VAHTI 9/2008 Hankkeen tietoturvaohje
Esipuhe
Tämä ohje toimii hankkeiden tietoturvallisuuden käsikirjana ja esittää tiivistetysti hankkeen tietoturvallisuuden ydinkohdat. Ohje on kirjoitettu valtionhallinnon näkökulmista, mutta se on sovellettavissa myös muissa organisaatioissa.
Ohje painottaa johtamisen, hankevetäjän vastuun ja tietoturvallisuuden suunnittelun näkökulmia. Hankkeen johtamisprosessin osalta tulee varmistaa, että tietoturvallisuuden ja riskienhallinnan taso vastaavat niille asetettuja tavoitteita ja että tietoturvatoiminnoille on varattu riittävät resurssit.
Ohje on valmisteltu Valtionhallinnon tietoturvallisuuden johtoryhmän VAHTIn alaisuudessa ja ohjauksessa. VAHTI päätti ohjeen julkaisemisesta kokouksessaan marraskuussa 2008.
Hankkeen tietoturvaohje julkaistaan VAHTIn verkkosivuilla ja painotuotteena. Ohjeen kaupallinen käyttö ja jäljentäminen ansaitsemistarkoituksessa on kielletty. Muussa hyödyntämisessä tulee tämä ohje mainita lähteenä.
Lyhyesti VAHTIsta
Valtiovarainministeriö (VM) vastaa julkishallinnon tietoturvallisuuden ohjauksesta ja kehittämisestä. Ministeriö on asettanut Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) hallinnon tietoturvallisuuden yhteistyön, ohjauksen ja kehittämisen elimeksi. VAHTI tukee toiminnallaan valtioneuvostoa ja valtiovarainministeriötä hallinnon tietoturvallisuuteen liittyvässä päätöksenteossa ja sen valmistelussa.
VAHTIn tavoitteena on tietoturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta.
VAHTIssa käsitellään kaikki merkittävät valtionhallinnon tietoturvalinjaukset ja tietoturvatoimenpiteiden ohjausasiat. VAHTI käsittelee valtionhallinnon tietoturvallisuutta koskevat säädökset, ohjeet, suositukset ja tavoitteet sekä muut tietoturvallisuuden linjaukset sekä ohjaa valtionhallinnon tietoturvatoimenpiteitä. VAHTI edistää verkostomaisen toimintatavan kehittämistä julkishallinnon tietoturvatyössä.
VAHTIn toiminnalla on parannettu valtion tietoturvallisuutta ja työn vaikuttavuus on nähtävissä hallinnon ohella myös yrityksissä, kansalaistoiminnassa ja kansainvälisesti. VAHTIn toiminnan tuloksena muun muassa on aikaansaatu erittäin kattava yleinen tietoturvaohjeisto (www.vm.fi/VAHTI). Valtiovarainministeriön ja VAHTIn johdolla on menestyksellisesti toteutettu useita ministeriöiden ja virastojen tietoturvayhteishankkeita. VAHTI on valmistellut, ohjannut ja toteuttanut laajan valtion tietoturvallisuuden kehitysohjelman, jossa on aikaansaatu merkittävää kehitystyötä yhteensä 26 kehityskohteessa yli 300 hankkeisiin nimetyn henkilön toimesta. VAHTI on saanut kolmena perättäisenä vuotena tunnustuspalkinnon esimerkillisestä toiminnasta Suomen tietoturvallisuuden parantamisessa.
Tiivistelmä
Valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI) on tuottanut hallinnon käyttöön tietoturvallisuuden koko kentän kattavan ohje- ja suositusmateriaalin. Tämä ohje toimii hankkeen tietoturvallisuuden käsikirjana esitellen tiivistettynä hankkeen tietoturvallisuuteen liittyvät ydinkohdat.
Ohje pyrkii painottamaan johtamisen näkökulmaa, hankevetäjän vastuuta sekä tietoturvallisuuden suunnitteluun liittyviä toimintoja.
Ohje on kirjoitettu ensisijaisesti valtionhallinnon tarpeet huomioiden, mutta se on pääosin sovellettavissa myös muihin organisaatioihin. Hankkeen tietoturvallisuus on kuvattu kokonaisuutena, joka sisältää toiminnan prosessit ja ihmiset sekä tietoaineistojen ja tietojärjestelmien turvallisuuden ja varmistamisen. Pääkohteina ovat ihmiset, prosessit, tietoaineisto, tietoteknologia ja tietojen käytettävyys. Politiikka, ohjeet, koulutus ja siten syntynyt yhteinen ymmärrys ja toimintatapa ovat organisaation hyvän tietoturvakulttuurin perustekijöitä.
Organisaation sisäinen tietojenkäsittely, tuotanto ja asiakkaiden palveleminen riippuvat kaiken tuotannon taustalla olevien tietojen ja tietojenkäsittelyn luottamuksellisuudesta, eheydestä ja käytettävyydestä - tietoturvallisuudesta. Ilman tietoturvatoimenpiteitä ja etukäteen luotuja vararatkaisuja ei esimerkiksi hankkeen toimintaa voida taata normaalitilanteessa eikä varsinkaan vakavissa häiriötilanteissa.
Hankkeen johtamisprosessin osana tulee varmistaa, että tietoturvallisuuden ja riskienhallinnan taso vastaa sille asetettuja tavoitteita, ja että tietoturvatoiminnoille on varattu riittävät ylläpito- ja kehittämisresurssit.
Ohje tukee organisaatiota hankkeiden tietoturvallisuuden suunnittelussa, toimeenpanossa ja ylläpidossa sekä tarvittavien asiakirjojen laatimisessa.
Ohjeen johdannossa kuvataan tietoturvallisuuden yleisiä periaatteita ja perusteita valtionhallinnon näkökulmasta. Toisessa luvussa käsitellään hankkeen elinkaaren aikana hoidettavia tietoturva-asioita. Kolmannessa luvussa tarkastellaan tietoturvallisuuden osa-alueita hankkeen sisällä. Neljännessä luvussa käsitellään käytettäviä asiakirjoja ja valmiita malleja hankejohtajan käyttöön.
Ohjeen liitteinä on joukko keskeisiä hankkeen tietoturvallisuuden hallintaan liittyviä asiakirjamalleja.