JHS 172 ICT-palvelujen kehittäminen: Esiselvitys
|
|
- Kirsti Keskinen
- 8 vuotta sitten
- Katselukertoja:
Transkriptio
1 JHS 172 ICT-palvelujen kehittäminen: Esiselvitys Versio: Julkaistu: Voimassaoloaika: Toistaiseksi Sisällys 1 Johdanto Soveltamisala Termit ja määritelmät Esiselvityksen käynnistämisen edellytykset Markkinakartoitus Puitejärjestelyt Käynnissä olevat hankkeet ja yhteishankinnat Avoimen lähdekoodin ratkaisut Vaiheen lopputulokset Integrointi muihin järjestelmiin Tietoturvallisuuden kartoitus Riskien tunnistaminen Tärkeysluokat Tietojen turvaluokitus ja suojaustasot Tietojen suojaustasot Esiselvitysvaiheen tietoturvallisuusvastuut Tavoiteratkaisun tarkentaminen Toiminnallisten hyötyjen kuvaaminen Keskeisten laatutavoitteiden määrittely Perusteet kilpailutukselle Tavoitetilan suunnittelun lopputulosten tarkastelu Jatkotoimenpide-ehdotuksen laatiminen Esiselvityksen päättäminen ja dokumentointi Päätöksenteko hankkeen jatkamisesta Hankittavan tietojärjestelmän omistajuus Opastavat tiedot Liitteet /18
2 1 Johdanto Tässä suosituksessa kuvataan julkisen hallinnon esiselvitysmenetelmän toteutusprosessi vaiheittain ja vaiheisiin liittyvät toimintaohjeet. Tämä suositus on osa ICT-palvelujen kehittäminen suositussarjaa ja se täydentää suositusta JHS 171 ICT-palvelujen kehittäminen: Kehittämiskohteiden tunnistaminen. Vaiheena suositus sijoittuu kehittämiskohteiden tunnistamisen jälkeen. Kuva 1 ICT-palvelujen kehittämisen vaiheet Tämän suosituksen taustalla on valtiovarainministeriön ValtIT:n laatima kokonaisarkkitehtuurimenetelmä, joka on alun perin tehty kuvaamaan valtionhallinnon kokonaisarkkitehtuurin kuvaamista ja mallintamista. Suosituksessa on huomioitu lisäksi kuntanäkökulma. Valtionhallinnon kokonaisarkkitehtuuri on toiminnan prosessien ja palvelujen, tietojen, tietojärjestelmien ja niiden tuottamien palvelujen muodostaman kokonaisuuden rakenne. Valtionhallinnon kokonaisarkkitehtuuri pitää sisällään arkkitehtuurilinjaukset ja -kuvaukset, arkkitehtuurin hallintamallin sekä arkkitehtuurimenetelmän. Tässä suosituksessa kuvataan oheisen prosessin (kuva 2) kohtaa Toimeenpanon suunnittelu. 2/18
3 Kuva 2 Kokonaisarkkitehtuurin suunnitteluprosessi, ValtIT:n Arkkitehtuurimenetelmä Esiselvityksen tehtävänä on tuottaa tietoa toimintamallien tai tietojärjestelmän kehittämisestä päättäville sekä määrittää lähtökohdat mahdolliselle tietojärjestelmän hankinnalle. Esiselvityksessä kootaan sidosryhmiltä mahdollisesti tullut palaute tai tietojärjestelmää koskevat toiveet sekä järjestelmälle asetettavat tavoitteet ja rajaukset. Organisaation korkean tason vaatimukset (kuten TTS, lainsäädäntö, kehittämisohjelma) toimivat pohjana esiselvityksen kohteena olevalle tietojärjestelmälle. Suuremman kehittämiskokonaisuuden esiselvitys kannattaa toteuttaa projektina. Pienemmissä kokonaisuuksissa esiselvitys voidaan toteuttaa myös kevyemmällä menettelyllä, jolloin järjestelmän omistaja vastaa esiselvityksen toteuttamisesta. Esiselvityksen aloituksen edellytyksenä on, että kehittämiskohteiden tunnistamisen eri vaiheet on suoritettu ja ko. vaiheessa toteutettavat dokumentit ovat käytettävissä (kts. JHS 171 ICT-palvelujen kehittäminen: Kehittämiskohteiden tunnistaminen). valmisteluvaiheessa on kerätty ja analysoitu eri tahojen tarpeet ja ne on hyväksytty johtotasolla. esiselvityksen kokonaisuus on määritelty ja rajattu. tulevan järjestelmän omistajuus on selvitetty. strategisten ja muiden tavoitteiden mukaisuus on tarkistettu. Esiselvitysvaiheessa kootaan kaikki ne asiakirjat, ohjeistukset, standardit jne., jotka ohjaavat, rajaavat tai määrittelevät mahdollista järjestelmän hankintaa. Näitä ovat esimerkiksi JHS-suositukset ja VAHTI-ohjeet sekä organisaation oma ICT-strategia. 2 Soveltamisala Suositus on tarkoitettu käytettäväksi julkisen hallinnon tietojärjestelmähankkeiden esiselvitysvaiheessa, ennen itse hankintaa ja hankkeen aloittamista. 3/18
4 3 Termit ja määritelmät Tässä kappaleessa on kuvattu tälle suositukselle oleellisia termejä ja niiden määritelmiä. ASP Sovellusvuokrauspalvelun tarjoaja, Application Service Provider, tarjoaa asiakkaille tietojärjestelmän käyttöön palveluna verkon kautta. esiselvitys Esiselvityksellä tarkoitetaan ennen tietojärjestelmän vaatimusmäärittelyä ja tietojärjestelmähankintaa tehtävää selvitystä. Selvityksen osa-alueita ovat mm. toimintaympäristön kartoitus, tavoiteratkaisun tarkentaminen sekä tietoturvallisuuden kartoittaminen. integraatio Integraatiolla tarkoitetaan tässä sovellusten tai järjestelmien liittämistä toisiinsa. järjestelmäkartta Järjestelmäkartta kuvaa yleensä organisaation järjestelmäkokonaisuutta halutusta näkökulmasta. Järjestelmäkartta voidaan kuvata myös esim. poikkihallinnollisten prosessien osalta tai muusta vastaavasta kokonaisuudesta. Järjestelmäkartassa järjestelmät sijoitetaan visuaaliseen kuvaan (karttaan) käyttäen apuna erilaisia karttapohjia, joilla esitetään haluttua näkökulmaa. Näkökulma voi olla esim. viraston järjestelmät toiminnallisen luokittelun mukaan tai osastojen mukaan tai järjestelmäalustan mukaan. Poikkihallinnollisissa kuvauksissa voidaan kuvata virastoittain tai toiminnallisen luokittelun mukaan. kokonaisarkkitehtuuri Kokonaisarkkitehtuuri on toiminnan, prosessien ja palvelujen, tietojen, tietojärjestelmien ja niiden tuottamien palvelujen muodostaman kokonaisuuden rakenne. Kokonaisvaltainen arkkitehtuurillinen lähestymistapa ICT:n (informaatio-ja kommunikaatioteknologia) haltuunottamiseksi ja hallinnoimiseksi. Malli, jossa tietotekninen varustus kuvataan ja huomioidaan osana (liike)toimintaa. konversio Konversiolla tarkoitetaan tiedon siirtämistä talletusmuodosta toiseen esim. verkkotietokannasta relaatiotietokantaan, vanhan tietokannan tietojen siirtoa uudempaan kantaan tai tietokantojen yhdistämistä. SaaS Software as a Service, vuokrattavaksi tehty ohjelmisto moniasiakasympäristöön. Ohjelmistoa käytetään selainkäyttöliittymällä verkon yli ja sitä ei räätälöidä asiakaskohtaisesti. teknologia-arkkitehtuuri Kokonaisarkkitehtuurin näkökulma, jonka keskeinen tavoite on linjata ja rajata käytettävät tekniset vaihtoehdot, standardit ja rakenteet siten, että kokonaisuus tukee parhaalla mahdollisella tavalla organisaation tavoitteita. tietoarkkitehtuuri Kokonaisarkkitehtuurin näkökulma, joka kuvaa informaation rakenteistamista, organisointia, luokittelua ja välitystä. Arkkitehtuurissa tarkastellaan organisaation informaatiotarpeita, tietopääomaa, tietojen välisiä suhteita, informaatioarvoketjuja, tietojen rakenteita sekä informaation organisointia ja hallintaa. Tarkoituksena on luoda organisaatiotasoinen yhteinen näkemys keskeisestä tietopääomasta ja helpottaa informaation löytämistä, välittämistä ja hallintaa. tietojärjestelmäarkkitehtuuri Kokonaisarkkitehtuurin näkökulma, joka kuvaa organisaation keskeiset järjestelmät sekä niiden arvioidun elinkaaren, kriittisyyden, niiden käyttämät/tuottamat tiedot ja suhteet muihin järjestelmiin. Organisaation järjestelmäpääoma. 4/18
5 toiminta-arkkitehtuuri Kokonaisarkkitehtuurin näkökulma, joka kuvaa organisaation strategisiin vaatimuksiin liittyvää ydintoimintaa eli ydintoimintaprosesseja ja näitä tukevia tukiprosesseja, resursseja sekä palvelutarjontaa. Myös tunnetaan termillä liiketoiminta-arkkitehtuuri (business architecture). toimintaympäristö Toimintaympäristöllä tarkoitetaan sitä ympäristöä, joka koostuu organisaation toimialan, asiakkaiden ja sidosryhmien toimijoista ja tarjotuista palveluista ja toiminnallisuuksista. 4 Esiselvityksen käynnistämisen edellytykset Ennen esiselvityksen aloittamista on selvitettävä, ovatko JHS 171 ICT-palvelujen kehittäminen: Kehittämiskohteiden tunnistaminen -suosituksessa mainitut lopputulokset valmiita ja käytettävissä. Mikäli ennen esiselvitystä on jo suunnitelmia tietojärjestelmiin liittyvistä muutoksista tai -hankinnoista, suunnitelmia tulee verrata olemassa oleviin arkkitehtuurikuvauksiin. Ennen esiselvityksen aloittamista on myös selvitettävä onko organisaatiolla käytettävissään riittävät resurssit (rahaa, asiantuntemusta, henkilötyöaikaa) selvityksen toteuttamiseen. Itse esiselvitysvaiheen vaiheistaminen, rajaaminen sekä eri tehtävien priorisointi on myös tehtävä ennen vaiheen käynnistämistä. Lisäksi on tarkistettava, onko kaikki oleelliset sidosryhmät kartoitettu ja tarvittaville tahoille ilmoitettu alkavasta esiselvityksestä/kehityshankkeesta. Mahdolliset eri osapuolten edustajat on myös kartoitettava ja heidän mahdollisuutensa osallistua tai kommentoida vaiheen tuloksia on varmistettava. Projektipäällikön valinta on myös suositeltavaa tehdä jo ennen vaiheen aloittamista. Mahdollisuuksien mukaan kannattaa jo kerätä tietoa samankaltaisista hankkeista tai toimenpiteistä muista organisaatioista. Mikäli jonkin edellä mainitun osa-alueen kohdalla havaitaan ristiriitaisuuksia tai tiedot ovat puutteellisia, ei esiselvitystä kannata käynnistää, ennen kuin riittävät esitiedot on kerätty. Vähintään seuraavien dokumenttien tulisi olla käytettävissä ennen esiselvityksen käynnistämistä: organisaation strategia. palvelukuvaukset. palveluihin liittyvät (niitä tuottavat tai mahdollistavat) tietojärjestelmät. toimintamallit ja organisaatiot. prosessien kuvaukset (nykytila ja tavoitetila). prosessien analysointien tulokset. riskianalyysi. järjestelmä- ja arkkitehtuurikuvaukset. arkkitehtuurien mahdolliset kehittämistarpeet. selvitykset taloudellisista tunnusluvuista. analyysien tuloksena syntyneet ja/tai tiedossa olevat priorisoidut nykyjärjestelmän ja nykytoiminnan kehittämistarpeet. kehittämissuunnitelma. Esiselvityksessä tarkennetaan kehittämiskohteiden tunnistamisen yhteydessä tehtyjä kuvauksia, kuten esimerkiksi tavoiteratkaisun kuvauksia sekä kustannus- ja hyötyanalyysiä. 5/18
