Detailne juhend: Kuidas määratleda E-ITS äriprotsesse?

Eesti infoturbestandardi (E-ITS) rakendamine võib tunduda teoreetilise ja bürokraatliku ülesandena, kuid tegelikult algab kõik väga praktilisest sammust: oma organisatsiooni tegevuse lahti mõtestamisest. Kuigi E-ITS juhendi esimene samm keskendub juhtkonna toetuse saamisele, on just teine samm – äriprotsesside määratlemine – see koht, kus tehakse esimene reaalne ja käegakatsutav töö infoturbe vundamendi ladumiseks. See on alus, sest enne kui saame midagi kaitsta, peame täpselt teadma, mida me teeme ja miks see on oluline.

Äriprotsessid on E-ITSi selgroog, mis seovad omavahel organisatsiooni pakutavad teenused, nende toimimiseks vajalikud infovarad ja lõpuks ka riskijuhtimise. Selles postituses annamegi väga praktilise vaate, kuidas äriprotsesse kaardistada, vältida levinud vigu ning toome konkreetseid näiteid, kasutades läbivalt näitena Eesti kohalikku omavalitsust. Eesmärk on näidata, et äriprotsesside analüüs ei ole pelgalt kohustus, vaid väärtuslik tööriist oma tegevuse paremaks mõistmiseks.

Mis on äriprotsess E-ITSi kontekstis?

Et mõista, miks äriprotsessid on nii olulised, on kõige parem alustada ametlikust definitsioonist. E-ITSi rakendusjuhend ütleb:

Äriprotsess – Organisatsiooni tegevuse element, mingi eesmärgi saavutamisele suunatud tegevuste, toimingute või protseduuride kogum. Äriprotsessi tulemusena võidakse luua sise- või väliskliendile väärtust toodete või teenustena.

Kuigi definitsioon on täpne, on seda lihtsam mõista kui korduvate tegevuste jada, mis loob väärtust organisatsiooni eesmärkide saavutamiseks. Just nendele protsessidele omistatakse hiljem kaitsetarve ja nende ümber ehitatakse turvameetmete süsteem.

Praktikas aetakse tihti segamini kaks mõistet: teenus ja protsess.

• Teenus on see, mida organisatsioon pakub oma kliendile või kodanikule – see on väline lubadus. Näiteks valla puhul on üheks teenuseks “sotsiaalabi tagamine”.
• Protsess on sisemine tegevuste ahel, mis selle teenuse osutamist võimaldab. Näiteks “sotsiaaltoetuste taotluste menetlemine”.

Infoturbe vaatest on oluline keskenduda just protsessidele, sest üks teenus võib sõltuda mitmest erinevast protsessist (nt põhi- ja tugiprotsessid), millest igaühel on oma spetsiifilised riskid ja vajadused. E-ITS rõhutab, et igal protsessil peab olema ka äripoole omanik – keegi, kes ei ole IT-juht, vaid valdkonna eest vastutav isik. See kinnistab põhimõtet, et infoturve on osa ärijuhtimisest, mitte pelgalt tehniline ülesanne.

Äriprotsesside kaardistamine (samm-sammult)

1. Lähtu organisatsiooni eesmärkidest

Kõige kindlam viis äriprotsesside kaardistamist alustada on vaadata oma organisatsiooni “suurt pilti”. E-ITSi juhend soovitab lähtuda dokumentidest nagu põhikiri või põhimäärus, kuid paljudel juhtudel on organisatsiooni põhiülesanded määratletud laiemalt – lausa seaduse tasandil. Need on teie põhiprotsesside aluseks.

Alustuseks tuvasta oma organisatsiooni peamised eesmärgid või avalikud ülesanded. Küsi lihtsalt: “Mida me teeme ja miks me olemas oleme?”

