Saatavana elektronisessa muodossa - TietojenkÃ¤sittelytieteiden ...

More documents

Recommendations

Info

66muutama avainhenkilö esimerkiksi tietohallinnosta. Projektiin on hyvä ottaaulkopuolinen tietoturva-asiantuntija johtamaan prosessia, jotta organisaationrutiinityöt eivät liiaksi hidastaisi kartoituksen rutiineja ja jotta projetktissa olisiriittävä tietoturvallisuuden asiantuntemus. Ulkopuolinen henkilö allekirjoittaasalassapitosopimuksen asiakkaan kanssa. Kohdeorganisaatiosta valitaanmukaan prosessia johtamaan henkilö, jolla on organisaation laaja-alainentuntemus sekä tietoa ja kiinnostusta tietoturva-asioista. Näin turvataanprojektille tarvittava kohdealueen tuntemus sekä motivaatio.Prosessissa on oltava mukana organisaation eri palvelujen asiantuntijat,jotta saadaan kartoitettua eri toimintoihin liittyvät tietojenkäsittelyprosessit jatietoresurssit mahdollisimman tarkasti. Toisaalta laaja-alainen osallistujajoukkoon myös tietoturva-asioiden markkinoinnin kannalta tärkeää; jokaisenosallistujan tietoisuus tietoturvallisuuden merkityksestä lisääntyy jo prosessinmyötä ja he ovat jatkossa suurena apuna tietoturvallisuusasioidenmarkkinoinnissa organisaatiossa.Projektille määritellään henkilöresurssien lisäksi aikataulu. Todellisuudessaorganisaation aikaa projektiin ei kulu paljoa, mikäli projektia johtaa ja toteuttaaulkopuolinen henkilö. Haastatteluihin sekä vaatimusten keräämiseen kuluueniten projektia johtavan henkilön aikaa. Kuluvan ajan määrä riippuu paljoltisiitä, minkälaisia lähtötietoja on käytettävissä ja kuinka suuri kohdealue onarvioitavana.Kohdealue kannattaa rajata hyvin, jotta projekti pysyy hallinnassa ja tuleetoteutettua laadukkaasti. Lähtötiedot, eli organisaatiossa aiemmin laaditut,prosessia tukevat asiakirjat, puolestaan helpottavat nykytilanteenanalyysivaihetta sekä kehittämissuunnitelman laatimista, kun kaikkia tietoja eitarvitse kerätä haastatteluin tai auditoinnen organisaationtoimintaympäristöstä. Hyödyllisiä asiakirjoja ovat mm.o arkistonmuodostussuunnitelmao arkistointiohjeo tietoturvaohjeistoto tietojärjestelmädokumentaatioto tietoliikennedokumentaatioto käyttäjänhallinnan dokumentaatioto tietoriskien analyysito tehtäväkuvaukseto toipumissuunnitelmao prosessikaavioto muut ohjeet ja dokumentit, joissa viitataan johonkintietoturvallisuuden osa-alueeseen.
67Rahalliset resurssit voidaan arvioida tässä vaiheessa tarkasti: jos mukana onulkopuolinen projektinvetäjä, kuluu rahaa lähinnä konsultointikuluihin. Tässävaiheessa ei budjetoida tietoturvallisuuden suojamekanismeihin, koska nemääritellään vasta itse projektin tuloksena.Projektisuunnitelmaan määritellään arvioitava kohde eli organisaationtoiminnot, joihin kehittämistyö kohdistetaan. Kohde ei saa olla liian suurikokonaisuus, ettei projektin hallinnasta tule liian monimutkaista. Kunnassa onselkeintä ottaa kartoitettavaksi yksi palveluala kerrallaan. Projektinvetäjäntulee arvioida, onko mahdollista kartoittaa useampi kohde (palveluala)rinnakkain samanaikaisesti. Tähän vaikuttaa lähinnä projektinvetäjän omaosaaminen ja tietämys; kuinka hyvin hän tuntee kohteen toimintaa ja kulttuuriaentuudestaan. Aloituskokouksessa hyväksytään projektisuunnitelma, johon onkirjattu projektin osallistujat, aikataulu, rahalliset resurssit sekä kohde jalähtötietojen kartoituksessa löytyneet prosessia tukevat asiakirjat.Aloitusvaiheessa tehdään myös organisaation tietoturvallisuudenkypsyystason arviointi. Projektin päätyttyä voidaan arvioida, onkokypsyystasoissa edetty seuraavalle tasolle. Tietoturvallisuuden tilannearvioidaan ja asetetaan organisaatio jollekin seuraavista