Tietoturvatasot -hanke
VM115:03/2006 Projekt
Osassa I käynnistetään tietoturvatasojen valmistelu. Erityisesti painotetaan perustason vaatimuksiin ja soveltamisen tukemiseen hallinnossa. Päätehtävät vuonna 2008 ovat:
Tietoturvatasojen perustason määrittäminen
1. Määritetään sekä valmistellaan päätettäväksi hallinnolle yhteiset, tärkeät ja turvattavat kohteet tietoturvallisuuden kannalta. Näitä ovat esimerkiksi palvelut, perustietorekisterit, osaaminen ja resurssit.
2. Määritetään ja valmistellaan päätettäväksi valittujen turvattavien kohteiden turvaa-mistavoitteet ja vastuut perustasolla.
Tietoturvatasojen raportoinnin ja tulosohjauksen tukeminen
3. Laaditaan ehdotus, millä tietoturvallisuuden hallinnan keinoilla ja mahdollisilla yhteisillä palveluilla tavoitteet saavutetaan.
4. Määritetään vaatimukset, joilla päätetyt perustason tietoturvatavoitteet saavutetaan.
5. Laaditaan ehdotus, miten tietoturvatasot liitetään tulosohjaukseen ja raportointiin
Pilotointi ja tietoturvatasojen soveltaminen hallinnossa
6. Kootaan, ...
Projektets basuppgifter Avslutat
Projektets nummer VM115:03/2006
Ärendenummer
Projektets arrangör finansministeriet
Mandattid 28.2.2008 – 31.12.2008
Datum för tillsättande 27.2.2008
Mål och resultat
Tietoturvatasot hankekokonaisuuden yleiset tavoitteet vuosille 2008 - 2011
Tavoitteena on, että kaikki hallinnon organisaatiot täyttävät vaiheittain 1.1.2011 alkaen tietoturvallisuuden hallinnan sekä tietoon kohdistuvat perustason vaatimukset. Hankekoko-naisuuden tulosten käyttöönotolla ja hyvän hallintotavan mukaisesti:
- Julkishallinnon kokonaisturvallisuus paranee.
- Hallinto sekä palvelut saatetaan vähintään yhteismitalliselle perustasolle. Tietoturvatasojen avulla jatkossa organisaatioiden (tieto)turvallisuus on mitattavissa ja auditoitavissa yhtenäisellä tavalla. Kumppaneiden tietoturvatasot tunnetaan sekä oma tietoturvataso voidaan osoittaa sidosryhmille.
- Organisaatioiden välinen turvallinen tietojenvaihto mahdollistuu. Organisaatiot voivat tietoturvatasojen avulla luottaa toisiinsa sekä sidosryhmiinsä.
- Tietoturvavaatimusten asettaminen hankittaville palveluille helpottuu ja yhtenäistyy. Palvelutoimittajille saadaan selvät tietoturvavaatimukset.
- Mahdollisuus yhtenäiseen hankittujen palvelujen auditointiin tuo organisaatioille ja koko julkiselle hallinnolle säästöjä sekä parantaa laatua.
- Tarjottavilla apuvälineillä tuetaan organisaation tietoturvallisuuden hallintaa. Tieto-turvatasojen käyttöönotolla tietoturvallisuuden vastuunjako ja roolit selvenevät organisaatiossa.
- Tietojenkäsittely on hallittua ja asiointi on turvallista hallinnon palveluissa. Kansalaiset ja yritykset voivat luottaa laadukkaaseen ja turvalliseen tietojen käsittelyyn.
Hankekokonaisuuden osat (4)
Tietoturvatasot-hankekokonaisuuden osat ovat:
I Tietoturvatasojen perustason määrittäminen
II Vaikuttavien normien, standardien ja hyvien käytäntöjen kuvaaminen
III Tietoturvatasojen yhteydet muihin luokitteluihin sekä hyödyntämisen tutkiminen
IV Organisaatioiden kypsyyden ja tietoturvatason arviointi sekä parantaminen
Ensimmäisenä käynnistetään osa I ja muut osat asetetaan myöhemmin.
Utgångspunkter
Valtiovarainministeriö (VM) käynnistää tällä päätöksellä Tietoturvatasot hankkeen, joka toteutetaan vuosina 2008-2011. VM on tänään asettanut Tietoturvatasot -hankkeen ohjaus-ryhmän, hankeryhmän sekä tietoturvatasojen osan I raadin.
