Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

17.1.3
ISO27 Täysi

ISO 27001 (2013): Täysi

21.2.c
NIS2

NIS2-direktiivi

33
Kokonaiskuva (DVV)

Digiturvan kokonaiskuvapalvelu (DVV)

36
Kokonaiskuva (DVV)

Digiturvan kokonaiskuvapalvelu (DVV)

37
Kokonaiskuva (DVV)

Digiturvan kokonaiskuvapalvelu (DVV)

4.1.6
NSM ICT-SP

NSM ICT Security Principles (Norway)

5.2.8
TISAX

TISAX: Information security

5.29
ISO27k1 Täysi

ISO 27001 (2022): Täysi

6.2a
Tietoturvasuunnitelma

Tietoturvasuunnitelma (THL 3/2024)

6.4 (MIL3)
C2M2: MIL1

C2M2: MIL1

9.10 §
KyberTL

Kyberturvallisuuslaki (NIS2)

A1.3
SOC 2

SOC 2 (järjestelmät ja organisaation hallintakeinot)

Article 11
DORA

Digital Operational Resilience Act (DORA)

CC7.5
SOC 2

SOC 2 (järjestelmät ja organisaation hallintakeinot)

ID.BE-5
CyFun

CyberFundamentals (Belgia)

ID.SC-5
CyFun

CyberFundamentals (Belgia)

PR.IP-10
NIST

NIST Cybersecurity Framework

PR.IP-9
CyFun

CyberFundamentals (Belgia)

RC.IM-2
NIST

NIST Cybersecurity Framework

RC.IM-2
CyFun

CyberFundamentals (Belgia)

RS.IM-2
NIST

NIST Cybersecurity Framework

RS.IM-2
CyFun

CyberFundamentals (Belgia)

VAR-03.1
Julkri

Julkri: TL IV-I

​​​​​​​ID.SC-5
NIST

NIST Cybersecurity Framework

Muita saman teeman digiturvatehtäviä

Jatkuvuussuunnitelmien määrittely ja dokumentointi

Critical
High
Normal
Low

Joskus yllättävä tapahtuma, kuten tulipalo, tulva tai laiterikko, voi aiheuttaa toiminnan keskeytyksen. Jotta toimintaa pystyttäisiin jatkamaan mahdollisimman pian ja sujuvasti, tehdään jatkuvuussuunnittelua, eli suunnitellaan etukäteen toiminta poikkeustilanteiden varalle.

Jokaiseen jatkuvuussuunnitelmaan sisältyvät vähintään seuraavat tiedot:

  • Tapahtuma, jonka varalle suunnitelma on tehty
  • Tavoiteaika palautumiselle
  • Vastuuhenkilöt sekä liittyvät sidosryhmät ja yhteystiedot
  • Suunnitellut välittömät toimet
  • Suunnitellut toipumisen askeleet
T05: Jatkuvuuden hallinta
Katakri
17.1.2: Tietoturvallisuuden jatkuvuuden toteuttaminen
ISO27 Täysi
​​​​​​​ID.SC-5: Response and recovery
NIST
PR.IP-9: Response and recovery plans
NIST
RC.RP-1: Recovery plan
NIST

Riskiarvioihin perustuvien valmiussuunnitelmien laatiminen

Critical
High
Normal
Low

Tiedonhallintayksikön on suoritettava olennaiset riskiarvioinnit sen tietoaineistojen käsittelyn, tietojärjestelmien hyödyntämisen ja toiminnan jatkuvuuden suhteen. Riskiarvioinnin perusteella tiedonhallintayksikön on:

a) Laadittava valmiussuunnitelmat ja etukäteisvalmistelut häiriötilanteiden varalle.

b) Suoritettava muut tarvittavat toimenpiteet, jotta tietoaineistojen käsittely, tietojärjestelmien hyödyntäminen ja niihin perustuva toiminta voivat jatkua mahdollisimman häiriöttömästi normaaliolojen häiriötilanteissa sekä valmiuslaissa (1552/2011) tarkoitetuissa poikkeusoloissa.

