Asianhallinnan tietoturvallisuutta koskeva ohje

 

Asianhallinnan tietoturvallisuutta koskeva ohje

Puh. (09) 160 33104

ISSN 1455-2566
ISBN 951-804-611-5 (nid.)
ISBN 951-804-612-3 (pdf)

Edita Prima Oy
HELSINKI 2006

Esipuhe

Valtiovarainministeriö (VM) vastaa valtion tietoturvallisuuden ohjauksesta ja kehittämisestä. Ministeriö on asettanut Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) hallinnon tietoturvallisuuden yhteistyön, ohjauksen ja kehittämisen elimeksi. VAHTIssa ovat edustettuina eri hallinnonalat ja -tasot.

VAHTIn tavoitteena on tietoturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta ja jatkuvuutta sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi valtionhallinnon kaikkea toimintaa. VAHTI käsittelee valtionhallinnon tietoturvallisuutta koskevat määräykset, ohjeet, suositukset ja tavoitteet sekä muut tietoturvallisuuden linjaukset. Valtionhallinnon lisäksi VAHTIn toiminnan tuloksia hyödynnetään laajasti myös kunnallishallinnossa, yksityisellä sektorilla, kansalaistoiminnassa ja kansainvälisessä yhteistyössä. VAHTI on tunnettu muun muassa tietoturvajulkaisuista ja -ohjeista sekä tietoturvahankkeistaan (www.vm.fi/vahti).

Valtion tietoturvallisuuden kehitysohjelma on julkaistu VAHTI-julkaisusarjassa nimellä Valtionhallinnon tietoturvallisuuden kehitysohjelma 2004–2006, VAHTI 1/2004. Kehitysohjelmalla kehitetään tietoturvallisuutta laajasti osana kaikkea toimintaa. Kehitysohjelmaan sisältyy kaikkiaan 28 laajaa kehittämiskohdetta, joista osaa toimeenpannaan työryhmien tai jaostojen valmistelussa ja osaa muilla toimenpiteillä.

Kehitysohjelmaan osallistuvat laajasti kaikki hallinnonalat ja lisäksi osassa hankkeita on mukana kuntien ja elinkeinoelämän edustajia sekä ulkopuolisia asiantuntijoita. Hankkeissa on vuonna 2005 ollut mukana valtionhallintotasolla nimettyinä noin 300 osallistujaa. Osa kehitysohjelman kehitystyöstä toteutetaan hanketyöllä ja osa muulla ohjaus-, kehitys- ja yhteistyöllä. Virallisesti asetetut hankkeet löytyvät valtioneuvoston hankerekisteristä (http://www.hare.vn.fi/) VAHTIn (VM166:00/2003) alahankkeina. Seuraavassa kuvassa on esitettyinä kehitysohjelman osa-alueet.

Tämä asiakirjan on laatinut VAHTIn alainen asianhallinnan tietoturvallisuus- työryhmä. Työryhmän työ on osa kehitysohjelman tietoturvallinen viestintä ja asianhallinta- hankealuetta.

VAHTIn toiminnan kokonaisuutta vuodelta 2005 on kuvattuna VAHTIn toimintakertomuksessa (VAHTI 1/2006).

Tiivistelmä organisaation johdolle

Organisaatioiden on toiminnassaan edistettävä asianhallinnan tietoturvallisuutta tukevan toimintakulttuurin luomista ja ylläpitämistä. Tämä edellyttää johdon tukea, riittäviä resursseja, henkilöstön koulutusta, ohjeiden jatkuvaa ylläpitoa sekä valvontaa ja seurantaa. Organisaation johto vastaa toiminnan tietoturvallisuudesta ja tietoturvapolitiikan määrittelemisestä. Johdon tehtävänä on myös määritellä asianhallinnan tavoitetila.

Asianhallinta tarkoittaa organisaation toimintaprosesseihin sisältyvien asioiden ja asiakirjojen käsittelyn ohjaamista niiden koko elinkaaren ajan. Asianhallinta pyrkii tehostamaan asioiden valmistelua, käsittelyä, päätöksentekoa, julkaisemista ja arkistointia sekä asiakirjallisten tietojen hallintaa.

Tämä asianhallinnan ja sitä tukevien tietojärjestelmien tietoturvallisuuden edistämistä käsittelevä ohje on tarkoitettu julkishallinnon organisaatioiden asiakirjahallinnon suunnittelu- ja kehittämistehtävissä sekä tietohallinnossa toimiville henkilöille.

Asiakirjalliset tiedot ovat osa organisaation pääomaa, jolloin niiden laatuvaatimukset on turvattava, käsittelykäytännöt suunniteltava huolellisesti ja suojaaminen varmistettava. Asiakirjallisten tietojen laatuun liittyviä vaatimuksia ovat alkuperäisyyden, eheyden, luotettavuuden ja käytettävyyden takaaminen. Asiakirjallisten tietojen hallintaan ja laatuun liittyvien vaatimusten toteuttaminen on käytännössä pitkälti niiden tietoturvallisuudesta huolehtimista. Nämä vaatimukset sisältyvät myös viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 18 §:ään. Vaatimusten toteuttaminen edellyttää, että

  • organisaation toimintaprosessit ja niihin liittyvät tietojen käsittelyprosessit on kuvattu kattavasti koko elinkaaren ajalta ja prosesseille on nimetty omistajat
  • prosessien omistajat vastaavat prosessien kehittämisestä sekä tietojen käsittelyyn ja käyttöön liittyvistä menettelytavoista
  • organisaatiolla on ajantasaiset tiedot sen tietovarannoista, käsittelemistä asioista ja asioiden käsittelyvaiheista
  • tietojärjestelmistä on laadittu kuvaukset ja julkisia kuvauksia pidetään yleisön saatavilla
  • tietojärjestelmien määrittely- ja suunnitteluvaiheessa selvitetään niiden tietosisällön julkisuus, salassapito ja suojaaminen
  • asiakirjallisen tiedon käsittelijöillä on tarvittava tieto käsiteltävien asioiden julkisuuteen ja salassapitoon, tietojen antamiseen ja suojaamiseen liittyvistä menettelytavoista sekä tietoturvajärjestelyistä
  • asiakirjallisia tietoja käsitellään, rekisteröidään ja arkistoidaan asianmukaisesti
  • tarpeettomat tiedot ja asiakirjat hävitetään asianmukaisesti tietosuoja huomioon ottaen