kypsyystasoista (vrt.kuva 3):1. ”Tietoturvatyö on pitkälti organisoitumatonta ja reaktiivista.Ohjeistoja tuotetaan, mutta sekä ohjeistot että vastuut ovathajanaisia. Organisaatio luo itselleen tietoturvapolitiikan sekämäärittää tietoturvavastuut.2. Oleellinen piirre on tehtävien toistettavuus. Organisaatiossa onkehitetty tietoturvallisuuden hallintaan säännönmukaisiamenettelyjä. Siitä kertovat paitsi laadittu tietoturvapolitiikka, myösvoimassa oleva tietoturvallisuuden kehittämissuunnitelma.Tietoturvallisuuden systemaattinen kehittäminen on käynnistynyt.3. Syntyy organisaation tietoturvallisuuden hallintajärjestelmä, jollointietoturvaprosessit ja vastuut on määritelty. Tietoturvaohjeisto onkattavaa, henkilöstön tietoturvakoulutus on oleellinen osatoimintamallia ja organisaatio toimeenpanee laadittuakehittämissuunnitelmaa.4. Toimitaan laaditun tietoturvallisuuden hallintajärjestelmänmukaisesti ja toiminnalle on asetettu sen tuloksellisuuden jakehittämistarpeiden arviointia kuvaavat mittarit. Tässä vaiheessavoidaan puhua tietoturvallisuuden johtamis- ja hallintajärjestelmänolemassaolosta.
Page 1 and 2:
Tietoturvallisuuden hallinnan kehit
Page 3 and 4:
iiiSisällys1. Johdanto ...........
Page 5 and 6:
v6. Yhteenveto ....................
Page 8 and 9:
2Kuva 1. Tietoturvallisuuden hallin
Page 10 and 11:
4Sähköisen viestinnän tietosuoja
Page 12 and 13:
6Private sectorPublic sectorCompeti
Page 14 and 15:
1.4. Tietoturvallisuuden tila kunni
Page 22 and 23: 16Kuva 4. Tietojärjestelmätieteen
Page 24 and 25: 18organisaatiota muutoksen toteutuk
Page 26 and 27: 202. Tietoturvallisuuden hallinnan
Page 28 and 29: 22tietoturvallisuutta tarkastelevia
Page 30 and 31: 24Varsinainen CIA-lyhenne on voinut
Page 32 and 33: 262.2.3. KäytettävyysTässä tutk
Page 34 and 35: 28Kuva 5. Tietoturvallisuuden halli
Page 36 and 37: 30Kuva 6. Sisäisen valvonnan vastu
Page 38 and 39: 32otetaan mukaan tekniset viat. Mä
Page 40 and 41: 34tekniset viat tai sääilmiöt. [
Page 42 and 43: 36Lisäksi tarvitaan vahingon suuru
Page 44 and 45: 38Hallinnollinen turvallisuusHenkil
Page 46 and 47: 40Tietoturvariskit ovat suurimpia e
Page 48 and 49: 42Siihen liittyvät myös käyttäj
Page 50 and 51: 44käytännön työt [Arkistolaki,
Page 52 and 53: 46turvallisuuspiirteet tulee selvit
Page 54 and 55: 483.8. Hallinnollinen turvallisuusH
Page 56 and 57: 50Johdanto-luvussa esitettyjä tulo
Page 58 and 59: 524.3.1. Vaihe 1. Prosessin käynni
Page 60 and 61: 54projektissa ei arvioitu etätyöt
Page 62 and 63: 56Tiedon salassapitoluokituksen per
Page 64 and 65: 58asiantuntijana ja hän arvioi tie
Page 66 and 67: 60Jakeluverkon häiriö(sähkö,tie
Page 68 and 69: 62Nykytilanne on kuvattu liitteess
Page 70 and 71: 64Kohdeorganisaatio arvioi prosessi
Page 74 and 75: 685. Tietoturvallisuuden johtamis-
Page 76 and 77: 70o Asiakokonaisuuso Asiakirjan nim
Page 78 and 79: 72oleviin toimintamalleihin. Esimer
Page 80 and 81: 745.4. Vaihe 4. Tietoturvallisuussu
Page 82 and 83: 76Tietoturvapolitiikka laaditaan vi
Page 84 and 85: 786. Yhteenveto6.1. Tutkimuksen tot
Page 86 and 87: 80ottaa tarkasteluun vieläkin pien
Page 88 and 89: 82projekti on organisaatiokohtainen
Page 90 and 91: 84Viiteluettelo[Alberts et. al., 20
Page 92 and 93: 86[Henkilötietolaki, 1999] Henkil
Page 94 and 95: 88Computer Security Conference, Oct
Page 96 and 97: 90[Sosiaali- ja terveysministeriö,
Page 98 and 99: LukuAlaluku Toiminnot Asiakokonaisu
Page 100 and 101: UHKARiskiluku =Todennäköisyys1+ V
show all

Saatavana elektronisessa muodossa - TietojenkÃ¤sittelytieteiden ...

Create successful ePaper yourself

Delete template?

Save as template?