Sisältökirjasto
DORA simplified RMF
Article 39: Components of the ICT business continuity plan

Vaatimuksen kuvaus

1. The financial entities referred to in Article 16(1) of Regulation (EU) 2022/2554 shall develop their ICT business continuity plans considering the results of the analysis of their exposures to and potential impact of severe business disruptions and scenarios to which their ICT assets supporting critical or important functions might be exposed, including a cyber-attack scenario.

2. The ICT business continuity plans referred to in paragraph 1 shall:

(a) be approved by the management body of the financial entity;

(b) be documented and readily accessible in the event of an emergency or crisis;

(c) allocate sufficient resources for their execution;

(d) establish planned recovery levels and timeframes for the recovery and resumption of functions and key internal and external dependencies, including ICT third-party service providers;

(e) identify the conditions that may prompt the activation of the ICT business continuity plans and what actions are to be taken to ensure the availability, continuity, and recovery of the financial entities’ ICT assets supporting critical or important functions;

(f) identify the restoration and recovery measures for critical or important business functions, supporting processes, information assets, and their interdependencies to avoid adverse effects on the functioning of the financial entities;

(g) identify backup procedures and measures that specify the scope of the data that are subject to the backup, and the minimum frequency of the backup, based on the criticality of the function using those data;

(h) consider alternative options where recovery may not be feasible in the short term because of costs, risks, logistics, or unforeseen circumstances;

(i) specify the internal and external communication arrangements, including escalation plans;

(j) be updated in line with lessons learned from incidents, tests, new risks, and threats identified, changed recovery objectives, major changes to the financial entity’s organisation, and to the ICT assets supporting critical or business functions.

For the purposes of point (f), the measures referred to in that point shall provide for the mitigation of failures of critical third-party providers.

Kuinka täyttää vaatimus

DORA simplified RMF

Article 39: Components of the ICT business continuity plan

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Jatkuvuussuunnitelmien määrittely ja dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Jatkuvuuden hallinta
40
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
T05: Jatkuvuuden hallinta
Katakri
17.1.2: Tietoturvallisuuden jatkuvuuden toteuttaminen
ISO 27001
​​​​​​​ID.SC-5: Response and recovery
NIST
PR.IP-9: Response and recovery plans
NIST
RC.RP-1: Recovery plan
NIST
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Jatkuvuussuunnitelmien määrittely ja dokumentointi
1. Tehtävän vaatimuskuvaus

Joskus yllättävä tapahtuma, kuten tulipalo, tulva tai laiterikko, voi aiheuttaa toiminnan keskeytyksen. Jotta toimintaa pystyttäisiin jatkamaan mahdollisimman pian ja sujuvasti, tehdään jatkuvuussuunnittelua, eli suunnitellaan etukäteen toiminta poikkeustilanteiden varalle.

Jokaiseen jatkuvuussuunnitelmaan sisältyvät vähintään seuraavat tiedot:

  • Tapahtuma, jonka varalle suunnitelma on tehty
  • Tavoiteaika palautumiselle
  • Vastuuhenkilöt sekä liittyvät sidosryhmät ja yhteystiedot
  • Suunnitellut välittömät toimet
  • Suunnitellut toipumisen askeleet

Toipumissuunnitelman laatiminen ja toteuttaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Häiriöiden hallinta
Häiriöiden hallinta ja ilmoittaminen
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
4.3.4: Launch recovery plan during or after the incident
NSM ICT-SP
Article 39: Components of the ICT business continuity plan
DORA simplified RMF
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Toipumissuunnitelman laatiminen ja toteuttaminen
1. Tehtävän vaatimuskuvaus

Organisaatiolla tulisi olla määritelty ja hyvin dokumentoitu toipumissuunnitelma. Toipumissuunnitelma olisi voitava käynnistää häiriötilanteen aikana tai sen jälkeen. Elvytystoimet ja -toimenpiteet vaihtelevat vaaratilanteesta toiseen, esimerkiksi vaaratilanteen tyyppi voi vaikuttaa toteutettaviin toimiin. Näihin toimiin voivat kuulua:

