Ohje tietoturvallisuuden arviointilaitoksille
|
|
- Tuula Toivonen
- 8 vuotta sitten
- Katselukertoja:
Transkriptio
1 Ohje tietoturvallisuuden arviointilaitoksille
2 Ohje 2 (44) Versiohistoria Versio Päiväys Kuvaus/muutos Tekijä [Ensimmäinen versio] Laura Kiviharju 2.0 Luku 6, laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain muuttamisesta (250/2014) ja sähköisestä lääkemääräyksestä annetun lain muuttamisesta (251/2014) Laura Kiviharju
3 Ohje 3 (44) Sisältö 1 Johdanto Ohjeen tarkoitus ja soveltamisala Määritelmät Tietoturvallisuuden arviointitoiminnan tarkoitus Viranomaisten yleiset tietoturvallisuusvaatimukset Viranomaisten tietojärjestelmien ja luokiteltujen asiakirjojen käsittely-ympäristöjen arviointi Yritysturvallisuuden edistäminen ja kehittäminen Tietoturvallisuustoiminnan organisointi ja vastuut Arvioinnin toimeksiantaja Salassa pidettävää tietoa käsittelevä taho Tietoturvallisuuden arviointilaitos Viestintävirasto FINAS-akkreditointipalvelu Valtiovarainministeriö Kansallinen turvallisuusviranomaisorganisaatio Tietoturvallisuuslainsäädäntö ja tietoturvallisuuden arviointiperusteet Viranomaisten toimintaa koskevat kansalliset tietoturvallisuusvaatimukset Kansainvälisiin tietoturvavelvoitteisiin perustuvat tietoturvallisuusvaatimukset Muut tietoturvallisuutta koskevat säännökset, määräykset tai ohjeet ja vahvistettuun standardiin perustuvat vaatimukset Arviointilaitoksen hyväksyminen Vaatimukset tietoturvallisuuden arviointilaitokselle Johtamis- ja tietoturvallisuuden hallintajärjestelmiä koskevien vaatimusten soveltaminen tietojärjestelmiin ja tietoliikennejärjestelyihin Toiminnallinen ja taloudellinen riippumattomuus Laitoksen henkilökunnan pätevyys ja toiminnan edellyttämät järjestelmät Vastuuhenkilöiden luotettavuus ja tietojenkäsittelyn turvallisuus Asianmukaiset ohjeet toimintaa ja sen seurantaa varten Hyvää hallintoa koskevien säännösten noudattaminen Arviointilaitokseksi hakeutuminen Akkreditoinnin hakeminen Hyväksynnän hakeminen Viestintävirastolta... 22
4 Ohje 4 (44) 5 Tietoturvallisuuden arviointimenettely Arviointityypit Tietoturvallisuuden hallintajärjestelmän arviointi Tietojenkäsittely-ympäristön arviointi Tietojärjestelmän tai tietoliikennejärjestelyn arviointi Osittainen arviointi Esiarviointi Arviointikriteeristöt ja niiden soveltamisohjeet Kansalliset tietoturvallisuusvaatimukset Kansainväliset tietoturvallisuusvaatimukset Vahvistettuun standardiin perustuvat tietoturvallisuusvaatimukset Arviointimenettelyn vaiheet Toimeksianto Arvioinnin perustaksi otettujen tietoturvallisuutta koskevien vaatimusten toteutuminen Arvioinnissa sovellettava menettely Arviointiraportti ja muut arviointiin liittyvät asiakirjat Todistuksen antaminen Arviointia koskevien tietojen julkaiseminen Seurantatoimenpiteet Arviointimenetelmät Yleisiä arviointitoiminnassa huomioitava periaatteita Hallinnolliselle todentamiselle asetettavat vähimmäisvaatimukset Tekniselle todentamiselle asetettavat vähimmäisvaatimukset Arviointilaitoksen suorittaman arvioinnin suhde viranomaishyväksyntään ja viranomaisen antama todistus Sosiaali- ja terveydenhuollon tietojärjestelmien arviointi Tietoturvallisuuden arvioinnin suorittaminen ja todistuksen antaminen Käyttöönoton jälkeinen seuranta ja laitoksen ilmoitusvelvollisuus Arviointilaitoksen valvonta ja laadunhallinta Arviointilaitosten ohjaus ja valvonta Hyväksymispäätös ja sen valvonta Viestintäviraston tarkastus- ja tiedonsaantioikeus Arviointilaitoksen hyväksymisen peruuttaminen Arviointilaitoksen tiedonanto- ja ilmoitusvelvollisuus Ohjeen voimaantulo LIITTEET Liite 1. Tietoturvallisuuden arviointitoimintaa ohjaavat keskeiset normit Liite 2. Arviointiraporttimalli... 44
5 Ohje 5 (44) 1 Johdanto 1.1 Ohjeen tarkoitus ja soveltamisala 1.2 Määritelmät Tässä ohjeessa kuvataan tietoturvallisuuden arviointilaitoksen rooli ja tehtävät tietoturvallisuuden arviointitoiminnassa. Ohjeessa kuvataan arviointilaitosten toimintaa koskevat vaatimukset ja tietoturvallisuuden arviointia koskeva menettely. Hyväksytyn tietoturvallisuuden arviointilaitoksen on aina tunnettava sen toimintaan liittyvä voimassa oleva lainsäädäntö ja muut toimintaa kokevat vaatimukset. Tätä ohjeetta sovelletaan myös tietoturvallisuuden arviointilaitosten hyväksymismenettelyssä. Akkreditointi arviointielimen pätevyyden toteaminen yhdenmukaisten kansainvälisten tai eurooppalaisten arviointiperusteiden mukaisesti. Arvioinnin kohde tietojärjestelmä, tietoliikennejärjestely taikka tietojenkäsittely-ympäristö tai hallintajärjestelmä, jossa salassa pidettävää tietoa käsitellään Arviointilaitoslaki laki tietoturvallisuuden arviointilaitoksista ( /1405) ISO standardi SFS-EN ISO/IEC 17021:2011 Vaatimustenmukaisuuden arviointi. Vaatimukset johtamisjärjestelmiä auditoiville ja sertifioiville elimille. Conformity assessment. Requirements for bodies providing audit and certification of management systems ISO standardi ISO/IEC 27006:2011 Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems Julkisuuslaki laki viranomaisten toiminnan julkisuudesta ( /621) Julkisuusasetus asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta ( /1030) Tietojärjestelmä tietojenkäsittelylaitteista, ohjelmistoista ja muusta tietojenkäsittelystä koostuva kokonaisjärjestely Tietoliikennejärjestely tiedonsiirtoverkosta, tiedonsiirtolaitteista, ohjelmistoista ja muista tietojenkäsittelystä koostuvista järjestelyistä muodostuva järjestelmä Tietoturvallisuuden arviointilaitos Viestintäviraston hyväksymä elinkeinonharjoittaja tai palvelutehtäviä julkishallinnolle tarjoava yksikkö, joka toimeksiannosta arvioi tietoturvallisuustason
6 Ohje 6 (44) Tietoturvallisuuden arviointikriteeristö vaatimuskriteeristö, jota sovelletaan tietoturvallisuuden arvioinnissa ja joihin arviointilaitos voi hakea akkreditointia ja Viestintäviraston hyväksyntää Tietoturvallisuuden arviointiperuste Arvioinnin perustaksi otetut arviointilaitoslain 10 :n mukaiset tietoturvallisuutta koskevat vaatimukset Tietoturvallisuus tietojen salassapitovelvollisuuden ja käyttörajoitusten noudattamiseksi sekä tietojen saatavuuden, eheyden ja käytettävyyden varmistamiseksi toteutettavat hallinnolliset, tekniset ja muut toimenpiteet ja järjestelyt Tietoturvallisuusasetus valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa ( /681) Valtionhallinnon viranomainen valtion hallintoviranomainen, muu valtion virasto tai laitos taikka tuomioistuin tai lainkäyttöviranomainen Viranomaishyväksyntä Tietojärjestelmää, tietoliikennejärjestelyä tai tietojenkäsittely-ympäristöä koskeva toimivaltaisen turvallisuusviranomaisen virallinen hyväksyntä 1.3 Tietoturvallisuuden arviointitoiminnan tarkoitus Tietoturvallisuuden arviointi on väline sen toteamiseksi, täyttääkö arvioinnin kohde tietoturvallisuutta koskevat vaatimukset. Arvioinnin kohteena voi olla tietojenkäsittely-ympäristö ja sen toteutus, tietojärjestelmä tai tietoliikennejärjestely taikka tietoturvallisuuden hallintajärjestelmä. Mikäli arvioinnin tavoitteena on arviointilaitoksen antaman todistuksen saaminen ja viranomaishyväksynnän saavuttaminen, tietoturvallisuuden arviointimenettelyn avulla pyritään hankkimaan varmuus ja luottamus siitä, että tietoturvallisuudelle asetetut vaatimukset täyttyvät. Organisaation tietoturvallisuutta kehitettäessä arvioinnin tavoitteena voi olla myös sen selvittäminen, miltä osin tietoturvallisuusvaatimukset täyttyvät Viranomaisten yleiset tietoturvallisuusvaatimukset Valtionhallinnon viranomaisen on suunniteltava toimintansa tietoturvallisuus hyvän tiedonhallintatavan mukaisesti ja toteutettava tietoturvallisuusasetuksen edellyttämät toimenpiteet tietoturvallisuuden perustason toteuttamiseksi. Viranomaisten on suunniteltava ja toteutettava tietoturvallisuustoimenpiteet siten, että ne kattavat asiakirjan kaikki käsittelyvaiheet. Suunnittelussa on pidettävä huolta siitä, että tietojenkäsittelyä koskevia velvoitteita noudatetaan myös silloin, kun tietojenkäsittelytehtävää hoidetaan viranomaisen toimeksiannosta. Tietoturvallisuusasetus edellyttää, että valtionhallinnon viranomainen toteuttaa tietoturvallisuuden perustason vaatimukset mennessä 1 Tietoturvallisuusasetus 2 luku Yleiset tietoturvallisuusvaatimukset
7 Ohje 7 (44) ja luokiteltuja tietoja koskevat käsittelyvaatimuksen viiden vuoden kuluessa siitä, kun viranomainen on tehnyt luokittelupäätöksen Viranomaisten tietojärjestelmien ja luokiteltujen asiakirjojen käsittelyympäristöjen arviointi Tietoturvallisuuden arviointi on keino viranomaisille varmistua siitä, että sen määräämisvallassa olevat ja hankittavaksi suunnittelemat tietojärjestelmät täyttävät tietoturvallisuutta koskevat vaatimukset. Arvioinnin avulla voidaan myös todentaa luokiteltujen tietojen käsittelyä koskevien vaatimusten täyttyminen tietyssä tiedonkäsittely-ympäristössä. Viranomaisten tietojärjestelmiin liittyvien tietoturvallisuuden arviointipalvelujen käyttämisestä säädetään viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen arvioinnista annetussa laissa 2. Tietoturvallisuuden arvioinnilla viranomainen voi selvittää, täyttääkö sen käytössä olevat tietojärjestelmät kansallisen lain mukaiset vaatimukset tai silloin, kun järjestelmässä käsitellään kansainvälistä luokiteltua tietoa, kansainväliset tietoturvallisuusvaatimukset. Lain tarkoituksena on muun muassa varmistaa, että valtionhallinnon viranomaiset käyttävät vain luotettavia ulkopuolisia tietoturvallisuuden arviointipalveluja, ja lukien valtionhallinnon viranomaiset voivatkin käyttää tietojärjestelmiensä arvioinnissa vain Viestintäviraston tai sen hyväksymän arviointilaitoksen suorittamaa arviointia. Viranomaisen hankintojen yhteydessä tietoturvallisuuden arviointia voidaan käyttää ennen salassa pidettävän tiedon luovuttamista sen todentamiseen, täyttääkö tarjouskilpailuun osallistuvan tarjoajan tai voittajaksi valitun toimittajan tietojenkäsittely-ympäristö vaaditun tietoturvallisuuden tason. Arviointia voidaan siten hyödyntää tietojärjestelmä- ja tietoliikennejärjestelyhankintojen ohella myös muissa hankinnoissa, joiden kilpailuttamisen yhteydessä tai sopimuskaudella käsitellään viranomaisen salassa pidettävää tietoa. Tietoturvallisuuden vaatimuksenmukaisuuden todentamista voidaan käyttää esimerkiksi puolustus- ja turvallisuushankinnoissa, joissa tietoturvallisuuteen liittyvillä vaatimuksilla voi olla olennainen merkitys hankinnan toteuttamisessa Yritysturvallisuuden edistäminen ja kehittäminen Tietoturvallisuuden arviointimenettely antaa yrityksille mahdollisuuden osoittaa toimintansa tietoturvallisuuden taso ulkopuolisen ja luotettavan arvioinnin avulla. Vaikka yrityksiä koskevan turvallisuusselvityksen laatiminen kuuluu viranomaiselle, voivat yritykset käyttää arviointilaitoksen suorittamaa tietoturvallisuuden arviointia varautuessaan kansainvälisiin hankintakilpailuihin sekä julkisiin puolustus- tai turvallisuushankintaa koskevaan tarjouskilpailuun, joissa edellytetään viranomaisen laatimaa turvallisuusselvitystä / Turvallisuusviranomaisen suorittama yhteisöturvallisuusselvitys voidaan tehdä, kun elinkeinonharjoittaja on sopimusosapuolena turvallisuusluokitellussa sopimuksessa, osallistuu
