.png)
Organisaation olisi määriteltävä, dokumentoitava ja ylläpidettävä liiketoiminnan jatkuvuuden hallintajärjestelmänsä (BCMS) soveltamisala. Soveltamisalassa on määriteltävä BCMS:n rajat ja sovellettavuus ottaen huomioon sisäiset ja ulkoiset tekijät, sidosryhmien vaatimukset ja organisaation tavoitteet. Sen olisi nimenomaisesti yksilöitävä siihen sisältyvät tuotteet, palvelut ja toiminnot, perusteltava mahdolliset poikkeukset ja oltava riittävä kaikkien jatkuvuusvelvoitteiden täyttämiseksi.
Organisaation olisi tehtävä virallinen liiketoimintavaikutusanalyysi priorisoitujen liiketoimintojen tunnistamiseksi. Tässä analyysissä olisi arvioitava häiriöiden kasvavat seuraukset kullekin kriittiselle toiminnolle ajan mittaan käyttäen määriteltyjä kriteerejä sen määrittämiseksi, missä vaiheessa vaikutuksia ei enää voida hyväksyä.
Organisaation olisi pantava täytäntöön valitut liiketoiminnan jatkuvuusstrategiat ja -ratkaisut, mukaan lukien tarvittava infrastruktuuri, prosessit ja henkilöstöjärjestelyt, varmistaakseen kriittisten toimintojen jatkuvuuden häiriötilanteiden aikana. Tähän sisältyy palautuspaikkojen, varajärjestelmien ja vaihtoehtoisten viestintäkanavien käyttöönotto sekä tarvittavien toimintamenettelyjen luominen.
Organisaation olisi säännöllisesti testattava ja validoitava käyttöön otetut toiminnan jatkuvuutta koskevat ratkaisut ja järjestelyt, jotta varmistetaan niiden jatkuva toimintavalmius ja luotettava aktivointi tarvittaessa. Tähän kuuluu harjoitusten, simulaatioiden ja täysimittaisten harjoitusten suorittaminen, jotta voidaan varmistaa palautumisvalmiudet, tunnistaa puutteet ja kouluttaa henkilöstöä aktivointimenettelyihin.
Organisaation olisi luotava prosessi liiketoiminnan jatkuvuusstrategioiden ja -ratkaisujen arviointia ja valintaa varten. Prosessilla olisi varmistettava, että valitut ratkaisut pystyvät jatkamaan ja ylläpitämään priorisoituja toimintoja vaaditulla toimintakapasiteetilla ja määritellyissä palautumisaikatauluissa. Valinnan olisi myös oltava linjassa organisaation määritellyn riskinottohalukkuuden kanssa.
Organisaation olisi järjestelmällisesti arvioitava ehdotettuja liiketoiminnan jatkuvuusstrategioita ja -ratkaisuja. Arvioinnissa olisi arvioitava, miten tehokkaasti ne mahdollistavat priorisoitujen toimintojen palauttamisen ennalta määritellyissä aikatauluissa ja vaaditulla toimintakapasiteetilla. Lisäksi arvioinnissa olisi tarkasteltava, kuinka hyvin strategiat suojaavat kriittisiä toimintoja, vähentävät häiriöiden todennäköisyyttä, lyhentävät häiriöiden kestoa ja minimoivat vaikutukset tuotteisiin ja palveluihin.
Organisaation olisi otettava käyttöön virallinen muutoksenhallintaprosessi kaikkia toiminnan jatkuvuuden hallintajärjestelmään (BCMS) tehtäviä muutoksia varten. Prosessiin olisi kuuluttava muutoksen perustelujen, sen mahdollisten seurausten, järjestelmän eheyteen kohdistuvien vaikutusten, resurssien riittävyyden sekä tarvittavien roolien ja vastuiden mukautusten arviointi.
Organisaation olisi laadittava ja dokumentoitava kutakin johdon katselmusta varten kattavat tiedot.
Arvioinnin panosten tulisi sisältää tietoa seuraavista asioista:
Ylimmän johdon olisi varmistettava, että liiketoiminnan jatkuvuuden hallintajärjestelmän (BCMS) roolit, vastuut ja valtuudet on jaettu ja niistä on tiedotettu. Tähän on sisällyttävä erityisten vastuualueiden määrittäminen:
Organisaatiossa on määriteltävä ja ymmärrettävä kaikki liiketoiminnan jatkuvuuden kannalta olennaiset roolit sekä niiden vastuut ja valtuudet.
Organisaatio on määritellyt, mistä liiketoiminnan jatkuvuuden hallintajärjestelmään liittyvistä asioista on tiedotettava säännöllisesti. Suunnitelman on sisällettävä vastaukset esimerkiksi seuraaviin kohtiin:
Tehtävän omistaja huolehtii suunnitelman toteuttamisesta ja sen tehokkuuden säännöllisestä arvioinnista.
Kussakin toiminnan jatkuvuussuunnitelmassa on määriteltävä sen soveltamisala, tavoitteet, resurssivaatimukset ja riippuvuudet, jotka tukevat kriittisten toimintojen elvyttämistä. Suunnitelmassa on määriteltävä viestintäprotokollat, joita käytetään aktivointi-, reagointi-, toipumis- ja alasajovaiheissa. Näissä protokollissa on määriteltävä sisäisen ja ulkoisen viestinnän vastuut, sidosryhmille tehtävät ilmoitukset ja käytettävät viestintäkanavat.
