapahtuu merkittäviä muutoksia.

Organisaation tulisi sisällyttää seuraavat asiat jatkuvuussuunnitteluunsa:

• Suunnitelmat (D)DoS-hyökkäyksiä varten
• Suunnitelmat onnistuneita kiristyshaittaohjelmahyökkäyksiä ja muuta sabotaasia varten.
• Järjestelmähäiriöt
• Luonnonkatastrofit

Jatkuvuussuunnittelussa tulee ottaa huomioon vaihtoehtoiset viestintävaihtoehdot tilanteita varten, joissa ensisijaiset viestintävälineet eivät toimi. Myös varastointi-, sähkö- ja verkkostrategioihin olisi oltava vaihtoehtoisia vaihtoehtoja.

Organisaation tulee luoda kattava kriisinhallintajärjestelmä ja ylläpidettävä sitä. Tähän kuuluu menetelmien käyttöönotto mahdollisten kriisitilanteiden havaitsemiseksi tunnistamalla yleiset indikaattorit ja erityiset ennakoitavat kriisit sekä selkeät menettelyt kriisinhallinnan käynnistämiseksi ja eskaloimiseksi tarvittaessa. On määriteltävä strategiset tavoitteet ja painopisteet, joissa keskitytään esimerkiksi eettisiin näkökohtiin:

• ihmishenkien ja terveyden suojelu
• keskeisimpien liiketoimintaprosessien turvaaminen
• asianmukaisen tietoturvan varmistaminen

kriisinhallintaryhmän muodostus, johon kuuluu edustajia kaikista tärkeimmistä organisaation toiminnoista ja jossa on määritellyt rakenteet, roolit, toimivaltuudet, odotukset, valtuudet ja päätöksentekomenettelyt.

On kehitettävä ja hyväksyttävä kriisinhallintapolitiikat ja -menettelyt, jotka kattavat poikkeukselliset valtuudet ja päätöksentekoprosessit, viestintämenetelmät, hätätilanteiden toimintamenettelyt sekä raportoinnin, tiedonkeruun ja päätöksenteon organisaatiorakenteet.

Koko kriisinhallintasuunnitelmaa olisi tarkistettava ja päivitettävä säännöllisesti, jotta varmistetaan sen jatkuva tehokkuus ja asianmukaisuus.

Organisaatio kehittää säännöllisesti jatkuvuussuunnitelmiaan analysoimalla suunnitelmien testaamista, harjoittelua ja niiden toteutunutta käyttöä tositilanteissa.

Organisaation toimintakyvyn palautustoimet täytyy kommunikoida suunnitelman mukaisesti kriittisille henkilöille ja johdolle organisaation sisällä. Palautustoimet täytyy myös tiedottaa ulkoisille sidosryhmille.

Relevantit henkilöt tuntevat omaan toimintaan liittyvät jatkuvuussuunnitelmat sekä niiden tarkemmat sisällöt riittävän tarkasti ja osaavat toimia niiden mukaisesti.

Organisaation on ylläpidettävä ylätason strategiaa jatkuvuussuunnittelulle. Strategian on sisällettävä vähintään:

• Ohjenuorat jatkuvuussuunnittelun aikatavoitteiden sekä jatkuvuussuunnitelmia vaativien tapahtumien määrittämiselle
• Johdon sitoumus jatkuvuussuunnitteluun ja sen parantamiseen
• Kuvaus organisaation riskinottohalukkuudesta

Strategian laatimiseksi voi olla tarpeen hyödyntää yleisiä hyviä käytäntöjä esim. ISO 22300 -standardeista.

Organisaatio on määritellyt toimintatavat viestiäkseen tehokkaasti sidosryhmien ja muiden osallistujien jatkuvuussuunnitelmien ja selviytymismenettelyjen aikana.

Jatkuvuussuunnitelmiin liittyvien viestintäsuunnitelmien on sisällettävä:

• Vastuuhenkilöt, liittyvät sidosryhmät ja muut tarvittavat yhteystiedot
• Selkeät kriteerit tilanteelle, jossa jatkuvuusviestintää aletaan toteuttaa
• Selkeä kuvaus jatkuvuusviestintää kussakin tilanteessa toteuttavasta henkilöstö sekä vastaanottajista, joille viestintää lähetetään
• Viittaukset käytettäviin viestipohjiin sekä käytettäviin työkaluihin liittyen

Organisaation tulisi määrittää vaatimukset, jotka koskevat tietoturvallisuuden hallinnan jatkuvuutta kriisin tai katastrofin aikana.

Tietoturvan hallinnassa voidaan joko olettaa, että tietoturvavaatimukset ovat samat epäsuotuisissa tilanteissa kuin normaaleissa toimintaolosuhteissa, tai pyrkiä erikseen määrittämään epäsuotuisiin tilanteisiin soveltuvat tietoturvavaatimukset.