8 Ohje 8 (44) Yritys voi käyttää esimerkiksi Kansallista turvallisuusauditointikriteeristöä (KATAKRI) tietoturvallisuuden kehittämisen keinona. Arviointi voidaan silloin toteuttaa myös säännöllisin väliajoin tai arvioinnin toimeksiantajan niin halutessa aina erityisen tarpeen ilmetessä esimerkiksi organisaatiomuutosten yhteydessä. 2 Tietoturvallisuustoiminnan organisointi ja vastuut 2.1 Arvioinnin toimeksiantaja Arvioinnin toimeksiantaja on taho, jonka aloitteesta arviointilaitoksen suorittama arviointi käynnistyy eli toimeksiantaja on arviointilaitoksen asiakas. Viranomaisen tietojärjestelmää koskevassa arvioinnissa arvioinnin toimeksiantajana on aina viranomainen, jonka määräämisvallassa järjestelmä on tai joka suunnittelee arvioinnin kohteena olevan järjestelmän hankintaa. Toimeksiantajana voi olla myös viranomaisen valtuuttama taho, joka on viranomaisen lukuun hankintoja tekevä taikka tietojenkäsittely- ja tietoliikennepalveluja tuottava tai niiden järjestämiseen liittyviä palvelutehtäviä hoitava taho. Arvioinnin toimeksiantaja vastaa arvioinnin tavoitteiden määrittämisestä, arviointiperusteena käytettävän arviointikriteeristön ja sovellettavan suojaustason valinnasta sekä arvioinnin kohteen määrittelystä yhteistyössä arviointilaitoksen kanssa. 2.2 Salassa pidettävää tietoa käsittelevä taho Salassa pidettävää tietoa käsittelevä taho voi olla viranomainen tai sen toimeksiannosta tietojenkäsittelytehtävää hoitava taho. Salassa pidettävää tietoa käsittelevä taho vastaa tietoturvallisuusvaatimusten noudattamisesta ja tietoturvallisuustoimenpiteiden toteuttamisesta arvioinnin kohteessa. 2.3 Tietoturvallisuuden arviointilaitos Tietoturvallisuuden arviointilaitos arvioi toimeksiannosta arvioinnin kohteen tietoturvallisuustason. Arviointilaitoksen tulee arvioinnissa selvittää, onko arvioinnin kohteen toiminnassa asianmukaisella tavalla toteutettu ne tietoturvallisuutta koskevat vaatimukset, jotka ovat otettu arvioinnin perustaksi. Arviointilaitos voi myös antaa arvioinnin kohteelle todistuksen sen osoittamiseksi, että arvioinnin kohteen toiminta ja toimitilat täyttävät ne tietoturvallisuusvaatimukset, jotka ovat otettu arvioinnin perustaksi. tällaista sopimusta edeltävään tarjouskilpailuun tai toimii tällaisen elinkeinon harjoittajan alihankkijana. Turvallisuusluokitellulla sopimuksella tarkoitetaan sopimusta, jonka toisena osapuolena on toisen valtion viranomainen tai siellä kotipaikkaansa pitävä yritys taikka kansainvälinen järjestö tai toimielin ja kun tarjouskilpailuun osallistuminen tai sopimuksen toteuttaminen voi edellyttää pääsyä erityissuojattavaan tietoaineistoon. Yhteisöturvallisuusselvitys voidaan tehdä myös silloin, kun elinkeinonharjoittaja osallistuu julkisista puolustus- ja turvallisuushankinnoista annetussa laissa (1531/2011) tarkoitettuun tarjouskilpailuun tarjoajana tai alihankkijana ja saa, laatii tai muutoin käsittelee tarjouskilpailun tai hankinnan toteuttamiseksi luokiteltuja tietoja (laki kansainvälisistä tietoturvallisuusvelvoitteista 1 ).
9 Ohje 9 (44) Arviointilaitoksen tulee toiminnassaan noudattaa lainsäädännössä, akkreditoinnissa sovellettavissa standardeissa, Viestintäviraston ohjeissa ja arviointilaitoksen hyväksymispäätöksessä asetettuja vaatimuksia. 2.4 Viestintävirasto Viestintävirasto toimii Suomen määrättynä turvallisuusviranomaisena ja kansallisena tietoturvaviranomaisena (NCSA, National Communications Security Authority), joka vastaa turvaluokitellun aineiston sähköiseen tiedonsiirtoon ja -käsittelyyn liittyvistä turvallisuusasioista. Viestintävirasto vastaa muun muassa salausteknisen aineiston jakeluverkon hallinnoinnista, salaustuotteiden hyväksynnästä turvaluokitellun tiedon suojaamiseksi Suomessa, kansainvälistä turvallisuusluokiteltua tietoa käsittelevien tietojärjestelmien hyväksynnästä sekä kansallisen hajasäteilytoiminnan koordinoinnista ja ohjauksesta. Viestintävirasto toimii myös viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen hyväksyntäviranomaisena sekä vastaa tietoturvallisuuden arviointilaitosten hyväksymisestä, ohjaamisesta ja valvonnasta. 2.5 FINAS-akkreditointipalvelu Mittatekniikan keskuksen akkreditointiyksikkö eli FINASakkreditointipalvelu toimii Suomessa kansallisena akkreditointielimenä ja vastaa akkreditoinnista eli arviointielinten pätevyyden toteamisesta yhdenmukaisten arviointiperusteiden mukaisesti. Akkreditoinnin tarkoituksena on varmistaa vaatimustenmukaisuuden arviointipalvelujen luotettavuus ja kansainvälinen hyväksyttävyys. FINAS-akkreditointipalvelu arvioi osana arviointilaitoksen hyväksymismenettelyä tietoturvallisuuden arviointilaitoksen toiminnan riippumattomuuden, henkilökunnan koulutuksen ja kokemuksen sekä sen, että laitoksella on toiminnan edellyttämät laitteet, välineet ja järjestelmät. FINAS-akkreditointipalvelu vastaa myös akkreditoimiensa laitosten pätevyyden seurannasta. 2.6 Valtiovarainministeriö Valtiovarainministeriö ohjaa ja yhteen sovittaa julkishallinnon ja erityisesti valtionhallinnon tietoturvallisuuden kehittämistä. Ohjaus- ja yhteensovittamisroolinsa toteuttamiseksi valtiovarainministeriö asettaa ja ylläpitää toimialallaan yhteistyön ohjaamiseen, kehittämiseen ja koordinaatioon tarvittavat toimielimet. Valtiovarainministeriön asettama Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI on hallinnon tietoturvallisuuden ohjaamisen, kehittämisen ja koordinaation elin. VAHTI käsittelee kaikki merkittävät valtionhallinnon tietoturvallisuuden linjaukset. Valtionvarainministeriö voi pyytää valtionhallinnon tietoturvallisuudesta annettujen säännösten täytäntöönpanon seuraamiseksi sekä niiden kehittämiseksi Viestintävirastolta selvityksiä valtionhallinnon viranomaisten
10 Ohje 10 (44) tietojärjestelmien ja tietoliikennejärjestelyjen yleisestä tietoturvallisuuden tasosta. 2.7 Kansallinen turvallisuusviranomaisorganisaatio Ulkoasiainministeriö toimii kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisessa Suomen kansallisena turvallisuusviranomaisena. Kansallisen turvallisuusviranomaisen tehtävänä on erityisesti ohjata ja valvoa, että ulkomailta Suomeen luovutetut niin sanotut erityissuojattavat tietoaineistot suojataan ja niitä käsitellään asianmukaisesti. Kansallinen turvallisuusviranomainen vastaa kansainvälisten tietoturvallisuusvelvoitteiden toteuttamista koskevien ohjeiden antamisesta. Puolustusministeriö, pääesikunta, suojelupoliisi ja Viestintävirasto toimivat kansainvälisissä tietoturvallisuusvelvoitteissa tarkoitettuina määrättyinä turvallisuusviranomaisina ja huolehtivat henkilöiden ja elinkeinonharjoittajien luotettavuuden selvittämisestä. Puolustusministeriö, pääesikunta ja suojelupoliisi toimivat kansallisen turvallisuusviranomaisen asiantuntijoina henkilöstö-, yhteisö- ja toimitilaturvallisuutta koskevissa asioissa sekä Viestintävirasto tietojärjestelmien ja tietoliikenteen tietoturvallisuutta koskevissa asioissa. Kuva 1. Tietoturvallisuuteen liittyvät toimijat
11 Ohje 11 (44) 3 Tietoturvallisuuslainsäädäntö ja tietoturvallisuuden arviointiperusteet Tietoturvallisuuden arviointiperusteilla tarkoitetaan niitä tietoturvallisuutta koskevia vaatimuksia, joiden perusteella tietoturvallisuuden arviointi suoritetaan. Näitä arviointiperusteita ovat 1) lailla tai asetuksella säädettyjä viranomaisen toimintaa koskevia tietoturvallisuusvaatimuksia ja valtiovarainministeriön tietoturvallisuutta koskevia ohjeita; 2) kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa tarkoitetun kansallisen turvallisuusviranomaisen antamia kansainvälisten tietoturvavelvoitteiden toteuttamista koskevia ohjeita; 3) Euroopan unionin tai muun kansainvälisen toimielimen antamia tietoturvallisuutta koskevia ohjeita; 4) julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia säännöksiä, määräyksiä tai ohjeita; ja 5) vahvistettuun standardiin sisältyviä tietoturvallisuutta koskevia vaatimuksia. 3.1 Viranomaisten toimintaa koskevat kansalliset tietoturvallisuusvaatimukset Tietoturvallisuuden arviointi voi perustua kansallisessa lainsäädännössä eli Suomen lailla tai asetuksella säädettyihin viranomaisen toimintaa koskeviin tietoturvallisuusvaatimuksiin ja valtiovarainministeriön tietoturvallisuutta koskeviin ohjeisiin. Suomalaisten viranomaisten asiakirjojen salassapidosta ja hyvästä tiedonhallintatavasta säädetään julkisuuslaissa ja julkisuusasetuksessa. Hyvän tiedonhallintatavan toteuttamiseksi viranomaisten on huolehdittava asiakirjojen ja tietojärjestelmien sekä niihin liittyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muusta tietojen laatuun vaikuttavista tekijöistä. Viranomaisen on hyvän tiedonhallintatavan toteuttamiseksi myös selvitettävä ja arvioitava tietojen saatavuuteen, käytettävyyteen, laatuun ja suojaan sekä tietojärjestelmien turvallisuuteen vaikuttavat uhat sekä niiden vähentämiseksi ja poistamiseksi käytettävissä olevat keinot ja niiden kustannukset sekä muut vaikutukset. Lisäksi viranomaisen on selvitysten perusteella arvioitava ja toteutettava tarvittavat toimenpiteet hyvän tiedonhallintatavan toteuttamiseksi. 4 Tietoturvallisuusasetuksessa säädetään valtionhallinnon viranomaisten asiakirjojen käsittelyä koskevista yleisistä tietoturvallisuusvaatimuksista sekä asiakirjojen luokittelun perusteista ja luokittelua vastaavista asiakirjojen käsittelyssä noudatettavista tietoturvallisuusvaatimuksista eli 4 Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta ( /1030)
