Digiturvamalli
Digiturvamallin sisältökirjastoRiskien hallinta ja johtaminenJatkuvuuden hallinta

Häiriöön vastaamissuunnitelman kehittäminen kriittisille tietojärjestelmille

The organization shall establish a incident response plan for security incidents to critical information systems. Response plans should also be tested by the necessary organizational elements. The plan should take into account at least:

 • The purpose of the information system and the precautions to be taken in the event of its disruption
 • Recovery plans, targets, and priorities for the order of recovery of assets
 • The role of implementing the response plans and the contact details of the persons assigned to the roles
 •  Continuation of normal operations regardless of the state of the information systems.
 • Distribution, approval and review of response plans

In addition, the plan should at least:

 • Establish a roadmap for developing disruption management capacity
 • Describe the structure and organization of incident management capability
 • Provides metrics to measure incident management capability

Tehtävään liittyvät Digiturvamallin ominaisuudet

Näytä vaatimustenmukaisuus raporttikirjaston avulla

Digiturvamalli sisältää raporttikirjaston, josta löytyvät omat raporttipohjat jokaiselle vaatimuskehikolle.

Olipa kuulijana oma johto, viranomainen, auditoija tai asiakas, saat tarvittavan raportin muodostettua yhdellä klikkauksella.

Lue lisää raportoinnista

Vastuuta tehtävät ja kuvaa oma toteutus

Tehtävälistat sisältävät digiturvan ydinasiat. Päätä, mitkä tehtävät teillä hoidetaan ja kuka vastaa. Näet vaaditut tehtävät suoraan valitun vaatimuskehikon perusteella, ja voit halutessasi täydentää listaa omilla.

Lue lisää tietoturvatehtävistä

Jakele ohjeet automaattisesti ja valvo lukemista

Kohdista ohjeet kaikilla tai vain relevanteille yksiköille. Saat ehdotuksia suoraan valitun vaatimuskehikon perusteella ja voit lisätä omat ohjeenne.

Työntekijöille ohjeet jaellaan Teams-botin kautta. Botti ei myöskään anna lukemisen unohtua.

Lue lisää tietoturvaohjeista

Dokumentoi esimerkkien ja älykkäiden pohjien avulla

Digiturvamalli sisältää älykkäät mallipohjat mm. järjestelmien, henkilötietojen ja riskien dokumentointiin. Et turhaan kirjoita tai piirrä, vaan klikkailet linkittäen tietoja, jolloin automaattinen raportointi mahdollistuu.

Lue lisää dokumentoinnista

Tehtävään liittyvät vaatimukset eri vaatimuskehikoista

Saman teeman muita tehtäviä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Tietoturvallisuuden jatkuvuutta koskevat vaatimukset

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation tulisi määrittää vaatimukset, jotka koskevat tietoturvallisuuden hallinnan jatkuvuutta kriisin tai katastrofin aikana.

Tietoturvan hallinnassa voidaan joko olettaa, että tietoturvavaatimukset ovat samat epäsuotuisissa tilanteissa kuin normaaleissa toimintaolosuhteissa, tai pyrkiä erikseen määrittämään epäsuotuisiin tilanteisiin soveltuvat tietoturvavaatimukset.

Organisaation jatkuvuussuunnitelun strategian määrittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on ylläpidettävä ylätason strategiaa jatkuvuussuunnittelulle. Strategian on sisällettävä vähintään:

 • Ohjenuorat jatkuvuussuunnittelun aikatavoitteiden sekä jatkuvuussuunnitelmia vaativien tapahtumien määrittämiselle
 • Johdon sitoumus jatkuvuussuunnitteluun ja sen parantamiseen
 • Kuvaus organisaation riskinottohalukkuudesta

Strategian laatimiseksi voi olla tarpeen hyödyntää yleisiä hyviä käytäntöjä esim. ISO 22300 -standardeista.

Jatkuvuussuunnitelmien määrittely ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Joskus yllättävä tapahtuma, kuten tulipalo, tulva tai laiterikko, voi aiheuttaa toiminnan keskeytyksen. Jotta toimintaa pystyttäisiin jatkamaan mahdollisimman pian ja sujuvasti, tehdään jatkuvuussuunnittelua, eli suunnitellaan etukäteen toiminta poikkeustilanteiden varalle.