6 Kuva 3 Esiselvityksen vaiheet 5 Markkinakartoitus Esiselvitysvaiheen markkinakartoituksella tarkoitetaan sitä, että pyritään selvittämään muiden toimijoiden tapaa toimia vastaavanlaisessa tilanteessa sekä jo olemassa olevia mahdollisia tietoteknisiä ratkaisuja ja palvelutarjontaa ja miten niitä mahdollisesti voitaisiin hyödyntää. Mahdollisia tulevia tarjoajia tulee markkinakartoituksessa kohdella tasapuolisesti. Lisäksi kannattaa selvittää mahdollisuudet tietojen yhteiskäyttöön (perusrekisterien hyödyntäminen, yhteisten tietolähteiden kehittäminen) sekä yhteisten tukipalveluiden käyttöön. Perusrekistereitä ovat mm. VTJ-henkilötietorekisteri ja YTJ-yritystietorekisteri, yhteisiä tukipalveluita esim. tunnistus- ja aikaleimapalvelut. Markkinakartoitusvaiheessa tarjontaa voidaan selvittää myös ns. RFI-kyselyllä (Request For Information) teknologiatoimittajille. Kyselyllä voidaan tiedustella markkinoilta löytyviä tuotteita tai tarjontaa kehittämiskohteen ratkaisua. Tämä voi olla tarpeen niissä tapauksissa, joissa vastaavaa toiminnallisuutta ei ole tehty organisaation sisällä tai vastaavia referenssejä ei ole tiedossa. 5.1 Puitejärjestelyt Toimintaympäristön kartoituksen yksi tärkeä osa-alue on erilaisten puitejärjestelyjen selvittäminen. Puitejärjestelyiden avulla hankinta voi olla mahdollista toteuttaa kevyemmällä kilpailutuksella. Olemassa olevaa puitejärjestelyä hyödyntämällä voi olla mahdollista vähentää hankkeen käynnistämiseen kuluvaa aikaa. Puitejärjestelyistä saa tietoa esim. Hanselin www-sivuilta ( Kuntien puitejärjestelyjä hoitaa KL Kuntahankinnat Oy. 6/18
7 5.2 Käynnissä olevat hankkeet ja yhteishankinnat Muiden toimijoiden (virastojen, osastojen jne.) tarve vastaavanlaiselle tietojärjestelmälle tai toiminnallisuudelle on hyvä kartoittaa. Esiselvitysvaiheessa kannattaa selvittää lisäksi muiden toimijoiden käynnissä olevat tai alkamassa olevat hankkeet, joilla on sama tai osittain sama tavoite. Mahdollisuudet osallistua hankintaan tai hankkeeseen kannattaa arvioida ratkaisuvaihtoehtoja määriteltäessä. Julkisen hallinnon hankkeista saa tietoa ValtIT:n ( sekä KuntaIT:n ( internetsivustoilta sekä Valtiovarainministeriön ylläpitämästä Hankerekisteristä ( Tietoa käynnissä olevista ja päättyneistä kilpailutuksista saa mm. seuraavista linkeistä: HILMA: TED (kilpailutukset EU-tasolla): Avoimen lähdekoodin ratkaisut Mikäli markkinakartoituksessa todetaan, että täytettävä tarve voidaan ratkaista avoimen lähdekoodin ohjelmalla, tämä tulee huomioida hankinnan suunnittelussa. Jos tuote on maksutta ladattavissa, niin hankinnan kohde ei olekaan tietojärjestelmä sellaisenaan, vaan esimerkiksi konsultointi-, asennus-, koulutustai käyttöpalvelut. On myös syytä varmistaa, että kyseisen avoimen koodin ratkaisun yllä mainittuja palveluita on saatavilla järkevillä kustannuksilla. Lisäksi tulevan toimittajan sopimusvastuun varmistaminen avoimella lähdekoodilla toteutetusta sovelluksesta on suositeltavaa. Myös mahdolliset lisensointi- ja sopimustekijät tulee huomioida avoimen lähdekoodin ratkaisua kartoitettaessa. Avoimen lähdekoodin elinkaarikustannuksia tulee myös arvioida verrattuna suljetun koodin tuotteen elinkaareen. Jos vertailussa päädytään siihen, että suljetun koodin tuote olisi elinkaarikustannuksiltaan ja toiminnallisilta ominaisuuksiltaan soveltuvampi, niin hankinnan kohde määritellään ohjelmistolisenssiksi ja vaatimukset kohdistuvat sen mukaisesti. Vaihtoehdot ovat siis, että valitaan avoimen lähdekoodin tuote ja kilpailutetaan tarvittavat palvelut sen käyttöönottoon ja ylläpitoon. hankitaan järjestelmä niin, että tarjoaja valitsee välineet ja vastaa käyttämiensä avoimen koodin tuotteiden tuesta osana järjestelmän tukipalvelua. kilpailutetaan tietojärjestelmän toteutus niin, että eri vaihtoehtojen (avoimen lähdekoodin tuote, ohjelmistolisenssi, palveluna ostettava tietojärjestelmä) kokonaiskustannuksia (lisenssin hinta + elinkaarikustannukset) verrataan toisiinsa. Jälkimmäisessä vaihtoehdossa ongelmana on eri toteutusmallien saaminen vertailukelpoisiksi keskenään. JHS 169 Avoimen lähdekoodin ohjelmien käyttö julkisessa hallinnossa -suositus opastaa avoimen lähdekoodin hankinnoissa. 5.4 Vaiheen lopputulokset Markkinakartoitusvaiheen lopputuloksena on selvitetty, onko jo olemassa vastaavia tietoteknisiä ratkaisuja tai palvelutarjontaa ja voidaanko niitä hyödyntää. on tarkistettu, voidaanko mahdollisia puitejärjestelyjä hyödyntää hankintaa tehtäessä. on selvitetty, onko käynnissä vastaavia hankkeita tai yhteishankintoja, joita voitaisiin hyödyntää. 7/18
8 on tehty selvitys avoimen lähdekoodin käytöstä järjestelmän hankinnassa. on selvitetty mahdollisuus yhteispalvelujen ja rekisterien käyttöön. 6 Integrointi muihin järjestelmiin Järjestelmien integroinnilla tarkoitetaan sitä, että tietojärjestelmän komponentit ovat keskenään yhteentoimivia sekä eri tietojärjestelmien kytkemistä toisiinsa fyysisesti tai toiminnallisesti. Esiselvitysvaiheessa on tunnistettava ne prosessit, jotka liittyvät integroitavan järjestelmän tai sovelluksen (=tavoiteratkaisun) ympäristöön. Esiselvitysvaiheessa tulee lisäksi selvittää tavoiteratkaisun integraatiotarpeet, kuvata integroitavat järjestelmät ja niiden suhteet sekä suunnitella alustavasti itse integraatio. Järjestelmien integraatiota ja siihen liittyviä toimenpiteitä selvitettäessä hyödynnetään kehittämiskohteiden tunnistamisvaiheessa tehtyjä kuvauksia. Integraation suunnittelussa oleellisia kuvauksia ovat mm. kuvaukset toiminta-, tieto- ja tietojärjestelmäarkkitehtuureista tavoiteratkaisun kannalta sekä nykytilan ja tavoitetilan prosessikuvaukset. Toiminta ja integraatio Kuvataan nykytila prosessien ja integroitavan järjestelmän tai sovelluksen osalta. Lisäksi kuvataan tavoitetila prosessien ja integroitavan järjestelmän tai sovelluksen osalta Integraatiotarpeiden selvittäminen Selvitetään, millaisia integraatiotarpeita tavoiteratkaisun toteuttaminen vaatii. Selvitettäviä asioita ovat mm. mitä tietoja siirretään tai mitä tietoja tarjotaan toiselle palvelulle. siirrettävien/tarjottavien tietojen tärkeys (pakko siirtää, ei pakko siirtää). siirrettävän/tarjottavan tiedon määrä (kpl ja koko) tietojen omistajuus (MDM, Master Data Management). tarve siirtojen/tietojen tarjoamisen reaaliaikaisuuteen. Integroitavien järjestelmien kuvaus Tunnistetaan ja kuvataan integroitavat sovellukset ja järjestelmät huomioiden niiden erityispiirteet sekä elinkaari. Kuvattavia asioita ovat mm. ratkaisuun liittyvät osajärjestelmät. järjestelmien tallentama ja tarvitsema tieto. mahdolliset ja soveltuvat teknologiat. rajapinnat Integraation suunnittelu Laaditaan alustava toteutussuunnitelma integraation läpiviemiseksi. Yhtenä osana integraation suunnittelua on konversion suunnittelu, jota on kuvattu liitteessä 2 Konversio. Vaiheen lopputuloksina syntyvät: kuvaukset tavoiteratkaisun integroimisesta muihin sovelluksiin tai järjestelmiin. selvitys integraatiotarpeista. alustava toteutussuunnitelma integraation läpiviemiseksi. 8/18