12 Ohje 12 (44) suojaustasojen mukaisista käsittelyvaatimuksista. Asetus edellyttää, että tietoturvallisuustoimenpiteet suunnitellaan ja toteutetaan siten, että ne kattavat asiakirjan kaikki käsittelyvaiheet niiden laatimisesta tai vastaanottamisesta arkistointiin tai hävittämiseen mukaan lukien asiakirjan luovuttaminen ja siirtäminen sekä käsittelyn valvonta. Suunnittelussa on myös huolehdittava siitä, että tietojenkäsittelyä koskevia velvoitteita noudatetaan myös silloin, kun tietojenkäsittelytehtävää hoidetaan viranomaisen toimeksiannosta eli kun yksityinen taho käsittelee viranomaisen asiakirjoja. Tietoturvallisuusasetuksen mukaisia vaatimuksia täsmennetään valtiovarainministeriön ohjeilla, jotka koskevat tietoturvallisuusasetuksen täytäntöönpanoa. Tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanoa koskevaa koskevia määritettyjä ohjeita (VAHTI 2/2010, VAHTI 3/2010, VAHTI 3/2012, VAHTI 2/2013) sovelletaan tietoturvallisuuden arviointiperusteena silloin, kun arvioinnin kohde käsittelee Suomen viranomaisen salassa pidettävää tietoa eli kun salassapito perustuu julkisuuslakiin. 3.2 Kansainvälisiin tietoturvavelvoitteisiin perustuvat tietoturvallisuusvaatimukset Kun taho, jolla on määräysvalta salassa pidettävään tietoon, on toisen valtion viranomainen tai siellä kotipaikkaansa pitävä yritys taikka kansainvälinen järjestö tai toimielin ja Suomella on tietoturvallisuusvaltiosopimus kyseisen toisen valtion tai toimielimen kanssa, sovelletaan tiedon salassapitoon ja tietoturvallisuustoimenpiteisiin lakia kansainvälisistä tietoturvallisuusvelvoitteista 5. Tiedon käsittelyyn sovelletaan tällöin kansallisten tietoturvallisuusvaatimusten lisäksi aina soveltuvaan valtiosopimukseen tai muuhun Suomea koskevaan velvoitteeseen eli kansainväliseen tietoturvallisuusvelvoitteeseen sisältyviä määräyksiä 6. Erityissuojattavaa tietoaineistoa eli kansainvälisen tietoturvallisuusvelvoitteen mukaisesti turvallisuusluokiteltuja asiakirjoja ja materiaaleja luotaessa, kopioitaessa, siirrettäessä, jaettaessa, säilytettäessä, hävitettäessä tai muutoin käsiteltäessä on pidettävä huolta, että tietoaineiston suojaamisesta voidaan huolehtia tietoaineiston turvallisuusluokkaa vastaavalla tavalla. Erityissuojattava tietoaineisto on säilytettävä tiloissa, joissa asiakirjojen ja niihin sisältyvien tietojen suojaamisesta voidaan huolehtia valtiosopimuksessa edellytetyllä tavalla. 5 Laki /588 6 Kansainvälisellä tietoturvallisuusvelvoitteella sellaista Suomea sitovaan kansainväliseen sopimukseen sisältyvää määräystä sekä sellaista muuta Suomea koskevaa velvoitetta, jota Suomen on noudatettava ja joka koskee erityissuojattavan aineiston suojaamiseksi tarvittavia toimenpiteitä. Tällaisia velvoitteita ovat Suomea sitovien turvallisuusluokitellun tiedon suojaamista koskevien valtiosopimusten ohella muun muassa Euroopan neuvoston päätös turvallisuussäännöistä EU:n turvallisuusluokiteltujen tietojen suojaamiseksi (Neuvoston päätös (2011/292/EU). Suomea sitovat valtiosopimukset [linkki].
13 Ohje 13 (44) Kansainvälisiin tietoturvallisuusvelvoitteisiin liittyvien tietoturvallisuusvaatimusten todentamisessa tietoturvallisuuden arviointiperusteena käytetään kansallista turvallisuusauditointikriteeristöä (KATAKRI). Kyseistä kriteeristöä siis käytetään vaatimustasona niissä arvioinneissa, joiden tarkoituksena on todentaa, täyttyvätkö kansainväliset tietoturvallisuusvaatimukset. Erityissuojattavan tietoaineiston käsittely edellyttää viranomaishyväksyntää (katso kappale 5.8) ja kansainvälisiin tietoturvallisuusvelvoitteisiin liittyvien turvallisuusselvitysten tekemisestä vastaa aina toimivaltainen turvallisuusviranomainen. Kuva 2. Tietoturvallisuuslainsäädäntö ja tietoturvallisuuden arviointi 3.3 Muut tietoturvallisuutta koskevat säännökset, määräykset tai ohjeet ja vahvistettuun standardiin perustuvat vaatimukset Tietoturvallisuuden arviointi voi perustua myös muihin kuin lainsäädännöstä johtuviin vaatimuksiin. Tietoturvallisuustasoa osoittavana perustana voidaan käyttää julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia säännöksiä, määräyksiä tai ohjeita taikka vahvistettuun standardiin sisältyviä tietoturvallisuutta koskevia vaatimuksia. Tällainen vahvistettu standardi on esimerkiksi tietoturvallisuuden hallintajärjestelmiä koskeva kansainvälinen standardi ISO , joka toimii mallina tietoturvallisuuden hallintajärjestelmän kehittämiselle, toteuttamiselle, käyttämiselle, valvomiselle, katselmoinnille, ylläpitämiselle ja parantamiselle. 7 ISO/IEC 27001:2005 Information technology. Security techniques. Information security management systems. Requirements
14 Ohje 14 (44) 4 Arviointilaitoksen hyväksyminen 4.1 Vaatimukset tietoturvallisuuden arviointilaitokselle Tietoturvallisuuden arviointilaitoksen hyväksymisen edellytyksenä on, että laitos täyttää arviointilaitoslain 5 :n mukaiset hyväksymiskriteerit. Arviointilaitoksen akkreditoinnissa sovelletaan tätä ohjetta sekä standardeiden ISO ja ISO vaatimuksia. Kyseisissä standardeissa yksilöidään vaatimukset tietoturvallisuuden johtamisjärjestelmiä auditoiville ja sertifioiville elimille Johtamis- ja tietoturvallisuuden hallintajärjestelmiä koskevien vaatimusten soveltaminen tietojärjestelmiin ja tietoliikennejärjestelyihin Akkreditointimenettelyssä sovellettavat standardit ISO ja ISO koskevat johtamisjärjestelmien ja tietoturvallisuuden hallintajärjestelmien sertifiointia. Tietoturvallisuuden arviointilaitokset arvioivat kuitenkin hallintajärjestelmien myös yksittäisiä tietojärjestelmiä ja tietoliikennejärjestelyjä. Niiltä osin kuin näissä standardeissa asetetaan vaatimuksia koskien johtamisjärjestelmää, hallintajärjestelmä (management system) tai tietoturvallisuuden hallintajärjestelmää (information security management system, ISMS), sovelletaan näitä vaatimuksia soveltuvin osin myös tietojärjestelmään ja tietoliikennejärjestelyyn. Tällaisia vaatimuksia ovat esimerkiksi vaatimukset koskien konsultointia ja puolueettomuuden hallintaa 8, pätevyyttä 9, muutoksista ilmoittamista 10 ja auditointiprosessia Toiminnallinen ja taloudellinen riippumattomuus Tietoturvallisuuden arviointilaitoksen tulee olla toiminnallisesti ja taloudellisesti riippumaton arvioinnin kohteena olevista tahoista. Puolueettomuutta koskevat periaatteet ja puolueettomuuden hallintaa koskevat vaatimukset ovat määritelty arviointilaitosten akkreditointimenettelyssä sovellettavissa standardeissa ISO ja ISO 27006, jotka sisältävät muun muassa vaatimuksia liittyen hallintajärjestelmien konsultointitoimintaan. Arviointilaitoksen on noudatettava myös viranomaistoimintaa koskevia hyvän hallinnon vaatimuksia. Näihin kuuluvat muun muassa esteellisyyssäännökset, jotka täydentävät arviointilaitoksen riippumattomuusvaatimuksia. Tietoturvallisuuden arviointilaitoksen riippumattomuus edellyttää, että laitos ei tarjoa sellaisia konsultointipalveluja, jotka koskevat tietoturvallisuuden hallintajärjestelmiä eikä myöskään konsultointia koskien 8 Esimerkiksi ISO Johtamisjärjestelmäkonsultointi, 5.2 Puolueettomuuden hallinta, ISO Management of impartiality 9 Esimerkiksi ISO Johdon ja henkilöstön pätevyys, ISO Resource requirements 10 ISO Asiakkaan tekemistä muutoksista tiedottaminen 11 Esimerkiksi ISO Auditointisuunnitelma, ISO Auditointiajan määrittäminen, ISO Auditointiryhmien tehtävien viestiminen, ISO General requirements, ISO Inital audit and certification.
15 Ohje 15 (44) tietojärjestelmiä tai tietoliikennejärjestelmiä. Riippumattomuutta koskevat vaatimukset koskevat arviointilaitoksen toimintaa, eikä riippumattomuuden turvaamiseksi siten riitä pelkästään se, että riippumattomuus toteutuu yksittäisen arviointilaitoksen lukuun työskentelevän henkilön kohdalla. Arviointilaitoksen tulee myös olla erillinen ja riippumaton sellaisista tahoista, jotka suorittavat arvioinnin kohteessa tietoturvallisuuden hallintajärjestelmän, tietojärjestelmän tai tietoliikennejärjestelyn sisäisiä auditointeja tai arviointeja. Laitoksen on puolueettomuuden hallintaa koskevien vaatimusten mukaisesti aina tunnistettava, analysoitava ja dokumentoitava mahdolliset arviointitoiminnan eturistiriidat ja puolueettomuutta uhkaavat tekijät. Akkreditointistandardi ISO 27006:ssa on lueteltu toimintoja, jotka ovat sallittuja arviointilaitoksille ilman, että niiden katsottaisiin olevan konsultointia tai rikkovan puolueettomuutta koskevia vaatimuksia. Tietoturvallisuuden arviointilaitos voi järjestää sen pätevyysalueeseen liittyvää koulutusta tai laitoksen lukuun toimiva henkilö voi osallistua luennoitsijana tällaiseen koulutukseen, kun koulutuksen sisältö koostuu yleisestä informaatiosta eikä sisällä yritys- tai asiakaskohtaista neuvontaa. Koulutuksen tulee myös olla julkisesti saatavilla ja avoin kaikille halukkaille osallistujille. Lisäksi toiminnot, joiden tavoitteena on määritellä valmius arviointiin, ovat tietyin edellytyksin sallittuja arviointilaitoksille. Auditointivalmiuden selvittäminen ei saa johtaa suosituksiin tai neuvontaan, jotka voidaan katsoa konsultoinniksi tai uhkaavan puolueettomuutta, ja arviointilaitoksen tulee pystyä osoittamaan, etteivät tällaiset toiminnot ole muutenkaan ristiriidassa puolueettomuutta koskevien vaatimusten kanssa. Valmiuden määrittämisellä ei voida perustella arviointiajan lyhentämistä vaan sen tarkoituksena on ainoastaan selvittää, onko arvioinnin kohteen kypsyystaso riittävä arviointiin. Auditointivalmiuden selvittämiseksi tehtävän esiarvioinnin osalta katso kohta Arviointilaitos voi arvioinnin yhteydessä yksilöidä ja osoittaa arvioinnin kohteelle mahdollisuuksia parantaa sen toimintaa tai esittää muita huomioita, joiden tarkoituksena on arvioinnin kohteen toiminnan kehittäminen, kun tällaiset huomiot tulevat esille arvioinnin ja arviointikäyntien yhteydessä. Arviointilaitoksen tulee kuitenkin pidättyä tiettyjen konkreettisten ratkaisuehdotusten tarjoamisesta. Arviointilaitoksen neuvontavelvollisuuden osalta katso kohta Riippumattomuusvaatimusten lisäksi arviointilaitoksen on toiminnassaan noudatettava hallintolain mukaisia esteellisyyssäännöksiä, jotka ovat luonteeltaan henkilökohtaisia eli tiettyä arviointilaitoksen lukuun työskentelevää henkilöä koskevia esteellisyysperusteita. Nämä esteellisyysvaatimukset kohdistuvat kaikkiin arviointilaitoksen lukuun työskenteleviin henkilöihin riippumatta siitä, ovatko nämä henkilöt työsopimussuhteen perusteella laitoksen palveluksessa vai perustuuko työskentely esimerkiksi toimeksiantosopimukseen.
