TY - BOOK
T1 - Tietoturvatavoitteiden asettaminen ja mittaaminen
AU - Oinonen, Seppo
AU - Erjansola, Timo
AU - Hytönen, Tomi
AU - Hyytiä, Kalevi
AU - Kajava, Jorma
AU - Kinnunen, Erja
AU - Koskinen, Kaarina
AU - Kylämä, Marja
AU - Maunu, Tarmo
AU - Olander, Marit
AU - Salminen, Matti
AU - Savola, Reijo
AU - Sarlin, Kristel
AU - Sundberg, Seppo
AU - Uusikartano, Ari
PY - 2006
Y1 - 2006
N2 - Tietoyhteiskuntaohjelmassa hallitus on asettanut tavoitteeksi kehittää kansalaisten tietoyhteiskuntavalmiuksia ja turvallista tietoyhteiskuntaa. Hallitus haluaa varmistaa, että Suomi pysyy tietoturvallisena, tietoturvallisuuden kilpailukyky on kunnossa ja että tietoturvallisuuteen liittyvät osaaminen ja tietoisuus ovat korkeaa tasoa. Valtiovarainministeriö ohjaa ja yhteen sovittaa valtionhallinnon tietoturvallisuutta ja sen kehittämistä. Valtionhallinnon tietoturvallisuuden kehitysohjelmassa 2004-2006 (Vahti 1/2004) tärkeimmät kehityskohteet on jaettu kuuteen hankealueeseen. Näistä ensimmäinen on tietoturvakulttuurin luominen, jota tämä julkaisu käsittelee tietoturvallisuuden tulosjohtamisen näkökulmasta. Ohje on tarkoitettu virastojen ylimmälle johdolle, riskienhallinnan koordinaattoreille, tietohallintojohdolle, tietoturvapäälliköille ja tietoturvallisuuden kehittämisestä vastaaville. Tietoturvallisuuden merkitys organisaatioille lisääntyy toimintojen digitalisoitumisen seurauksena. Verkkopalveluiksi kehitetyt asiakaspalvelut, organisaatioiden välinen viestintä, tiedonsiirto ja toimintaprosessien yhteen liittäminen ovat nykytilassa osa normaalia palvelujen tuotantotapaa. Hyvän hallintotavan (corporate governance) vaatimusta ja riskienhallinnan merkitystä korostetaan sekä kotimaisessa että kansainvälisessä keskustelussa. Valtion talousarviosta annetun asetuksen mukaan toimintakertomuksen tulee sisältää arviointi sisäisen valvonnan ja siihen sisältyvän riskienhallinnan asianmukaisuudesta ja riittävyydestä – tämä koskee myös tietoturvariskejä. Tietoturvatyön päämääränä on vähentää toimintaan kohdistuvia häiriöitä. Tietoturvallisuuden strategisena kehittämistavoitteena on organisaation riskienhallintaa palvelevan tietoturvallisuuden johtamis- ja hallintajärjestelmän luominen. Tässä dokumentissa on esitetty vaiheistukseen perustuva malli tämän järjestelmän rakentamiseksi. Tietoturvatyötä voidaan johtaa tulosohjauksen keinoin asettamalla sen kehittämiselle ja laadulle useampivuotisia ja vuositavoitteita sekä mittaamalla ja arvioimalla aikaansaatuja vaikutuksia. Tietoturvallisuuden tavoitetaso ja mittarit suhteutuvat organisaation tietointensiivisyyttä ja tietoturvatyön kehitystilannetta vasten; tietointensiivisillä organisaatioilla tavoitetaso on muita korkeampi. Tässä raportissa esitetyt mittarit perustuvat pääosin Väestörekisterikeskuksen ja Poliisin tietohallintokeskuksen käytännön kokemuksiin toimivista seurantamittareista. Tyypillisiä seurantakohteita ovat tietoturvapoikkeamat, niiden hallinta ja tietoturvatoiminnan laajuus. Käytännön tason arviointi- ja mittaustilanteita varten VAHTI-työryhmät ovat tuottaneet useita eri tilanteisiin sopivia ohjeita ja suosituksia, joista pian julkaistava ohje tietoturvallisuuden arvioinnista valtionhallinnossa (VAHTI-ohje, 8/2006) soveltuu hyvin tietoturvatoiminnan laadun ja sisällön arviointitilanteisiin. Merkittävän osan tiedonhallintapalveluista tuottavat sopimustoimittajat. Tietoturvapalvelujen ja tietoturvatyön tavoitteiden sisällyttämistä sopimuksiin on käsitelty VAHTI-ohjeessa Muutos ja tietoturvallisuus (VAHTI-ohje, 7/2006).
