Joskus yllättävä tapahtuma, kuten tulipalo, tulva tai laiterikko, voi aiheuttaa toiminnan keskeytyksen. Jotta toimintaa pystyttäisiin jatkamaan mahdollisimman pian ja sujuvasti, tehdään jatkuvuussuunnittelua, eli suunnitellaan etukäteen toiminta poikkeustilanteiden varalle.

Jokaiseen jatkuvuussuunnitelmaan sisältyvät vähintään seuraavat tiedot:

• Tapahtuma, jonka varalle suunnitelma on tehty
• Tavoiteaika palautumiselle
• Vastuuhenkilöt sekä liittyvät sidosryhmät ja yhteystiedot
• Suunnitellut välittömät toimet
• Suunnitellut toipumisen askeleet

The company's management body or an authorized person is responsible for establishing and overseeing the organization's approach to risk and preparedness. This involves the formal review and approval of all essential documentation, including examples such as risk and vulnerability assessments and contingency and business continuity plans, that guide the organization’s strategic direction and operational resilience. These approvals must be formally recorded to ensure clear accountability.

Once approved, the management body is responsible for ensuring the documented procedures are effectively implemented and maintained.

Riippuvuudet ulkoisista palveluista saattavat vaikuttaa organisaation riskienhallintaan ja kriittisiin valmiuksiin. Organisaation on tunnistettava ja ylläpidettävä luetteloa organisaation ulkoisista riippuvuuksista, mukaan lukien toimitilat, pilvipalvelujen tarjoajat ja mahdolliset kolmannen osapuolen palvelut.

Dokumentaation tulisi myös sisältää:

• Riippuvuuksien ja organisaation keskeisten omaisuuserien ja liiketoimintojen väliset suhteet
• Riippuvuudet, jotka muodostavat mahdollisia vikapisteitä kriittisille palveluille.

Varmistetaan, että asiaankuuluvalle henkilöstölle tiedotetaan näistä riippuvuuksista ja niihin liittyvistä riskeistä.

Organisaatio kehittää ja toteuttaa kriisitoimintastrategian, jolla suojellaan organisaatiota kriisin kielteisiltä seurauksilta ja maineen vahingoittumiselta. Strategian olisi sisällettävä ennalta määriteltyjä toimia, joilla hallitaan julkista kuvaa ja narratiivia sekä lievennetään kriisin vaikutusta organisaatioon.

Organisaation on luotava häiriöön vastaamissuunnitelma kriittisiin tietojärjestelmiin tapahtuvia tietoturvahäiriöitä varten. Vastaamissuunnitelmia tulee myös testata tarvittavien organisaation elementtien toimesta. Suunnitelmassa tulisi ottaa huomioon ainakin:

• Tietojärjestelmän toiminnan tarkoitus ja sen katkeamista varten tarvittavat varautumistoimet
• Palautussuunnitelmat, tavoitteet ja palautuskohteiden priorisointijärjestys
• Vastaussuunnitelmien toteuttamisen roolitus ja rooleihin määrättyjen henkilöiden yhteystiedot
• Normaalin toiminnan jatkuminen tietojärjestelmien tilasta riippumatta.
• Vastaussuunnitelmien jakelu, hyväksyminen ja tarkastaminen

Lisäksi suunnitelman tulisi ainakin:

• Luoda etenemissuunnitelma häiriöiden hallintakyvyn kehittämistä varten
• Kuvata häiriönhallintakyvyn rakenne ja organisaatio
• Antaa mittarit häiriönhallintakyvyn mittaamiseksi

Organisaation on arvioitava erilaisista syistä johtuvien toiminnankeskeytysten ja riskien aiheuttama mahdollinen vahinko toiminnalle. Tämän arvioinnin perusteella on priorisoitava jatkuvuussuunnittelussa eri teemoja, jotta suunnittelu keskittyy riskilähtöisesti tärkeimpiin asioihin.

Organisaation tulisi säännöllisesti, vähintään vuosittain, testata ja tarkistaa tietoturvan jatkuvuussuunnitelmansa sen varmistamiseksi, että ne ovat päteviä ja tehokkaita epäsuotuisissa tilanteissa.

Jatkuvuussuunnitelmien testaukseen on tarvittaessa otettava mukaan kunkin suunnitelman kannalta kriittiset sidosryhmät. Organisaation tulisi määritttää ja dokumentoida tarvittavat yhteyshenkilöt toimittajien ja kumppaneiden kanssa.

Lisäksi jatkuvuussuunnitelmien ja niihin liittyvien hallintamekanismien riittävyys olisi arvioitava uudelleen, jos toiminnassa tapahtuu merkittäviä muutoksia.

Organisaation tulisi sisällyttää seuraavat asiat jatkuvuussuunnitteluunsa:

• Suunnitelmat (D)DoS-hyökkäyksiä varten
• Suunnitelmat onnistuneita kiristyshaittaohjelmahyökkäyksiä ja muuta sabotaasia varten.
• Järjestelmähäiriöt
• Luonnonkatastrofit

Jatkuvuussuunnittelussa tulee ottaa huomioon vaihtoehtoiset viestintävaihtoehdot tilanteita varten, joissa ensisijaiset viestintävälineet eivät toimi. Myös varastointi-, sähkö- ja verkkostrategioihin olisi oltava vaihtoehtoisia vaihtoehtoja.

Organisaation tulee luoda kattava kriisinhallintajärjestelmä ja ylläpidettävä sitä. Tähän kuuluu menetelmien käyttöönotto mahdollisten kriisitilanteiden havaitsemiseksi tunnistamalla yleiset indikaattorit ja erityiset ennakoitavat kriisit sekä selkeät menettelyt kriisinhallinnan käynnistämiseksi ja eskaloimiseksi tarvittaessa. On määriteltävä strategiset tavoitteet ja painopisteet, joissa keskitytään esimerkiksi eettisiin näkökohtiin:

• ihmishenkien ja terveyden suojelu
• keskeisimpien liiketoimintaprosessien turvaaminen
• asianmukaisen tietoturvan varmistaminen

kriisinhallintaryhmän muodostus, johon kuuluu edustajia kaikista tärkeimmistä organisaation toiminnoista ja jossa on määritellyt rakenteet, roolit, toimivaltuudet, odotukset, valtuudet ja päätöksentekomenettelyt.

On kehitettävä ja hyväksyttävä kriisinhallintapolitiikat ja -menettelyt, jotka kattavat poikkeukselliset valtuudet ja päätöksentekoprosessit, viestintämenetelmät, hätätilanteiden toimintamenettelyt sekä raportoinnin, tiedonkeruun ja päätöksenteon organisaatiorakenteet.

Koko kriisinhallintasuunnitelmaa olisi tarkistettava ja päivitettävä säännöllisesti, jotta varmistetaan sen jatkuva tehokkuus ja asianmukaisuus.

Organisaatio on määritellyt toimintatavat viestiäkseen tehokkaasti sidosryhmien ja muiden osallistujien jatkuvuussuunnitelmien ja selviytymismenettelyjen aikana.

Jatkuvuussuunnitelmiin liittyvien viestintäsuunnitelmien on sisällettävä:

• Vastuuhenkilöt, liittyvät sidosryhmät ja muut tarvittavat yhteystiedot
• Selkeät kriteerit tilanteelle, jossa jatkuvuusviestintää aletaan toteuttaa
• Selkeä kuvaus jatkuvuusviestintää kussakin tilanteessa toteuttavasta henkilöstö sekä vastaanottajista, joille viestintää lähetetään
• Viittaukset käytettäviin viestipohjiin sekä käytettäviin työkaluihin liittyen