Näide: Eesti kohalik omvalitsus

Kohalike omavalitsuste ülesanded ei ole kirjas mitte ainult nende endi põhimäärustes, vaid on defineeritud Kohaliku omavalitsuse korralduse seaduse §-s 6. See seadus ütleb, et omavalitsusüksuse ülesanne on korraldada näiteks sotsiaalabi ja -teenuseid, elamu- ja kommunaalmajandust, veevarustust ja kanalisatsiooni ning ruumilist planeerimist. Järgmises sammus vaatame, kuidas nendest üldistest ülesannetest saavad konkreetsed äriprotsessid.

2. Koosta äriprotsesside nimekiri

Kui organisatsiooni põhieesmärgid on selged, on järgmine samm nende lahti harutamine konkreetseteks äriprotsessideks. Protsesside täpne arv sõltub organisatsiooni suurusest, kuid hea rusikareegel on, et ühte teenust toetab tavaliselt 1–5 peamist äriprotsessi.

See reegel aitab vältida liiga peenel või liiga üldisel tasemel kirjeldamist. Kui aga avastad, et mõne teenuse all ongi ainult üks protsess, võib tekkida kahtlus – kas oled defineerinud teenuse või juba protsessi?

Lihtne lakmuspaber: teenus vs protsess

Küsi endalt kaks küsimust:

• Kas see kirjeldab, mida me pakume või kuidas me seda teeme? “Mida” on teenus (nt “ehitusloa tagamine”). “Kuidas” on protsess (nt “ehitusloa taotluse menetlemine”).
• Kellele see väärtust loob? Teenus loob väärtust väliskliendile (elanik, ettevõte). Protsess loob väärtust sisemiselt, et teenust oleks võimalik osutada.

Näide: Eesti kohalik omvalitsus

Võtame eelmises punktis mainitud Kohaliku omavalitsuse korralduse seadusest tulenevad teenused ja tuletame neist loogilised äriprotsessid:

• Teenus: Sotsiaalabi ja -teenused
  • Protsess: Sotsiaaltoetuste taotluste menetlemine
  • Protsess: Lastekaitse juhtumite lahendamine
  • Protsess: Eakate koduteenuste korraldamine
• Teenus: Ruumiline planeerimine
  • Protsess: Ehitus- ja kasutuslubade menetlemine
  • Protsess: Detailplaneeringute algatamine ja kehtestamine
• Teenus: Elamu- ja kommunaalmajandus
  • Protsess: Munitsipaaleluruumide üürile andmine ja haldamine
  • Protsess: Tänavavalgustuse korrashoiu tagamine
• Teenus: Jäätmehooldus
  • Protsess: Korraldatud jäätmeveo hanke läbiviimine ja järelevalve

Nagu näha, on igal protsessil selge algus, lõpp ja eesmärk, mis aitab kaasa ühe suurema, seadusest tuleneva ülesande täitmisele.

3. Seo protsessid IT-süsteemide ja varadega

Kui äriprotsesside nimekiri on olemas, võib tekkida küsimus – mis edasi? Organisatsiooni tegevuse kaitsmine on lai mõiste, mis hõlmab kõike alates füüsilisest turvalisusest kuni töötajate tööohutuseni. Eesti infoturbastandard (E-ITS) keskendub aga spetsiifiliselt infoturbele.

Seetõttu ongi järgmine loogiline samm siduda iga äriprotsess reaalsete infosüsteemide, andmete ja seadmetega, millest see sõltub. See tegevus loob silla äripoole tegevuste ja tehniliste infovarade vahel, mida on vaja kaitsta.

Iga varem kirjeldatud protsessi juurde koosta lühike nimekiri, mis vastab küsimustele:

• Milliseid infosüsteeme või tarkvara see protsess kasutab?
• Milliseid olulisi andmeid või registreid see protsess puudutab?
• Millistest muudest tehnilistest varadest (nt serverid, võrguseadmed) see sõltub?

Nagu ka E-ITSi juhend ütleb, ei pea see nimekiri olema esialgu ammendav. Eesmärk on saada aru, millest iga protsess sõltub, et hiljem oleks võimalik hinnata nende varade kaitsevajadust.

