Tietoturvallisuuden hyvä hallinta. Pääjohtaja, dosentti, OTT Tuomas Pöysti/VTV

Samankaltaiset tiedostot
Valtiontalouden tarkastusvirasto vastuullistaa hyvään tietojohtamiseen, tietoturvallisuuteen sekä tietoa koskevien oikeuksien toteuttamiseen

KANTAAKO UUDISTUVA TIETOSUOJADIREKTIIVI 2020-LUVULLE?

Laatua ja tehoa toimintaan

Standardit tietoturvan arviointimenetelmät

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

TIETOTILINPÄÄTÖS TILINTARKASTAJAN SILMIN. Ylijohtaja Marjatta Kimmonen VTV

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Julkisen tietojohtamisen kehittäminen ja sektoritutkimus. Pääjohtaja, dosentti, OTT Tuomas Pöysti/VTV

Ulkoisen ja sisäisen tarkastuksen toimivaltasuhteet ja yhteistyö. Pääjohtaja Tuomas Pöysti/VTV

Maakuntauudistus ja VTV:n tarkastustehtävä

Sähköi sen pal l tietototurvatason arviointi

Terveydenhuollon Atk-päivät 2011 Sibeliustalo, Lahti. Keskiviikko Sessio 6: Tietosuoja ja varmennepalvelut

Näkökulmia julkisen sisäisen valvonnan ja riskienhallinnan tilaan

Kohti Suomi strategiaa. Pääjohtaja, OTT/Tuomas Pöysti

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Innovatiivinen toiminnan kehittäminen ja oikeat hankintamenettelyt. Pääjohtaja, OTT Tuomas Pöysti/VTV

Kertomusluonnoksesta annetut lausunnot 20/2018 Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus 263/54/2017

Eläketurvakeskuksen tietosuojapolitiikka

Pilvipalveluiden arvioinnin haasteet

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Tietohallinnon selkeät rakenteet ja vastuut. Pääjohtaja, OTT Tuomas Pöysti/VTV

Tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Tarkastus- ja arviointitoimijoiden roolit ja tehtävät maakuntakonsernissa sekä sisäisen valvonnan järjestäminen

Tietoturvavastuut Tampereen yliopistossa

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

IT-foorumi Tietosuojapäivä Eduskunnan Pikkuparlamentin Auditorio. Tietotilinpäätös. Reijo Aarnio tietosuojavaltuutettu

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Valtiontalouden tarkastusvirasto: sosiaali- ja terveyssektorin tarkastaminen. Tytti Yli-Viikari Pääjohtaja

Yritysturvallisuuden johtamisen arviointi

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Kaikki VTV:n tarkastukset liittyvät riskienhallintaan ja tukevat hyvää hallintoa

GDPR Tietosuoja-asetus

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

Viestintäviraston tietoturvapolitiikka

Tarkastus- ja arviointitoimijoiden roolit ja tehtävät maakuntakonsernissa sekä sisäisen valvonnan järjestäminen

Sopimusoikeus ja tietotekniikka. IT-sopimukset. Sopimuksesta yleistä. Mitä ovat IT-sopimukset. Suomessa yleiset sopimusehdot: IT2000

Tietoturvapolitiikka

Vastausten ja tulosten luotettavuus. 241 vastausta noin 10 %:n vastausprosentti tyypillinen

TIETOTURVAPOLITIIKKA

Yritysturvallisuuden johtamisen arviointi ja hallintamalli

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

Sovelto Oyj JULKINEN

Yritysturvallisuuden johtamisen arviointi

Tietohallinnon monet kasvot hallinnon näkökulma

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

VALTIONTALOUDEN TARKASTUSVIRASTO

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

RAKSAKYMPPI käytännöksi

EU:n tietosuoja-asetus ja tieteellinen tutkimus

Tietoturvapolitiikka Porvoon Kaupunki

Julkinen tietojohtaminen tulee Suomi strategian toteutusvälineeksi. Pääjohtaja, dosentti, OTT Tuomas Pöysti/VTV

Valtiovarain controller toiminto riskienhallinnan kehittäjänä Esko Mustonen

Tietoturvallisuuden johtaminen

Sisäinen tarkastus, sisäinen valvonta ja riskienhallinta. Valtuustoseminaari

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

JHS 179 Kokonaisarkkitehtuurin suunnittelu ja kehittäminen Liite 4. Soveltamisohje perustason kuvauksien tuottamiseen

Keski-Pohjanmaan erikoissairaanhoito- ja peruspalvelukuntayhtymän sisäisen valvonnan ja riskienhallinnan perusteet

T Yritysturvallisuuden

T Henkilöturvallisuus ja fyysinen turvallisuus, k-04

VIRTU ja tietoturvatasot

Laki yksityisyyden suojasta työelämässä

Kohti uudistuvaa ja innovatiivista julkista palvelua - mikä rooli hyvän hallinnon ja hallinnan etiikalle ja sisäiselle valvonnalle?

Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Tietoturvakonsulttina työskentely KPMG:llä

Standardien PCI DSS 3.0 ja Katakri II vertailu

Julkishallinnon johtaminen murroksessa

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

itsmf Finland Conference 2016 Focus Markus Leinonen COBIT ja governance

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Tietotilinpäätös tietosuojan dokumentoinnissa Parhaat käytännöt: tietotilinpäätösmalli

Kunnallisen toiminnan periaatteet, määritelty ja toimitaanko niiden mukaisesti? 3 strategialähtöiset

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Consultor Finland Oy. Paasitorni / Markus Andersson Toimitusjohtaja

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Haminan tietosuojapolitiikka

TIETOTURVAPOLITIIKKA

LAUSUNTO SELVITYSMIEHEN RAPORTISTA TILINTARKASTAJIEN VALVONNAN YHTE- NÄISTÄMISESTÄ

TIETOSUOJASELOSTE Tilhilän palvelutalo Vuokrakiinteistöt

Tilintarkastuksen ja arvioinnin symposium

MITÄ TIETOSUOJA TARKOITTAA?

Web-seminaari

Tietoturva Kehityksen este vai varmistaja?

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

SISÄLLYS ESIPUHE JOHDANTO HYVÄÄN JA TEHOKKAASEEN JOHTAMIS- JA HALLINTOJÄRJESTELMÄÄN...11

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Virtu tietoturvallisuus. Virtu seminaari

VT Mirjam Araneva Lastensuojelun perhehoidon päivät Lastensuojelun perhehoito julkisena hallintotehtävänä

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

HALLINTOSÄÄNTÖ, TARKASTUSLAUTAKUNNAN OSUUDET. 2 luku Toimielinorganisaatio. 9 Tarkastuslautakunta

Tietosuojavaltuutetun toimiston tietoisku

Transkriptio:

Tietoturvallisuuden hyvä hallinta Pääjohtaja, dosentti, OTT Tuomas Pöysti/VTV 21.9.2010

Valtiontalouden tarkastusviraston näkökulma Valtiontalouden tarkastusvirasto on perustuslaissa säädetty riippumaton valvontaviranomainen (perustuslaissa säädetyt valvontaviranomaiset ovat eduskunnan oikeusasiamies, valtioneuvoston oikeuskansleri ja VTV) Ylin kansallinen ulkoisen tarkastuksen viranomainen sekä vaali ja puoluerahoituksen laillisuusvalvoja Valtion ulkoinen konsernitilintarkastaja ja ulkoinen tilintarkastaja Suorittaa myös ulkoista laillisuustarkastusta ja tuloksellisuustarkastusta Ei ole sisäinen tarkastus eikä siten tee sisäisiä tietoturva auditointeja Arvioi ulkoisena tarkastajana yleensä informaatiohallintoa ja ICTtoimintaa sekä sen osana myös tietoturvallisuuden hallintajärjestelmää ICT järjestelmätarkastus ja sen osana tietoturvallisuuden katsominen informaatiohallinnon ulkoinen tarkastuskokonaisuus VTV:ssa perusoikeuksien toteutuminen hyvä hallinto ja sisäinen valvonta projektienhallinta ja arkkitehtuurit toiminnan tuloksellisuus ja laillisuus 2

Tietoturvallisuus on: perusoikeuksien taustalla vaikuttava yhteiskuntaperiaate ja moraalinen ja eettinen periaate (meta perusoikeus) perusoikeusvelvoite olennainen osa hyvää hallintoa verkkoyhteiskunnan ja informaatiohallinnon oloissa yrityksen kilpailukykytekijä luo luotettavuutta esim. valtionhallinnon tietoturvatasojen mukaista tasoa tullaan vaatimaan myös kumppaneilta osa yrityksen yhteiskuntavastuuta on rakenne tiedon tiellä, joka on normeilla vahvasti päällystetty ja määritelty 3

Tietoturvallisuuden erityispiirteitä informaatiohallinnossa ja verkkoyhteiskunnassa Tietoturvallisuus riippuu arkkitehtuureista, johtamisesta ja sen osaamisesta, osaamisesta ja ihmisistä tietoturvallisuus edellyttää sen sisällyttämistä arkkitehtuureihin ja järjestelmiin Vastapuoliriskit kumuloituvat verkossa => uusia systeemiriskejä Yksittäiset riskit voivat myös kumuloitua systeemiriskeiksi tai niihin verrattaviksi riskeiksi yksittäisten teknologioiden ja sovellusten turvallisuutta arvioitava myös tästä näkökulmasta Julkinen hallinto on yleensä yhteiskunnan viimekätinen turvaaja 4