9 7 Tietoturvallisuuden kartoitus Esiselvitysvaiheen tärkein tietoturvallisuustehtävä on kartoittaa tietoturvallisuuden pettämisestä toiminnalle aiheutuvat menetykset, tunnistaa ja arvioida riskit sekä valita järjestelmän turvallisuustaso. Esitutkimuksessa kartoitetaan kohteena olevan tavoiteratkaisun, siihen liittyvien tietoaineistojen ja työtehtävien tärkeys toiminnalle ja sen jatkuvuudelle. Esiselvityksen perusteella määritellään muun muassa kehitettävän järjestelmän tärkeysluokka. Tärkeysluokitus määrittelee valvonnalle (toiminnan ja tapahtumien seurannalle ja toimenpiteisiin ryhtymiselle) asetettavat vaatimukset. 7.1 Riskien tunnistaminen Tietoturvariskien tunnistamiseksi on tärkeää tuntea kehitettävän järjestelmän toiminnallisuus, sen avulla käsiteltävä tietoaineisto ja rajapinnat muihin järjestelmiin, jotka tulee dokumentoida osana esiselvitystä. Pohjana tietoturvaratkaisujen kuvaukselle toimii tavoiteratkaisun kuvaus, joka on tehty kehittämiskohteiden tunnistamisen yhteydessä. Esiselvitysvaiheessa tehtävä tietoturvariskien arviointi toimii vastaavasti lähtötietona vaatimusmäärittelyvaiheessa laadittaville tietoturvavaatimuksille. Tunnistettujen tietoturvariskien ja toiminnallisuuden perusteella voidaan hankittavalle järjestelmälle määritellä turvallisuustaso, joka kuvaa järjestelmän kriittisyyttä tietyllä asteikolla. Kehityshankkeen ja järjestelmän kriittisyyttä arvioidessa tulee kiinnittää huomiota lisäksi työtehtävien tärkeyteen ja toimintojen jatkuvuuden varmistamiseen. Tärkeysluokkia arvioidessa kannattaa myös huomioida eri luokkien kustannusvaikutukset; kriittisten järjestelmien palvelutasovaatimukset saattavat nostaa kuluja huomattavasti. Standardissa ISO/IEC 27001:fi määritellään tietoturvariskien arvioinnin tehtäviksi 1. Tunnistaa riskit Tunnistaa (tietoturvallisuuden hallintajärjestelmään kuuluvat) suojattavat kohteet ja niiden omistajat. Tunnistaa näihin suojattaviin kohteisiin kohdistuvat uhkat. Tunnistaa alustavasti haavoittuvuudet, joita uhat voivat toteutuessaan käyttää hyväkseen. Tunnistaa ne vaikutukset, joita luottamuksellisuuden, eheyden ja käytettävyyden menetyksillä voi olla suojattaviin kohteisiin. Tunnistaa ne vaikutukset, joita voi kohdistua palveluntuottajaverkostosta (kehitettävän järjestelmän käyttöpalvelut, tukipalvelut, järjestelmään liittyvät omat ja muiden toimijoiden järjestelmät) järjestelmän toimintaan. 2. Analysoida ja arvioida riskien vaikutukset Arvioida organisaation liiketoimintaan kohdistuvat vaikutukset (menetetty työaika, rahallinen menetys, maineen menetys ja luottamus palveluun), jotka voivat olla seurauksena turvallisuuden murtumisesta ottaen huomioon suojattavien kohteiden luottamuksellisuuden, eheyden ja käytettävyyden menettämisen seuraukset. Arvioida realistinen todennäköisyys, jolla suojattavien kohteiden turvallisuuden murtuminen voi tapahtua verrattuna vallitseviin uhkiin, haavoittuvuuksiin ja vaikutuksiin ottaen huomioon toteutetut turvamekanismit. Laatia arvio riskitasosta (laadullinen esim. maineen menetys, euromääräinen menetys, todennäköisyys x vaikutus = riskitaso). Päättää riskien hallintakeinoista, onko riski hyväksyttävä vai edellyttääkö sen torjuminen toimenpiteitä. 9/18
10 Riskin luokittelu Sietämätön riski Merkittävä riski Kohtalainen riski Vähäinen riski Alhainen riski Riskin hallinnan tavoite Riskin poistaminen on välttämätöntä välittömästi. Riskin pienentäminen on välttämätöntä nopealla aikataululla. Riskin pienentäminen sopivalla aikataululla ja kohtuullisin kustannuksin Riskiä seurataan ja pienennetään ilman lisäkustannuksia Riski hyväksytään Riskin hallinnan toimenpiteet Riskin poistaminen on välttämätöntä. Toimenpiteet tulee aloittaa välittömästi. Riskialtista toimintaa ei pidä aloittaa. Riskin välttäminen riskialttiista toiminnasta pidättäytymällä. Riskialtis toiminta pitää keskeyttää, kunnes riski on poistettu. Riskin pienentäminen on välttämätöntä. Toimenpiteet tulee aloittaa nopeasti (tekniset turvamekanismit, organisaation ja yksilöiden toimintaan liittyvät turvamekanismit, riskin siirtäminen esim. sopimuksin tai vakuuttamalla). Riskialtista toimintaa ei pidä aloittaa ennen kuin riskiä pienennetty. Riskialtista toimintaa voidaan jatkaa, mutta kaikkien on tunnettava riski ja toiminta pitää saada loppumaan nopeasti. On ryhdyttävä toimiin riskin pienentämiseksi (tekniset turvamekanismit, organisaation ja yksilöiden toimintaan liittyvät turvamekanismit, riskin siirtäminen esim. sopimuksin tai vakuuttamalla). Toimenpiteiden toteutukselle voidaan suunnitella sopiva aikajänne. Toimenpiteiden kustannuksia on mietittävä tarkasti. Jos riskiin liittyy erittäin haitallisia seurauksia (esimerkiksi vakava henkilövahinko tai tulipalo), on tarpeen selvittää tapahtuman todennäköisyys tarkemmin. Toimenpiteitä ei välttämättä tarvita. Hankitaan parempia ratkaisuja, jotka eivät aiheuta lisäkustannuksia. Tilannetta seurataan ja varmistetaan, että riski pysyy hallinnassa. Toimenpiteitä ei tarvita Ei riskiä Riski hyväksytään Toimenpiteitä ei tarvita Taulukko 1 Riskien hallinta (lähde: VAHTI 7/2003 Riskien arviointi tietoturvallisuuden edistämiseksi valtionhallinnossa ). 3. Tunnistaa ja arvioida riskien käsittelyn vaihtoehdot. Mahdollisia toimenpiteitä ovat: asianmukaisten turvamekanismien käyttö riskien hyväksyminen tietoisesti ja objektiivisesti edellyttäen, että ne selkeästi toteuttavat organisaation tietoturvapolitiikan ja määritellyt riskien hyväksymiskriteerit riskien välttäminen (esim. ei lähdetä johonkin uuteen (liike)toimintaan) liiketoimintariskien siirtäminen sidosryhmille, esim. vakuutusyhtiöille, tietojärjestelmätoimittajille sopimuksilla. luetteloida jäännösriskit. 4. Valita alustavat turvamekanismit riskien käsittelyyn 10/18
11 Turvamekanismit tulee valita ja toteuttaa siten, että ne täyttävät riskien arviointi- ja käsittelyprosessissa yksilöidyt riskit. Esitutkimusvaiheessa on suositeltavaa suorittaa alustava turvamekanismien luonnostelu, jota täsmennetään vaatimusten määrittelyssä ja edelleen teknisessä suunnittelussa. Tietoturvallisuusuhkien tarkastelussa on suositeltavaa noudattaa yleistä jako kahdeksaan tietoturvallisuuden osa-alueeseen, jotka ovat: Hallinnollinen turvallisuus Henkilöstöturvallisuus Fyysinen turvallisuus Tietoliikenneturvallisuus Laitteistoturvallisuus Ohjelmistoturvallisuus Tietoaineistoturvallisuus Käyttöturvallisuus Lisäksi on hyvä tarkastella tietoturvallisuutta ulkoistamisen sekä ICT-palvelujen jatkuvuuden ja varautumisen hallinnan kannalta. Uhkien tunnistamisen apuna voi käyttää tarkastelussa eri näkökulmia kuten kehitettävän järjestelmän sidosryhmiä, teknisiä komponentteja, liitännäisjärjestelmiä ja järjestelmän avulla toteutettavan prosessin eri vaiheita. Uhkien tunnistamisessa ajattelumallin tulisi pyrkiä löytämään pahimmat mahdolliset väärinkäytökset tai toimintahäiriöt. Tietoturvallisuutta toteuttavia ominaisuuksia ovat: Saatavuus, käytettävyys (ominaisuutta voidaan parantaa esim. tietoliikenneyhteydet tai järjestelmät kahdentamalla ja kuormanjaolla) Luottamuksellisuus (ominaisuutta voidaan parantaa esim. salaamalla luottamuksellinen tieto, lokittamalla tiedon käyttöä) Eheys (ominaisuutta voidaan parantaa esim. tiedon muuttumattomuuden varmistavalla teknisellä menetelmällä, kuten digitaalisella allekirjoituksella) Kiistämättömyys, todistettavuus, jäljitettävyys (ominaisuutta voidaan parantaa esim. kattavalla lokitoiminnallisuudella, digitaalisella allekirjoituksella, lokitietojen muuttumattomuuden varmistamisella oikeudettomia muutosyrityksiä vastaan) Luotettavuus (ominaisuutta voidaan parantaa esim. kattavalla testauksella ja suorituskyvyn varmistamiselle, sekä poikkeustilanteiden varajärjestelyillä) Pääsynvalvonta (ominaisuutta voidaan parantaa esim. vahvalla käyttäjän todentamisella, keskitetyllä käyttöoikeuksien hallinnalla, luotettavilla pääsynhallintaratkaisuilla) Tietosuoja (ominaisuutta voidaan parantaa esim. tiukalla työtehtävään ja tarpeeseen perustuvalla käyttöoikeuspolitiikalla ja pääsynvalvonnalla, kattavalla lokitiedon keräämisellä myös henkilötietojen katselutapahtumista, tietonäkymien eriyttämisellä käyttäjän tehtävän perusteella, seurannalla ja valvonnalla) 11/18
12 Tunnistettujen tietoturvariskien ja toiminnallisuuden perusteella voidaan hankittavalle järjestelmälle määritellä turvallisuustaso, joka kuvaa järjestelmän kriittisyyttä tietyllä asteikolla (kts. kohta 7.2). Kehityshankkeen ja järjestelmän kriittisyyttä arvioidessa tulee kiinnittää huomiota lisäksi työtehtävien tärkeyteen ja toimintojen jatkuvuuden varmistamiseen. Kehitettävälle järjestelmälle asetettava tietoturvallisuuden taso saattaa määräytyä kokonaan tai osittain lainsäädännön perusteella, mikäli kyseessä on esim. valtionhallinnon erityissuojattava tietojärjestelmä tai muutoin arkaluonteisien tietojen kuten henkilötietojen käsittelyyn tarkoitettu järjestelmä. Esitutkimusvaiheessa olisi hyvä olla mukana lainsäädännön ja toimintaympäristön asiantuntijoita. Tarvittaessa voidaan yksityisyyden suojaan liittyvissä kysymyksissä pyytää lausuntoa tietosuojavaltuutetun toimistolta. Tietoturvariskien arvioinnissa ja turvallisuustason määrittelyssä voidaan käyttää apuna Valtiovarainministeriön ohjeita, joka on laadittu Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) toimesta, kuten esimerkiksi Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi valtionhallinnossa, 7/2003 ( isuus/53828/name.jsp). Tietojärjestelmäkehityksen tietoturvallisuussuositus, 3/2000 ( isuus/3389/3391_fi.pdf). Valtion tietotekniikkahankintojen tietoturvallisuuden tarkistuslista, 6/2001 ( isuus/6193/name.jsp). 7.2 Tärkeysluokat Tärkeysluokkia ovat: 1. tärkeysluokkaan (kriittiset järjestelmät) kuuluvat tärkeät tietojärjestelmät, joiden tietoturvallisuuden ja/tai toipumisvalmiuden on oltava korkealla tasolla. Tietojärjestelmät pyritään pitämään toimintakunnossa kaikissa olosuhteissa siten, että tietojärjestelmällä tulee olla varajärjestelmä, korvaava manuaalinen järjestelmä sekä suunnitelmat toimenpiteistä vakavia häiriö- ja poikkeustilanteita varten. 2. tärkeysluokkaan (tärkeät järjestelmät) kuuluu sisäisille toimintaedellytyksille tärkeitä tietojärjestelmiä, joiden käytettävissäoloaika normaalioloissa tulee varmistaa. Tietojärjestelmän tukemaa toimintaa ja tietotekniikan käyttöä voidaan poikkeusoloissa supistaa. 3. tärkeysluokkaan (korvattavissa olevat järjestelmät) kuuluvat sellaiset tietojärjestelmät, joissa tilapäinen keskeytyminen ei aiheuta välittömiä vahinkoja. Tietojärjestelmä voidaan korvata tai lopettaa poikkeusoloissa. Tärkeysluokitus määrittelee valvonnalle (toiminnan ja tapahtumien seurannalle ja toimenpiteisiin ryhtymiselle) asetettavat vaatimukset. 7.3 Tietojen turvaluokitus ja suojaustasot Kun tärkeysluokitus koskee järjestelmiä, turvaluokittelu koskee asiakirjoja tai tietoja. Lisätietoa tietojen ja asiakirjojen turvaluokittelusta löytyy julkisuuslaista ja siihen liittyvästä asetuksesta ja VAHTI -ohjeistuksesta. 12/18
