Mies katsoo avarassa maisemassa kiikareilla kohti kaukaisuutta

Jatkuuvudenhallinnalla täydennetään riskienhallintaa

Riski kuvaa epävarmojen ja ei-toivottujen tapahtumien vaikutusta toiminnan tavoitteisiin. Riskienhallinnan tavoitteena on tukea sitä, että organisaatio voi saavuttaa toimintansa tavoitteet. Jatkuvuudenhallinnan tarkoitus puolestaan on varautua hallitsemaan organisaation toimintaa häiritseviä tilanteita siten, että toiminta voi jatkua hyväksyttävällä tavalla häiriöistä huolimatta (JOHDA s. 219).

Jatkuvuudenhallintaan liittyvä jatkuvuussuunnittelu tarkoittaa sellaisten toimenpiteiden laatimista, joilla pyritään vähentämään toimintaa haittaavien epävarmojen tapahtumien (riskien) vaikutusta tai lyhentämään tällaisten häiriöiden kestoa. Jatkuvuussuunnittelulla siis pyritään minimoimaan riskien vaikutusta toiminnan tavoitteisiin.

Erityisesti liiketoiminnan jatkuvuuden hallintaan viitataan termillä business continuity management (BCM). Liiketoiminnan jatkuvuussuunnittelu on kokonaisvaltainen prosessi. Sen avulla voidaan tunnistaa niitä tekijöitä, jotka uhkaavat organisaatiota, ja ennakoida näiden tekijöiden seurauksia. Jatkuvuussuunnittelulla luodaan perusta organisaation toipumiskyvylle ja vastatoimenpiteille. Vastatoimet turvaavat organisaatiota itseään, sen mainetta, brändiä, sidosryhmiä ja lisäarvoa tuottavia toimintoja. (Business Continuity Institute

Jatkuvuudenhallinnalla siis luodaan toimintatavat häiriötilanteita varten. Jatkuvuudenhallinta on yleensä omaehtoista toimintaa, mutta joillakin aloilla laki velvoittaa organisaatioita varmistamaan toimintansa jatkuvuuden erilaisissa olosuhteissa.

Sekä jatkuvuudenhallinnan että riskienhallinnan avulla siis käsitellään toimintaan vaikuttavia uhkia ja suunnitellaan etukäteen, miten niihin varaudutaan. Seuraavassa käydään läpi jatkuvuudenhallinnan toteuttamisen periaatteet ja aiheeseen liittyvät keskeiset käsitteet.

Häiriöt ja poikkeamat

Jatkuvuudenhallinnalla siis valmistaudutaan varmistamaan, että organisaation toiminta voi jatkua mahdollisten häiriöiden ja poikkeamien aikana. 

Häiriö on odotettu tai odottamaton tilanne, joka aiheuttaa suunnittelemattoman negatiivisen poikkeaman organisaation tavoitteiden mukaisessa toiminnassa (ISO 22301).

Puhutaan myös häiriötilanteesta. Häiriötilanteita varten luodaan toimintaohjeet. Jotta toiminnan keskeyttävästä häiriöstä voidaan palautua tehokkaasti ja nopeasti, laaditaan erilaisia häiriötilanteita varten toipumissuunnitelmia, jotka voivat olla yleisiä tai toimintokohtaisia. Organisaatiossa on oltava vähintään kriisi-, jatkuvuus- ja toipumissuunnitelmat, jotta mahdollisiin häiriöihin voidaan varautua.

  • Käsitteellä major incident management (MIM) tarkoitetaan vakavan häiriötilanteen hallintaprosessia. Tällainen vakava häiriö voi johtaa organisaation toimintakyvyn merkittävään alenemiseen tai jopa toiminnan täydelliseen keskeytymiseen.

Poikkeama on tapaus, jossa asiat eivät etene suunnitellusti tai odotetulla tavalla, ja se voi johtaa kielteisiin seurauksiin, jollaisia ovat esimerkiksi (JOHDA s. 222)

  • henkilövahinko tai ammattitauti
  • päästö ympäristöön
  • tulipalo, liikennevahinko tai näihin liittyvä omaisuusvahinko
  • tuotantomenetys esimerkiksi käyntihäiriön vuoksi.

