Tietoturvallisuuden omavalvonnan kohteen on varauduttava virhe- ja ongelmatilanteisiin, tietoturvapoikkeamiin, tietoturvaloukkauksiin sekä muihin häiriöihin siten, että asiakas- ja potilastietojen käsittelyn jatkuvuus voidaan erilaisissa olosuhteissa hallita ja turvata.
Myös tietojärjestelmien mahdollinen ennalta luokittelu kriittisyyden perustella vaikuttaa varautumisen käytännön toteuttamiseen. Nämä seikat voivat olla kuvattuna tietoturvasuunnitelmaan tai tietoturvasuunnitelmassa viitattaviin erillisiin jatkuvuus-, toipumis- ja varautumissuunnitelmiin, joiden mukaisia menettelyitä noudatetaan virhe- ja ongelmatilanteissa.
Palvelunantajan tulee suunnitella tietojärjestelmähäiriöiden edellyttämät jatkuvuuden toimenpiteet, ohjeet ja hankinnat. Menettelytapoja normaalista poikkeavien tilanteiden ja poikkeusolojen varalle tulee säännöllisesti läpikäydä, testata ja tarkistaa, jotta käytännön menettelyt toimivat virhe- ja ongelmatilanteissa, ja jotta muun muassa tarpeellisten ohjeiden saatavuus on turvattu näissä erityistilanteissa.
Terveydenhuollon palvelunantajan on määriteltävä tärkeimpien tietojärjestelmien ja niiden komponenttien kriittisyys potilasturvallisuuden näkökulmasta. Olennaista on tunnistaa kriittiset tietojärjestelmät ja tietojärjestelmien toimivuuden kannalta kriittiset osajärjestelmät, laitteet ja muut resurssit. Järjestelmien luotettavuudesta tulee huolehtia esimerkiksi toimivien kahdennusten, suunniteltujen tilapäisratkaisujen, varaosien, erityiskomponenttien ja aktiivisten valvonta- ja huoltotoimien avulla. Tietojärjestelmien, laitteiden ja verkkojen huolto, päivitykset ja tarvittaessa uusiminen tulee suunnitella. Näin varmistetaan, että tarvittavat komponentti- ja ohjelmistopäivitykset hoidetaan hyvissä ajoin ennen mahdollisia vikaantumisia. Komponenttien kriittisyyttä tulee tarkastella vähintään asiakas- ja potilasturvallisuuden näkökulmasta.
Joskus yllättävä tapahtuma, kuten tulipalo, tulva tai laiterikko, voi aiheuttaa toiminnan keskeytyksen. Jotta toimintaa pystyttäisiin jatkamaan mahdollisimman pian ja sujuvasti, tehdään jatkuvuussuunnittelua, eli suunnitellaan etukäteen toiminta poikkeustilanteiden varalle.
Jokaiseen jatkuvuussuunnitelmaan sisältyvät vähintään seuraavat tiedot:
Organisaation tulisi säännöllisesti, vähintään vuosittain, testata ja tarkistaa tietoturvan jatkuvuussuunnitelmansa sen varmistamiseksi, että ne ovat päteviä ja tehokkaita epäsuotuisissa tilanteissa.
Jatkuvuussuunnitelmien testaukseen on tarvittaessa otettava mukaan kunkin suunnitelman kannalta kriittiset sidosryhmät. Organisaation tulisi määritttää ja dokumentoida tarvittavat yhteyshenkilöt toimittajien ja kumppaneiden kanssa.
Lisäksi jatkuvuussuunnitelmien ja niihin liittyvien hallintamekanismien riittävyys olisi arvioitava uudelleen, jos toiminnassa tapahtuu merkittäviä muutoksia.
Organisaatiolla on selkeä prosessi, jonka mukaisesti se tunnistaa toimintansa kannalta kaikkein kriittisimmät toiminnot (esim. asiakkaille tarjottavat palvelut), joihin kohdistuvat jatkuvuusvaatimukset ovat kaikkein korkeimmat.
Näiden toimintojen kannalta välttämättömät tietojenkäsittely-ympäristön kohteet (kuten tietojärjestelmät, tietovarannot, toimintaprosessit, kumppanit, yksiköt, laitteisto) luokitellaan kriittisiksi.
Kriittiset toiminnot huomioidaan korkeimmalla prioriteetilla mm. jatkuvuussuunnittelussa ja niihin voidaan muutenkin kohdistaa tiukempia turvallisuusvaatimuksia, kuin ympäristön muihin kohteisiin.
ICT:ltä vaaditut jatkuvuusvaatimukset muodustuvat organisaation tuotteiden ja palveluiden tarjoamiseen liittyville ydinprosesseille muodostettujen jatkuvuussuunnitelmien ja niihin sisältyvien palautusmisaikatavoitteiden kautta.
Organisaation on tunnistettava, millaiset palautumisajat ja palautumispisteet eri ICT-palvelujen on pystyttävä saavuttamaan huomioiden liittyville prosesseille määritellyt palautumistavoitteet, ja varmistettava kyky näiden saavuttamiseen.
Suunnittelussa on huomioitava etenkin:
Järjestelmien luotettavuuden varmistamiseksi tulisi olla tehtynä seuraavia toimenpiteitä:
Tietojärjestelmien, laitteiden ja verkkojen huoltaminen, päivittäminen ja mahdollinen uusiminen tulee suunnitella tarvittavien komponentti- ja ohjelmistopäivitysten toteuttamiseksi ennen mahdollisia vikoja. Komponenttien kriittisyyttä tarkastellessa tulee ottaa huomioon asiakas- ja potilasturvallisuuden näkökulma.
Omavaltontasuunnitelmassa on kuvattava, kuinka varmistetaan ohjeiden saatavuus poikkeustilanteesta huolimatta silloin, kun niitä tarvitaan.
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
