Saatavana elektronisessa muodossa - Tietojenkäsittelytieteiden ...

483.8. Hallinnollinen turvallisuusHallinnollisen turvallisuuden tarkoituksena on ensisijaisesti tietoturvallisuudenperusasioiden sisällyttäminen johtamistoimintaan [Haarmanen, 1998].Hallinnollisen turvallisuuden kehittäminen on todettu keskeiseksi kohteeksiniin julkishallinnossa kuin yksityiselläkin sektorilla. Hallinnollisenturvallisuuden tehtävänä on määritellä suuntaviivat ja toimenpiteet sekätietoturvavastuut [Paavilainen, 1999]. Perustana hallinnolliselle turvallisuudelleovat tietoturvapolitiikka sekä riskianalyysit [Valtiovarainministeriö, 2006b].Alla käydään läpi tietoturvapolitiikan roolia, riskianalyyseja käsitelläänseuraavassa luvussa.Tietoturvapolitiikka on johdon lausunto siitä, miten organisaatiossa tuleetoteuttaa tietoturvallisuutta. Politiikka toimii ohjeistona tietoturvaa kehittävälleja ylläpitävälle henkilöstölle ja se on yhtä lailla sitova kuin organisaationtoimintaa säätelevät lait ja muut säädökset. Standardista politiikka eroaa siinäsuhteessa, että politiikka on korkeamman tason lausuma, joka on voimassauseita vuosia, kun taas standardissa määritellään teknologioita, metodologioita,käytäntöjä ja muita tarkempia yksityiskohtia. [Boyce and Jennings, 2002].Blakley ja muut [2001] määrittelevät politiikan yksinkertaisestidokumenttina, jossa määritellään luottamuksellisen tiedon käyttövaltuudet:”policies describe who should be allowed to do what to sensitive information.”Organisaation on itse luotava tietoturvapolitiikka, koska ulkopuolinenpystyy korkeintaan luomaan kehyksiä, joiden mukaan toimintaa kehitetään.Johdon tuki ja sitoutuminen on kaikkein tärkeintä tietoturvatyössä ja se näkyyorganisaatiossa esimerkiksi siten, että tietoturvatyöhön on varattu tarvittavatresurssit ja tarvittaviin toimenpiteisiin ryhdytään viivytyksettä. [Kajava, 2003].