DATASÄKERHET OCH RESULTATSTYRNING

 

DATASÄKERHET OCH RESULTATSTYRNING

Förfrågningar
vahtijulkaisut@vm.fi
Taitto VM/Viestintä
ISSN 1455-2566
ISBN 951-804-444-9
Edita Prima Ab
HELSINGFORS 2004

Keskustelualueet

DATASÄKERHET OCH RESULTATSTYRNING

Finansministeriet lämnar bifogade datasäkerhetsrekommendation (nedan rekommendation) som gjorts upp av Ledningsgruppen för datasäkerheten inom statsförvaltningen VAHTI, som tillsatts av och verkar under ledning av fi nansministeriet. Rekommendationen kompletterar fi nansministeriets omfattande existerande datasäkerhetsanvisningar och ersätter FM:s tidigare datasäkerhetsrekommendation ”Tietoturvallisuuden tulosohjaus ja kehittämisvälineet” (Datasäkerhetens resultatstyrning och verktyg för utveckling) (FM:s VAHTI-publikation 2/1997).

Datasäkerheten ökar kvaliteten, effektiviteten och produktiviteten av förvaltningens tjänster. En tillräcklig nivå på datasäkerheten är en nödvändig förutsättning för organisationernas kontinuerliga verksamhet och en tryggad verksamhetsförmåga. Utvecklingen av datasäkerhetens resultatstyrning är högt prioriterad inom den totala utvecklingen av statens datasäkerhet, vilken beskrivits bl.a. i utvecklingsprogrammet för statsförvaltningens datasäkerhet (FM:s VAHTI-publikation 1/2004).

I rekommendationen har i koncis form framförts de centrala principerna för utvecklandet av datasäkerheten samt deras förbindelse med resultatstyrningen, ledningen av ämbetsverken och utvärderingen av verksamheten. Datasäkerheten är en viktig del av den normala utvecklingen av tjänsterna och verksamheten, varför den bör ingå även i resultatstyrningen. Väsentligt är att datasäkerheten i fråga om resultatavtal och -styrning binds samman med organisationernas verksamhetsmässiga mål.

Rekommendationen kommer på webbsidorna av fi nansministeriet, vilka fi nns på adressen www.vn.Þ  och www.fi nansministeriet.fi /datasakerhet

Rekommendationen utvecklas vid behov bl.a. på grundval av den respons som erhålls. Respons kan sändas till fi nansministeriets avdelning för utvecklande av förvaltningen(hko@vm.Þ ).

Sammandrag

En tillräcklig nivå på datasäkerheten är en nödvändig förutsättning för en kontinuerlig och trovärdig verksamhet. Datasäkerheten ökar ämbetsverkens och inrättningarnas för­måga att betjäna och förbättrar verksamhetens effektivitet och kvalitet. Betydelsen av da­tasäkerheten i ledningen av en organisation och i tryggandet av handlingsförmågan samt i upprätthållandet av en störningsfri och resultatgivande verksamhet är ständigt betonad. I rekommendationen har i koncis form framförts de centrala principerna för utvecklandet av datasäkerheten samt deras förbindelse med resultatstyrningen, ledningen av ämbets­verk och utvärderingen av verksamheten. I rekommendationen granskas datasäkerheten och dataförvaltningen som en del av ämbetsverkens och inrättningarnas ledning, produk­tion av tjänster och kvalitetskontroll.

Med hjälp av datasäkerhet garanteras integriteten, användbarheten och tillförlitlighe­ten av den information som hanteras i organisationen. Datasäkerheten är ett mycket om­fattande begrepp. Dess olika delområden, såsom den administrativa säkerheten, perso­nalsäkerheten, den fysiska säkerheten, säkerheten i datatrafi ken, anläggningssäkerheten, programsäkerheten, datamaterialsäkerheten och brukssäkerheten bildar, då de dokumen­terats på ett omfattande sätt och administrerats väl, en stark grund för en kontinuerlig och tillförlitlig samt effektiv och resultatgivande verksamhet.

Datasäkerheten och en kontinuerlig förbättring av denna är inte en verksamhet med egenvärde, men säkerheten har en central betydelse t.ex. då tillförlitliga elektroniska tjäns­ter erbjuds. Med hänsyn till medborgarna och dem som utnyttjar tjänsterna är förvaltning­ens uppgift att producera sådana elektroniska tjänster, på vilkas säkerhet kunden kan lita och vilka produceras så att medborgarnas grundläggande rättigheter beaktas.

I rekommendationen hanteras datasäkerheten enligt följande indelning: – datasäkerheten preciseras som en helhet

– de allmänna principer som hänför sig till säkerheten framförs genom att OECD:s re­kommendation kring temat begagnas som underlag

– den nationella datasäkerhetsstrategins riktlinjer granskas som en bakgrundsfaktor

– datasäkerheten placeras i en resultatstyrningsram mellan ministeriet och ämbetsver­ket

– hanteringen av datasäkerheten beskrivs som en intern ledningsprocess för ämbets 
verket inklusive både politik och anvisningar samt kontroll och utvärdering.

Rekommendationens bilagor omfattar ett exempel på behandlingen av datasäkerhetsfrå­gor i en ledningsmodell (Bilaga 1) som baserar sig på ett balanserat resultatkort (BSC) samt vid en utvärdering på basis av kvalitetssystem (Bilaga 2).

Det centrala innehållet i rekommendationen Datasäkerhet och resultatstyrning har kon­centrerats i följande åtta punkter:

Rekommendation 1. Datasäkerheten är en del av förvaltningens resultatstyrning, där ämbetsverkets eller inrättningens verksamhet granskas som en helhet och flera olika in­fallsvinklar begagnas för att ställa resultatmålen (verkan, effektivitet, kvalitet och psykis­ka resurser). Strävan med resultatstyrningen är att för sin del förstärka god förvaltnings­sed.

Rekommendation 2. Datasäkerheten är en omfattande funktionell helhet som baserar sig på organisationens säkerhetskultur och människans verksamhet.

Rekommendation 3. Inom statsförvaltningen följs de principer för säkerhetskulturen som rekommenderats av OECD.

Rekommendation 4. En nationell datasäkerhetsstrategi skapar ett gemensamt under- lag för ett omfattande arbete för utveckling av datasäkerheten.

Rekommendation 5. Datasäkerheten är en del av den normala utvecklingen av verk­samheten, riskkontrollen och resultatstyrningen, varigenom man kan utnyttja både kvali­tativa och kvantitativa data och mätinstrument som baserar sig på dessa.

Rekommendation 6. Vid förbättrandet av datasäkerheten skall ämbetsverken och in­rättningarna i första hand trygga de centrala huvuduppgifterna och precisera den datasä­kerhetspolitik som styr hela verksamheten. För datasäkerheten svarar på sin sida alla de som arbetar inom organisationen.

Rekommendation 7. Datasäkerheten är en del av utvecklandet av de offentliga tjäns­terna, där det centrala är tjänsternas användbarhet, medborgarnas grundläggande rättig­heter och god datahanteringssed.

Rekommendation 8. Det är ledningens uppgift att starta interna och externa evalue­ringar, förstärka utvärderingskompetensen och sörja för att utvärderingsresultaten behö­rigen behandlas som en del av ledningen och resultatstyrningen.

 

Tulosta