Hyvinvointialueen laitteiden ja tietojärjestelmien kriittisyysluokittelu : Pohjois-Pohjanmaan hyvinvointialue Pohde

Abstract

Tehtävänä oli kehittää ja edistää Pohjois-Pohjanmaan hyvinvointialue Pohteen kriittisyysluokitteluprosessia laitteiden ja etenkin tietojärjestelmien osalta. Ongelmana oli aikaisemman prosessin hajanaisuus, eikä yhteistä selkeää linjaa luokittelulle ollut olemassa. Kriittisyysluokittelu toteutettiin ennen lähinnä vanhalla, sairaanhoitopiireistä totutulla tavalla ja yhdistäen eri työkaluja.

Opinnäytetyön tavoitteena oli saada aikaan vakaa pohja hyvinvointialueen kriittisyysluokittelulle ja itse prosessille alaan liittyvien teorioiden, säädösten, lakien, vanhojen materiaalien ja eri alojen kriittisyysluokittelutoteutuksien perusteella. Prosessia kehitettiin yhteistyössä Pohteen tietoturvatiimin ja eri ammattilaisten kanssa. Itse luokitteluprosessi lähtee käyntiin heti esiselvitysvaiheessa ja sen on tarkoitus olla valmis ennen kuin rahoitus ja budjetointi on varmistettu. Kriittisyysluokitteluprosessin suunnittelun pohjaksi määräytyi tietoturvaa, tietosuojaa ja terveydenhuoltoalaa koskevat lait, asetukset ja standardit, joiden tehtävänä oli antaa viitekehykset prosessin luomiseksi.

Toiminnallisessa osuudessa kriittisyysluokitteluprosessin tueksi kehitettiin ennakkokysely ja kriittisyysluokittelutyökalu. Ennakkokyselyn tarkoituksena oli jaotella laitteet ja tietojärjestelmät karkeasti eri luokkiin asiakkaan oman näkökulman mukaisesti. Kriittisyysluokitteluun tarkoitetun työkalun tehtävänä oli tarkentaa jo saatua arviota tarvittaessa. Ennakkokyselystä ja kriittisyysluokittelutyökalusta saatu arvio laitteen tai järjestelmän kriittisyysluokasta määrittäisi jatkotoimenpiteistä ja resursseista, joita laite tai tietojärjestelmä tarvitsee.

Opinnäytetyöprosessin jälkeen kriittisyysluokitteluprosessi tulee osaksi Pohteen laitteiden ja tietojärjestelmien kriittisyysluokittelua. Käytännössä tullaan näkemään tarkemmin, kuinka toimiva prosessi on ja mitä täytyy muuttaa tai kehittää. Opinnäytetyö antoi kuitenkin perustuksen hyvinvointialueen kriittisyysluokittelulle, joka muokkautuu ja tarkentuu käytäntöön pääsyn, tarpeiden ja ajan myötä.

The task was to develop and advance the criticality classification process for devices and especially information systems within the Pohde Wellbeing Services County of North Ostrobothnia. The problem with the previous process was its fragmentation, and there was no clear common approach to classification. The criticality classification had been previously carried out mainly using old methods from the hospital districts by combining different tools.

The aim of the thesis was to establish a stable foundation for the criticality classification and the process itself within the wellbeing services county, based on relevant theories, regulations, laws, old materials, and criticality classification implementations from various fields. The process was developed in collaboration with Pohde's information security team and various professionals. The classification process starts at the preliminary investigation phase and is intended to be completed before funding and budgeting are confirmed. The design of the criticality classification process was based on laws, regulations, and standards related to information security, data protection, and the healthcare sector, which provided the frameworks for creating the process.

In the practical part of the thesis, a preliminary survey and a criticality classification tool were developed to support the criticality classification process. The purpose of the preliminary survey was to roughly categorize devices and information systems into different classes based on the client’s own perspective. The purpose of the criticality classification tool was to refine the initial assessment if necessary. The assessment from the preliminary survey and the criticality classification tool would define the follow-up actions and resources needed by the device or information system.

After the thesis process, the criticality classification process will become part of Pohde's criticality classification for devices and information systems. In practice, it will be seen in more detail how functional the process is and what needs to be changed or developed. However, the thesis laid the foundation for the wellbeing services county's criticality classification, which will be shaped and refined over time based on practical application, needs, and experience.