Tietoturvallisuusasetuksen (681/2010) soveltaminen palvelutoimittajan infrastruktuuri-palveluihin
Konu, Satu (2011)
Konu, Satu
Kemi-Tornion ammattikorkeakoulu Lapin ammattikorkeakoulu
2011
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2011120317046
https://urn.fi/URN:NBN:fi:amk-2011120317046
Tiivistelmä
TIIVISTELMÄ
Konu, Satu. 2011. Valtioneuvoston asetuksen tietoturvallisuudesta valtionhallinnossa 681/2010 soveltaminen palvelutoimittajan infrastruktuuri-palveluihin, Case Logica. Opinnäytetyö. Kemi-Tornion ammattikorkeakoulu. Kaupan ja kulttuurin toimiala. Sivuja 38.
Opinnäytetyön keskeisempiä tavoitteita on tutkia julkishallinnon tietoturvallisuusasetusta ja sitä mitä uusia vaateita se tuo Logicalle, joka on julkishallinnon ulkoistuspalvelutarjoaja. Organisaation tulee ottaa myös huomioon Ohjeessa tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta (VAHTI 2/2010) olevat vaatimukset koskien tietoaineistojen käsittelyä ulottaen sen myös palveluiden tarjoamiseen.
Tietoturvallisuusasetus astui voimaan 1.10.2010. Se velvoittaa viranomaiset saattamaan toimintansa ja tietojenkäsittelynsä vastaamaan asetuksessa säädettyjä perustason tietoturvavaatimuksia. Viranomaisten tulee saattaa toimintansa vastaamaan perustason vaatimuksia kolmen vuoden kuluessa asetuksen voimaantulosta eli 30.9.2013 mennessä.
Teoriatiedon hankinnassa on hyödynnetty Internettiä, Finlex:iä, VAHDIN ohjeita ja painettua kirjallisuutta. Tutkimuksen empiirinen osuus perustuu Logican tietoturvapäällikön haastatteluihin, joita on tehty kolme kevään 2011 aikana.
Tutkimus osoittaa, että Logican palveluiden tietoturvallisuustaso on hyvää perustasoa. Organisaation arvioinnin ja sen IT hallinnan läpikäynneissä kummassakin Logican nykytaso on lähes kolme eli yritys täyttää perustason vaatimukset hyvin. Perustason vaatimukset ovat tietoturvallisuusasetuksessa asetettu tavoitetaso.
Hyväksi havaittuja keinoja varmistaa palvelun laatu ja tietoturvavaatimukset ovat esimerkiksi tietoturvallisuuden johtaminen ja kehittäminen ISO/IEC 27001 -standardin mukaisesti, palveluiden tuotteistaminen ja prosessinmukaiset toimintatavat. Oleellista on huolehtia henkilökunnan riittävästä ja säännöllisestä koulutuksesta. Myös johdon sitoutuminen valittuihin toimintatapoihin on tärkeää. Opinnäytetyö on osittain salattu ja tarkoitettu vain Logican sisäiseen käyttöön.
Avainsanat: tietoturvallisuus, laatu, ITIL, ISO/IEC
Konu, Satu. 2011. Valtioneuvoston asetuksen tietoturvallisuudesta valtionhallinnossa 681/2010 soveltaminen palvelutoimittajan infrastruktuuri-palveluihin, Case Logica. Opinnäytetyö. Kemi-Tornion ammattikorkeakoulu. Kaupan ja kulttuurin toimiala. Sivuja 38.
Opinnäytetyön keskeisempiä tavoitteita on tutkia julkishallinnon tietoturvallisuusasetusta ja sitä mitä uusia vaateita se tuo Logicalle, joka on julkishallinnon ulkoistuspalvelutarjoaja. Organisaation tulee ottaa myös huomioon Ohjeessa tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta (VAHTI 2/2010) olevat vaatimukset koskien tietoaineistojen käsittelyä ulottaen sen myös palveluiden tarjoamiseen.
Tietoturvallisuusasetus astui voimaan 1.10.2010. Se velvoittaa viranomaiset saattamaan toimintansa ja tietojenkäsittelynsä vastaamaan asetuksessa säädettyjä perustason tietoturvavaatimuksia. Viranomaisten tulee saattaa toimintansa vastaamaan perustason vaatimuksia kolmen vuoden kuluessa asetuksen voimaantulosta eli 30.9.2013 mennessä.
Teoriatiedon hankinnassa on hyödynnetty Internettiä, Finlex:iä, VAHDIN ohjeita ja painettua kirjallisuutta. Tutkimuksen empiirinen osuus perustuu Logican tietoturvapäällikön haastatteluihin, joita on tehty kolme kevään 2011 aikana.
Tutkimus osoittaa, että Logican palveluiden tietoturvallisuustaso on hyvää perustasoa. Organisaation arvioinnin ja sen IT hallinnan läpikäynneissä kummassakin Logican nykytaso on lähes kolme eli yritys täyttää perustason vaatimukset hyvin. Perustason vaatimukset ovat tietoturvallisuusasetuksessa asetettu tavoitetaso.
Hyväksi havaittuja keinoja varmistaa palvelun laatu ja tietoturvavaatimukset ovat esimerkiksi tietoturvallisuuden johtaminen ja kehittäminen ISO/IEC 27001 -standardin mukaisesti, palveluiden tuotteistaminen ja prosessinmukaiset toimintatavat. Oleellista on huolehtia henkilökunnan riittävästä ja säännöllisestä koulutuksesta. Myös johdon sitoutuminen valittuihin toimintatapoihin on tärkeää. Opinnäytetyö on osittain salattu ja tarkoitettu vain Logican sisäiseen käyttöön.
Avainsanat: tietoturvallisuus, laatu, ITIL, ISO/IEC