13 Salassa pidettävät asiakirjat tai niihin sisältyvät tiedot voidaan luokitella sen mukaan, minkälaisia tietoturvallisuutta koskevia vaatimuksia niiden käsittelyssä on tarpeen noudattaa. Luokittelu voidaan suorittaa myös siten, että tietoturvallisuutta koskevat vaatimukset kohdistetaan vain sellaisiin asiakirjan käsittelyvaiheisiin, joissa erityistoimenpiteet ovat suojattavan edun vuoksi tarpeen. Luokitusta ei saa ulottaa sellaisiin asiakirjan osiin, joissa käsittelyvaatimusten noudattaminen ei suojattavan edun vuoksi ole tarpeen. Alla olevasta taulukosta (taulukko 2) ilmenee eräiden kansainvälisten järjestöjen ja Suomen turvallisuusluokituksien vastaavuus. Kohde Turvallisuusluokka Turvallisuusluokka Turvallisuusluokka Turvallisuusluokka I II III IV Suomi ERITTÄIN SALAINEN LUOTTAMUK- KÄYTTÖ SALAINEN SELLINEN RAJOITETTU EU TRÉS SECRET UE/ SECRET UE CONFIDENTIEL UE RESTREINT UE EU TOP SECRET NATO COSMIC TOP NATO SECRET NATO NATO RESTRICTED SECRET CONFIDENTIAL Taulukko 2 Turvallisuusluokitus Turvallisuusluokittelua edellyttävä aineisto käsitellään vastaavan suojaustason mukaisesti. Esiselvitysvaiheessa on päätettävä myös järjestelmän projektityöskentelyn aikaisista tietoturvallisuusmenettelyistä Tietojen suojaustasot Turvaluokiteltavan tiedon käsittelyvaatimuksia osoittavat suojaustasot ovat: 1. Suojaustaso I, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa erityisen suurta vahinkoa salassapitosäännöksessä tarkoitetuille yleisille eduille; 2. Suojaustasotaso II, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa merkittävää vahinkoa salassapitosäännöksessä tarkoitetuille yleisille eduille; 3. Suojaustaso III, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetuille yleisille tai yksityisille eduille; 4. Suojaustaso IV, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa haittaa salassapitosäännöksessä tarkoitetuille yleiselle tai yksityiselle edulle. 7.4 Esiselvitysvaiheen tietoturvallisuusvastuut Esiselvitysvaiheen tietoturvallisuuden kartoituksen lopputuloksena on tietoturvallisuusselvitys, joka sisältää tarvittavilta osin seuraavat asiat: tietojärjestelmän tärkeysluokka ja tietojen suojausluokka on määritetty. vaatimukset järjestelmän jatkuvuus ja valmiussuunnitelmalle vaatimukset järjestelmän tietoturvaratkaisuiksi on tehty. toiminta häiriö- ja poikkeustilanteissa on kuvattu ja vastuista on sovittu. on laadittu lainsäädännön ja tietoturvavaatimusten läpikäynnin tuloksena lista säädöksien vaatimuksien toteutumisesta. 13/18
14 käsiteltävien tietojen ja järjestelmäkehityksen tietoaineistojen turvaluokittelu sekä projektissa syntyvien dokumenttien säilyttäminen ja merkitseminen organisaation arkistonmuodostussuunnitelman mukaisesti on tehty. tietoturvaratkaisun kustannus-, hyöty- sekä kuormitusvaikutukset on selvitetty järjestelmän omistajalle eri turvatasoilla. työhön osallistuvien palvelun toimittajien salassapitosopimukset on laadittu ja käytettävissä oleva tietoturvaosaaminen varmistettu. järjestelmän alustava riskikartoitus ja järjestelmän merkitys organisaation toiminnalle on dokumentoitu ja riskien käsittely huomioidaan myöhemmissä kehittämisvaiheissa. Esiselvitysvaiheen lopputuloksena ovat kuvattuina ne tietoturvalliset vaihtoehtoiset ratkaisut, joilla järjestelmän tietoturvallisuus voidaan toteuttaa tai ne tukevat kehittämisalueen tavoitteiden toteuttamista. Lopputuloksena ovat myös ratkaisujen alustavat kustannusarviot. Sekä tietoteknisen ja tietoturvan tavoitetilan että tavoiteltavan arkkitehtuurin osalta tehdään tiiviisti iteratiivista tarkastelua seuraavan vaiheen, eli kehittämismahdollisuuksien ja rajoitusten kanssa, ja näiden molempien näkökulmien tuloksena päädytään lopputuloksiin. 8 Tavoiteratkaisun tarkentaminen Kehittämiskohteiden tunnistamisen yhteydessä määriteltyjen tietoteknisten vaihtoehtojen perusteella on valittu jokin tietotekninen tavoiteratkaisu, josta esiselvitystä ollaan tekemässä. Tässä esiselvityksen vaiheessa tavoiteratkaisu kuvataan tarkemmalle tasolle eri osa-alueittain ja laaditaan alustava hankesuunnitelma ja projektiehdotukset (tehdään alustava hankkeen projektointi). Kehittämiskohteiden tunnistamisen yhteydessä (kts. JHS 171 ICT-palvelujen kehittäminen: Kehittämiskohteiden tunnistaminen) tehtyjä alustavia kuvauksia sekä myös tässä suosituksessa kuvattuja Markkinakartoitus ja Tietoturvallisuus -vaiheissa tehtyjä selvityksiä ja analyysejä hyödynnetään tavoiteratkaisun kuvaamisessa. Tavoiteratkaisun kuvaus toimii pohjana vaatimusmäärittelylle sekä hankinnalle, joten tässä vaiheessa tarkennetaan myös valittu toteutustapa (kuten avoimen lähdekoodin ratkaisu, valmisohjelmisto, ASP/SAASratkaisu). Esimerkkejä tietoteknisen tavoiteratkaisun eri osa-alueista ovat: vaatimukset järjestelmän toiminnalle (yleisellä tasolla, vaatimuksia tarkennetaan vielä vaatimusmäärittelyvaiheessa). järjestelmän/palvelun rajaukset. vaatimukset tietoturvallisuudelle. alustava järjestelmäkartta ja liittymät muihin järjestelmiin (järjestelmän kompleksisuuden kuvaamiseksi). 8.1 Toiminnallisten hyötyjen kuvaaminen Järjestelmähankinnan toiminnalliset hyödyt kuvataan konkreettiselle tasolle kategorisoituna neljään eri näkökulmaan, jotka ovat taloudellinen hyöty. asiakkaiden / sidosryhmien saamat hyödyt. toiminnan ja prosessien tehostumisen hyödyt. osaamisen ja henkilöstön näkökulmasta saavutettavat hyödyt. 14/18
15 Hyötyjä ja alustavia mittareita on jo kuvattu kehittämiskohteiden tunnistamisen ja tavoiteratkaisun kuvauksen yhteydessä, joten tässä vaiheessa hyötyjen kuvaaminen onkin lähinnä tiivistämistä, konkretisointia ja dokumentointia. 8.2 Keskeisten laatutavoitteiden määrittely Tavoiteratkaisulle asetetaan sen tulevaa käyttöä ja hyödyntämistä silmällä pitäen keskeiset laatutavoitteet. Tietoteknisissä ratkaisuissa laatukriteereitä voidaan määritellä esim. seuraavista näkökulmista: oikeellisuus ja palvelevuus (tietojärjestelmän kyky täyttää asiakastarpeet). yksiselitteisyys (ymmärrettävä ja ymmärretään yhteisellä tavalla). täydellisyys (kaikki oleellinen ja tarvittava on huomioitu). yhdenmukaisuus (ratkaisun ristiriidattomuus ja selkeys). laitettavissa järjestykseen (ratkaisun osat priorisoitavissa esim. kriittisyyden kannalta). muutettavuus (muutos helppo ja turvallinen). jäljitettävyys (osiin voidaan palata ja viitata). Laatutavoitteiden määrittelyn yhteydessä on syytä myös miettiä ja kuvata keskeiset kriteerit ja mittarit, joilla laatutavoitteiden toteutumista arvioidaan ja mitataan sekä toteutustyön kuluessa että lopputuloksen valmistuttua. On myös hyvä huomioida olemassa olevat alan laatustandardit. 8.3 Perusteet kilpailutukselle Esiselvityksen yhteydessä muodostuu se perustieto, jonka perusteella kilpailutusmenettely voidaan toteuttaa tulevan hankkeen tai projektin osana. Esiselvityksessä tuotettu perustieto täsmentyy vielä tietojärjestelmähankinnoissa vaatimusmäärittelyn kautta. Esiselvityksessä pitää esittää ehdotus hankittavasta tietojärjestelmästä eli hankitaanko tietojärjestelmä räätälöitynä, sovellusvuokrauksena, valmisohjelmistona tai palveluna. Päädytäänpä mihin ratkaisuun tahansa, on esiselvityksessä jo otettava kantaa siihen, miten vaatimusmäärittelyt pitää laatia. Näiden linjanvetojen tekeminen vasta hankinnan vertailuvaiheessa nostaa hankinnan riskitasoa ja voi tehdä tarjouksista vertailukelvottomia tai vertailuista helposti riitautettavia. Jos on kyse uusittavasta tietojärjestelmästä, on hyvä kerätä luetteloon järjestelmän ne piirteet, jotka edellytetään vaatimuksina toteutuvan uudessa järjestelmässä. Esiselvityksessä on otettava kantaa esim. seuraaviin asioihin: tietojärjestelmäratkaisun/muun hankinnan kilpailutuksen menettelytapa, kuten esimerkiksi avoin kilpailutus, rajoitettu menettely. kilpailutuksen alustava aikataulu, vaiheistus ja aikapuskurit (kuukausi- tai vuositasolla): ennakko- ja hankintailmoituksen tekeminen osallistumishakemusten viimeinen vastaanottoajankohta tarjouspyynnön lähettämisajankohta tarjousten vastaanoton ajankohta hankintapäätöksen tekoajankohta sopimusten allekirjoituksien valmistumisen ajankohta tarvittavat asiantuntijat (kilpailutuksen asiantuntija, sopimusjuristi, tekninen asiantuntija, kilpailutuksen aikana kysymyksiin vastaavat asiantuntijat yms.). hankinnat, joita ei kilpailuteta (esim. vuokrataan väliaikaisia resursseja, laitteita, testausvälineitä, tiloja jne., teetetään tavoiteratkaisuun komponentteja toisessa projektissa tai hankkeessa, hankitaan laitteita ja niiden varusohjelmistoja jne.). 15/18
