Verohallinto Lausunto 07.09.2018 Asia: VM/275/00.01.00.01/2018 Julkisen hallinnon tietoliikennepalvelulinjaukset Yhteenveto Linjausten tarkoitus ja kohdealue Tietoliikennepalvelulinjaukset Käytettävyys, varautumis ja suojauslinjaukset Taulukon 3 linjauksista 1.2 ja 1.5 puuttuvat konkreettiset toimenpiteet. Taulukon 3 linjaus 1.2: Lukijalle jäi epäselväksi onko tarvetta määritellä, että tämä tarve on väliaikainen vai onko tämä yleispätevä sellaisenaan? Taulukon 3 linjaus 1.3: Linjauksen mittarina toimivat varautuminen ja suojaustaso erikseen määrittely tietoliikennetarpeen määrittelyssä (kyllä/ei) ja verkkotietoturvallisuuden huomioon ottaminen (kyllä/ei)." jää epäselväksi mihin ehdotettu mittaristo (kyllä/ei) kohdistuu (a vai b vai molemmat?) Lausuntopalvelu.fi 1/6
Taulukon 3 linjaus 1.4 Sinällään on hyvä lähtökohta huomioida tietoliikennetarpeet suunnittelussa, mutta eikö tietoliikenneratkaisujen tule olla skaalattavia/joustavia, jotta tietoliikenneratkaisut eivät rajoita palvelukehittämistä/muutoksia, eli ehdotus on muuttaa teksti em. lähtökohdan pohjalta. Taulukon 3 linjauksiin 1.4 tai 1.5 liittyen: Tulisiko poikkeusolojen suunnittelu kuulua myös osaksi palvelusuunnitteluun jo alkuvaiheessa, jolloin häiriötilanteissa nämä tiedot ovat aina käytettävissä (liikenteen/palvelujen priorisointi)? Taulukon 3 linjaukseen 1.5 liittyen avoimeksi jäivät seuraavat asiat: o Kuka tekee priorisoinnin? o Myöhemmin todetaan: "Priorisointi voidaan toteuttaa julkisen hallinnon tietoliikenneympäristössä tai kaupallisen toimijan ympäristössä sopimuksellisesti." o Kuka näistä sopii? Jokainen organisaatio halunnee priorisoida oman palvelunsa. o Miten linjauksissa huomioidaan ero Valtiotason/virastotason kriittisten yhteyksien turvaaminen häiriötilanteessa ja jatkuvuudessa ja miten tätä ylläpidetään (vastuu ja käytännöt, kytkentä mm. Julkisen sektorin tietoliikenneryhmään). Lisäksi lyhenne LVM YTS tulisi tekstin selkiyttämiseksi avata lukijalle. Ehdotamme myös pohdittavaksi olisiko tässä yhteydessä syytä rajata mikä kuuluu valtion poikkeustiloihin varautumiseen ja mikä tietoliikennelinjauksiin. Priorisoinnissa voisi olla hyvä ottaa huomioon myös viranomaisten kriittiset tarpeet eri aikoina. Esim. Verohallinnolla on määritellyt ilmoituspäivämäärät, jolloin tietoliikenteen toiminta on kriittisempää kuin muina aikoina. 1.1 Käytä tarkoituksenmukaisia suojauksen ja varautumisen tasoja Mitä tarkoitetaan ilmaisulla "...mahdollisen dynaamisen suojaustason korotuksen kautta"? Ehdotamme, että tekstiin tarkennetaan mitä ilmaisulla tarkotetaan ja miten se käytännössä tehdään. Tekstissä viitataan VAHTItoimintaan ja siihen liittyvään verkkosivustoon. Koska kyseessä on laaja kokonaisuus, ehdotamme tarkennettavaksi mitkä VAHTI ohjeista kuuluvat tähän asiayhteyteen. Ehdotamme, että taulukot 4 ja 5 poistettaisiin, sillä niiden asiasisältö selviää tekstistäkin ja lukijalle jää epäselväksi mihin taulukoissa esitetyt luvut perustuvat. Lausuntopalvelu.fi 2/6