Onnettomuustilanteissa keskeinen ohje on organisaation pelastussuunnitelma.

Häiriöitä ja poikkeamia voi ilmetä fyysisessä maailmassa, digiympäristössä tai molemmissa. Häiriö ja poikkeama voivat koskea organisaatiota itseään tai toimittajaverkostoa, johon se kuuluu. Lisäksi häiriö voi koskea koko organisaatiota ympäröivää yhteiskuntaa.

Poikkeamiin reagointi tapahtuu siten, että häiriötilanteessa aktivoidaan ja toimeenpannaan jatkuvuussuunnitelma.

Vaatimukset

Jatkuvuussuunnitteluun liittyy viranomaisvaatimuksia ja valvontaa, jotka koskevat pääosin etenkin poikkeusoloihin varautumista ja huoltovarmuutta. Monia huoltovarmuuskriittisten alojen yrityksiä velvoittaa valmiuslaki. Valmiuslaissa säädetään poikkeusoloihin varautumisesta. Valtakunnan huoltovarmuuden kehittämistä ja ylläpitoa varten toimii Huoltovarmuuskeskus.

Lisäksi finanssivalvonnassa on määräyksiä jatkuvuussuunnittelun järjestämisestä.

Jatkuvuudenhallintaprosessi

Jatkuvuudenhallintaan sisältyy kolme osaa: valmiussuunnittelu, varautuminen ja jatkuvuudenhallintaprosessi.

1) Valmiussuunnittelu on suunnittelua, jota tehdään normaaliolojen aikana häiriötilanteiden varalle.

2) Varautuminen, jolla varmistetaan, että häiriötilanteissa pystytään hoitamaan tehtävät ja suorittamaan mahdollisesti tarvittavat poikkeukselliset toimenpiteet.

  • Varautuminen jakaantuu suunnitteluun, sen edellyttämiin käytännön valmistelutoimenpiteisiin sekä näiden valmistelutoimenpiteiden toteuttamiseen, harjoitteluun ja edelleen kehittämiseen.
  • Varautumistoimenpiteitä ovat esimerkiksi riskien arviointi, jatkuvuus- ja valmiussuunnittelu, järjestelmien tekniset ja rakenteelliset valmistelut, henkilöstön koulutus ja harjoittelut, fyysisten tilojen valmistelut sekä kriittisten resurssien varaukset.

3) Jatkuvuudenhallintaprosessi, jonka aikana yritys, järjestö, julkinen toimija tai muu organisaatio (JOHDA s. 219)

  • tunnistaa toimintaansa kohdistuvat uhkat, esimerkiksi häiriötilanteet ja toimintojen riippuvuudet, sekä riskit, kuten jatkuvuusriskit
  • ennakoi ja arvioi tunnistettujen uhkien vaikutukset organisaatiolle ja sen toimijaverkostolle, erityisesti kriittisille kumppaneille
  • luo toimintatavan häiriötilanteiden hallinnalle ja toiminnan jatkuvuudelle kaikissa olosuhteissa sekä varmistaa kriittisten kumppaneidensa kyvyn toimia häiriötilanteissa
  • suojaa arvontuottamisen toimenpiteet, organisaation maineen ja brändin sekä sidosryhmien intressit. 


Jatkuvuudenhallintaohjelma

Jatkuvuudenhallintaohjelma on ensinnäkin prosessi, jolla organisaatio varmistaa johdon tukemana, että jatkuvuudenhallinnan toimenpiteet voivat toteutua.

Lisäksi jatkuvuudenhallintaohjelma on dokumentti, johon toimenpiteet kirjataan. Jatkuvuudenhallintaohjelmalla ylläpidetään organisaation jatkuvuussuunnitelmaa ja -strategiaa. (JOHDA s. 219)

Jatkuvuussuunnitelma on paitsi dokumentoitava ja osallisille jaettava suunnitelma, myös työväline ja testaustyökalu. Jatkuvuusstrategia on pidemmän aikavälin suunnitelma.

