1. Üldine
1.1. Talitluspidevuse poliitikaga sätestatakse talitluspidevuse aluspõhimõtted Tallinna Tehnikaülikoolis (edaspidi ülikoolis), millega kehtestatakse täpsemad tingimused, alused ja põhimõtted talitluspidevuse tagamiseks. Talitluspidevuse poliitika eesmärk on määratleda ülikooli lähenemine talitluspidevuse tagamisel.
1.2. Ülikool käivitab talitluspidevuse halduse süsteemi, mis koosneb riskihaldusest (sh riskide kaalutlemine ehk riskide tuvastamine, analüüsimine ja riskide hindamine ning riskikäsitlus), intsidentide ja kriiside haldusest (sh monitooringu lahendustest), taastehaldusest ning talitluspidevuse seirest.
1.3. Talitluspidevuse haldussüsteemi eesmärgiks on suurendada ülikooli vastupanuvõimet põhitegevuste (sh teadus- ja arendustegevus, õppetegevus ning ettevõtlustegevus) katkestustele, aidata ülikoolil valmistuda võimalikeks intsidentideks ja kriisideks, minimeerida nende mõju ja tagada kiire naasmine regulaarse toimimise juurde. Talitluspidevus haldussüsteem on tugevalt seotud info- ja füüsilise turvalisusega.
1.4. Käesoleva poliitika eesmärk on sõnastada põhimõtted ja protsessid talitluspidevuse tagamiseks, defineerida vajalikud rollid ning määratleda vastutus. Poliitika koostamisel on arvestatud ülikooli sisemist ja välist konteksti ning peamisi huvipooli, sealhulgas töötajaid, tudengeid ja partnereid.
1.5. Poliitika kehtib kõikidele ülikooli struktuuriüksustele, töötajatele, üliõpilastele ja partneritele, kes osalevad ülikooli tegevustes või kasutavad ülikooli ressursse. Poliitika on koostatud kooskõlas Tallinna Tehnikaülikooli kvaliteedikontseptsiooniga ja rahvusvahelise standardiga ISO 27001.
2. Mõisted
2.1. Talitluspidevus (business continuity) on ülikooli võime teostada põhitegevusi ilma katkestusteta või tegevuste efektiivne taastamine intsidentide või kriiside korral. Talitluspidevuse korraldamine eeldab organisatsiooni poolt terviklikku korraldust ehk talitluspidevuse halduse süsteemi ülesehitamist (business continuity management system – BCMS).
2.2. Riskid
2.2.1. Riskihaldus (risk management) on koordineeritud tegevused organisatsiooni juhtimiseks lähtuvalt riskidest. Riskihaldus lähtub üle-ülikoolilisest riskihalduse korraldusest, kuid esineb teatud erinevusi sõltuvalt riskide tüübist talitluspidevuse kontekstis (nt infoturbe alast riskihaldus teostatakse infosüsteemide ja infotehnoloogiliste varade põhiselt ehk riskid, mis on seotud info konfidentsiaalsuse, terviklikkuse ja käideldavusega).
2.3. Intsidendid ja kriisid
2.3.1. Intsident (incident) on planeerimata sündmus, mis häirib või vähendab teenuse kvaliteeti, tekitab teenuses katkestuse, ohustab inimelusid, tekitab materiaalset kahju või kahjustab ülikooli mainet.
2.3.2. Kriis (crisis) on ülikooli ja selle liikmeskonda ning nende tegevusi mõjutav kõrgendatud ohuolukord, mis põhjustab ülikoolile või nende liikmetele kahju (sh varaline ,- maine ja/või muu kahju) ning mida ei ole võimalik tavapärase tegevuse ja ressursiga lahendada.
2.3.3. Intsidendi- ja kriiside haldus (incident and crisis management) on intsidendi või kriisi tegeliku või võimaliku toimumisega seotud tegevuste haldus ja koordineerimine.
2.3.4. Intsidendi- ja kriisiplaan (incident and crisis response plan) on intsidendi- ja kriisihalduse operatiivkomponent, mis sisaldab dokumenteeritud protseduure ja juhiseid intsidentide ning kriiside tähtsuse määramiseks, eskaleerimiseks, teavitamiseks ning taasteprotseduure.
2.4. Taastehaldamine
2.4.1. Taastehaldus (disaster management) on süsteemne tegevus intsidendi ja kriiside tagajärgede lahendamisel.
2.4.2. Taasteplaan (disaster recovery plan) on plaan, mis kirjeldab, kuidas rakendades füüsilisi, tehnilisi, protseduurilisi ja inimressursse saab ettemääratud aja ja kuludega naasta tava tegevuse juurde, mille katkestas intsident või kriis.
3. Käsitlusala
3.1 Talitluspidevuse haldussüsteemi käsitlusalas on kõik ülikooli infosüsteemid, füüsilised varad ja teenused, mis toetavad põhiprotsesse.
4. Talitluspidevuse tagamise põhimõtted
4.1. Talitluspidevuse tagamise aluseks on ülikooli varade kaardistus.
4.2. Talitluspidevuse juures keskendutakse peamiselt protsessidele ja nendega seotud osade (nt teenused, infosüsteemid) taastamisele.
4.3. Talitluspidevuse protsess on integreeritud tänaste töötajate tööülesannetesse.
4.4. Kõik talitluspidevuse plaanid põhinevad riskianalüüsil ja sisaldavad sobivaid riskikäsitlus meetmeid, et tagada jätkuvus ja vastupanuvõime.
4.5. Talitluspidevus on tagatud olemasoleva rahalise ja inimressurssiga ning põhjendatud ettepanekutel (sh riskidest tulenevalt) varustatud täiendava rahalise- ja inimressursiga.
4.6. Talitluspidevusega seotud regulatsioonid, juhised ja korrad kinnitatakse tavapärases otsustuskorras.
4.7. Talitluspidevus eeldab järjepidevat talitluspidevuse testimisi ja õppusi.
4.8. Talitluspidevuse protsessi raames viiakse regulaarselt läbi auditeid ja parendustegevusi, et tagada süsteemi pidev täiustamine.
4.9. Kõik talitluspidevuse plaanid ja juhised dokumenteeritakse, vaadatakse regulaarselt üle ja ajakohastatakse vastavalt vajadusele.
5. Talituspidevuse eesmärgid
5.1. Suurendada ülikooli vastupanuvõimet põhitegevuste katkestustele ja tagada ülikooli liikmeskonna turvatunne.
5.2. Rakendada riskipõhist lähenemist, et tuvastada ja hinnata talitluspidevuse riske ning rakendada vastavad meetmed nende riskide maandamiseks.
5.3. Luua valmisolek võimalikeks intsidentideks ja kriisideks.
5.4. Minimeerida intsidentide ja kriiside mõju.
5.5. Tagada kiire naasmine regulaarse toimise juurde.
6. Talitluspidevuse organisatsioon ja juhtimine
6.1 Talitluspidevuse juht
6.1.1. Vastutab talitluspidevuse halduse süsteemi planeerimise, välja töötamise, toimimise eest ja ajakohasena hoidmise eest.
6.1.2. Juhib talitluspidevuse meeskonna tööd, vastutades metoodiliste lähtekohtade ühtluse, meeskonna toimise, regulatsioonide piisavuse ning nende ülikooli liikmeskonnale kättesaadavuse eest.
6.1.3. Koordineerib talitluspidevuse meeskonna tegevust, tagades meeskonna töö sujuvuse ja eesmärkide täitmise.
6.1.4. Nõustab osapooli talitluspidevuse- ja taasteplaanide koostamisel või intsidendi ning kriiside haldamise raamistike koostamisel.
6.1.5. Teeb järjepidevalt parandusi talitluspidevuse halduse süsteemi seire ja testimise tulemuste põhjal.
6.1.6. Korraldab regulaarselt koolitusi ja teavituskampaaniaid, et tõsta teadlikkust talitluspidevuse põhimõtetest ja praktikatest kogu ülikooli ulatuses.
6.1.7. Korraldab regulaarselt talitluspidevuse õppusi ja plaanide läbimängimisi, et testida ja täiustada talitluspidevuse ja taasteplaane ning tagada ülikooli valmisolek erinevateks kriisiolukordadeks.
6.1.8. Korraldab ülikooli kriisideks valmisoleku hindamist monitooringu tulemuste ja juhtumite analüüsi alusel ning tagab talitluspidevuse plaani regulaarse uuendamise.
6.1.9. Analüüsib ja hindab juhtumeid, millel on eeldus areneda intsidendiks või kriisiks, ning teeb vastavad ettepanekud.
6.1.10. Tegeleb järjepidevalt liikmeskonna teadlikkuse tõstmisega reageerimaks lähtuvalt ohu olukorrale.
6.1.11. Kontrollimisel, tähelepanekute ja järelduste tegemisel, soovituste andmisel ning tulemustest teavitamisel on talitluspidevuse juht sõltumatu ja kontrollitava suhtes objektiivne.
6.1.12. Tagab tõhusa koostöö ja kommunikatsiooni talitluspidevuse küsimustes kõigi asjakohaste osapoolte vahel.
6.2. Protsessi omanik (vastutusala juht ehk rektoraadi liige)
6.2.1. Tagab talle määratud tegevusvaldkonnas talitluspidevuse planeerimise, ennetustegevuse ressurssidega varustamise ning vastutusala valmisoleku kriiside ja intsidentidega toimetulekuks.
