Tietoturvallisuuden omavalvonnan kohteen on varauduttava virhe- ja ongelmatilanteisiin, tietoturvapoikkeamiin, tietoturvaloukkauksiin sekä muihin häiriöihin siten, että asiakas- ja potilastietojen käsittelyn jatkuvuus voidaan erilaisissa olosuhteissa hallita ja turvata.
Myös tietojärjestelmien mahdollinen ennalta luokittelu kriittisyyden perustella vaikuttaa varautumisen käytännön toteuttamiseen. Nämä seikat voivat olla kuvattuna tietoturvasuunnitelmaan tai tietoturvasuunnitelmassa viitattaviin erillisiin jatkuvuus-, toipumis- ja varautumissuunnitelmiin, joiden mukaisia menettelyitä noudatetaan virhe- ja ongelmatilanteissa.
Palvelunantajan tulee suunnitella tietojärjestelmähäiriöiden edellyttämät jatkuvuuden toimenpiteet, ohjeet ja hankinnat. Menettelytapoja normaalista poikkeavien tilanteiden ja poikkeusolojen varalle tulee säännöllisesti läpikäydä, testata ja tarkistaa, jotta käytännön menettelyt toimivat virhe- ja ongelmatilanteissa, ja jotta muun muassa tarpeellisten ohjeiden saatavuus on turvattu näissä erityistilanteissa.
Terveydenhuollon palvelunantajan on määriteltävä tärkeimpien tietojärjestelmien ja niiden komponenttien kriittisyys potilasturvallisuuden näkökulmasta. Olennaista on tunnistaa kriittiset tietojärjestelmät ja tietojärjestelmien toimivuuden kannalta kriittiset osajärjestelmät, laitteet ja muut resurssit. Järjestelmien luotettavuudesta tulee huolehtia esimerkiksi toimivien kahdennusten, suunniteltujen tilapäisratkaisujen, varaosien, erityiskomponenttien ja aktiivisten valvonta- ja huoltotoimien avulla. Tietojärjestelmien, laitteiden ja verkkojen huolto, päivitykset ja tarvittaessa uusiminen tulee suunnitella. Näin varmistetaan, että tarvittavat komponentti- ja ohjelmistopäivitykset hoidetaan hyvissä ajoin ennen mahdollisia vikaantumisia. Komponenttien kriittisyyttä tulee tarkastella vähintään asiakas- ja potilasturvallisuuden näkökulmasta.
Joskus yllättävä tapahtuma, kuten tulipalo, tulva tai laiterikko, voi aiheuttaa toiminnan keskeytyksen. Jotta toimintaa pystyttäisiin jatkamaan mahdollisimman pian ja sujuvasti, tehdään jatkuvuussuunnittelua, eli suunnitellaan etukäteen toiminta poikkeustilanteiden varalle.
Jokaiseen jatkuvuussuunnitelmaan sisältyvät vähintään seuraavat tiedot:
The organisation should regularly, at least annually, test and review its information security continuity plans to ensure that they are valid and effective in adverse situations.
Testing of continuity plans shall involve, as appropriate, stakeholders critical to each plan. The organisation should identify and document the necessary contacts with suppliers and partners
In addition, the adequacy of continuity plans and associated management mechanisms should be reassessed in the event of significant changes in operations.
Organisaatiolla on selkeä prosessi, jonka mukaisesti se tunnistaa toimintansa kannalta kaikkein kriittisimmät toiminnot (esim. asiakkaille tarjottavat palvelut), joihin kohdistuvat jatkuvuusvaatimukset ovat kaikkein korkeimmat.
Näiden toimintojen kannalta välttämättömät tietojenkäsittely-ympäristön kohteet (kuten tietojärjestelmät, tietovarannot, toimintaprosessit, kumppanit, yksiköt, laitteisto) luokitellaan kriittisiksi.
Kriittiset toiminnot huomioidaan korkeimmalla prioriteetilla mm. jatkuvuussuunnittelussa ja niihin voidaan muutenkin kohdistaa tiukempia turvallisuusvaatimuksia, kuin ympäristön muihin kohteisiin.
ICT:ltä vaaditut jatkuvuusvaatimukset muodustuvat organisaation tuotteiden ja palveluiden tarjoamiseen liittyville ydinprosesseille muodostettujen jatkuvuussuunnitelmien ja niihin sisältyvien palautusmisaikatavoitteiden kautta.
Organisaation on tunnistettava, millaiset palautumisajat ja palautumispisteet eri ICT-palvelujen on pystyttävä saavuttamaan huomioiden liittyville prosesseille määritellyt palautumistavoitteet, ja varmistettava kyky näiden saavuttamiseen.
Suunnittelussa on huomioitava etenkin:
Järjestelmien luotettavuuden varmistamiseksi tulisi olla tehtynä seuraavia toimenpiteitä:
Tietojärjestelmien, laitteiden ja verkkojen huoltaminen, päivittäminen ja mahdollinen uusiminen tulee suunnitella tarvittavien komponentti- ja ohjelmistopäivitysten toteuttamiseksi ennen mahdollisia vikoja. Komponenttien kriittisyyttä tarkastellessa tulee ottaa huomioon asiakas- ja potilasturvallisuuden näkökulma.
Omavaltontasuunnitelmassa on kuvattava, kuinka varmistetaan ohjeiden saatavuus poikkeustilanteesta huolimatta silloin, kun niitä tarvitaan.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