Jatkuvuudenhallintaohjelmalla varmistetaan, että organisaation toiminnot, tuotantoprosessit ja palvelut testataan, koulutetaan ja niitä harjoitellaan jatkuvuudenhallinnan näkökulmasta (JOHDA s. 219). Koulutuksella ja harjoittelulla saavutetaan organisaatiossa pätevyys jatkuvuudenhallinnalle.

Jatkuvuudenhallintaohjelmaan sisältyy myös seuranta siitä, että organisaatio on huolehtinut riittävistä vakuutuksista (JOHDA s. 219).

Jatkuvuussuunnittelu

Jatkuvuussuunnittelu on järjestelmällistä varautumista häiriöihin. Jatkuvuussuunnitteluun sisältyy suunnitteluprosessi, jossa kehitetään menettelytapoja häiriötilanteita varten. Näillä menettelytavoilla varmistetaan, että organisaatio pystyy jatkamaan toimintaansa ja rajoittamaan tappioita häiriötilanteissa. Jatkuvuussuunnittelulla varaudutaan näin liiketoiminnan mahdollisiin keskeytyksiin ja palauttamaan toiminta normaalille tasolle hallitusti häiriön jälkeen. (JOHDA s. 220)

Jatkuvuussuunnitteluun sisältyy myös organisaation kriittisten liiketoimintatoimintojen ja niitä tukevien resurssien tunnistaminen. Jatkuvuussuunnittelun avulla luodaan toimintasuunnitelma sellaisten tilanteiden varalta, jotka uhkaavat organisaation olemassaoloa.

Jatkuvuussuunnittelussa tunnistetaan erilaiset häiriötilanteet ja niiden vaikutukset organisaation toimintaan. Näiden tietojen perusteella laaditaan jatkuvuussuunnitelmat, joissa on ohjeet siihen, miten tärkeimpien toimien jatkuminen turvataan häiriötilanteessa. Jatkuvuussuunnitteluun kuuluu myös suunnitelmien testaus ja harjoittelu sekä tarvittavan koulutuksen järjestäminen henkilöstölle. (JOHDA s. 220)

VAHTI 2/2016 -ohjeistuksessa kuvataan jatkuvuussuunnittelun prosessi digitaalisissa ympäristöissä toimittaessa. Prosessi sisältää kahdeksan vaiheittain toteutettavaa osa-aluetta. Ohjeistuksessa esitellään myös alla oleva kuva, joka havainnollistaa tätä prosessia. 

Ympyrämuotoisella kuvaajalla esitetty jatkumo koostuen kahdeksasta osasta: 1. Toimintaympäristö ja riskianalyysi, 2. Toiminnan vaikutusanalyysi, 3. Toimintojen priorisointi ja luokittelu, 4. Palautumistavoitteiden määrittely, 5. Kriittisten toimintojen jatkuvuussuunnittelu, 6. Palvelutasojen tarkastus, 7. Toipumissuunnitelmien dokumentointi, 8. Auditointi, testaus, harjoittelu ja koulutus.
VAHTI 2/2016 -ohjeistuksen mukainen jatkuvuussuunnittelun prosessi käsittää kahdeksan vaiheittain toteutettavaa osa-aluetta  (Valtiovarainministeriö 2016 s. 41).

Vaiheiden keskeinen sisältö on seuraava:

1. Yleensä prosessi aloitetaan toimintaympäristö- ja riskianalyysillä.

2. Liiketoiminnan vaikutusanalyysillä (business impact analysis, BIA) selitetään ja kuvataan, miten ensimmäisessä vaiheessa tunnistetut mahdolliset häiriöt vaikuttavat organisaation liiketoimintaprosesseihin.