6.2.2. Koordineerib talle määratud tegevusvaldkonnas riskide juhtimist ja ennetusmeetmete rakendamist.
6.3. Valdkonna juht (struktuuriüksuse juht)
6.3.1. Juhib oma vastutusvaldkonna riskide hindamist, talitluspidevuse planeerimist, ennetustegevuste juurutamist ning seiretulemuste analüüsi läbiviimist.
6.3.2. Tagab oma vastutusvaldkonnas, et kõik talitluspidevuse meetmed ja tegevused on kooskõlas kehtivate poliitikate ja kordadega.
6.3.3. Tagab, et talitluspidevuse tegevused on integreeritud igapäevasesse töökorraldusse ja et kõik töötajad on teadlikud oma rollidest ja vastutusest talitluspidevuse tagamisel.
6.3.4. Vastutab intsidentide lahendamise eest omas valdkonnas.
6.4. Talitluspidevuse meeskond (võrgustik)
6.4.1. Meeskonna tööd juhib talitluspidevusejuht.
6.4.2. Valdkonna ja protsessijuhtide kogum, kes kaasatakse püsivalt talitluspidevuse planeerimisse ja kommunikatsiooni korraldamisse.
6.4.3. Talitluspidevuse meeskond koordineerib füüsiliste ohuolukordade, küber- ja mainekriiside riskihalduse, regulatsioonide loomise, ennetusmeetmete väljatöötamise ja juhtumite analüüsi tegevusi.
6.4.4. Talitluspidevuse meeskonna liikmetele tagatakse koolituste ning õppuste abil oskus korraldada kriiside ja intsidentide ajal ülikooli liikmeskonna tegevust.
6.5. Kriisijuht
6.5.1. Kriisjuhi roll täidetakse kriisiolukorras kriisilahendamise ajaks eelnevalt määratletud protsessi alusel (kriisiplaan).
6.5.2. Juhib oma kriisiliigi (füüsiline ohuolukord, küberkriis või muu valdkondlik kriis) raames kriiside lahendamist ja korraldab taasteplaanidest lähtuvalt esmast taastamist.
6.5.3. Vastutab kriisijuhtumite lahendamiseks vajaliku töökorralduse eest.
6.5.4. Korraldab kriisiolukorras kommunikatsiooni vajalikele osapooltele, sh kaasab turundus- ja kommunikatsiooniosakonna.
6.5.5. Järgib kriisiplaani alusel kinnitatud tegevusraamistikku ja koordineerib selle kohaselt kriisilahenduse protsessi.
6.5.6. Kriisijuhil on õigus kriisiolukorras anda korraldusi ülikooli liikmeskonnale, et tagada kriisi tõhus lahendamine ja turvalisuse tagamine. Kriisijuhil on õigus kasutada ülikooli füüsilisi, tehnilisi ja inimressursse kriisiolukorra lahendamiseks rektori poolt määratletud ulatuses. Ressursside kasutamine peab olema kooskõlas kriisiplaanis sätestatuga.
6.5.7. Vajaduse korral taotleb kriisijuht täiendavaid ressursse rektoraadilt, esitades põhjenduse nende kasutamise vajalikkuse kohta.
6.5.8. Korraldab kriisiolukorra järgse analüüsi ja esitab aruande kriisijuhtumite lahendamisest, tehtud otsustest ja kasutatud ressurssidest.
6.6. Intsidendi koordinaator (protsessijuht, allüksusejuht)
6.6.1. Intsidendi koordinaatori rolltäidetakse intsidendi olukorras selle lahendamise ajaks eelnevalt määratletud protsessi alusel.
6.6.2. Intsidenti koordinaatori rolli kannavad eelkõige struktuuriüksuse allüksuste juhid / protsessijuhid (täpsustakse valdkondliku korraldusega).
6.6.3. Intsidendi koordinaator tagab, et kõrge ja kriitilise prioriteediga intsident saaks tulemuslikult lahendatud.
6.6.4. Intsidendi koordinaator vastutab intsidendi kohta kommunikatsiooni korraldamise eest.
6.6.5. Intsidendi koordinaator eskaleerib intsidendi vajadusel kriisiks.
6.6.6. Intsidendi koordinaator tagab, et kõik intsidendid lahendatakse vastavalt määratletud protseduuridele ning et vajalikud õppetunnid dokumenteeritakse ja rakendatakse.
7. Järelevalve
7.1 Talitluspidevuse poliitika rakendamise järelevalvet teeb siseaudit lähtuvalt siseauditi tööplaanist, kuid mitte harvem kui kord kolme aasta jooksul.