Kunkin suunnitelman on myös sisällettävä valmiustilamenettelyt, joissa kuvataan, miten ja milloin vastatoimet saatetaan virallisesti päätökseen, siirrytään normaaliin toimintaan ja ilmoitetaan kaikille asiaankuuluville sidosryhmille valmiustilannepäätöksestä.
Organisaation olisi laadittava ja ylläpidettävä jäsennelty ohjelma toiminnan jatkuvuuden hallintajärjestelmänsä (BCMS) jatkuvaa parantamista varten. Ohjelmassa olisi järjestelmällisesti kerättävä ja analysoitava suorituskyvyn arvioinneista, sisäisistä auditoinneista, johdon arvioinneista ja tapahtumien jälkitarkastuksista saatuja tietoja, jotta voidaan ennakoivasti tunnistaa mahdollisuudet parantaa BCMS:n soveltuvuutta, riittävyyttä ja tehokkuutta. Tunnistetut parannusmahdollisuudet olisi asetettava tärkeysjärjestykseen, suunniteltava, toteutettava ja seurattava, jotta varmistetaan niiden onnistunut sisällyttäminen BCMS:ään.
Organisaation olisi otettava käyttöön prosessi, jolla määritetään, tarjotaan ja tarkistetaan resurssit, joita tarvitaan liiketoiminnan jatkuvuuden hallintajärjestelmän (BCMS) perustamiseen, toteuttamiseen, ylläpitoon ja jatkuvaan parantamiseen. Tähän sisältyy sen varmistaminen, että riittävät inhimilliset, taloudelliset, tekniset ja fyysiset resurssit on varattu ja että ne pysyvät riittävinä koko BCMS:n elinkaaren ajan.
Organisaation olisi otettava käyttöön kattava prosessi, jonka avulla se seuraa, mittaa, analysoi ja arvioi toiminnan jatkuvuudenhallintajärjestelmänsä (BCMS) operatiivista suorituskykyä ja tehokkuutta. Prosessissa olisi määriteltävä seurattavien asioiden laajuus, määriteltävä sopivat tiedonkeruu- ja analyysimenetelmät pätevien tulosten varmistamiseksi ja määriteltävä selkeät aikataulut ja vastuut näille toimille. Kaikki seurannan, mittauksen, analyysin ja arvioinnin tulokset olisi säilytettävä dokumentoituina tietoina, jotta voidaan todistaa BCMS:n yleinen tehokkuus.
Organisaation olisi suoritettava järjestelmällinen arviointi kaikkien niiden resurssien tunnistamiseksi, joita tarvitaan liiketoiminnan jatkuvuusstrategioiden menestyksekkääseen toteuttamiseen. Näihin kuuluvat henkilöstö, olennaiset tiedot ja tietovarannot, fyysinen infrastruktuuri, kuten toimipaikat ja niihin liittyvät yleishyödylliset palvelut, laitteet ja tarvikkeet, teknologia- ja viestintäinfrastruktuuri, kuljetuslogistiikka, taloudellinen tuki sekä riippuvuudet ulkoisista kumppaneista ja toimittajista. Arvioinnissa olisi määritettävä näiden resurssien määrä, tyyppi ja saatavuus.
Organisaation olisi laadittava ja otettava virallisesti käyttöön toiminnan jatkuvuutta koskeva politiikka. Politiikan olisi oltava linjassa organisaation strategisen tarkoituksen kanssa, ja sen olisi tarjottava selkeä kehys liiketoiminnan jatkuvuustavoitteiden asettamiselle. Politiikassa on myös nimenomaisesti todettava organisaation sitoutuminen kaikkien sovellettavien liiketoiminnan jatkuvuutta koskevien vaatimusten täyttämiseen ja liiketoiminnan jatkuvuuden hallintajärjestelmän jatkuvaan parantamiseen.
Organisaation olisi järjestelmällisesti validoitava liiketoiminnan jatkuvuusohjelmansa tehokkuus, mukaan lukien liiketoiminnan vaikutusanalyysi (BIA), riskinarvioinnit ja jatkuvuussuunnitelmat. Tässä validoinnissa olisi hyödynnettävä esimerkiksi harjoituksia ja vaaratilanteen jälkeistä analyysia. Kaikki näistä arvioinneista saadut havainnot olisi viipymättä sisällytettävä päivitettyihin asiakirjoihin.
Organisaation olisi otettava käyttöön järjestelmällinen prosessi, jolla varmistetaan, että kaikki toiminnan jatkuvuudenhallintajärjestelmän (BCMS) johdon arvioinneissa määrätyt seurantatoimet ja mukautukset toteutetaan ajallaan. Tähän sisältyy toteutettujen muutosten edistymisen seuranta ja tehokkuuden todentaminen.
Organisaation olisi laadittava ja ylläpidettävä virallista ohjelmaa, jonka avulla voidaan ymmärtää ja hallita toiminnan keskeytysten seurauksia. Tässä ohjelmassa olisi määriteltävä laajuus, vastuut ja prosessit, joiden avulla voidaan suorittaa liiketoiminnan vaikutusten analyysi ja riskinarviointitoimet osana BCMS:ää.
