Saatavana elektronisessa muodossa - TietojenkÃ¤sittelytieteiden ...

More documents

Recommendations

Info

56Tiedon salassapitoluokituksen perusteena on kunnassa lähinnälainsäädäntö. Asiakkaiden henkilötiedot, terveydentilaa tai taloudellista tilaakoskevat tiedot yms. ovat erittäin arkaluonteista aineistoa, jonka suojaaminenluvattomalta pääsyltä on hyvin tärkeää. Esimerkiksi sosiaalitoimen tiedoistasuurin osa luokiteltiin erittäin salaiseksi. Myös sopimuksissa ja hankintaanliittyvissä asiakirjoissa saattaa olla asiakkaiden liikesalaisuuksia, jolloin kyseisetasiakirjat luokitellaan erittäin salaisiksi. Lisäksi erittäin salaiseksi luokiteltiinmm. organisaation turvallisuutta koskeva aineisto, kutentietoturvasuunnitelmat. Salassapitoluokitus on kuvattu taulukossa 8.Salassapitoluokka Lyhenne EsimerkkejäERITTÄINES esim. henkilöön liittyvät terveystiedot taihenkilölle maksetut etuudet. Ks. LakiSALAINENviranomaisten toiminnan julkisuudesta621/1999 §24. Tieto on erittäinluottamuksellista ja väärinkäytettynä se voiaiheuttaa merkittävää vahinkoa. Tietoa ei saanäyttää ulkopuolisille ja omallehenkilöstöllekin erittäin rajoitetusti.SALAINEN S esim. valmistelussa olevat asiat. Tiedonpaljastamisesta koituu haittaa organisaatiolle.Tietoa ei saa näyttää ulkopuolisille, muttaomalle henkilöstölle sen voi näyttääorganisaation toiminnan turvaamiseksi.SISÄINEN Si esim. organisaation sisäinenkoulutusmateriaali. Tiedon paljastamisesta eiole hyötyä eikä haittaa organisaatiolle. Tietoon organisaation sisäiseen käyttöön luotua jakoskee organisaation toimintaa. Tietoa saajulkistaa vapaasti organisaation sisällä jatarvittaessa ulkopuolisille.JULKINEN J esim. www-sivustolla olevat tiedot japöytäkirjat. Julkishallinnossa kaikki tieto onpääsääntöisesti julkista. Julkisen tiedonpaljastaminen on hyödyllistä organisaatiolle.Julkinen tieto on tarkoitettu näytettäväksi jasaataville.Taulukko 8. Salassapitoluokitus.Salaisen ja erittäin salaisen aineiston erottelu ei ole yksiselitteistä. Käytössäsiis oli asiakasorganisaatiossa neliportainen asteikko, mutta selkeämpää onkäyttää kolmiportaista asteikkoa, jolloin yhdistetään nämä kaksisalaisuusluokkaa ja otetaan käyttöön vain luokka salainen. Lopullisessa
57prosessimallissa, jonka toimitin tilaajalle, käytin kolmiportaistasalassapitoluokittelua: julkinen tieto, salainen tieto ja sisäinen tieto.Sisäistä tietoa ovat tiedot, joita käytetään organisaation toiminnassa, muttajotka eivät liity organisaation ydintoimintaan. Sisäinen tieto ei lain[Julkisuuslaki, 1999] mukaan ole julkista tai salaista.Viranomaisen tieto on salassa pidettävää ainoastaan julkisuus- jasalassapitosäädösten mukaisesti, muuten se on julkista [Julkisuuslaki, 1999]. Onsiis tärkeää tunnistaa salassapidettävä aineisto, koska kansalaisilla on oikeussaada tieto julkisesta asiakirjasta ja tällaisessa tilanteessa on tiedettävä, mitätietoa pyydettäessä voidaan antaa ja mitä ei. Huomattava on se, että julkisessaasiakirjassa saattaa olla myös salaista tietoa, esimerkiksi henkilötunnus, jokajulkisesta asiakirjasta on peitettävä, kun kansalainen pyytää muuten julkistaasiakirjaa nähtäväkseen. Selkeintä on, että tiedon omistaja tuottaa tällaisestaasiakirjasta julkisen version.Salassapitoluokitus kirjataan arkistonmuodostussuunnitelmaan. Lisäksiolisi hyvä kirjata salassapidon peruste, esimerkiksi lainkohta, johon perustuensalassapito on määritelty.Salassapitoluokitus on perusteena tietojen käsittelysääntöjen luomiselle.Asiakasorganisaatiossa käsittelysääntöjen luominen kirjattiintietoturvallisuussuunnitelmaan kiireellisenä kehittämiskohteena. Tämänprosessin aikana saatiin siis aikaan luokitus, mutta sääntöjen ja ohjeidenlaatiminen ovat jatkotoimenpiteitä, eivätkä