1 Johdon tiivistelmä

1.1 Ohjeen kohderyhmä

Tämä ohje on suunnattu virastojen johdolle, jolla on vastuu viraston operatii­visesta toiminnasta. Ohje tukee myös henkilöstön perehdyttämistä tietotur­vallisuuteen virastoissa. Henkilöstöturvallisuustyö on osa virastojen kaikkien toimialojen työtä, erityisesti henkilöstöhallintoa, toimitilapalveluja, tietohal­lintoa ja taloushallintoa.

Ohje on luonteeltaan yleinen ja kokonaisvaltainen, henkilöstöstä aiheu­tuvia riskejä tiedoille käsitellään riippumatta tiedon muodosta tai käsitte­lytavasta.

Ohje on tarkoitettu yleisohjeeksi henkilöstöturvallisuuden järjestämisestä virastoissa ja laitoksissa. Vaikka kaikkien virastojen toimintaan ei sisälly kor­kean turvallisuustason vaatimuksia, on tarpeen kuvata myös sellaisia henki­löstöturvallisuuskäytäntöjä, jotka ovat tarpeen eri turvallisuus- tai käyttöluo­kissa. Viraston johto päättää tarvittavien henkilöstöturvallisuusmenettelyjen käyttöönotosta siinä laajuudessa kuin se viraston toiminnan kannalta on tar­koituksenmukaista.

Ohjeessa on kuvattu laajemmin sellaisia osa-alueita, joita muissa ohjeissa ei ole käsitelty yksityiskohtaisesti. Ohjeen näkökulmana on ennaltaehkäisy ja yleisen edun turvaaminen virastojen johtamis- ja tietokulttuurissa. Ohjeessa on kuvattu keskeiset henkilöstöturvallisuuden tekijät ja prosessit sekä virasto­jen ja laitosten avain- ja tukiprosesseihin liittyvät henkilöstöturvallisuustoi­menpiteet.

Työntekijöiden palvelussuhteen ehtoja ei ohjeessa käsitellä. Valtiovarain­ministeriö antaa valtion työnantajapolitiikkaa ja virkaehtosopimuksia koske­vat ohjeet.

 

1.2 Henkilöstöturvallisuuden tavoitteet

Henkilöstöturvallisuudella tarkoitetaan henkilöstöstä aiheutuvien riskien hallintaa; erotuksena henkilöturvallisuudesta, jolla tarkoitetaan henkilöihin kohdistuvien riskien hallintaa. Henkilöstöturvallisuus käsitetään osaksi yleisempää turvallisuuskäsitettä. Tietoturvallisuuden alaterminä henkilöstö­turvallisuudella tarkoitetaan henkilöstöön liittyvien salassapito- ja käytettävyysriskien hallintaa tietoja ja tietojärjestelmiä käytettäessä.

Henkilöstöturvallisuuden merkitys tietojen turvaamiselle on keskeinen. Haasteena henkilöstöturvallisuustoiminnassa on ihminen. Henkilöstö käsittelee tietoja vastaanottamalla, muokkaamalla, tallentamalla, välittämällä ja niiden käsittelyn päätyttyä tuhoamalla niitä. Lisäksi henkilöstöllä on keskeinen rooli tietovarastojen ja -järjestelmien ylläpidossa.

Henkilöstöturvallisuus sisältää kaksi toisistaan riippuvaista vaatimusta:

  • käytettävyysvaatimus ja tietojen eheysvaatimus

  • salassapitovaatimus.

KUVA 1. Henkilöstöturvallisuuden haaste suojata tietoa ja turvata sen saanti

 

Tieto on immateriaalista, sitä voi monistaa ja lähettää ilman, että alkuperäi­nen tieto katoaisi. Toisaalta tieto voidaan helposti kadottaa tai hävittää vahin­gossa. Organisaatioiden sähköisesti ja paperimuotoon tallennettu tietomassa on valtava. Tiedon hallinnasta on tullut organisaatioiden toiminnan keskei­nen haaste.

Henkilöstöturvallisuus on organisaation tietoturvallisuuden keskeinen alue ja se koskettaa kaikkia työntekijöitä. Henkilöstöturvallisuustyö on luonteeltaan ennalta ehkäisevää. Henkilöstöturvallisuuteenkin pätee turvallisuustoimintaa yleisesti kuvaava toteamus, että myös tällä osa-alueella maksetaan enimmäk­seen siitä, että mitään ikävää ei tapahdu.

 

1.3 Johdon rooli virastokulttuurin kehittämisessä ja esimiestyössä

Henkilöstöturvallisuus on usein huomioitu puutteellisesti organisaation koko­naistietoturvaa kehitettäessä. Selkeämmin yksilöitäviin teknisiin tietoturva­alueisiin suuntautuminen ei ole riittävää. Henkilöstöturvallisuustyö edellyttää organisaatiokulttuuriin kajoamista.

Tyytyväinen henkilöstö on pysyvämpää, mikä vähentää henkilöongelmia. Organisaation maine miellyttävänä työpaikkana tuo myös kilpailuetua rekry­tointiin. Puutteellisesta esimiestoiminnasta, työntekijöiden välisistä ristirii­doista tai sisäisestä kilpailusta johtuva stressi ja organisaation ilmapiirin huo­nontuminen, sekä tunne, että omaa työtä ei arvosteta, voivat johtaa työntekijän epätoivoisiinkin tekoihin.

Uutta henkilöä palkattaessa on tehtävästä riippuen syytä tehdä selvityksiä ja testejä henkilön taustojen selvittämiseksi.