Organisaation olisi varmistettava, että sen liiketoiminnan jatkuvuuspolitiikka on virallisesti dokumentoitu, ylläpidetty ja siitä tiedotetaan. Toimintaperiaatteista olisi tiedotettava tehokkaasti kaikille asiaankuuluville sisäisille työntekijöille, ja ne olisi tarvittaessa saatettava asianmukaisten ulkoisten sidosryhmien saataville.
Organisaation olisi määriteltävä erityiset, mitattavissa olevat liiketoiminnan jatkuvuustavoitteet asiaankuuluville toiminnoille. Näiden tavoitteiden olisi oltava linjassa jatkuvuuspolitiikan kanssa, ja ne olisi dokumentoitava. Tavoitteiden seurantaa, tiedottamista ja säännöllistä päivittämistä varten olisi oltava käytössä prosessi.
Organisaation olisi otettava käyttöön systemaattinen prosessi, jolla liiketoiminnan jatkuvuuden hallintajärjestelmää (BCMS) parannetaan ja hiotaan jatkuvasti koko sen elinkaaren ajan. Tässä prosessissa olisi hyödynnettävä suorituskyvyn arviointeja, auditointituloksia ja johdon arviointeja parannusmahdollisuuksien tunnistamiseksi ja käsittelemiseksi.
The organization should establish, implement, and maintain a comprehensive Business Continuity Management System (BCMS) that aligns with its context and strategic direction. This includes defining the overall framework, policies, and objectives for business continuity.
Toiminnan jatkuvuutta koskevan harjoituksen tai testin jälkeen organisaation olisi laadittava virallinen raportti, jossa dokumentoidaan tulokset, suositukset ja tunnistetut korjaavat toimet. Organisaation on sitten toteutettava tarvittavat parannukset näiden havaintojen perusteella varmistaakseen toiminnan jatkuvuuden jatkuvuuden puitteidensa jatkuvan elinkelpoisuuden ja tehokkuuden.
Organisaation on Asiakastietolain 41 §:n mukaisesti ilmoitettava tietojärjestelmän tuottajalle, mikäli järjestelmässä ilmenee poikkeama järjestelmien olennaisista vaatimuksista. Poikkeamia on kuvattu THL:n määräyksen 5/2021 luvussa 10.4.
Tietojärjestelmien merkittävistä poikkeamista on ilmoitettava Valviralle, erityisesti tilanteissa, joissa poikkeama voi aiheuttaa merkittävän riskin asiakas- tai potilasturvallisuudelle tai tietoturvalle. Merkittävien poikkeamien korjaamiseksi on ryhdyttävä korjaaviin toimenpiteisiin.
Tiedonhallintayksikön on suoritettava olennaiset riskiarvioinnit sen tietoaineistojen käsittelyn, tietojärjestelmien hyödyntämisen ja toiminnan jatkuvuuden suhteen. Riskiarvioinnin perusteella tiedonhallintayksikön on:
a) Laadittava valmiussuunnitelmat ja etukäteisvalmistelut häiriötilanteiden varalle.
b) Suoritettava muut tarvittavat toimenpiteet, jotta tietoaineistojen käsittely, tietojärjestelmien hyödyntäminen ja niihin perustuva toiminta voivat jatkua mahdollisimman häiriöttömästi normaaliolojen häiriötilanteissa sekä valmiuslaissa (1552/2011) tarkoitetuissa poikkeusoloissa.
Joskus yllättävä tapahtuma, kuten tulipalo, tulva tai laiterikko, voi aiheuttaa toiminnan keskeytyksen. Jotta toimintaa pystyttäisiin jatkamaan mahdollisimman pian ja sujuvasti, tehdään jatkuvuussuunnittelua, eli suunnitellaan etukäteen toiminta poikkeustilanteiden varalle.
Jokaiseen jatkuvuussuunnitelmaan sisältyvät vähintään seuraavat tiedot:
Organisaation olisi dokumentoitava nimetyn liiketoiminnan jatkuvuutta käsittelevän ryhmän (ryhmien) roolit, vastuualueet ja valtuudet. Asiakirjoihin olisi sisällyttävä menettelyt aktivointia, toimintaa ja viestintää varten, jotta voidaan varmistaa tehokas reagointi häiriötilanteisiin.
Organisaation olisi varmistettava, että kaikkia varoitus- ja viestintämenettelyjä harjoitellaan säännöllisesti osana organisaation harjoitusohjelmaa niiden tehokkuuden validoimiseksi ja toimintavalmiuksien parantamiseksi.
Organisaation olisi analysoitava perusteellisesti ehdotettuihin jatkuvuusratkaisuihin liittyvät taloudelliset investoinnit ja toimintakustannukset. Analyysissä olisi punnittava kustannuksia suhteessa odotettuihin hyötyihin ja ratkaisujen käyttöönotolla saavutettavaan riskien vähenemiseen.
Organisaation olisi varmistettava, että valittua jatkuvuusstrategiaa tuetaan riittävillä resursseilla. Tähän sisältyy sen varmistaminen, että valitun lähestymistavan toteuttamiseen ja ylläpitoon on käytettävissä riittävästi henkilöstöä, rahoitusta ja teknisiä resursseja.