13 a §: Häiriötilanteista tiedottaminen ja varautuminen häiriötilanteisiin
TiHL
2.7: Varautuminen häiriötilanteisiin
TiHL: Tietoturva

Tietojärjestelmien vaatimusten poikkeamasta ilmoittaminen tuottajalle

Critical
High
Normal
Low

Organisaation on Asiakastietolain 41 §:n mukaisesti ilmoitettava tietojärjestelmän tuottajalle, mikäli järjestelmässä ilmenee poikkeama järjestelmien olennaisista vaatimuksista. Poikkeamia on kuvattu THL:n määräyksen 5/2021 luvussa 10.4

Tietojärjestelmien merkittävistä poikkeamista on ilmoitettava Valviralle, erityisesti tilanteissa, joissa poikkeama voi aiheuttaa merkittävän riskin asiakas- tai potilasturvallisuudelle tai tietoturvalle. Merkittävien poikkeamien korjaamiseksi on ryhdyttävä korjaaviin toimenpiteisiin.


6.2b: Häiriöiden hallinta ja menettelyt ongelmatilanteissa
Tietoturvasuunnitelma

Jatkuvuussuunnittelmien säännöllinen testaus ja katselmointi

Critical
High
Normal
Low

Organisaation tulisi säännöllisesti, vähintään vuosittain, testata ja tarkistaa tietoturvan jatkuvuussuunnitelmansa sen varmistamiseksi, että ne ovat päteviä ja tehokkaita epäsuotuisissa tilanteissa.

Jatkuvuussuunnitelmien testaukseen on tarvittaessa otettava mukaan kunkin suunnitelman kannalta kriittiset sidosryhmät. Organisaation tulisi määritttää ja dokumentoida tarvittavat yhteyshenkilöt toimittajien ja kumppaneiden kanssa.

Lisäksi jatkuvuussuunnitelmien ja niihin liittyvien hallintamekanismien riittävyys olisi arvioitava uudelleen, jos toiminnassa tapahtuu merkittäviä muutoksia.

17.1.3: Tietoturvallisuuden jatkuvuuden todentaminen, katselmointi ja arviointi
ISO27 Täysi
​​​​​​​ID.SC-5: Response and recovery
NIST
PR.IP-10: Response and recovery plan tests
NIST
RS.IM-2: Response strategies update
NIST
RC.IM-2: Recovery strategies
NIST

Katastrofien huomiointi jatkuvuussuunnittelussa

Critical
High
Normal
Low

Organisaation on huomioitava katastrofeista palautuminen jatkuvuussuunnitelmissaan. Suunnittelulle relevantteja katastrofeja ovat sekä luonnonkatastrofit (mm. tulva, maanjäristys, hurrikaani) että ihmislähtöiset katastrofit (mm. terrori-isku, kemiallinen isku, sisäpiirihyökkäys).

Katastrofisuunnittelussa on jatkuvuussuunnittelua suurempi painoarvo toiminnan turvallisessa palauttamisessa normaalille tasolle. Tämän jälkeen fokus siirtyy normaalin toiminnan jatkamiseen.

Jatkuvuussuunnitelmia tulee päivittää vähintään vuosittain tai merkittävien muutosten jälkeen.

PR.IP-9: Response and recovery plans
NIST
Article 11: Response and recovery
DORA
1.6.3: Crisis preparedness
TISAX
RC.RP-1: Recovery plan is executed during or after a cybersecurity incident.
CyFun
PR.IP-9: Response plans (Incident Response and Business Continuity) and recovery plans (Incident Recovery and Disaster Recovery) are in place and managed.
CyFun

Kriittisten toimintojen ja liittyvien kohteiden tunnistaminen

Critical
High
Normal
Low

Organisaatiolla on selkeä prosessi, jonka mukaisesti se tunnistaa toimintansa kannalta kaikkein kriittisimmät toiminnot (esim. asiakkaille tarjottavat palvelut), joihin kohdistuvat jatkuvuusvaatimukset ovat kaikkein korkeimmat.

Näiden toimintojen kannalta välttämättömät tietojenkäsittely-ympäristön kohteet (kuten tietojärjestelmät, tietovarannot, toimintaprosessit, kumppanit, yksiköt, laitteisto) luokitellaan kriittisiksi.

Kriittiset toiminnot huomioidaan korkeimmalla prioriteetilla mm. jatkuvuussuunnittelussa ja niihin voidaan muutenkin kohdistaa tiukempia turvallisuusvaatimuksia, kuin ympäristön muihin kohteisiin.

