VAHTI 2/2016 Toiminnan jatkuvuuden hallinta

 

VAHTI 2/2016 Toiminnan jatkuvuuden hallinta

VALTIOVARAINMINISTERIÖ
PL 28 (Snellmaninkatu 1 A) 00023 VALTIONEUVOSTO
Puhelin 0295 16001 (vaihde)
Internet: www.vm.fi
Taitto: Valtioneuvoston hallintoyksikkö/Tietotuki- ja julkaisuyksikkö/Pirkko Ala-Marttila
ISSN 1798-0860 (pdf)
ISBN 978-952-251-779-1 (pdf)


Ministeriöille, virastoille ja laitoksille

Valtiovarainministeriön julkaiseman toiminnan jatkuvuuden hallinnan ohjeen (VAHTI 2/2016) tarkoituksena on antaa suosituksia organisaation toiminnan turvaamiseksi kehittämällä varautumis-, jatkuvuus-, toipumis- ja valmiussuun­nittelua. Suunnitelmien avulla organisaatio voi varautua erilaisiin normaaliolo­jen häiriötilanteisiin sekä poikkeusoloihin.

Ohje on kohdennettu valtionhallinnon ja julkishallinnon organisaatioille, mutta sitä voidaan käyttää myös laajemmin kehitettäessä jatkuvuuden hallintaa yksi­tyisissä organisaatioissa. Ohje tukee Suomen kyberturvallisuusstrategian täy­täntöönpanoa. Se on huomioitava myös organisaatioiden suunnitellessa toi­minnan digitalisaatioon liittyviä kehittämishankkeita, joissa ICT-palveluilla on keskeinen rooli.

Ohjeen lisäksi www.vahtiohje.fi sivustolla julkaistaan vaikutusarviotyökalu (BIA), jonka avulla organisaatiot voivat arvioida toiminnalleen kriittisten palve­luiden tärkeyttä sekä niihin kohdistuvien häiriöiden vaikutuksia. Valtiovarain­ ministeriö suosittelee, että valtionhallinnon organisaatiot käyttävät työkalua ar­vioidessaan sellaisia palveluita, jotka ovat kriittisiä organisaation toiminnan kannalta tai joilla on merkitystä yhteiskunnan toiminnan turvaamisessa.

Ohjeen on valmistellut Valtionhallinnon tieto- ja kyberturvallisuuden johtoryh­män alaisuudessa toimiva ohjejaosto.

Lisätietoja antaa VAHTI-pääsihteeri Kimmo Rousku (etunimi.sukunimi@vm.fi ).
 

Kunta- ja uudistusministeri

Anu Vehviläinen

Yksikön päällikkö VAHTln puheenjohtaja

Aku Hilve
 
Liite: Toiminnan jatkuvuuden hallinta (VAHTI 2/2016)

Tiedoksi: Kunnat
 

Johdanto

Valtiovarainministeriön asettaman VAHTI-johtoryhmän tuottaman Toiminnan jatkuvuuden hallinta -ohjeen tavoitteena on tehostaa ja yhdenmukaistaa jatkuvuuden hallintaa valtioneuvostossa, hallinnonalojen organisaatioissa sekä julkisessa hallinnossa.

Valtioneuvoston tietoturvallisuutta koskevan periaatepäätöksen 26.11.2009 mukaan yksi kehittämisen painopisteistä on häiriötilanteiden ennaltaehkäisy ja varautuminen. Asetus tietoturvallisuudesta valtionhallinnossa (681/2010) tuli voimaan 1.10.2010 ja sen mukaan valtion virastojen oli toteutettava 30.9.2013 mennessä tietoturvallisuuden perustaso. Siihen sisältyvät menettelyt toiminnan jatkamiseksi poikkeuksellisissa tilanteissa. Toiminnan jatkuvuuden hallinta -ohje edistää myös Yhteiskunnan turvallisuusstrategian ja Suomen kyberturvallisuusstrategian toimeenpanoa.

Ohje on suunnattu julkishallinnon toimijoille ja julkishallintoon palvelusopimussuhteessa oleville yrityksille niiden tuottaman palvelun osalta. Ohjeen tarkoituksena on sekä julkishallinnon että talouselämän toiminnan jatkuvuuden kannalta keskeisten toimintojen yhtenäistäminen ja jatkuvuuden hallinnan saattaminen kiinteäksi osaksi toimintaa. Tämä parantaa verkostomaisesti tuotettujen ja käytettyjen palvelujen jatkuvuutta ja toipumista häiriötilanteissa. Ohjeella edistetään organisaatioiden varautumista tietoturva- ja kyberuhkiin parantamalla toimintojen, tietojärjestelmien ja verkkojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja palautumiskykyä.