  • Tämän analyysin avulla määritellään, missä järjestyksessä organisaation toiminnot palautetaan käyntiin häiriön päätyttyä.
  • Lisäksi määritellään, mitä tarkistuksia jokaista toimintoa palautettaessa tulee tehdä ennen kuin voidaan siirtyä seuraavan toiminnon palauttamiseen.
  • Vaikutusanalyysin prosessikaavio on esitetty alla.
Vaikutusanalyysin vaiheet esitettynä kaaviokuvana. Kaaviossa Aloitus yhdistyy vaikutusanalyysiin, joka yhdistyy Kohteen, tietojen ja ICT-varautumisen luokituksiin, edelleen Tärkeyteen ja palvelutasoihin, Katkoihin ja menetyksiin, Riippuvuuksiin, Uhkiin ja riskeihin, jonka jälkeen Kriittisyyden ja jatkotoimien kautta Lopetukseen.
Vaikutusanalyysin vaiheet. Analyysillä selvitetään palvelun tai järjestelmän tärkeys, toimintojen väliset riippuvuudet, toimintaa uhkaavat riskit sekä tarpeelliset jatkokehitystoimet. (VM 22/2017s. 15)

3. Vaikutusanalyysi on tärkeä pohja toimintojen priorisoinnissa, toiminnan jatkuvuutta uhkaavien negatiivisten riskien arvioinnissa ja toimintojen välisen riippuvuuden tunnistamisessa.

4. Häiriön jälkeisten palautumistavoitteiden määrittelyssä käytetään käsitteitä RPO ja RTO:

  • Recovery point objective (RPO) määrittelee tavoitellun toipumispisteen, johon toiminta, tiedot tai järjestelmät tulee palauttaa häiriön jälkeen. Toipumispisteen ei välttämättä tarvitse olla sama kuin häiriön alkamishetki. Palvelusopimuksessa (SLA) voidaan esimerkiksi määritellä, että varmuuskopio otetaan aina tunnin välein.
  • Recovery time objective (RTO) taas määrittelee tavoitellun toipumisajan, jonka kuluessa kukin toiminto tulee saada palautettua takaisin toimintaan häiriötilanteen ilmettyä. Toiminnosta riippuen RTO voi olla sekunnin osia (esim. varavirran kytkeytyminen päälle), minuutteja, tunteja (esim. palvelimen datan palauttaminen varmuuskopiosta) tai päiviä (tuotantoprosessin uudelleenkäynnistäminen katkon jälkeen). RTO voidaan määritellä palvelusopimuksessa, kun ollaan joko palvelun asiakas tai palvelun tuottaja.

5. Kriittisten toimintojen jatkuvuussuunnittelu tulee määritellä tai päivittää.

6. Tehdään palvelutasojen tarkastus ja päätökset sen päivittämisestä.

  • Service level agreement (SLA) on asiakkaan ja palveluntarjoajan välinen sopimus, jossa määritellään hankituille palvelulle tietyt vaatimustasot ja mitataan erityyppisillä mittareilla, toteutuvatko palveluille asetetut vaatimukset. Jos palvelutaso alittuu, siitä seuraa sopimuksen mukainen sanktio.
  • SLA sisältä tyypillisesti seuraavat kohdat:
    i. Tavoitteiden määrittely
    ii. Palvelun laajuus
    iii. Palvelun tarjoajan vastuut
    iv. Palvelun asiakkaan vastuut
    v. Palvelun suorituskykymittarit, kuten vasteaika ja häiriön ratkaisuaika
    vi. Sanktiot sopimusrikkomuksesta; poissulkemiset

7. Dokumentoidaan toipumissuunnitelmat.

8. Toteutetaan jatkuvuussuunnitelman auditointi, harjoittelu ja koulutus.

Jonkin ajan päästä jatkuvuuden hallintaprosessia kehitetään päivittämällä toimintaympäristö- ja riskianalyysi sekä suorittamalla toiminnan vaikutusanalyysi ja muita vaiheita. Näiden vaiheiden läpikäyminen voidaan nähdä jatkuvana kehänä ja olennaisena osana jatkuvuudenhallintaa. Jatkuvuuden hallintaprosessi vaatii säännöllistä uudelleentarkastelua ja päivittämistä, jotta suunnitelmat ja menettelytavat voidaan pitää ajan tasalla. Eri vaiheita suunnitellaan toistuvien katselmointien tai havaittujen muutosten arvioinnin yhteydessä.

Koko liiketoiminnan kattava jatkuvuussuunnittelun standardi on SFS-EN ISO 22301:2019 Turvallisuus ja kriisinkestävyys. Liiketoiminnan jatkuvuuden hallintajärjestelmät. Standardin vaatimukset liiketoiminnan jatkuvuudenhallinnalle käydään tarkasti läpi Riskioppi-ympäristön kappaleessa 2.3.

