Valtiovarainministeriö pyytää lausuntoja riskienhallinnan ja sähköisen asioinnin tietoturvallisuus -ohjeisiin
Riskienhallinnan ja sähköisen asioinnin tietoturvallisuuden -ohjeiden tavoitteena on tukea ja kehittää valtionhallinnon ja julkisen hallinnon yhteisiä riskienhallinnan ja tietoturvallisuuden prosesseja. Tämän lisäksi ohjeistuksella edistetään riittävän tietoturvallisuuden toteutuminen etenkin sähköisen asioinnin palveluita kehitettäessä.
Riskienhallinnalla voidaan mahdollistaa toiminnan jatkuvuus
Organisaatiot voivat käyttää riskienhallinnan ohjekokonaisuutta tieto- ja kyberturvallisuuteen liittyvän riskienhallinnan toteuttamisessa toimintansa eri tasoilla. Ohje ja malli ovat sovitettavissa myös muuhun toimintaan. Ohjeessa esitellään riskienhallinnan periaatteet sekä ISO 31000-standardiin pohjautuva malli, jota jatkossa suositellaan käytettäväksi riskienhallinnan pohjana. Ohjetta tukemaan on laadittu Excel-työkalu, jota organisaatio voi halutessaan käyttää apuna.
Riskienhallinta on osa johtamisen ja toiminnan prosesseja sekä suunnittelua ja seurantaa. Tavoitteena on, että organisaatiolla on päätöksentekoa varten ajantasainen, oikea ja riittävän kattava käsitys riskeistä sekä selkeästi määritellyt riskienhallinnan vastuut ja seurantajärjestelmä.
Sähköisen asioinnin tietoturvallisuus varmistettava
Hallitusohjelman tavoitteena on rakentaa julkisen hallinnon palvelut käyttäjälähtöisiksi ja ensisijaisesti digitaalisiksi toimintatapoja uudistamalla. Asiointipalveluiden sähköistäminen tulee kuitenkin toteuttaa siten, että palvelut ovat tietoturvallisia ja edistävät kansalaisten ja yritysten luottamusta julkishallinnon toimintaan myös sähköisissä verkkoympäristöissä.
Sähköisen asioinnin tietoturvallisuus -ohjeen tavoite on:
- tarjota yhteenveto sähköisen asioinnin tietoturvallisuutta säätelevistä laeista ja viitekehyksistä
- auttaa muodostamaan kokonaisnäkemys sähköisen asioinnin keskeisistä tietoturvauhista
- tarjota käytännön ohjeita sähköisen asiointipalvelun tietoturvallisista rakenneratkaisuista ja toimintamalleista sekä havainnollistaa niitä sähköisen asioinnin viitearkkitehtuurin ja julkishallinnon konkreettisten case-esimerkkien kautta
- tarjota perustiedot julkisen hallinnon sähköisen asioinnin tukipalveluista ja niiden tarjoamista hyödyistä tietoturvallisuuden varmistamisessa erityisesti seuraavilta osin: tukipalveluiden standardinmukainen tietoturvallisuus ja laatu sekä asiointipalveluiden yhteentoimivuus.
VAHTI 1/2017 Ohje riskienhallintaan (lausunnolla 7.2.2017 saakka)
VAHTI 3/2017 Sähköisen asioinnin tietoturvallisuus -ohje (lausunnolla 17.2.2017 saakka)
Lisätietoja:
VAHTI-pääsihteeri Kimmo Rousku, puh. 050 566 2986, kimmo.rousku(at)vm.fi