6.9

Julkinen hallinto

Palvelujen johtaminen verkostossa

IT-palvelujen tuotannossa julkinen hallinto tekee yksityistä sektoria enemmän yhteistyötä. Kunnat tekevät yhteishankintoja toimittajilta, ovat muodostaneet yhteisiä IT-yhtiöitä ja tuottavat mm. kuntayhtymissä kuntayhtymien tarvitsemia IT-palveluja.  Valtion hallinnossa on käytettävä yhteishankintayksikön kilpailuttamia toimittajia (765/2006 Valtioneuvoston asetus valtionhallinnon yhteishankinnoista) ja toimialariippumattomat palvelut on hankittava sitä varten perustetulta yhtiöltä (1226/2013 Laki valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä). Lainsäädäntö yhdessä konsernimaisen toimintatavan kanssa ohjaa palvelujen johtamista ja korostaa verkostomaista, yli toimijarajojen ulottuvaa palvelujen johtamista.

 

Jatkuvuuden varmistaminen

Julkishallinnon organisaatioiden toiminnan luonteesta johtuen palveluiden johtamisessa korostuu tietoaineistoturvallisuus ja toiminnan jatkuvuuden varmistaminen niin normaali- kuin poikkeusoloissakin. Julkisella hallinnolla on keskeinen asema yhteiskunnan elintärkeiden toimintojen kannalta välttämättömien palvelujen tuottamisessa. Tavoitteeksi tulisi asettaa, että ICT-varautuminen on kustannustehokas ja koordinoitu osa kunkin julkisen hallinnon organisaation jokapäiväistä toimintaa siten, että organisaation tuottamien palvelujen jatkuvuus kyetään takaamaan toiminnan vaatimusten mukaisesti kaikissa häiriötilanteissa.

ICT-varautuminen on riskienhallintaan pohjautuvaa toiminnan jatkuvuuden hallintaa ja tiedon turvaamista. Varautumiseen luetaan mukaan kaikki ne hallinnolliset, toiminnalliset ja tekniset toimenpiteet ja ratkaisut, joilla varmistetaan tiedon saatavuus ja palveluiden mahdollisimman häiriötön toiminta kaikissa tilanteissa sekä mahdollistetaan palvelujen toipuminen häiriöistä. Varautuminen häiriötilanteisiin on osa jokaisen organisaation hyvän hallintotavan (Corporate Governance) ja hyvän tietohallintatavan (IT Governance) mukaista toimintaa.

Julkisen hallinnon organisaatioiden toiminnan jatkuvuuden varmistamiseen liittyviä velvoitteita ohjaavat lainsäädännössä olevat varautumisen vaatimukset sekä tietoaineistojen luokittelua ohjaava lainsäädäntö. ICT-varautumisen vaatimukset, VAHTI 2/2012 -ohjeeseen on koottu julkishallinnon organisaatioita velvoittavat keskeiset säännökset.

IT_varautuminen_lainsaadanto

Kuvio 6.9.1 ICT-varautumista ohjaavaa lainsäädäntöä ja ohjeistusta.

Kansallisen turvallisuusauditointikriteeristön (KATAKRI) ensisijainen kohderyhmä on ne julkishallinnon ja elinkeinoelämän organisaatiot tai niiden tietojärjestelmät ja tietoliikennejärjestelyt, jotka ovat olleet yritysturvallisuusselvityksen kohteena ja jotka käsittelevät kansainvälistä, turvallisuusluokiteltua tietoaineistoa.

Julkisessa hallinnossa käytetyt varautumisen vaatimusten viitekehykset perustuvat usein yleisesti käytettyihin EFQM ja CAF laadunarviointimalleihin sekä vaatimuksissa ISO standardeihin 27001 ja 22301.