Jokaiseen jatkuvuussuunnitelmaan sisältyvät vähintään seuraavat tiedot:

 • Tapahtuma, jonka varalle suunnitelma on tehty
 • Tavoiteaika palautumiselle
 • Vastuuhenkilöt sekä liittyvät sidosryhmät ja yhteystiedot
 • Suunnitellut välittömät toimet
 • Suunnitellut toipumisen askeleet

Katastrofien huomiointi jatkuvuussuunnittelussa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on huomioitava katastrofeista palautuminen jatkuvuussuunnitelmissaan. Suunnittelulle relevantteja katastrofeja ovat sekä luonnonkatastrofit (mm. tulva, maanjäristys, hurrikaani) että ihmislähtöiset katastrofit (mm. terrori-isku, kemiallinen isku, sisäpiirihyökkäys).

Katastrofisuunnittelussa on jatkuvuussuunnittelua suurempi painoarvo toiminnan turvallisessa palauttamisessa normaalille tasolle. Tämän jälkeen fokus siirtyy normaalin toiminnan jatkamiseen.

Jatkuvuussuunnitelmia tulee päivittää vähintään vuosittain tai merkittävien muutosten jälkeen.

Jatkuvuussuunnitelmiin liittyvä viestintä sidosryhmille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio on määritellyt toimintatavat viestiäkseen tehokkaasti sidosryhmien ja muiden osallistujien jatkuvuussuunnitelmien ja selviytymismenettelyjen aikana.

Jatkuvuussuunnitelmiin liittyvien viestintäsuunnitelmien on sisällettävä:

 • Vastuuhenkilöt, liittyvät sidosryhmät ja muut tarvittavat yhteystiedot
 • Selkeät kriteerit tilanteelle, jossa jatkuvuusviestintää aletaan toteuttaa
 • Selkeä kuvaus jatkuvuusviestintää kussakin tilanteessa toteuttavasta henkilöstö sekä vastaanottajista, joille viestintää lähetetään
 • Viittaukset käytettäviin viestipohjiin sekä käytettäviin työkaluihin liittyen

ICT-palveluilta vaaditun jatkuvuuskyvyn tunnistaminen ja testaaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

ICT:ltä vaaditut jatkuvuusvaatimukset muodustuvat organisaation tuotteiden ja palveluiden tarjoamiseen liittyville ydinprosesseille muodostettujen jatkuvuussuunnitelmien ja niihin sisältyvien palautusmisaikatavoitteiden kautta.

Organisaation on tunnistettava, millaiset palautumisajat ja palautumispisteet eri ICT-palvelujen on pystyttävä saavuttamaan huomioiden liittyville prosesseille määritellyt palautumistavoitteet, ja varmistettava kyky näiden saavuttamiseen.

Suunnittelussa on huomioitava etenkin:

 • vastuut on määritetty ICT-palvelujen häiriöihin valmistautumiseen, hallintaan sekä vastaamiseen
 • erityisesti ICT-palveluihin liittyvät jatkuvuussuunnitelmat on luotu, hyväksytty ja niitä testataan säännöllisesti
 • jatkuvuussuunnitelmat sisältävät tiedon suorituskykyvaatimuksista, palautumisaikavaatimuksen sekä palautumistoimet jokaiselle tärkeälle ICT-palvelulle sekä palautumispistevaatimukset sekä palauttamistoimet jokaiselle tärkeälle ICT-palvelulle

Tietoturvahäiriöiden huomiointi jatkuvuussuunnittelussa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on dokumentoitava ennalta toimintatavat tietoturvahäiriöihin reagointiin, joiden avulla varmistetaan liittyvien osastojen, asiakkaiden ja muiden kriittisten kumppanien toiminta tietoturvahäiriötilanteissa.