Hanketta valmistelleen esitutkimuksen yhteydessä keväällä 2007 VM:n työryhmä laati tie-toturvatasoja kuvaavan käsitemallin. Mallilla kuvataan tietoturvallisuuden perustaso sekä perustasoa korkeammat tasot. Perustaso on tietoturvatasojen minimitaso, joka kaikkien hal-linnon organisaatioiden tulee ylittää. Käsitemalli on julkaistu esitutkimuksen aineistoissa VM:n kotisivuilla http://www.valtit.fi/.
Määriteltyjen tietoturvatasojen avulla hallitaan oman organisaation tietoturvallisuutta. Tie-toturvallisuudelle voidaan asettaa kehittämistavoitteet (tulostavoitteet). Tietoturvatasojen avulla voidaan asettaa tietoturvallisuuden hallinnalle ja kehittämiselle mitattavat tavoitteet (mittarit). Tavoitteiden toteutumista seurataan osana tulosohjausta.
Tietoturvatasot koskevat hallintoa, hallinnon sidosryhmiä sekä palveluntoimittajia. Tieto-turvatasojen avulla pystytään yhteismitallisesti kuvaamaan oman organisaation tietoturvataso myös sidosryhmille. Yhtenäisesti määritellyillä ja toteutetuilla tietoturvatasoilla edistetään poikkihallinnollista yhteistyötä. Tietoturvatasoilla voidaan asettaa palvelutoimittajille kulloinkin hankinnan kohteena oleviin palveluihin oikeassa suhteessa olevat tietoturvallisuusvaatimukset.
Hanke tukee Yhteiskunnan elintärkeiden toimintojen turvaamisen strategian (YETT) toimeenpanoa sekä useita hallinnon hankkeita, mm. Huoltovarmuuskeskuksen HUOVI-hanketta, valtiovarainministeriön Virkamiehen tunnistaminen (VirTu) ja Varautuminen (VARe)-hankkeita.
Yhteiskunnan elintärkeiden toimintojen strategia (YETT), http://www.yett.fi/
16.5.2008
Osa II tukee varsinaista Tietoturvatasot-hanketta. Tietoturvatasojen esitutkimusraportti on julkaistu esitutkimuksen aineistoissa VM:n kotisivuilla. Hankkeen toteuttamiseksi ehdotettiin työn jakamista osiin ja tämä asettamispäätös koskee osaa II.
Määriteltyjen tietoturvatasojen avulla hallitaan oman organisaation tietoturvallisuutta. Perustaso on tietoturvatasojen minimitaso, joka kaikkien hallinnon organisaatioiden tulee ylittää. Tietoturvallisuu-delle voidaan asettaa kehittämistavoitteet (tulostavoitteet). Tietoturvatasojen avulla voidaan asettaa tietoturvallisuuden hallinnalle ja kehittämiselle mitattavat tavoitteet (mittarit). Tietoturvatasot koskevat hallintoa, hallinnon sidosryhmiä sekä palveluntoimittajia. Tietoturvatasojen avulla pystytään yhteismi-tallisesti kuvaamaan oman organisaation tietoturvataso myös sidosryhmille.
Ytterligare uppgifter
Remissbehandlingar och höranden
-
18.12.2008 Valtiovarainministeriö
Lausunto, ESLH-2008-09913/YI-4
2.12.2008 Etelä-Suomen lääninhallitus
Utlåtande, 293/03/08
2.12.2008 Åbo Akademi
Lausunto, 1562/08/2008
2.12.2008 Valtioneuvoston kanslia
Lausunto, 392/01/2008
2.12.2008 Valtiokonttori
Lausunto
2.12.2008 Finnsecurity ry.
Lausunto
1.12.2008 Rovaniemen hallinto-oikeus
Lausunto
1.12.2008 Kuluttajatutkimuskeskus KTK
Lausunto, Kela 7/012/2008
1.12.2008 Kansaneläkelaitos, Kela
Lausunto, YM195/04/2008
1.12.2008 Ympäristöministeriö
Lausunto, Somla 21/2008
1.12.2008 Sosiaaliturvan muutoksenhakulautakunta, Somla
Lausunto, 176/050/2008
1.12.2008 Opetusministeriö
Lausunto
1.12.2008 Kansallinen audiovisuaalinen arkisto
Ilmoitus, ettei lausuttavaa
1.12.2008 Itä-Suomen hovioikeus
Lausunto, OKV/34/0/2008
1.12.2008 Oikeuskanslerinvirasto
Lausunto
1.12.2008 Tampereen yliopisto
Lausunto, 618/006/2008
1.12.2008 Riistan- ja kalantutkimus
Ilmoitus, ettei lausuttavaa
1.12.2008 Valtion elokuvatarkastamo
Lausunto, H 00299/08
1.12.2008 Helsingin hallinto-oikeus
Lausunto
1.12.2008 Sisäasiainhallinnon palvelukeskus
Lausunto
1.12.2008 Keskuskauppakamari
Lausunto, AE24852
1.12.2008 Pääesikunta, operatiivinen osasto
Lausunto, 334/0/2008
1.12.2008 Vakuutusoikeus
Lausunto, 1747/02/2008/HPL
1.12.2008 Helsingin kihlakunnan poliisilaitos
Lausunto, 301/041/2008
1.12.2008 Uudenmaan TE-keskus
Lausunto
1.12.2008 Huoltovarmuuskeskus
Lausunto, 2442/53/2008
28.11.2008 Rajavartiolaitos
Lausunto, TK-03-693-08
28.11.2008 Tilastokeskus
Lausunto, 578/1.6.1/2008
28.11.2008 Hätäkeskuslaitos
Lausunto
28.11.2008 Työterveyslaitos
Lausunto
27.11.2008 Liikkuva poliisi, Johdon esikunta
Lausunto, 3840/04/2008
27.11.2008 Turvatekniikan keskus, Tukes
Lausunto, EK/763/2008
27.11.2008 Elinkeinoelämän keskusliitto EK
Lausunto, 1574/04/2008
26.11.2008 Helsingin yliopisto
Lausunto, 1731/04/2008
26.11.2008 Viestintävirasto
Lausunto, 95/03/08
26.11.2008 Keskusrikospoliisi
Lausunto, 15097-2008
21.11.2008 Turun kaupungin tietohallinto
Lausunto, 21/091/2008
19.11.2008 Rikosseuraamusvirasto
Lausunto, 401/2008
18.11.2008 Suojelupoliisi
Jakelun mukaan; Lausuntopyyntö Tietoturvatasot -käsikirjasta
3.11.2008 Valtiovarainministeriö
Övriga dokument och promemorior
Pyyntö jatkoajan saamiseen lausunnon antamiseksi
27.11.2008 Museovirasto
Pyyntö jatkoajan saamiseksi lausunnon antamiseen
27.11.2008 Museovirasto
Edustajan nimeäminen, STM/416/2008
20.2.2008 Sosiaali- ja terveysministeriö
Edustajan nimeäminen, AE3229
20.2.2008 Pääesikunta
Jäsenen nimeäminen
14.2.2008 Eduskunta
Jäsenen nimeäminen
14.2.2008 Tiehallinto
Jäsenen nimeäminen
13.2.2008 Teknillisen korkeakoulun ja Helsingin kauppakorkeakoulun yhteinen tietohallinto
Jäsenen nimeäminen
13.2.2008 Merenkulkulaitos
Jäsenen nimeäminen
12.2.2008 Oulun yliopisto
Jäsenen nimeäminen, 2911/402/2008
8.2.2008 Stakes
Edustajan nimeäminen
6.2.2008 Valtioneuvoston kanslia
Jakelussa mainitut; Ennakkotietoa ja tiedustelu jatkohankkeeseen osallistumisesta
19.1.2008 Valtiovarainministeriö
Tillsättande och organisering
Asettamispäätös (Tietoturvatasot - osa II) PDF
16.5.2008 Valtiovarainministeriö
Asettamispäätös RTF
27.2.2008 Valtiovarainministeriö
Lagberedning och utveckling i statsrådet
Ministerierna genomför regeringsprogrammet, bereder lagar och andra författningar samt genomför reformer i olika projekt, arbetsgrupper och organ.
Alla ministeriers projekt hittas på statsrådets webbplats valtioneuvosto.fi/sv/projekt