Jatkuvuussuunnittelun tavoitteena on varmistaa organisaation ydintoimintojen mahdollisimman häiriötön toiminta. Jatkuvuussuunnittelu on osa organisaation kokonaisturvallisuutta, johon kuuluvat mm. turvallisuusjohtaminen, riskienhallinta, jatkuvuuden hallinta, häiriötilanteiden hallinta ja johtaminen, tilannekuvan muodostaminen sekä huoltovarmuus ja varautuminen.

Valtionhallinnon organisaatioiden ja julkisen hallinnon tulee toiminnassaan ottaa huomioon tämän ohjeen lisäksi ohjeessa VAHTI 2/2012 kuvatut ICT-varautumisen vaatimukset. Vaatimukset tulee ulottaa myös sisäisiin ja ulkoisiin palvelutoimittajiin. Tietojärjestelmissä varautumisen vaatimukset tulee ottaa huomioon muun muassa vaatimusmäärittelyissä hankintoja valmisteltaessa sekä  tarjouspyynnöissä.

Ministeriöiden ohjaamina hallinnonalojen ja virastojen tulee määrittää kullekin organisaatiolle, palvelulle ja järjestelmälle niiltä edellytettävä varautumisen taso. Organisaatioiden on määritettävä aikataulu palveluiden toteuttamiseksi varautumistasojen mukaisesti sekä resursoitava toteutus osana normaalia toiminnan ja talouden suunnittelua.

Tämän ohjeen on laatinut VAHTIn alainen työryhmä, jossa ovat toimineet seuraavat henkilöt:

Riitta Gröhn, Aalto-yliopisto, puheenjohtaja
Juhani Ahvenainen, Verohallinto
Matti Aitta, oikeusministeriö
Aarne Hummelholm, valtiovarainministeriö
Erja Kinnunen, Valtori
Paul Kinnunen, Liikennevirasto
Kai Knape, puolustusministeriö
Päivö Lappalainen, ELY-keskus
Sonja Marjamäki-Ruuskanen, Haltik
Juha  Pietarinen, Valtiokonttori
Minna Romppanen, Maanmittauslaitos
Esko Vainio, valtiovarainministeriö
sekä konsultteina Mika Iivari ja Ari-Martti Pohtola (KPMG Oy Ab).

Inledning

Syftet med anvisningen  Hantering av kontinuiteten i verksamheten, som utarbetats av Ledningsgruppen för informations- och cybersäkerheten inom statsförvaltningen (VAHTI), är att effektivisera och harmonisera kontinuitetshanteringen inom statsrådet, förvaltningsområdenas organisationer och den offentliga förvaltningen.

Enligt statsrådets principbeslut om informationssäkerheten av den 26 november 2009 är förebyggande av och beredskap för störningssituationer ett prioriterat utvecklingsområde. Förordningen om informationssäkerheten inom statsförvaltningen (681/2010) trädde i kraft den 1 oktober 2010 och enligt den skulle de statliga ämbetsverken tillgodose informations- säkerhetens basnivå före den 30 september 2013. I detta ingår att upprätta förfaranden för att verksamheten ska kunna fortgå i exceptionella situationer. Anvisningen Hantering av kontinuiteten i verksamheten främjar också verkställandet av Säkerhetsstrategin för samhället och Strategin för cybersäkerheten i Finland.

Anvisningen riktar sig till aktörer i den offentliga förvaltningen och företag i tjänsteavtalsförhållande till den offentliga sektorn i fråga om de tjänster som dessa tillhandahåller. Syftet med anvisningen är att harmonisera de funktioner som är viktiga med avseende på kontinuiteten i verksamheten inom både den offentliga förvaltningen och affärslivet och att integrera kontinuitetshanteringen i verksamheten. Detta förbättrar kontinuiteten i tjänster som tillhandahålls och används genom nätverk samt även hur dessa återhämtar sig efter störningssituationer. Med anvisningen främjas organisationernas beredskap för datasäkerhets- och cyberhot genom att förbättra tillförlitligheten, kontinuiteten, kvaliteten, riskhanteringen och återhämtningsförmågan i funktionerna, datasystemen och näten.

Syftet med kontinuitetsplaneringen är att säkerställa att organisationens kärnfunktioner fungerar så störningsfritt som möjligt. Kontinuitetsplanering är en del av organisationens övergripande säkerhet, och till den hör bland annat säkerhetsledning, riskhantering, kontinuitetshantering, hantering och ledning av störningssituationer, skapande av en lägesbild samt underhållssäkerhet och beredskap.

