Muutos ja tietoturvallisuus, alueellistamisesta ulkoistamiseen -hallittu prosessi

Samankaltaiset tiedostot
Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö

TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka

TOIMIJAREKISTERIN TOTEUTUKSEN JA YLLÄPIDON HANKINTA - HANKINNAN YKSI- LÖINTI HUOM!

Opas IT-palveluiden ulkoistamiseen

ULKOISTAMISEN KÄSIKIRJA RIITTA LEHIKOINEN ILKKA TÖYRYLÄ

VIESTINTÄVERKKOJEN JA VIESTINTÄPALVELUIDEN VARMISTAMINEN; OHJEITA KÄYTTÄJILLE. TIVA-seminaari

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Lapin yliopiston tietoturvapolitiikka

Muutoksen hallittu johtaminen ja osaamisen varmistaminen

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

VRK yhteisenä tiedonhallintaa ja digitalisaatiota edistävänä toimijana. Juhta, Sami Kivivasara

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Käyttöönottotyöryhmä

TORI-siirtoprojektit. Toukokuu 2014

Digital by Default varautumisessa huomioitavaa

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

Laatua ja tehoa toimintaan

Ulkoistamisen edut tarjouspyynnön tekninen liite

Varkauden kunnallistekniikan palvelutuotannon kilpailutukset 2009 ja 2016

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta. 1 Ohjeen soveltamisala, tavoitteet ja rajaukset. 2 Jatkuvuuden hallinnan säädösympäristö

Virtu tietoturvallisuus. Virtu seminaari

Sähköisen asioinnin kehitys. Ylikomisario Hans Snellman, Pohjanmaan poliisilaitos

Pilvipalveluiden arvioinnin haasteet

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Ulkoistaminen ja henkilötiedot

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Sähköi sen pal l tietototurvatason arviointi

Taloushallinnon kehitystrendit ja ulkoistamistarpeet

JHS-järjestelmä. Tommi Karttaavi

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Käyttövaltuushallinnan hyödyt tehokkaasti käyttöön. Johanna Lampikoski, RM5 Software Juha Arjonranta, TeliaSonera Finland

Viestintäviraston tietoturvapolitiikka

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

TIETOTURVAA TOTEUTTAMASSA

MUUTOS JA TIETOTURVALLISUUS, ALUEELLISTAMISESTA ULKOISTAMISEEN HALLITTU PROSESSI

Informaatio-ohjaus ja tiedonhallintalaki tietoturvallisuuden kehittäjänä. Kirsi Janhunen, Väestörekisterikeskus

JUHTAn syysseminaari Työpajat

Valtion IT-palvelukeskuksen (VIP) hyödyt valtiokonsernille. Valtio Expo Anna-Maija Karjalainen

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Torstai Mikkeli

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan. Ammattitaidon osoittamistavat

Mitä pitää huomioida tämän päivän tietoturvasta ja kuinka varautua kyberturvariskeihin. Mikko Saarenpää Tietohallintopäällikkö MPY Palvelut Oy

Valtion IT-palvelukeskuksen (VIP) palvelut. JulkIT Anna-Maija Karjalainen

Espoon kaupunki Tietoturvapolitiikka

Tietoturva tulevassa tiedonhallintalaissa ja VAHTI Kirsi Janhunen, Väestörekisterikeskus

Consultor Finland Oy. Paasitorni / Markus Andersson Toimitusjohtaja

Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa

Suomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Auditoinnit ja sertifioinnit

Henkilötunnus ja henkilön yksilöinti Maarit Huotari, Lainsäädäntöneuvos Omadata tiedonhallinnan käsitteenä ja säädösympäristö -seminaari

VIRTU ja tietoturvatasot

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Valtorin asiakasyhteistyö

Sähköisen asioinnin ensisijaisuus

Toimittajahallinta Tilaajan ja tuottajan roolit palveluiden laadun ja taloudellisuuden varmistamisessa

Kansalliset palveluprosessit ja sähköinen asiointi (Kapsa) -hanke Jaakko Penttinen

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

Hoitaminen. Yhdessä kohti terveyttä ja hyvinvointia. Potilas. Potilas. Liite 1, LTK 6/2010. Palvelut - valikoima - vaikuttavuus ja laatu

Siilinjärven kunta ja Valtion IT-palvelukeskus

Tietotilinpäätös tietosuojan dokumentoinnissa Parhaat käytännöt: tietotilinpäätösmalli

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

Sopimusoikeus ja tietotekniikka. IT-sopimukset. Sopimuksesta yleistä. Mitä ovat IT-sopimukset. Suomessa yleiset sopimusehdot: IT2000

