Organisaatiomme on määritellyt toimintatavat henkilöstön digiturvaosaamisen ylläpitämiseen. Näihin voi liittyä mm. seuraavia asioita:

• henkilöstölle on olemassa ohjeet, joilla kuvataan työrooliin liittyvät digiturvan yleiset säännöt
• henkilöstöä koulutetaan, jotta he pystyvät toimimaan turvallisesti, tietävät ohjeet ja kykenevät noudattamaan niitä
• henkilöstö osoittaa testien tai muun vastaavan avulla omaavansa turvallisen toiminnan vaatimat digiturvataidot ja -tiedot

Koulutus keskittyy kullekin työroolille oleellisimpiin digiturvateemoihin, mutta sisältää tarpeeksi usein myös kaikkia työntekijöitä koskevat "perusasiat":

• työntekijän henkilökohtainen vastuu (mm. päätelaitteista ja käsittelemästään tiedosta)
• kaikkia koskevat käytännöt (mm. tietoturvahäiriöiden raportointi)
• kaikkia koskevat säännöt (mm. puhdas työpöytä)
• organisaation tietoturvaroolit (keneen yhteyttä ongelmatilanteissa)

Organisaation olisi luotava ja ylläpidettävä viisivuotista suunnittelusykliä kyberturvallisuusharjoitusten toteuttamista varten. Suunnitelmalla varmistetaan, että häiriötilanteisiin reagointi- ja jatkuvuusvalmiuksia testataan säännöllisesti. Se olisi päivitettävä vähintään vuosittain tai merkittävien muutosten jälkeen.

Suunnitelmassa olisi määriteltävä kunkin harjoituksen aikataulu, harjoitustyypit (esim. tablettiharjoitukset, toiminnalliset harjoitukset), laajuus, tavoitteet ja osallistujat, jotta varmistetaan kattava testaus viiden vuoden aikana. Harjoitusten olisi katettava ainakin seuraavat keskeiset aiheet:

• Kriisinhallinta & koordinointi:
  • Yrityksen kriisinhallintaryhmän testaaminen.
  • Koordinoidun valmiuden menettelyjen harjoittelu.
  • Toimittajien (erityisesti kriittisten tietotekniikkajärjestelmien toimittajien) ottaminen mukaan häiriötilanteiden käsittelyyn.
• Toiminnallinen & toimitusketjun häiriönsietokyky:
  • Toiminnan jatkumisen varmistaminen.
  • Toimitusten palauttaminen häiriön jälkeen.
  • Lisäresurssien ja -materiaalien mobilisointi.
• Viestintä:
  • Sisäisen ja ulkoisen viestinnän hallinta.
  • Tiedottaminen kuluttajille.
  • Vaihtoehtoisten viestintämenetelmien käyttö, jos ensisijaiset kanavat eivät toimi.
• Tietotekniikka & Kyberturvallisuus:
  • Tietoverkkouhkien ja -haavoittuvuuksien käsittely.
  • Tietoturvapalvelujen aktivointi.
  • Harjoitellaan hätätilannemenettelyjä kriittisten IT-järjestelmien eristämiseksi ja siirtymiseksi redundantteihin järjestelmiin.
  • Järjestelmien palauttaminen varmuuskopioista, mukaan luettuna räätälöityjen ohjelmistojen lähdekoodi ja tiedot.
• Organisaatioiden väliset toimet:
  • Alan hätätilavalmiustason muutoksia koskevien ilmoitusten kuittaaminen ja vahvistaminen.
  • Valmiustason mukaisten hätätoimenpiteiden toteuttaminen.
• Toipuminen:
  • Normaaliintumisprosessin harjoittaminen hätätilanteen päätyttyä.

Organisaation tulisi myös laatia harjoituksista virallinen harjoitusten arviointiraportti. Tässä raportissa on kuvattava harjoituksen koulutetut osat, harjoituksen kulku, saadut kokemukset, asiaankuuluvat oppimiskohteet ja suunnitellut jatkotoimet aikatauluineen ja sisäisine vastuunjakoineen.

Organisaation olisi otettava toimittajat ja muut asiaankuuluvat kolmannet osapuolet mukaan häiriöiden hallintaprosessiin ja -suunnitteluun esimerkiksi seuraavin keinoin:

• Määritellään ja otetaan käyttöön säännöt, roolit ja protokollat, jotka koskevat häiriötilanteisiin reagoimista ja niistä toipumista koskevien toimien raportointia organisaation ja sen toimittajien välillä.
• Kriittisten toimittajien ottaminen mukaan säännöllisiin häiriötilanteiden torjuntaharjoituksiin ja simulaatioihin.
• Luodaan ja koordinoidaan kriisiviestintämenetelmät ja -käytännöt organisaation ja sen kriittisten toimittajien välille.
• Järjestetään kriittisten toimittajien kanssa yhteisiä oppimistilaisuuksia vaaratilanteiden jälkeen, jotta voidaan parantaa yhteisiä reagointivalmiuksia ja tarkentaa prosesseja tulevia vaaratilanteita varten.

Organisaation tulee luoda kattava kriisinhallintajärjestelmä ja ylläpidettävä sitä. Tähän kuuluu menetelmien käyttöönotto mahdollisten kriisitilanteiden havaitsemiseksi tunnistamalla yleiset indikaattorit ja erityiset ennakoitavat kriisit sekä selkeät menettelyt kriisinhallinnan käynnistämiseksi ja eskaloimiseksi tarvittaessa. On määriteltävä strategiset tavoitteet ja painopisteet, joissa keskitytään esimerkiksi eettisiin näkökohtiin:

• ihmishenkien ja terveyden suojelu
• keskeisimpien liiketoimintaprosessien turvaaminen
• asianmukaisen tietoturvan varmistaminen

kriisinhallintaryhmän muodostus, johon kuuluu edustajia kaikista tärkeimmistä organisaation toiminnoista ja jossa on määritellyt rakenteet, roolit, toimivaltuudet, odotukset, valtuudet ja päätöksentekomenettelyt.

On kehitettävä ja hyväksyttävä kriisinhallintapolitiikat ja -menettelyt, jotka kattavat poikkeukselliset valtuudet ja päätöksentekoprosessit, viestintämenetelmät, hätätilanteiden toimintamenettelyt sekä raportoinnin, tiedonkeruun ja päätöksenteon organisaatiorakenteet.

Koko kriisinhallintasuunnitelmaa olisi tarkistettava ja päivitettävä säännöllisesti, jotta varmistetaan sen jatkuva tehokkuus ja asianmukaisuus.

Relevant persons are sufficiently familiar with the continuity plans related to their own activities and their more detailed contents, and are able to act accordingly.