Saatavana elektronisessa muodossa - Tietojenkäsittelytieteiden ...

58asiantuntijana ja hän arvioi tietojärjestelmän soveltuvuutta tiedon käsittelyyn jaluottamuksellisuusvaatimuksiin. Omistaja katselmoi tietyin väliajoin tietojen jajärjestelmien pääsyoikeudet. Omistaja luo asiakirjoista julkisen version, jokavoidaan pyydettäessä antaa kansalaisen nähtäväksi (salaisen tiedonpeittäminen muuten julkisesta asiakirjasta).Edellä mainittu lauseke on kirjattu tietoturvapolitiikkaan, joka tulee vielähyväksyttää kuntajohdolla.Omistajuuden määrittely vaihtelee eri julkaisuissa. Omistajan määrittelyosoittautui välillä työryhmässä jopa vaikeaksi, koska omistajan tehtäviä ei ollutennalta määritelty tarkkaan. Yllä oleva tehtävämäärittely syntyi vastatyöryhmätyöskentelyn jälkeen. Tietoturvapolitiikkaan määriteltiin erikseenesimiehen tehtäviin kuuluvia asioita, jotka monissa julkaisuissa oli määriteltyomistajan tehtäviin, kuten sääntöjen noudattamisen valvonta, tietoturvaasioihinperehdyttäminen työhönoton yhteydessä sekä käyttäjänhallinnankontrollointi omassa yksikössään. Usein kuitenkin esimies ja omistaja ovatsama henkilö, jolloin tehtävänkuva on laajempi.4.3.2.2 Riskien arviointiprosessiRiskien arviointi on osa organisaation tietoturvallisuusvaatimustenkeräämistä. Riskien arviointiin kuuluivat uhkien tunnistaminen, riskientodennäköisyys- ja vaikutusarvioinnit sekä näiden perusteella tehty riskienpriorisointi riskikarttaan. Riskien arviointi toteutettiin vain projektin vetäjienkeskinäisessä palaverissa kertaalleen. Työryhmään olisi kuitenkin hyvä ottaamukaan otetaan ainakin yksi henkilö jokaisesta organisaationtoimintayksiköstä, jotta erilaiset riskitilanteet pystytään kartoittamaankattavasti.Saadut tulokset dokumentoitiin ja tarkistettiin vielä lopuksi tulostenrealistisuus keskustelussa. Tulokset käytiin elokuussa läpi myös kunnanjohtoryhmässä. Ryhmä kommentoi jonkin verran uhkientodennäköisyysarvioita. Esimerkiksi laiterikon todennäköisyys, kerranvuodessa, herätti kysymyksiä. Ehkä jollakin toimialalla laiterikko onaiheuttanut enemmänkin päänvaivaa ja riskejä arvioivat henkilöt eivät tästäolleet tietoisia. Tällaisten epätarkkuuksien välttämiseksi riskejä arvioimassatulisi olla henkilöt kaikista toimintayksiköistä.