16 Esiselvityksessä pyritään osaltaan luomaan perusteet onnistuneelle kilpailutukselle siten, että kilpailutuksessa tarvittavat tiedot ovat selkeät ja yksiselitteiset. Esiselvitys on osa hankintaprosessia (hankinnan valmisteluvaihe), mutta se ei ole osa hankintamenettelyprosessia, 8.4 Tavoitetilan suunnittelun lopputulosten tarkastelu Tavoitetilan suunnittelun lopputuloksia kokonaisuudessaan tarkastellaan seuraavien osa-alueiden pohjalta: tavoitetilan vastaavuus strategisiin ja muihin tavoitteisiin. tavoitetilan vastaavuus kokonaisuudessaan esiselvityksen ja kehittämiskohteen tavoitteisiin. tavoitetilan kattavuus suhteessa asetettuihin tavoitteisiin. tavoitetilan relevanssi, ts. tavoitetilassa on määritelty kaikki olennainen riittävälle tasolle. tavoitetilan realistisuus ja toteuttamiskelpoisuus. On tärkeää, että kun valitun ratkaisun määrittelyä ollaan jatkamalla vaatimusmäärittely-vaiheella, ratkaisun tulisi olla mahdollisimman selkeästi rajattu esiselvityksen tuloksena. Lisäksi tarvittaessa tavoitetilan kuvauksessa voidaan määritellä vaiheittainen eteneminen, mikäli tätä ei ole kuvattu aiemmin esim. kehittämiskohteiden tunnistamisvaiheessa. 8.5 Jatkotoimenpide-ehdotuksen laatiminen Laaditaan jatkotoimenpide-ehdotus, joka voi olla, että kehitysprojektista tai -hankkeesta tehdään suunnitelma kehitysprojekti tai -hanke keskeytetään (ainakin tässä vaiheessa), koska sille ei ole taloudellisia tai muita edellytyksiä. osia kehityshankkeesta tai -projektista toteutetaan ja osia ei (ainakaan tässä vaiheessa). Ns. pakollisissa hankkeissa (esim. lainsäädäntömuutos) vaihtoehtoa ei toteuteta ei ole olemassa, mutta sellaisissakin hankkeissa tai projekteissa voi olla osia, joita esiselvityksessä on tutkittu, mutta niitä ei nähdä tarpeelliseksi / mahdolliseksi toteuttaa. Esimerkiksi voi olla, että lakimuutosten vaikutukset toteutetaan pelkästään tietojärjestelmiin, samassa yhteydessä on tutkittu myös vaihtoehtoja kehittää prosesseja tai toimintamallia, ja päädytään ratkaisuun, jossa näitä ei kuitenkaan toteuteta. 9 Esiselvityksen päättäminen ja dokumentointi Esiselvitys päätetään kun sovittu dokumentaatio on tuotettu, käsitelty ja hyväksytty. esiselvitysraportti on laadittu, käsitelty ja hyväksytty. Esiselvityksestä laaditaan esiselvitysraportti (kts. liite 1), johon pyritään keräämään kaikista vaiheista kaikki olennainen tieto, kokemukset ja näkemykset. Kaikkien esiselvityksen vaiheiden tulokset, kuvaukset, analyysit, johtopäätökset ja päätökset dokumentoidaan huolellisesti ja selkeästi. Dokumentaatiota voi tuleva kehityshanke ja sen projektit hyödyntää myöhemmässä työssään. Esiselvitysraportti sisältää mm. seuraavat osa-alueet: markkinakartoituksen tulokset toimittajat ja tuotteet käynnissä olevat hankkeet puitesopimukset tavoiteratkaisun kuvaus järjestelmän toiminnallisuus 16/18
17 järjestelmävaatimukset tietoturvallisuus tarkennettu kustannus- ja hyötyanalyysi laatutavoitteet integrointi muihin järjestelmiin alustava konversiosuunnitelma kilpailutuksen perusteet jatkotoimenpide-ehdotukset ja niiden vaiheistus Mikäli esiselvitys on suoritettu projektina, projekti päätetään ja sen resurssit vapautetaan organisaation projektinhallintamenettelyssä kuvatun päättämismenettelyn mukaisesti, kun projektin työt on suoritettu. 10 Päätöksenteko hankkeen jatkamisesta Ohjausryhmä tai kehittämiskohteen prosessinomistaja arvioi organisaation hyväksymismenettelyjen mukaisesti, objektiivisesti ja kriittisestikin kuvatun tavoitetilan ja esiselvityksessä tehtyjen analyysien tulosten, johtopäätösten ja jatkotoimenpide-ehdotuksen perusteella onko esiselvityksen toteutus edennyt olennaisilta osiltaan oikeaan suuntaan. ovatko lopputulokset ja niistä tehdyt analyysit edelleen kehittämistavoitteita ja siten etenemistä tukevia. ovatko määritellyt tavoitehyödyt esiselvityksen asettamisvaiheen linjausten mukaisia ja edelleen relevantteja. onko hankintaa hyödyntävillä tahoilla yhteinen näkemys hankinnasta (huom. yhteisesti sovitut termit). onko organisaatiolla käytettävissään riittävät resurssit (rahaa, asiantuntemusta, henkilötyöaikaa) hankinnan toteuttamiseen. onko tietojärjestelmän omistaja selvitetty. Mikäli edellä mainittuihin kysymyksiin ei saada selkeitä vastauksia tai niihin joihinkin tulee kielteinen vastaus, on päätöksenteolle kaksi vaihtoehtoa eli esiselvitysprojektin uudelleensuunnittelu ja paluu taaksepäin vähintäänkin tavoitetilan kuvaukseen tai niihin osioihin jotka ovat vielä epäselviä. esiselvitysprojektin keskeyttäminen tarpeettomana. Mikäli taas vastaukset ovat linjassa tavoitteisiin nähden, tulokset ovat yksiselitteisiä ja selkeitä ja tavoitehyödyt johdettu ja tarkennettu objektiivisesti ja tehtyihin selvityksiin perustuen, ohjausryhmässä päätetään esiselvityksen jatkamisesta kehityshankkeen valmisteluun Hankittavan tietojärjestelmän omistajuus Ennen hankinnan valmisteluun etenemistä, on selvitettävä tulevan tietojärjestelmän omistajuus organisaatiossa eli mikä organisaatioyksikkö vastaa tietojärjestelmästä sen elinkaaren ajan ja mitkä ovat sen sidosryhmät. 11 Opastavat tiedot Tätä suositusta ylläpitää Julkisen hallinnon tietohallinnon neuvottelukunta JUHTA, puh , sähköposti: JHS-järjestelmän verkkosivut: 17/18
18 12 Liitteet Liite 1: Esiselvitysraportin sisällysluettelo Liite 2: Konversio 18/18
ICT-palvelujen kehittäminen - suositussarja Suvi Pietikäinen Netum Oy
ICT-palvelujen kehittäminen - suositussarja 24.11.2009 Suvi Pietikäinen Netum Oy JHS 171 ICT-palvelujen kehittäminen: Kehittämiskohteiden tunnistaminen ICT-palvelujen kehittäminen: Kehittämiskohteiden
LisätiedotJHS XXX ICT-palvelujen kehittäminen: Esiselvitys
JHS XXX ICT-palvelujen kehittäminen: Esiselvitys Versio: Julkaistu: Voimassaoloaika: Sisällys 1 Johdanto... 2 2 Soveltamisala... 3 3 Termit ja määritelmät... 3 4 Esiselvityksen käynnistämisen edellytykset...
LisätiedotICT-palvelujen kehittäminen suositussarja Suvi Pietikäinen Netum Oy
ICT-palvelujen kehittäminen suositussarja 25.2.2009 Suvi Pietikäinen Netum Oy ICT-palvelujen kehittäminen: Kehittämiskohteiden tunnistaminen ICT-palvelujen kehittäminen: Kehittämiskohteiden tunnistaminen
LisätiedotLaatua ja tehoa toimintaan
Laatua ja tehoa toimintaan Tietoturvallisuus osana laatua Kuntamarkkinat 12.9.2013 Aapo Immonen, Senior Manager, FCG konsultointi Oy 5.9.2013 Page 1 Sisältö Tavoitteet Tietoturvallisuutta ohjaavat tekijät
LisätiedotMaster data tietojen ja kriteeristön sekä hallintamallin määrittely ja suunnittelu TRE:933/02.07.01/2011
Lisätieto 15.2.2011 Master data tietojen ja kriteeristön sekä hallintamallin määrittely ja suunnittelu TRE:933/02.07.01/2011 Vastaukset täydentävät vaatimusmäärittelyämme lisätietona ja ne tulee ottaa
LisätiedotJHS 179 Kokonaisarkkitehtuurin suunnittelu ja kehittäminen Liite 4. Soveltamisohje perustason kuvauksien tuottamiseen
JHS 179 Kokonaisarkkitehtuurin suunnittelu ja kehittäminen Liite 4. Soveltamisohje perustason kuvauksien tuottamiseen Versio: Luonnos palautekierrosta varten Julkaistu: Voimassaoloaika: toistaiseksi Sisällys
LisätiedotJHS 179 ICT-palvelujen kehittäminen: Kokonaisarkkitehtuurin kehittäminen Liite 1 Organisaation toiminnan kehittämisen sykli
JHS 179 ICT-palvelujen kehittäminen: Kokonaisarkkitehtuurin kehittäminen Liite 1 Organisaation toiminnan kehittämisen sykli Versio: 1.0 Julkaistu: 8.2.2011 Voimassaoloaika: toistaiseksi Sisällys 1 Organisaation
LisätiedotSalassa pidettävien tietojen ja asiakirjojen turvaluokittelu
JHS 147 Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu Julkaistu: 28.11.2000 Voimassaoloaika: Toistaiseksi Sisältö 1 TAUSTAA 1.1 Suosituksen tarkoitus 1.2 Asiakirjojen ja tietojen luokittelu
LisätiedotJHS 179 ICT-palvelujen kehittäminen: Kokonaisarkkitehtuurimenetelmä
JHS 179 ICT-palvelujen kehittäminen: Kokonaisarkkitehtuurimenetelmä Liite 5 Arkkitehtuuriperiaatteiden kuvaus Versio: 1.1 Julkaistu: 8.2.2011 Voimassaoloaika: toistaiseksi Sisällys 1 Arkkitehtuuriperiaatteet...
LisätiedotTietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1
Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin 12.12.2011 A-P Ollila 1 Taustaa Tiedon merkitys yhteiskunnassa ja viranomaisten toiminnassa korostuu kaiken aikaa. Viranomaisten
LisätiedotViitearkkitehtuurin suunnitteluprosessi. Ohje. v.0.7
Viitearkkitehtuurin suunnitteluprosessi Ohje v.0.7 Viitearkkitehtuurin suunnitteluprosessi XX.XX.201X 2 (13) Sisällys 1. Johdanto... 3 2. Viitearkkitehtuurin suunnitteluprosessin vaiheet... 3 2.1. Vaihe
LisätiedotMiten varmennan ICT:n kriittisessä toimintaympäristössä?
Miten varmennan ICT:n kriittisessä toimintaympäristössä? Sairaalatekniikan päivät 2018 8.2.2018 Tommi Tervo, Istekki Oy Kehittämispäällikkö Mistä sairaalan ICT koostuu? Noin 6000 päätelaitetta Noin 200
LisätiedotMuutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen
1 (6) 25.11.2015 Lappeenrannan kaupungin tietoturvapolitiikka 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0
LisätiedotVihdin kunnan tietoturvapolitiikka
Vihdin kunnan tietoturvapolitiikka Kunnanhallitus 2.3.2015 50, liite 2 Kunnan johtoryhmä 18.11.2014 Tietohallinnon ohjausryhmä (Thor) 24.9.2014 Sisällys 1 Johdanto... 2 2 Mitä tietoturvallisuus on?...
LisätiedotJHS XXX ICT-palvelujen kehittäminen: Laadunvarmistus Liite 6: Katselmointi
JHS XXX ICT-palvelujen kehittäminen: Laadunvarmistus Liite 6: Katselmointi Versio: 0.9 Julkaistu: n.n.2011 Voimassaoloaika: toistaiseksi Sisällys 1 Katselmointi osana laadunvarmistusta... 2 2 Yleistä katselmoinneista...
LisätiedotTietohallinnon nykytilan analyysi. Analyysimenetelmä (sovitettu Tietohallintomallista) 9.10.2013
Tietohallinnon nykytilan analyysi Analyysimenetelmä (sovitettu Tietomallista) 9.10.2013 Haastattelurunko Kerättävät perustiedot Budjetti (edellisvuoden) Henkilöstökustannukset IT-ostot Muut Liite - Kypsyysanalyysin
LisätiedotSYSTEMAATTINEN RISKIANALYYSI YRITYKSEN TOIMINTAVARMUUDEN KEHITTÄMISEKSI
Päivitetty 28.3.2017 SYSTEMAATTINEN RISKIANALYYSI YRITYKSEN TOIMINTAVARMUUDEN KEHITTÄMISEKSI Riskianalyysiohjeen tarkoitus on tukea yrityksen toimintaa uhkaavien tilanteiden (riskien) tunnistamisessa,
LisätiedotICT muutos kunta- ja palvelurakennemuutoksessa. Selvitysvaiheen tehtävät
ICT muutos kunta- ja palvelurakennemuutoksessa Selvitysvaiheen tehtävät Kunta- ja palvelurakennemuutos Selvitysvaiheen tehtävät 1.0. Selvitysvaiheen projektointi Suunnittelu 1.1. Nykytilan kuvaaminen 1.2.
LisätiedotSFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet
SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet Yleisesittely Julkaisutilaisuus 12.6.2014 Teknologiajohtaja Aki Siponen, Microsoft Oy SFS-ISO/IEC 27002:2013 tietoturvallisuuden
LisätiedotLuotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus
Nykytila-arvio toiminnan osa-alueesta Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus Trust, Quality & Progress on tehokas tapa tietää enemmän Oletko tietoinen organisaationne tietohallinnon, tietoturvallisuuden,
LisätiedotJulkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano
Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta 11.9.2018 Pauli Kartano Lausuntokierros Linjaukset ja lausunnot nähtävillä lausuntopalvelussa Julkisen hallinnon linjaukset tiedon sijainnista
LisätiedotTURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA
TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA Turvallinen ohjelmistokehitys seminaari 30.9.2008 1 Turvallisuusvaatimukset ohjelmiston hankinnassa Tehtävä/toiminta liittyvä toiminnot/prosessit
LisätiedotPALVELUKUVAUS järjestelmän nimi versio x.x
JHS 171 ICT-palvelujen kehittäminen: Kehittämiskohteiden tunnistaminen Liite 4 Palvelukuvaus -pohja Versio: 1.0 Julkaistu: 11.9.2009 Voimassaoloaika: Toistaiseksi PALVELUKUVAUS järjestelmän nimi versio
LisätiedotJHS XXX ICT-palvelujen kehittäminen: Laadunvarmistus Liite 2: Tarkistuslistoja
JHS XXX ICT-palvelujen kehittäminen: Laadunvarmistus Liite 2: Tarkistuslistoja Versio: 0.9 Julkaistu: n.n.2011 Voimassaoloaika: toistaiseksi 1 Yleistä Palvelun kehitys jakautuu vaiheisiin, joiden väleissä
LisätiedotJHS 171 ICT-palvelujen kehittäminen: Kehittämiskohteiden tunnistaminen
JHS 171 ICT-palvelujen kehittäminen: Kehittämiskohteiden tunnistaminen Versio: 1.2 5.10.2012 Julkaistu: 11.9.2009 Voimassaoloaika: toistaiseksi Sisällys 1 Johdanto... 3 2 Soveltamisala... 4 3 Termit ja
LisätiedotTIETOTURVAPOLITIIKKA
TIETOTURVAPOLITIIKKA Lapin ammattikorkeakoulun rehtori on hyväksynyt tietoturvapolitiikan 18.3.2014. Voimassa toistaiseksi. 2 Sisällysluettelo 1 Yleistä... 3 1.1 Tietoturvallisuuden kolme ulottuvuutta...
LisätiedotTOIMIJAREKISTERIN TOTEUTUKSEN JA YLLÄPIDON HANKINTA - HANKINNAN YKSI- LÖINTI HUOM!
TARJOUSPYYNTÖ / LIITE 1 1 (5) TOIMIJAREKISTERIN TOTEUTUKSEN JA YLLÄPIDON HANKINTA - HANKINNAN YKSI- LÖINTI HUOM! Tällä liitteellä yksilöidään hankinnan kohteen ominaisuuksia ja toiminnallisuuksia, jotka
LisätiedotValtion taloushallinnon kokonaisarkkitehtuurin tavoitetila
Valtion taloushallinnon kokonaisarkkitehtuurin tavoitetila Valtion taloushallintopäivä 18.11.2015 Olli Ahonen Valtiokonttori Sisällys Johdanto Visio ja tavoitteet 1. Toiminta-arkkitehtuuri - Palvelut -
LisätiedotPK-yrityksen tietoturvasuunnitelman laatiminen www.turkuamk.fi
Matti Laakso / Tietoturvapäivä 8.2.2011 PK-yrityksen tietoturvasuunnitelman laatiminen Tietoturvasuunnitelma 1/3 Toimenpiteiden ja dokumentoinnin lopputuloksena syntyvä kokonaisuus -- kirjallinen tietoturvasuunnitelma
LisätiedotJyväskylän seudun kuntien ICT muutostuen toteutusprojekti. Toteutussuunnitelma
7.1.2014 Liite 1 Jyväskylän seudun kuntien ICT muutostuen toteutusprojekti Toteutussuunnitelma Versio 0.2 7.1.2014 Jyväskylän seudun kunnat Valtiovarainministeriö 2 (16) Sisällys Sisällys... 2 Dokumentin
LisätiedotJärjestelmäarkkitehtuuri (TK081702) Yritysarkkitehtuuri. Muutostarpeet
Järjestelmäarkkitehtuuri (TK081702) Ympäristö Muutostarpeet ja niihin vastaaminen Yritysarkkitehtuuri Liiketoiminta-arkkitehtuuri Tavoitteet, Palvelut, Prosessit Informaatioarkkitehtuuri Tietotarpeet,
LisätiedotTietoturvapolitiikka
Mäntsälä Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 0.9 2/8 Sisällys 1 Johdanto... 4 2 Mitä tietoturvallisuus on?... 4 2.1 Tietoturvallisuuden hallinta... 5 2.2 Riskienhallinta sekä jatkuvuuden
LisätiedotHELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa
HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1 Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet
LisätiedotTietoturvallisuuden hallintajärjestelmä pähkinänkuoressa
Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Valtorin tietoturvaseminaari 2.4.2014 Pekka Ristimäki Johtava asiantuntija, CISM, CISSP, CRISC Valtori / Tietoturvapalvelut Mikä on hallintajärjestelmä?
LisätiedotJHS-järjestelmä ja avoimet teknologiat. Tommi Karttaavi
JHS-järjestelmä ja avoimet teknologiat Tommi Karttaavi 13.5.2008 JHS-järjestelmä (historiaa) Valtioneuvoston päätös valtionhallinnon sisäisistä standardeista 7.9.1977 Valtiovarainministeriö vahvisti valtionhallinnon
LisätiedotJulkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet
Valtion tieto ja viestintätekniikkakeskus Valtori Lausunto 07.09.2018 Dnro 110/00.04/2018 Asia: VM/276/00.01.00.01/2018 Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta Yhteenveto Kommentit
Lisätiedot<Viitearkkitehtuurin nimi> toimeenpanosuunnitelma
toimeenpanosuunnitelma XX.X.201X Versio: 0.X toimeenpanosuunnitelma XX.XX.201X 2 (7) Sisällys 1. Johdanto... 3 2. Viitearkkitehtuurin vaikutukset... 3 2.1. Viitearkkitehtuurin vaikutukset toimintaympäristöön...
