Blogi

Tietojärjestelmäsalkun rakentaminen ja ylläpito – Näin onnistut

Mikä on tietojärjestelmäsalkku?

Tietojärjestelmäsalkku on termi organisaation tietojärjestelmien listaukselle. Samalla se on tietohallinnon työkalu järjestelmien ylläpitoon ja niiden yhteyksien hahmottamisen tueksi. Tietojärjestelmäsalkku liittyy kokonaisarkkitehtuuriin, jossa kuvataan kerrosnäkymänä organisaation:

  • palvelut,
  • prosessit ja
  • tietojärjestelmät.
Kokonaisarkkitehtuurin kerrosnäkymä, Arter Oy
Kokonaisarkkitehtuurin kerrosnäkymä, Arter Oy

Termiä tietojärjestelmäsalkku käytetään muun muassa JHS 179 -suosituksessa, joka on julkisen hallinnon suositus kokonaisarkkitehtuurin suunnitteluun ja kehittämiseen. Suosituksessa vaadittu listaus on standardimuotoinen.

Tietojärjestelmäsalkku on termi tietojärjestelmien listaukselle myös Arterin kokonaisarkkitehtuurityökalu ARC-ohjelmistossa, jossa organisaatiot voivat luoda listauksen rakenteeltaan täysin vapaamuotoisena omien tarpeiden mukaan”, kertoo Arterin konsultti ja kokonaisarkkitehtuurin asiantuntija Toni Vehmaanperä.

>> Tutustu lisää ARC-ohjelmistoon, jolla mahdollistat organisaation rakenteiden ja niiden välisten yhteyksien kuvaamisen visuaalisesti.

ARC-ohjelmiston Arter Framework -metamalli sisältää taulukkorakenteen, joka toimii pohjana tietojärjestelmäsalkulle. Listaus pitää sisällään tietojärjestelmät, sekä tietoa siitä, mihin järjestelmät liittyvät.

Esimerkki tietojärjestelmäsalkusta.
Esimerkki ARC-ohjelmiston tietojärjestelmäsalkusta. (Klikkaa kuva isommaksi.)

Mitkä ovat tietojärjestelmäsalkun rakentamisen vaiheet?

Konsulttimme Toni Vehmaanperä jaottelee tietojärjestelmäsalkun rakentamisen viiteen eri vaiheeseen:

  1. Pohdi, miksi salkku tehdään ja kenelle?
  2. Luo malli tai täydennä valmista pohjaa.
  3. Testaa käytännössä.
  4. Tee tiedonkeruulle suunnitelma ja toteuta se.
  5. Julkaise tietojärjestelmäsalkku.

1. Pohdi ensin, miksi salkku tehdään ja kenelle.

Tarve organisaation tietojärjestelmien listaukselle voi syntyä eri viitekehysten tai suositusten pohjalta, esimerkiksi tietosuoja-asetuksen, tiedonhallintalain tai tietoturvan kehittämisen kautta. Esimerkiksi julkisen hallinnon tiedonhallintalaki vaatii, että organisaation tulee listata tietojärjestelmänsä ja tietyt niihin liittyvät tiedot, vaikka varsinaista tietojärjestelmäsalkku-termiä ei laissa käytetäkään.

Organisaatioiden kannattaa kuitenkin ensin lähestyä tietojärjestelmäsalkun rakentamista kysymällä: miksi ja kenelle salkku luodaan? Eli toisin sanoen, mitkä ovat valmiutemme ja tarpeemme salkun rakentamiselle?

Tämän hahmottamisen avulla voitte organisaatiossanne pohtia muun muassa:

  • Mikä on valittu tietojärjestelmäsalkun teknisyyden taso? Haluammeko lisätä tietoa esimerkiksi palvelimista tai sijainneista?
  • Mitä tietoja järjestelmä sisältää? Esimerkiksi tieto siitä, sisältääkö tietojärjestelmä henkilötietoa.
  • Sisällytämmekö järjestelmien elinkaaren vaiheet mukaan listaukseen?

