VAHTI 9/2008 Hankkeen tietoturvaohje

Esipuhe

Tämä ohje toimii hankkeiden tietoturvallisuuden käsikirjana ja esittää tiivis­tetysti hankkeen tietoturvallisuuden ydinkohdat. Ohje on kirjoitettu valtion­hallinnon näkökulmista, mutta se on sovellettavissa myös muissa organisaa­tioissa.

Ohje painottaa johtamisen, hankevetäjän vastuun ja tietoturvallisuuden suunnittelun näkökulmia. Hankkeen johtamisprosessin osalta tulee varmis­taa, että tietoturvallisuuden ja riskienhallinnan taso vastaavat niille asetettuja tavoitteita ja että tietoturvatoiminnoille on varattu riittävät resurssit.

Ohje on valmisteltu Valtionhallinnon tietoturvallisuuden johtoryhmän VAHTIn alaisuudessa ja ohjauksessa. VAHTI päätti ohjeen julkaisemisesta kokouksessaan marraskuussa 2008.

Hankkeen tietoturvaohje julkaistaan VAHTIn verkkosivuilla ja painotuot­teena. Ohjeen kaupallinen käyttö ja jäljentäminen ansaitsemistarkoituksessa on kielletty. Muussa hyödyntämisessä tulee tämä ohje mainita lähteenä.

Lyhyesti VAHTIsta

Valtiovarainministeriö (VM) vastaa julkishallinnon tietoturvallisuuden ohja­uksesta ja kehittämisestä. Ministeriö on asettanut Valtionhallinnon tietotur­vallisuuden johtoryhmän (VAHTI) hallinnon tietoturvallisuuden yhteistyön, ohjauksen ja kehittämisen elimeksi. VAHTI tukee toiminnallaan valtioneu­vostoa ja valtiovarainministeriötä hallinnon tietoturvallisuuteen liittyvässä päätöksenteossa ja sen valmistelussa.

VAHTIn tavoitteena on tietoturvallisuutta kehittämällä parantaa valtion­hallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta.

VAHTIssa käsitellään kaikki merkittävät valtionhallinnon tietoturvalinja­ukset ja tietoturvatoimenpiteiden ohjausasiat. VAHTI käsittelee valtionhallin­non tietoturvallisuutta koskevat säädökset, ohjeet, suositukset ja tavoitteet sekä muut tietoturvallisuuden linjaukset sekä ohjaa valtionhallinnon tietoturvatoi­menpiteitä. VAHTI edistää verkostomaisen toimintatavan kehittämistä julki­shallinnon tietoturvatyössä.

VAHTIn toiminnalla on parannettu valtion tietoturvallisuutta ja työn vai­kuttavuus on nähtävissä hallinnon ohella myös yrityksissä, kansalaistoimin­nassa ja kansainvälisesti. VAHTIn toiminnan tuloksena muun muassa on aikaansaatu erittäin kattava yleinen tietoturvaohjeisto (www.vm.fi/VAHTI). Valtiovarainministeriön ja VAHTIn johdolla on menestyksellisesti toteutettu useita ministeriöiden ja virastojen tietoturvayhteishankkeita. VAHTI on val­mistellut, ohjannut ja toteuttanut laajan valtion tietoturvallisuuden kehitysoh­jelman, jossa on aikaansaatu merkittävää kehitystyötä yhteensä 26 kehityskoh­teessa yli 300 hankkeisiin nimetyn henkilön toimesta. VAHTI on saanut kol­mena perättäisenä vuotena tunnustuspalkinnon esimerkillisestä toiminnasta Suomen tietoturvallisuuden parantamisessa.

Tiivistelmä

Valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI) on tuottanut hal­linnon käyttöön tietoturvallisuuden koko kentän kattavan ohje- ja suositus­materiaalin. Tämä ohje toimii hankkeen tietoturvallisuuden käsikirjana esi­tellen tiivistettynä hankkeen tietoturvallisuuteen liittyvät ydinkohdat.

Ohje pyrkii painottamaan johtamisen näkökulmaa, hankevetäjän vastuuta sekä tietoturvallisuuden suunnitteluun liittyviä toimintoja.

Ohje on kirjoitettu ensisijaisesti valtionhallinnon tarpeet huomioiden, mutta se on pääosin sovellettavissa myös muihin organisaatioihin. Hankkeen tietotur­vallisuus on kuvattu kokonaisuutena, joka sisältää toiminnan prosessit ja ihmi­set sekä tietoaineistojen ja tietojärjestelmien turvallisuuden ja varmistamisen. Pääkohteina ovat ihmiset, prosessit, tietoaineisto, tietoteknologia ja tietojen käytettävyys. Politiikka, ohjeet, koulutus ja siten syntynyt yhteinen ymmärrys ja toimintatapa ovat organisaation hyvän tietoturvakulttuurin perustekijöitä.

Organisaation sisäinen tietojenkäsittely, tuotanto ja asiakkaiden palvelemi­nen riippuvat kaiken tuotannon taustalla olevien tietojen ja tietojenkäsittelyn luottamuksellisuudesta, eheydestä ja käytettävyydestä - tietoturvallisuudesta. Ilman tietoturvatoimenpiteitä ja etukäteen luotuja vararatkaisuja ei esimerkiksi hankkeen toimintaa voida taata normaalitilanteessa eikä varsinkaan vakavissa häiriötilanteissa.

Hankkeen johtamisprosessin osana tulee varmistaa, että tietoturvallisuuden ja riskienhallinnan taso vastaa sille asetettuja tavoitteita, ja että tietoturvatoi­minnoille on varattu riittävät ylläpito- ja kehittämisresurssit.

Ohje tukee organisaatiota hankkeiden tietoturvallisuuden suunnittelussa, toimeenpanossa ja ylläpidossa sekä tarvittavien asiakirjojen laatimisessa.

Ohjeen johdannossa kuvataan tietoturvallisuuden yleisiä periaatteita ja perusteita valtionhallinnon näkökulmasta. Toisessa luvussa käsitellään hankkeen elinkaaren aikana hoidettavia tietoturva-asioita. Kolmannessa luvussa tar­kastellaan tietoturvallisuuden osa-alueita hankkeen sisällä. Neljännessä luvussa käsitellään käytettäviä asiakirjoja ja valmiita malleja hankejohtajan käyttöön.

Ohjeen liitteinä on joukko keskeisiä hankkeen tietoturvallisuuden hallin­taan liittyviä asiakirjamalleja.

Päivitetty: 9.6.2020