16 Ohje 16 (44) Laitoksen henkilökunnan pätevyys ja toiminnan edellyttämät järjestelmät Tietoturvallisuuden arviointilaitoksen tulee standardien ISO ja ISO mukaisesti varmistua siitä, että sillä on käytössään jatkuvasti sellaiset henkilö- ja muut resurssit, joilla turvataan luotettavan ja pätevän tietoturvallisuuden arviointitehtävän suorittaminen. Pätevyys edellyttää todennettua hyvää teknistä osaamista ja riittävän laaja-alaista kokemusta arviointitoimintaan kuuluvissa tehtävissä, mistä osoituksena voi olla esimerkiksi tietoturvallisuusalaan liittyvä koulutus ja riittävä työkokemus arviointitoiminnassa. Tietty koulutusohjelma tai tutkinto ei ole ehdoton vaatimus arviointilaitoksen henkilöstölle. Pätevyyden arvioinnissa otetaan huomioon kaikki arviointilaitokseksi hakevan esittämä näyttö, jonka perusteella arvioidaan, täyttyvätkö resurssivaatimukset. Arviointilaitoksella on oltava käytettävissään myös toiminnan edellyttämät laitteet, välineet, menetelmät ja järjestelmät, jotka ovat tarpeen tietoturvallisuuden arviointitehtävän suorittamiseen. Pätevyyden arvioinnissa arviointilaitoksen tulee uskottavasti osoittaa, että sillä on riittävät hallinnolliset ja tekniset todennusmenetelmät haettavaan pätevyysalueeseen liittyvien arviointien suorittamiseksi. Kyky tehdä KATAKRI- ja VAHTI-arviointeja on osoitettava kaikkien näihin kriteeristöihin kuuluvien vaatimusten osalta, ja nämä menettelyt tulee käydä ilmi myös arviointilaitoksen toimintaa koskevista ohjeista. Osana pätevyyden arviointia arviointilaitoksen tulee osoittaa myös, että sillä on käytössään arviointitoiminnan edellyttämät laitteet, välineet ja järjestelmät. Arviointilaitoksella tulee olla käytössään sellaiset laitteet, välineet ja järjestelmät, joilla voidaan suorittaa arviointitoimeksiannot sekä suojata toimeksiantojen yhteydessä saatavat tiedot. Tietojenkäsittelyn turvallisuutta koskevat vaatimukset todennetaan KATAKRI-kriteeristön perusteella Vastuuhenkilöiden luotettavuus ja tietojenkäsittelyn turvallisuus Tietoturvallisuuden arviointilaitoksen vastuuhenkilöiden tulee olla luotettavaksi todettuja henkilöitä. Vastuuhenkilöiksi katsotaan laitoksen kaupparekisteriotteessa ilmoitetut henkilöt ja laitoksen ylin johto 12. Arviointilaitos käsittelee arviointitoiminnan yhteydessä arvioinnin kohteiden salassa pidettävää tietoa, ja laitoksella tulee olla kyky käsitellä tällaista tietoa sille asetettujen suojausvaatimusten mukaisesti. Arviointilaitoksella on oltava luotettavaksi arvioitu ja valvottu menetelmä, jonka avulla laitoksen toimitilojen ja tietojenkäsittelyn turvallisuus varmistetaan. Luottamuksellisen tiedon turvallista käsittelyä koskevat vaatimukset todennetaan Kansallisen turvallisuusauditointikriteeristön (KATAKRI) kulloinkin voimassa olevan version avulla ja arviointilaitoksen on täytettävä KATAKRI:n hallinnollista turvallisuutta, henkilöstöturvallisuutta, fyysistä 12 Henkilöt, jotka vastaavat ISO kohdan mukaisista tehtävistä.
17 Ohje 17 (44) turvallisuutta sekä tietoturvallisuutta koskevien osa-alueiden mukaiset vaatimukset. Vaatimusten täyttäminen tarkoittaa käytännössä muun muassa sitä, että laitos on määritellyt sen turvallisuustoimintaa koskevat periaatteet, turvallisuusorganisaation sekä siihen liittyvät vastuut, sillä on riittävät menetelmät riskien tunnistamiseksi, arvioimiseksi ja poikkeustilanteiden hallitsemiseksi. Laitoksen toimitilojen on puolestaan täytettävä KATAKRI:ssa luetellut vaatimukset koskien aluetta, fyysisiä rakenteita ja turvallisuusteknisiä järjestelmiä. Henkilöstöturvallisuusvaatimukset edellyttävät muun muassa sitä, että arviointitoiminnassa käytetään vain sellaisia henkilöitä, jotka ovat antaneet asianmukaiset salassapitositoumukset sekä läpäisseet riittävät turvallisuusselvitykset 13. Arviointilaitos voi toiminnassaan käyttää vain sellaisia henkilöitä, joiden osalta turvallisuusselvitystä tehtäessä ei ole tullut esiin mitään sen tarkoituksen kannalta merkityksellistä tietoa. Mikäli turvallisuusselvityksen perusteella tulee esiin tietoja, on arviointilaitoksen aina pyydettävä Viestintävirastolta etukäteinen kirjallinen lausunto henkilöstövaatimusten täyttymisestä ennen kyseisen henkilön käyttämistä arviointitoiminnassa. Kun arviointilaitos hakee pätevyysalueekseen KATAKRI:a tai VAHTI:a, sovelletaan sen omaan toimintaan lähtökohtaisesti yhtä suojaustasoa korkeampaa vaatimustasoa, kuin mille laitos hakee hyväksyntää 14. Jos hyväksyntää haetaan esimerkiksi suojaustasolle IV, arviointilaitoksen tietojenkäsittelyn turvallisuuden todentamisessa käytetään KATAKRI:n IIItason vaatimuksia. Kun pätevyysalue ei sisällä KATAKRI:a tai VAHTI:a, tietojenkäsittelyn turvallisuus todennetaan käyttäen KATAKRI IV-tason vaatimuksia. Turvalliseen tiedonkäsittelyyn liittyen arviointilaitoksen tulee huomioida tietojenkäsittelyssään myös akkreditointistandardien vaatimukset koskien luottamuksellisuutta. Lisäksi arviointilaitoksen on varmistuttava siitä, että tiedonkäsittelyvaatimuksia noudatetaan riippumatta siitä, kuka arviointilaitoksen lukuun tekevä henkilö tai taho käsittelee salassa pidettävää tietoa. Vaatimukset koskevat yhtä lailla omaa henkilöstöä kuin tahoa, joka hoitaa arviointiin liittyviä tehtäviä esimerkiksi toimeksiantosopimuksen perusteella. 13 Arviointilaitoksen on haettava toimintaan osallistuvista henkilöistä turvallisuusselvitys sen perusteella, mitä salassa pidettävää tai turvallisuusluokiteltua tietoa arviointitoimintaan osallistuva henkilö tulee käsittelemään. Turvaselvitysten osalta otetaan huomioon myös salassa pidettävän tai turvallisuusluokiteltujen tietojen määrä. 14 Arviointilaitoksella tulee olla kyky käsitellä loppuasiakkaansa luokittelemaa tietoa sille asetettujen suojausvaatimusten mukaisesti. Arviointilaitoksen arvioidessa esimerkiksi loppuasiakkaansa IV-tason järjestelmää, tulee arviointilaitos saamaan arviointiprosessin aikana asiakkaansa luokittelemaa ko. järjestelmää koskevaa tietoa (esimerkiksi verkkokuvat ja tiedot kytkennöistä muihin järjestelmiin). Järjestelmien turvallisuustoteutuksiin liittyvät tiedot luokitellaan eräissä tapauksissa pykälää korkeammalle, kuin mikä on korkein järjestelmässä käsiteltävä tieto. Myös eri loppuasiakkaiden tiedoista koostuvan tietovarannon suojaustaso on usein tulkittavissa kasautumisvaikutuksesta johtuen yksittäisten tietojen suojaustasoa korkeammaksi.