Organisaation olisi varmistettava, että koko henkilöstölle tiedotetaan toiminnan jatkuvuuden hallintajärjestelmän (BCMS) vaatimusten noudattamatta jättämisen mahdollisista kielteisistä seurauksista. Tähän kuuluu myös ymmärrys vaikutuksista toiminnan häiriönsietokykyyn, organisaation maineeseen ja yksilön vastuuseen.
Kaikki liiketoiminnan jatkuvuussuunnitelmat olisi säilytettävä tavalla, joka varmistaa niiden saatavuuden kaikkina aikoina, myös häiriötilanteen aikana. Tähän sisältyy vaihtoehtoisten säilytyspaikkojen ja -menetelmien harkitseminen sen varmistamiseksi, että asianomainen henkilöstö voi tarvittaessa hakea ja käyttää suunnitelmia.
Jokaisessa toiminnan jatkuvuussuunnitelmassa olisi määriteltävä selkeästi erityiset olosuhteet tai laukaisevat tekijät, jotka edellyttävät sen aktivointia. Siinä olisi myös hahmotettava välittömät menettelyt henkilöstön turvallisuuden ja hyvinvoinnin varmistamiseksi ja uusien menetysten estämiseksi häiriötilanteen jälkeen.
Liiketoiminnan jatkuvuutta koskevassa strategisessa kehyksessä olisi määriteltävä vaihtoehdot häiriöiden hallintaan koko niiden elinkaaren ajan, mukaan lukien häiriön lieventäminen ennen tapahtumaa, reagointi tapahtuman aikana ja toipuminen tapahtuman jälkeen. Näihin strategioihin olisi sisällytettävä erityisiä teknisiä tai menettelyllisiä ratkaisuja, joilla saavutetaan toiminnan häiriönsietokyky.
Organisaation olisi dokumentoitava BCMS:n suorituskyvyn arvioinnin tulokset selkeässä ja esityskelpoisessa muodossa. Dokumentoinnin tulisi sisältää kaikki seurannan, mittausten ja analyysien tulokset, jotta BCMS:n yleinen tehokkuus voidaan osoittaa.
Organisaation olisi säilytettävä dokumentoitua tietoa todisteena siitä, että sen prosessit toteutetaan suunnitelman mukaisesti. Tähän kuuluu kirjanpito, jolla osoitetaan, että toiminnan suunnittelu, muutosten hallinta ja ulkoistettujen prosessien valvonta on toteutettu tehokkaasti.
Organisaation olisi varmistettava, että kaikki dokumentoidut liiketoiminnan jatkuvuusmenettelyt kehitetään nimenomaisesti organisaation ennalta valittujen liiketoiminnan jatkuvuusstrategioiden ja -ratkaisujen pohjalta. Menettelyt olisi suunniteltava riittävän joustaviksi, jotta ne pysyvät mukautuvina ja tehokkaina organisaation hallinnassa koko kriisin dynaamisen luonteen ajan.
Organisaation olisi tiedotettava toiminnan jatkuvuuden hallintajärjestelmän (BCMS) johtamiskatselmusten tuloksista ja virallisista päätöksistä kaikille asiaankuuluville sisäisille ja ulkoisille sidosryhmille tietoisuuden ja yhdenmukaisuuden varmistamiseksi.
Organisaation olisi otettava käyttöön prosessi, jonka avulla se voi tarkistaa yritysvaikutusten analyysin (BIA) ja riskinarviointiasiakirjat varmistaakseen niiden jatkuvan pätevyyden. Tarkistuksia olisi tehtävä suunnitelluin väliajoin, ja ne olisi käynnistettävä myös merkittävien sisäisten tai ulkoisten muutosten yhteydessä.
Organisaation olisi suunniteltava toiminnan jatkuvuutta koskevat harjoitukset ja testit käyttäen realistisia, suunniteltuja skenaarioita, joilla on määritellyt tavoitteet. Näiden harjoitusten tavoitteena olisi oltava jatkuvuusstrategioiden tehokkuuden vahvistaminen ja niiden henkilöiden pätevyyden, luottamuksen ja tiimityöskentelyn parantaminen, joille on annettu vastuualueet häiriön aikana.
Organisaation olisi nimettävä varatoimipaikka, jonne toiminta ja laitteet voidaan väliaikaisesti siirtää, jos päätoimipaikka ei ole käytettävissä. Tämän varapaikan on täytettävä samat turvallisuus- ja toimintavaatimukset kuin pääpaikan, jotta varmistetaan toiminnan jatkuvuus.
Organisaation olisi määriteltävä liiketoimintavaikutusten analyysin perusteella toipumisaikatavoitteet (RTO) kriittisten toimintojen jatkamiseksi vähintään hyväksyttävällä kapasiteetilla. Tässä prosessissa on myös yksilöitävä kaikki tarvittavat resurssit ja riippuvuudet, mukaan lukien yhteistyökumppanit, joita tarvitaan näiden ensisijaisten toimintojen tukemiseen toipumisen aikana.
Organisaation on tunnistettava kaikki pakolliset kansalliset kyberturvallisuusharjoitukset ja osallistuttava niihin kansallisten säännösten mukaisesti. Tähän sisältyy harjoituksiin ilmoittautuminen, asianmukaisen henkilöstön nimeäminen, aktiivinen osallistuminen harjoitusskenaarioihin ja saatujen kokemusten dokumentointi sisäistä parantamista varten.
Organisaation olisi testattava säännöllisesti kykyään palauttaa sen toiminnan kannalta keskeiset tietojärjestelmät. Nämä testit olisi suoritettava vähintään neljännesvuosittain, jotta voidaan varmistaa, että järjestelmät voidaan palauttaa varmuuskopioista suuronnettomuuden sattuessa. Testissä olisi varmistettava, että palautettu järjestelmä on täysin toimiva ja täyttää organisaation palautustavoitteet.
Organisaation olisi varmistettava, että koko henkilöstö on tietoinen omista rooleistaan ja vastuualueistaan organisaation hätävalmius- ja reagointisuunnitelmien puitteissa. Tähän sisältyy erilaisten hätätilanteiden menettelyjen, viestintäprotokollien ja omien toimiensa ymmärtäminen liiketoiminnan jatkuvuuden ja toipumisen tukemiseksi.
Organisaation on laadittava ja dokumentoitava menettelyt, joilla osallistutaan kansalliseen kriisinhallintaan.
Menettelyissä on määriteltävä, miten virallisia valmiustiedotteita vastaanotetaan ja seurataan, miten vastuulliset roolit arvioivat niiden vaikutuksia ja miten muutokset muunnetaan oikea-aikaisiksi sisäisiksi toimiksi, jotta voidaan ylläpitää palvelujen tarjontaa ja täyttää ilmoitusvelvollisuudet.
Menettelyjä olisi tarkistettava, testattava ja päivitettävä todellisten tapahtumien tai alakohtaisten valmiusmuutosten jälkeen.
Organisaation olisi luotava ja ylläpidettävä varamenettelyjä fyysistä tuotantoympäristöä ja keskeisiä laitteita varten, jotta voidaan varmistaa palvelun jatkuvuus, kun normaali toiminta häiriintyy.
Menettelyjen tulisi kattaa ainakin seuraavat asiat
Menettelyt on pidettävä ajan tasalla, testattava säännöllisesti ja sovitettava yhteen organisaation yleisen jatkuvuusstrategian kanssa.
Organisaation olisi arvioitava, onko sen palveluiden tarjoamisen kannalta kriittisissä fyysisissä tiloissa tarpeen käyttää redundanssia. Arvioinnissa olisi yksilöitävä yksittäiset vikapisteet ja ehdotettava toimenpiteitä, joilla varmistetaan jatkuva toiminta, kuten vaihtoehtoiset toimipaikat, toimitilojen sisällä oleva tarpeeton infrastruktuuri tai kriittisten toiminta-alueiden varavoimajärjestelmät.
Organisaation olisi luotava ja ylläpidettävä viestintäkanavia, jotka toimivat ensisijaisesta tieto- ja viestintätekniikan infrastruktuurista riippumatta ja joita voidaan käyttää suurten häiriöiden aikana. Tässä vaihtoehtoista viestintää koskevassa suunnitelmassa olisi määriteltävä käytettävät menetelmät, kuten puhelinpuu, satelliittipuhelimet tai nimetty ulkoinen viestipalvelu. Suunnitelmassa olisi myös määriteltävä, miten nämä kanavat aktivoidaan ja miten yhteystiedot pidetään ajan tasalla ja miten ne ovat käytettävissä offline-tilassa.
Organisaation olisi laadittava, tulostettava ja päivitettävä säännöllisesti fyysisiä kopioita henkilöstön tärkeimmistä yhteystietoluetteloista ja puhelinluetteloista ja varmistettava, että ne ovat helposti saatavilla useilla osastoilla. Organisaation olisi laadittava toistuva aikataulu laitteiden fyysistä tarkastusta, paristojen tarkistusta sekä ECP-asiakirjan ja yhteystietoluetteloiden päivittämistä varten henkilöstön tai menettelytapojen muutosten huomioon ottamiseksi.
Organisaatiolla on oltava suunnitelma riskinsietokyvyn uudelleenarviointia varten. Suunnitelman pitäisi sisältää aikavälit, joiden perusteella uudelleenarviointi olisi suoritettava. Suunnitelmassa olisi myös käsiteltävä riskinsietokyvyn uudelleenarviointia seuraavissa tapauksissa:
Jos organisaatio on arvopaperikeskus, sen on otettava seuraavat osapuolet mukaan tieto- ja viestintätekniikan jatkuvuustestaukseen:
Testauksessa on validoitava toiminnan häiriönsietokyky kaikissa näissä suhteissa ja arvioitava kyky palauttaa normaalit toiminnot kriisitilanteessa.
Jos organisaatio toimii keskusvastapuolena, sen on otettava mukaan:
tieto- ja viestintätekniikan toiminnan jatkuvuussuunnitelmien testaamiseen.
Testauksessa on varmistettava keskusvastapuolen ja näiden sidosryhmien välinen häiriönsietokyky ja tiedonsiirtovirrat uskottavissa häiriöskenaarioissa.
Organisaatio suorittaa erityisiä testejä, jotka koskevat siirtymistä ensisijaisista järjestelmistä varmuuskopioihin, redundanttiseen infrastruktuuriin ja tiloihin.
Tämä testaus koskee kaikkia organisaatioita mikroyrityksiä lukuun ottamatta, ja sen on todennettava:
Kuvaus:
Organisaatio varmistaa, että kolmannen osapuolen palveluntarjoajat otetaan tarvittaessa mukaan tieto- ja viestintätekniikan toiminnan jatkuvuussuunnitelmien testaukseen.
Testiskenaarioissa on otettava huomioon:
Tulosten on autettava arvioimaan riippuvuusriskejä ja varmistamaan ulkoistettujen kriittisten tai tärkeiden toimintojen jatkuvuus.
Organisaation on määriteltävä kriteerit sille, milloin jatkuvuussuunnitelmat otetaan käyttöön ja milloin ne poistetaan käytöstä. Tämä koskee myös reagointi- ja toipumissuunnitelmia sekä kriisiviestintäsuunnitelmia.
Politiikkaan on sisällytettävä seuraavat aiheet:
Politiikkaan on sisällytettävä myös:
Politiikassa on otettava huomioon, miten tieto- ja viestintäteknologian jatkuvuussuunnitelmat sopivat yhteen muiden liiketoiminnan jatkuvuussuunnitelmien kanssa.
Politiikkaan on sisällytettävä kriittisten toimintojen enimmäistoipumisaika, joka ei saa ylittää kahta tuntia. Politiikassa on otettava huomioon ulkoiset yhteydet ja riippuvuudet rahoitusalan infrastruktuuriin.
Politiikassa on vaadittava järjestelyjä, jotka koskevat
Tieto- ja viestintäteknologian toiminnan jatkuvuutta koskevassa politiikassa on otettava huomioon riippuvuudet käyttäjistä, kriittisistä palveluntarjoajista ja muista markkinainfrastruktuureista sekä varmistettava, että kriittiset tai tärkeät toiminnot voidaan palauttaa kahden tunnin kuluessa. Kauppapaikkojen osalta politiikalla on myös varmistettava, että kaupankäyntiä voidaan jatkaa kahden tunnin kuluessa tai lähes kahden tunnin kuluessa häiriöstä ja että tietotekniikkapalveluista aiheutuu mahdollisimman vähän tai ei lainkaan tietojen menetystä.
Organisaation olisi luotava ja dokumentoitava prosessi, jonka avulla se analysoi säännöllisesti kriittisen infrastruktuurinsa haavoittuvuuksia.
Tähän prosessiin olisi sisällyttävä arvio mahdollisista vaikutuksista toimintaan, jos palvelu keskeytyy tai tuhoutuu.Analyysin on perustuttava erilaisiin ennalta määriteltyihin skenaarioihin, kuten teknisiin vikoihin, pahantahtoisiin hyökkäyksiin tai luonnonkatastrofeihin, jotta riskit voidaan arvioida kattavasti.Kokonaisvaltaisen haavoittuvuusanalyysin ja vaikutusten arvioinnin keskeisiä vaiheita ovat seuraavat:
Organisaation on dokumentoitava ja otettava käyttöön julkinen varoitusjärjestelmä, jonka tarkoituksena on varmistaa julkisten varoitusten keskeytymätön välittäminen vakavien hätätilanteiden ja katastrofien aikana.
Järjestelmän dokumentaatiossa on kuvattava kokonaisarkkitehtuuri ja toimintaprosessit ja yksilöitävä kaikki kriittiset osat virallisen ohjeen vastaanottamisesta varoituksen lopulliseen lähettämiseen.
Varoitusjärjestelmä on suunniteltava niin, että se on erittäin häiriönsietokykyinen ja ettei siinä ole yksittäisiä vikapisteitä. Tähän sisältyy redundanssin toteuttaminen sekä kriittisten komponenttien, kuten virtalähteiden, verkkoyhteyksien ja palvelimien, fyysisen turvallisuuden toteuttaminen ja ylläpitäminen. Automaattisen vikasietoisuusmekanismin olisi oltava käytössä, jotta voidaan varmistaa jatkuva toiminta häiriön aikana.
Organisaation on osana sen kyber-riskienhallintakehystä ylläpidettävä ja tarkistettava digitaalista häiriönsietokyvyn testausohjelmaa. Sen on autettava organisaatiota arvioimaan niiden valmiutta:
Testausohjelma:
Organisaatiolla on oltava prosesseja priorisoida, luokitella ja korjata testausohjelman paljastamat ongelmat.
Osana ohjelmaa organisaation on varmistettava, että kaikki tukevat kriittiset tai tärkeät ICT-järjestelmät ja sovellukset testataan vuosittain.
Organisaatiolla on oltava prosessi tarvittavien tarkastusten suorittamiseksi varmistaakseen tietojen eheyden säilymisen ICT-häiriöstä toivuttaessa.
Tarkastus tulisi tehdä myös silloin, kun tietoja rekonstruoidaan ulkopuolisilta sidosryhmiltä sen varmistamiseksi, että tiedot ovat johdonmukaisia ja oikeita järjestelmien välillä.
Järjestelmien luotettavuuden varmistamiseksi tulisi olla tehtynä seuraavia toimenpiteitä:
Tietojärjestelmien, laitteiden ja verkkojen huoltaminen, päivittäminen ja mahdollinen uusiminen tulee suunnitella tarvittavien komponentti- ja ohjelmistopäivitysten toteuttamiseksi ennen mahdollisia vikoja. Komponenttien kriittisyyttä tarkastellessa tulee ottaa huomioon asiakas- ja potilasturvallisuuden näkökulma.
Organisaation on dokumentoitava ennalta toimintatavat tietoturvahäiriöihin reagointiin, joiden avulla varmistetaan liittyvien osastojen, asiakkaiden ja muiden kriittisten kumppanien toiminta tietoturvahäiriötilanteissa.
Organisaation on testattava ja päivitettävä tietoturvahäiriöön reagointia sunnitelluin väliajoin tai merkittävien muutoksien jälkeen. Kriittisille osille organisaation toimintaa suunnitelmia tulisi testata vähintään vuosittain. Testauksen tulokset tulee dokumentoida ja kommunikoida, suunnitelman parantamiseksi.
Organisaation on luotava häiriöön vastaamissuunnitelma kriittisiin tietojärjestelmiin tapahtuvia tietoturvahäiriöitä varten. Vastaamissuunnitelmia tulee myös testata tarvittavien organisaation elementtien toimesta. Suunnitelmassa tulisi ottaa huomioon ainakin:
Lisäksi suunnitelman tulisi ainakin:
Häiriötilanteessa viestintää sisäisten ja ulkoisten sidosryhmien kanssa täytyy toteuttaa häiriöön vastaamissuunnitelman mukaisesti.
Häiriötilanteessa vastaamissuunnitelman toteutus sidosryhmien kanssa on toteutettava suunnitelman määrittelemällä tavalla.
Palvelua hankittaessa tulee huomioida, että palvelua voi olla hankala kotiuttaa ja toimittajalukkoon jäänyttä palvelua vaikea siirtää toiselle palveluntarjoajalle. Erityisesti vaatimus tulee huomioida hankittaessa pilvipalveluita.
Jatkuvuussuunnitelmissa on huomioitu yhtenä erityistä tarkkuutta vaativana näkökulmana palveluiden kotiuttamiset ja siirrot toiselle palveluntarjoajalle.
Organisaatio on tunnistanut toimintansa jatkuvuuden kannalta kriittiset työtehtävät. Kriittisten tehtävien jatkamiseksi on suunniteltu ja valmisteltu erityistilanteiden vaihtoehtoiset toimintatavat ja henkilöstön saatavuus ja varajärjestelyt.
Jatkuussuunnitelmien toteuttamista varten on nimetty suunnitelmien omistajat, heille varahenkilöt sekä tarkennettu suunnitelman toteuttamiseen tarvittavat muut henkilöt. Lisäksi heidän kykynsä hoitaa tehtävät normaalitilanteissa on varmistettu.
Palvelujen riippuvuus muista palveluista ja toisista toimijoista on otettu huomioon koko tietojenkäsittely-ympäristön ja sen vikasietoisuuden suunnittelussa.
ICT:ltä vaaditut jatkuvuusvaatimukset muodustuvat organisaation tuotteiden ja palveluiden tarjoamiseen liittyville ydinprosesseille muodostettujen jatkuvuussuunnitelmien ja niihin sisältyvien palautusmisaikatavoitteiden kautta.
Organisaation on tunnistettava, millaiset palautumisajat ja palautumispisteet eri ICT-palvelujen on pystyttävä saavuttamaan huomioiden liittyville prosesseille määritellyt palautumistavoitteet, ja varmistettava kyky näiden saavuttamiseen.
Suunnittelussa on huomioitava etenkin:
Organisaation on tunnistettava vaadittu saavutettavuustaso tarjoamilleen palveluille sekä niihin liittyville tietojärjestelmille ja muulle tietojenkäsittely-ympäristölle. Organisaation on suunniteltava järjestelmänsä ja toimintansa niin, että saavutettavuustaso voidaan täyttää.
Vikasietoisen tietojenkäsittely-ympäristön suunnittelussa organisaation tulisi huomioida seuraavat tekijät:
Esimerkiksi tärkeissä tuotantojärjestelmissä järjestelmien vikasietoisuutta tulisi myös testata säännöllisesti, jotta varmistetaan sujuva vararatkaisuihin siirtymä vikatilanteissa.
Organisaatiolla on selkeä prosessi, jonka mukaisesti se tunnistaa toimintansa kannalta kaikkein kriittisimmät toiminnot (esim. asiakkaille tarjottavat palvelut), joihin kohdistuvat jatkuvuusvaatimukset ovat kaikkein korkeimmat.
Näiden toimintojen kannalta välttämättömät tietojenkäsittely-ympäristön kohteet (kuten tietojärjestelmät, tietovarannot, toimintaprosessit, kumppanit, yksiköt, laitteisto) luokitellaan kriittisiksi.
Kriittiset toiminnot huomioidaan korkeimmalla prioriteetilla mm. jatkuvuussuunnittelussa ja niihin voidaan muutenkin kohdistaa tiukempia turvallisuusvaatimuksia, kuin ympäristön muihin kohteisiin.