  • Häiriön aikana menetettyjen tai vahingoittuneiden tarpeettomien resurssien aktivointi uudelleen.
  • Laitteiston ja ohjelmistojen uudelleenasentaminen vaurioituneisiin komponentteihin
  • Konfiguraatioasetusten palauttaminen, mukaan lukien tarvittavat mukautukset
  • Häiriön aikana pysäytettyjen palvelujen palauttaminen

Organisaation olisi omaksuttava "build back better" -ajattelutapa, kun se rakentaa ICT-järjestelmiä uudelleen. Tämä tarkoittaa, että järjestelmät olisi rakennettava uudelleen parempaan tilaan kuin ne olivat ennen häiriötä.

Kriittisten IT-kumppanien tunnistaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kumppanihallinta
Toimittajien turvallisuus
3
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
THIRD-PARTIES-1: Identify and Prioritize Third Parties
C2M2
1.2.4: Definition of responsibilities with service providers
TISAX
Article 39: Components of the ICT business continuity plan
DORA simplified RMF
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Kriittisten IT-kumppanien tunnistaminen
1. Tehtävän vaatimuskuvaus

Organisaation on tunnistettava kriittiset IT-kumppanit. Kriittisellä kumppanilla (sisäinen tai ulkoinen) tarkoitetaan kumppania, jota ilman toiminta keskeytyy.

Kriittisten tehtävien jatkuvuus erityistilanteissa

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Jatkuvuuden hallinta
5
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
VAR-05: Henkilöstön saatavuus ja varajärjestelyt
Julkri
Article 11: Response and recovery
DORA
2.7: Varautuminen häiriötilanteisiin
TiHL tietoturvavaatimukset
1.6.3: Crisis preparedness
TISAX
Article 39: Components of the ICT business continuity plan
DORA simplified RMF
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Kriittisten tehtävien jatkuvuus erityistilanteissa
1. Tehtävän vaatimuskuvaus

Organisaatio on tunnistanut toimintansa jatkuvuuden kannalta kriittiset työtehtävät. Kriittisten tehtävien jatkamiseksi on suunniteltu ja valmisteltu erityistilanteiden vaihtoehtoiset toimintatavat ja henkilöstön saatavuus ja varajärjestelyt.

Jatkuussuunnitelmien toteuttamista varten on nimetty suunnitelmien omistajat, heille varahenkilöt sekä tarkennettu suunnitelman toteuttamiseen tarvittavat muut henkilöt. Lisäksi heidän kykynsä hoitaa tehtävät normaalitilanteissa on varmistettu.

Jatkuvuussuunnittelmien säännöllinen testaus ja katselmointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Jatkuvuuden hallinta
36
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
17.1.3: Tietoturvallisuuden jatkuvuuden todentaminen, katselmointi ja arviointi
ISO 27001
​​​​​​​ID.SC-5: Response and recovery
NIST
PR.IP-10: Response and recovery plan tests
NIST
RS.IM-2: Response strategies update
NIST
RC.IM-2: Recovery strategies
NIST
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Jatkuvuussuunnittelmien säännöllinen testaus ja katselmointi
1. Tehtävän vaatimuskuvaus

Organisaation tulisi säännöllisesti, vähintään vuosittain, testata ja tarkistaa tietoturvan jatkuvuussuunnitelmansa sen varmistamiseksi, että ne ovat päteviä ja tehokkaita epäsuotuisissa tilanteissa.

Jatkuvuussuunnitelmien testaukseen on tarvittaessa otettava mukaan kunkin suunnitelman kannalta kriittiset sidosryhmät. Organisaation tulisi määritttää ja dokumentoida tarvittavat yhteyshenkilöt toimittajien ja kumppaneiden kanssa.

Lisäksi jatkuvuussuunnitelmien ja niihin liittyvien hallintamekanismien riittävyys olisi arvioitava uudelleen, jos toiminnassa tapahtuu merkittäviä muutoksia.

