Saatavana elektronisessa muodossa - Tietojenkäsittelytieteiden ...

72oleviin toimintamalleihin. Esimerkiksi luokkamerkintää varten kannattaa laatiaasiakirjapohjat siten, että merkintä tulee automaattiseksi ja pakolliseksi.Tiedoille määritellään omistaja, joka vastaa siitä, että tieto on oikein ja ajantasalla. Lisäksi omistaja luo asiakirjoista julkisen version, joka voidaanpyydettäessä antaa kansalaisen nähtäväksi. Tiedon omistajan vastuutmääritellään tarkemmin tietoturvapolitiikassa.5.2.2. Riskien arviointiRiskien arviointivaiheessa tunnistetaan uhat, tehdään riskien todennäköisyysjavaikuttavuusarvioinnit sekä priorisoidaan riskit riskikarttaan. Riskejäarvioidaan ryhmässä, jossa on mukana avainhenkilöt organisaation eritoimintayksiköistä, jolloin erilaiset riskitilanteet voidaan tunnistaamahdollisimman kattavasti.Uhkien tunnistamisessa käytetään apuna avainsanaluetteloa (kuva 12).Avainsanaluettelo on yksinkertainen helppo ja nopea analyysimenetelmä jatässä tutkimuksessa käytetty luettelo on erittäin kattava.Seuraavaksi arvioidaan löydettyjen riskien todennäköisyys ja vaikutuksetriskin toteutuessa (taulukko 10). Saatuja tuloksia on hyvä vertailla muihintietoturvatutkimustuloksiin, jotta voidaan arvioida tulosten realistisuutta.Aikaansaatuja tuloksia on lopuksi vielä hyvä tarkastella muidentietoturvatutkimustulosten rinnalla, jotta voi arvioida omien tulostenrealistisuutta ja oikeellisuutta; arviohan on kuitenkin vain arvailua jatodennäköisyyksien etsintää.Avainriskien listaa tulee vielä tarkastella organisaation kriittistentoimintojen ja palvelutavoitteiden näkökulmasta ja pohtia yksittäisen riskinvaikutuksia näihin.Saadut tulokset dokumentoidaan ja tulokset käydään läpi kunnan johdonkanssa, jotta johto pysyy projektin tuloksista tietoisena ja saa mahdollisuudenkommentoida tuloksia.Riskilistan hyödyntäminen käytännössä tehdään kehittämissuunnitelmaa jatoipumissuunnitelmaa laadittaessa. Suunnitelmissa tulisi näkyä toimenpiteitä,jotka puuttuvat kriittisiin toimintoihin kohdistuviin avainriskeihin.