2. Luo malli tai täydennä valmista pohjaa.

Ohjelmistotyökalun avulla voit taulukko-ohjelmaan verrattuna kuvata visuaalisesti mukaan myös tietojärjestelmien yhteydet, esimerkiksi yhteyskaavion avulla. Näin säästät aikaa, kun muutosten kohdalla samaa asiaa ei tarvitse kuvata uudelleen, vaan tieto tulee ainoastaan päivittää yhteen sijaintiin.

3. Testaa tietojärjestelmäsalkkua käytännössä.

Testatkaa ja kokeilkaa organisaatiossa tietojärjestelmäsalkun rakenteen toimivuutta käytännön esimerkkien kautta: onko listauksen avulla mahdollista kerätä tarvittavia tietoja, tai puuttuuko salkusta jotain? Testausta kannattaa toteuttaa myös eri toimintojen välillä. Voitte esimerkiksi kokeilla rakenteen toimivuutta hallinnosta toisen toiminnon puolella, pyytämällä testihenkilöä täyttämään käytössä olevia järjestelmiä salkkuun.

Testaamalla saatte ilmeiset puutteet esiin, ennen kuin tietojärjestelmäsalkku otetaan varsinaisesti käyttöön. Testaamisen pohjalta salkkua on mahdollista myös iteroida, eli jatkuvasti parantaa havaintojen pohjalta.

4. Tee tiedonkeruulle suunnitelma ja toteuta se.

Tässä vaiheessa organisaationne tulee päättää,

  1. miten järjestelmäsalkun tieto halutaan kerätä ja
  2. miten henkilöitä halutaan osallistaa mukaan tiedonkeruuseen.

Konsulttimme apukysymyksiä tiedonkeruusuunnitelman tueksi ovat muun muassa:

  • Lähetetäänkö tietojärjestelmäsalkku kaikille yhtä aikaa täytettäväksi, vai edetäänkö esimerkiksi osasto kerrallaan?
  • Järjestetäänkö palautekeskustelua täytön jälkeen?
  • Annetaanko tiedonkeruulle deadline, vai täydennetäänkö salkkua tarpeen mukaan?
  • Onko jossakin olemassa jo valmista pohjatietoa, jota hyödyntää tiedonkeruussa?

Tiedon kerääjä voi myös korostaa, että tässä vaiheessa keskitytään ainoastaan tietojärjestelmiin, ja ohjeistaa tekijää täyttämään järjestelmien tiedot sen perusteella. Esimerkiksi prosesseja tai laajemmin tietojärjestelmien sisältämää tietoa, eli tietoarkkitehtuuria, ei kuvata tässä yhteydessä.

5. Julkaise tietojärjestelmäsalkku.

Julkaisuvaiheessa organisaation tulee luoda tietojärjestelmäsalkusta erilaisia näkymiä. Vastuuhenkilön tuleekin varmistaa, että tieto on niiden henkilöiden tarkasteltavissa, jotka sitä työssään tarvitsevat.

Julkaisuvaiheessa kannattaa myös mahdollistaa avoin keskustelu mahdollisista tietojärjestelmäsalkun korjauksista, sillä julkaisunkaan jälkeen työ ei ole vielä valmis. Muista sen sijaan, että tietojärjestelmäsalkkua tulee täydentää ja päivittää jatkuvasti tiedon käyttökelpoisuuden varmistamiseksi.

Tietojärjestelmäsalkun ylläpito vaatii tuekseen sovittuja toimintatapoja

Ison tietomassan ylläpito vaatii tuekseen käytänteitä. Organisaation onnistunut tietojärjestelmäsalkun ylläpitotyö onkin aktiivista ja vaatii myös suunnittelua. Käytössä voi esimerkiksi olla kaksi päivityssykliä: aina, kun tapahtuu muutos, sekä jatkuva seuranta, Vehmaanperä vinkkaa.

Esimerkkejä asiakkaidemme käyttämistä tietojärjestelmäsalkun ylläpitokäytännöistä:

  • Tietojärjestelmäsalkku päivitetään, kun jokin vaatimus tai asetus sitä vaatii. Esimerkiksi tiedonhallintalaki vaatii salkun päivityksen aina, kun organisaatioon hankitaan uusi tietojärjestelmä: uusi järjestelmä lisätään mukaan – poistuuko samalla jokin vanha järjestelmä?
  • Listausta päivitetään kustannustiedon perusteella. Kun organisaatio saa tietojärjestelmään liittyen laskun, tarkistetaan samalla, onko tieto oikein järjestelmässä.
  • Päivitys tapahtuu vuosikellon mukaan tietyin väliajoin. Esimerkiksi vuosittainen tarkastusajankohta, kuten: ”opetuksen järjestelmät tarkastetaan aina vuosittain tammikuussa”.

