Kansallisarkisto SÄHKE2-AUDITOINNIT PALVELUKUVAUS. v. 1.0 (18.4.2012)



Samankaltaiset tiedostot
SÄHKE2-SOVELLUSAUDITOINNIT

SÄHKE2-SERTIFIOINTIKRITEERIT

SÄHKE2-SERTIFIOINTIKRITEERIT

SÄHKE2-SERTIFIOINTIKRITEERIT

SÄHKE2-vaatimusten mukainen hävitysesitys ja sen tietosisältö

Lahden kaupunki. Sähköiseen arkistointiin siirtyminen ja kokemuksia luvanhakuprosessista

Sähköisen arkistoinnin reunaehdot

SÄHKE2-vaatimusten mukainen hävitysesitys ja sen tietosisältö

VAPA. Sähköisen säilyttämisen palvelu [ESITYSAINEISTO]

Luonnos eams-rakenteeksi

JHS 156 suosituksen päivitys

Kansallisarkiston koulutusohjelma 2017

Kansallisarkiston koulutusohjelma 2017

Poliisihallitus Seulontaesitys ID- 1 (3) Hallintoyksikkö /2011/561 Kansallisarkisto

Potilastiedon arkistoon liittyminen 6 kk tukikokous

VALDA-tietojärjestelmän j versio 1

VAPAN KÄYTTÖÖNOTTO Pilotoinnin loppuraportti

eams-foorumi ja keskustelutilaisuus JHShankkeista

Miksi auditoidaan? Pirkko Puranen FT, Ylitarkastaja

Projektisuunnitelma: Pyhäjoen kunnan sähköisen asioinnin ja tiedonohjauksen valmistelu ja käyttöönotto

Metatiedot ja terveydenhuollon kansallinen arkisto

Paikalla on useimmiten myös laatupäällikkö. Hän antaa auditoinnista palautteen asiantuntija auditoijalle.

(päivitykset kursiivilla) LAATUTARHAN YLEISET EHDOT (AUDITOINTISÄÄNNÖT) Sirkkalehtimerkin käyttöön liittyvät sitoumukset

Sisäinen auditointi osa Oamkin ympäristöohjelmatyötä

Tietosuojavaltuutetun toimiston ja arkistolaitoksen kysely hyvän tiedonhallintatavan toteutumisesta Vastauslomake: 245, N=187, Julkaistu:

Palvelukuvaus v Alkujaan digitaalisen aineiston vastaanoton ja säilyttämisen palvelu

SUUNNITELMA JA RAPORTTI Potilastiedon arkisto -palvelun käyttöönottokoe

Tiera Sähköinen arkistointi. Palvelukuvaus. Sopimus Tiera Sähköinen arkistointi-palvelusta. Salon kaupunki Saapunut /

Asiakirjahallinnon ja arkistoalan tarjoamat työmahdollisuudet

VIRTU ja tietoturvatasot

Asiakirjallisten tietojen metatietojen tuottamisen periaatteet

Sähköiseen säilytykseen liittyvät organisaation auditoinnit

Kansallisarkiston päätökset opinnäytteiden pysyvästä säilyttämisestä

Case VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio

RONDO R8 ARKISTO - SÄHKETOIMINNALLISUUS

VALDA 1.2 käyttötapauskaaviot VVAA052

Lausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.

Tutkittavien informointi. Antti Ketola & Arja Kuula-Luumi

Sähköisten viranomaisaineistojen arkistoinnin ja säilyttämisen palvelukokonaisuus

eams- KÄYTTÖÖNOTTOSUUNNITELMAOHJE

SÄHKE- ja Moreqvaikutukset. dokumenttienhallinnan järjestelmäkehitykseen. Juha Syrjälä, Affecto Finland Oy

Seurakehittäjät Paasitorni. Tiistai Auditointikäsikirja ja uudistettu auditointiprosessi

