VAHTI 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta

Virastojen johdolle

Tietoturvallisuuden tarkoituksena valtionhallinnossa on varmistaa viranomaisen toiminnan jatkuvuus ja laatu sekä oikeusturvan toteutuminen. Tässä ohjeessa annetaan ohjeet tietoturvallisuudesta valtionhallinnossa annetun asetuksen (681/2010; jäljempänä tietoturvallisuusasetus, TTA) täytäntöönpanosta.

Ohje on tarkoitettu organisaatioiden johdolle sekä niiden toimintaprosesseista, turvallisuudesta, tietopalveluista ja tietohallinnosta vastaaville

Valtionhallinnon viranomaisten yleinen velvollisuus huolehtia tietoturvallisuudesta perustuu viranomaisten toiminnan julkisuudesta annettuun lakiin (621/1999; jäljempänä julkisuuslaki, JulkL). Lain mukaan viranomaisten on huolehdittava, että asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen suoja, eheys ja laatu turvataan asianmukaisin menettelytavoin ja tietoturvajärjestelyin ottaen huomioon tietojen merkitys ja käyttötarkoitus sekä asiakirjoihin ja tietojärjestelmiin kohdistuvat uhkatekijät ja tietoturvatoimenpiteistä aiheutuvat kustannukset (18 § 2 mom. 4 k).

Valtioneuvoston 1.7.2010 julkisuuslain nojalla antamaa tietoturvallisuusasetusta sovelletaan valtionhallinnon viranomaisiin. Näillä tarkoitetaan valtion hallintoviranomaisia ja muita valtion virastoja ja laitoksia sekä tuomioistuimia ja muita lainkäyttöviranomaisia (3 § 1 k). Asetuksella kumottiin viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallinta-tavasta annetun asetuksen (1030/1999; jäljempänä julkisuusasetus, JulkA) 2 ja 3 §.

Tietoturvallisuusasetus tuli voimaan 1.10.2010. Asetukseen sisältyy siirtymäaikaa koskevat säännökset. Näiden mukaan viranomaisen on saatettava tietojenkäsittelynsä vastamaan asetuksen 5 §:ssä säädettyjä perustason tietoturvavaatimuksia kolmen vuoden kuluessa asetuksen voimaantulosta eli 30.9.2013 mennessä.

Asetuksessa säädetään viranomaisen asiakirjojen käsittelyä koskevista yleisistä tietoturva-vaatimuksista sekä asiakirjojen luokittelusta ja niitä vastaavista asiakirjojen käsittelyä koskevista vaatimuksista. On syytä huomata, että asiakirjalla tarkoitetaan asetuksessa myös sähköisessä muodossa tai muutoin teknisenä tallenteena talletettuja tietoaineistoja. Sääntely kohdistuu ensijäisesti salassa pidettäviin asiakirjoihin (TTA 8 §; 9 § 2 mom.).

Asiakirjojen luokittelu ei asetuksen mukaan ole pakollista. Viranomaisen on syytä päättää, ottaako se luokittelun käyttöön ja milloin. Luokittelua vastaavat käsittelyvaatimukset on toteutettava 5 vuoden kuluessa siitä, kun luokittelu otetaan käyttöön. Viranomaisella on mahdollisuus kohdistaa luokittelu vain tiettyihin asiakirjoihin tai sellaisiin asiakirjan käsit-telyvaiheisiin, joissa toimenpiteet suojattavan edun vuoksi ovat tarpeen (TTA 8 § 1 mom.)

Luokittelun käyttöönoton suunnittelu on tärkeää. Luokituksen on määrä helpottaa viranomaisten välistä salassa pidettävien tietojen vaihtoa, minkä vuoksi luokittelu on erityisen suositeltavaa toteuttaa viranomaisissa, jotka joko saavat toisilta viranomaisilta tai luovuttavat muille viranomaisille säännönmukaisesti ja massaluonteisesti salassa pidettäviä asiakirjoja.