Käytettävien menettelyjen on oltava valtion työnantajapolitiikan ja vir­kaehtosopimusten mukaisia. Toimintatavat henkilön irtisanomisen tai irti­sanoutumisen yhteydessä on huolella harkittava. Irtisanomisperusteet on säädetty laissa.

KUVA 2. Esimerkki viraston henkilöstöprosessista. Henkilöstöturvallisuutta erityisesti koskevat osiot on merkitty tumman sinisellä.

 

 

1.4 Henkilöstöriskien hallinta

Tietoturvapolitiikka ja sen osapolitiikat ohjaavat viraston tietoturvatyötä, myös henkilöstöturvallisuutta virastossa. Henkilöstöhallinnon merkitystä tietoturvatyölle ei pidä väheksyä. Henkilöstöturvallisuustyössä on keskeistä suunnitelmallinen ja järjestelmällinen henkilöstön kehittämien, johtaminen ja henkilöstöasioiden hallinto. Puolet kaikista tietoturvarikkomuksista liittyy organisaation menettelytapoihin.

Johdon on tiedettävä, että ainoastaan laissa tarkoin määrätyillä valtuuksilla voidaan tehdä toimenpiteitä, jotka kohdistuvat henkilöiden perusoikeuksiin. Ohjeessa on esitetty keskeinen henkilöstöturvallisuutta koskeva lainsäädäntö sekä EU:n turvaluokiteltuja tietoja koskevat velvoitteet.

Viraston tietoturvallisuuden henkilöstöturvallisuutta käsittelevässä osapo­litiikassa on määriteltävä periaatteet siitä, kenellä tai millä ryhmillä on oikeus käsitellä tietoja ja miten pääsyoikeusvaltuudet ratkaistaan. Virastojen on myös määriteltävä henkilöstönsä osaamisprofiilit. Tietoa on suojattava yhtäläisesti riippumatta siitä, kenen hallussa tai missä muodossa tieto on. Tiedon voi omis­taa virasto tai laitos, yritys tai yhteisö, tai yksityinen henkilö. Tiedon omistaja voi olla muukin taho kuin virasto, jolloin virasto on ainoastaan tiedon haltija, jolloin omistaja päättää tietojensa luokituksesta ja siten niiden käsittelystä.

Henkilöstöturvallisuuden tilaa voidaan arvioida ja laatia riskikartoituk­sia. Kartoitusten ja tarkastuslistojen käytettävyydestä on hyvin konkreettisia ja mitattavissa olevia tuloksia. Henkilöstöturvallisuuden osa-alueiden mittaa­minen on haasteellisempaa ja muihin tietoturvallisuuden osa-alueisiin verrat­tuna vaikeampaa.

Tietojen käsittelyn suoritukset muodostavat käsittelyketjuja. Käsittelyketjun turvaamiseksi on käytettävä turvaohjausmekanismeja, joilla ohjataan käsitte­lyketjujen turvallisuutta. Käsittelyketjut on suunniteltava turvallisiksi työpro­sessien suunnittelun yhteydessä

Viraston johdon on huolehdittava, että vain ne, joilla on tarve ja kyky käsi­tellä salassa pidettävää tietoa, saavat tiedon ja huolehtivat sen salassa pysymi­sestä. Henkilöstön tehtävän vaativuuksia määritettäessä tulee ottaa tarvittavassa laajuudessa huomioon salassapito- ja käytettävyystarpeet ja arvioitava henkilöi­den soveltuvuutta työtehtävään. Viraston tulee tällöin määrittää henkilöstönsä tehtävänkuvauksiin niiden edellyttämät turvallisuusvaatimukset (’tehtävän turvallisuusluokka’). Henkilön sopivuutta selvitettäessä on arvioitava henkilön luonteen ominaisuuksia ja käytettävä taustaselvityksiä (’henkilön arviointi’). Tehtävän niin edellyttäessä on lisäksi pyydettävä poliisiviranomaiselta turval­lisuusselvitys (´turvallisuusselvitys´). Oikeuksien myöntämisen eli valtuutta­misen edellytyksenä on ensisijaisesti työtehtävän edellyttämä tarve. Pääsyä on tarkoituksenmukaisesti rajoitettava vuorokauden ajan ja toistuvuuden perus­teella sekä määritettävä pääsymenettelyt poikkeustilanteille.

Viraston tulee myös päättää, mitä pääsynrajoitusmekanismeja se käyttää. Pakollinen pääsyn rajoitusmekanismi soveltuu parhaiten korkean turvallisuus­tason resurssien turvaamiseen. Pääsyoikeuslistojen käyttö on yleistä, mutta nii­den ylläpito ja muutosten hallinta on hankalaa. Rooliperusteinen pääsyn rajoi­tusmekanismi on yleisin, mutta se soveltuu matalan turvallisuustason resurssien turvaamiseen helpon hallittavuutensa ja yleispätevyytensä johdosta.

Ohjeessa on myös käsitelty riskikartoitusta, ostopalvelujen turvallisuutta, valtuuksien hallintaa ja tunnistamista.

Ohje ei käsittele teknisiä henkilöstöturvallisuuden toteuttamisessa tarvitta­via teknisiä ratkaisuja muutoin kuin muutaman toimintokriittisen esimerkin valossa luvuissa 4.11 (käyttövaltuuksien hallinta tietojärjestelmäympäristössä) ja 4.12 (turvallisen pääsynvalvonnan toteuttaminen) sekä liitteessä 5 (henkilöi­den fyysisiin tiloihin pääsyn valvonta).

 

Vahti- ylläpito08.10.2009 / 11:46:57
Tulosta