Tietojärjestelmäsalkun ylläpito ei kuitenkaan liity pelkästään sisältöön. Myös mallin toimivuutta tulee tarkkailla säännöllisesti. Voit esimerkiksi kysyä: onko tieto edelleen tarpeen tai järkevää ylläpitää? Vuosikello toimii tässä erityisen hyvin apuvälineenä säännöllisille katselmoinneille.

Älä myöskään sokeudu aiemmin valitulle rakenteelle, vaan arvioi tarvittaessa sen toimivuutta uudelleen.

Tietojärjestelmäsalkun rakennetta on helppo tarvittaessa muuttaa, ja usein rohkaisen myös asiakkaitamme siihen, Vehmaanperä kertoo, ja jatkaa: esimerkkinä tarpeellisesta rakenteen päivityksestä toimii hyvin tiedonhallintamallin vastaava viranomainen -tieto, jota ei monella organisaatiolla ollut mukana tietojärjestelmälistauksessa ennen tiedonhallintalakia.

Miten tietojärjestelmäsalkku kytkeytyy tietoturvaan?

Valittu viitekehys määrittää, mitä organisaation tulee tietojärjestelmäsalkussa huomioida tietoturvaan liittyen, toteaa Vehmaanperä.

Tietoturvajohtamisen ISO 27001 -standardi määrittää, että organisaation on tietoturvallisuuden hallintajärjestelmässä tunnistettava suojattavat kohteet. Näitä kohteita on olemassa monenlaisia, ja esimerkiksi juuri tietojärjestelmät kuuluvat niihin.

Riskienhallintanäkökulmasta tarkasteltuna tietojärjestelmiin saattaa kohdistua erilaisia riskejä, jolloin puhutaan tietoriskien hallinnasta. ARC-ohjelmistossa riskejä ei kuitenkaan tarvitse kuvata vaivalloisesti per tietojärjestelmä. Sen sijaan organisaatio voi kuvata riskit ensin erikseen, ja myöhemmin yhdistää kuvatut riskit järjestelmiin, joita ne koskevat.

ARCissa tietojärjestelmät kuvataan elementteinä, jotka liittyvät tiettyyn malliin. Tietojärjestelmämallin rakenne tuo tällä tavoin esiin esimerkiksi tietoturvatoimenpiteet, jotka kohdistuvat niihin tietojärjestelmiin, joita tunnistetut riskit koskevat. Alla olevassa kuvassa tämä on visualisoitu yhteyskaavion muotoon.

Esimerkki ARC-ohjelmiston yhteyskaaviosta: Tietojärjestelmään kohdistuva riski. (Klikkaa kuva isommaksi.)

Kannattaa kuitenkin myös huomioida, että tietojärjestelmämalli ja tietoturvamalli ovat kaksi osa-aluetta, joita käsitellään erillään, Vehmaanperä muistuttaa.

Tietojärjestelmien ja tietoturvan osa-alueet tukevat toisiaan, joten niitä ei kannata suunnitella päällekkäisiksi. Tietoturvamallin tiedot, kuten tietoturvatoimenpiteet, kuvataan erikseen, ja tieto yhdistetään yhteyskaavioiden avulla tietojärjestelmiin.

Suosittelemme tutustumaan myös:

Onko ARC-ohjelmisto uusi tuttavuus? Tutustu kokonaisarkkitehtuurin työkaluna toimivaan visuaaliseen ohjelmistoon demon avulla.

Tilaa ilmainen ARC demo!

ARC -ohjelmisto tarjoaa visuaalisen työkalun, jolla mallintaa toiminnan eri alueita: strategiaa, tavoitteita, palveluja, prosesseja, tietoa, tietojärjestelmiä, teknologiaa.

Tilaa demo ja tutustu!

Kirjoittaja

Liittyvät materiaalit

{# GA Library #}