1.2 Mahdollista joustava muutos suojaustasolta toiselle tilanteen mukaan myös ylöspäin 1.3 Varautumisen taso ei automaattisesti määrittele suojauksen tasoa Viittaus taulukoihin 3.3 ja 3.4 on mielestämme virheellinen eli niiden tilalla pitäisi olla taulukot 4 ja 5. 1.4 Huomioi tietoliikennetarpeet palveluita suunniteltaessa 1.5 Mahdollista julkisen hallinnon kriittisillä palveluilla etuoikeus tietoliikenteeseen Teknologia ja toimittajalinjaukset Kommentit taulukon 6 linjauksiin o Linjauksiin 2.1 ja 2.3 olisi hyvä lisätä myös vaatimus teknologian/palvelun jatkokehittämisen huomioinnista. o Linjaukseen 2.2 Liittyen ehdotamme pohdittavaksi tulisiko linjauksiin lisätä myös kilpailutuksen pisteyttäminen toimittajan edelliset kokemukset huomioiden (ks. saman taulukon linjaus 2.3). Tulisiko "Usean toimittajan käyttö milloin mahdollista" muotoilla uudelleen, sillä aina ei ole järkevää käyttää useaa toimittajaa vaikka se olisi mahdollista. Lisäksi nimetyllä toimittajalla/toimijalla tulisi mielestämme olla kokonaisvastuu toimituksesta/palvelusta, vaikkakin kyseessä olisi usean toimittajan ratkaisu, eli toivomme avattavaksi tekstiin miten tämä on ajateltu ratkaistavan huomioiden laajavaikutteiset häiriöt ja niistä toipuminen? Lausuntopalvelu.fi 3/6
o Linjaus 2.3. Tulisiko huomioida myös ottaa aiemmat kokemukset toimittajasta hankintalain sallimissa rajoissa (reklamaatiot tms.) Kohdassa 3.2.1 on mainittu 2.1 Huomioi teknologian kypsyys ja elinkaari teknologiahankinnoissa Kohdan 3.2.1 ensimmäisessä kappaleessa on mainittu "Teknologiahankinnoissa on käytettävä vastaavanlaisissa ympäristöissä koeteltua, mutta ainakin palvelun elinkaaren ajan tuettua ja päivitettyä teknologiaa." Ehdotamme tekstiä muokattavaksi, sillä nyt sen voi tulkita niin, että tämä linjaus estäisi uusien teknologioiden käyttöönoton, joka ei liene kuitenkaan tarkoituksena. Taulukossa 6 viitataan myös elinkaari ja jatkuvuusanalyysien käyttöön teknologiahankinnoissa. Toivoisimme niihin esimerkkejä sekä välineitä analyysien tekemisen tueksi. Ehdotamme myös tekstissä otettaisiin kantaa siihen minkä tahon tehtäväkenttään näiden pitäisi kuulua. 2.2 Käytä mahdollisimman toimittajariippumattomia ratkaisuja 2.3 Huomioi toimittajariski Tuotanto ja hankintalinjaukset Taulukkoa 7 koskevat kommentit: o Linjaukselle 3.1 ehdotamme uudeksi otsikoksi "Huomioi mobiilien yhteyksien käyttö" o Linjauksessa 3.2. ehdotamme uudelleenotsikointia. Nyt otsikossa mainitaan käyttö varayhteytenä, kappaleessa myöhemmin puolestaan sekä pää ja varayhteytenä o Linjaus 3.3. Ehdotamme pohdittavaksi tulisiko linjausten mittariksi lisätä asiakasratkaisujen vastaavuus asiakastarpeeseen (on kuitenkin eri asia kuin palvelun tehokkuus ja laatu) o Linjaus 3.4 on mielestämme tuotannon osalta hyvä, mutta miten tulisi linjata palvelua ostavan/tuottavan oma vastuu tähän jos/kun koska palvelutuotantoon osallistuvia toimijoita on Lausuntopalvelu.fi 4/6