26: Kriittisten toimintojen tunnistaminen
Kokonaiskuva (DVV)
72: Organisaation kriittisten palveluiden tunnistaminen
Kokonaiskuva (DVV)
73: Kriittisten palveluiden riippuvuudet palvelutoimittajista
Kokonaiskuva (DVV)
ASSET-1: Manage IT and OT Asset Inventory
C2M2: MIL1
6.2a: Jatkuvuuden hallinta
Tietoturvasuunnitelma

Tietojenkäsittely-ympäristön vikasietoisuuden varmistaminen ja testaaminen

Critical
High
Normal
Low

Organisaation on tunnistettava vaadittu saavutettavuustaso tarjoamilleen palveluille sekä niihin liittyville tietojärjestelmille ja muulle tietojenkäsittely-ympäristölle. Organisaation on suunniteltava järjestelmänsä ja toimintansa niin, että saavutettavuustaso voidaan täyttää.

Vikasietoisen tietojenkäsittely-ympäristön suunnittelussa organisaation tulisi huomioida seuraavat tekijät:

  • vikasietoisten verkkojen käyttö
  • kahden maantieteellisesti erillisen datakeskuksen käyttö peilatuin tietokannoin
  • useiden rinnakkaisten ohjelmistokomponenttien käyttö automaattisella kuormituksen jaolla
  • duplikoitujen avainkomponenttien käyttö järjestelmissä (esim. CPU, kiintolevyt, muistit) tai verkoissa (esim. palomuurit, reitittimet, kytkimet)

Esimerkiksi tärkeissä tuotantojärjestelmissä järjestelmien vikasietoisuutta tulisi myös testata säännöllisesti, jotta varmistetaan sujuva vararatkaisuihin siirtymä vikatilanteissa.

8.14: Tietojenkäsittelypalvelujen vikasietoisuus
ISO27k1 Täysi
4.3: Vikasietoisuuden ja toiminnallisen käytettävyyden testaus
TiHL: Tietoturva
ID.BE-5: Resilience requirements to support delivery of critical services are established for all operating states (e.g. under duress/attack, during recovery, normal operations).
CyFun
2.2.7: Establish a robust and resilient ICT architecture
NSM ICT-SP

ICT-palveluilta vaaditun jatkuvuuskyvyn tunnistaminen ja testaaminen

Critical
High
Normal
Low

ICT:ltä vaaditut jatkuvuusvaatimukset muodustuvat organisaation tuotteiden ja palveluiden tarjoamiseen liittyville ydinprosesseille muodostettujen jatkuvuussuunnitelmien ja niihin sisältyvien palautusmisaikatavoitteiden kautta.

Organisaation on tunnistettava, millaiset palautumisajat ja palautumispisteet eri ICT-palvelujen on pystyttävä saavuttamaan huomioiden liittyville prosesseille määritellyt palautumistavoitteet, ja varmistettava kyky näiden saavuttamiseen.

Suunnittelussa on huomioitava etenkin:

  • vastuut on määritetty ICT-palvelujen häiriöihin valmistautumiseen, hallintaan sekä vastaamiseen
  • erityisesti ICT-palveluihin liittyvät jatkuvuussuunnitelmat on luotu, hyväksytty ja niitä testataan säännöllisesti
  • jatkuvuussuunnitelmat sisältävät tiedon suorituskykyvaatimuksista, palautumisaikavaatimuksen sekä palautumistoimet jokaiselle tärkeälle ICT-palvelulle sekä palautumispistevaatimukset sekä palauttamistoimet jokaiselle tärkeälle ICT-palvelulle
5.30: Tieto- ja viestintätekniikan valmius liiketoiminnan jatkuvuussuunnittelussa
ISO27k1 Täysi
6.2a: Jatkuvuuden hallinta
Tietoturvasuunnitelma
Article 11: Response and recovery
DORA
Article 12: Backup policies and procedures, restoration and recovery procedures and methods
DORA
5.2.8: IT service continuity planning
TISAX

Palveluriippuvuuksien huomiointi vikasietoisuuden suunnittelussa

Critical
High
Normal
Low

Palvelujen riippuvuus muista palveluista ja toisista toimijoista on otettu huomioon koko tietojenkäsittely-ympäristön ja sen vikasietoisuuden suunnittelussa.