Jatkuvuussuunnittelmien säännöllinen testaus ja katselmointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation tulisi säännöllisesti, vähintään vuosittain, testata ja katselmoida tietoturvallisuuden jatkuvuuteen liittyviä suunnitelmia, jotta voidaan varmistaa, että ne ovat päteviä ja vaikuttavia epäsuotuisissa tilanteissa.

Jatkuvuussuunnitelmien testaukseen osallistetaan tarvittaessa kullekin suunnitelmalle kriittiset sidosryhmät.

Lisäksi toiminnan merkittävissä muutostilanteissa tulisi uudelleenarvioida jatkuvuussuunnitelmien sekä niihin liittyvien hallintamekanismien riittävyyttä.

Kriittisten toimintojen huomiointi riskienhallinnassa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on tunnistettava sen toiminnan jatkuvuuden kannalta kriittiset toiminnot (esim. asiakkaalle tarjottavat palvelut).

Kriittisiin toimintoihin liittyviä riskejä tulisi tunnistaa, arvioida sekä käsitellä korostetusti sekä säännöllisesti yhteistyössä palveluntoimittajien kanssa.

Kriittisten toimintojen ja liittyvien kohteiden tunnistaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiolla on selkeä prosessi, jonka mukaisesti se tunnistaa toimintansa kannalta kaikkein kriittisimmät toiminnot (esim. asiakkaille tarjottavat palvelut), joihin kohdistuvat jatkuvuusvaatimukset ovat kaikkein korkeimmat.

Näiden toimintojen kannalta välttämättömät tietojenkäsittely-ympäristön kohteet (kuten tietojärjestelmät, tietovarannot, toimintaprosessit, kumppanit, yksiköt, laitteisto) luokitellaan kriittisiksi.

Kriittiset toiminnot huomioidaan korkeimmalla prioriteetilla mm. jatkuvuussuunnittelussa ja niihin voidaan muutenkin kohdistaa tiukempia turvallisuusvaatimuksia, kuin ympäristön muihin kohteisiin.

Siedettävien toimintakatkosten määrittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation tulisi määritellä jokaisen tunnistetun kriittisen toiminnon suhteen, kuinka pitkä toimintakatkos siedetään ilman, että organisaation toiminta häiriintyy.

Määrittelyssä on otettava huomioon:

 • Lainsäädännön vaatimukset liittyen organisaation järjestelmien, rekistereiden ja palveluiden saatavuuteen
 • Oman toiminnan ja sidosryhmien vaatimukset

Tietojenkäsittely-ympäristön vikasietoisuuden varmistaminen ja testaaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on tunnistettava vaadittu saavutettavuustaso tarjoamilleen palveluille sekä niihin liittyville tietojärjestelmille ja muulle tietojenkäsittely-ympäristölle. Organisaation on suunniteltava järjestelmänsä ja toimintansa niin, että saavutettavuustaso voidaan täyttää. 

Vikasietoisen tietojenkäsittely-ympäristön suunnittelussa organisaation tulisi huomioida seuraavat tekijät:

 • vikasietoisten verkkojen käyttö
 • kahden maantieteellisesti erillisen datakeskuksen käyttö peilatuin tietokannoin
 • useiden rinnakkaisten ohjelmistokomponenttien käyttö automaattisella kuormituksen jaolla
 • duplikoitujen avainkomponenttien käyttö järjestelmissä (esim. CPU, kiintolevyt, muistit) tai verkoissa (esim. palomuurit, reitittimet, kytkimet)

Esimerkiksi tärkeissä tuotantojärjestelmissä järjestelmien vikasietoisuutta tulisi myös testata säännöllisesti, jotta varmistetaan sujuva vararatkaisuihin siirtymä vikatilanteissa.

Palveluriippuvuuksien huomiointi vikasietoisuuden suunnittelussa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Palvelujen riippuvuus muista palveluista ja toisista toimijoista on otettu huomioon koko tietojenkäsittely-ympäristön ja sen vikasietoisuuden suunnittelussa.

Kriittisten tehtävien jatkuvuus erityistilanteissa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio on tunnistanut toimintansa jatkuvuuden kannalta kriittiset työtehtävät. Kriittisten tehtävien jatkamiseksi on suunniteltu ja valmisteltu erityistilanteiden vaihtoehtoiset toimintatavat ja henkilöstön saatavuus ja varajärjestelyt.

