VAHTI 2/2009 ICT-toiminnan varautuminen häiriö- ja erityistilanteisiin
Esipuhe
Tämän uuden VAHTI-yleisohjeen tavoitteena on parantaa ICT-varautumista erityisesti ministeriöissä ja hallinnonalojen organisaatioissa. Ohje on sisältönsä puolesta käyttökelpoinen kaikille ICT-varautumisen kanssa tekemisissä oleville organisaatiolle ja henkilöille. ICT-varautumiseen liittyviä linjauksia löytyy lisäksi osasta muita VAHTI-ohjeita.
Yleisohje on valmisteltu VAHTIn ohjauksessa virkatyönä valtiovarainministeriön hallinnon kehittämisosastolla. Ennen julkaisua ohje oli laajalla lausuntokierroksella, jonka tuloksena ohjeen sisältöön tehtiin tarvittavat parannukset. Kommentteja saatiin yli 20 organisaatiolta. VAHTI päätti ohjeen julkaisemisesta kokouksessaan maaliskuussa 2009.
Valtionhallinnon toiminta on verkostoitunutta sekä julkishallinnon sisällä että yhteiskunnan muiden toimijoiden kanssa myös kansainvälisesti. Hallinnon palvelut ja toiminnot rakentuvat tietoteknisten peruspalvelujen ja sovellusten sekä perusrekisterien ja muiden tietovarantojen varaan. Näiden toiminta riippuu korostuneesti tietoliikenteen toimivuudesta ja sähkön saatavuudesta. Tätä palveluverkostoa ylläpitää valtionhallinnon sisäisistä ja ulkoisista palvelutoimittajista muodostuva verkosto.
Toiminnan ja palvelujen jatkuvuuden takaaminen ja tiedon turvaaminen edellyttävät palveluverkoston varautumista ICT-toiminnan häiriötilanteisiin. Keskeistä on varmistua, että palveluverkosto kykenee normaaliajan vakavissa häiriötilanteissa ja YETTS:n mukaisissa erityistilanteissa jatkamaan toimintaansa asetettujen vaatimusten mukaisesti. Normaaliolojen häiriötilanteita varten toteutetut toimintamallit ja ratkaisut ovat perusta erityistilanteiden hoitamiselle ja toiminnalle poikkeusoloissa.
Valtionhallinnon organisaatioiden tulee kaikessa toiminnassaan ottaa huomioon tässä ohjeessa kuvatut ICT-varautumisen periaatteet. Keskeistä on, että kaikessa organisaatioiden, toimintojen, palveluiden ja järjestelmien kehittämisessä otetaan jo esitutkimusvaiheessa mukaan toiminnan jatkuvuuden hallinnan ja tiedon turvaamisen näkökulma. Tämä mahdollistaa kustannustehokkaan toiminnan tarpeista lähtevän varautumisen häiriötilanteisiin ja poikkeusoloihin.
Ohjeen kaupallinen käyttö ja jäljentäminen ansaitsemistarkoituksessa on kielletty. Muussa hyödyntämisessä tulee tämä ohje mainita lähteenä.
Lyhyesti VAHTIsta
Valtiovarainministeriö vastaa julkishallinnon tietoturvallisuuden ohjauksesta ja kehittämisestä. Ministeriö on asettanut Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) hallinnon tietoturvallisuuden yhteistyön, ohjauksen ja kehittämisen elimeksi. VAHTI tukee toiminnallaan valtioneuvostoa ja valtiovarainministeriötä hallinnon tietoturvallisuuteen liittyvässä päätöksenteossa ja sen valmistelussa.
VAHTIn tavoitteena on tietoturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta.
VAHTIssa käsitellään kaikki merkittävät valtionhallinnon tietoturvalinjaukset ja tietoturvatoimenpiteiden ohjausasiat. VAHTI käsittelee valtionhallinnon tietoturvallisuutta koskevat säädökset, ohjeet, suositukset ja tavoitteet sekä muut tietoturvallisuuden linjaukset sekä ohjaa valtionhallinnon tietoturvatoimenpiteitä. VAHTI edistää verkostomaisen toimintatavan kehittämistä julkishallinnon tietoturvatyössä.
VAHTIn toiminnalla on parannettu valtion tietoturvallisuutta ja työn vaikuttavuus on nähtävissä hallinnon ohella myös yrityksissä, kansalaistoiminnassa ja kansainvälisesti. VAHTIn toiminnan tuloksena muun muassa on aikaansaatu erittäin kattava yleinen tietoturvaohjeisto (www.vm.fi/VAHTI). VAHTIn johdolla on menestyksellisesti toteutettu useita ministeriöiden ja virastojen tietoturvayhteishankkeita. VAHTI on valmistellut, ohjannut ja toteuttanut valtion tietoturvallisuuden kehitysohjelman, jossa on aikaansaatu merkittävää kehitystyötä yhteensä 26 kehityskohteessa yli 300 hankkeisiin nimetyn henkilön toimesta.
VAHTI on saanut kolmena vuotena tunnustuspalkinnon esimerkillisestä toiminnasta Suomen tietoturvallisuuden parantamisessa.
