Jatkuvuussuunnittelu ja sen kehittäminen ICT-liiketoiminnassa : tapaustutkimus

Abstract

Jatkuvasti verkottuvassa maailmassa turvallisella tiedon käsittelyllä on yhä kasvavampi rooli yritysten liiketoiminnan jatkuvuuden kannalta. Häiriötilanteisiin on varauduttava. Standardoidulla tietoturvallisuuden hallintajärjestelmällä ja tavoitteellisella jatkuvuussuunnittelulla kyetään varautumaan mahdollisiin liiketoiminnan keskeytyksiin ja toipumaan niistä nopeasti. Tämän vuoksi yhä useammat yritykset päättävät hakea tietoturvasertifikaatteja. Suomen Erillisverkot -konserniin kuuluva Leijonaverkot Oy lähti tavoittelemaan ISO 27001 - sertifikaattia vuonna 2019. Sertifiointiprojektin osana toteutettiin jatkuvuussuunnitteluprojekti, jonka tuloksena toteutettiin yrityksen jatkuvuussuunnitelma. Jatkuvuussuunnittelu toteutettiin VAHTI 2/2016 Toiminnan jatkuvuuden hallinta -ohjeen mukaisesti. Tutkimus pyrki löytämään parhaat käytännöt yrityksen jatkuvuussuunnitteluun. Tavoitteena oli selvittää, miten Leijonaverkot Oy:n jatkuvuuden hallinta on toteutettava, miten toimintaa voidaan kehittää ja miten ISO 27001 -standardin vaatimukset vaikuttavat jatkuvuussuunnittelun toteutukseen. Tutkimuksen teoriaosuudessa perehdyttiin tietoturvallisuuden ja jatkuvuuden hallinnan teoriaperusteisiin ja käsitteisiin sekä esiteltiin kirjallisuuden pohjalta viisi erilaista jatkuvuussuunnittelumallia. Tutkimuksen empiirinen osuus toteutettiin tapaustutkimuksena (Single Case Study), jossa havainnoitiin osallistuvasti yrityksen jatkuvuussuunnitteluprosessia. Suunnitteluprojektin toteutusmallia verrattiin muihin tutkimuksen teoriaosuudessa esiteltyihin jatkuvuussuunnittelumalleihin. Tutkimustulokset saavutettiin laadullisella sisällön analyysilla. Tutkimuksen avulla löydettiin parhaat käytänteet Leijonaverkot Oy:n jatkuvuuden hallinnan toteutukseen sekä kehittämiseen.

In the continuously networking world, secure data processing is playing an increasingly important role in the business continuity of companies. Organizations must be prepared for faults. With a standardized information security management system and goal-oriented business continuity planning, it is possible to prepare for possible business interruptions and recover from them quickly. As a result, more and more companies are choosing to apply for security certificates. Leijonaverkot Oy, part of the Finnish State Networks Group, set out to pursue ISO 27001 certification in 2019. As part of the certification project, a continuity planning project was implemented, which resulted in the implementation of the company's continuity plan. Business continuity planning was carried out in accordance with the VAHTI 2/2016 Business Continuity Management guideline. The study sought to find best practices for the company’s business continuity planning. The aim was to find out how Leijonaverkot Oy's business continuity management must be implemented, how operations can be developed and how the requirements of the ISO 27001 standard affect the implementation of continuity planning. The theoretical part of the study introduces the theoretical foundations and concepts of information security and business continuity management and presents five different business continuity planning models based on the literature. The empirical part of the study was carried out as a Single Case Study, in which the company's continuity planning process was participatively observed. The implementation model of the design project was compared with other continuity planning models presented in the theoretical part of the study. The research results were obtained by qualitative content analysis. With the help of the study, the best practices were found for the implementation and development of Leijonaverkot Oy's continuity management.