Järjestelmäanalyysi

Yrityksellä voi olla toimivat varmennusjärjestelmät, mutta etenkin pienillä yrityksillä on vaikeuksia arvioida (tai arviota ei ole tehty) mikä on organisaation toiminnan kannalta tärkeää tietoa ja miten varaudutaan mahdollisiin riskeihin, jotka kohdistuvat tietoon ja mahdollisesti tätä kautta liiketoimintaan. Kun tiedon arvoa ei ole määritelty, johtaa tämä usein turhiin tietoturvatoimenpiteisiin ja tätä kautta lisääntyneisiin kustannuksiin. Toinen vaihtoehto on, että tietoturvaa ei ole. Kaikkiin riskeihin ei voi taloudellisesti ja käytännön kannalta varautua, joten tarvitaan menetelmiä joilla järjestelmien ja tiedon kriittisyyttä voidaan mitata. Ensimmäisenä tulisi tunnistaa riskit, jonka jälkeen analysoidaan mahdolliset vaikutukset ja mahdollisesti suoritettavat suojatoimet. Tietoturvallisuuden osalta organisaatiolla tulee olla minimivaatimukset järjestelmille. Liiketoiminnan vaikutusanalyysin tulosten perusteella kaikille kriittisille järjestelmille asetetaan mahdolliset suojatoimet, Risk Assessment and Treatment.

Business Impact Analysis

Business Impact Analysis, liiketoiminnan vaikutusanalyysi on yksi keskeisimmistä elementeistä liiketoiminnan jatkuvuuden hallintajärjestelmässä (BCMS ISO 22301). BIA:n tarkoituksena on arvioida (mm. talouteen, turvallisuuteen ja maineeseen liittyvät) vaikutukset kriittisiin liiketoimintoihin pahimmassa mahdollisessa tapauksessa sekä tunnistaa organisaation liiketoimintayksikköjen prosessit ja arvioida liiketoimintayksikköjen palautumisaika. IT-järjestelmien osalta voimme analysoida vaikutusta liiketoimintaan antamalla luokitus alhaisesta korkeaan luottamuksellisuuden, eheyden ja saatavuuden osalta, Confidentiality, Integrity, Availability (CIA).


CIA Confidentiality

KUVIO 1. Järjestelmän luottamuksellisuus



CIA Integrity

KUVIO 2. Tiedon oikeellisuus



CIA Availability

KUVIO 3. Järjestelmän saatavuus



Service Level Agreement ja Operational Level Agreement

Service Level Agreement on palvelutarjoajan ja asiakkaan välinen palvelutasosopimus, jossa määritellään palvelulle tietyt tasovaatimukset jotka asiakas voi odottaa saavansa palvelulta. Yleensä SLA on liitteenä pääsopimukselle jossa määritellään liiketoiminnallisia ja oikeudellisia termejä. Immateriaalioikeudet, hinnat, sopimuksen pituus jne. SLA:t ovat laillisesti täytäntöönpanokelpoisia oikeudessa. OLA ei ole "oikea" sopimus, vaan sisäinen hankintasopimus joka tukee lähinnä prosessien mukaisia eskalointeja ja määrittää osapuolten välisiä vastuita. Osapuolet voivat olla organisaation sisäisiä osastoja tai ryhmiä. SLA on usein riippuvainen OLA:sta, koska OLA:n perusteella sovitaan aikarajat ja toimintatavat toimintojen välille ja näin saadaan useat SLA:n laskennalliset palvelutasot. Tyypillisesti SLA:ssa on palvelun kuvaus ja SLA:ssa määritellään palvelun saatavuus, asiakastuen tasot, reagointiaika, huoltoikkunat, palvelumuutokset, rajoitukset, hyvitykset palvelutason alenemassa, toiminnallisuus ja palvelun tasot jotka taataan normaalin ylläpidon aikaikkunan ulkopuolella. Eri määritteet ovat usein mitattavissa palvelunlaadun seuraamiseksi ja asiakkaalle luvatun tason saavuttamiseksi. Esimerkiksi palvelun saatavuus ilmoitetaan usein prosenttilukuna: 99,9% Availability. Palvelun saatavuudet ilmoitetaan yleisesti niin että huoltoikkunan rajoissa tehtyjä huoltotoimenpiteitä ei lasketa palvelun saatavuuteen ilmoitettuun lukuun. Kriittisiä järjestelmiä suunniteltaessa tulee ottaa huomioon, että usein 99,99% availability tarkoittaa jonkinlaisen High Availability -ratkaisun käyttöä.

Palvelutasosopimuksessa tulee ottaa huomioon IT-palvelun kokonaisrakenne. Eri järjestelmät (Verkko, levytila, tietokannat, palvelinsalirauta jne.) ovat riippuvaisia toisistaan ja huolto ja takuutoimet voivat olla joidenkin järjestelmien osalta ulkoistettu. Etenkin laitetuki on usein ulkoistettu ja ulkopuolisen toimittajan kanssa käytetään vielä kolmatta sopimusta: Underpinning Contract (UC). UC:ssa on otettava huomioon, että laitetakuu on eri asia kuin laitetuki. SLA-tyyppiset sopimukset eivät sovi tuotteiden takuusopimuksiksi. Periaatteessa kaikkia näitä sopimuksia voidaan kutsua palvelutasosopimuksiksi, mutta osapuolten välisten suhteiden ja prosessimäärityksien vuoksi eri osapuoliin kohdistuvat sopimukset on eroteltu nimeämällä ne käyttötarkoituksen mukaan. Kaikki nämä sopimukset vaikuttavat tarjottavan palvelun saatavuuteen, reagointiaikoihin, ylläpitoon jne.


Service Level Agreement

KUVIO 4. Service Level Agreement