Kriittisten skenaarioiden ja näkökohtien sisällyttäminen jatkuvuussuunnitelmiin

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Jatkuvuuden hallinta
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
5.2.8: IT service continuity planning
TISAX
Article 39: Components of the ICT business continuity plan
DORA simplified RMF
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Kriittisten skenaarioiden ja näkökohtien sisällyttäminen jatkuvuussuunnitelmiin
1. Tehtävän vaatimuskuvaus

Organisaation tulisi sisällyttää seuraavat asiat jatkuvuussuunnitteluunsa:

  • Suunnitelmat (D)DoS-hyökkäyksiä varten
  • Suunnitelmat onnistuneita kiristyshaittaohjelmahyökkäyksiä ja muuta sabotaasia varten.
  • Järjestelmähäiriöt
  • Luonnonkatastrofit

Jatkuvuussuunnittelussa tulee ottaa huomioon vaihtoehtoiset viestintävaihtoehdot tilanteita varten, joissa ensisijaiset viestintävälineet eivät toimi. Myös varastointi-, sähkö- ja verkkostrategioihin olisi oltava vaihtoehtoisia vaihtoehtoja.

Jatkuvuussuunnitelmien jatkuva parantaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Jatkuvuuden hallinta
10
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
CC7.5: Recovery from security incidents
SOC 2
Article 11: Response and recovery
DORA
RS.IM-2: Response and Recovery strategies are updated.
CyberFundamentals
RS.IM-1: Response plans incorporate lessons learned.
CyberFundamentals
RC.IM-1: Recovery plans incorporate lessons learned.
CyberFundamentals
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Jatkuvuussuunnitelmien jatkuva parantaminen
1. Tehtävän vaatimuskuvaus

Organisaatio kehittää säännöllisesti jatkuvuussuunnitelmiaan analysoimalla suunnitelmien testaamista, harjoittelua ja niiden toteutunutta käyttöä tositilanteissa.

Palautumistoimintojen kommunikointi sidosryhmille

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Jatkuvuuden hallinta
6
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
RC.CO-3: Recovery actions
NIST
Article 14: Communication
DORA
RC.CO-3: Recovery activities are communicated to internal and external stakeholders as well as executive and management teams
CyberFundamentals
4.2.3: Inform relevant stakeholders
NSM ICT-SP
RC.CO-03: Recovery activities and progress communication to stakeholders
NIST 2.0
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Palautumistoimintojen kommunikointi sidosryhmille
1. Tehtävän vaatimuskuvaus

Organisaation toimintakyvyn palautustoimet täytyy kommunikoida suunnitelman mukaisesti kriittisille henkilöille ja johdolle organisaation sisällä. Palautustoimet täytyy myös tiedottaa ulkoisille sidosryhmille.

Organisaation jatkuvuussuunnitelun strategian määrittely

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Jatkuvuuden hallinta
8
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
VAR-03: Jatkuvuussuunnitelmat
Julkri
24: Jatkuvuudenhallinnan kuvaus
Digiturvan kokonaiskuvapalvelu
Article 11: Response and recovery
DORA
5.2.8: IT service continuity planning
TISAX
28.(1): Kiberriska pārvaldības un nepārtrauktības plāni
NIS2 Latvia
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Organisaation jatkuvuussuunnitelun strategian määrittely
1. Tehtävän vaatimuskuvaus

Organisaation on ylläpidettävä ylätason strategiaa jatkuvuussuunnittelulle. Strategian on sisällettävä vähintään:

  • Ohjenuorat jatkuvuussuunnittelun aikatavoitteiden sekä jatkuvuussuunnitelmia vaativien tapahtumien määrittämiselle
  • Johdon sitoumus jatkuvuussuunnitteluun ja sen parantamiseen
  • Kuvaus organisaation riskinottohalukkuudesta

Strategian laatimiseksi voi olla tarpeen hyödyntää yleisiä hyviä käytäntöjä esim. ISO 22300 -standardeista.

