torstai 22. heinäkuuta 2010

Asetus tietoturvallisuudesta valtionhallinnossa

Valtioneuvosto antoi asetuksen tietoturvallisuudesta valtionhallinnosta 1.7 ja asetus astuu voimaan 1.10.2010. Mitä tämä tarkoittaa julkishallinnossa ja julkishallinnon kanssa toimiville yrityksille? Entä onko asetuksesta hyötyä yksityisyrittäjälle?

Asetuksen tavoitteena on yhtenäistää käytäntöjä sekä lisätä asiakkaiden ja sidosryhmien luottamusta valtionhallintoon. Asetuksen sisältö koostuu kahdesta vaatimuksesta organisaatioille 

1. Yleisistä tietoturvallisuusvaatimuksista 
2. Asiakirjojen luokittelun perusteista ja käsittelyohjeista

Yleiset tietoturvallisuusvaatimukset eivät sinällään tuo mitään uutta. Vaatimukset ovat tuttuja jo hyvään tiedonhallintatapaan perehtyneille organisaatioille. Näiden ohjeiden mukaan tietoturvallisuuden toteuttamisessa on esimerkiksi suoritettava riskikartoitukset, määriteltävä tiedon käsittelymenetelmät ja vastuut, noudatettava käsittelyssä tarpeellisuusperiaatetta ja huolehdittava käsittelyssä ja säilytyksessä riittävistä turvallisuustoimista. Lisäksi henkilöstö on ohjeistettava ja koulutettava sekä annettujen ohjeiden toteutumista on valvottava. Tämän perustason saavuttamiselle on määritelty kolmen vuoden siirtymisaika.

Jokaisessa organisaatiossa liikkuu eritasoista tietoa jonkin tiedon ollessa erityisen kriittistä ja jonkin toisen taas ollessa vähemmän tärkeää. Asiakirjojen luokittelulla pyritään siihen, että informaation käsittelylle organisaatiossa on olemassa selkeät toimintaohjeet eritasoisesti luokitellulle tiedolle. Tietojen luokitukseen perustuvan ohjeistuksen on katettava koko tiedon elinkaari organisaatiossa asiakirjan luomisesta sen hävittämiseen asti. 

Luokittelu on neliportainen ja vastaa siten kansainvälisiä käytäntöjä. Asetus koskee yhtä lailla paperista, mutta myös sähköistä aineistoa sen formaatista riippumatta.

Valtionhallinnon kanssa toimivien sidosryhmien on hyvä tuntea kyseisen asetuksen sisältö, etenkin yrityksissä, joissa viranomaisten tietoa käsitellään. Vaatimukset koskevat tiedon käsittelyä myös esimerkiksi IT -alan palveluyrityksissä. Asetuksen vaatimusten käyttöönotto yksityisyrityksissä ei ole turhaa, vaikkei siihen velvoitteita olisikaan. Hyvä tiedonhallintatapa lisää toiminnan varmuutta, yrityksen luotettavuutta ulkopuolisten silmissä sekä selkiyttää yrityksissä olennaisen tiedon tunnistamista ja sen suojaamista. Lisäksi asiakirjaluokittelu on melko kevyt ja helppo tapa täyttää esimerkiksi suomalaisen työlainsäädännön vaatimus luottamuksellisen tiedon osoittamisesta työsuhteen salassapitopykäliin liittyen.

Ei kommentteja:

Lähetä kommentti