Objective: A crisis situation occurs If exceptional situations (e.g. natural disasters, physical attacks, pandemics, exceptional social situations, cyber-attacks causing major infrastructure failures) are severely disrupting key business operations. In such cases, the main priority of the organization is to handle the situation as gracefully as possible and recover as quickly as possible. To achieve that and since time is of the essence, switching to a crisis management mode executing pre-planned procedures having specific distribution of responsibilities and structures enables an organization to deal with such a situation is the usual approach.
Requirements (must): An appropriate planning to react to and recover from crisis situations exists.
- The required resources are available.
Responsibilities and authority for crisis management within the organization are defined, documented, and assigned.
The responsible employees are defined and qualified for their task.
Requirements (should): Methods to detect crisis situations are established.
- General indications for the existence or imminence of a crisis situation and specific predictable crisis are identified
A procedure to invoke and/or escalate crisis management is in place.
Strategic goals and their priority in crisis situations are defined and known to relevant personnel. The following aspects are considered:
- Ethical priorities (e.g., protection of life and health)
- Core business processes (e.g., processes that ensure the survival of the organization)
- Appropriate information security
A crisis management team is defined and approved. The following aspects are considered:
- Management commitment
- Composition (e.g., participation of all major functions of the organization including organization leadership (management board), business operations (production), HR, information security, corporate security, corporate emergency services, IT/cyber security, communication, finance)
- Structure and roles
- Competences of members
- Expectation and authority
- Decision making procedures
Crisis policies and procedures are defined and approved. The following aspects are considered:
- Exceptional authorities and decision-making processes beyond the crisis management team
- Primary and backup means of communication
- Emergency operating procedures
- Exceptional organizational structures (e.g., reporting, information gathering, decision making)
- Exceptional functions, responsibilities, and authority (including reporting)
- Exceptional tools
Crisis planning is reviewed and updated regularly.
Joskus yllättävä tapahtuma, kuten tulipalo, tulva tai laiterikko, voi aiheuttaa toiminnan keskeytyksen. Jotta toimintaa pystyttäisiin jatkamaan mahdollisimman pian ja sujuvasti, tehdään jatkuvuussuunnittelua, eli suunnitellaan etukäteen toiminta poikkeustilanteiden varalle.
Jokaiseen jatkuvuussuunnitelmaan sisältyvät vähintään seuraavat tiedot:
Organisaation on huomioitava katastrofeista palautuminen jatkuvuussuunnitelmissaan. Suunnittelulle relevantteja katastrofeja ovat sekä luonnonkatastrofit (mm. tulva, maanjäristys, hurrikaani) että ihmislähtöiset katastrofit (mm. terrori-isku, kemiallinen isku, sisäpiirihyökkäys).
Katastrofisuunnittelussa on jatkuvuussuunnittelua suurempi painoarvo toiminnan turvallisessa palauttamisessa normaalille tasolle. Tämän jälkeen fokus siirtyy normaalin toiminnan jatkamiseen.
Jatkuvuussuunnitelmia tulee päivittää vähintään vuosittain tai merkittävien muutosten jälkeen.
Organisaatiolla on selkeä prosessi, jonka mukaisesti se tunnistaa toimintansa kannalta kaikkein kriittisimmät toiminnot (esim. asiakkaille tarjottavat palvelut), joihin kohdistuvat jatkuvuusvaatimukset ovat kaikkein korkeimmat.
Näiden toimintojen kannalta välttämättömät tietojenkäsittely-ympäristön kohteet (kuten tietojärjestelmät, tietovarannot, toimintaprosessit, kumppanit, yksiköt, laitteisto) luokitellaan kriittisiksi.
Kriittiset toiminnot huomioidaan korkeimmalla prioriteetilla mm. jatkuvuussuunnittelussa ja niihin voidaan muutenkin kohdistaa tiukempia turvallisuusvaatimuksia, kuin ympäristön muihin kohteisiin.
Organisaatio on tunnistanut toimintansa jatkuvuuden kannalta kriittiset työtehtävät. Kriittisten tehtävien jatkamiseksi on suunniteltu ja valmisteltu erityistilanteiden vaihtoehtoiset toimintatavat ja henkilöstön saatavuus ja varajärjestelyt.
Jatkuussuunnitelmien toteuttamista varten on nimetty suunnitelmien omistajat, heille varahenkilöt sekä tarkennettu suunnitelman toteuttamiseen tarvittavat muut henkilöt. Lisäksi heidän kykynsä hoitaa tehtävät normaalitilanteissa on varmistettu.
Relevantit henkilöt tuntevat omaan toimintaan liittyvät jatkuvuussuunnitelmat sekä niiden tarkemmat sisällöt riittävän tarkasti ja osaavat toimia niiden mukaisesti.
Organisaation tulee luoda kattava kriisinhallintajärjestelmä ja ylläpidettävä sitä. Tähän kuuluu menetelmien käyttöönotto mahdollisten kriisitilanteiden havaitsemiseksi tunnistamalla yleiset indikaattorit ja erityiset ennakoitavat kriisit sekä selkeät menettelyt kriisinhallinnan käynnistämiseksi ja eskaloimiseksi tarvittaessa. On määriteltävä strategiset tavoitteet ja painopisteet, joissa keskitytään esimerkiksi eettisiin näkökohtiin:
kriisinhallintaryhmän muodostus, johon kuuluu edustajia kaikista tärkeimmistä organisaation toiminnoista ja jossa on määritellyt rakenteet, roolit, toimivaltuudet, odotukset, valtuudet ja päätöksentekomenettelyt.
On kehitettävä ja hyväksyttävä kriisinhallintapolitiikat ja -menettelyt, jotka kattavat poikkeukselliset valtuudet ja päätöksentekoprosessit, viestintämenetelmät, hätätilanteiden toimintamenettelyt sekä raportoinnin, tiedonkeruun ja päätöksenteon organisaatiorakenteet.
Koko kriisinhallintasuunnitelmaa olisi tarkistettava ja päivitettävä säännöllisesti, jotta varmistetaan sen jatkuva tehokkuus ja asianmukaisuus.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