18 Ohje 18 (44) Asianmukaiset ohjeet toimintaa ja sen seurantaa varten Tietoturvallisuuden arviointilaitoksella tulee olla ja sen tulee ylläpitää ohjeistusta koskien arviointitoimintaa ja toiminnan seurantaa. Ohjeistuksen tulee ottaa huomioon arviointilaitostoimintaan liittyvät lakisääteiset ja muut vaatimukset sekä tämän ohjeen sisältö. Lisäksi arviointilaitoksen tietoturvallisuusohjeistuksen on täytettävä KATAKRI:ssa kuvatut vaatimukset. Arviointilaitoksen tulee varmistua siitä, että sen lukuun työskentelevät henkilöt ja tahot saatetaan tietoisiksi tietoturvallisuuden arviointitoimintaan liittyvistä vaatimuksista ja velvollisuuksista. Tämän varmistamiseksi arviointilaitoksen ohjeistuksessa tulee ottaa kantaa esimerkiksi siihen, miten laitos varmistuu siitä, että sen henkilöstö ja muut laitoksen lukuun työskentelevät henkilöt ovat tietoisia arviointilaitoksen yleisestä ja tietoturvallisuuteen liittyvästä ohjeistuksesta ja ymmärtävät ohjeistuksen sisällön Hyvää hallintoa koskevien säännösten noudattaminen Hyväksytty tietoturvallisuuden arviointilaitos hoitaa toiminnassaan julkista hallintotehtävää, minkä vuoksi sen on arviointilaitoslaissa tarkoitettuja tehtäviä suorittaessaan noudatettava hyvää hallintoa koskevia hallintolaissa (434/2003), julkisuuslaissa ja kielilakia (423/2003) viranomaisvaatimuksia Hallintolaki Hallintolaissa säädetään hyvän hallinnon perusteista, joita hyväksyttyjen arviointilaitosten on noudatettava toiminnassaan. Hyvän hallinnon perusteet ovat toimintaa koskevia yleisiä laadullisia vähimmäisvaatimuksia, jotka arviointilaitoksen tulee huomioida toiminnassaan. Lisäksi jokaisen arviointilaitoksen lukuun työskentelevän on omatoimisesti huomioitava nämä vaatimukset yksittäisissä arvioinneissa. Arviointilaitoksen on kohdeltava asiakkaitaan tasapuolisesti sekä käytettävä toimivaltaansa lain mukaan hyväksyttäviin tarkoituksiin. Arviointilaitoksen toiminnalta edellytetään muun muassa puolueettomuutta, tasapuolisuutta ja luottamuksensuojaa. Arviointilaitoksen tulee toiminnassaan lisäksi huomioida hallintolain menettelylliset oikeusperiaatteet, jotka koskevat esteellisyyttä, asianosaisen eli arvioinnin toimeksiantajan ja arvioinnin kohteen kuulemista ja perusteluvelvollisuutta liittyen arvioinnissa tehtyihin havaintoihin ja johtopäätöksiin Hallinnon oikeusperiaatteet Hallinnon oikeusperiaatteilla tarkoitetaan yhdenvertaisuutta, objektiivisuutta, tarkoitussidonnaisuutta, suhteellisuutta ja luottamuksensuojaa. Nämä periaatteet ovat osittain päällekkäisiä ISO standardin mukaisten periaatteiden kanssa. Yhdenvertaisuudella tarkoitetaan sitä, että arviointilaitoksen on kohdeltava kaikkia asiakkaitaan samanlaisissa tilanteissa samalla tavalla eli
19 Ohje 19 (44) tasapuolisesti. Tarkoitussidonnaisuudella tarkoitetaan yleisesti ottaen toiminnan hyväksyttäviä tarkoitusperiä ja kiellettyjen tarkoitusten toteuttamisen välttämistä. Tarkoitussidonnaisuus pitää sisällään esimerkiksi sen, että arviointitoiminnassa saatuja tietoja käytetään vain etukäteen määriteltyihin ja hyväksyttyihin tarkoituksiin. Objektiivisuudella puolestaan tarkoitetaan arviointitoiminnan yhteydessä muun muassa esitettyjen näkemysten ja kannanottojen objektiivisuutta eli subjektiivisten asenteiden poissulkemista. Lisäksi objektiivisuus edellyttää, että esitetyt kannanotot vastaavat mahdollisimman pitkälle tosiasioita, mikä osaltaan edistää arviointilaitoksen toimintaan kohdistuvaa luottamusta. Arviointilaitoksen ja sen lukuun toimivien henkilöiden toiminnan on myös oltava suhteellisuusperiaatteen mukaista eli laitoksen toimenpiteiden on oltava oikeassa suhteessa tavoiteltuun päämäärään nähden. Tämä on huomioitava erityisesti niissä tilanteissa, joissa arviointitehtävässä käsitellään henkilötietoja tai yksityisyyden suojaan kuuluvia tietoja. Tällaisia tietoja ei pääsääntöisesti tule käsitellä, ellei se ole välttämätöntä tehtävän suorittamisen kannalta. Silloinkin tulee varmistua siitä, että tietojen käsittely on lain mukaan mahdollista ja se tapahtuu lain edellyttämällä tavalla. Luottamuksensuoja liittyy oikeusvarmuuteen ja pitää sisällään erityisesti vaatimuksen arviointitoiminnan johdonmukaisuudesta. Lisäksi se tarkoittaa laitoksen tuottamien asiakirjojen ja niiden sisältämien tietojen julkista luotettavuutta ja oikeellisuutta, kunnes ne nimenomaisesti osoitetaan vääriksi. Luottamusvaatimus tarkoittaa myös perusteltua arviointilaitostoimintaan kohdistuvaa odotusta siitä, että laitos toimii ennakoitavissa olevalla tavalla ja arviointilaitoksen antamiin neuvoihin tai muuhun informaatioon voi luottaa Palveluperiaate ja palvelun asianmukaisuus Palveluperiaatteella tarkoitetaan sitä, että arviointilaitoksen asiakas saa asianmukaisesti laitoksen tarjoamia palveluja. Palvelut on järjestettävä asiakkaan näkökulmasta ja palveluiden on oltava laadultaan hyviä Neuvonta ja hyvän kielenkäytön vaatimus Arviointilaitoksella on neuvontavelvollisuus sen pätevyysalueeseen kuuluvien tietoturvallisuuden arviointitehtävien osalta. Laitoksen on annettava asiakkailleen tarpeen mukaan arviointipalveluihin liittyvää neuvontaa sekä vastattava palveluja koskeviin kysymyksiin ja tiedusteluihin. Neuvontavelvollisuus kattaa lähinnä arviointitoimeksiantoa koskevat menettelyneuvot, eikä se ulotu sisällölliseen neuvontaan. Tässä yhteydessä arviointilaitoksen ja sen lukuun työskentelevien henkilöiden onkin pidättäydyttävä neuvonnasta, joka on konsultointia ja vaarantaa riippumattomuuden. Arviointilaitoksen tulee antaa neuvoja, ohjeita ja opastusta maksutta, mikäli niistä aiheutuu vain vähäisiä kustannuksia. Neuvonnalta ei varsinaisesti edellytetä ehdotonta julkista luotettavuutta, mutta arviointilaitoksen tulee pyrkiä mahdollisimman virheettömiin neuvoihin ja opastukseen.
20 Ohje 20 (44) Hyvän kielenkäytön vaatimus tarkoittaa asiallista, selkeää ja ymmärrettävää kieltä. Hyvää kieltä on käytettävä sekä suullisessa että kirjallisessa esityksessä ja arviointilaitoksen tuottamat asiakirjat on laadittava hyvällä ja ymmärrettävällä kielellä Selvittämisvelvollisuus ja päätöksen perusteleminen Arviointilaitostehtävää hoidettaessa arviointilaitoksen on huolehdittava asian riittävästä ja asianmukaisesta selvittämisestä ja pyydettävä arvioinnin kohteelta tarvittavat tiedot arvioinnin suorittamiseksi. Arviointitoimeksiantoa ei voida suorittaa pintapuolisen arviointiaineiston pohjalta. Selvittäminen voi perustua suulliseen tai kirjalliseen selvitykseen, mutta arviointilaitoksen on kuitenkin pystyttävä osoittamaan jälkikäteen, että tehdyt havainnot perustuvat riittävään selvitykseen. Perusteluvelvollisuus edellyttää sitä, että arvioinnissa tehtävät havainnot perustellaan riittävällä tarkkuudella siten, että arvioinnin toimeksiantaja saa tiedot siitä, miten tiettyyn lopputulokseen on päädytty ja mihin tehdyt johtopäätökset perustuvat. Perusteluissa on kiinnitettävä huomiota johdonmukaisuuteen ja selkeyteen sekä saatujen selvitysten tarkkaan arviointiin. Mikäli arviointilaitos esimerkiksi toimeksiantajan reklamoinnin johdosta havaitsee jälkikäteen, että sen tekemässä arvioinnissa on puutteita tai virheitä liittyen asian selvittämisen, havaintojen perustelemisen tai muun syyn takia, tulee sen mahdollisuuksien mukaan korjata havaitut puutteet tai virheet. Arviointitehtävään liittyvää selvittämis- ja perusteluvelvollisuutta konkretisoidaan kappaleissa 5.3 Arviointimenettelyn vaiheet, 5.4 Arviointimenetelmät sekä liitteessä B Arviointiraporttimalli. Lisäksi standardi ISO sisältää vaatimuksia koskien tiedon keräämistä ja todentamista, poikkeamien syiden selvittämistä, auditointihavaintojen yksilöintiä ja kirjaamista, valituksiin vastaamista ja valituksia koskevasta käsittelyprosessista sekä siitä tiedottamisesta Esteellisyys Arviointilaitoksen lukuun työskentelevä henkilö ei saa osallistua arviointitoimeksiantoon, jos häntä koskee hallintolain 28 :ssä mainittu esteellisyysperuste. Esteellisyyttä koskeva asia on ratkaistava viipymättä arviointitoimeksiannon alkuvaiheessa. Esteellisyyden ratkaisee henkilö itse. Arviointilaitos ja sen vastuuhenkilöt ovat kuitenkin vastuussa riippumattomuutta koskevien vaatimusten täyttymisestä Julkisuuslaki Julkisuuslaissa säädetään viranomaisten julkisista asiakirjoista sekä asiakirjojen salassapidosta, salassa pidettäviin tietoihin liittyvästä vaitiolovelvollisuudesta ja hyväksikäyttökiellosta sekä hyvästä tiedonhallintatavasta. Julkisuuslain lähtökohta on julkisuusperiaate, mutta arviointilaitoksen tulee suojata salassa pidettävää tietoa (kuten liikesalaisuudet ja turvajärjestelyjä koskevat salassa pidettävät tiedot)
21 Ohje 21 (44) tietoturvallisuus- ja tiedonkäsittelyä koskevien vaatimusten edellyttämällä tavalla (vertaa kohta 4.1.4). Rangaistus julkisuuslain mukaisen salassapitovelvollisuuden ja hyväksikäyttökiellon rikkomisesta tuomitaan rikoslain 40 luvun 5 :n mukaan, jollei teko ole rangaistava 38 luvun 1 tai 2 :n mukaan tai jollei siitä muualla laissa säädetä ankarampaa rangaistusta. 4.2 Arviointilaitokseksi hakeutuminen Akkreditoinnin hakeminen Ennen varsinaisen hyväksynnän hakemista Viestintävirastolta, arviointielimen on haettava FINAS-akkreditointipalvelulta akkreditointia eli pätevyyden arviointia. Arviointielimen akkreditointiin sovelletaan yhdenmukaisia kansainvälisiä ja eurooppalaisia arviointiperusteita. Tietoturvallisuuden arviointilaitoksen pätevyyden arvioinnissa sovelletaan standardien ISO ja ISO vaatimuksia sekä tässä ohjeessa tarkemmin kuvattuja vaatimuksia Arviointilaitoksen pätevyysalue Tietoturvallisuuden arviointilaitoksen on hakiessaan pätevyyden arviointia ilmoitettava, mille pätevyysalueelle se hakee akkreditointia. Pätevyysalueet määritellään seuraaville osa-alueille: I. tietoturvallisuuden arviointikriteeristö 1) valtiovarainministeriön liitteessä 1 yksilöidyt ohjeet tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, kulloinkin voimassa olevat versiot 15 2) kansallinen turvallisuusauditointikriteeristö, kulloinkin voimassa oleva versio 3) ISO/IEC 27001, kulloinkin voimassa oleva versio 4) muu julkaistu ja yleisesti tai alueellisesti sovellettu tietoturvallisuutta koskeva säännös, määräys tai ohje taikka vahvistettuun standardiin sisältyvät tietoturvallisuutta koskevat vaatimukset Arviointilaitoksen on haettava pätevyyttä osa-alueelle 3) eli jotta laitos voidaan hyväksyä tietoturvallisuuden arviointilaitokseksi, sillä on oltava pätevyys suorittaa ISO standardin mukaisia arviointeja. Kun arviointilaitos hakee pätevyyden arviointia kohtiin I. 1) ja 2), haetaan pätevyyttä myös suojaustason perusteella: 15 Mikäli tietoturvallisuuden arviointilaitoksen pätevyysalue kattaa valtiovarainministeriön ohjeet tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, voi se tehdä sosiaali- ja terveydenhuollon tietojärjestelmien arvioinnin ja antaa olennaisten vaatimusten täyttymistä koskevan todistuksen (ks. 6 Sosiaali- ja terveydenhuollon tietojärjestelmien arviointi)