Jatkuvuussuunnitelma

Jatkuvuussuunnittelussa tuotettu materiaali kootaan (liiketoiminnan) jatkuvuussuunnitelmaksi. Jatkuvuussuunnitelma sisältää kirjalliset määrittelyt vastuista ja toimenpiteistä häiriötilanteiden varalle.

Jatkuvuussuunnitelmassa kuvataan vähintään, miten häiriötilanteissa toimitaan, mitä toipumistoimenpiteitä tehdään ja miten sidosryhmien kanssa kommunikoidaan. Lisäksi suunnitelmassa määritellään, kuinka organisaation toimintaa johdetaan ja kenellä on vastuut häiriötilanteissa.

Organisaation jatkuvuussuunnitelma on yleensä kokonaisuus, joka koostuu useamman toiminnon ja prosessin jatkuvuussuunnitelmasta.

Organisaation eri kohteisiin liittyviä suunnitelmia voidaan tarkastella hierarkkisissa suhteissa toisiinsa. Alla kuvatun VAHTI 2/2016 -ohjeen mukaan ylimmällä tasolla ovat koko organisaation jatkuvuussuunnitelma ja valmiussuunnitelma.

  • Koko organisaation jatkuvuussuunnitelma jakautuu yhteisten palvelujen jatkuvuussuunnitelmaan, organisaation ydintoimintojen jatkuvuussuunnitelmiin ja organisaation ydinprosessien jatkuvuussuunnitelmiin. 
  • Jokainen näistä jatkuvuussuunnitelmista sisältää toipumissuunnitelman. Toipumissuunnitelma koskee kuhunkin palveluun, toimintoon tai prosessiin liittyvää järjestelmää tai toimittajaa.
Puukaavio, jossa ylimpänä organisaation jatkuvuussuunnitelma ja valmiussuunnitelma. Kaavion seuraava taso koostuu yleisten palvelujen jatkuvuussuunnitelmasta sekä ydintoiminto 1:stä sekä ydinprosesseista 1 ja 2. Kaavion kolmas, neljäs ja viides taso koostuu järjestelmien toipumissuunnitelmista sekä palvelun toipumissuunnitelmista.
Kaaviossa esitetään VAHTI 2/2016 -ohjeen mukainen suunnitelmien välinen hierarkia (Valtiovarainministeriö 2016 s. 41).

Kaaviossa esitetty hierarkia auttaa, kun laaditaan suunnitelmia tai haetaan niitä ja jaetaan suunnitelmia IT-järjestelmään liittyvien yhteistyökumppaneiden kanssa.

Normaaliolot, häiriötilanteet ja poikkeusolot

Alla oleva kaavio esittää jatkuvuussuunnitteluun liittyviä käsitteitä. Tässä mallissa toiminnan olosuhteet on jaettu kolmeen eri tyyppiin: 1) normaaliolot; 2) normaaliolojen häiriötilanteet; 3) poikkeusolot.

Kaavio, joka koostuu kolmesta osasta: normaaliolot, normaaliolojen häiriötilanteet sekä poikkeusolot. Varautumissuunnitelma kattaa kaikki kolme, jatkuvuussuunnitelma kaksi ensimmäistä, toipumissuunnitelma normaaliolojen häiriötilanteet ja valmiussuunitelma poikkeusolot.
Jatkuvuussuunnittelun käsitteiden ja määritelmien suhde toisiinsa. (Iivari & Laaksonen 2009 s. 19).

Tämän mallin mukaan varautumissuunnitelma kattaa toiminnan normaalioloissa, normaaliolojen häiriötilanteissa sekä poikkeusoloissa. Jatkuvuussuunnitelma puolestaan kattaa ainoastaan normaaliolot ja normaaliolojen häiriötilanteet.

Normaaliolojen aikana toteutetaan jatkuvuussuunnitelmat, toipumissuunnitelmat ja valmiussuunnitelmat, sekä harjoitellaan niiden käyttöönottoa.

Normaaliolojen häiriötilanteista selvitään jatkuvuussuunnitelman ja toipumissuunnitelman avulla.

