1. Milleks see dokumentide pakett on?

See ei ole lihtsalt poliitika.
See on sinu organisatsiooni ellujäämisplaan.

Pakett aitab sul:

• kaardistada kriitilised teenused ja sõltuvused (BIA)
  
• määrata reaalsed RTO ja RPO väärtused (mitte “tunnetuse järgi”)
  
• luua praktiline BCP/DRP plaan kriisiolukorraks
• testida ja tõendada, et plaan töötab (audit-ready)
• siduda talitluspidevus riskihalduse, varundamise ja turvaintsidendihaldusega
  

Tulemus: mitte “loodame, et töötab”, vaid teame, et töötab

2. Kellele sobib?

See pakett on tehtud neile, kes ei taha kriisi ajal improviseerida.

Sobib eriti hästi:

3. Mida saad?

Sa ei saa ühte faili.
Sa saad süsteemi, kus iga osa teeb oma tööd.

Dokumendipakett sisaldab:

3.1. Talituspidevuse ja taastamise dokumentide juhend

• selgitab, kuidas kogu süsteemi päriselt kasutada
  
• annab loogilise täitmise järjekorra
  
• välistab “ma ei tea, kust alustada” olukorra

3.2. Talitluspidevuse ja taastamise poliitika vorm

• juhtkonna kinnitatud raamistik
  
• rollid, vastutus, põhimõtted
  
• seos NIS2, KüTS ja ISO 27001 nõuetega
  

3.3. Ärimõju analüüsi (BIA) vorm

• kriitiliste teenuste kaardistus
  
• MTPD, RTO, RPO määramine
  
• prioriteedid: mida taastada esimesena
  
• paketi kõige väärtuslikum dokument
  

3.4. Talituspidevuse ja taastamise plaani (BCP ja DRP) vorm

• samm-sammuline tegevusplaan kriisi ajal
  
• 5 stsenaariumi
  
• kontaktid, otsustusahel, taastamisjärjekord
  

3.5. Talituspidevuse ja taastamise testimise ja harjutuste registri vorm

• tõendus audiitorile
  
• RTO mõõtmine
  
• puuduste ja parenduste jälgimine

4. KKK

Kas meil on üldse vaja BCP/DRP-d, kui oleme väike ettevõte? Kui kuulud NIS2 või KüTS kohaldamisalasse — jah, see on seaduslik kohustus. Aga isegi kui mitte: ühepäevase katkestuse maksumus ületab tavaliselt kordades paketi täitmise kulu. Väike ettevõte ei ela kriisi niisama üle — just seepärast on plaan väiksele ettevõttele olulisem, mitte vähem oluline.

Mida teha, kui RTO ja RPO väärtused tunduvad võimatud? Kirjuta reaalsed saavutatavad väärtused. Seejärel hinda lünka: kui äri vajab 2-tunnist RTO-d, aga IT suudab pakkuda 8 tundi — see on riskijuhtimisotsus juhtkonnale. Mõlemal juhul peab otsus olema dokumenteeritud.

Kas peame kõiki 5 stsenaariumi testima? Ei. Alustage sellest, mis teie kontekstis kõige tõenäolisem on. Enamiku organisatsioonide jaoks on see küberrünnak või IT-rike. Regulatiivne miinimum on 1 test aastas — tüüp on teie valik.

Mis juhtub, kui test ebaõnnestub? See on väga hea uudis. Ebaõnnestunud test tähendab, et leidsite probleemi kontrollitud keskkonnas — mitte kriisi keskel. Dokumenteerige, parandage, testige uuesti. See ongi testimise eesmärk.

5. Õiguslik teave

Dokument on näidismaterjal ja praktiline töövahend, mis vajab kohandamist vastavalt organisatsiooni tegevusele, struktuurile ja riskitasemele. Dokument ei kujuta endast õigusnõustamist ega asenda ametlikke juhiseid või järelevalveasutuse nõudeid.

Toote kasutamisel kehtivad Defending Data litsentsitingimused ja kasutus- ja ostutingimused.

6. Taganemisõigus

Digitaalse sisu puhul ei kohaldu 14-päevane taganemisõigus, kui tarbija on andnud nõusoleku sisu koheseks edastamiseks (VÕS § 53 lg 4).

Defending Data dokumendid on loodud juhatuse, mitte bürokraatia jaoks.