VAHTI 2/2004 Tietoturvallisuus ja tulosohjaus

Tiivistelmä

 

Tietoturvallisuuden riittävä taso on välttämätön edellytys toiminnan jatkuvuudelle ja uskottavuudelle.  Tietoturvallisuus lisää virastojen ja laitosten palvelukykyä sekä parantaa toiminnan tehokkuutta ja laatua. Tietoturvallisuuden merkitys organisaation johtamisessa ja toimintakyvyn varmistamisessa  ekä häiriöttömän ja tuloksellisen toiminnan ylläpitämisessä on jatkuvasti korostunut.   Suosituksessa  on esitetty tiiviissä muodossa tietoturvallisuuden kehittämisen keskeiset periaatteet ja niiden yhteys tulosohjaukseen ja virastojen johtamiseen sekä toiminnan arviointiin.  Suosituksessa tietoturvallisuutta ja tietohallintoa tarkastellaan osana virastojen ja laitosten  johtamista, palvelujen tuottamista ja laadunhallintaa.

Tietoturvallisuuden avulla taataan organisaatiossa käsiteltävän tiedon eheys, käytettävyys ja luottamuksellisuus. Tietoturvallisuus on käsitteenä laaja. Sen eri osaalueet, kuten hallinnollinen  turvallisuus, henkilöstöturvallisuus, fyysinen turvallisuus, tietoliikenneturvallisuus, laitteistoturvallisuus, ohjelmistoturvallisuus, tietoaineistoturvallisuus ja käyttöturvallisuus, muodostavat kattavasti dokumentoituna ja hyvin johdettuna vahvan perustan organisaation toiminnan jatkuvuudelle ja luotettavuudelle sekä tehokkuudelle ja tuloksellisuudelle.

Tietoturvallisuus ja sen jatkuva parantaminen ei ole itseisarvoista toimintaa, mutta turvallisuudella on keskeinen merkitys esimerkiksi luotettavien sähköisten palvelujen tarjoamisessa. Kansalaisten ja palvelujen käyttäjien näkökulmasta tarkasteltuna hallinnon tehtävänä on tuottaa sellaisia sähköisiä palveluja, joiden turvallisuuteen asiakas voi luottaa, ja joita tuotettaessa otetaan uomioon kansalaisten perusoikeudet.

Suosituksessa tietoturvallisuutta käsitellään seuraavan jaottelun mukaisesti:

  • määritellään tietoturvallisuus kokonaisuutena
  • esitetään turvallisuuteen liittyvät yleiset periaatteet käyttäen perustana OECD:n aiheesta laatimaa suositusta
  • tarkastellaan taustatekijänä kansallisen tietoturvastrategian linjauksia
  • sijoitetaan tietoturvallisuus ministeriön ja viraston väliseen tulosohjauskehykseen
  • kuvataan tietoturvallisuuden käsittely viraston sisäisenä ohjausprosessina sisältäen politiikan ja ohjeistuksen sekä seurannan ja arvioinnin.

Suosituksen liitteet sisältävät esimerkin tietoturva-asioiden käsittelystä tasapainoiseen tuloskorttiin (BSC) perustuvassa ohjausmallissa (Liite 1) sekä laatujärjestelmään perustuvassa arvioinnissa (Liite 2).

Tietoturvallisuus ja tulosohjaus -suosituksen keskeinen sisältö on tiivistetty seuraavaan kahdeksaan kohtaan:

Suositus 1. Tietoturvallisuus on osa hallinnon tulosohjausta, jossa viraston tai laitoksen toimintaa tarkastellaan kokonaisuutena ja tulostavoitteiden asettamisessa käytetään useita eri näkökulmia (vaikuttavuus, tehokkuus, laatu ja henkiset voimavarat). Tulosohjauksella pyritään osaltaan vahvistamaan hyvää hallintotapaa. Suositus 2. Tietoturvallisuus on laaja toiminnallinen kokonaisuus, jonka perustana ovat organisaation turvallisuuskulttuuri ja ihmisten toiminta.

Suositus 3. Valtionhallinnossa noudatetaan OECD:n suosittamia turvallisuuskulttuurin periaatteita.

Suositus 4. Kansallinen tietoturvastrategia luo yhteistä perustaa tietoturvallisuuden laaja-alaiselle kehittämistyölle.

Suositus 5. Tietoturvallisuus on osa normaalia toiminnan kehittämistä, riskienhallintaa ja tulosohjausta, jossa voidaan hyödyntää sekä laadullisia että määrällisiä tietoja ja niihin perustuvia mittareita.

Suositus 6. Tietoturvallisuuden parantamisessa virastojen ja laitosten on ensisijaisesti turvattava keskeiset päätehtävänsä ja määriteltävä koko toimintaa ohjaava tietoturvapolitiikka.  Tietoturvallisuudesta vastaavat osaltaan kaikki organisaatiossa työskentelevät.

Suositus 7. Tietoturvallisuus on osa julkisten palvelujen kehittämistä, jossa keskeistä on palvelujen käytettävyys, kansalaisten perusoikeudet ja hyvä tiedonhallintatapa.

Suositus 8. Johdon tehtävänä on käynnistää sisäisiä ja ulkoisia arviointeja, vahvistaa arviointiosaamista sekä huolehtia siitä, että arviointitulokset käsitellään asianmukaisella tavalla  osana johtamista ja tulosohjausta.

Päivitetty: 9.6.2020