Tietoturvatavoitteiden asettaminen ja mittaaminen

 

Tietoturvatavoitteiden asettaminen ja mittaaminen

Julkaisun tilaukset
Puh. (09) 160 33287
fax (09) 160 33235

ISSN 1455-2566
ISBN 951-804-622-0(nid.)
ISBN 951-804-623-9(pdf)

Edita Prima Oy
HELSINKI 2006

Keskustelualueet

Esipuhe

Valtiovarainministeriö (VM) vastaa valtion tietoturvallisuuden ohjauksesta ja kehittämisestä. Ministeriö on asettanut Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) hallinnon tietoturvallisuuden yhteistyön, ohjauksen ja kehittämisen elimeksi. VAHTIssa ovat edustettuina eri hallinnonalat ja -tasot.

VAHTIn tavoitteena on tietoturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta ja jatkuvuutta sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi valtionhallinnon kaikkea toimintaa. VAHTI käsittelee valtionhallinnon tietoturvallisuutta koskevat määräykset, ohjeet, suositukset ja tavoitteet sekä muut tietoturvallisuuden linjaukset ja toimenpiteet. Valtionhallinnon lisäksi VAHTIn toiminnan tuloksia hyödynnetään laajasti myös kunnallishallinnossa, yksityisellä sektorilla, kansalaistoiminnassa ja kansainvälisessä yhteistyössä. VAHTI on tunnettu muun muassa tietoturvajulkaisuista ja –ohjeista sekä tietoturvahankkeistaan (www.vm.fi/vahti).

Valtion tietoturvallisuuden kehitysohjelma on julkaistu VAHTI-julkaisusarjassa nimellä Valtionhallinnon tietoturvallisuuden kehitysohjelma 2004–2006, VAHTI 1/2004. Kehitysohjelmalla kehitetään tietoturvallisuutta laajasti osana kaikkea toimintaa. Kehitysohjelmaan sisältyy kaikkiaan 29 laajaa kehittämiskohdetta, joista osaa toimeenpannaan työryhmien tai jaostojen valmistelussa ja osaa muilla toimenpiteillä.

Kehitysohjelmaan osallistuvat laajasti kaikki hallinnonalat ja lisäksi osassa hankkeita on mukana kuntien ja elinkeinoelämän edustajia sekä ulkopuolisia asiantuntijoita. Hankkeissa on vuonna 2005 ollut mukana valtionhallintotasolla nimettyinä noin 300 osallistujaa. Osa kehitysohjelman kehitystyöstä toteutetaan hanketyöllä ja osa muulla ohjaus-, kehitys- ja yhteistyöllä. Virallisesti asetetut hankkeet löytyvät valtioneuvoston hankerekisteristä (http://www.hare.vn.fi/) VAHTIn (VM166:00/2003) alahankkeina. Seuraavassa kuvassa on esitettyinä kehitysohjelman osa-alueet.

Tämä asiakirjan on laatinut VAHTIn alainen tietoturvallisuuden tulosohjaus ja mittaustyöryhmä. Työryhmän työ on osa kehitysohjelman tietoturvakulttuurin luominen- hankealuetta.

VAHTIn toiminnan kokonaisuutta vuodelta 2005 sekä hankkeiden tavoitteita on kuvattuna VAHTIn toimintakertomuksessa (VAHTI 1/2006).

Johdon tiivistelmä

Tietoyhteiskuntaohjelmassa hallitus on asettanut tavoitteeksi kehittää kansalaisten tietoyhteiskuntavalmiuksia ja turvallista tietoyhteiskuntaa. Hallitus haluaa varmistaa, että Suomi pysyy tietoturvallisena, tietoturvallisuuden kilpailukyky on kunnossa ja että tietoturvallisuuteen liittyvät osaaminen ja tietoisuus ovat korkeaa tasoa.

Valtiovarainministeriö ohjaa ja yhteen sovittaa valtionhallinnon tietoturvallisuutta ja sen kehittämistä. Valtionhallinnon tietoturvallisuuden kehitysohjelmassa 2004–2006 (Vahti 1/2004) tärkeimmät kehityskohteet on jaettu kuuteen hankealueeseen. Näistä ensimmäinen on tietoturvakulttuurin luominen, jota tämä julkaisu käsittelee tietoturvallisuuden tulosjohtamisen näkökulmasta. Ohje on tarkoitettu virastojen ylimmälle johdolle, riskienhallinnan koordinaattoreille, tietohallintojohdolle, tietoturvapäälliköille ja tietoturvallisuuden kehittämisestä vastaaville.

Tietoturvallisuuden merkitys organisaatioille lisääntyy toimintojen digitalisoitumisen seurauksena. Verkkopalveluiksi kehitetyt asiakaspalvelut, organisaatioiden välinen viestintä, tiedonsiirto ja toimintaprosessien yhteen liittäminen ovat nykytilassa osa normaalia palvelujen tuotantotapaa.

Hyvän hallintotavan (corporate governance) vaatimusta ja riskienhallinnan merkitystä korostetaan sekä kotimaisessa että kansainvälisessä keskustelussa. Valtion talousarviosta annetun asetuksen mukaan toimintakertomuksen tulee sisältää arviointi sisäisen valvonnan ja siihen sisältyvän riskienhallinnan asianmukaisuudesta ja riittävyydestä - tämä koskee myös tietoturvariskejä.

Tietoturvatyön päämääränä on vähentää toimintaan kohdistuvia häiriöitä. Tietoturvallisuuden strategisena kehittämistavoitteena on organisaation riskienhallintaa palvelevan tietoturvallisuuden johtamis- ja hallintajärjestelmän luominen. Tässä dokumentissa on esitetty vaiheistukseen perustuva malli tämän järjestelmän rakentamiseksi. Tietoturvatyötä voidaan johtaa tulosohjauksen keinoin asettamalla sen kehittämiselle ja laadulle useampivuotisia ja vuositavoitteita sekä mittaamalla ja arvioimalla aikaansaatuja vaikutuksia.

Tietoturvallisuuden tavoitetaso ja mittarit suhteutuvat organisaation tietointensiivisyytt ä ja tietoturvatyön kehitystilannetta vasten; tietointensiivisillä organisaatioilla tavoitetaso on muita korkeampi. Tässä raportissa esitetyt mittarit perustuvat pääosin Väestö- rekisterikeskuksen ja Poliisin tietohallintokeskuksen käytännön kokemuksiin toimivista seurantamittareista. Tyypillisiä seurantakohteita ovat tietoturvapoikkeamat, niiden hallinta ja tietoturvatoiminnan laajuus.

Käytännön tason arviointi- ja mittaustilanteita varten VAHTI -työryhmät ovat tuottaneet useita eri tilanteisiin sopivia ohjeita ja suosituksia, joista pian julkaistava ohje tietoturvallisuuden arvioinnista valtionhallinnossa (VAHTI -ohje, 8/2006) soveltuu hyvin tietoturvatoiminnan laadun ja sisällön arviointitilanteisiin.

Merkittävän osan tiedonhallintapalveluista tuottavat sopimustoimittajat. Tietoturvapalvelujen ja tietoturvatyön tavoitteiden sisällyttämistä sopimuksiin on käsitelty VAHTI -ohjeessa Muutos ja tietoturvallisuus (VAHTI -ohje, 7/2006)

Tulosta