VAR-08.1: Vikasietoisuus - riippuvuudet
Julkri

Kriittisten tehtävien jatkuvuus erityistilanteissa

Critical
High
Normal
Low

Organisaatio on tunnistanut toimintansa jatkuvuuden kannalta kriittiset työtehtävät. Kriittisten tehtävien jatkamiseksi on suunniteltu ja valmisteltu erityistilanteiden vaihtoehtoiset toimintatavat ja henkilöstön saatavuus ja varajärjestelyt.

Jatkuussuunnitelmien toteuttamista varten on nimetty suunnitelmien omistajat, heille varahenkilöt sekä tarkennettu suunnitelman toteuttamiseen tarvittavat muut henkilöt. Lisäksi heidän kykynsä hoitaa tehtävät normaalitilanteissa on varmistettu.

VAR-05: Henkilöstön saatavuus ja varajärjestelyt
Julkri
Article 11: Response and recovery
DORA
2.7: Varautuminen häiriötilanteisiin
TiHL: Tietoturva
1.6.3: Crisis preparedness
TISAX

Palveluntarjoajien siirtojen huomiointi jatkuvuussuunnitelmissa

Critical
High
Normal
Low

Palvelua hankittaessa tulee huomioida, että palvelua voi olla hankala kotiuttaa ja toimittajalukkoon jäänyttä palvelua vaikea siirtää toiselle palveluntarjoajalle. Erityisesti vaatimus tulee huomioida hankittaessa pilvipalveluita.

Jatkuvuussuunnitelmissa on huomioitu yhtenä erityistä tarkkuutta vaativana näkökulmana palveluiden kotiuttamiset ja siirrot toiselle palveluntarjoajalle.

VAR-02.1: Jatkuvuusvaatimusten määrittely - palveluiden siirrot
Julkri

Häiriöön vastaamissuunnitelman toteutus sidosryhmien kanssa

Critical
High
Normal
Low

Häiriötilanteessa vastaamissuunnitelman toteutus sidosryhmien kanssa on toteutettava suunnitelman määrittelemällä tavalla.

RS.CO-4: Coordination with stakeholders
NIST
RS.RP-1: Response plan is executed during or after an incident.
CyFun
RS.CO-4: Coordination with stakeholders occurs consistent with response plans.
CyFun

Häiriöön vastaamissuunnitelman mukainen viestintä häiriötilanteessa

Critical
High
Normal
Low

Häiriötilanteessa viestintää sisäisten ja ulkoisten sidosryhmien kanssa täytyy toteuttaa häiriöön vastaamissuunnitelman mukaisesti.

RS.CO-3: Information sharing
NIST
32: Viestintäsuunnitelma häiriö- ja kriisitilanteisiin
Kokonaiskuva (DVV)
RESPONSE-3: Respond to Cybersecurity Incidents
C2M2: MIL1
Article 14: Communication
DORA
Article 17: ICT-related incident management process
DORA

Häiriöön vastaamissuunnitelman kehittäminen kriittisille tietojärjestelmille

Critical
High
Normal
Low

Organisaation on luotava häiriöön vastaamissuunnitelma kriittisiin tietojärjestelmiin tapahtuvia tietoturvahäiriöitä varten. Vastaamissuunnitelmia tulee myös testata tarvittavien organisaation elementtien toimesta. Suunnitelmassa tulisi ottaa huomioon ainakin:

  • Tietojärjestelmän toiminnan tarkoitus ja sen katkeamista varten tarvittavat varautumistoimet
  • Palautussuunnitelmat, tavoitteet ja palautuskohteiden priorisointijärjestys
  • Vastaussuunnitelmien toteuttamisen roolitus ja rooleihin määrättyjen henkilöiden yhteystiedot
  • Normaalin toiminnan jatkuminen tietojärjestelmien tilasta riippumatta.
  • Vastaussuunnitelmien jakelu, hyväksyminen ja tarkastaminen

Lisäksi suunnitelman tulisi ainakin:

