Blogi

Tiedonhallintalaki ja tietoturvatoimenpiteet – näin vastaat lain vaatimuksiin

Tiedonhallintalain tietoturvatoimenpiteiden osuus velvoittaa koko julkista sektoria vuoden 2023 alusta lähtien.

Marraskuussa 2021 Tiedonhallintalautakunta julkaisi suosituskokoelman, joka otti kantaa lähes jokaiseen tiedonhallintalaissa esitettyyn tietoturvavaatimukseen. Tiedonhallintalautakunnan julkaiseman suosituksen liittyen tietoturvasäännösten soveltamiseen löydät klikkaamalla tästä. 

Huhtikuussa 2022 järjestimme webinaarin, jossa kävin tämän suosituksen läpi, ja purimme sen tehtävälistaksi.

Katso webinaari alta ja lataa itsellesi Tiedonhallintalaki ja tietoturvatoimenpiteet -taulukko helpottaaksesi työtäsi tietoturvatoimenpiteiden osalta. 

Tiedonhallintalain tietoturvatoimenpide vaatimukset

Alun perin tiedonhallintalautakunnan julkaisema Excel-tiedosto tiedonhallintamallista lähestyi tietoturvatoimenpiteitä kuvauksena, joka tehtäisiin aina uudestaan per tietovaranto, mutta me Arterilla olemme päätyneet tekemään ARC-ohjelmistoon yhden listauksen vaatimuksista ja niiden toteutustavoista.

ARC-ohjelmisto on kotimainen ja selainpohjainen SaaS-palvelu, jonka avulla visualisoit organisaation rakenteet, toiminnot ja niiden väliset yhteydet ja riippuvuussuhteet. Voit tutustua tarkemmin ARC-ohjelmistoon tästä. 

Tähän listaukseen eli niin sanottuun soveltuvuuslausuntoon liitetään erilaiset dokumentit, ohjeet ja kuvaukset, jotka tiedonhallintalautakunnan suositus mainitsee.

Alla kertaus tiedonhallintalaissa asetetuista vaatimuksista, ja tämän jälkeen oma näkemykseni erilaisista dokumenteista, joiden avulla lain vaatimuksiin on mahdollista vastata. 

1. Tehtävät, joiden suorittaminen edellyttää henkilöiltä erityistä luotettavuutta on tunnistettu, 12§.

2. Toimintaympäristön tietoturvallisuustilaa seurataan, 13.1§. 

3. Tietoturvallisuus varmistetaan tiedon elinkaaren ajan, 13.1§.

4. Tietoriskien hallinta ja siihen perustuvat tietoturvatoimet on järjestetty, 13.1§. 

5. Tietojärjestelmien vikasietoisuus ja toiminnallinen käytettävyys on varmistettu, 13.2§. 

6. Julkisuus ja salassapitorakenne on huomioitu tietovarantojen tietorakenteissa, 13.3§. 

7. Hankittavaan tietojärjestelmään on toteutettu asianmukaiset tietoturvallisuustoimenpiteet 13.4§. 

8. Salassa pidettävät tiedot on suojattu yleisessä tietoverkossa tietoja siirrettäessä, 14.1§. 

9. Tietoaineistojen turvallisuus on varmistettu, 15§. 

10. Tietoaineistoja käsitellään riittävän turvallisissa tiloissa, 15.2§. 

11. Käyttöoikeudet on määritelty ja hallittu tietojärjestelmissä, 16§. 

12. Tarpeelliset lokitiedot on kerätty tietojärjestelmien käytöstä ja luovutuksista, 17§. 

13. Turvallisuusluokiteltavista asiakirjoista ja niiden käsittelystä on huolehdittu, 18§.  

Näin vastaat tiedonhallintalain asettamiin vaatimuksiin tietoturvatoimenpiteiden osalta

Dokumentoimalla, kuvaamalla ja mittaamalla organisaationne toimintaa, osoitat, että organisaatiossanne toimitaan ulkoisen edellytyksen mukaisesti.