SADe-ohjelma tilanne ja eteneminen

Vihdin kunnan tietoturvapolitiikka

Tietosuoja-asetuksen sopimusvaatimukset ja vaikutus tarjouspyynnön suunnitteluun

Loppuyhteenveto. Valtorin asiakaspäivä Toimitusjohtaja Kari Pessi

Päiväys KERIMÄKI Viite: KUNNAN HALLINNON JA TALOUDEN TARKASTUSPALVELUT

Big Room -toiminta tutkimuksen näkökulmasta. Sari Koskelo, Vison Oy

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Kokonaisarkkitehtuurin kehittäminen Satu Pajuniemi. Conversatum Oy

Yhteinen Kiekumme Kokemuksia poikkihallinnollisesta hankkeesta Martti Kallavuo. Päätöstilaisuus johdolle

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa

Valtioneuvoston asetus

Uuden strategiamme ytimen voikin tiivistää muutamaan sanaan: ydintehtävät, keskittyminen, yhteistyö, vaikuttavuus ja luottamus.

Suorin reitti Virtu-palveluihin

Ulkoistaminen ja varautumiseen liittyvät sopimusasiat alihankkijan näkökulmastakulmasta. Pentti Tammelin YIT Teollisuus- ja verkkopalvelut

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Kiekun käyttöönottomenetelmä

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

Sopimuksiin perustuva toiminnan jatkuvuuden hallinta

Webinaarin sisällöt

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Puitekonsultteja haettiin seitsemään aihealueeseen. Jokaiseen aihealueeseen pyrittiin valitsemaan 3 5 konsulttia.

Kaupallinen malli -ryhmä

Miten virasto ottaa käyttöön Kiekutietojärjestelmän

Työympäristömuutosten johtaminen ja viestintä klinikan alustavat tulokset

Uudistuksen valmistelun tilannekuva maakunnissa. Kuntamarkkinat Sinikka Salo STM ja Kari Hakari VM

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Ajankohtaista Virtu-palvelussa

Tietoturvapolitiikka. Hattulan kunta

Kooste riskienhallinnan valmistelusta

Muutoksenhaku Muutoksenhakukielto, valmistelu tai täytäntöönpano Otteet Otteen liitteet

Sisäisen tarkastuksen ja yhteistyöryhmien palautteet toimintatapaan. Ismo Kohonen

Valtion taloushallinnon kokonaisarkkitehtuurin tavoitetila

Transkriptio:

Muutos ja tietoturvallisuus, alueellistamisesta ulkoistamiseen -hallittu prosessi Veli-Pekka Kuparinen valmiuspäällikkö

Muutos ja tietoturvallisuus -ohjehanke korvaa Vahti-ohjeen 2/1999 ja laajentaa sen tarkastelunäkökulmaa työryhmänä jaosto, konsulttina WM-data Oy jaostossa edustettuna HVK, KTM, UM, VM, MML, TSV Tsto, UMV, HKKK, Kaakkois-Suomen verovirasto, OY, VK, TKK muutosprosessien tunnistaminen, vaikutukset tietoturvallisuuteen, suositukset toimintamalleiksi keskeisiä muutostekijöitä sähköinen asiointi, ulkoistaminen (painopisteenä ohjeessa), organisaatioiden välinen yhteistyö ja yhteiskäyttöisyys

Muutos ja tietoturvallisuus -ohjeessa käsiteltävät asiat keskeisimmät muutostekijät ja niiden vaikutuksia muutoksen johtaminen ulkoistaminen muutostekijänä prosessien kehittäminen ja muutokset säädökset ulkoistamisen elinkaari erityiskysymyksiä malliasiakirjoja turvallisuusopimus organisaation turvaselvitys tietoturva-asioiden arviointi lisätietolähteitä tarkastuslistoja

Prosessit Prosessilla tarkoitetaan toimia, jotka tähtäävät sisäisen tai ulkoisen asiakkaan tarpeen tyydyttämiseen jotka ovat säännöllisesti toistuvia ja yleensä vakioituja

Ydinasioita tietoturvallisuus osana normaalia toimintaa kriittinen elementti muutos; kuinka turvallisuusasiat hallitaan muutostilanteessa alueellistaminen sähköisen asioinnin kehittäminen ulkoistaminen sisäisesti palvelukeskukseen ulkoiselle palvelutoimittajalle jne. muutostahan on johdettava ja sen on oltava hallinnassa

Muutosjohtaminen Muutosjohtamisella ymmärretään niitä järjestelmällisiä toimia, joilla organisaatio varautuu muutokseen ja muuttaa hallitusti omaa toimintaansa

Tietoturvallisuus - miksi kehittäminen vaikuttaa mm. toiminnan laatuun ja jatkuvuuteen välillisesti, mutta puutteet vaikuttavat välittömästi tulee kysyä, kuinka puutteet vaikuttavat laatuun tuottavuuteen asiakastyytyväisyyteen luottamukseen jne.