Jatkuussuunnitelmien toteuttamista varten on nimetty suunnitelmien omistajat, heille varahenkilöt sekä tarkennettu suunnitelman toteuttamiseen tarvittavat muut henkilöt. Lisäksi heidän kykynsä hoitaa tehtävät normaalitilanteissa on varmistettu.

Henkilöstön tietoisuus jatkuvuussuunnitelmista

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Relevantit henkilöt tuntevat omaan toimintaan liittyvät jatkuvuussuunnitelmat sekä niiden tarkemmat sisällöt riittävän tarkasti ja osaavat toimia niiden mukaisesti.

Palveluntarjoajien siirtojen huomiointi jatkuvuussuunnitelmissa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Palvelua hankittaessa tulee huomioida, että palvelua voi olla hankala kotiuttaa ja toimittajalukkoon jäänyttä palvelua vaikea siirtää toiselle palveluntarjoajalle. Erityisesti vaatimus tulee huomioida hankittaessa pilvipalveluita.

Jatkuvuussuunnitelmissa on huomioitu yhtenä erityistä tarkkuutta vaativana näkökulmana  palveluiden kotiuttamiset ja siirrot toiselle palveluntarjoajalle.

Palautumistoimintojen kommunikointi sidosryhmille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation toimintakyvyn palautustoimet täytyy kommunikoida suunnitelman mukaisesti kriittisille henkilöille ja johdolle organisaation sisällä. Palautustoimet täytyy myös tiedottaa ulkoisille sidosryhmille.

Häiriöön vastaamissuunnitelman toteutus sidosryhmien kanssa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Häiriötilanteessa vastaamissuunnitelman toteutus sidosryhmien kanssa on toteutettava suunnitelman määrittelemällä tavalla.

Häiriöön vastaamissuunnitelman mukainen viestintä häiriötilanteessa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Häiriötilanteessa viestintää sisäisten ja ulkoisten sidosryhmien kanssa täytyy toteuttaa häiriöön vastaamissuunnitelman mukaisesti.

Tietoturvahäiriöihin liittyvien jatkuvuussuunnitelmien testaus ja katselmointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on testattava ja päivitettävä tietoturvahäiriöön reagointia sunnitelluin väliajoin tai merkittävien muutoksien jälkeen. Kriittisille osille organisaation toimintaa suunnitelmia tulisi testata vähintään vuosittain. Testauksen tulokset tulee dokumentoida ja kommunikoida, suunnitelman parantamiseksi.

Jatkuvuussuunnitelmien jatkuva parantaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on parannettava jatkuvuussuunnitelmiaan analysoimalla suunnitelmien testaamista, harjoittelua ja niiden toteutunutta käyttöä tositilanteissa.

Tietoturvapolitiikat
Riskien hallinta ja johtaminen
Jatkuvuuden hallinta
Häiriöön vastaamissuunnitelman kehittäminen kriittisille tietojärjestelmille
on tietoturvatoimenpide, jolla vastataan mm. seuraaviin tietoturvavaatimuksiin:
RS.RP: Response Planning
(
NIST
)  
RS.RP-1: Incident response plan
(
NIST
)  
HAL-17: Tietojärjestelmien toiminnallinen käytettävyys ja vikasietoisuus
(
Julkri
)  
VAR-09: Tietojärjestelmien toipumissuunnitelmat
(
Julkri
)  
6.3 (MIL2): Respond to Cybersecurity Incidents
(
C2M2
)  
Yleensä tämä toimenpide nähdään osaksi
Riskien hallinta ja johtaminen
-teemaa sekä
Jatkuvuuden hallinta
-politiikkaa.
Alla on esimerkki kokonaisuudesta, joka voi muodostaa kyseisen politiikan. Omaan politiikkaa voit lähteä jalkauttaamaan perustamalla ilmaisen Digiturvamalli-tilin.

Jatkuvuuden hallinta

-politiikka

Kaikki tehtävät
No items found.
No items found.