Arkkitehtuurit ovat tietoturvallisuuden hallintakeino Perusoikeusvelvoitteinen hallinta: yksilön integriteetti ja oikeuksien toteutuminen! Verkkoarkkitehtuuri ja verkkoinfra Abstraktiotaso Kokonaisarkkitehtuuri Toimintaarkkitehtuuri Tietoarkkitehtuuri Teknologia arkkitehtuuri Järjestelmät Sovellukset ICT & järjestelmäarkkitehtuuri Aika 5

Tietoturvallisuuden hyvä hallinta edellyttää oikeaa asennetta Tietoturvallisuus on asenne johtamiseen tämä on usein tietoturvallisuuden hyvän hallinnan ongelma Tietoturvallisuus on huolellisuutta ja osaamista työssä osaamisen johtaminen ja kehittäminen eettiset toimintasäännöstöt Tietoturvallisuus on hyvää henkilöstöpolitiikkaa erityisesti sosiaalisten verkostojen ja sosiaalisen median aikakaudella hyvää henkilöstöpolitiikkaa koskevat velvoitteet tietoturvallisuutta koskevassa lainsäädännössä erityisesti sähköisen viestinnän tietosuojalaki ja laki yksityiselämän suojasta työelämässä eettiset toimintasäännöstöt työpaikalla laatu ja toimintakäsikirjat ovat myös tietoturvallisuuden toteuttamisen tärkeitä välineitä 6

Tietoturvallisuuslainsäädäntöä on paljon mutta se ei ole selkeää eikä huomioi eräitä keskeisiä riskejä Identtiteettivarkaudet Yhdysvalloissa yksi yleisimmistä seurauksiltaan vakavan rikollisuuden muodoista Identiteettivarkauksien yleistyminen kehitystrendi myös Suomessa Identiteettivarkaudessa yleensä toteutuu jokin rikos Suomessa mutta identiteettivarkautta ei sellaisenaan ole erikseen kriminalisoitu ei ole suhtauduttu kovin vakavasti identiteettivarkaudet mahdollistaviin henkilötietolain rikkomisiin Suomen yleinen lähestymistapa huolimattomuuteen ja puutteisiin hyvän tietojenkäsittelytavan toteuttamisessa ja sen rikkomisten sanktioinnissa ei hyvin vastaa Euroopan ihmisoikeussopimukseen ja ihmisoikeustuomioistuimen käytäntöön perustuvia periaatteita yksilön suojelusta Suomessa ei ole yleistä tietoturvallisuuslakia = > toteutuuko tietoturvallisuuden hyvä hallinta lainsäädännön tasolla? 7

Tietoturvallisuuden hyvää hallintajärjestelmää edellytetään lainsäädännössä Henkilötietolaki koko tiedon tien ja elinkaaren kattavat suunnittelu ja toimeenpanovelvoitteet Julkisuuslaki, erityisesti JulkL 18 hyvästä tiedonhallintatavasta Valtioneuvoston asetus valtionhallinnon tietoturvallisuudesta 681/2010, valtionhallinnon tietoturvatasot Tietoturvallisuusasetuksen 6 koko tiedon tien kattava hallintajärjestelmä Sähköisen viestinnän tietosuojalaki asianmukaisten tietoturvallisuustoimenpiteiden edellyttäminen käyttöpolitiikat ja yrityssalaisuuksien kartoitus, pääsykontrollit ja siirtäminen Lainsäädäntö edellyttää yleensä järjestelmällistä ja ajantasaista tietoturvallisuuden hallintajärjestelmää Asianmukaisesti toteutettu ISO standardointi ja sen edellyttämä taso yleensä täyttää hallintajärjestelmää koskevat vaatimukset 8

Tietoturvallisuuden hallintajärjestelmä, esim. ISO 27001. Prosessilähtökohta: suunnittele toteuta tarkista toimi! (Plan Do Check Act, PDCA malli) Integrointi yleiseen riskienhallintaan, sisäiseen valvontaan ja laatujärjestelmään Dokumentoitu ja jatkuvasti yllä pidettävä tietoturvallisuuden ja ICTturvallisuuden hallintajärjestelmä vastuututukset, tietoturvallisuuspolitiikka, tietosuojapolitiikka ja tietojärjestelmäselosteet Hallintajärjestelmän luominen ja hallinta ja kontrollitavoitteet riskien kartoituksen ja analyysin perusteella Dokumentoitu kannanotto riskeihin ja soveltamisohjeet 9