Näide: Eesti kohalik omvalitsus

Jätkame sotsiaaltoetuste menetlemise protsessiga:

• Protsess: Sotsiaaltoetuste taotluste menetlemine
  • Infosüsteemid: Sotsiaalteenuste ja -toetuste andmeregister (STAR), valla dokumendihaldussüsteem (DHS).
  • Andmed/Registrid: Rahvastikuregistri andmed (päringud), isikuandmed, finantsandmed.
  • Tehnilised varad: Sotsiaaltöötajate arvutid, võrguühendus, serverid, kus hoitakse DHS-i.

Selle lihtsa kaardistuse tulemusena teame, et “Sotsiaaltoetuste menetlemise” protsessi turvalisus ei sõltu ainult STAR-ist, vaid ka DHS-ist, sisevõrgust ja töötajate arvutitest. See nimekiri on otsene sisend järgmisteks E-ITSi sammudeks, nagu kaitseala ja kaitsetarbe määramine.

Levinumad vead äriprotsesside kaardistamisel

Teekonnal on lihtne komistada. Siin on neli levinud viga, mida äriprotsesside määratlemisel vältida:

• Teenuse ja protsessi segiajamine. See on kõige tavalisem segadus. Pea meeles lakmuspaberit: teenus on “mida” sa pakud väljapoole, protsess on “kuidas” sa seda sisemiselt teed. Kui kaardistad ainult teenuseid, jääb infoturbe pilt liiga üldiseks.
• Äripoole omaniku määramata jätmine. E-ITS nõuab igale protsessile äripoole omanikku, kes ei ole IT-juht. See on kriitiline, sest just ärijuht teab protsessi tegelikku väärtust ja riske. Kui omanik puudub või on vale, jääb infoturve pelgalt tehniliseks harjutuseks.
• Liiga üldine või liiga detailne kaardistus. Rusikareegel “1–5 protsessi teenuse kohta” aitab hoida õiget taset. Kui defineerid ainult ühe protsessi “Raamatupidamine”, on see liiga lai. Kui aga kirjeldad eraldi protsessidena “arve sisestamine”, “arve kinnitamine” ja “arve maksmine”, on see liiga detailne. Otsi tasakaalu.
• Kaardistuse käsitlemine ühekordse projektina. Kõige suurem viga on luua äriprotsesside ja varade nimekiri ning seejärel unustada see kausta seisma. Vastupidi – see on elav dokumentatsioon. Organisatsioonid, nende teenused ja protsessid arenevad pidevalt: lisandub uusi ülesandeid, vanu automatiseeritakse ja võetakse kasutusele uusi töövahendeid. E-ITSi eesmärk on luua toimiv infoturbe juhtimissüsteem, ja iga hea süsteem peab nende muutustega kaasas käima. Kaardistust tuleb regulaarselt üle vaadata ja uuendada, et see peegeldaks tegelikkust.

Kuidas Kordon aitab äriprotsesse dokumenteerida ja hallata

Kui äriprotsessid on tuvastatud, on järgmine samm nende süsteemne dokumenteerimine. See ei ole lihtsalt bürokraatlik harjutus – see on vundament, millele ehitatakse kogu edasine infoturbe süsteem, alates varade kaardistamisest kuni riskianalüüsini.

Ka E-ITSi ametlik juhend ütleb, et iga äriprotsessi kohta tuleb dokumenteerida kindlad andmed. Käsitsi Excelis või tekstidokumentides haldamise asemel pakub Kordon selleks struktureeritud ja keskset lähenemist.

Vaatame, mida juhend nõuab ja kuidas seda Kordonis teha.

Keskne register kõige olulise dokumenteerimiseks

E-ITSi juhendi kohaselt peab äriprotsesside loend sisaldama iga protsessi kohta vähemalt järgmisi andmeid:

• Äriprotsessi nimetus
• Äriprotsessi tüüp (põhi- või tugiprotsess)
• Protsessi eesmärk
• Äriprotsessi sisu (protsessi käigus teostatud põhilised tegevused)
• Äriprotsessi äripoole omanik
• Äriprotsessi tehniline haldur
• Äriprotsessi alusdokumendid (õigusaktid, eeskirjad, lepingud)
• Protsessi käigus töödeldavad andmed
• Olulised infosüsteemid ja varad, ilma milleta protsess toimida ei saa
• Koostööpartnerid, kliendid ja muud osapooled

Kuidas Kordon aitab?

Käsitsi eraldi dokumentides haldamise asemel võimaldab Kordon luua igale äriprotsessile oma digitaalse profiili, mis toimib keskse teabeallikana. See pole lihtsalt staatiline kirjeldus, vaid dünaamiline vaade, kuhu saab koondada kõik E-ITSi juhendis nõutud andmed alates nimest ja eesmärgist kuni sisu kirjelduseni.

Kordoni tõeline väärtus peitub aga seoste loomises. Sa ei pea neid seoseid lihtsalt tekstina kirjeldama, vaid saad luua reaalsed, klikitavad ühendused otse süsteemis, mis annavad igale andmepunktile tähenduse:

• Määra vastutajad: Igale protsessile saad määrata nii äripoole omaniku kui ka tehnilise halduri otse Kordoni kasutajate seast. Miks see on oluline? See tagab, et vastutus on selgelt jaotatud ja igal protsessil on konkreetne eestvedaja, kes mõistab selle ärilist väärtust – see on E-ITSi üks põhinõudeid.
• Seo protsessid varadega: Ühenda äriprotsessid otse nende toimimiseks vajalike infosüsteemide, andmekogude ja seadmetega, mis on juba sinu varade registris. Miks see on oluline? See loob selge sõltuvuste kaardi. Kui mõni süsteem rikneb, näed kohe, millised äritegevused on häiritud, mis on kriitiline nii intsidentide lahendamisel kui ka riskide hindamisel.
• Lisa alusdokumendid ja partnerid: Lisa protsessi juurde viited seadustele ja lepingutele või seo see konkreetse osapoolega Kordoni teenusepakkujate moodulist. Miks see on oluline? See koondab kogu vastavusteabe ühte kohta. Nii on alati selge, millised juriidilised kohustused protsessiga kaasnevad ja kes on seotud partnerid, lihtsustades oluliselt kolmandate osapoolte riskide haldamist.

Luues need seosed Kordonis, ehitad digitaalse kaksiku oma organisatsiooni toimimisest. Kui tulevikus tekib näiteks intsident mõne serveriga, näed kohe, millised äriprotsessid on mõjutatud.

Kokkuvõte: Esimene samm toimiva infoturbe suunas

Äriprotsesside määratlemine ei pea olema keeruline. Nagu nägime, on see E-ITSi rakendamise esimene ja kõige olulisem praktiline samm, mis loob vundamendi kõigele järgnevale. See sunnib sind mõtlema oma organisatsiooni tegevuse tuumale – mida sa teed, miks sa seda teed ja millest su tegevus sõltub.

Pea meeles põhitõdesid:

• Alusta eesmärgist: Lähtu oma organisatsiooni seadusest või põhimäärusest tulenevatest ülesannetest.
• Teenusest protsessini: Tuleta igast teenusest 1–5 sisemist protsessi, mis aitavad seda teenust pakkuda.
• Seo see tehnikaga: Ühenda iga protsess oluliste info- ja IT-varadega, millest see sõltub.
• Dokumenteeri ja halda: Hoia protsesside ja nendega seotud info elava ja ajakohasena.

Kuidas päriselt alustada?

Kõige suurem viga on üritada kõike korraga ja täiuslikult teha. Ära karda alustada lihtsast.

• Vali välja üks oluline teenus, mida sinu organisatsioon pakub.
• Kaardista 1–3 äriprotsessi, mis on selle teenuse osutamiseks vajalikud.
• Proovi Kordonit tasuta ja sisesta need protsessid koos nende omanike ja kõige olulisemate IT-varadega süsteemi.

Selle väikese harjutusega näed kohe, kuidas teooria muutub praktikaks ja kuidas äriprotsesside kaardistamine loob selgust kogu organisatsiooni jaoks. See on esimene samm teel toimiva ja juhitava infoturbe poole.