Joskus yllättävä tapahtuma, kuten tulipalo, tulva tai laiterikko, voi aiheuttaa toiminnan keskeytyksen. Jotta toimintaa pystyttäisiin jatkamaan mahdollisimman pian ja sujuvasti, tehdään jatkuvuussuunnittelua, eli suunnitellaan etukäteen toiminta poikkeustilanteiden varalle.
Jokaiseen jatkuvuussuunnitelmaan sisältyvät vähintään seuraavat tiedot:
Digiturvamalli sisältää raporttikirjaston, josta löytyvät omat raporttipohjat jokaiselle vaatimuskehikolle.
Olipa kuulijana oma johto, viranomainen, auditoija tai asiakas, saat tarvittavan raportin muodostettua yhdellä klikkauksella.
Tehtävälistat sisältävät digiturvan ydinasiat. Päätä, mitkä tehtävät teillä hoidetaan ja kuka vastaa. Näet vaaditut tehtävät suoraan valitun vaatimuskehikon perusteella, ja voit halutessasi täydentää listaa omilla.
Lue lisää tietoturvatehtävistäKohdista ohjeet kaikilla tai vain relevanteille yksiköille. Saat ehdotuksia suoraan valitun vaatimuskehikon perusteella ja voit lisätä omat ohjeenne.
Työntekijöille ohjeet jaellaan Teams-botin kautta. Botti ei myöskään anna lukemisen unohtua.
Digiturvamalli sisältää älykkäät mallipohjat mm. järjestelmien, henkilötietojen ja riskien dokumentointiin. Et turhaan kirjoita tai piirrä, vaan klikkailet linkittäen tietoja, jolloin automaattinen raportointi mahdollistuu.
Lue lisää dokumentoinnistaKlikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.
Organisaatio on määritellyt menettelyt tietoturvariskien arviointiin ja käsittelyyn. Määrittely sisältää ainakin:
Tehtävän omistaja tarkistaa säännöllisesti, että riskikriteerit ovat selkeitä ja tuottavat johdonmukaisia arvioita.
Tietoturvan hallintajärjestelmän näkökulmasta poikkeamat ovat tilanteita, joissa:
Systemaattisessa tietoturvatyössä kaikki havaitut poikkeamat on dokumentoitava. Poikkeaman käsittelemiseksi organisaation on määritettävä ja toteutettava parannukset, joilla poikkeama korjataan.
Järjestelmällisessä turvallisuustyössä merkittävien muutosten vaikutukset on arvioitava ennakkoon ja muutokset toteutettava systemaattisesti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.
Merkittäviä muutoksia voivat olla mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin sekä tietojärjestelmiin kohdistuvat muutokset. Muutoksia voidaan tunnistaa mm. johdon katselmuksissa sekä muuten toiminnan ohessa.
Organisaatio ylläpitää luetteloa salassa pidettävän tiedon käsittelyä edellyttävistä työtehtävistä. Pääsyoikeus salassa pidettävään tietoon myönnetään vasta, kun henkilön työtehtävistä johtuva tiedonsaantitarve on selvitetty. Luettelo sisältää tiedon salassa pidettävien tietojen käsittelyoikeuksista suojaustasoittain.
Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:
Organisaatio arvioi tietoturvaan liittyvien riskejä reagoimalla tilanteisiin, joissa tietoturva on lievästi tai vakavasti pettänyt. Dokumentaatio sisältää vähintään seuraavat asiat:
Organisaatiossa suoritetaan säännöllisesti tietoturva-auditointia. Auditoinnin avulla tunnistetaan esimerkiksi tietojärjestelmiin sekä järjestelmätoimittajiin liittyviä puutteita ja kehitystarpeita.
Tärkeät auditointia suorittavat kumppanit kannattaa listata Muut sidosryhmät -osiossa.
Organisaatio on määritellyt toimintatavat viestiäkseen tehokkaasti sidosryhmien ja muiden osallistujien jatkuvuussuunnitelmien ja selviytymismenettelyjen aikana.
Jatkuvuussuunnitelmiin liittyvien viestintäsuunnitelmien on sisällettävä:
Organisaation tulisi säännöllisesti, vähintään vuosittain, testata ja katselmoida tietoturvallisuuden jatkuvuuteen liittyviä suunnitelmia, jotta voidaan varmistaa, että ne ovat päteviä ja vaikuttavia epäsuotuisissa tilanteissa.
Lisäksi toiminnan merkittävissä muutostilanteissa tulisi uudelleenarvioida jatkuvuussuunnitelmien sekä niihin liittyvien hallintamekanismien riittävyyttä.
Organisaation tulisi määrittää vaatimukset, jotka koskevat tietoturvallisuuden hallinnan jatkuvuutta kriisin tai katastrofin aikana.
Tietoturvan hallinnassa voidaan joko olettaa, että tietoturvavaatimukset ovat samat epäsuotuisissa tilanteissa kuin normaaleissa toimintaolosuhteissa, tai pyrkiä erikseen määrittämään epäsuotuisiin tilanteisiin soveltuvat tietoturvavaatimukset.
Järjestelmällisessä turvallisuustyössä muutosten vaikutukset on arvioitava ennakkoon, muutokset on dokumentoitava selkeästi ja toteutettava systemaattisesti.
Suojaustasolla II muutostenhallinnassa käytetään seuraavia toimintatapoja:
Järjestelmällisessä turvallisuustyössä muutosten vaikutukset on arvioitava ennakkoon, muutokset on dokumentoitava selkeästi ja toteutettava systemaattisesti.
Suojaustasoilla IV-III muutostenhallinnassa käytetään seuraavia toimintatapoja:
Tietoturvan hallintajärjestelmän tulisi valvoa sinne kirjattujen tehtävien ja ohjeistusten toteuttamista.
Tehtävän omistajan tulisi tarkastalle tietoturvan hallintajärjestelmän toteutustilannetta kokonaisuutena säännöllisesti.
Organisaation on suoritettava katastrofisuunnitelman mukainen harjoitus vuosittain tai, kun suunnitelmaan tulee merkittäviä muutoksia. Jos mahdollista, sisällytä paikalliset viranomaiset mukaan harjoitukseen.
Organisaation on huomioitava ihmisten aiheuttamasta tai luonnonkatastrofista palautuminen jatkuvuussuunnitelmissaan. Katastrofisuunnittelussa on jatkuvuussuunnittelua suurempi painoarvo toiminnan palauttamisessa normaalille tasolle, jotta toimintaa tämän jälkeen voidaan jatkaa. Suunnitelmaa tulee päivittää vähintään vuosittain tai merkittävien muutosten jälkeen.
Organisaation on arvioitava toiminnankeskeytysten aiheuttama vahinko toiminnalle. Arvioinnin perusteella on luotava kriteeristö organisaation jatkuvuussunnitelman ja operatiivisen joustavuuden ja valmiuksien kehittämiselle.
Organisaation täytyy asettaa keinot poikkeustenhallintaan, mukaan lukien hätätilanteet, muutostenhallintamenettelyssä.
Sovita tehtävä yhteen "Havaittujen poikkeamien käsittelyprosessi ja dokumentointi"-tehtävän kanssa.
Organisaation on ylläpidettävä ylätason strategiaa jatkuvuussuunnittelulle. Strategian on sisällettävä vähintään:
Strategian laatimiseksi voi olla tarpeen hyödyntää yleisiä hyviä käytäntöjä esim. ISO 22300 -standardeista.
Organisaatiossa on määritelty, kuinka tietoturvanäkökohdat integroidaan käytettyihin projektinhallintamenetelmiin. Käytössä olevien menetelmien tulee edellyttää:
Organisaation tulisi arvioida ja hallita kriittisiin palveluihin liittyviä riskejä säännöllisesti yhteistyössä palveluntoimittajien kanssa. Tästä prosessista tulisi olla kuvattu menettely ja näyttöä sen toimivuudesta.