LisätiedotTietojärjestelmäkehityksen ja ylläpidon kilpailuttaminen. Hankintamenettelyjen parhaat käytännöt
Tietojärjestelmäkehityksen ja ylläpidon kilpailuttaminen Hankintamenettelyjen parhaat käytännöt Mikko Vuorikoski Johtaja Ixonos Teknologiakonsultointi Oy Sisältö Järjestelmien hankinnan motiivit Miksi
LisätiedotJHS 179 ICT-palvelujen kehittäminen: Kokonaisarkkitehtuurin kehittäminen Liite 2 Arkkitehtuurikehyksen kuvaus
JHS 179 ICT-palvelujen kehittäminen: Kokonaisarkkitehtuurin kehittäminen Liite 2 Arkkitehtuurikehyksen kuvaus Versio: 1.0 Julkaistu: 8.2.2011 Voimassaoloaika: toistaiseksi Sisällys 1 Arkkitehtuurikehyksen
LisätiedotTietoturvapolitiikka Porvoon Kaupunki
Tietoturvapolitiikka Porvoon Kaupunki 1 Sisältö 1 Johdanto... 3 2 Mitä tietoturvallisuus on?... 4 Tietoturvallisuuden hallinta... 4 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen... 5 3 Tietoturvallisuustavoitteet...
LisätiedotKOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA
KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA 1 S i v u Kokkolan kaupungin tietoturvapolitiikka 1. JOHDANTO Tietojenkäsittely tukee Kokkolan kaupungin palvelujen tuottamista ja palveluiden tehokkuus riippuu
LisätiedotJHS129 Julkisten verkkopalvelujen suunnittelu ja kehittäminen. JHS-jaosto
JHS129 Julkisten verkkopalvelujen suunnittelu ja kehittäminen JHS-jaosto 23.05.2014 Sisältö Käsitteet ja tavoitteet Työskentelyprosessi Suositusluonnoksen esittely 2 Käsitteet ja tavoitteet 3 Verkkopalvelu
LisätiedotTIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA
TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TOIMITILAPÄIVÄ 21.3.2013 Johtava asiantuntija Fyysinen turvallisuus ja varautuminen Marko Kalliokoski Verohallinto 020 612 5192 etunimi.sukunimi@vero.fi
LisätiedotValtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta
Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta Kimmo Rousku, VAHTI-pääsihteeri, JulkICT-osasto Esitykseni - viisi
LisätiedotSovelto Oyj JULKINEN
1 (5) 21.3.2018 JULKINEN :n Vastuu :n toiminnasta on sen ylimmällä johdolla. Yrityksen toiminta ja palvelut ovat suuresti riippuvaisia tietotekniikkapalveluiden saatavuudesta ja niiden turvallisesta toiminnasta.
LisätiedotJHS 179 Kokonaisarkkitehtuurin suunnittelu ja kehittäminen Liite 3. Arkkitehtuurin nykytilan ja tavoitetilan kuvaus
JHS 179 Kokonaisarkkitehtuurin suunnittelu ja kehittäminen Liite 3. Arkkitehtuurin nykytilan ja tavoitetilan kuvaus Versio: Luonnos palautekierrosta varten Julkaistu: Voimassaoloaika: toistaiseksi Sisällys
LisätiedotJHS 179 Kokonaisarkkitehtuurin suunnittelu ja kehittäminen Liite 2. Liiketoimintamallit ja kyvykkyydet KA-suunnittelussa
JHS 179 Kokonaisarkkitehtuurin suunnittelu ja kehittäminen Liite 2. Liiketoimintamallit ja kyvykkyydet KA-suunnittelussa Versio: Luonnos palautekierrosta varten Julkaistu: Voimassaoloaika: toistaiseksi
LisätiedotTietoturvapolitiikka
Valtiokonttori Ohje 1 (6) Tietoturvapolitiikka Valtion IT -palvelukeskus Valtiokonttori Ohje 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa...
LisätiedotTIETOHALLINTOLAKI (LUONNOS) Korkeakoulujen IT-päivät Erityisasiantuntija Olli-Pekka Rissanen
TIETOHALLINTOLAKI (LUONNOS) 13.10.2010 Korkeakoulujen IT-päivät Erityisasiantuntija Olli-Pekka Rissanen Keskeisenä tavoitteena Toteuttaa eduskunnan 7.12.2009 tekemä päätös, että hallituksen tulisi valmistella
LisätiedotTIETOTURVA- POLITIIKKA
TIETOTURVA- POLITIIKKA Kaupunginhallitus 3.9.2013 216 HAAPAJÄRVEN KAUPUNGIN TIETOTURVAPOLITIIKKA 1. JOHDANTO... 3 2. KATTAVUUS... 3 3. TIETOTURVA... 3 4. TIETOTURVATYÖ... 4 5. ORGANISOINTI JA VASTUUT...
LisätiedotABB Drives and Controls, 26.05.2015 Koneenrakentajan ja laitetoimittajan yhteistoiminta toiminnallisen turvallisuuden varmistamisessa
ABB Drives and Controls, 26.05.2015 Koneenrakentajan ja laitetoimittajan yhteistoiminta toiminnallisen turvallisuuden varmistamisessa Sisältö 1. Koneenrakentajan haasteita koneiden turvallistamisessa 2.
LisätiedotTIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103
TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI Hyväksytty:, asiakohta 28, asiakohta 103 Sisällysluettelo 1. Periaatteet... 3 1.1 Henkilötietojen käsittelyn lainmukaisuus... 3 2. Tietosuojan vastuut ja organisointi...
LisätiedotAvoimen lähdekoodin ohjelmistot julkisessa hallinnossa
Avoimen lähdekoodin ohjelmistot julkisessa hallinnossa Ohjelmistotuotteen hallinta ja hallinnointi 22.4.2015 Mikael Vakkari, neuvotteleva virkamies. VM Strategisten linjausten perusteemat Avoimuus Hallinto,
LisätiedotTietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa
Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa 13.05.2015 Terveydenhuollon ATK-päivät Tampere-talo Yleistä Riskienhallintaan löytyy viitekehyksiä/standardeja kuten ISO 31000
LisätiedotVastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)
Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen 2012 2014 (pohjaehdotus) Arviointilomakkeiden tarkoitus Kunkin vastuualueen ja tulosyksikön sisäisen valvonnan
LisätiedotValtionhallinnon arkkitehtuurin kehittäminen
arkkitehtuurin kehittäminen Kehittämisohjelman esittely RASKE2-seminaari 16.5.2006 neuvotteleva virkamies Aki Siponen Valtion IT-toiminnan johtamisyksikkö arkkitehtuurin kehittäminen Arkkitehtuurista ja
LisätiedotJHS 166 (JIT2007) uusiminen
JHS 166 (JIT2007) uusiminen Hankesuunnitelma v.0.1 Hankesuunnitelma JHS166 uusiminen v.0.1 30.08.2012 1(8) Sisällysluettelo 1. Hankkeen lähtökohdat... 3 1.1 Hankkeen perustamisen tausta... 3 1.2 Hankkeen
LisätiedotAvoimen ja yhteisen rajapinnan hallintasuunnitelma v.1.4
Avoimen ja yhteisen rajapinnan hallintasuunnitelma v.1.4 Tämän esityksen sisältö tausta avoimet toimittajakohtaiset rajapinnat (toimittajan hallitsemat rajapinnat) avoimet yhteiset rajapinnat (tilaajan
LisätiedotTAPAS - puheenvuoro - TAPAS-päätösseminaari Tommi Oikarinen, VM / JulkICT
TAPAS - puheenvuoro - TAPAS-päätösseminaari 28.10.2011 Tommi Oikarinen, VM / JulkICT Projektin ensisijaisena tavoitteena on yhteisesti suunnitella ja arvioida alueellisen ja paikallisen tason tietojärjestelmäarkkitehtuurin
LisätiedotRaportointi >> Perusraportti Palautepyyntö: ICT palvelujen kehittäminen: Esiselvitys
1761c39 (Valtiovarainministeriö), olet kirjautuneena sisään. 11. toukokuuta 9 11:6:18 Your boss is {} Kirjaudu ulos Etusivu Kyselyt Raportointi Asetukset Käyttäjätiedot Ota yhteyttä Oppaat Help Päällä
LisätiedotVM 5/01/ Valtiovarainministeriö Hallinnon kehittämisosasto. Ministeriöille, virastoille ja laitoksille 1 LÄHTÖKOHDAT
Valtiovarainministeriö Hallinnon kehittämisosasto VM 5/01/2000 19.1.2000 Ministeriöille, virastoille ja laitoksille Asia Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu- ja merkintäohje 1
LisätiedotTietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari
Tietoturvallisuus osana tiedonhallintalakia Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari 31.8.2018 Tiedonhallintalain valmistelu Ensimmäinen vaihe, työryhmä 17.11.2016-15.9.2017 Tiedonhallinnan lainsäädännön
LisätiedotSähköisen asioinnin kehittäminen julkisessa hallinnossa SADe- ohjelma. Valtio Expo 2009 Helsinki Ylijohtaja Silja Hiironniemi
Sähköisen asioinnin kehittäminen julkisessa hallinnossa SADe- ohjelma Valtio Expo 2009 Helsinki 7.5.2009 Ylijohtaja Silja Hiironniemi Taustaa Hallitusohjelman mukaisesti julkisen hallinnon toimintaa, palvelurakenteita,
LisätiedotLausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.
Lausunto 07.09.2018 VRK/3920/2018 Asia: VM/276/00.01.00.01/2018 Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta Yhteenveto Kommentit yhteenvetoon: Taustaa linjauksille Kommentit taustaan:
LisätiedotKokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana
Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana Terveydenhuollon Atk-päivät Tampere-talo 26.5.2010 Antti-Olli Taipale Tietohallintojohtaja Päijät-Hämeen sosiaali- ja terveysyhtymä
LisätiedotLappeenrannan kaupungin tietoturvaperiaatteet 2016
1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015
LisätiedotOTM-HANKE. Opintohallinnon tietojärjestelmän modernisointi - tilannekatsaus
OTM-HANKE Opintohallinnon tietojärjestelmän modernisointi - tilannekatsaus Taustaa Aalto-yliopisto, Helsingin yliopiston ja Tampereen yliopiston yhteishanke opintohallinnon tietojärjestelmien modernisoinniksi
LisätiedotLiite 2 : RAFAELA -aineiston elinkaaren hallinta
RAFAELA-hoitoisuusluokitus-jär je 1 Liite 2 : RAFAELA -aineiston elinkaaren hallinta Ohje: Lomake täytetään Tilaajan toimesta ja palautetaan Toimittajalle käyttöoikeussopimuksen mukana. 1. Aineiston omistajuus
LisätiedotKansallinen ASPAtietojärjestelmä
Kansallinen ASPAtietojärjestelmä Taustoitus Järjestäjien tarve yhteiselle asiakaspalautteen keräämisen järjestelmälle nousi esiin kevään selvityksessä Asiakaspalautetieto on myös osa kansallista sote-tietopohjaa
LisätiedotKeskustelutilaisuus ICT-palvelujen kehittäminen -suositussarjasta
Keskustelutilaisuus ICT-palvelujen kehittäminen -suositussarjasta 25.2.2009 Agenda Kokonaisarkkitehtuuri Arkkitehtuurimenetelmä Arkkitehtuuriajattelun soveltuvuus ICTpalvelujen kehittäminen -suositussarjaan
LisätiedotTietojärjestelmän osat
Analyysi Yleistä analyysistä Mitä ohjelmiston on tehtävä? Analyysin ja suunnittelun raja on usein hämärä Ei-tekninen näkökulma asiakkaalle näkyvien pääkomponenttien tasolla Tietojärjestelmän osat Laitteisto
LisätiedotEspoon kaupunki Tietoturvapolitiikka
Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016
LisätiedotAvoimen ja yhteisen rajapinnan hallintamalli
Avoimen ja yhteisen rajapinnan hallintamalli 1.10.2015 Sisältö tausta avoimet toimittajakohtaiset rajapinnat (toimittajan hallitsemat rajapinnat) avoimet yhteiset rajapinnat (tilaajan hallitsemat rajapinnat)
LisätiedotKuntien Kansalliseen palveluarkkitehtuuriin liittyminen. Kunta-KaPA
Kuntien Kansalliseen palveluarkkitehtuuriin liittyminen Kunta-KaPA JUHTA 14.10.2015 Kunta-KaPA Kuntaliittoon on perustettu projektitoimisto, jonka tehtävänä on tukea ja edesauttaa Kansallisen Palveluarkkitehtuurin
LisätiedotKuntasektorin kokonaisarkkitehtuuri
Kuntasektorin kokonaisarkkitehtuuri Tilannekatsaus Kurttu 2.10.2012 Miksi kokonaisarkkitehtuuri? Julkisen hallinnon kokonaisarkkitehtuurilla tavoitellaan» Yhteentoimivuutta, tietojärjestelmissä, niiden
LisätiedotJHS 179 suosituksen uudistamishanke Suositusluonnoksen ja liitteiden esittely Keskustelutilaisuus Kansallismuseon auditorio
JHS 179 suosituksen uudistamishanke Suositusluonnoksen ja liitteiden esittely Keskustelutilaisuus 29.4.2015 Kansallismuseon auditorio Suvi Pietikäinen Netum konsultointi Oy Esityksen sisältö Suosituksen
LisätiedotMiten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj
Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj Kyberturvallisuus toiminta Valtio Kyberturvallisuuden poliittinen ohjaus kuuluu valtioneuvostolle,
LisätiedotLausunto Ohjausvaikutusten parantamiseksi julkisen hallinnon yhteisten arkkitehtuurilinjausten laatukriteerejä ovat mm:
Helsingin kaupunki, Kaupunginkanslia Lausunto 30.06.2017 Asia: VM/711/00.01.00.01/2015 Julkisen hallinnon ICTlinjauksia Linjausten tarkoitus JHKA 2.0 hallintamallissa mainitaan seuraavaa: Ohjausvaikutusten
LisätiedotVihdin kunnan tietosuoja- ja tietoturvapolitiikka
Vihdin kunnan tietosuoja- ja tietoturvapolitiikka Kunnanhallitus Kunnan johtoryhmä Sisällys 1 Johdanto... 2 2 Mitä tietosuoja ja tietoturvallisuus ovat?... 2 2.1 Tietosuoja on perustuslain suojaamaa yksityisyyden
LisätiedotJHS XXX ICT-palvelujen kehittäminen: Kokonaisarkkitehtuurimenetelmä
JHS XXX ICT-palvelujen kehittäminen: Kokonaisarkkitehtuurimenetelmä Liite 2 Arkkitehtuuriperiaatteet Versio: luonnos Julkaistu: Voimassaoloaika: Sisällys 1 Arkkitehtuuriperiaatteet... 2 1.1 Sidosarkkitehtuurit,
LisätiedotToivakan kunnan teknologia-arkkitehtuuri
Toivakan kunnan teknologiaarkkitehtuuri Iikka Virtanen, Teemu Uusitalo & Vesa Kakriainen Toivakan kunnan teknologia-arkkitehtuuri Johdanto Nykytilan kartoitus Tavoitetilan kuvaus 6.7.1 Teknologiapalvelut
LisätiedotLaadunvarmistus julkishallinnon ohjelmistoprojekteissa. 08.06.2010 Antti Sinisalo
Laadunvarmistus julkishallinnon ohjelmistoprojekteissa 08.06.2010 Antti Sinisalo Sisältö Julkinen hankinta ja kansallinen kilpailutusprosessi Laadunvarmistus julkishallinnon ohjelmistoprojekteissa Avoin
LisätiedotKokonaisarkkitehtuuri julkisessa hallinnossa. ICT muutostukiseminaari neuvotteleva virkamies Jari Kallela
Kokonaisarkkitehtuuri julkisessa hallinnossa ICT muutostukiseminaari 8.10.2014 neuvotteleva virkamies Jari Kallela Sisältö Miksi kokonaisarkkitehtuuria tarvitaan julkisessa hallinnossa? Mitä tuloksia kokonaisarkkitehtuurista
LisätiedotKäytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta
Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta Kehittämispäällikkö Anna Kärkkäinen, THL Sosiaali- ja terveydenhuollon tietosuojaseminaari, Lahti 16.11.2016 Esityksen
LisätiedotKuntasektorin asianhallinnan viitearkkitehtuuri 1.0. Kuntamarkkinat Tuula Seppo, erityisasiantuntija
Kuntasektorin asianhallinnan viitearkkitehtuuri 1.0 Kuntamarkkinat 14.9.2016 Tuula Seppo, erityisasiantuntija Kuntasektorin asianhallinnan viitearkkitehtuuri 1.0 Hallinnon toimintatapojen digitalisointi
LisätiedotSisäänrakennettu tietosuoja ja ohjelmistokehitys
Sisäänrakennettu tietosuoja ja ohjelmistokehitys Petri Strandén 14. kesäkuuta, 2018 Petri Strandén Manager Cyber Security Services Application Technologies Petri.stranden@kpmg.fi Petri vastaa KPMG:n Technology
LisätiedotKokonaisarkkitehtuurin kehittäminen Satu Pajuniemi. Conversatum Oy
n kehittäminen 10.10.2017 Satu Pajuniemi Miksi kokonaisarkkitehtuuri? JHS 179 n suunnittelu ja kehittäminen (uusin versio 6/2017) Ei korvaa muita toiminnan suunnittelumenetelmiä Tavoitteena julkishallinnon
LisätiedotCOBITilla tietohallinnon prosessien ja projektien tehokkuus kuntoon
1 COBilla tietohallinnon prosessien ja projektien tehokkuus kuntoon Valtiontalouden tarkastusviraston ja tietosuojavaltuutetun toimiston -foorumi (Helsinki, 28.1.2010) Juhani Heikka vs. tietohallintojohtaja
LisätiedotLausunto Linjausten tulisi perustua pilvipalvelujen käyttöön liittyvään yleiseen riskiarvioon
tulli.fi Lausunto 07.09.2018 Asia: VM/276/00.01.00.01/2018 Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta Yhteenveto Kommentit yhteenvetoon: Taustaa linjauksille Kommentit taustaan: Tulisiko
LisätiedotLieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019
Lieksan kaupungin tietoturva- ja 2019 2 (8) Sisällys Johdanto... 3 Käsitteet... 3 Tavoitteet... 5 Toteutus... 5 Organisointi ja vastuut... 6 Riskienhallinta... 7 Seuranta ja valvonta... 7 Dokumentit ja
LisätiedotSisäänrakennettu tietosuoja ja ohjelmistokehitys
Sisäänrakennettu tietosuoja ja ohjelmistokehitys Petri Strandén 8. kesäkuuta, 2018 Agenda Ohjelmistokehitys Ohjelmistokehitys vs. konsultointi Vaatimukset Tietosuoja Tietosuoja ohjelmistokehityksessä kiteytettynä
LisätiedotSFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen
SFS-ISO/IEC 27003 Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta Riku Nykänen 14.12.2018 SFS-ISO/ IEC 2 70 0 3 Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta Riku Ny kän en, 14.12.2 0 18
LisätiedotJHS 182 ICT-palvelujen kehittäminen: Laadunvarmistus Liite 2 Tarkistuslistoja
JHS 182 ICT-palvelujen kehittäminen: Laadunvarmistus Liite 2 Tarkistuslistoja Versio: 1.0 Julkaistu: 15.12.2011 Voimassaoloaika: toistaiseksi 1 Yleistä Palvelun kehitys jakautuu vaiheisiin, joiden väleissä
LisätiedotDigipäivä, Hallintoryhmä. 25.8.2015 Sipoo
Digipäivä, Hallintoryhmä 25.8.2015 Sipoo NURMIJÄRVEN SÄHKÖINEN ASIOINTI 2 Tero Kulha Taustaa Sähköisestä arkistoinnista on puhuttu Nurmijärvellä kauan ja se ollut budjetissakin useampana vuonna. Nyt teema
Lisätiedoterisk-työpaja 5. "Yhteistoiminta" 14.9.2005
erisk-työpaja 5. "Yhteistoiminta" 14.9.2005 Oheisen arviointilomakkeen tarkoituksena on tuottaa päätöksentekoa tukevaa tietoa siitä, minkälaiset sisältöominaisuudet tulisi ensisijaisesti sisällyttää syksyn
LisätiedotSUOMEN KUNTALIITTO RY
Karttaliittymä Versio: 18.10.2011 Julkaistu: 27.10.2011 Voimassaoloaika: Toistaiseksi Sisällys 1 Johdanto... 2 1.1 Suosituksen tausta... 2 1.2 Suosituksen rakenne... 2 2 Soveltamisala... 2 3 Lyhenteet...
LisätiedotJulkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet
Verohallinto Lausunto 07.09.2018 Asia: VM/276/00.01.00.01/2018 Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta Yhteenveto Kommentit yhteenvetoon: Taustaa linjauksille Kommentit taustaan:
LisätiedotHankesuunnitelma. Novus-Hanke. Novus-Hanke. YYL:n tietojärjestelmien kokonaisuudistus HANKESUUNNITELMA. www.prh.fi LIITE 1
Hankesuunnitelma YYL:n tietojärjestelmien kokonaisuudistus HANKESUUNNITELMA Hankesuunnitelma - Sisältö Tausta Hankkeen tavoitteet, hyödyt, riskit ja laadunvarmistus Arkkitehtuurit Kustannukset Organisaatio
LisätiedotSähköi sen pal l tietototurvatason arviointi
Sähköisen palvelun l tietototurvatason arviointi Kirsi Janhunen Arviointia tehdään monesta syystä Itsearviointi Sisäinen arviointi Sisäinen tarkastus Vertaisarviointi Ulkoinen arviointi Lähtökohtana usein
LisätiedotInformaatio-ohjaus ja tiedonhallintalaki tietoturvallisuuden kehittäjänä. Kirsi Janhunen, Väestörekisterikeskus
Informaatio-ohjaus ja tiedonhallintalaki tietoturvallisuuden kehittäjänä Kirsi Janhunen, Väestörekisterikeskus Aiheet Informaatio-ohjaus tiedonhallintalain toteutuksen tukena Tiedonhallintalain luonnoksen
Lisätiedot