2c/2010 Anvisning om verkställighet av förordningen om informationssäkeheten inom statsförvaltningen

 

2c/2010 Anvisning om verkställighet av förordningen om informationssäkeheten inom statsförvaltningen

FINANSMINISTERIET
PB 28 (Snellmansgatan 1 A) 00023 STATSRÅDET
Telefon 0295 16001 (växeln)
Internet: www.finansministeriet.fi
Layout: Pirkko Ala-Marttila/FM, informationen
ISSN 1455-2566 (hft.)
ISBN 978-952-251-478-3 (hft.)
ISSN 1798-0860 (pdf)
ISBN 978-952-251-479-0 (pdf)
Juvenes Print – Finlands Universitetstryckeri Ab,2013


Till ämbetsverkens ledning

Syftet med informationssäkerhet inom statsförvaltningen är att trygga kontinuiteten i och kvaliteten på myndighetens verksamhet samt att säkerställa att rättsskyddet förverkligas. I detta dokument ges anvisningar om hur förordningen om informationssäkerheten inom statsförvaltningen (681/2010, nedan informationssäkerhetsförordningen) ska tillämpas.

Anvisningen är avsedd för organisationernas ledning samt för dem som ansvarar för verksamhetsprocesserna, säkerheten, informationstjänsterna och informationsförvaltningen.
Den allmänna skyldighet myndigheterna inom statsförvaltningen har att trygga informationssäkerheten bygger på lagen om offentlighet i myndigheternas verksamhet (621/1999, nedan offentlighetslagen). Enligt lagen ska en myndighet se till att skyddet, integriteten och kvaliteten i fråga om dess handlingar och datasystem samt dess uppgifter tryggas genom ändamålsenliga förfaranden och informationssäkerhetsarrangemang med beaktande av uppgifternas betydelse och ändamål samt de riskfaktorer som riktar sig mot handlingarna och datasystemen samt de kostnader som orsakas av datasäkerhetsåtgärderna (18 § 2 mom. 4 punkten).
 
Statsrådets förordning om informationssäkerheten av den 1 juli 2010 som stöder sig på offentlighetslagen tillämpas på myndigheter inom statsförvaltningen. Med dem avses statsförvaltningsmyndigheter och andra statliga ämbetsverk och inrättningar samt domstolar och andra rättskipningsmyndigheter (3 § 1 punkten). Genom förordningen upphävdes 2 och 3 § i förordningen om offentlighet och god informationshantering i myndigheternas verksamhet (1030/1999, nedan offentlighetsförordningen).
 
Informationssäkerhetsförordningen trädde i kraft den 1 oktober 2010. I förordningen ingår övergångsbestämmelser. Enligt dessa ska en myndighets databehandling motsvara de informationssäkerhetskrav på basnivå som anges i 5 § i förordningen inom tre år från det att förordningen har trätt i kraft eller senast 30 september 2013.
 
Förordningen innehåller bestämmelser om de allmänna informationssäkerhetskraven i fråga om hanteringen av myndigheters handlingar samt krav som gäller klassificeringen av handlingar och motsvarande krav som gäller hanteringen av handlingar. Det är skäl att notera att med handling avses även informationsmaterial som är i elektronisk form eller som i övrigt lagrats i teknisk lagringsform. Regleringen gäller i första hand sekretessbelagda handlingar (8 §, 9 § 2 mom. informationssäkerhetsförordningen).
 
Det är enligt förordningen inte obligatoriskt att klassificera handlingar. Myndigheten bör besluta huruvida den tar i bruk klassificering och när detta sker. De krav i fråga om hantering som motsvarar klassificeringen ska realiseras inom 5 år efter att klassificeringen tagits i bruk. Myndigheten har möjlighet att tillämpa klassificeringen endast på vissa handlingar eller på sådana hanteringsskeden av handlingen där åtgärder är nödvändiga för det intresse som ska skyddas (8 § 1 mom. informationssäkerhetsförordningen).
 
Planeringen av hur klassificeringen tas i bruk är viktig. Klassificeringen är tänkt att underlätta utbytet av sekretessbelagd information mellan myndigheter, varför det är synnerligen rekommendabelt att myndigheter som regelbundet och i stor utsträckning antingen får sekretessbelagda handlingar av varandra eller överlåter sådana till varandra tillämpar klassificering.
 
Ämbetsverken ska se till att alla de krav på informationssäkerhetens basnivå som föreskrivs i 5 § uppfylls inom den övergångstid på tre år som förutsätts i förordningen. Det är nödvändigt att organisera det utrednings- och beredningsarbete som gäller detta under hösten 2010.
 
För genomförande av informationssäkerhetskraven och mer allmänt den goda informationshantering som föreskrivs i offentlighetslagen är det viktigt för myndigheten att säkerställa att
 