Organisaation on huomioitava katastrofeista palautuminen jatkuvuussuunnitelmissaan. Suunnittelulle relevantteja katastrofeja ovat sekä luonnonkatastrofit (mm. tulva, maanjäristys, hurrikaani) että ihmislähtöiset katastrofit (mm. terrori-isku, kemiallinen isku, sisäpiirihyökkäys).
Katastrofisuunnittelussa on jatkuvuussuunnittelua suurempi painoarvo toiminnan turvallisessa palauttamisessa normaalille tasolle. Tämän jälkeen fokus siirtyy normaalin toiminnan jatkamiseen.
Jatkuvuussuunnitelmia tulee päivittää vähintään vuosittain tai merkittävien muutosten jälkeen.
Organisaation tulisi säännöllisesti, vähintään vuosittain, testata ja tarkistaa tietoturvan jatkuvuussuunnitelmansa sen varmistamiseksi, että ne ovat päteviä ja tehokkaita epäsuotuisissa tilanteissa.
Jatkuvuussuunnitelmien testaukseen on tarvittaessa otettava mukaan kunkin suunnitelman kannalta kriittiset sidosryhmät. Organisaation tulisi määritttää ja dokumentoida tarvittavat yhteyshenkilöt toimittajien ja kumppaneiden kanssa.
Lisäksi jatkuvuussuunnitelmien ja niihin liittyvien hallintamekanismien riittävyys olisi arvioitava uudelleen, jos toiminnassa tapahtuu merkittäviä muutoksia.
Organisaation tulisi sisällyttää seuraavat asiat jatkuvuussuunnitteluunsa:
Jatkuvuussuunnittelussa tulee ottaa huomioon vaihtoehtoiset viestintävaihtoehdot tilanteita varten, joissa ensisijaiset viestintävälineet eivät toimi. Myös varastointi-, sähkö- ja verkkostrategioihin olisi oltava vaihtoehtoisia vaihtoehtoja.
Organisaation tulee luoda kattava kriisinhallintajärjestelmä ja ylläpidettävä sitä. Tähän kuuluu menetelmien käyttöönotto mahdollisten kriisitilanteiden havaitsemiseksi tunnistamalla yleiset indikaattorit ja erityiset ennakoitavat kriisit sekä selkeät menettelyt kriisinhallinnan käynnistämiseksi ja eskaloimiseksi tarvittaessa. On määriteltävä strategiset tavoitteet ja painopisteet, joissa keskitytään esimerkiksi eettisiin näkökohtiin:
kriisinhallintaryhmän muodostus, johon kuuluu edustajia kaikista tärkeimmistä organisaation toiminnoista ja jossa on määritellyt rakenteet, roolit, toimivaltuudet, odotukset, valtuudet ja päätöksentekomenettelyt.
On kehitettävä ja hyväksyttävä kriisinhallintapolitiikat ja -menettelyt, jotka kattavat poikkeukselliset valtuudet ja päätöksentekoprosessit, viestintämenetelmät, hätätilanteiden toimintamenettelyt sekä raportoinnin, tiedonkeruun ja päätöksenteon organisaatiorakenteet.
Koko kriisinhallintasuunnitelmaa olisi tarkistettava ja päivitettävä säännöllisesti, jotta varmistetaan sen jatkuva tehokkuus ja asianmukaisuus.
Organisaatio kehittää säännöllisesti jatkuvuussuunnitelmiaan analysoimalla suunnitelmien testaamista, harjoittelua ja niiden toteutunutta käyttöä tositilanteissa.
Organisaation toimintakyvyn palautustoimet täytyy kommunikoida suunnitelman mukaisesti kriittisille henkilöille ja johdolle organisaation sisällä. Palautustoimet täytyy myös tiedottaa ulkoisille sidosryhmille.
Relevantit henkilöt tuntevat omaan toimintaan liittyvät jatkuvuussuunnitelmat sekä niiden tarkemmat sisällöt riittävän tarkasti ja osaavat toimia niiden mukaisesti.
Organisaation on ylläpidettävä ylätason strategiaa jatkuvuussuunnittelulle. Strategian on sisällettävä vähintään:
Strategian laatimiseksi voi olla tarpeen hyödyntää yleisiä hyviä käytäntöjä esim. ISO 22300 -standardeista.
Organisaatio on määritellyt toimintatavat viestiäkseen tehokkaasti sidosryhmien ja muiden osallistujien jatkuvuussuunnitelmien ja selviytymismenettelyjen aikana.
Jatkuvuussuunnitelmiin liittyvien viestintäsuunnitelmien on sisällettävä:
Organisaation tulisi määrittää vaatimukset, jotka koskevat tietoturvallisuuden hallinnan jatkuvuutta kriisin tai katastrofin aikana.
Tietoturvan hallinnassa voidaan joko olettaa, että tietoturvavaatimukset ovat samat epäsuotuisissa tilanteissa kuin normaaleissa toimintaolosuhteissa, tai pyrkiä erikseen määrittämään epäsuotuisiin tilanteisiin soveltuvat tietoturvavaatimukset.
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.
.svg)
.svg)
