VAHTI 8/2017 Tietoturvapoikkeamatilanteiden hallinta

Yhteiskunnan keskeisenä rakenteena toimivat turvalliset, luotettavat ICT-palvelut. Sitä myötä kun toiminta on siirretty manuaalisista palveluista sähköistettyihin, yhä pitemmälle digitalisoitaviin toimintoihin, sitä enemmän niitä kohtaan kohdistuu tieto- ja kyberturvallisuusuhkia.

Täysin varmaa tieto- tai kyberturvallisuutta ei ole mahdollista eikä taloudellisesti järkevää rakentaa. Jokaisella organisaatiolla tulisi kuitenkin olla prosessi, jonka avulla sen tulee huolehtia tietoturvapoikkeamien hallinnasta. Prosessi voi olla osa laajempaa sen toimintaan kohdistuvien häiriötilanteiden hallintaprosessia.

Poikkeama voi koskea tiedon luottamuksellisuuden vaarantumisen sijaan sen saatavuuteen tai eheyteen liittyviä tekijöitä. Jos tietoturvallisuus on aikaisemmin painottunut yhteen sen kolmesta osa-alueesta, luottamuksellisuuteen, jatkossa toiminnan digitalisaation myötä entistä merkittävämmäksi seikaksi tulee huolehtia tiedon ja palveluiden saatavuuden ja eheyden vaatimustenmukaisuudesta, myös julkisen tiedon osalta.

Tietoturvallisuuden ohella henkilötietojen käsittelyn merkitys on vahvasti noussut ja digitalisaation sekä tarpeen yhdistää tietoja entistä joustavammin myötä, tarve tulee kasvamaan. EU-tietosuoja-asetus (GDPR, General Data Protection Regulation 2016/679) asettaa uusia vaatimuksia tietoturvapoikkeamien hallintaan ennen kaikkea ilmoitusvelvollisuuden henkilötietojen tietosuojaloukkauksiin liittyen.

Tämän VAHTI-ohjeen avulla organisaatio pystyy kehittämään toimintaansa näiden kaikkien vaatimusten mukaiseksi kehittäen samalla organisaation omaa ja sidosryhmien yhteistyötä ja viestintää tietoturvapoikkeamien hallinnassa.

2., päivitetty versio.

Päivitetty: 9.6.2020