Poikkeusoloista selvitään valmiussuunnitelman ja varautumissuunnitelman avulla. Poikkeusolot määritellään kansainvälisestä tilanteesta tai suuronnettomuudesta johtuvaksi vakavaksi vaaraksi talouselämälle, oikeusjärjestykselle, väestön toimeentulolle, kansalaisten perusoikeuksille tai maan alueelliselle koskemattomuudelle (JOHDA s. 222).

  • Valmius on tila, joka saavutetaan suunnittelun ja valmistelujen tuloksena ja jossa kyetään vastaamaan mahdollisiin tiedossa oleviin uhkiin (JOHDA s. 226).
  • Valmiussuunnittelulla varaudutaan erilaisiin turvallisuustilanteisiin. Sen tuloksena syntyy valmiussuunnitelma. Valmiussuunnitelma on dokumentti, jossa kuvataan, miten toiminnan jatkuvuus turvataan ja mitä toimenpiteitä on suoritettava normaalioloihin palaamiseksi. (lähde: Sosiaalitoimen valmiussuunnitteluopas)

Jatkuvuussuunnittelu parantaa huoltovarmuutta organisaatiossa ja siinä toimittajaverkostossa, johon se kuuluu.

Jatkuvuudenhallinta ja riskienhallinta

Riskienhallinnan konsulttiyrityksen Graniten mukaan liiketoiminnan jatkuvuussuunnittelu on laaja prosessi, jonka kautta organisaatio jatkuvasti tunnistaa ja arvioi toimintaansa vaarantavia riskejä. Riskien tunnistamisen jälkeen tehdään liiketoimintavaikutusten analyysi. Liiketoimintavaikutusten analyysin avulla arvioidaan, mitä riskien mahdollinen toteutuminen merkitsisi organisaatiolle. Samalla määritetään organisaation kriittiset, ylläpidettävät toiminnot. Seuraavaksi kehitetään toimintatapoja, joilla voidaan ennaltaehkäistä tunnistettuja uhkatilanteita, suojautua niiltä ja rajoittaa niiden vaikutuksia.

Yksi yleisimmistä haasteista jatkuvuudenhallinnassa on riskien tunnistaminen ja arvioiminen. Jatkuvuudenhallinnan kannalta on tärkeää tunnistaa riskit ja uhat, jotka voivat häiritä toimintaa. Tunnistaminen voi kuitenkin olla haastavaa, koska mahdolliset häiriöt voivat tulla useista lähteistä ja niillä voi olla erilaisia vaikutuksia. Ratkaisuna tähän haasteeseen Granite ehdottaa, että riskiarviointeja tehdään säännöllisesti. Riskiarvioinnit auttavat tunnistamaan uusia uhkia ja päivittämään jatkuvuudenhallinnan suunnitelmia niiden pohjalta.

Jatkuvuussuunnittelussa on erityisen tärkeää tunnistaa henkilöstöön kohdistuvat riskit ja uhkat. Jatkuvuudenhallintasuunnitelmassa onkin turvattava, että avainhenkilöt ovat tavoitettavissa ja käytettävissä häiriötilanteiden aikana. Tavoittamisen voi estää sairaus, loma tai jokin muu syy. Organisaatioiden tulee siksi varautua varamiesjärjestelyillä siihen, että avainhenkilöt eivät ole tavoitettavissa. Lisäksi avainhenkilöiden yhteystietojen on oltava ajan tasalla. (Granite n.d.)

Viestintä osana jatkuvuussuunnittelua

Jatkuvuussuunnitteluun kuuluu myös viestintäsuunnitelman kehittäminen. Viestintäsuunnitelmalla varmistetaan, että työntekijöitä, asiakkaita ja muita sidosryhmiä tiedotetaan oikealla hetkellä ja oikealla tavalla poikkeus- tai häiriötilanteessa.

Viestintä voi olla haastavaa poikkeus- ja häiriötilanteen aikana, koska työntekijät voivat olla hajallaan ja viestintäjärjestelmät voivat häiriön vuoksi olla poissa käytöstä. Tämän vuoksi jatkuvuusvalmiutta parannetaankin rakentamalla varaviestijärjestelmä ja harjoittelemalla hätäviestintätoimenpiteitä säännöllisesti. (Granite n.d.)