22 Ohje 22 (44) II. suojaustaso 1) suojaustaso IV 2) suojaustaso III Kun arviointilaitos hakee pätevyyden arviointia tietoturvallisuuden arviointilaitoksista annetun lain mukaisesti ensimmäisen kerran, voidaan sille määritellä akkreditoitu pätevyysalue osa-alueen II osalta suojaustasolle IV (II, alakohta 1) Hyväksynnän hakeminen Viestintävirastolta Tietoturvallisuuden arviointilaitos voi hakea hyväksyntää toimintaansa varten Viestintävirastolle osoitetulla vapaamuotoisella hakemuksella. Hakemukseen on liitettävä tiedot, jotka ovat tarpeen asian käsittelyä varten. Hakemukseen liitteenä tulee olla FINAS-akkreditointipalvelun akkreditointipäätös, josta ilmenee arviointilaitoksen akkreditoitu pätevyysalue. Hyväksyntä voidaan arviointilaitoksen hakemuksesta erityisestä syystä antaa määräaikaisena. Erityinen syy voi liittyä esimerkiksi arviointilaitoksen pätevyysalueen rajaamiseen, joka tulisi arviointilaitoksen toiminnan kehittämisen jälkeen tarpeettomaksi. Hyväksynnän antamisen edellytyksenä on kuitenkin aina se, että laitos täyttää arviointilaitoksista annetun lain 5 :n hyväksymisvaatimukset. Kuva 3. Arviointilaitoksen hyväksymismenettely Hakemuksen tulee sisältää seuraavat tiedot:
Ohje tietoturvallisuuden arviointilaitoksille
Ohje 1 (45) Ohje tietoturvallisuuden arviointilaitoksille Ohje 2 (45) Versiohistoria Versio Päiväys Kuvaus/muutos Tekijä 1.0 7.5.2013 [Ensimmäinen versio] Laura Kiviharju 2.0 29.1.2015 Luku 6, laki sosiaali-
LisätiedotTietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä
Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä FINAS-päivä 22.1.2013 Helsingin Messukeskus Laura Kiviharju Viestintävirasto Viestintäviraston
LisätiedotVarmaa ja vaivatonta viestintää kaikille Suomessa
Varmaa ja vaivatonta viestintää kaikille Suomessa Tietojärjestelmien ja tietoliikenteen arviointi "Uuteen turvallisuusselvityslakiin" 18.11.2014 Säätytalo Tähän joku aloituskuva, esim. ilmapallopoika Viestintäviraston
LisätiedotLaki. EDUSKUNNAN VASTAUS 59/2011 vp
EDUSKUNNAN VASTAUS 59/2011 vp Hallituksen esitys laeiksi tietoturvallisuuden arviointilaitoksista, viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista sekä viestintähallinnosta
LisätiedotEDUSKUNNAN VASTAUS 95/2004 vp. Hallituksen esitys Euroopan Avaruusjärjestöä koskevan yleissopimuksen sopimuspuolten ja
EDUSKUNNAN VASTAUS 95/2004 vp Hallituksen esitys Euroopan Avaruusjärjestöä koskevan yleissopimuksen sopimuspuolten ja Euroopan Avaruusjärjestön välillä turvallisuusluokiteltujen tietojen suojaamisesta
LisätiedotYritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä
Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä 25.10.2016 m/s Silja Serenade Insevl Pekka Ylitalo Nimi Työ Osasto Roadmap since 90's Mikä on yritysturvallisuusselvitys Uudistetun turvallisuusselvityslain
LisätiedotTIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA
TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TOIMITILAPÄIVÄ 21.3.2013 Johtava asiantuntija Fyysinen turvallisuus ja varautuminen Marko Kalliokoski Verohallinto 020 612 5192 etunimi.sukunimi@vero.fi
LisätiedotPilvipalveluiden arvioinnin haasteet
Pilvipalveluiden arvioinnin haasteet Tietoturvallisuus- ja jatkuvuuden hallinnan vaatimukset ICT-hankinnoissa, 12.5.2014 Laura Kiviharju Pilvipalvelut Pilvilaskenta (CloudComputing) tarkoittaa internetissä
LisätiedotAuditoinnit ja sertifioinnit
Auditoinnit ja sertifioinnit Tietojärjestelmien ja tietoliikennejärjestelmien vaatimuksienmukaisuuden arvioinnit ja hyväksynnät Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelmien tietoturvallisuuden
LisätiedotRiippumattomat arviointilaitokset
Riippumattomat arviointilaitokset CSM Riskienhallinta -asetuksen mukainen riippumaton arviointi Komission asetus (352/2009/EY) yhteisestä turvallisuusmenetelmästä, CSM riskienhallinta-asetus, vaatii rautatiejärjestelmässä
LisätiedotKestävyyslain mukainen todentaminen
Kestävyyslain mukainen todentaminen Kestävyyskriteeri-info 23.11.2012 Tekninen asiantuntija Harri Haavisto Sisältö 1. Prosessi 2. Todentajaksi hyväksyminen 3. Todentajan tehtävät 4. Todentajien ohjeistus
Lisätiedot6) tietojen käytettävyys, eheys ja laatu viranomaisen tehtävän hoidossa ja viranomaisten yhteistyössä;
Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta 12.11.1999/1030 Oikeusministerin esittelystä säädetään viranomaisten toiminnan julkisuudesta 21 päivänä toukokuuta 1999 annetun
LisätiedotLausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.
Lausunto 07.09.2018 VRK/3920/2018 Asia: VM/276/00.01.00.01/2018 Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta Yhteenveto Kommentit yhteenvetoon: Taustaa linjauksille Kommentit taustaan:
LisätiedotTeknisten tutkimuslaitoksien muistio. Sisällysluettelo
1(5) Antopäivä: 1.1.2018 Voimaantulopäivä: 1.1.2018 Voimassa: Toistaiseksi Säädösperusta: Ympäristönsuojelulaki 527/2014 Täytäntöönpantava EU-lainsäädäntö: Euroopan Parlamentin ja Neuvoston asetus (EU)
LisätiedotLaki. julkisen hallinnon yhteispalvelusta annetun lain muuttamisesta
Laki julkisen hallinnon yhteispalvelusta annetun lain muuttamisesta Eduskunnan päätöksen mukaisesti muutetaan julkisen hallinnon yhteispalvelusta annetun lain (223/2007) 2 8, 10 ja 10 a, sellaisina kuin
LisätiedotTurvallisuusselvityslaki ja käytännön toimijat. Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman
Turvallisuusselvityslaki ja käytännön toimijat Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman Supon ennalta estävä tehtävä Suojelupoliisin tulee lakisääteisen
LisätiedotLaatua ja tehoa toimintaan
Laatua ja tehoa toimintaan Tietoturvallisuus osana laatua Kuntamarkkinat 12.9.2013 Aapo Immonen, Senior Manager, FCG konsultointi Oy 5.9.2013 Page 1 Sisältö Tavoitteet Tietoturvallisuutta ohjaavat tekijät
LisätiedotTietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1
Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin 12.12.2011 A-P Ollila 1 Taustaa Tiedon merkitys yhteiskunnassa ja viranomaisten toiminnassa korostuu kaiken aikaa. Viranomaisten
LisätiedotHE 45/2011 vp. Viestintävirastolle, minkä vuoksi viestintähallinnosta annettua lakia olisi muutettava.
HE 45/2011 vp Hallituksen esitys Eduskunnalle laeiksi tietoturvallisuuden arviointilaitoksista, viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista sekä viestintähallinnosta
LisätiedotSalassa pidettävien tietojen ja asiakirjojen turvaluokittelu
JHS 147 Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu Julkaistu: 28.11.2000 Voimassaoloaika: Toistaiseksi Sisältö 1 TAUSTAA 1.1 Suosituksen tarkoitus 1.2 Asiakirjojen ja tietojen luokittelu
LisätiedotWebinaarin sisällöt
1 Webinaarin 14.6.2019 sisällöt Tiedonhallintalain ja digitaalisten palvelujen tarjoamisesta annetun lain sääntelykohteet Tiedonhallintalain vaikutukset digitaalisiin palveluihin 2 Keskeinen sääntely Tiedonhallintalaki:
LisätiedotTurvallisuusselvityslaki ja käytännön toimijat. Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman
Turvallisuusselvityslaki ja käytännön toimijat Säätytalo Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman Supon ennalta estävä tehtävä Suojelupoliisin tulee lakisääteisen tehtävän toteuttamiseksi
LisätiedotTilastoaineistojen säilytysajan määrääminen - normivaatimukset ja sopimusvelvoitteet. Anna-Leena Reinikainen
Tilastoaineistojen säilytysajan määrääminen - normivaatimukset ja sopimusvelvoitteet Anna-Leena Reinikainen 6.5.2009 Vaikuttavia säädöksiä Arkistolaki (831/1994) Laki viranomaisten toiminnan julkisuudesta
LisätiedotViestintäviraston NCSA-toiminnon suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit
Ohje 1 (6) 7.5.2015 Viestintäviraston NCSA-toiminnon suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit Tilaajaorganisaation näkökulma JOHDANTO Kansainvälisistä tietoturvallisuusvelvoitteista,
LisätiedotTUTKIMUSLUPAHAKEMUS/PÄÄTÖS
1/2 TUTKIMUSLUPAHAKEMUS/PÄÄTÖS 1. Tutkimusluvan hakijan tiedot Sukunimi Etunimet Syntymäaika Lähiosoite Postinumero ja toimipaikka Puhelinnumero Sähköpostiosoite 2. Asiakirjat, joihin tutkimuslupaa haetaan
LisätiedotValtioneuvoston asetus
Valtioneuvoston asetus julkisen hallinnon turvallisuusverkkotoiminnasta Valtioneuvoston päätöksen mukaisesti säädetään julkisen hallinnon turvallisuusverkkotoiminnasta annetun lain (10/2015) nojalla: 1
LisätiedotKUNNALLINEN SÄÄDÖSKOKOELMA HYVÄN HALLINNON PERIAATTEET
KUNNALLINEN SÄÄDÖSKOKOELMA HYVÄN HALLINNON PERIAATTEET Nakkilan kunta Kunnanhallitus Voimaantulo 4.11.2005 SISÄLLYSLUETTELO HYVÄN HALLINNON PERIAATTEET... 2 0. JOHDANTO... 2 1. YHDENVERTAISUUS... 3 2.
LisätiedotHallintolaki. 28.1.2013 Kaupunginlakimies Pekka Lemmetty
Hallintolaki 28.1.2013 Kaupunginlakimies Pekka Lemmetty Hallintolaki Tuli voimaan 1.1.2004 Sovelletaan voimaantulon jälkeen vireille tulleisiin asioihin Samalla kumottiin hallintomenettelylaki (598/1982)
LisätiedotLaki alkolukon hyväksymisestä liikenteeseen
Lakiehdotus 1. Laki alkolukon hyväksymisestä liikenteeseen Eduskunnan päätöksen mukaisesti säädetään: 1 Lain tarkoitus Tässä laissa säädetään alkolukolla valvotusta ajo-oikeudesta annetun lain (439/2008)
LisätiedotKOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA
KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA 1 S i v u Kokkolan kaupungin tietoturvapolitiikka 1. JOHDANTO Tietojenkäsittely tukee Kokkolan kaupungin palvelujen tuottamista ja palveluiden tehokkuus riippuu
LisätiedotSOTILASILMAILUN TVJ-ALAN TEKNISEN HENKILÖSTÖN KELPOISUUSVAATIMUKSET
SOTILASILMAILUN VIRANOMAISYKSIKKÖ FINNISH MILITARY AVIATION AUTHORITY SOTILASILMAILUMÄÄRÄYS MILITARY AVIATION REGULATION SIM-He-lv-002 versio A, muutos 0 19.12.2008 PL 30, 41161 TIKKAKOSKI, FINLAND, Tel.
LisätiedotVM 5/01/ Valtiovarainministeriö Hallinnon kehittämisosasto. Ministeriöille, virastoille ja laitoksille 1 LÄHTÖKOHDAT
Valtiovarainministeriö Hallinnon kehittämisosasto VM 5/01/2000 19.1.2000 Ministeriöille, virastoille ja laitoksille Asia Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu- ja merkintäohje 1
LisätiedotHE 7/2011 vp. akkreditointielimen akkreditoiman tutkimuslaitoksen lisäksi jatkossa myös muu
Hallituksen esitys Eduskunnalle laeiksi alkolukon hyväksymisestä liikenteeseen annetun lain 5 :n ja alkolukolla valvotusta ajo-oikeudesta annetun lain 11 :n muuttamisesta ESITYKSEN PÄÄASIALLINEN SISÄLTÖ
LisätiedotJulkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet
Verohallinto Lausunto 07.09.2018 Asia: VM/276/00.01.00.01/2018 Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta Yhteenveto Kommentit yhteenvetoon: Taustaa linjauksille Kommentit taustaan:
LisätiedotTURVALLISUUSSELVITYSLAIN- SÄÄDÄNNÖN KOKONAISUUDISTUS. Tausta, tavoitteet ja tarkoitus
TURVALLISUUSSELVITYSLAIN- SÄÄDÄNNÖN KOKONAISUUDISTUS Tausta, tavoitteet ja tarkoitus 1 Kokonaisuudistuksen tunnusluvut ja hyväksyttävyys Valmistelun kokonaisaika n. 6 vuotta Laaja uudistus: 23 lakia muutettiin,
LisätiedotPeruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41
Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät
LisätiedotNASSTOLAN KUNTA HYVÄ HALLINTO Hyvän hallintotavan ohjeistuus Yhteistyöryhmä 24.5.2011 Kunnanhallitus 6.6.2011 Voimaantulo 1.7.2011
NASTOLAN KUNTA HYVÄ HALLINTO Hyvän hallintotavan ohjeistus Yhteistyöryhmä 24.5.2011 Kunnanhallitus 6.6.2011 Voimaantulo 1.7.20111 Sisällysluettelo Keskeiset periaatteet viranhaltijoille....... 2 Asianomaisasema.