  • Luoda etenemissuunnitelma häiriöiden hallintakyvyn kehittämistä varten
  • Kuvata häiriönhallintakyvyn rakenne ja organisaatio
  • Antaa mittarit häiriönhallintakyvyn mittaamiseksi
RS.RP: Response Planning
NIST
RS.RP-1: Incident response plan
NIST
HAL-17: Tietojärjestelmien toiminnallinen käytettävyys ja vikasietoisuus
Julkri
VAR-09: Tietojärjestelmien toipumissuunnitelmat
Julkri
CC7.4: Responding to identified security incidents
SOC 2

Tietoturvahäiriöihin liittyvien jatkuvuussuunnitelmien testaus ja katselmointi

Critical
High
Normal
Low

Organisaation on testattava ja päivitettävä tietoturvahäiriöön reagointia sunnitelluin väliajoin tai merkittävien muutoksien jälkeen. Kriittisille osille organisaation toimintaa suunnitelmia tulisi testata vähintään vuosittain. Testauksen tulokset tulee dokumentoida ja kommunikoida, suunnitelman parantamiseksi.

PR.IP-10: Response and recovery plan tests
NIST
RS.IM-2: Response strategies update
NIST
RC.IM-2: Recovery strategies
NIST
Article 11: Response and recovery
DORA
2.7: Varautuminen häiriötilanteisiin
TiHL: Tietoturva

Tietoturvahäiriöiden huomiointi jatkuvuussuunnittelussa

Critical
High
Normal
Low

Organisaation on dokumentoitava ennalta toimintatavat tietoturvahäiriöihin reagointiin, joiden avulla varmistetaan liittyvien osastojen, asiakkaiden ja muiden kriittisten kumppanien toiminta tietoturvahäiriötilanteissa.

PR.IP-9: Response and recovery plans
NIST
RS.MI-2: Incident mitigation
NIST
RC.RP-1: Recovery plan
NIST
RC.RP: Recovery Planning
NIST
2.7: Varautuminen häiriötilanteisiin
TiHL: Tietoturva

Tietojärjestelmien luotettavuuden varmistaminen

Critical
High
Normal
Low

Järjestelmien luotettavuuden varmistamiseksi tulisi olla tehtynä seuraavia toimenpiteitä:

  • Kahdennukset järjestelmistä
  • Suunniteltuja tilapäisratkaisuja ongelmatilanteiden varalle
  • Varaosia saatavilla
  • Erityiskomponenttien avulla
  • Aktiivisella valvonnalla
  • Aktiivisilla huoltotoimilla

Tietojärjestelmien, laitteiden ja verkkojen huoltaminen, päivittäminen ja mahdollinen uusiminen tulee suunnitella tarvittavien komponentti- ja ohjelmistopäivitysten toteuttamiseksi ennen mahdollisia vikoja. Komponenttien kriittisyyttä tarkastellessa tulee ottaa huomioon asiakas- ja potilasturvallisuuden näkökulma.

6.2a: Jatkuvuuden hallinta
Tietoturvasuunnitelma
Article 7: ICT systems, protocols and tools
DORA
Article 9b: Prevention
DORA
4.1: Tietojärjestelmien tietoturvallisuus
TiHL: Tietoturva
RC.RP-1: Recovery plan is executed during or after a cybersecurity incident.
CyFun

Prosessi tietojen eheyden tarkistamiseksi häiriön jälkeen

Critical
High
Normal
Low

Organisaatiolla on oltava prosessi tarvittavien tarkastusten suorittamiseksi varmistaakseen tietojen eheyden säilymisen ICT-häiriöstä toivuttaessa.

Tarkastus tulisi tehdä myös silloin, kun tietoja rekonstruoidaan ulkopuolisilta sidosryhmiltä sen varmistamiseksi, että tiedot ovat johdonmukaisia ja oikeita järjestelmien välillä.