käytännössä paljon (vai tuleeko peruste linjaukselle suoraan Valtori lain tms. lainsäädännön tai ohjeistuksen kautta). Tulisiko tuotannon kehittämisessä olla vakiorooli valtiolla (arkkitehtuuri tms.), vaikka tätä osaamista on mahdollista hankkia kaupallisilta toimijoilta. Nyt tekstin voi tulkita niin, että tulkitsen, että se "pakottaa" hankkimaan aina ulkoa jos palvelua/osaamista on sieltä saatavilla. Ehdotamme myös pohdittavaksi onko tämä kohta ylipäätään tarpeen linjauksissa vai kuuluisiko muuhun dokumentaatioon? o Linjaus 3.5. Vakioratkaisun lisäksi tulee olla mahdollista tuottaa asiakkaan tarpeen mukainen ratkaisu, mikäli vakioratkaisu ei vastaa asiakkaan tarpeeseen. Täsmennystä tekstiin vaatii mielestämme myös se että, palveluntuottaja ja asiakas voivat olla eri mieltä toteutuksesta ja/tai siihen menevästä muutosajasta ja kustannuksista. Uudeksi mittariksi ehdotamme sitä, että "ratkaisu vastaa asiakastarpeeseen" 3.1 Huomioi mobiilien yhteyksien käyttäminen kiinteiden yhteyksien rinnalla 3.2 Huomioi satelliittiyhteyksien käyttäminen varayhteyksinä 3.3 Tee jatkuvaa yhteistyötä tietoliikennepalvelujen hankinnassa ja tuotannossa 3.4 Käytä tietoliikennepalveluiden toutannossa lähtökohtaisesti kaupallisia toimijoita 3.5 Vältä tietoliikennepalveluidfen tuotannossa erillisratkaisuja Vaikutus hankkeisiin Lausuntopalvelu.fi 5/6
Vaikutus säädöksiin ja ohjeisiin Muita huomioita dokumentista Liittyen asiakohtaan "Julkisen sektorin tietoliikenneryhmä": Tietoliikennetyöryhmän toiminnan tulisi olla kahdella tasolla, strategisella ja operatiivisella. Vähintään jälkimmäiseen tulisi olla edustus kriittisimmistä julkishallinnon toimijoista, jotta palveluiden toimivuuteen, kehittämiseen ja kustannuksiin liittyvät asiat tulisivat käytyä yhdessä läpi, ja jotta virastoilla olisi mahdollisuus vaikuttaa ja tietää ajoissa esim. tulevista muutoksista (tuotevaihdot tms). Operatiivinen ryhmä olisi selkeä roolia (päätökset, viestintä ja koordinointi tms) myös MIMprosessin (ITIL) aikana päätöksistä virastojen osalta. Linjauksissa tulisi mielestämme olla myös seuraavat asiat: o Kriittiset tietoliikennekomponentit tulisi olla monennettu ja kriittiset tietoliikennepalvelut tulisi olla sellaiset joiden kapasiteettia voidaan muuttaa nopeasti/joustavasti muuttuvan tarpeen/käytön mukaan huomioiden kustannusvaikutukset (enemmän käyttöä => halvempi hinta). o Tietoliikenneyhteyksistä mm. pilvitoimittajille ei ole mainintaa (jatkossa näiden toimivuus on oletettavasti hyvin kriittistä) o Mitä tehdä tilanteessa jossa yhteinen ratkaisu ei vastaa tarpeeseen ja/tai on kalliimpi kuin spesifi organisaatiokohtainen ratkaisu (toimintamalli ja kriteerit)? Laakso Mikko Verohallinto Hämäläinen Tuula Verohallinto Lausuntopalvelu.fi 6/6