VAHTI 22/2017 Ohje riskienhallintaan

Digitaalisen turvallisuuden eli muun muassa tieto- ja kyberturvallisuuden sekä tietosuojan taustalla tärkeimpänä prosessina vaikuttaa oikein toteutettu ja toimiva riskienhallinta. Riskienhallinta on entistä tärkeämpää, kun tarve turvallisuuden eri osa-alueiden kehittämiseen on noussut. Tähän ovat vaikuttaneet niin toiminnan digitalisaatio, teknologian tarjoamat uudet mahdollisuudet kuin myös nopeasti kehittyneet uudenlaiset uhkat ja riskit. Ilman toimivaa riskienhallintaa vaarana on, että organisaatio ei tunnista tavoitteidensa saavuttamista uhkaavia tai jokapäiväiseen toimintaan liittyviä merkittäviä uhkia ja ettei se saa niitä hallintaan.

Samoin riskienhallinta toimii erinomaisena työvälineenä, kun organisaation tulee kehittää omaa turvallisuuttaan parantavia prosesseja, toimenpiteitä ja palveluita. Riskienhallinnan avulla saavutetaan kustannustehokkuutta, kun kehittäminen voidaan ohjata aidosti sellaisten asioiden toteuttamiseen, joilla on merkittävä vaikutus jonkun tunnistetun uhkan todennäköisyyden tai vaikutuksen pienentämiseen. Riskienhallinnan ohella ohjeessa nostetaan esille myös (positiivisten) mahdollisuuksien tunnistaminen, koska niiden hyödyntämättä jättäminen voi muodostaa uhkan esimerkiksi organisaation toiminnan kehittämiselle tai tavoitteiden saavuttamiselle. Tästä hyvä esimerkki on toiminnan digitalisaatio, joka tulisi nähdä merkittävänä toiminnan kehittäjänä ja mahdollistajana. Toiminnan digitalisaatiossa on kuitenkin myös osattava tunnistaa siihen liittyviä uhkia.

Tässä ohjeessa kuvataan riskienhallinnan merkitystä johtamisen ja päätöksenteon välineenä. Ohjeen pääpaino on kuitenkin ISO 31000 riskienhallinta -standardiin pohjautuvan prosessin kuvaamisessa ja toteuttamisessa. Toivomme, että jokainen organisaatio tarkistaa riskienhallintaprosessinsa ja kehittää sitä tarvittaessa tämän ohjeen perusteella. Tämän ohjeen yhteydessä julkaistaan erillinen liiteasiakirja, johon myös ohjeessa viitataan. Liiteasiakirja sisältää lukuisia käytännön esimerkkejä riskienhallinnan kehittämiseksi ja käytäntöön toteuttamiseksi.

Tämä ohje korvaa 3/2003 Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi valtionhallinnossa -ohjeen.

Päivitetty: 9.6.2020