Varautuminen edellyttää hyvää yhteistoimintaa organisaation sisällä ja kaikkien sidosryhmien kanssa. Tietohallinto ja ICT ei voi olla omana siilona, vaan se on liitettävä kiinteästi organisaation johtamiseen ja johdon toimesta palveluille asetettaviin vaatimuksiin.

Johtamisen_merkitys_2

Kuvio 6.9.2 Johtamisen merkitys IT-johtamisen kokonaisuudessa.

 

Keskeistä varautumisessa on tilannetietoisuus ja kuhunkin turvallisuustilanteeseen liittyvä ICT- tilannekuva. Tilannekuva, jota tarvitaan varautumisen kehittämisessä, muodostuu organisaation toiminnan ja toimintaympäristön antamista tiedoista, minkä vuoksi ICT-varautuminen tulee sisältyä arkkitehtuuriin, liiketoiminnan vaatimuksiin, tehtäväroolien vastuisiin, prosessikuvauksiin, vuosikellon mukaiseen jatkuvan kehittämisen malliin, riskien hallintaan ja prosessien mittaamiseen.

 

ICT-varautumisen vaatimukset voidaan ryhmitellä kuuteen osaan (VAHTI 2/2012):

  1. Johtaminen
  2. Strategiat ja toiminnan suunnittelu
  3. Henkilöstö
  4. Kumppanuudet ja resurssit
  5. ICT-jatkuvuuden hallinta
  6. Mittaaminen ja raportointi

 

Häiriöiden vaikutusta rajoittavat toimenpiteet on kyettävä käynnistämään nopeasti. Toimenpiteisiin vaikuttavat keskeisesti tilannetietoisuus, ennakkovarautuminen, päätöksentekokyky ja -rakenne sekä saatavilla oleva dokumentaatio ja ohjeistus. Tehtävien ja toiminnan analysointi suhteessa erityistilanteisiin tuottaa vaatimukset ICT-varautumiselle.

Tietohallinnon on huomioitava jatkuvien palvelujen järjestämisessä myös ulkoistuksen vaikutukset tietoaineistoturvallisuuteen ja toiminnan jatkuvuuteen. Kun tietohallinto kilpailuttaa ja hankkii tietotekniikkapalveluita (järjestelmät, ylläpito ja käyttöpalvelu) kaupallisilta toimittajilta, on sen samalla asetettava niille ICT-varautumis- ja muut turvallisuusvaatimukset.

ICT-varautumista hallitaan sopimuksissa olevien vaatimusten kautta, vaikka ICT-varautumisen toimeenpano tapahtuisikin palvelun tuottavassa yrityksessä (ohjeita esim. SOPIVA-sopimuslausekkeet). Jokainen organisaatio vastaa varautumisen vaatimusten sisällyttämisestä tekemiinsä tarjouspyyntöihin ja sopimuksiin. Tarjouspyyntöjä ja sopimuksia laadittaessa on arvioitava kunkin hankittavan palvelun osalta, mitkä vaatimukset sopivat sellaisenaan ja mitä vaatimuksia tulee hankinnan luonteen vuoksi muokata, jotta vaatimukset saadaan palvelutoimittajaa halutulla tavalla velvoittaviksi.

Jokaisen organisaation tulee varmistua tekemissään palvelusopimuksissa, että palvelulle asetettu vaatimustaso välittyy myös hankintaketjussa palvelun toimittajalta edelleen palvelun tuottamiseen osallistuvalle verkostolle. Samoin on varmistuttava, että palveluun jääneet rajoitteet ja jäännösriskit tiedotetaan palvelun tilaajalle ja käyttäjäorganisaatioille.

Hyvä käytäntö on luokitella tietojärjestelmät toiminnan tarpeiden ja niissä käsiteltävien tietojen suojausvaatimusten mukaisesti eri varautumistasoille (VAHTI 2/2012):

ERITYISTASO (erityiset käyttövaatimukset tai -ympäristöt)

KORKEA TASO (poikkeusolojen tarpeet ohjaavat, yhteiskunnan elintärkeät toiminnot, NCSA-FI:n hyväksymä auditointi)

KOROTETTU TASO (kriittisten toimintojen minimitaso, nopea palautuminen häiriöistä, auditoidut palveluntuottajat ja palvelut)

PERUSTASO (verkostoitunut sähköinen asiointi, palautuminen häiriötilanteissa, yleiset kaupalliset palvelut ja sopimukset)

AVOIN TASO (yleisten pilvipalvelujen käyttö, varautumistarpeita palvelulle ei ole, siirtymävaiheen tila organisaatiolle)

Asiakirjojen luokittelua valtionhallinnossa ohjaa asetus tietoturvallisuudesta (681/2010), ja valtioneuvoston periaatepäätös kehittää valtion viranomaisten tietojärjestelmät vähintään perustasolle asettaa puolestaan vaatimuksia tietojärjestelmille.

Kunnissa ei ole käytössä yhteisiä tavoitteita varautumistasolle, vaan jokainen kuntaorganisaatio määrittää oman tavoitetason huomioiden lainsäädännön vaatimukset ja reunaehdot. Monet palvelutuotannon tietojärjestelmät, kuten esim. potilastietojärjestelmät, sijoittuvat pääosin korotetulle tasolle. Korotetulla tasolla tehostetaan häiriöitä ennaltaehkäiseviä varautumistoimenpiteitä ja otetaan käyttöön häiriön sietäviä ratkaisuja. Korotetun tason järjestelmissä on ympärivuorokautinen valvonta ja kyky aloittaa viankorjaus viivytyksettä. Korotetulla tasolla käyttäjäorganisaatioilta voidaan myös edellyttää päivystysjärjestelyjä, joilla varmistetaan kyky päättää toimenpiteistä, joilla häiriötilanteet hoidetaan. Tämä tarkoittaa käytännössä sitä, että esimerkiksi jatkuvan palvelutuotannon osalta sovitaan palveluntoimittajan kanssa yhdessä tietoliikenteen, tietoliikennelaitteiden ja henkilöstön käyttö häiriötilanteissa. Lisäksi palveluarkkitehtuurissa on edellytettävä kahdennetut ympäristöt, ja palvelusopimuksissa on määriteltävä palvelun aikakriittisyys.

 

Tietoaineistoturvallisuus

Tiedot ja tietoturvallisuus ovat nykypäivän tietokeskeisessä yhteiskunnassa ehdottomia edellytyksiä organisaation toiminnalle. Keskeisten liiketoimintaa ja päätöksiä tukevien tietojen tulee olla saatavilla tarvittaessa. Tietojen tulee olla oikeita ja luotettavia. Päätökset, jotka perustuvat virheelliseen tai oikeudettomasti muutettuun tietoon, voivat aiheuttaa vakavia vahinkoja organisaation toiminnalle ja imagolle sekä yhteiskunnan turvallisuudelle. Julkisen luotettavuuden piiriin kuuluvien tietojen osalta voi viranomaiselle muodostua vahingonkorvausvelvollisuus, jos tiedoissa on virheitä. Tietojen asianmukaisesta salassapidosta on huolehdittava tiedon suojaustason edellyttämällä tavalla.

Tietoaineistoturvallisuudessa on kyse eri talletusmuodoissa olevien tietojen suojauksesta. Se koskee paperiasiakirjoja, mikrofilmiä ja kaikkia sähköisiä välineitä muodosta riippumatta. Tietoaineistoturvallisuus kattaa käsittelysäännöt tietoaineiston synnystä sen tuhoamiseen asti. Julkisen hallinnon toiminta on tältä osin yksityistä sektoria tarkemmin säädeltyä.

Julkisen hallinnon viranomaisten yleinen velvollisuus huolehtia tietoturvallisuudesta perustuu viranomaisten toiminnan julkisuudesta annettuun lakiin (621/1999; jäljempänä Julkisuuslaki).  Lain mukaan viranomaisten on huolehdittava, että asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen suoja, eheys ja laatu turvataan asianmukaisin menettelytavoin ja tietoturvajärjestelyin ottaen huomioon tietojen merkitys ja käyttötarkoitus sekä asiakirjoihin ja tietojärjestelmiin kohdistuvat uhkatekijät ja tietoturvatoimenpiteistä aiheutuvat kustannukset (mm. Julkisuuslaki, 18 § Hyvä tiedonhallintatapa).

Julkisuuslain lisäksi viranomaisten toimintaa säätelee mm. Hallintolaki (434/2003) ja Kuntalaki (410/2015), joiden mukaisesti tietoja on annettava kansalaisten saataville ja toisaalta pidettävä eriasteisesti salaisina. Henkilörekisterien tietosuojaa säädellään yleisesti kaikkia toimijoita koskien mm. Henkilötietolaissa ja Työelämän tietosuojalaissa. Arkistolaissa ja asetuksessa säädellään julkishallintoa koskien tietoaineistojen säilyttämisestä ja arkistoinnista. Lisäksi eri toimialoja, toimintoja ja niissä tarvittavia tietoja säädellään erityislainsäädännössä (esim. 785/1992 Laki potilaan asemasta ja oikeuksista), joissa asetetaan rajoituksia tietojen käytölle ja luovuttamiselle.

Valtionhallinnon viranomaisia ohjaa lisäksi tietoturva-asetus, jossa säädetään yleisistä tietoturvallisuusvaatimuksista sekä asiakirjojen luokittelun perusteista ja luokittelua vastaavista asiakirjojen käsittelyssä noudatettavista tietoturvallisuusvaatimuksista. Ohjaus kohdistuu ensisijaisesti salassa pidettäviin asiakirjoihin (681/2010 Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa 8 § ja 9 § ). Asiakirjojen luokittelu ei ole asetuksen mukaan pakollista. Viranomaisen on kuitenkin syytä päättää, ottaako se luokittelun käyttöön ja milloin.

Julkisen hallinnon viranomaisten tulee huolehtia asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä, suojaamisesta, eheydestä ja muista tietojen laatuun vaikuttavista tekijöistä. Organisaatioiden johto on keskeisessä asemassa tietoturvallisuuden ylläpitämisessä ja kehittämisessä. Tietoturvallisuus tulee organisoida ja vastuuttaa erityisesti riskienhallintatoimessa, tietohallintotoimessa, sopimus ja hankintatoimessa, sekä lainmukaisuuden valvonnassa.

Valtionhallinnossa virastojen johto ja kunnissa kunnanhallitus vastaa siitä, että asiakirjahallinnon käytännön vastuut, asiakirjahallinnon ohjeistus ja valvonta on määritelty. Tietohallinnon vastuulla on käytännössä varmistaa, että tietojärjestelmät ja prosessit toteuttavat jatkuvasti niille asetettuja vaatimuksia.

Johdon tietoturvavelvoitteiden muistilista:

  1. Lainmukaisuuden varmistaminen
  2. Riskienhallinnan- ja hallintajärjestelmän toteuttaminen
  3. Tietoturvapolitiikkaan sitoutuminen
  4. Tietoturvajohtaminen
  5. Tietoturvavastuuhenkilön nimeäminen
  6. Tietoturvallisuuden organisointi
  7. Tietoturvallisuuden toteutumisen varmistaminen
  8. Tietoturvallisuuden TTS-suunnitteluedellytysten luonti
  9. Poikkeama- ja erityistilanteiden hallinta
  10. Tietoturvaraportointivelvollisuuksista huolehtiminen

 

Ota yhteyttä Tietohallintomalli PDF

Haluatko tietää lisää Tietohallintomallista ja sen soveltamisesta käytännössä? Ota yhteyttä.