  • de handlingar som myndigheten har i sin besittning är kartlagda och betydelsen av uppgifterna i handlingarna har utvärderats på det sätt som föreskrivs i 1 § i offentlighetsförordningen. De informationssäkerhetsrisker som hänför sig till verksamheten har kartlagts och genomförandet av informationssäkerheten har planerats (4 §, 5 § 1 mom. 1 punkten informationssäkerhetsförordningen),
  • myndigheten till sitt förfogande har tillräcklig sakkunskap för att garantera informationssäkerheten och att uppgifterna och ansvaret gällande skötseln av informationssäkerheten anges,
  • sekretessen i fråga om handlingarna och uppgifterna i dem samt annat skydd garanteras genom att åtkomst till handlingarna endast ges personer som behöver sekretessbelagda uppgifter eller personuppgifter i personregister för att kunna sköta sina arbetsuppgifter,
  • rätten att få uppgifter och uppgifternas användbarhet i olika situationer tryggas och att förfaranden upprättas för att hantera exceptionella situationer,
  • olovlig ändring av uppgifterna och annan olovlig eller obefogad hantering förhindras genom ändamålsenliga säkerhetsarrangemang och andra åtgärder som rör förvaltningen av användarrättigheterna och övervakningen av användningen samt datanäten, informationssystemen och informationstjänsterna,
  • utrymmena för databehandling och förvaring av handlingar är tillräckligt övervakade och skyddade,
  • det vid behov med hjälp av säkerhetsutredningsförfarande och andra förfaringssätt med stöd av lag som finns att tillgå säkerställs att personalen och övriga personer som sköter uppgifter i anknytning till hanteringen av handlingarna är pålitliga,
  • anvisningar och utbildning om behörig hantering av handlingarna och uppgifterna i dem ges personalen och övriga personer som sköter uppgifter i anknytning till hanteringen av handlingar,
  • det övervakas att de utfärdade anvisningarna följs och att behovet av att ändra dem bedöms regelbundet,arrangemang utförs genom vilka det är möjligt att säkerställa att de uppställda informationssäkerhetskraven iakttas även då databehandlingen av myndighetens handlingar sköts på uppdrag av myndigheten, t.ex. av ett serviceföretag för databehandling (6 § informationssäkerhetsförordningen),
  • det säkerställs att tjänstemännen känner till vad klassificeringsanteckningarna betyder och att de inte befriar myndigheten från skyldigheten att bedöma handlingens offentlighet från fall till fall och skilt för varje handling enligt offentlighetslagen och dess praxis då uppgifter ur handlingen begärs med stöd av offentlighetslagen.
Informationssäkerhetsförordningen och denna anvisning är en viktig del av verkställigheten av statsrådets principbeslut den 26 november 2009 om utvecklandet av informationssäkerheten inom statsförvaltningen.
 
Denna anvisning ersätter VAHTI:s tidigare anvisningar Valtionhallinnon tietoaineistojen käsittelyn tietoturvallisuusohje (VAHTI 2/2000) och Arkaluonteiset kansainväliset tietoaineistot (VAHTI 4/2002). Denna anvisning är avsevärt mera omfattande än de tidigare.

 

 

Kort om VAHTI

Finansministeriet (FM) leder och samordnar utvecklandet av den offentliga förvaltning- ens och särskilt statsförvaltningens informationssäkerhet. Ministeriet har tillsatt Ledningsgruppen för datasäkerheten inom statsförvaltningen (VAHTI) som ett organ för samarbete, styrning och utveckling av förvaltningens datasäkerhet. VAHTI behandlar alla viktiga riktlinjer för informationssäkerheten och informationssäkerhetsåtgärder inom statsförvaltningen. VAHTI stödjer med sin verksamhet statsrådet och finansministeriet i beslutsfattandet och beredningen som gäller informationssäkerhetsfrågor.

 
Syftet med VAHTI är att genom utvecklandet av informationssäkerheten förbättra pålitligheten, kontinuiteten, kvaliteten, riskhanteringen och beredskapen inom statsförvaltningens verksamhet samt främja att informationssäkerheten blir en solid del av förvaltningens verksamhet, ledarskap och resultatstyrning.
 
VAHTI främjar verkställandet av regeringsprogrammet, strategin för tryggande av samhällets vitala funktioner (TSVF), statens IT-strategi, statsrådets beslut om målen med försörjningsberedskapen, den nationella informationssäkerhetsstrategin, statsrådets principbeslut om utveckling av statens informationssäkerhet och regeringens övriga centrala linjedragningar genom att utveckla statens informationssäkerhet och med den sammanknutet samarbete.
 
Statsrådet fattade den 26 november 2009 ett principbeslut om utveckling av informationssäkerheten inom statsförvaltningen. Principbeslutet framhäver VAHTI:s roll som ett organ för ledandet, utvecklandet och koordineringen av administrationens informationssäkerhet. Enligt principbeslutet inriktar sektorerna medel och resurser till utvecklandet av informationssäkerheten och till samarbetet som koordineras av VAHTI.
 
VAHTI fungerar som samarbets-, berednings- och styrningsorgan för informationssäkerheten och dataskyddet inom förvaltningen samt främjar utvecklandet av ett nätverksbaserat arbetssätt inom den offentliga förvaltningens informationssäkerhetsarbete.
 
Genom VAHTI:s verksamhet förbättras statens informationssäkerhet, och arbetets effekter kan ses förutom inom förvaltningen även inom företagen och på internationell nivå. Resultatet av VAHTI:s arbete utgörs av omfattande, allmänna datasäkerhetsanvisningar (www.vm.fi/vahti och http://www.vahtiohje.fi). Ministerierna och ämbetsverken har under finansministeriets och VAHTI:s ledning framgångsrikt genomfört flera gemen- samma informationssäkerhetsprojekt samt ett omfattande utvecklingsprogram för statens informationssäkerhet.
 
VAHTI har tre gånger fått hederspris för sitt exemplariska arbete med att förbättra datasäkerheten i Finland.

 

Erkännande

Följande experter har deltagit i översättningen av ”Anvisning om verkställighet av förordningen om informationssäkerheten inom statsförvaltningen ”

 
         Karin Gref
Arkivverket
         Matti Huvila
Åbo Akademi
         Timo Juvonen
Finansministeriet
         Annette Kanerva
Kommunikationsverket
         Ulf Pensar
Svenska handelshögskolan/Vasa Campus
         Juhani Sillanpää
Finansministeriet
         Anneli Tahvanainen
Statsrådets kansli
         Kuno Öhrman
Svenska handelshögskolan

 

 

Tulosta