AB - Tietoyhteiskuntaohjelmassa hallitus on asettanut tavoitteeksi kehittää kansalaisten tietoyhteiskuntavalmiuksia ja turvallista tietoyhteiskuntaa. Hallitus haluaa varmistaa, että Suomi pysyy tietoturvallisena, tietoturvallisuuden kilpailukyky on kunnossa ja että tietoturvallisuuteen liittyvät osaaminen ja tietoisuus ovat korkeaa tasoa. Valtiovarainministeriö ohjaa ja yhteen sovittaa valtionhallinnon tietoturvallisuutta ja sen kehittämistä. Valtionhallinnon tietoturvallisuuden kehitysohjelmassa 2004-2006 (Vahti 1/2004) tärkeimmät kehityskohteet on jaettu kuuteen hankealueeseen. Näistä ensimmäinen on tietoturvakulttuurin luominen, jota tämä julkaisu käsittelee tietoturvallisuuden tulosjohtamisen näkökulmasta. Ohje on tarkoitettu virastojen ylimmälle johdolle, riskienhallinnan koordinaattoreille, tietohallintojohdolle, tietoturvapäälliköille ja tietoturvallisuuden kehittämisestä vastaaville. Tietoturvallisuuden merkitys organisaatioille lisääntyy toimintojen digitalisoitumisen seurauksena. Verkkopalveluiksi kehitetyt asiakaspalvelut, organisaatioiden välinen viestintä, tiedonsiirto ja toimintaprosessien yhteen liittäminen ovat nykytilassa osa normaalia palvelujen tuotantotapaa. Hyvän hallintotavan (corporate governance) vaatimusta ja riskienhallinnan merkitystä korostetaan sekä kotimaisessa että kansainvälisessä keskustelussa. Valtion talousarviosta annetun asetuksen mukaan toimintakertomuksen tulee sisältää arviointi sisäisen valvonnan ja siihen sisältyvän riskienhallinnan asianmukaisuudesta ja riittävyydestä – tämä koskee myös tietoturvariskejä. Tietoturvatyön päämääränä on vähentää toimintaan kohdistuvia häiriöitä. Tietoturvallisuuden strategisena kehittämistavoitteena on organisaation riskienhallintaa palvelevan tietoturvallisuuden johtamis- ja hallintajärjestelmän luominen. Tässä dokumentissa on esitetty vaiheistukseen perustuva malli tämän järjestelmän rakentamiseksi. Tietoturvatyötä voidaan johtaa tulosohjauksen keinoin asettamalla sen kehittämiselle ja laadulle useampivuotisia ja vuositavoitteita sekä mittaamalla ja arvioimalla aikaansaatuja vaikutuksia. Tietoturvallisuuden tavoitetaso ja mittarit suhteutuvat organisaation tietointensiivisyyttä ja tietoturvatyön kehitystilannetta vasten; tietointensiivisillä organisaatioilla tavoitetaso on muita korkeampi. Tässä raportissa esitetyt mittarit perustuvat pääosin Väestörekisterikeskuksen ja Poliisin tietohallintokeskuksen käytännön kokemuksiin toimivista seurantamittareista. Tyypillisiä seurantakohteita ovat tietoturvapoikkeamat, niiden hallinta ja tietoturvatoiminnan laajuus. Käytännön tason arviointi- ja mittaustilanteita varten VAHTI-työryhmät ovat tuottaneet useita eri tilanteisiin sopivia ohjeita ja suosituksia, joista pian julkaistava ohje tietoturvallisuuden arvioinnista valtionhallinnossa (VAHTI-ohje, 8/2006) soveltuu hyvin tietoturvatoiminnan laadun ja sisällön arviointitilanteisiin. Merkittävän osan tiedonhallintapalveluista tuottavat sopimustoimittajat. Tietoturvapalvelujen ja tietoturvatyön tavoitteiden sisällyttämistä sopimuksiin on käsitelty VAHTI-ohjeessa Muutos ja tietoturvallisuus (VAHTI-ohje, 7/2006).
M3 - Report
SN - 951-804-622-0
T3 - Valtionhallinnon tietoturvallisuuden johtoryhmä
BT - Tietoturvatavoitteiden asettaminen ja mittaaminen
PB - Valtiovarainministeriö
CY - Helsinki, Finland
ER -