Virastoissa on tarpeen varmistaa, että kaikki tietoturvallisuusasetuksen 5 §:ssä säädetyt tietoturvallisuuden perustason vaatimukset täytetään asetuksessa edellytetyssä kolmen vuoden siirtymäajassa. Tätä koskeva selvitys- ja valmistelutyö on tarpeen organisoida syksyn 2010 aikana.

Tietoturvavaatimusten ja yleisemminkin julkisuuslaissa säädetyn hyvän tiedonhallintatavan toteuttamiseksi on viranomaisen tärkeätä varmistaa, että

 • viranomaisen hallussa olevat asiakirjat on kartoitettu ja niihin sisältyvien tietojen merkitys arvioitu julkisuusasetuksen 1 §:ssä säädetyllä tavalla. Toimintaan liittyvät tietoturvariskit on kartoitettu ja tietoturvallisuuden toteuttaminen on suunniteltua (TTA 4 §, 5 § 1 mom.1 k),
 • viranomaisen käytössä on riittävä asiantuntemus tietoturvallisuuden varmistamiseksi ja tietoturvallisuuden hoitamista koskevat tehtävät ja vastuu määritellään;
 • asiakirjojen käsittelyä koskevat tehtävät ja vastuut määritellään ja asiakirjojen ja niihin sisältyvien tietojen salassapito ja muu suoja varmistetaan antamalla pääsy asiakirjoihin vain niille, jotka tarvitsevat salassa pidettäviä tietoja tai henkilörekisteriin talletettuja henkilötietoja työtehtäviensä hoitamiseksi;
 • tietojen saanti ja käytettävyys eri tilanteissa turvataan ja luodaan menettelytavat poikkeuksellisten tilanteiden selvittämiseksi;
 • tietojen luvaton muuttaminen ja muu luvaton tai asiaton käsittely estetään käyttöoikeushallinnan, käytön valvonnan sekä tietoverkkojen, tietojärjestelmien ja tietopalvelujen asianmukaisilla ja riittävillä turvallisuusjärjestelyillä ja muilla toimenpiteillä;
 • asiakirjojen tietojenkäsittely- ja säilytystilat ovat riittävästi valvottuja ja suojattuja;
 • henkilöstön ja muiden asiakirjojen käsittelyyn liittyviä tehtäviä hoitavien luotettavuus varmistetaan tarvittaessa turvallisuusselvitysmenettelyn ja muiden lain perusteella käytettävissä olevien keinojen avulla;
 • henkilöstölle ja muille asiakirjojen käsittelyyn liittyviä tehtäviä hoitaville annetaan ohjeet ja koulutusta asiakirjojen ja niihin sisältyvien tietojen asianmukaisesta käsittelystä;
 • annettujen ohjeiden noudattamista valvotaan ja niiden muutostarpeita arvioidaan säännöllisesti;
 • toteutetaan järjestelyt, joiden avulla voidaan varmistaa, että asetettuja tietoturvavaatimuksia noudatetaan myös silloin, kun viranomaisen asiakirjoja käsitellään toimeksiantosopimuksen perusteella esim. tietojenkäsittelyn palveluyrityksissä (TTA 6 §);
 • pidetään huolta, että virkamiehet tietävät luokittelumerkintöjen merkityksen ja sen, että ne eivät vapauta viranomaista velvollisuudesta asiakirja- ja tapauskohtaisesti arvioida julkisuuslain ja sen ratkaisukäytännön mukaisesti asiakirjan julkisuutta siitä tietoja julkisuuslain nojalla pyydettäessä.

Tietoturvallisuusasetus ja tämä ohje ovat tärkeä osa valtiohallinnon tietoturvallisuuden kehittämistä koskevan valtioneuvoston periaatepäätöksen 26.11.2009 toimeenpanoa.

Tämä ohje korvaa VAHTIn aikaisemmat ohjeet Valtionhallinnon tietoaineistojen käsittelyn tietoturvallisuusohje (VAHTI 2/2000) ja Arkaluonteiset kansainväliset tietoaineistot (VAHTI 4/2002). Ohje on näitä edellisiä huomattavasti kattavampi.

2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta
Päivitetty: 9.6.2020