Vakuuttaminen 

Vakuuttaminen on yksi periaate, jolla riskiä siirretään. Vakuuttamisessa riski siirretään ulkopuoliselle taholle. Ulkopuoliselle taholle maksetaan siitä, että se korvaa kielteiset vaikutukset, jos riski toteutuu. Vakuutuksen hinta punnitaan suhteessa niihin kustannuksiin, jotka riskin toteutuminen aiheuttaisi toiminnalle. Vakuuttaminen on myös keino, jolla organisaatio voi varautua mahdollisiin häiriötilanteisiin ja siten edistää jatkuvuudenhallintaa.

Toiminnan keskeytymiselle on saatavilla erityyppisiä vakuutuksia. Vakuutuksilla korvataan niitä taloudellisia menetyksiä, joita yrityksen toiminnan keskeytymisestä aiheutuu. Tällaisia keskeytysvakuutuksia ovat esimerkiksi palovakuutus, rikkovakuutus, epidemiavakuutus, riippuvuusvakuutus ja vuokratuottokeskeytysvakuutus. Keskeytysvakuutukset auttavat yritystä selviytymään kustannuksista, joita toiminnan keskeytyminen aiheuttaisi. Tällaisia kustannuksia ovat esimerkiksi menetetty tuotanto, palkat ja vuokrat. Vakuutuksen hinta määräytyy sen mukaan, kuinka suuri riski on ja kuinka kattava vakuutus on.

Henkilövakuutus tai henkilökeskeytysvakuutus suojaavat yrityksen toimintaa tärkeiden henkilöiden sairastumisen tai kuoleman varalta.

Digitaalisessa toimintaympäristössä tietoturvavakuutus täydentää yrityksen omaisuuden ja toiminnan vakuutuksia. Näitä vakuutuksia tarjotaan eri kattavuuksilla ja nimillä, kuten kybervakuutus.

Täydennä osaamistasi jatkuvuudenhallinnasta

Seuraavaan luetteloon on koottu dokumentteja, jotka koskevat jatkuvuudenhallinnan toteuttamista erilaisissa organisaatioissa.

a. Turvallisuuskomitea (2017): Kokonaisturvallisuuden sanasto  

b. VM 22/2017 Ohje riskienhallintaan: LIITTEET 1-6

c. Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä: VAHTI 2/2016.

  • Ohjeen tavoitteena on tehostaa ja yhdenmukaistaa jatkuvuudenhallintaa mm. julkisessa hallinnossa.

d. Valtionvarainministeriö (2012): VAHTI 2/2012 ICT-varautumisen vaatimukset

e. Työterveyslaitos: KUJA-malli, joka on laadittu julkisten organisaatioiden valmiussuunnittelun edistämiseksi.

Artikkeli pohjautuu Riskioppi-ympäristön aineistoon (KOMPASSI-hanke, ESR). Osa artikkelin kuvista on tehty Pixabay-lisenssin alaisina, alkuperäisiin kuviin muutoksia tehden.

Lähteet

Granite (n.d.). Mitä on jatkuvuudenhallinta ja keitä se koskee?

Iivari, Mika ; Laaksonen, Mika (2009). Liiketoiminnan jatkuvuussuunnittelu ja ICT-varautuminen. Tietosanoma Oy.

ISO 22301. Turvallisuus ja kriisinkestävyys. Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset. SFS-EN ISO 22301:2019.

”JOHDA” = Ilmonen, Ilkka; Kallio, Jani; Koskinen, Jani; Rajamäki, Markku (2016). Johda riskejä – käytännön opas yrityksen riskienhallintaan. Toinen laitos. Finva.

Valtiovarainministeriö (2016). VAHTI 2/2016 Toiminnan jatkuvuuden hallinta.

VM 22/2017, Julkisen hallinnon digitaalisen turvallisuuden johtoryhmä (VAHTI) (2017). Ohje riskienhallintaan – LIITTEET 1 – 6.

Lue myös

Scroll to Top