Tietoturvallisuuden hallintajärjestelmä Hallintajärjestelmän käytännön operointi: jatkuvuussuunnitelmat ja muut toimet, tietoturvatyö Hallintajärjestelmän jatkuva seuranta ja arviointi sekä päivittäminen Johdon vastuu Asianmukaiset resurssit ja resurssien hallinta Tietoturvallisuusauditoinnit Johdon suorittama hallintajärjestelmän arviointi ja kehittäminen 10

Tietoturvallisuuden hallintajärjestelmän osista tarkemmin (esim. ISO 27002,. pohjalta) Riskien arviointi ja riskeihin vastaaminen Tietoturvallisuustyön ja tietoturvallisuuden hallinnan organisointi ja hallintamenettelyt Tietopääoman hallinta osana tase ja voimavarahallintaa Henkilöstöturvallisuus Fyysinen ja toimitilaturvallisuus Viestintäturvallisuus ja toimintojen hallinta Aineistoihin ja järjestelmiin pääsyä koskevat kontrollit 11

Tietoturvallisuuden hallintajärjestelmän osat (jatkoa) Järjestelmien kehitys, hankinta ja ylläpito Tietoturvallisuustapahtumien seuranta ja hallinta Toiminnan jatkuvuuden turvaaminen Lainsäädännön ja toiminnan vaatimustenmukaisuuden hallinta (compliance) ja sen varmistaminen => tietoturvallisuuden vieminen osaksi kunkin organisaation omaa toimintaa 12

Tietoturvallisuussopimukset Tärkeä osa tietoturvallisuuden hallintaa Henkilötietolainsäädäntö edellyttää ulkoistettaessa tietojen käsittelyä Salassapitosopimus Varsinaiset tietoturvallisuuslausekkeet sopimuksissa Valtion IT sopimusehdoissa avaus mutta ei nykytilan tarpeisiin nähden riittävästi Ulkoistus ja kumppanuustilanteissa on sitoutettava sopimuksilla tietyn tietoturvallisuustason noudattamiseen Tietoturvallisuuden auditointointia koskevat sopimukset Auditointimahdollisuus olisi sisällytettävä ulkoistusta koskeviin sopimuksiin 13

Tietoturvallisuusauditoinnit Johdon jatkuva seuranta ja itsearviointi on olennainen osa tietoturvallisuuden hyvää hallintaa Tietoturvallisuuden auditoinnit ovat hyödyllinen väline johdolle kuuluvassa seurannassa ja arvioinnissa kun auditoinnit tehdään asiantuntevalla tavalla ja riittävästi tietoturvallisuuden auditoinnit on hyvä nähdä laajemmassa viitekehyksessä osana yleistä riskienhallintaa ja turvallisuusjohtamista ks. Kansallinen turvallisuuden auditointikriteeristö Katakri Suositeltava säännöllisiä auditointeja Auditoinnit tehtävä objektiivisesti ja riittävillä resursseilla ja asiantuntemuksella kv standardien mukainen toimintamalli suositeltavin, ks. esim. ISO 27006 tai vastaava kansainvälinen suositus Tietoturvallisuusauditointien lisäksi olisi suositeltavaa, että sisäiset tarkastukset tekisivät sisäisen tarkastuksen projektien ja niiden riskien hallintaan järjestelmä ja kehitysprojektien aikana sekä arvioisi auditointien tuottaman tiedon hyödyntämistä 14

Tietotilinpäätös ja tietosuojapolitiikka kuuluvat tietoturvallisuuden hyvään hallintaan Tietotilinpäätös auttaa kokoamaan keskeiset tietopääomaa ja sen hallintaa koskevat tiedot tietotilinpäätöksestä ks. VTV:n tilin ja laillisuustarkastuksen ylijohtajan Marjatta Kimmosen esitelmä VTV:n ja TSV:n ITfoorumissa 28.1.2010 www.vtv.fi > puheet Tietotilinpäätös on myös tietoturvallisuuden hoitoa koskeva yhteiskuntavastuuraportti Tietosuojapolitiikka dokumentit voidaan liittää osaksi tietoturvallisuuden hallintajärjestelmää Organisaation laatu /toimintakäsikirja on laatujärjestelmän piirissa olevissa organisaatioissa kokonaisuus, johon tietoturvallisuuden hallinnan vaatimukset tulisi linkittää 15

Tietoturvallisuuden hyvä hallinta Tietoturvallisuuden hyvä hallinta on tulevaisuuden menestystekijöitä Tietoturvallisuuden hyvä hallinta on korostuneesti hyvän hallinnon ja hallinnan tärkeä osa 16

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute