Hankintojen tietoturvallisuusriskien arvioinnin kehittäminen valtioneuvoston kansliassa
Virta, Olli (2022)
Virta, Olli
2022
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2022121730678
https://urn.fi/URN:NBN:fi:amk-2022121730678
Tiivistelmä
Opinnäytetyön aihe on Hankintojen tietoturvallisuusriskien arvioinnin kehittäminen valtioneuvoston kansliassa. Työn toimeksiantaja on valtioneuvoston kanslian valmiusyksikkö. Työ liittyy käynnissä olevaan hankintojen tietoturvallisuuden kehittämisprojektiin ja valtioneuvoston hankintaohjeen päivitystyöhön. Työn tavoitteena oli kehittää valtioneuvoston kansliassa tehtävien hankintojen riskien arviointia osana hankintojen tietoturvavaatimusten määrittelyä.
Työn pohjatiedot perustuvat kirjallisiin turvallisuutta koskeviin ohjeisiin ja määräyksiin sekä alan yleisiin käytäntöihin. Keskeisen tietopohjan muodostavat valtioneuvoston tietoturvallisuusmääräykset ja –ohjeet sekä hankintaohjeen luonnos 2022. Riskienhallinnan tietoperusta perustuu SFS-ISO 31000 -standardille, jossa on kuvattu riskienhallinnan keskeiset periaatteet.
Työn tuloksena syntyi työkalu, jonka avulla hankintaa suunnitteleva henkilö voi määrittää, missä laajuudessa ja millaisen menettelyn kautta kyseisen hankinnan tietoturvariskit on arvioitava. Työkalussa on yksinkertainen prosessikaavio, jota seuraamalla voidaan arvioida hankinnassa tarvittava riskiarviomenettely. Menettelyjä on kolme eri tasoista: suppea, perusmuotoinen ja laaja menettely. Tämän arvion perusteella voidaan tehdä hankinnan laatuun nähden oikeanlainen ja järkevä riskienarviointi. Näin hankinnan tietoturvariskit tulee tunnistettua kattavasti ja niihin voidaan määrittää riittävät hallintakeinot. Laadittu työkalu tulee osaksi valtioneuvoston hankintaohjeistusta.
Työn tutkimusote on laadullinen. Työ on tyypiltään kehittämistehtävä, jossa on sovellettu tapaustutkimuksen menetelmiä. Tiedonkeruumenetelmänä käytettiin asiakirjatutkimusta ja aineiston analyysimenetelmänä teorialähtöistä sisällönanalyysia. Työn tulokset validoitiin asiantuntijatyöpajoissa. Työ ei ole tieteellisesti todistusvoimainen, mutta käytetyillä menetelmillä ja työn toteutuksen tarkalla kuvaamisella työstä on saatu sen laajuus ja käyttötarkoitus huomioiden riittävän luotettava, jotta tuloksia voidaan soveltaa käytäntöön toimeksiantajan tarpeiden mukaan.
Työn pohjatiedot perustuvat kirjallisiin turvallisuutta koskeviin ohjeisiin ja määräyksiin sekä alan yleisiin käytäntöihin. Keskeisen tietopohjan muodostavat valtioneuvoston tietoturvallisuusmääräykset ja –ohjeet sekä hankintaohjeen luonnos 2022. Riskienhallinnan tietoperusta perustuu SFS-ISO 31000 -standardille, jossa on kuvattu riskienhallinnan keskeiset periaatteet.
Työn tuloksena syntyi työkalu, jonka avulla hankintaa suunnitteleva henkilö voi määrittää, missä laajuudessa ja millaisen menettelyn kautta kyseisen hankinnan tietoturvariskit on arvioitava. Työkalussa on yksinkertainen prosessikaavio, jota seuraamalla voidaan arvioida hankinnassa tarvittava riskiarviomenettely. Menettelyjä on kolme eri tasoista: suppea, perusmuotoinen ja laaja menettely. Tämän arvion perusteella voidaan tehdä hankinnan laatuun nähden oikeanlainen ja järkevä riskienarviointi. Näin hankinnan tietoturvariskit tulee tunnistettua kattavasti ja niihin voidaan määrittää riittävät hallintakeinot. Laadittu työkalu tulee osaksi valtioneuvoston hankintaohjeistusta.
Työn tutkimusote on laadullinen. Työ on tyypiltään kehittämistehtävä, jossa on sovellettu tapaustutkimuksen menetelmiä. Tiedonkeruumenetelmänä käytettiin asiakirjatutkimusta ja aineiston analyysimenetelmänä teorialähtöistä sisällönanalyysia. Työn tulokset validoitiin asiantuntijatyöpajoissa. Työ ei ole tieteellisesti todistusvoimainen, mutta käytetyillä menetelmillä ja työn toteutuksen tarkalla kuvaamisella työstä on saatu sen laajuus ja käyttötarkoitus huomioiden riittävän luotettava, jotta tuloksia voidaan soveltaa käytäntöön toimeksiantajan tarpeiden mukaan.