Article 12: Backup policies and procedures, restoration and recovery procedures and methods
DORA

Digitaalisen häiriönsietokyvyn testauksen suorittaminen

Critical
High
Normal
Low

Organisaation on osana sen kyber-riskienhallintakehystä ylläpidettävä ja tarkistettava digitaalista häiriönsietokyvyn testausohjelmaa. Sen on autettava organisaatiota arvioimaan niiden valmiutta:

  • käsitellä ICT:hen liittyviä häiriöitä
  • tunnistaa heikkoudet, puutteet ja aukot digitaalisessa häiriönsietokyvyssä
  • suorittaa korjaustoimenpiteitä

Testausohjelma:

  • tulee sisältää erilaisia arviointeja, testejä ja työkaluja testauksen oikeellisuuden varmistamiseksi.
  • tulee suorittaa riskiperusteisesti tunnistaakseen ICT:hen liittyvien riskien kehittyvän maiseman.
  • tulee suorittaa riippumattomien osapuolten, ulkoisten tai sisäisten, toimesta varmistamalla riittävät resurssit ja välttämällä eturistiriitoja

Organisaatiolla on oltava prosesseja priorisoida, luokitella ja korjata testausohjelman paljastamat ongelmat.

Osana ohjelmaa organisaation on varmistettava, että kaikki tukevat kriittiset tai tärkeät ICT-järjestelmät ja sovellukset testataan vuosittain.

Article 24: General requirements for the performance of digital operational resilience testing
DORA

Tietoturvallisuuden jatkuvuutta koskevat vaatimukset

Critical
High
Normal
Low

Organisaation tulisi määrittää vaatimukset, jotka koskevat tietoturvallisuuden hallinnan jatkuvuutta kriisin tai katastrofin aikana.

Tietoturvan hallinnassa voidaan joko olettaa, että tietoturvavaatimukset ovat samat epäsuotuisissa tilanteissa kuin normaaleissa toimintaolosuhteissa, tai pyrkiä erikseen määrittämään epäsuotuisiin tilanteisiin soveltuvat tietoturvavaatimukset.

17.1.1: Tietoturvallisuuden jatkuvuuden suunnittelu
ISO27 Täysi
VAR-02: Jatkuvuusvaatimusten määrittely
Julkri
5.29: Tietoturvallisuus häiriötilanteessa
ISO27k1 Täysi
24: Jatkuvuudenhallinnan kuvaus
Kokonaiskuva (DVV)

Jatkuvuussuunnitelmiin liittyvä viestintä sidosryhmille

Critical
High
Normal
Low

Organisaatio on määritellyt toimintatavat viestiäkseen tehokkaasti sidosryhmien ja muiden osallistujien jatkuvuussuunnitelmien ja selviytymismenettelyjen aikana.

Jatkuvuussuunnitelmiin liittyvien viestintäsuunnitelmien on sisällettävä:

  • Vastuuhenkilöt, liittyvät sidosryhmät ja muut tarvittavat yhteystiedot
  • Selkeät kriteerit tilanteelle, jossa jatkuvuusviestintää aletaan toteuttaa
  • Selkeä kuvaus jatkuvuusviestintää kussakin tilanteessa toteuttavasta henkilöstö sekä vastaanottajista, joille viestintää lähetetään
  • Viittaukset käytettäviin viestipohjiin sekä käytettäviin työkaluihin liittyen
VAR-03: Jatkuvuussuunnitelmat
Julkri
34: Sidosryhmien välisen viestinnän mahdollistaminen
Kokonaiskuva (DVV)
21.2.c: Business continuity and backups
NIS2
CC2.3: Communication with external parties
SOC 2
CC7.5: Recovery from security incidents
SOC 2

Organisaation jatkuvuussuunnitelun strategian määrittely

Critical
High
Normal
Low

Organisaation on ylläpidettävä ylätason strategiaa jatkuvuussuunnittelulle. Strategian on sisällettävä vähintään:

  • Ohjenuorat jatkuvuussuunnittelun aikatavoitteiden sekä jatkuvuussuunnitelmia vaativien tapahtumien määrittämiselle
  • Johdon sitoumus jatkuvuussuunnitteluun ja sen parantamiseen
  • Kuvaus organisaation riskinottohalukkuudesta

Strategian laatimiseksi voi olla tarpeen hyödyntää yleisiä hyviä käytäntöjä esim. ISO 22300 -standardeista.

VAR-03: Jatkuvuussuunnitelmat
Julkri
24: Jatkuvuudenhallinnan kuvaus
Kokonaiskuva (DVV)
Article 11: Response and recovery
DORA
5.2.8: IT service continuity planning
TISAX

Henkilöstön tietoisuus jatkuvuussuunnitelmista

Critical
High
Normal
Low

Relevantit henkilöt tuntevat omaan toimintaan liittyvät jatkuvuussuunnitelmat sekä niiden tarkemmat sisällöt riittävän tarkasti ja osaavat toimia niiden mukaisesti.