Jatkuvuussuunnitelmiin liittyvä viestintä sidosryhmille

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Jatkuvuuden hallinta
17
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
VAR-03: Jatkuvuussuunnitelmat
Julkri
34: Sidosryhmien välisen viestinnän mahdollistaminen
Digiturvan kokonaiskuvapalvelu
21.2.c: Business continuity and backups
NIS2
CC2.3: Communication with external parties
SOC 2
CC7.5: Recovery from security incidents
SOC 2
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Jatkuvuussuunnitelmiin liittyvä viestintä sidosryhmille
1. Tehtävän vaatimuskuvaus

Organisaatio on määritellyt toimintatavat viestiäkseen tehokkaasti sidosryhmien ja muiden osallistujien jatkuvuussuunnitelmien ja selviytymismenettelyjen aikana.

Jatkuvuussuunnitelmiin liittyvien viestintäsuunnitelmien on sisällettävä:

  • Vastuuhenkilöt, liittyvät sidosryhmät ja muut tarvittavat yhteystiedot
  • Selkeät kriteerit tilanteelle, jossa jatkuvuusviestintää aletaan toteuttaa
  • Selkeä kuvaus jatkuvuusviestintää kussakin tilanteessa toteuttavasta henkilöstö sekä vastaanottajista, joille viestintää lähetetään
  • Viittaukset käytettäviin viestipohjiin sekä käytettäviin työkaluihin liittyen

Varmuuskopiointistrategian määrittäminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tekninen tietoturva
Varmuuskopiointi
15
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
12.3.1: Tietojen varmuuskopiointi
ISO 27001
12.3: Varmuuskopiointi
ISO 27001
TEK-20: Varmuuskopiointi
Julkri
8.13: Tietojen varmuuskopiointi
ISO 27001
A1.2: Recovery of infrastructure according to objectives
SOC 2
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Varmuuskopiointistrategian määrittäminen
1. Tehtävän vaatimuskuvaus

Riittävien varmuuskopioiden avulla kaikki tärkeät tiedot ja ohjelmat voidaan palauttaa katastrofin tai tietovälinevian jälkeen. Varmuuskopiointistrategian määrittämiseksi on tärkeää kartoittaa / päättää ainakin seuraavat asiat:

  • Minkä tiedon varmuuskopiointi on omalla vastuullamme?
  • Kuinka kriittistä mikäkin tieto on ja kuinka usein tämän perusteella mitkäkin tiedot on tarve varmuuskopioida ja kuinka laajasti (osittainen vai täydellinen kopio)?
  • Missä varmuuskopioit säilytetään ja kuinka ne on suojattu?
  • Kuinka pitkään varmuuskopiot on tarpeen säilyttää?
  • Millä järjestelmällä varmuuskopiot otetaan?
  • Kuinka varmistusmediat hävitetään luotettavasti?

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset
No items found.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu
Tutustu Digiturvamalliin
Aloita ilmainen kokeilu
Digiturvamallin avulla rakennat tietoturvallisen ja halutut vaatimukset täyttävän organisaation. Halusitko kehittää tietoturvan hallintaa yleisesti, raportoida omasta NIS2-valmiudesta tai hankkia ISO 27001 -sertifioinnin, Digiturvamalli yksinkertaistaa koko prosessia.
AI-pohjaiset parannussuositukset ja käyttäjäystävällinen työkalu varmistavat, että organisaationne voi olla luottavainen vaatimusten täyttymisestä ja keskittyä oman tietoturvan jatkuvaan parantamiseen.
Selkeä suunnitelma vaatimusten täyttämiseen
Aktivoi teille tärkeät vaatimuskehikot ja jalkauta niiden vaatimukset täyttäviä selkeitä toimenpiteitä.
Uskottavat raportit todisteiksi hyvästä tietoturvasta
Etene tehtävien avulla varmistaaksesi turvallisen toiminnan. Luo ammattimaisia ​​raportteja muutamalla napsautuksella.
AI-avusteiset parannussuositukset
Keskity vaikuttavimpiin parannuksiin Digiturvamallin suositusten avulla.