Joskus yllättävä tapahtuma, kuten tulipalo, tulva tai laiterikko, voi aiheuttaa toiminnan keskeytyksen. Jotta toimintaa pystyttäisiin jatkamaan mahdollisimman pian ja sujuvasti, tehdään jatkuvuussuunnittelua, eli suunnitellaan etukäteen toiminta poikkeustilanteiden varalle.
Jokaiseen jatkuvuussuunnitelmaan sisältyvät vähintään seuraavat tiedot:
Tiedonhallintayksikön on suoritettava olennaiset riskiarvioinnit sen tietoaineistojen käsittelyn, tietojärjestelmien hyödyntämisen ja toiminnan jatkuvuuden suhteen. Riskiarvioinnin perusteella tiedonhallintayksikön on:
a) Laadittava valmiussuunnitelmat ja etukäteisvalmistelut häiriötilanteiden varalle.
b) Suoritettava muut tarvittavat toimenpiteet, jotta tietoaineistojen käsittely, tietojärjestelmien hyödyntäminen ja niihin perustuva toiminta voivat jatkua mahdollisimman häiriöttömästi normaaliolojen häiriötilanteissa sekä valmiuslaissa (1552/2011) tarkoitetuissa poikkeusoloissa.
Organisaation on Asiakastietolain 41 §:n mukaisesti ilmoitettava tietojärjestelmän tuottajalle, mikäli järjestelmässä ilmenee poikkeama järjestelmien olennaisista vaatimuksista. Poikkeamia on kuvattu THL:n määräyksen 5/2021 luvussa 10.4
Tietojärjestelmien merkittävistä poikkeamista on ilmoitettava Valviralle, erityisesti tilanteissa, joissa poikkeama voi aiheuttaa merkittävän riskin asiakas- tai potilasturvallisuudelle tai tietoturvalle. Merkittävien poikkeamien korjaamiseksi on ryhdyttävä korjaaviin toimenpiteisiin.
Organisaation tulisi säännöllisesti, vähintään vuosittain, testata ja katselmoida tietoturvallisuuden jatkuvuuteen liittyviä suunnitelmia, jotta voidaan varmistaa, että ne ovat päteviä ja vaikuttavia epäsuotuisissa tilanteissa.
Jatkuvuussuunnitelmien testaukseen osallistetaan tarvittaessa kullekin suunnitelmalle kriittiset sidosryhmät.
Lisäksi toiminnan merkittävissä muutostilanteissa tulisi uudelleenarvioida jatkuvuussuunnitelmien sekä niihin liittyvien hallintamekanismien riittävyyttä.
Organisaation on huomioitava katastrofeista palautuminen jatkuvuussuunnitelmissaan. Suunnittelulle relevantteja katastrofeja ovat sekä luonnonkatastrofit (mm. tulva, maanjäristys, hurrikaani) että ihmislähtöiset katastrofit (mm. terrori-isku, kemiallinen isku, sisäpiirihyökkäys).
Katastrofisuunnittelussa on jatkuvuussuunnittelua suurempi painoarvo toiminnan turvallisessa palauttamisessa normaalille tasolle. Tämän jälkeen fokus siirtyy normaalin toiminnan jatkamiseen.
Jatkuvuussuunnitelmia tulee päivittää vähintään vuosittain tai merkittävien muutosten jälkeen.
Organisaation on ylläpidettävä ylätason strategiaa jatkuvuussuunnittelulle. Strategian on sisällettävä vähintään:
Strategian laatimiseksi voi olla tarpeen hyödyntää yleisiä hyviä käytäntöjä esim. ISO 22300 -standardeista.
Organisaatiolla on selkeä prosessi, jonka mukaisesti se tunnistaa toimintansa kannalta kaikkein kriittisimmät toiminnot (esim. asiakkaille tarjottavat palvelut), joihin kohdistuvat jatkuvuusvaatimukset ovat kaikkein korkeimmat.
Näiden toimintojen kannalta välttämättömät tietojenkäsittely-ympäristön kohteet (kuten tietojärjestelmät, tietovarannot, toimintaprosessit, kumppanit, yksiköt, laitteisto) luokitellaan kriittisiksi.
Kriittiset toiminnot huomioidaan korkeimmalla prioriteetilla mm. jatkuvuussuunnittelussa ja niihin voidaan muutenkin kohdistaa tiukempia turvallisuusvaatimuksia, kuin ympäristön muihin kohteisiin.
Organisaation on tunnistettava vaadittu saavutettavuustaso tarjoamilleen palveluille sekä niihin liittyville tietojärjestelmille ja muulle tietojenkäsittely-ympäristölle. Organisaation on suunniteltava järjestelmänsä ja toimintansa niin, että saavutettavuustaso voidaan täyttää.
Vikasietoisen tietojenkäsittely-ympäristön suunnittelussa organisaation tulisi huomioida seuraavat tekijät:
Esimerkiksi tärkeissä tuotantojärjestelmissä järjestelmien vikasietoisuutta tulisi myös testata säännöllisesti, jotta varmistetaan sujuva vararatkaisuihin siirtymä vikatilanteissa.
ICT:ltä vaaditut jatkuvuusvaatimukset muodustuvat organisaation tuotteiden ja palveluiden tarjoamiseen liittyville ydinprosesseille muodostettujen jatkuvuussuunnitelmien ja niihin sisältyvien palautusmisaikatavoitteiden kautta.
Organisaation on tunnistettava, millaiset palautumisajat ja palautumispisteet eri ICT-palvelujen on pystyttävä saavuttamaan huomioiden liittyville prosesseille määritellyt palautumistavoitteet, ja varmistettava kyky näiden saavuttamiseen.
Suunnittelussa on huomioitava etenkin:
Palvelujen riippuvuus muista palveluista ja toisista toimijoista on otettu huomioon koko tietojenkäsittely-ympäristön ja sen vikasietoisuuden suunnittelussa.
Organisaatio on tunnistanut toimintansa jatkuvuuden kannalta kriittiset työtehtävät. Kriittisten tehtävien jatkamiseksi on suunniteltu ja valmisteltu erityistilanteiden vaihtoehtoiset toimintatavat ja henkilöstön saatavuus ja varajärjestelyt.
Jatkuussuunnitelmien toteuttamista varten on nimetty suunnitelmien omistajat, heille varahenkilöt sekä tarkennettu suunnitelman toteuttamiseen tarvittavat muut henkilöt. Lisäksi heidän kykynsä hoitaa tehtävät normaalitilanteissa on varmistettu.
Relevantit henkilöt tuntevat omaan toimintaan liittyvät jatkuvuussuunnitelmat sekä niiden tarkemmat sisällöt riittävän tarkasti ja osaavat toimia niiden mukaisesti.
Palvelua hankittaessa tulee huomioida, että palvelua voi olla hankala kotiuttaa ja toimittajalukkoon jäänyttä palvelua vaikea siirtää toiselle palveluntarjoajalle. Erityisesti vaatimus tulee huomioida hankittaessa pilvipalveluita.
Jatkuvuussuunnitelmissa on huomioitu yhtenä erityistä tarkkuutta vaativana näkökulmana palveluiden kotiuttamiset ja siirrot toiselle palveluntarjoajalle.
Häiriötilanteessa vastaamissuunnitelman toteutus sidosryhmien kanssa on toteutettava suunnitelman määrittelemällä tavalla.
Häiriötilanteessa viestintää sisäisten ja ulkoisten sidosryhmien kanssa täytyy toteuttaa häiriöön vastaamissuunnitelman mukaisesti.
The organization shall establish a incident response plan for security incidents to critical information systems. Response plans should also be tested by the necessary organizational elements. The plan should take into account at least:
In addition, the plan should at least:
Organisaation on testattava ja päivitettävä tietoturvahäiriöön reagointia sunnitelluin väliajoin tai merkittävien muutoksien jälkeen. Kriittisille osille organisaation toimintaa suunnitelmia tulisi testata vähintään vuosittain. Testauksen tulokset tulee dokumentoida ja kommunikoida, suunnitelman parantamiseksi.
Organisaation on dokumentoitava ennalta toimintatavat tietoturvahäiriöihin reagointiin, joiden avulla varmistetaan liittyvien osastojen, asiakkaiden ja muiden kriittisten kumppanien toiminta tietoturvahäiriötilanteissa.
Järjestelmien luotettavuuden varmistamiseksi tulisi olla tehtynä seuraavia toimenpiteitä:
Tietojärjestelmien, laitteiden ja verkkojen huoltaminen, päivittäminen ja mahdollinen uusiminen tulee suunnitella tarvittavien komponentti- ja ohjelmistopäivitysten toteuttamiseksi ennen mahdollisia vikoja. Komponenttien kriittisyyttä tarkastellessa tulee ottaa huomioon asiakas- ja potilasturvallisuuden näkökulma.
Organisaatiolla on oltava prosessi tarvittavien tarkastusten suorittamiseksi varmistaakseen tietojen eheyden säilymisen ICT-häiriöstä toivuttaessa.
Tarkastus tulisi tehdä myös silloin, kun tietoja rekonstruoidaan ulkopuolisilta sidosryhmiltä sen varmistamiseksi, että tiedot ovat johdonmukaisia ja oikeita järjestelmien välillä.
Organisaation on osana sen kyber-riskienhallintakehystä ylläpidettävä ja tarkistettava digitaalista häiriönsietokyvyn testausohjelmaa. Sen on autettava organisaatiota arvioimaan niiden valmiutta:
Testausohjelma:
Organisaatiolla on oltava prosesseja priorisoida, luokitella ja korjata testausohjelman paljastamat ongelmat.
Osana ohjelmaa organisaation on varmistettava, että kaikki tukevat kriittiset tai tärkeät ICT-järjestelmät ja sovellukset testataan vuosittain.
Organisaation tulisi määrittää vaatimukset, jotka koskevat tietoturvallisuuden hallinnan jatkuvuutta kriisin tai katastrofin aikana.
Tietoturvan hallinnassa voidaan joko olettaa, että tietoturvavaatimukset ovat samat epäsuotuisissa tilanteissa kuin normaaleissa toimintaolosuhteissa, tai pyrkiä erikseen määrittämään epäsuotuisiin tilanteisiin soveltuvat tietoturvavaatimukset.
Organisaatio on määritellyt toimintatavat viestiäkseen tehokkaasti sidosryhmien ja muiden osallistujien jatkuvuussuunnitelmien ja selviytymismenettelyjen aikana.
Jatkuvuussuunnitelmiin liittyvien viestintäsuunnitelmien on sisällettävä:
Organisaation toimintakyvyn palautustoimet täytyy kommunikoida suunnitelman mukaisesti kriittisille henkilöille ja johdolle organisaation sisällä. Palautustoimet täytyy myös tiedottaa ulkoisille sidosryhmille.