LisätiedotLaki. eräitä tuoteryhmiä koskevista ilmoitetuista laitoksista. Soveltamisala
Laki eräitä tuoteryhmiä koskevista ilmoitetuista laitoksista Eduskunnan päätöksen mukaisesti säädetään: 1 Soveltamisala Tässä laissa säädetään mittauslaitelain (707/2011), painelaitelain (869/1999), pyroteknisten
LisätiedotJÄRVENPÄÄN KAUPUNGIN SISÄISEN TARKASTUKSEN OHJE
JÄRVENPÄÄN KAUPUNGIN SISÄISEN TARKASTUKSEN OHJE Hallitus 4.2.2019 1 Järvenpään kaupungin sisäisen tarkastuksen ohje Järvenpään kaupunki ja Keravan kaupunki ovat järjestäneet sisäisen tarkastuksen yhteistyösopimuksella
LisätiedotTurvallisuusselvityslainsäädännön uudistus
Turvallisuusselvityslainsäädännön uudistus Kansainväliset tietoturvallisuusvelvoitteet Lakimies Johanna Erkkilä Säätytalo, Turvallisuusselvityslainsäädännön uudistus Turvallisuusselvityslainsäädännön uudistamisen
LisätiedotLiikenne- ja viestintävirasto Traficomin suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit
Ohje 1 (6) 3.9.2019 Liikenne- ja viestintävirasto Traficomin suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit Tilaajaorganisaation näkökulma JOHDANTO Kansainvälisistä tietoturvallisuusvelvoitteista,
Lisätiedot[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]
1(5) L I I T E 5B T I E T O S U O J A 1. TARKOITUS Tällä tietosuojaliitteellä ( Tietosuojaliite ) [tilaaja] ( Tilaaja ) rekisterinpitäjänä ja käsittelijänä ja [toimittaja] ( Toimittaja ) henkilötietojen
LisätiedotJulkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet
Valtion tieto ja viestintätekniikkakeskus Valtori Lausunto 07.09.2018 Dnro 110/00.04/2018 Asia: VM/276/00.01.00.01/2018 Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta Yhteenveto Kommentit
LisätiedotHÄLYTYSTENVASTAANOTTOKESKUKSIEN VAATIMUKSET
HÄLYTYSTENVASTAANOTTOKESKUKSIEN VAATIMUKSET 2017 1 Hälytystenvastaanottokeskuksien vaatimukset Sisällysluettelo 1 TARKOITUS... 2 2 MENETTELY... 2 3 MÄÄRITELMIÄ... 3 4 YLEISET VAATIMUKSET... 3 5 ARVIOINTIKRITEERIT...
LisätiedotNimetyt tutkimuslaitokset
1(5) Nimetyt tutkimuslaitokset Pätevyysalue Pätevyysluokat Kriteerit Tässä muistiossa käsitellään ajoneuvosektorin nimetyn tutkimuslaitoksen toiminnalle esitettyjä vaatimuksia. Tutkimuslaitostoiminnan
LisätiedotLaki. EDUSKUNNAN VASTAUS 91/2012 vp
EDUSKUNNAN VASTAUS 91/2012 vp Hallituksen esitys eduskunnalle tutkintavankeuden vaihtoehtona määrättyjä valvontatoimia koskevan puitepäätöksen kansallista täytäntöönpanoa ja soveltamista koskevaksi lainsäädännöksi
LisätiedotTietoturvapolitiikka
Valtiokonttori Ohje 1 (6) Tietoturvapolitiikka Valtion IT -palvelukeskus Valtiokonttori Ohje 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa...
LisätiedotSosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset
Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 157/2009 Jussi Holmalahti, johtaja Lupaosasto Tietojärjestelmät
LisätiedotTietoaineistojen luokittelu ja käsittely HVK:ssa ja PTS:ssä
Tietoaineistojen luokittelu ja käsittely HVK:ssa ja PTS:ssä Erja Saraste PTS:n suunnitteluseminaari 06. - 07.10.2005 Sannäs 10.11.2005 1 Yleistä tietoaineistojen käsittelystä ja julkisuudesta Laki viranomaisen
LisätiedotTietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari
Tietoturvallisuus osana tiedonhallintalakia Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari 31.8.2018 Tiedonhallintalain valmistelu Ensimmäinen vaihe, työryhmä 17.11.2016-15.9.2017 Tiedonhallinnan lainsäädännön
LisätiedotJÄRVENPÄÄN KAUPUNGIN SISÄISEN TARKASTUKSEN OHJE
JÄRVENPÄÄN KAUPUNGIN SISÄISEN TARKASTUKSEN OHJE 1 Sisällysluettelo Järvenpään kaupungin sisäisen tarkastuksen ohje... 3 Sisäisen tarkastuksen ohjeen tarkoitus... 3 Sisäisen tarkastuksen tarkoitus... 3
LisätiedotPäiväkotipalvelujen palveluntuottajien hyväksyminen edellyttää seuraavien vaatimusten täyttymistä:
Nastolan kunta Varhaiskasvatus Palveluseteli lasten päivähoidossa PALVELUNTUOTTAJIEN HYVÄKSYMISEN EDELLYTYKSET Päiväkotipalvelujen palveluntuottajien hyväksyminen edellyttää seuraavien vaatimusten täyttymistä:
LisätiedotTerveydenhuollon ATK-päivät 28-29.5.2013 Logomo, Turku
Teknologia: Tekniikan auditointi ja sertifiointi Terveydenhuollon ATK-päivät 28-29.5.2013 Logomo, Turku Ylitarkastaja Jari Knuuttila, Valvira 1 Määritelmiä ja aiheeseen liittyvät lait 2 Auditointi, sertifiointi,
LisätiedotLuonnos LIITE 1
Luonnos 15.4.2015 LIITE 1 Valtioneuvoston asetus julkisen hallinnon turvallisuusverkkotoiminnasta Valtioneuvoston päätöksen mukaisesti säädetään julkisen hallinnon turvallisuusverkkotoiminnasta annetun
LisätiedotTietoturvallisuus julkisessa. Sähköisen hallinnon oikeudelliset perusteet 13.12.2012 Tommi Oikarinen
Tietoturvallisuus julkisessa hallinnossa Sähköisen hallinnon oikeudelliset perusteet 13.12.2012 Tommi Oikarinen Sisältö Tietoturva Keskeiset säädökset Tietoturva-asetus käsitteet yleiset tietoturvavaatimukset
LisätiedotMiksi auditoidaan? Pirkko Puranen FT, Ylitarkastaja
Miksi auditoidaan? Pirkko Puranen FT, Ylitarkastaja Vaatimus kudoslaitoksille: Fimean määräys 3/2014 Liite V 6. Laatukatselmus 6.1 Toiminnoille, joille lupaa haetaan, on oltava käytössä auditointijärjestelmä.
LisätiedotTIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä
TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.
LisätiedotValtioneuvoston asetus
Valtioneuvoston asetus rautatiejärjestelmän turvallisuudesta ja yhteentoimivuudesta annetun valtioneuvoston asetuksen muuttamisesta Valtioneuvoston päätöksen mukaisesti muutetaan rautatiejärjestelmän turvallisuudesta
LisätiedotHyvä tietää hallintomenettelystä. Työelämätoimikuntien webinaari ja Sanna Haanpää Lakimies
Hyvä tietää hallintomenettelystä Työelämätoimikuntien webinaari 30.1.2019 ja 7.2.2019 Sanna Haanpää Lakimies Työelämätoimikunnat Opetushallitus asettaa ja nimittää kuhunkin enintään yhdeksän jäsentä Työelämätoimikunnat
LisätiedotAkkreditointi mittausten luotettavuutta vahvistamassa. Akkreditointipäällikkö Christina Waddington-Walden Pääarvioija Mika Penttinen
Akkreditointi mittausten luotettavuutta vahvistamassa Akkreditointipäällikkö Christina Waddington-Walden Pääarvioija Mika Penttinen Mitä akkreditointi on? Akkreditointi on kansainvälisiin kriteereihin
LisätiedotQuality Consulting M.Mikkola OY Mari.mikkola@qcmm.fi 050-3205088
Quality Consulting M.Mikkola OY Mari.mikkola@qcmm.fi 050-3205088 Laadunhallintajärjestelmän tulisi olla organisaation strateginen päätös ISO9001 tarkoituksena ei ole edellyttää, että kaikilla laadunhallintajärjestelmillä
LisätiedotHyväksytyt asiantuntijat
1(4) Hyväksytyt asiantuntijat Pätevyysalue Pätevyysluokat Tarkastuskohteet Tässä muistiossa käsitellään ajoneuvolain 1090/2002 (muutettuna viimeksi 1042/2014) 48 2 momentin nojalla Liikenteen turvallisuusviraston
LisätiedotJulkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano
Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta 11.9.2018 Pauli Kartano Lausuntokierros Linjaukset ja lausunnot nähtävillä lausuntopalvelussa Julkisen hallinnon linjaukset tiedon sijainnista
LisätiedotSISÄLLYS. N:o 585. Laki
SUOMEN SÄÄDÖSKOKOELMA 2004 Julkaistu Helsingissä 1 päivänä heinäkuuta 2004 N:o 585 594 SISÄLLYS N:o Sivu 585 Venäjän kanssa maantien rakentamisesta maantieliikenteen turvaamiseksi Nuijamaan kansainvälisen
LisätiedotTurvallisuusselvityslain uudistus yritysturvallisuusselvityksissä
Turvallisuusselvityslain uudistus yritysturvallisuusselvityksissä Säätytalo 17. ja 18.12.2014 Suojelupoliisin lausuntotoiminto Tarkastaja Lauri Holmström Esityksen sisältö Suojelupoliisin yritysturvallisuustoiminto
LisätiedotTIETOTURVA- POLITIIKKA
TIETOTURVA- POLITIIKKA Kaupunginhallitus 3.9.2013 216 HAAPAJÄRVEN KAUPUNGIN TIETOTURVAPOLITIIKKA 1. JOHDANTO... 3 2. KATTAVUUS... 3 3. TIETOTURVA... 3 4. TIETOTURVATYÖ... 4 5. ORGANISOINTI JA VASTUUT...
LisätiedotLuonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi
Lshp Lausunto 01.10.2018 Asia: VM183:00/2017 ja VM/1631/03.01.00/2018 Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi Lausunnonantajan
LisätiedotAikaisempi laki osoittautui riittämättömäksi
16.12.2014 TURVALLISUUSSELVITYSLAKI YLEISESITTELY Aikaisempi laki osoittautui riittämättömäksi Turvallisuusselvityslaki (726/2014) ja siihen liittyvät säädökset tulevat voimaan 1.1.2015. Sillä kumotaan
LisätiedotSalassapito- ja tietosuojakysymykset moniammatillisessa yhteistyössä Kalle Tervo. Keskeiset lait
Salassapito- ja tietosuojakysymykset moniammatillisessa yhteistyössä 7.5.2014 Kalle Tervo Keskeiset lait Laki viranomaisten toiminnan julkisuudesta (21.5.1999/621) Henkilötietolaki (22.4.1999/523) Laki
LisätiedotLaki kuntoutuksen asiakasyhteistyöstä
N:o 497/2003 Annettu Helsingissä 13 päivänä kesäkuuta 2003 Laki kuntoutuksen asiakasyhteistyöstä Eduskunnan päätöksen mukaisesti säädetään: 1 luku Yleiset säännökset 1 Lain tarkoitus ja soveltamisala Lain
LisätiedotPeriaatteet standardien SFS-EN ISO/IEC 17025:2005 ja SFS-EN ISO 15189:2007 mukaisen näytteenottotoiminnan arvioimiseksi
Periaatteet standardien SFS-EN ISO/IEC 17025:2005 ja SFS-EN ISO 15189:2007 mukaisen näytteenottotoiminnan arvioimiseksi FINAS - akkreditointipalvelu Espoo 2012 ISBN 978-952-5610-85-7 1(7) Periaatteet standardien
LisätiedotEUROOPAN YHTEISÖJEN KOMISSIO. Luonnos. KOMISSION ASETUS (EU) N:o.../... annettu [ ] päivänä [ ]kuuta [ ],
EUROOPAN YHTEISÖJEN KOMISSIO Luonnos Bryssel... C KOMISSION ASETUS (EU) N:o.../... annettu [ ] päivänä [ ]kuuta [ ], muuhun kuin kaupalliseen lentotoimintaan liittyvistä teknisistä vaatimuksista ja hallinnollisista
LisätiedotWestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely
1 WestStar Oy 24.5.2018 2223699-7 Aleksanterinkatu 17 B 15110 Lahti Liite Henkilötietojen käsittely 2 SISÄLLYSLUETTELO 1. Osapuolet 2. Tausta ja tarkoitus 3. Määritelmät 4. Käsittelyn kohde ja tarkoitus
LisätiedotJulkaistu Helsingissä 15 päivänä kesäkuuta 2011. 634/2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta
SUOMEN SÄÄDÖSKOKOELMA Julkaistu Helsingissä 15 päivänä kesäkuuta 2011 634/2011 Laki julkisen hallinnon tietohallinnon ohjauksesta Annettu Helsingissä 10 päivänä kesäkuuta 2011 Eduskunnan päätöksen mukaisesti
LisätiedotOHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA
Ohje 2/2017 1(5) OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA Kohderyhmät Voimassaoloaika Julkisen sosiaali- ja terveydenhuollon palvelujen tarjoajat Yksityisen
LisätiedotSisällysluettelo. TRAFI/187229/ /2016 1(5) Nimettyjen tutkimuslaitoksien muistio
TRAFI/187229/05.03.44/2016 1(5) 2.1.2018 Antopäivä: Voimassa: Toistaiseksi Säädösperusta: Ajoneuvolaki (1090/2002) 48 Valtioneuvoston asetus ajoneuvojen hyväksynnästä 1244/2002 Täytäntöönpantava EU-lainsäädäntö:
LisätiedotTIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103
TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI Hyväksytty:, asiakohta 28, asiakohta 103 Sisällysluettelo 1. Periaatteet... 3 1.1 Henkilötietojen käsittelyn lainmukaisuus... 3 2. Tietosuojan vastuut ja organisointi...
LisätiedotSisäisen tarkastuksen ohje
Sisäisen tarkastuksen ohje Kuntayhtymähallitus 17.3.2009 SISÄLLYSLUETTELO 1 TARKOITUS JA PERIAATTEET 3 2 TEHTÄVÄT JA ARVIOINTIPERUSTEET 3 3 ASEMA, TOIMIVALTA JA TIETOJENSAANTIOIKEUS 3 4 AMMATILLINEN OSAAMINEN
LisätiedotTurvallisuus- ja kemikaalivirasto (Tukes) Katri sihvola EU:n henkilönsuojainasetus. Talouden toimijoiden vastuut ja velvollisuudet
Turvallisuus- ja kemikaalivirasto (Tukes) 5.12.2017 Katri sihvola EU:n henkilönsuojainasetus Talouden toimijoiden vastuut ja velvollisuudet 1 Määritelmiä Talouden toimijalla tarkoitetaan valmistajaa, valtuutettua
LisätiedotHenkilötietojen käsittelyn ehdot. 1. Yleistä
Henkilötietojen käsittelyn ehdot Liite 7 1 (6) Henkilötietojen käsittelyn ehdot 1. Yleistä 1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa PISA 2021 -palvelusopimusta (Dnro ), jäljempänä
LisätiedotOhjeet 4/2018 sertifiointielinten akkreditoinnista yleisen tietosuoja-asetuksen (2016/679) 43 artiklan mukaisesti Hyväksytty 4.
Ohjeet 4/2018 sertifiointielinten akkreditoinnista yleisen tietosuoja-asetuksen (2016/679) 43 artiklan mukaisesti Hyväksytty 4. joulukuuta 2018 Hyväksytty 1 Sisällys 1 Johdanto... 3 2 Ohjeiden soveltamisala...
LisätiedotTodentaminen biopolttoaineista ja bionesteistä annetun lain mukaan
Todentaminen biopolttoaineista ja bionesteistä annetun lain mukaan Todentajainfo 8.4.2013 Harri Haavisto Tekninen asiantuntija Sisältö Lakibiopolttoaineista ja bionesteistä Aikataulu Kestävyyskriteerit
LisätiedotOhje arviointikriteeristöjen tulkinnasta
Ohje 1 (6) 28.10.2015 Ohje arviointikriteeristöjen tulkinnasta Kansalliset arvioinnit 1 Arviointikriteeristöt Lain viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista
LisätiedotEläketurvakeskuksen tietosuojapolitiikka
Eläketurvakeskus Tietosuojapolitiikka 1 (5) Eläketurvakeskuksen tietosuojapolitiikka Eläketurvakeskus Tietosuojapolitiikka 2 (5) Sisällysluettelo 1 Yleistä... 3 2 Tietosuojatoimintaa ohjaavat tekijät...
LisätiedotEuroopan unionin neuvosto Bryssel, 24. marraskuuta 2016 (OR. en)
Euroopan unionin neuvosto Bryssel, 24. marraskuuta 2016 (OR. en) Toimielinten välinen asia: 2016/0209 (CNS) 13885/16 SC 181 ECON 984 SÄÄDÖKSET JA MUUT VÄLINEET Asia: NEUVOSTON DIREKTIIVI direktiivin 2011/16/EU
LisätiedotTIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2135/03/2016 ' Opetus- ja kulttuuriministeriö
Dnro 2135/03/2016 '15.8.2016 Opetus- ja kulttuuriministeriö kirjaamo@minedu.fi aikuistenperusopetus@minedu.fi Lausuntopyyntö ehdotuksesta hallituksen esitykseksi perusopetuslain 46 :n muuttamisesta Pyysitte
LisätiedotMitä palvelusetelillä tarkoitetaan. Infotilaisuus 23.2.2012. Maritta Koskinen 1 22.2.2012
Mitä palvelusetelillä tarkoitetaan Infotilaisuus 23.2.2012 Maritta Koskinen 1 Taustaa palvelusetelille Aiemmat säädökset palvelusetelistä vuonna 2004 Laajentui vuonna 2008 Palvelusetelilaki (569/2009)
LisätiedotTurvallisuusselvityslainsäädännön uudistus. Vaikutukset kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisessa
Turvallisuusselvityslainsäädännön uudistus Vaikutukset kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisessa NSA / Tarja Laitiainen Keskeisimmät muutokset kansainvälisten tietoturvallisuusvelvoitteiden
LisätiedotPotilas -ja asiakastietojärjestelmien vaatimukset ja valvonta Ammattimainen käyttäjä laiteturvallisuuden varmistajana
Potilas -ja asiakastietojärjestelmien vaatimukset ja valvonta Ammattimainen käyttäjä laiteturvallisuuden varmistajana 26.5.2016 Yli-insinööri Antti Härkönen, Valvira Tietojärjestelmien valvonta Terveysteknologia-ryhmä
LisätiedotTOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI
TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI SELONTEKO EU:N TIETOSUOJA-ASETUS GDPR:N VAATIMUSTEN TOTEUTTAMISTAVOISTA ITPOINT OY:SSA ITpoint Oy toimittaa asiakkaansa
LisätiedotAUTOMAATTISTEN SAMMUTUSLAITTEISTOJEN SUUNNITTELUTOIMISTO
AUTOMAATTISTEN SAMMUTUSLAITTEISTOJEN SUUNNITTELUTOIMISTO 2017 1 Automaattisten sammutuslaitteistojen suunnittelutoimisto Sisällysluettelo 1 Tarkoitus... 2 2 Menettely... 2 3 Vaatimukset... 2 3.1 Suunnitteluohjeet...
LisätiedotEU-vaatimustenmukaisuusvakuutus, CE-merkintä ja siirtymäaika
EU-vaatimustenmukaisuusvakuutus, CE-merkintä ja siirtymäaika Pirje Lankinen 1 EU-vaatimustenmukaisuusvakuutus (Art. 15) vakuutuksessa on ilmoitettava, että liitteessä II olevien sovellettavien olennaisten
LisätiedotVarmaa ja vaivatonta viestintää
Varmaa ja vaivatonta viestintää Viestintäviraston toimet kaikille viestinnän Suomessa luottamuksellisuuden turvaamiseksi Tähän joku aloituskuva, esim. ilmapallopoika Asta Sihvonen-Punkka LVM:n keskustelutilaisuus
LisätiedotHallitus HÄMEENKYRÖN HYVÄN HALLINNON OHJE
Hallitus 17.9.2018 HÄMEENKYRÖN HYVÄN HALLINNON OHJE 1 Sisällys 1 Hämeenkyrön kunnan johtamis-, hallinto- ja valvontajärjestelmä... 2 2 Toiminnan ja talouden suunnittelu ja seuranta... 2 3 Päätöksentekoprosessi...
LisätiedotSELVITYS TIETOJEN SUOJAUKSESTA
1 (5) Väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) 44 :n mukainen selvitys tietojen SELVITYS TIETOJEN SUOJAUKSESTA Määritelmät Tämä selvitys koskee
LisätiedotViestintävirasto 1 (5) Viestintämarkkinat ja palvelut
Viestintävirasto 1 (5) VIESTINTÄVIRASTON KUSTANNUSLASKENTAJÄRJESTELMIEN TARKASTUKSISTA ANTAMAN MÄÄRÄYKSEN (56 A/2009 M) PERUSTELUMUISTIO 1. LAINSÄÄDÄNTÖ Viestintävirasto voi viestintämarkkinalain (393/2003)
LisätiedotAjankohtaista työelämän tietosuojasta Johanna Ylitepsa
Ajankohtaista työelämän tietosuojasta 20.5.2019 Johanna Ylitepsa Tietosuoja-asetus 88 artikla Käsittely työsuhteen yhteydessä Jäsenvaltiot voivat antaa lakisääteisesti tai työehtosopimuksilla yksityiskohtaisempia
LisätiedotUlkoasiainministeriö E-KIRJE UM NSA-00 Hyvärinen Tuomas(UM) JULKINEN. VASTAANOTTAJA: Suuri valiokunta
Ulkoasiainministeriö E-KIRJE UM2014-00076 NSA-00 Hyvärinen Tuomas(UM) 28.01.2014 JULKINEN VASTAANOTTAJA: Suuri valiokunta Asia Neuvottelut Euroopan unionin ja Albanian tasavallan sekä Euroopan unionin
LisätiedotFINAS - akkreditointipalvelu. Espoo 2012 ISBN 978-952-5610-87-1
Periaatteet laboratorioiden laadunvarmistusja FINAS - akkreditointipalvelu Espoo 2012 ISBN 978-952-5610-87-1 1(6) Periaatteet laboratorioiden laadunvarmistusja Alkusanat Tämän FINAS-akkreditointipalvelun
LisätiedotRiippumattomuus ja puolueettomuus laboratoriotoiminnassa. Tuija Sinervo FINAS-akkreditointipalvelu
Riippumattomuus ja puolueettomuus laboratoriotoiminnassa Tuija Sinervo FINAS-akkreditointipalvelu Riippumattomuuden arviointi Standardi SFS-EN ISO/IEC 17025: eturistiriidat, kolmannen osapuolen laboratorio
Lisätiedot