Voit antaa sivustoon liittyvää palautetta lähettämällä sähköpostia osoitteeseen digiturva@dvv.fi.
Toimenpiteet jatkuvuus- ja varautumissuunnitelman toteutukseen:
Huom! | TASO 1 > TASO 2 |
---|---|
Toimenpiteet on jaoteltu kahdelle tasolle siten, että perustason toimenpiteet toimivat pohjana edistyneemmän tason toimenpiteille. TASO 1: Perustason kyvykkyydet TASO 2: Edistyneemmät kyvykkyydet |
1. | Määrittele, toteuta ja ylläpidä jatkuvuus- ja varautumissuunnitelmat toiminnan kannalta kriittisille kohteille. |
2. | Määrittele jatkuvuuteen ja varautumiseen liittyvät vastuut ja menettelyt, jotta häiriöihin voidaan reagoida mahdollisimman nopeasti. |
3. | Katso myös Tiedonhallintalautakunnan suositus tiettyjen tietoturvallisuussäännösten soveltamisesta (Kappale 7: Vikasietoisuus ja toiminnallinen käytettävyys). |
Lisätietoja
Tiedonhallintalaki 906/2019: 4§
NIST CSF PR.IP-9 (englanniksi)
CIS CSC 11, 17
ISO 22301:2019
- ISO/IEC 27001:2022 A.5.24, A.5.29, A.5.30
- JulKri HAL-08, TEK-13, VAR-02, VAR-03, VAR-09
Katakri 2020 T-06, T-07
PiTuKri TJ-04, TJ-05
VAHTI 2/2012, VAHTI 2/2016, VAHTI 8/2017
Linkit johtavat ulkoisille sivustoille.
ESIMERKKI
Esimerkki: Jatkuvuussuunnitelman sisällysluettelosta
- Jatkuvuussuunnitelman tavoite ja rajaukset
- Yksikön kriittisten palveluiden yleiskuvaus
- Jatkuvuusorganisaatio
- Keskeiset sidosryhmät
- Toimintaan / prosessiin liittyvät keskeiset riskit
- Palveluiden / prosessien vaikutusanalyysi
- Toiminnon kriittisten palveluiden jatkuvuuden hallinnan toimenpiteet
- Toiminnan edellyttämät tietojärjestelmät ja ohjelmistot
- Toiminnan edellyttämät henkilöresurssit ja laitteistot
- Toiminnan edellyttämät varatilat ja resurssit
- Kriittisten palveluiden edellyttämät tietoliikenneyhteydet
- Riippuvuudet muista osapuolista
- Toiminta häiriö- tai yllättävän erityistilanteen aikana sekä paluu normaalitoimintaan
- Jatkuvuussuunnitelmien käyttöönotto
- Palautumisprosessin aktivointi
- Henkilöstöön ja toimitiloihin kohdistuvat laajavaikutteiset häiriöt
- Laajavaikutteiset tietotekniset häiriöt
- Laajavaikutteiset tietoturvallisuuteen liittyvät häiriö
- Tilannekuvan luominen ja ylläpito
- Tiedottaminen ja viestintä laajavaikutteisessa häiriötilanteessa
- Suunnitelman koulutus, harjoittelu ja testaus
- Suunnitelman jakelu ja viestintä
- Suunnitelman katselmointi, ylläpito ja päivitys
- Suunnitelman raportointi
- LIITTEET
- Viestintäsuunnitelma
- Organisaatiokaavio
Lähde: Jatkuvuussuunnitelman sisällysluettelo (VAHTI-työryhmä, Word)
Katso myös palautumissuunnitelman sisälllysluettelo Poikkeamista palautuminen -sivulla.
ESIMERKKI
Esimerkki: Terveydenhuollon menettelyistä virhe- ja ongelmatilanteissa sekä jatkuvuudenhallinta
Lähde: Terveyden ja hyvinvoinnin laitoksen määräys tietoturvasuunnitelmasta, kappale 6.2
1. | Varmista, että toimittaja- ja kumppanisopimuksissa on vaatimus jatkuvuus- ja varautumissuunnitelmista sekä niiden säännöllisestä testauksesta. |
2. | Varmista toimittajien ja kumppaneiden jatkuvuus- ja toipumissuunnitelmien toimivuus säännöllisillä testauksilla tai niiden seurannalla. |
3. | Varmista toimittajien ja kumppaneiden jatkuvuus- ja toipumissuunnitelmien toimivuus säännöllisillä testauksilla tai niiden seurannalla. |
Lisätietoja
Tiedonhallintalaki 906/2019: 13§
NIST CSF ID.SC-5 (englanniksi)
CIS CSC 11 (englanniksi)
ISO/IEC 27001:2022 A.5.19, A.5.21, A.5.30
JulKri VAR-03.1, VAR-04, VAR-05, VAR-06, VAR-07, VAR-08
Linkit johtavat ulkoisille sivustoille.
1. | Katselmoi jatkuvuus- ja varautumissuunnitelmat säännöllisesti, jotta voidaan varmistua niiden ajantasaisuus. |
2. | Testaa jatkuvuus- ja varautumissuunnitelmia säännöllisesti, jotta häiriötilanteissa osataan toimia oikein ja tehokkaasti. |
3. | Päivitä jatkuvuus- ja varautumissuunnitelmia katselmointi- ja testaushavaintojen perusteella. |
Lisätietoja
Tiedonhallintalaki 906/2019: 13§
NIST CSF PR.IP-10 (englanniksi)
CIS CSC 17 (englanniksi)
ISO/IEC 27001:2022 A.5.30
JulKri VAR-03.1, VAR-04, VAR-05, VAR-06, VAR-07, VAR-08
Linkit johtavat ulkoisille sivustoille.
ESIMERKKI
Jatkuvuuteen ja varautumiseen liittyy poikkeustilanteiden harjoittelu, jotta henkilöstö ja johto osaa toimia, kun organisaatio kohtaa digitaaliseen turvallisuuteen vaikuttavan häiriötilanteen. Poikkeustilanteiden harjoittelun etuina ovat muun muassa se, että henkilöstö ja johto osaa paremmin havainnoida digitaaliseen turvallisuuteen vaikuttavia uhkia ja reagoida niihin sekä palauttaa toiminnan normaaliksi poikkeustilanteesta.
Esimerkkejä julkisen sektorin digitaalisen turvallisuuden harjoituksista:
- Kansallisissa kyberturvallisuusharjoituksissa (KYHA) harjoitellaan valtionhallinnon yhteistoimintaa laajavaikutteisten kyberpoikkeamatilanteiden hallinnassa. KYHA-harjoitukset organisoi JyvSecTec.
- TIETO-harjoitus on huoltovarmuuskriittisten organisaatioden jatkuvuudenhallintaa, varautumista ja kriisiviestintää kyberhäiriötilanteissa sparraava harjoituskokonaisuus. TIETO-harjoitukset organisoi Digipooli.
- TAISTO-harjoitus on Digi- ja väestöviraston järjestämä julkishallinnolle suunnattu tietosuoja- ja tietoturvaloukkausten hallinnan harjoitus, jossa häiriötilanteisssa toimimista harjoitellaan kuvitteellisten tilanteiden kautta.
- Lisäksi Kyberturvallisuuskeskus kehittää aktiivisesti tiedonvaihtoryhmiensä harjoitustoimintaa. Kyberturvallisuuskeskuksen kyberharjoitusohje ja -skenaariot.