I sin verksamhet ska organisationerna inom statsförvaltningen samt den offentliga förvaltningen beakta inte enbart denna anvisning utan även kraven på ICT-beredskap som beskrivs i anvisningen VAHTI 2/2012. Kraven ska omfatta även interna och externa tjänsteleverantörer. Kraven på beredskap i datasystem ska beaktas bland annat i kravspecifikationen vid beredning av upphandlingar samt i offertförfrågningar.
 
Eftersom förvaltningsområdena och ämbetsverken styrs av ministerierna ska de definiera vilken beredskapsnivå som krävs av varje organisation, tjänst eller system. Organisationerna ska fastställa en genomförandeplan för tjänsterna enligt beredskapsnivåerna samt tilldela resurser för genomförande som en del av den normala verksamhets- och ekonomiplaneringen.

Denna anvisning har upprättats av en arbetsgrupp som lyder under VAHTI och som har bestått av följande personer:

Riitta Gröhn, Aalto-universitetet, ordförande
Juhani Ahvenainen, Skatteförvaltningen
Matti Aitta, Justitieministeriet
Aarne Hummelholm, Finansministeriet
Erja Kinnunen, Valtori
Paul Kinnunen, Trafikverket
Kai Knape, Försvarsministeriet
Päivö Lappalainen, NTM-centralen
Sonja Marjamäki-Ruuskanen, Haltik
Juha Pietarinen, Statskontoret
Minna Romppanen, Lantmäteriverket
Esko Vainio, Finansministeriet
samt som konsulter Mika Iivari och Ari-Martti Pohtola (KPMG Oy Ab).

Introduction

The purpose of the guideline ‘Control of continuity of operations’ produced by the VAHTI steering group appointed by the Ministry of Finance is to enhance and harmonise control of continuity in Government, in the organisations in the various administrative branches and in public administration in general.

According to the Government Resolution on Enhancing Information Security in Central Government Information Security, dated 26 November 2009, one of the focus areas for development is the prevention of and preparedness for disturbances. The Decree on Information Security in Central Government (681/2010) entered into force on 1 October 2010; it stipulated that government agencies were to implement base-level information security by 30 September 2013. This included procedures for continuing operations in extraordinary circumstances. The guideline ‘Control of continuity of operations’ also supports the implementation of the Security Strategy for Society and the National Information Security Strategy.

The guideline is intended for actors in public administration and for enterprises in a contractual relationship with public administration regarding the services they provide. The purpose of the guideline is to achieve consistency in the functions that are crucial for the continuity of operations in public administration and in the national economy,  and  also to make control of continuity a permanent part of government operations. This will improve the continuity and recovery of services produced and used on a networked basis in cases of disturbance. The guideline helps organisations to prepare for information security risks and cyberthreats by improving the reliability, continuity, quality, risk management and recovery capacity of functions, IT systems and networks.

The purpose of continuity planning is to ensure that the core functions of the organisation can run with as little disruption as possible. Continuity planning forms part of the overall security scheme of an organisation, which includes security management, risk management, control of continuity, control and management of disturbances, forming situational awareness, security of supply and preparedness.

Central government organisations and the public administration must take into account both the requirements of this guideline and the ICT preparedness requirements given in guideline VAHTI 2/2012. These requirements must also be imposed on internal and external service providers. In IT systems, preparedness requirements must be taken into account for instance when drawing up specifications for procurement and calls for tender.

The various administrative branches and agencies must, as directed by the ministries, determine a level of preparedness required from each organisation, service and system.
 
Organisations must specify a timetable for implementing services in compliance with the required levels of preparedness and allocate resources to these functions as part of their ordinary planning of operations and finances.

This guideline was prepared by a working group subordinate to VAHTI, with the following members:

Riitta Gröhn, Aalto University, chairman
Juhani Ahvenainen, Tax Administration
Matti Aitta, Ministry of Justice
Aarne Hummelholm, Ministry of Finance
Erja Kinnunen, Valtori
Paul Kinnunen, Finnish Transport Agency
Kai Knape, Ministry of Defence
Päivö Lappalainen, Centre for Economic Development, Transport and the Environment
Sonja Marjamäki-Ruuskanen, ICT Agency HALTIK
Juha Pietarinen, State Treasury
Minna Romppanen, National Land Survey of Finland
Esko Vainio, Ministry of Finance
and consultants Mika Iivari and Ari-Martti Pohtola (KPMG Oy Ab).
 

Tulosta