Alla oleva listaus on näkemykseni ja tulkintani siitä, miten organisaation tiedonhallintalain tietoturvatoimenpiteisiin liittyvän dokumentaation voi jaotella näiden kolmen kokonaisuuden mukaisesti:

  1. Ohjeet, politiikat ja pohjat
  2. Prosessit
  3. Muut tiedot

Lisäksi organisaatio voi tuoda toimintaansa kuvaaviin dokumentteihin ominaisuuksia jokaisesta osa-alueesta. Eli esimerkiksi ohjeita tai politiikkoja voi rikastaa prosessikuvauksilla ja muilla tiedoilla kuten erilaisllla vaatimusluetteloilla, rekistereillä tai listauksilla.

Ohjeet, politiikat ja pohjat 

  • Testauskäytännöt (13.2§) 
  • Riskienhallintapolitiikka + ohjeet (13.1§, 14.1§) 
  • Asiakirjajulkisuuskuvaus ja tietopyyntöön liittyvät ohjeistukset (13.3§) 
  • Hankinta-asiakirjojen käsittelyä koskevat ohjeet (13.4§) 
  • Tarjouspyynnön mallipohja ja sopimusmalli (13.4§) 
  • Ohjeet tiedon lähettämiseen ja vastaanottamiseen (14.1§) 
  • Tiloihin liittyvät turvallisuusohjeet / käytännöt / prosessit (15.2§) 
  • Käyttöoikeushallinnan ohjeistus/prosessi/periaatteet (16§) 
  • Lokiperiaatteet ja –suunnitelma (17§) 
  • Tietoaineistojen turvallisuus, hallinnolliset tiedot (15§) 

Prosessit – prosessikuvauksia tai työohjeita

  • Prosessikuvauksia turvaselvityksestä. Esim. turvaselvitys osana rekrytointia tai turvaluokitellun tiedon käsittelyohjeet (12§) 
  • Lokien käsittelyprosessi (17§) 
  • Lokienhallinnan käsittelyn asianmukaisuuden ja lainmukaisuuden säännöllisen arvioinnin prosessi (17§) 
  • Tietoaineistojen turvallisuus, toiminnalliset tiedot (15§) 

Muut tiedot – osoitustarkoituksiin ja kehitystoimintaa ajatellen tehtäviä listauksia, joita voi toteuttaa esimerkiksi ARC-ohjelmistossa

  • Turvaluokiteltava tieto organisaatiossa (12§, 18§) 
  • Sidosryhmäluettelo (13.1§) 
  • Vaatimusluettelo (13.1§) 
  • Seurattavien lähteiden luettelo (13.1§) 
  • Riskirekisteri (13.1§, 14.1§) 
  • Tietoaineistojen turvallisuus, tekniset tiedot (15§) 
  • Toimipaikat, päätearkistot tai konesalit –listaus (15.2§) 
  • Käyttöoikeuskien hallintaan liittyvät vastuut (esim. tietojärjestelmien omistajat tai pääkäyttäjät) (16§) 
  • Elinkaari ja kriittisyys -merkinnät (13.1§, 13.2§) 
  • Tiedon luokittelu (12§, 13.3§, 14.1§, 17§) 

Suosittelen sinulle seuraavia sisältöjä:

Helpota työtäsi ja lataa itsellesi taulukko, johon on koottu tiedonhallintalain vaatimat tietoturvatoimenpiteet.

Täytä sähköpostisi ja saat itsellesi Tiedonhallintalaki ja tietoturvatoimenpiteet -taulukon

* merkityt kohdat ovat pakollisia.

Kirjoittaja

Toni Vehmaanperä toimii Arterilla ARC-ohjelmiston tuoteomistajana. Hän on toiminut kokonaisarkkitehtuurin konsulttina, lisäksi hänellä on TOGAF Foundation -sertifikaatti kokonaisarkkitehtuurista. Tonilla on vahva osaaminen ARC-ohjelmistosta ja sen hyödyntämisestä organisaatioiden toiminnan visuaalisessa mallintamisessa. Hän tuntee myös julkishallinnon tiedonhallintalain sekä GDPR-asetuksen vaatimukset.

Liittyvät materiaalit