osa tätä tutkimusprosessia.Tietojenkäsittelyprosessien tunnistaminen tehdään tässä prosessinvaiheessa. Tämän tutkimuksen aikana käytiin vain pääpiirteittäin sanallisestiläpi tiedon omistajien kanssa, missä tietoja kulkee ja missä niitä säilytetään.Oma projektinsa asiakasorganisaatiossa tulisikin olla tulevaisuudessa tärkeidenprosessien kuvaaminen ja tietovirtojen tunnistaminen sekä tiedon elinkaarenmäärittely näistä prosesseista.Hyvän tiedonhallintatavan asettama perusvaatimus on, että kaikillaorganisaation tiedoilla ja tietoja hallinnoivilla järjestelmillä on vastuullinenomistaja [Valtiovarainministeriö, 2006c]. Työryhmissä määriteltiin tiedoilleomistaja, jonka tehtävä määriteltiin asiakasorganisaatiossa alustavastiseuraavasti:Tiedolle on määriteltävä omistaja, joka vastaa siitä, että tieto on oikein jaajan tasalla. Tiettyyn tehtävään tai prosessiin liittyvä tieto voi ollasovelluksessa, asiakirjoissa tai henkilöstön tiedossa muutoin. Omistaja onhenkilö, joka ensisijaisesti luo tai tuottaa tiedon. Omistaja on yleensä sehenkilö, joka tuntee parhaiten kyseisen tiedon käsittelyprosessin.Tietojärjestelmähankkeissa tiedon omistaja on mukana tiedonkäsittelyprosessin
Page 1 and 2:
Tietoturvallisuuden hallinnan kehit
Page 3 and 4:
iiiSisällys1. Johdanto ...........
Page 5 and 6:
v6. Yhteenveto ....................
Page 8 and 9:
2Kuva 1. Tietoturvallisuuden hallin
Page 10 and 11:
4Sähköisen viestinnän tietosuoja
Page 12 and 13: 6Private sectorPublic sectorCompeti
Page 14 and 15: 1.4. Tietoturvallisuuden tila kunni
Page 22 and 23: 16Kuva 4. Tietojärjestelmätieteen
Page 24 and 25: 18organisaatiota muutoksen toteutuk
Page 26 and 27: 202. Tietoturvallisuuden hallinnan
Page 28 and 29: 22tietoturvallisuutta tarkastelevia
Page 30 and 31: 24Varsinainen CIA-lyhenne on voinut
Page 32 and 33: 262.2.3. KäytettävyysTässä tutk
Page 34 and 35: 28Kuva 5. Tietoturvallisuuden halli
Page 36 and 37: 30Kuva 6. Sisäisen valvonnan vastu
Page 38 and 39: 32otetaan mukaan tekniset viat. Mä
Page 40 and 41: 34tekniset viat tai sääilmiöt. [
Page 42 and 43: 36Lisäksi tarvitaan vahingon suuru
Page 44 and 45: 38Hallinnollinen turvallisuusHenkil
Page 46 and 47: 40Tietoturvariskit ovat suurimpia e
Page 48 and 49: 42Siihen liittyvät myös käyttäj
Page 50 and 51: 44käytännön työt [Arkistolaki,
Page 52 and 53: 46turvallisuuspiirteet tulee selvit
Page 54 and 55: 483.8. Hallinnollinen turvallisuusH
Page 56 and 57: 50Johdanto-luvussa esitettyjä tulo
Page 58 and 59: 524.3.1. Vaihe 1. Prosessin käynni
Page 60 and 61: 54projektissa ei arvioitu etätyöt
Page 64 and 65: 58asiantuntijana ja hän arvioi tie
Page 66 and 67: 60Jakeluverkon häiriö(sähkö,tie
Page 68 and 69: 62Nykytilanne on kuvattu liitteess
Page 70 and 71: 64Kohdeorganisaatio arvioi prosessi
Page 72 and 73: 66muutama avainhenkilö esimerkiksi
Page 74 and 75: 685. Tietoturvallisuuden johtamis-
Page 76 and 77: 70o Asiakokonaisuuso Asiakirjan nim
Page 78 and 79: 72oleviin toimintamalleihin. Esimer
Page 80 and 81: 745.4. Vaihe 4. Tietoturvallisuussu
Page 82 and 83: 76Tietoturvapolitiikka laaditaan vi
Page 84 and 85: 786. Yhteenveto6.1. Tutkimuksen tot
Page 86 and 87: 80ottaa tarkasteluun vieläkin pien
Page 88 and 89: 82projekti on organisaatiokohtainen
Page 90 and 91: 84Viiteluettelo[Alberts et. al., 20
Page 92 and 93: 86[Henkilötietolaki, 1999] Henkil
Page 94 and 95: 88Computer Security Conference, Oct
Page 96 and 97: 90[Sosiaali- ja terveysministeriö,
Page 98 and 99: LukuAlaluku Toiminnot Asiakokonaisu
Page 100 and 101: UHKARiskiluku =Todennäköisyys1+ V
show all

Saatavana elektronisessa muodossa - TietojenkÃ¤sittelytieteiden ...

Create successful ePaper yourself

Delete template?

Save as template?