Saatavana elektronisessa muodossa - TietojenkÃ¤sittelytieteiden ...

More documents

Recommendations

Info

80ottaa tarkasteluun vieläkin pienempi osa kunnan toiminnoista yhteenprojektiin, jolloin toimintayksikön koko henkilöstö olisi saatu kiinteämminmukaan työhön. Tällöin prosessin aikana olisi jo saatu aikaan oppimista jatietoisuuden lisääntymistä tietoturvallisuuden perusasioista. Nyt, kunprosessissa oli mukana vain muutama tai vain yksi avainhenkilö usealtatoimialalta, jäi projekti irralliseksi toimintayksiköiden arkipäivän toiminnasta.Haasteena onkin nyt kehittämistoimenpiteiden jalkauttaminen siten, ettäjokainen työntekijä tiedostaa tietoturvallisuuden merkityksen ja myös sen,miten mittava projekti on aiheesta jo käyty organisaatiossa läpi. Tiedottamisellaja esimiesten painotuksilla on tässä suuri merkitys.Vaatimusten keräämisessä oli huomattavasti apuaarkistonmuodostussuunnitelmasta, jota laadittaessa on jo kertaalleenkartoitettu kunnassa käsiteltävät tiedot. Arkistonmuodostussuunnitelmankäyttö tässä vaiheessa nopeutti projektia merkittävästi ja toisaalta senkäyttäminen viestitti henkilöstölle, että arkistonmuodostussuunnitelmanlaatiminen aikanaan on ollut useita tietojenkäsittelytoimintoja palvelevaponnistus. Toivon, että tämä tutkimus saisi lukijat ajattelemaan tietohallintoa jaasiakirjahallintoa kiinteässä yhteistyössä toimivina palveluina. Tutkimuksenaikana on useasti noussut esiin arkistonmuodostussuunnitelma sekä asioidenkäsittelyprosessit, jotka ovat perinteisesti asiakirjahallinnon toimialuetta. Neovat kuitenkin tietohallinnon keskeisin asia: tiedot ja tietojen käsittely sekä asiatja asioiden käsittely tulisi siis nähdä yhtenä ja samana asiana, hieman erinäkökulmasta. Asiakasorganisaatiossa tämä asia nousi vahvasti esiin jaasiakkaalle kirjattiin myös kehittämiskohteeksi tietohallinnon jaasiakirjahallinnon sekä arkiston yhteistyön lisääminen. Lisäksiarkistonmuodostussuunnitelma nimettiin arkistonmuodostus- jatiedonhallintasuunnitelmaksi, joka palvelee myös tietohallintoa ja kaikkiatoimialoja organisaatiossa.Tietojen kerääminen tarkistuslistojen avulla oli selkeän suoraviivaista jajopa yksinkertaista. Tarkistuslistat on aikanaan laadittu VAHTI-julkaisuihinhuolella ja niiden vertailu muissa ohjeistoissa ja standardeissa olevien listojenkanssa osoitti, että VAHTIn tarkistuslistat ovat erittäin kattavat. Näin ollenmuiden ohjeistojen tarkistuslistoja ei ole tarpeen käydä läpi tietoturvallisuuttaarvioitaessa. Dokumentoinnin menetelmät ja muodot oli mietittävä erikseen,siihen ei löytynyt ohjeistoista apuvälineitä. Kuitenkin dokumentaationkäytettävyys on tärkeä seikka ja mallissa on nyt laadittuna yksinkertaisetdokumentointikäytännöt. Esimerkiksi arkistonmuodostussuunnitelmasiirrettiin tekstitiedostosta excel-tiedostoon, jotta sitä on jatkossa helpompiylläpitää ja tarvittaessa sitä voidaan hyödyntää tietokantana.
81Tietoturvallisuussuunnittelussa on tärkeää tarkastella rinnakkainnykytilannetta ja tietojen auditoinnin sekä riskianalyysin tuloksia, jotta saadaanaikaan juuri kyseiseen organisaatioon ja tilanteeseen soveltuvat käytännöt.Riskilistojen hyödyntäminen tässä prosessin vaiheessa jäi toteutuksessanipinnalliseksi ja kuten aiemmin mainitsin, riskilista ylipäätään jäi hiemanirralliseksi dokumentiksi prosessissa. Olenkin korjannut toimintamallia tämänkokemuksen perusteella. Riskilistan merkityksestä kannattaa keskustella josiinä vaiheessa, kun listaa lähdetään laatimaan ja avainriskejä tulisi analysoidatarkemmin organisaation näkökulmasta. Myös avainriskeistä tiedottamallavoidaan saada lisättyä riskitietoisuutta organisaatiossa.Tietoturvallisuussuunnitelmasta ja tietoturvapolitiikasta muodostuipilottikunnassa tärkeät jatkokehittämistä ohjaavat dokumentit. Ne ovatkonkreettisimmat tulokset koko prosessista ja pilottikunnassa ne otettiinvastaan suurella innostuksella. Toisinaan kehittämisprojektin aikana tehtävävaativa työ voi olla turhauttavaa, kun rutiinityöt kärsivät, mutta lopuksi käsilläolevat konkreettiset tulokset palkitsevat tekijänsä.6.3. Mallin pilottikokeilu ja yleistettävyysMallia pilotoitiin pienessä kuntaorganisaatiossa. Samankaltaisia kuntia kuintässä tutkimuksessa on ollut mukana, on Suomessa useita. Toisaalta mikätahansa kaupunki tai kunta on melko samanlainen rakenteeltaan kuinpilottikunta: monialainen, lakisääteisiä palveluja kaikille kohderyhmilletarjoava julkishallinnon organisaatio. Malli on pyritty kehittämään niinyleiseksi, että sitä voidaan käyttää isompaan joukkoon samankaltaisiatapauksia; tapaus siis voi tässä yhteydessä olla mikä tahansa suomalainenkuntaorganisaatio.Organisaatiokohtaiset piirteet tietoturvallisuuden hallinnan kehittämisessätulevat esiin projektin suunnittelussa, ympäristön analyysivaiheessa sekänykytilan kuvaamisessa ja tietoturvatoiminnan suunnittelussa. Itsetoimintamalli voi olla sama, oli kyseessä minkälainen organisaatio tahansa.Olen aikeissa kehittää mallista markkinoitavan tuotteen. Mallin esittelytällaisenaan ei ole markkinoinnillisesti hyvä tuote, koska sen sisältöönperehtyminen ei onnistu kuvaa silmäilemällä, vaan vaatii perehtymistä jonkinverran. Tarkoituksena onkin laatia mallista erilaisia versioita ja lähteämarkkinoimaan organisaatioille esimerkiksi yhtä osakokonaisuutta kerrallaan.Tämä vaatii vielä tuotteistamista jonkin verran. Joka tapauksessa kukin
Page 1 and 2:
Tietoturvallisuuden hallinnan kehit
Page 3 and 4:
iiiSisällys1. Johdanto ...........
Page 5 and 6:
v6. Yhteenveto ....................
Page 8 and 9:
2Kuva 1. Tietoturvallisuuden hallin
Page 10 and 11:
4Sähköisen viestinnän tietosuoja
Page 12 and 13:
6Private sectorPublic sectorCompeti
Page 14 and 15:
1.4. Tietoturvallisuuden tila kunni
Page 22 and 23:
16Kuva 4. Tietojärjestelmätieteen
Page 24 and 25:
18organisaatiota muutoksen toteutuk
Page 26 and 27:
202. Tietoturvallisuuden hallinnan
Page 28 and 29:
22tietoturvallisuutta tarkastelevia
Page 30 and 31:
24Varsinainen CIA-lyhenne on voinut
Page 32 and 33:
262.2.3. KäytettävyysTässä tutk
Page 34 and 35:
28Kuva 5. Tietoturvallisuuden halli
Page 36 and 37: 30Kuva 6. Sisäisen valvonnan vastu
Page 38 and 39: 32otetaan mukaan tekniset viat. Mä
Page 40 and 41: 34tekniset viat tai sääilmiöt. [
Page 42 and 43: 36Lisäksi tarvitaan vahingon suuru
Page 44 and 45: 38Hallinnollinen turvallisuusHenkil
Page 46 and 47: 40Tietoturvariskit ovat suurimpia e
Page 48 and 49: 42Siihen liittyvät myös käyttäj
Page 50 and 51: 44käytännön työt [Arkistolaki,
Page 52 and 53: 46turvallisuuspiirteet tulee selvit
Page 54 and 55: 483.8. Hallinnollinen turvallisuusH
Page 56 and 57: 50Johdanto-luvussa esitettyjä tulo
Page 58 and 59: 524.3.1. Vaihe 1. Prosessin käynni
Page 60 and 61: 54projektissa ei arvioitu etätyöt
Page 62 and 63: 56Tiedon salassapitoluokituksen per
Page 64 and 65: 58asiantuntijana ja hän arvioi tie
Page 66 and 67: 60Jakeluverkon häiriö(sähkö,tie
Page 68 and 69: 62Nykytilanne on kuvattu liitteess
Page 70 and 71: 64Kohdeorganisaatio arvioi prosessi
Page 72 and 73: 66muutama avainhenkilö esimerkiksi
Page 74 and 75: 685. Tietoturvallisuuden johtamis-
Page 76 and 77: 70o Asiakokonaisuuso Asiakirjan nim
Page 78 and 79: 72oleviin toimintamalleihin. Esimer
Page 80 and 81: 745.4. Vaihe 4. Tietoturvallisuussu
Page 82 and 83: 76Tietoturvapolitiikka laaditaan vi
Page 84 and 85: 786. Yhteenveto6.1. Tutkimuksen tot
Page 88 and 89: 82projekti on organisaatiokohtainen
Page 90 and 91: 84Viiteluettelo[Alberts et. al., 20
Page 92 and 93: 86[Henkilötietolaki, 1999] Henkil
Page 94 and 95: 88Computer Security Conference, Oct
Page 96 and 97: 90[Sosiaali- ja terveysministeriö,
Page 98 and 99: LukuAlaluku Toiminnot Asiakokonaisu
Page 100 and 101: UHKARiskiluku =Todennäköisyys1+ V
show all

Saatavana elektronisessa muodossa - TietojenkÃ¤sittelytieteiden ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?