Saatavana elektronisessa muodossa - Tietojenkäsittelytieteiden ...

61vaikutuksia näihin. Riskilistan hyödyntäminen käytännössä tehdäänkehittämissuunnitelmaa laadittaessa. Suunnitelmassa tulisi näkyätoimenpiteitä, jotka puuttuvat kriittisiin toimintoihin kohdistuviinavainriskeihin. Asiakasorganisaatiossa esimerkiksi merkittävimmän riskin,käyttö-, käsittely- ja operointivirheet, vähentämiseksi aiotaan kehittääohjeistoja, dokumentaatioita sekä kouluttaa henkilökuntaa. Lisäksijärjestelmähankintojen yhteydessä on kiinnitettävä entistä enemmän huomiotajärjestelmien helppokäyttöisyyteen.4.3.3. Vaihe 3. Nykytilan kartoitusTietoturvallisuuden nykytilanne asiakasorganisaatiossa arvioitiinkäyttämällä VAHTI-julkaisun Tietoturvallisuuden arviointi valtionhallinnossa[Valtiovarainministeriö, 2006b] tarkistuslistoja, jotka kattavattietoturvallisuuden eri osa-alueet. Muissa julkaisussa olevat kysymyslistatolivat sisällöltään hyvin samankaltaiset VAHTIn tarkistuslistojen kanssa, jotenVAHTIn lista riittää yksin kartoitusvälineeksi. Kysymykset käytiin läpitalousjohtajan ja atk-vastaavan kanssa. Osaan kysymyksistä tarvittiinvastauksia hallintojohtajalta. Tietoliikenneturvallisuuden arviointi oli hankalaa,koska tietoliikenne on ulkoistettu ja toimittajalta ei ole saatu verkondokumentaatiota. Tietoliikennejärjestelyt todettiinkin tästä syystä sekäjakeluverkon häiriöriskin suuruuden vuoksi erittäin kiireelliseksikehittämiskohteeksi.Tarkistuslistoista karsittiin osa kysymyksistä pois, mikäli katsottiin, että neolivat hyödyttömiä organisaation nykytilanteessa. Esimerkiksi etätyö eikartoitushetkellä ollut organisaatiossa mahdollista, joten päätettiin, ettäetätyötä koskeva analyysi tehdään siinä vaiheessa, kun etätyön tekomahdollistetaan työntekijöille. Sähköistä asiointia puolestaan ei ole arvioitu,koska sähköisen asioinnin ratkaisuja organisaatiossa ei vielä ole käytössä.VAHTIn tarkistuslistoissa on kysymyksiä yhteensä 730 kappaletta, joistakartoitusvaiheessa käytiin läpi noin 80 prosenttia.Vaatimusten keräämiseen kuului myös tilojen tarkastaminen ja olemassaolevan dokumentaation läpikäynti. Tilojen tarkastuksessa löytyi muutamaselkeä kehittämiskohde, kuten sisäisen postilaatikon sijoituspaikka,kunnanviraston asiakasneuvonta ja laitteistotilojen siisteys. Dokumentaatiotatietojärjestelmistä, käytännöistä, tietoturvasta tms. ei löytynyt.