Ulkoistaminen ja tietoturvallisuus Ulkoistaminen on organisaation jonkin toiminnon tai toiminnon itsenäisten osien siirtämistä palvelutoimittajan hoidettavaksi Tietoturvallisuus (Vahti 4/2003) mukaan: 1) tavoitetila, jossa tiedot, tietojärjestelmät ja palvelut saavat asianmukaista suojaa siten, että niiden luottamuksellisuuteen, eheyteen ja käytettävyyteen kohdistuvat uhat eivät aiheuta merkittävää vahinkoa yhteiskunnalle ja sen jäsenille lainsäädäntö ja muut normit ja toimenpiteet, joiden avulla pyritään varmistamaan tietoturvallisuus (1) niin normaalikuin poikkeusoloissakin

Ulkoistusmalleja ja -tavoitteita resursseja (omaisuus, ihmiset) siirtyy ulkoistajalta palvelutuottajalle resurssien siirtoa ei tapahdu ulkoistus yhteisyritykselle/organisaatiolle ulkoistus perustettavaan uuteen yritykseen/organisaatioon (spin-off) ulkoistus konsernin sisällä => keskittyminen omaan ydintoimintaan, kustannussäästöt ja -hallittavuus, tarjoajan volyymit ja asiantuntemus, houkuttelevuus työnantajana jne.

Ulkoistuksen vaikutuksia tietoturvallisuuden kannalta...riippuu ratkaisevasti, minkä tyyppistä hankittava palvelu on * riippuvuus lisääntyy * vastuujakojen tulee olla määriteltyjä toiminnassa (huomioitava vastuun säilyminen ulkoistajalla; vastuuta ei voi ulkoistaa...) * vaikutuksia henkilöstöön * kansainvälistymiskehityksen vaikutukset * tietoturvallisuusosaaminen (puolin ja toisin) sekä työkalut valvontaan ja arviointiin (sopimukset, ohjelmistot, käytännöt)

Ulkoistuksen elinkaari ja tietoturvallisuus 1 Päätös 2 Suunnittelu 4 Arviointi ja sopimukset 5 Sopimukset 3 Kilpailuttaminen 6 Tuotantovaihe 7 Lopettaminen Laajuuden muutos

1. Päätös arviointi vaikutuksista mm. tietoturvallisuuteen aikaisemmat kokemukset verrokkiorganisaatiot henkilöstöasiat jne.

2. Suunnittelu ulkoistuskohteen rajaus ja riippuvuudet dokumentoinnin tarkastus (jotta osapuolet ymmärtävät asian samalla tavalla) tärkein vaihe tarjouspyynnön teko tarjouspyyntöön erillinen luku ulkoistuksen kohteen tietoturvavaatimuksista tietoturvallisuus arviointikriteerinä (painoarvo arvioitava) arvioinnista erillinen Vahti-ohje kokonaisuuden arviointi hallintajärjestelmän arviointi referenssit

3. Kilpailuttaminen julkisorganisaatioilla lainsäädäntö julkista hankinnoista säätelee > tarjouspyynnön sisällön merkitys keskeinen vuorovaikutus toimittajaehdokkaiden kanssa; tietoturvallisuuden roolin esille tuominen toimittaja-arvioinnit

4. Tarjousten arviointi ja sopimukset jo tarjouspyyntövaiheessa selvitettävä mahdollisuus saada turvallisuusasioiden hoito sopimuspohjaiseksi arvioitava myös ulkoistavan organisaation mahdollisuudet hyödyntää/toteuttaa sopimuksessa sovittavia käytänteitä turvallisuussopimusmalli!

5. Siirtymävaihe kriittinen, esim. toiminnalliset riskit henkilöriskit sopimusepäselvyydet siirron testaus siirtymävaiheen huolellinen suunnittelu on molempien osapuolten etujen mukaista

6. Tuotantovaihe ja muutokset valvonta, laatuarvioinnit, käytänteet, tietoturvallisuuteen liittyvä kriteeristö arvioinnissa (vrt. turvallisuussopimus liitteineen) auditoinnit esim. ulkoisen puolueettoman toimijan taholta ulkoistuksen hyötyjen ja ongelmien jatkuva arviointi > saadaan esille muutostarpeet (esim. ulkoistamisen laajentaminen tai supistaminen, sisällöllinen muutos palvelutuotannossa tarpeiden muuttuessa) > mikäli muutos ei ole hallittu se on tietoturvallisuuden(kin) kannalta riski muutoksia toimittajan vaihtaminen palvelusisällön muuttaminen ulkoistuksen lopettaminen

7. Lopettaminen tietoturvaongelmat lopettamistilanteessa muistuttavat edellä kuvattuja toiminnon lopettaminen, ulkoistuksen lopettaminen (haltuunotto)

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute