Tietoturvatavoitteiden asettaminen ja mittaaminen

Translated title of the contribution: Defining information security objectives and measuring them

Seppo Oinonen, Timo Erjansola, Tomi Hytönen, Kalevi Hyytiä, Jorma Kajava, Erja Kinnunen, Kaarina Koskinen, Marja Kylämä, Tarmo Maunu, Marit Olander, Matti Salminen, Reijo Savola, Kristel Sarlin, Seppo Sundberg, Ari Uusikartano

    Research output: Book/ReportReport

    Abstract

    Tietoyhteiskuntaohjelmassa hallitus on asettanut tavoitteeksi kehittää kansalaisten tietoyhteiskuntavalmiuksia ja turvallista tietoyhteiskuntaa. Hallitus haluaa varmistaa, että Suomi pysyy tietoturvallisena, tietoturvallisuuden kilpailukyky on kunnossa ja että tietoturvallisuuteen liittyvät osaaminen ja tietoisuus ovat korkeaa tasoa. Valtiovarainministeriö ohjaa ja yhteen sovittaa valtionhallinnon tietoturvallisuutta ja sen kehittämistä. Valtionhallinnon tietoturvallisuuden kehitysohjelmassa 2004-2006 (Vahti 1/2004) tärkeimmät kehityskohteet on jaettu kuuteen hankealueeseen. Näistä ensimmäinen on tietoturvakulttuurin luominen, jota tämä julkaisu käsittelee tietoturvallisuuden tulosjohtamisen näkökulmasta. Ohje on tarkoitettu virastojen ylimmälle johdolle, riskienhallinnan koordinaattoreille, tietohallintojohdolle, tietoturvapäälliköille ja tietoturvallisuuden kehittämisestä vastaaville. Tietoturvallisuuden merkitys organisaatioille lisääntyy toimintojen digitalisoitumisen seurauksena. Verkkopalveluiksi kehitetyt asiakaspalvelut, organisaatioiden välinen viestintä, tiedonsiirto ja toimintaprosessien yhteen liittäminen ovat nykytilassa osa normaalia palvelujen tuotantotapaa. Hyvän hallintotavan (corporate governance) vaatimusta ja riskienhallinnan merkitystä korostetaan sekä kotimaisessa että kansainvälisessä keskustelussa. Valtion talousarviosta annetun asetuksen mukaan toimintakertomuksen tulee sisältää arviointi sisäisen valvonnan ja siihen sisältyvän riskienhallinnan asianmukaisuudesta ja riittävyydestä – tämä koskee myös tietoturvariskejä. Tietoturvatyön päämääränä on vähentää toimintaan kohdistuvia häiriöitä. Tietoturvallisuuden strategisena kehittämistavoitteena on organisaation riskienhallintaa palvelevan tietoturvallisuuden johtamis- ja hallintajärjestelmän luominen. Tässä dokumentissa on esitetty vaiheistukseen perustuva malli tämän järjestelmän rakentamiseksi. Tietoturvatyötä voidaan johtaa tulosohjauksen keinoin asettamalla sen kehittämiselle ja laadulle useampivuotisia ja vuositavoitteita sekä mittaamalla ja arvioimalla aikaansaatuja vaikutuksia. Tietoturvallisuuden tavoitetaso ja mittarit suhteutuvat organisaation tietointensiivisyyttä ja tietoturvatyön kehitystilannetta vasten; tietointensiivisillä organisaatioilla tavoitetaso on muita korkeampi. Tässä raportissa esitetyt mittarit perustuvat pääosin Väestörekisterikeskuksen ja Poliisin tietohallintokeskuksen käytännön kokemuksiin toimivista seurantamittareista. Tyypillisiä seurantakohteita ovat tietoturvapoikkeamat, niiden hallinta ja tietoturvatoiminnan laajuus. Käytännön tason arviointi- ja mittaustilanteita varten VAHTI-työryhmät ovat tuottaneet useita eri tilanteisiin sopivia ohjeita ja suosituksia, joista pian julkaistava ohje tietoturvallisuuden arvioinnista valtionhallinnossa (VAHTI-ohje, 8/2006) soveltuu hyvin tietoturvatoiminnan laadun ja sisällön arviointitilanteisiin. Merkittävän osan tiedonhallintapalveluista tuottavat sopimustoimittajat. Tietoturvapalvelujen ja tietoturvatyön tavoitteiden sisällyttämistä sopimuksiin on käsitelty VAHTI-ohjeessa Muutos ja tietoturvallisuus (VAHTI-ohje, 7/2006).
    Translated title of the contributionDefining information security objectives and measuring them
    Original languageFinnish
    Place of PublicationHelsinki, Finland
    PublisherValtiovarainministeriö
    Number of pages56
    ISBN (Electronic)951-804-623-9
    ISBN (Print)951-804-622-0
    Publication statusPublished - 2006
    MoE publication typeD4 Published development or research report or study

    Publication series

    SeriesValtionhallinnon tietoturvallisuuden johtoryhmä
    Volume6/2006
    ISSN1455-2566

    Fingerprint

    Dive into the research topics of 'Defining information security objectives and measuring them'. Together they form a unique fingerprint.

    Cite this