VAR-04: Resurssit ja osaaminen
Julkri
1.6.3: Crisis preparedness
TISAX

Palautumistoimintojen kommunikointi sidosryhmille

Critical
High
Normal
Low

Organisaation toimintakyvyn palautustoimet täytyy kommunikoida suunnitelman mukaisesti kriittisille henkilöille ja johdolle organisaation sisällä. Palautustoimet täytyy myös tiedottaa ulkoisille sidosryhmille.

RC.CO-3: Recovery actions
NIST
Article 14: Communication
DORA
RC.CO-3: Recovery activities are communicated to internal and external stakeholders as well as executive and management teams
CyFun
4.2.3: Inform relevant stakeholders
NSM ICT-SP

Jatkuvuussuunnitelmien jatkuva parantaminen

Critical
High
Normal
Low

Organisaatio kehittää säännöllisesti jatkuvuussuunnitelmiaan analysoimalla suunnitelmien testaamista, harjoittelua ja niiden toteutunutta käyttöä tositilanteissa.

CC7.5: Recovery from security incidents
SOC 2
Article 11: Response and recovery
DORA
RS.IM-2: Response and Recovery strategies are updated.
CyFun
RS.IM-1: Response plans incorporate lessons learned.
CyFun
RC.IM-1: Recovery plans incorporate lessons learned.
CyFun

Kriisinhallintaryhmän ja -prosessin perustaminen

Critical
High
Normal
Low

Organisaation tulee luoda kattava kriisinhallintajärjestelmä ja ylläpidettävä sitä. Tähän kuuluu menetelmien käyttöönotto mahdollisten kriisitilanteiden havaitsemiseksi tunnistamalla yleiset indikaattorit ja erityiset ennakoitavat kriisit sekä selkeät menettelyt kriisinhallinnan käynnistämiseksi ja eskaloimiseksi tarvittaessa. On määriteltävä strategiset tavoitteet ja painopisteet, joissa keskitytään esimerkiksi eettisiin näkökohtiin:

  • ihmishenkien ja terveyden suojelu
  • keskeisimpien liiketoimintaprosessien turvaaminen
  • asianmukaisen tietoturvan varmistaminen

kriisinhallintaryhmän muodostus, johon kuuluu edustajia kaikista tärkeimmistä organisaation toiminnoista ja jossa on määritellyt rakenteet, roolit, toimivaltuudet, odotukset, valtuudet ja päätöksentekomenettelyt.

On kehitettävä ja hyväksyttävä kriisinhallintapolitiikat ja -menettelyt, jotka kattavat poikkeukselliset valtuudet ja päätöksentekoprosessit, viestintämenetelmät, hätätilanteiden toimintamenettelyt sekä raportoinnin, tiedonkeruun ja päätöksenteon organisaatiorakenteet.

Koko kriisinhallintasuunnitelmaa olisi tarkistettava ja päivitettävä säännöllisesti, jotta varmistetaan sen jatkuva tehokkuus ja asianmukaisuus.

1.6.3: Crisis preparedness
TISAX
4.3.2: Determine whether the incident is under control and take the necessary reactive measures
NSM ICT-SP

Kriittisten skenaarioiden ja näkökohtien sisällyttäminen jatkuvuussuunnitelmiin

Critical
High
Normal
Low

Organisaation tulisi sisällyttää seuraavat asiat jatkuvuussuunnitteluunsa:

  • Suunnitelmat (D)DoS-hyökkäyksiä varten
  • Suunnitelmat onnistuneita kiristyshaittaohjelmahyökkäyksiä ja muuta sabotaasia varten.
  • Järjestelmähäiriöt
  • Luonnonkatastrofit

Jatkuvuussuunnittelussa tulee ottaa huomioon vaihtoehtoiset viestintävaihtoehdot tilanteita varten, joissa ensisijaiset viestintävälineet eivät toimi. Myös varastointi-, sähkö- ja verkkostrategioihin olisi oltava vaihtoehtoisia vaihtoehtoja.

5.2.8: IT service continuity planning
TISAX