TIEDONOHJAUSSUUNNITELMA

Asiakirjahallinnon opas organisaatiomuutostilanteisiin AL/6640/ /2009. Keskeisiä käsitteitä

Seulontaesityslomake pysyvästi sähköisessä muodossa säilytettävälle aineistolle

CAMA 2 BASE -projekti

VAPA-palvelukuvaus v. 2.2 [ ]

PÄÄTÖS VALTION AMMATILLISTEN OPPILAITOSTEN ASIAKIRJOJEN PYSYVÄ SÄILYTYS

eams-rakenne ja xml-skeema

JHS-suositusluonnos: Tiedonohjaussuunnitelman rakenne

VAPA YLEISKUVAUS ARKISTOLAITOKSEN SÄHKÖISEN SÄILYTTÄMISEN PALVELUSTA

Lausuntopyyntö julkisen hallinnon tiedonhallinnan sääntelyn kehittämistä selvittäneen työryhmän raportista

Auditointi. Teemupekka Virtanen

OLENNAISET TOIMINNALLISET VAATIMUKSET - PÄIVITETTY LUOKITUS JA JÄRJESTELMÄLOMAKE Kela toimittajayhteistyökokous 26.4.

- tukea kohdeyrityksen toimintaa ja. Edelleen paketoinnin tavoitteena on

Innofactor Dynasty Tiedonohjausjärjestelmä kokemuksia sertifioinnista ja tiedonohjausjärjestelmän käyttöönotosta

ARVI -järjestelmän ohje koulutuksen järjestäjän pääkäyttäjälle Jaakko Okkeri

JHS 191 Tiedonohjaussuunnitelman rakenne Liite 1. Metatietomalli

Potilastiedon arkisto Valmistautuminen tekniseen käyttöönottovaiheeseen Kela, Kanta-palvelut, Viimeisin versio: Kanta.

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

Tampere Ote viranhaltijapäätöksestä 1 (5) Tietohallintojohtaja

VALTIONEUVOSTON JA EDUSKUNNAN YHTEISTEN ASIAKIRJOJEN JA NIIHIN RINNASTETTAVIEN TIETOAINEISTOJEN PYSYVÄ SÄILYTYS

Näin teet liittymishakemuksen ja päivität asiakastietojasi

Syntysähköisten. Markus Merenmies / Kansallisarkisto

REKISTERI- JA TIETOKANTA-AINEISTOJEN SIIRTÄMINEN VAPA-PALVELUUN

Mikä muuttuu todentamisessa?

Sosiaalihuollon asiakastiedon arkisto Sosiaalihuollon metatietomalli Metatietoesimerkit

Auditoinnin tavoitteet ja laadunvarmistuksen arvioinnissa käytettävät kriteerit

IT2015 EKT ERITYISEHTOJA OHJELMISTOJEN TOIMITUKSISTA KETTERIEN MENETELMIEN PROJEKTEILLA LUONNOS

Yleiset toimitusehdot Asiantuntijapalvelut

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

Suomalainen urheilu loistaa Tähtiseurassa

Sähköisen arkistoinnin ja säilyttämisen palvelukokonaisuus

SOPIMUS IT- PALVELUSTA SOPIMUS NRO: MEDBIT Tilaajan yhteyshenkilö sopimusasioissa: Sosiaali- ja terveysjohtaja Juha Sandberg

SOPIMUS [...] PALVELUSTA

Tiedonsiirrot Oodista Noppaan

Liite 2 : RAFAELA -aineiston elinkaaren hallinta

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia

Auditointien toteuttaminen kudoslaitoksessa: Case Regea

Lopullinen versio, syyskuu 2010 Paikallisen ja alueellisen tason kestävää kehitystä koskeva integroitu johtamisjärjestelmä

Arkistolaitos Helsinki Pysyvästi säilytettävien asiakirjojen ja sähköisten tietoaineistojen korvaaminen mikrofilmillä

Suorin reitti Virtu-palveluihin

Tik Tietojenkäsittelyopin ohjelmatyö Tietotekniikan osasto Teknillinen korkeakoulu KÄYTTÖOHJE. LiKe Liiketoiminnan kehityksen tukiprojekti

Ohjesääntö metsäsertifioinnin alueelliselle toimikunnalle XX PEFC-ryhmäsertifiointialueelle ( alkaen)

PALVELUKUVAUS järjestelmän nimi versio x.x

Väliaikaishallinnon tiedonohjaussuunnitelma ja tehtäväluokitus projekti

Potilastiedon arkistoon liittyminen 3 kk tukikokous

Adobe -määrälisensointi

TELIA VIESTINTÄPALVELU VIP

Asianhallinnan kehittäminen Hallituksen seminaari

Tähtiseuraverkkopalvelu. Esittely ja käyttökoulutus Seurakehittäjille ja Auditoijille

Sisäinen ja ulkoinen kliininen auditointi

JHS XXX Julkisen hallinnon yhteinen tuki- ja ylläpitotehtävien TOSmalli

Viestintävirasto 1 (5) Viestintämarkkinat ja palvelut

JHS 156 Asiakirjojen ja tietojen rekisteröinti sähköisen asioinnin ja asiankäsittelyn tiedonhallinnassa

JUHTA - Julkisen hallinnon tietohallinnon neuvottelukunta

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

Viestintävirasto 1 (5) Viestintämarkkinat ja palvelut

ASIAKIRJAHALLINNON JA ARKISTOTOIMEN PERUSKURSSI

Sähke 2, TOS, TOJ ja sertifiointi

Transkriptio:

1 (9) Kansallisarkisto SÄHKE2-AUDITOINNIT PALVELUKUVAUS v. 1.0 (18.4.2012) VERSIOHISTORIA Versio Päivämäärä Tekijä Sisältö 1.0 18.4.2012 Mikko Eräkaski ensimmäinen julkaistu versio

2 (9) Sisältö: 1. Yleistä SÄHKE2-auditoinneista... 3 2. SÄHKE2-auditointien tilaaminen... 4 2.1 Valtionhallinnon organisaatiot... 4 2.2 Muut kuin valtionhallinnon organisaatiot... 4 3. SÄHKE2-sovellusauditointi... 5 3.1 Auditoinnin sisältö... 6 3.2 Auditointiin valmistautuminen... 6 3.3. Raportointi... 7 4. SÄHKE2-toiminta-auditointi... 8 4.1 Auditoinnin sisältö... 8 4.2 Auditointiin valmistautuminen... 9 4.3 Raportointi... 9

3 (9) 1. Yleistä SÄHKE2-auditoinneista SÄHKE2-normin mukaista sähköisen säilyttämisen lupaa voidaan hakea operatiiviselle tietojärjestelmälle tai säilytysjärjestelmälle. Lähtökohtaisesti lupaa haetaan aina operatiiviselle tietojärjestelmälle, jossa aineisto muodostuu. Mikäli luvan kohteena on säilytysjärjestelmä, tulee organisaatiolla olla myös operatiivinen tietojärjestelmä, jossa säilytettävä aineisto on muodostunut. SÄHKE2-mukainen lupa edellyttää aina ulkopuolisen tahon toimittamia SÄHKE2-auditointeja. Toiminta-auditointi toimitetaan organisaatiossa aina kun lupaa haetaan. Sovellusauditointi toimitetaan SÄHKE2-normin mukaiselle tietojärjestelmälle, mikäli luvan kohteena olevalla tietojärjestelmällä ei ole SÄHKE2-sertifikaattia SÄHKE2-auditointien tulee olla valmiita ennen kuin organisaatio voi hakea arkistolaitokselta sähköisen säilyttämisen lupaa. Lupahakemuksen liitteenä arkistolaitokseen on toimitettava raportit suoritetuista SÄHKE2-auditoinneista. Lisätietoja: Sähköisen säilyttämisen lupa: SÄHKE2-sertifiointi: http://www.arkist.fi/fi/palvelut/julkisen-hallinnon-saehkoeisetpalvelut/saehkoeisen-saeilyttaemisen-lupa/ http://www.arkisto.fi/fi/palvelut/julkisen-hallinnon-saehkoeisetpalvelut/saehkoeisen-saeilyttaemisen-lupa/saehke2-sertifiointi/ Yhteystiedot: Kansallisarkiston tutkimuksen ja kehittämisen vastuualue: kehittämispäällikkö Mikko Eräkaski, puh. 0503635769 kehittämispäällikkö Armi Helenius, puh. 0509110073 etunimi.sukunimi@narc.fi Valtion IT-palvelukeskus tietoturvapalvelut: Palvelujen tilaukset: ttpalvelut.vip@valtiokonttori.fi Palveluihin liittyvät kysymykset: tietoturva.vip@valtiokonttori.fi

4 (9) 2. SÄHKE2-auditointien tilaaminen Arkistolaitos ei tee SÄHKE2-auditointeja, vaan auditoinnit toimittaa aina ulkopuolinen toimija. Auditointeja suorittavan taho tulee olla puolueeton, eikä se saa olla millään tavalla osallisena auditoinnin kohteena olevan kokonaisuuden kehittämisessä tai ylläpidossa. 2.1 Valtionhallinnon organisaatiot Valtionhallinnon organisaatiot tilaavat SÄHKE2-auditoinnit aina valtion ITpalvelukeskukselta (VIP). Auditoinnin kulut maksaa työn tilannut organisaatio. Arkistolaitoksen kautta ei voi tilata auditointeja. Valtionhallinnon organisaatiolle auditoinnit ovat kiinteähintaiset: SÄHKE2-sovellusauditointi: 3720 SÄHKE2-toiminta-auditointi: 1860 2. 2 Muut kuin valtionhallinnon organisaatiot Muiden kuin valtionhallinnon organisaatioiden tulee teettää SÄHKE2-auditointi yksityisellä toimijalla. Organisaatiot voivat olla yhteydessä valtion ITpalvelukeskukseen ja tiedustella auditointeja suorittavien tahojen yhteystietoja. Valtion IT-palvelukeskuksella on lista niistä auditoijista, jotka ovat suorittaneet hyväksytysti arkistolaitoksen antaman SÄHKE2-auditointikoulutuksen. Arkistolaitos hyväksyy lähtökohtaisesti vain sen kouluttamien SÄHKE2-auditoijien raportit sähköisen säilyttämisen lupahakemusta varten. Auditoinnin kulut maksaa aina työn tilannut organisaatio ja auditoinnin hinnasta sovitaan organisaation ja auditoijan kesken. Arkistolaitoksen kautta ei voi tilata auditointeja. Auditointi on suositeltavaa tilata noin 1 2 kuukautta etukäteen. Tilaaminen: Valtion IT-palvelukeskus tietoturvapalvelut: Palvelujen tilaukset: ttpalvelut.vip@valtiokonttori.fi Palveluihin liittyvät kysymykset: tietoturva.vip@valtiokonttori.fi

5 (9) 3. SÄHKE2-sovellusauditointi Jos luvan kohteena olevalla tietojärjestelmällä on voimassaoleva SÄHKE2- sertifikaatti, ei SÄHKE2-sovellusauditointia toimiteta. SÄHKE2-sovellusauditointi voi kohdentua operatiiviseen tietojärjestelmään, jolla tarkoitetaan tietojärjestelmää, jossa asiakirjatieto syntyy, sitä käsitellään ja muokataan. Operatiivisessa tietojärjestelmässä syntyvä, muodostuva ja käsiteltävä asiakirjatieto saa eamsiin määritellyt oletusmetatietoarvot. SÄHKE2-vaatimusten mukaisesti operatiivisessa tietojärjestelmässä tulee olla myös määräajan säilytettävien asiakirjatietojen hävittämistoiminnallisuus sekä siirtotoiminnallisuus, joka on pakollinen vaatimus valtionhallinnon organisaatioille. säilytysjärjestelmään, jolla tarkoitetaan tietojärjestelmää, jossa tietoa ei enää käsitellä tai muokata, vaan sinne tallennetun tiedon käsittely on päättynyt. SÄHKE2-vaatimusten mukaisessa säilytysjärjestelmässä tulee olla myös määräajan säilytettävien asiakirjatietojen hävittämistoiminnallisuus sekä siirtotoiminnallisuus, joka on pakollinen vaatimus valtionhallinnon organisaatioille. Molemmille järjestelmätyypeille on olemassa omat kriteerit, jotka on julkaistu arkistolaitoksen verkkosivuilla. http://www.arkisto.fi/fi/palvelut/julkisen-hallinnon-saehkoeiset-palvelut/saehkoeisensaeilyttaemisen-lupa/luvan-hakeminen-saehke2-normin-mukaiseen-jaerjestelmaeaen/ HUOM! Lähtökohtaisesti lupaa haetaan aina operatiiviselle tietojärjestelmälle, jossa aineisto muodostuu. Mikäli luvan kohteena on säilytysjärjestelmä, tulee organisaatiolla olla myös operatiivinen tietojärjestelmä, jossa säilytettävä aineisto on muodostunut. eams-järjestelmälle / tiedonohjausjärjestelmälle ei toimiteta omaa SÄHKE2- sovellusauditointia, vaan tiedonohjauksen toteutuminen tarkastetaan toimintaauditoinnisssa (ks. luku 4.). Sovellusauditointia ei voida toimittaa järjestelmätoimittajan tms. tiloissa, vaan se tulee toteuttaa siinä teknisessä ympäristössä, jossa itse järjestelmän tuotantokäyttö tapahtuu. Suositeltavaa on tilata ja toimittaa SÄHKE2-sovellusauditointi ennen SÄHKE2- toiminta-auditointia.

6 (9) 3.1 Auditoinnin sisältö Sovellusauditointi keskittyy SÄHKE2-normissa esitettyjen tietojärjestelmältä vaadittavien ominaisuuksien todentamiseen. Auditoijan suorittaman auditointityön laajuus on 4 henkilötyöpäivää, joka jakautuu seuraavasti: 1 htp, esityöt: aloituskokous ja auditoija perehtyy organisaation toimittamaan aineistoon. 2 htp, auditointitilaisuus: todennetaan käytännössä, että auditointikriteeristön vaatimukset toteutuvat tietojärjestelmässä. 1 htp: loppuyhteenveto: auditoija tuottaa auditointitilaisuuden ja havaintojen pohjalta raportin, joka sisältää mahdollisen esityksen jatkotoimenpiteistä. Mikäli auditointia ei saada sovituilla auditointikerroilla toimitettua, tulee organisaation ja auditoijan sopia keskenään uusinta-auditoinnista eli uudesta auditointikerrasta. Yleensä uusinta-auditointi joudutaan toimittamaan, jos järjestelmässä ei ole kaikki toiminnallisuudet vielä valmiina katsottavaksi tai organisaation valmistautuminen auditointitilaisuuteen on ollut puutteellista. Uuteen auditointikertaan liittyvä työmäärä ja kustannukset eivät sisälly alkuperäisen auditoinnin kustannuksiin ja työmäärään, vaan niistä sovitaan aina erikseen auditoijan ja organisaation kesken. 3.2 Auditointiin valmistautuminen Auditointiprosessi alkaa kun organisaatio ja auditoija pitävät yhteisen aloituskokouksen, jossa sovitaan itse auditointitilaisuuden ajankohta ja ohjelma. Lisäksi auditoija voi antaa organisaatiolle tarkempia ohjeita auditointiin valmistautumiseksi. Aloituskokous voidaan järjestää mm. puhelinpalaverina. Organisaation tulee perehtyä sovellusauditoinnin kriteereihin ja täyttää kriteerit etukäteen itsearvioinnin tyyppisesti. Organisaation tulee toimittaa esitäytetty kriteeristö auditoijalle hyvissä ajoin ennen varsinaista auditointitilaisuutta. Auditointitilaisuudessa todennetaan auditointikriteeristössä esitettyjen vaatimusten toteutuminen tietojärjestelmässä. Tämä edellyttää, että käytössä on tuotantoversiota vastaava testiympäristö. Organisaation tulee luoda järjestelmään (testiympäristöön) riittävän monipuolista aineistoa, joilla kaikki kriteereissä esitetyt toiminnallisuudet voidaan todentaa. Testiaineiston on hyvä sisältää mm. määräajan säilytettäviä asiakirjallisen tiedon käsittelyprosesseja ja asiakirjoja salasssa pidettäviä asiakirjallisen tiedon käsittelyprosesseja ja asiakirjoja asiakirjoja, joista on tallennettu useita eri versioita asiakirjallisen tiedon käsittelyprosessi, joka sisältää asiakirjoja, joilla on eri säilytysaikoja asiakirjallisen tiedon käsittelyprosesseja, asiakirjoja ja toimenpiteitä, joiden tehtäväryhmää voidaan vaihtaa

7 (9) hävittämiskriteerit täyttäviä asiakirjallisen tiedon käsittelyprosesseja ja asiakirjoja (säilytysaika umpeutunut) siirtokriteerit täyttäviä asiakirjoja (pysyvästi säilytettäviä ja käsittelyprosessiltaan päättyneitä) Listan jokaista kohtaa varten ei tarvitse luoda erillistä asiakirjallisen tiedon käsittelyprosessia tai asiakirjaa. Testiaineiston luonti on tärkeää, jotta itse auditointitilaisuus sujuu mahdollisimman jouhevasti. Auditointitilaisuuden sujuvuuden varmistamiseksi tulisi olla mahdollisuus useampaan yhtäaikaiseen yhteyteen järjestelmään, esim. siten että sisällöllisen pääkäyttäjän / kirjaajan oikeuksilla näytetään metatietojen luomista ja muuttamista eri roolien mukaisin katselijan ja käyttäjän oikeuksin katsotaan tietojen näkyvyyttä ja muokkaamista. 3.3. Raportointi Auditoija on velvollinen tuottamaan raportin auditoinnin tuloksista kahden viikon kuluessa siitä kun itse auditointi on katsottu päätetyksi. Raportissa auditoija ei ota kantaa siihen voidaanko tietojärjestelmälle myöntää sähköisen säilyttämisen lupa, vaan sen sijaan raportissa esitetään: auditoinnin keskeiset havainnot yksityiskohtaiset puutteet ja poikkeamat auditointikriteereihin sekä organisaation mahdollinen arvio korvaavista toimenpiteistä Auditointiraportin liitteenä on aina kriteeristö, jota vasten auditointi on tehty ja siinä on auditoijan merkinnät kunkin kriteerin täyttymisestä. Auditoija toimittaa auditointiraportin aina suoraan organisaatiolle eli auditoinnin tilaajalle, ei arkistolaitokselle. Organisaatiolla on raportin saatuaan kaksi viikkoa aikaa esittää raportin sisällöstä huomautuksia auditoijalle. Mikäli huomautuksia ei tänä aikana esitetä, katsotaan organisaation hyväksyneen raportin. Auditointiraportteja tulee käsitellä kaikkien osapuolten toimesta salassa pidettävänä aineistona (suojaustaso III), koska ne sisältävät yksityiskohtaista tietoa eri tietojärjestelmistä ja niiden tietoturva- ym. ratkaisuista. Organisaatio toimittaa auditointiraportin sähköisen säilyttämisen lupahakemuksen liitteenä arkistolaitokseen.

8 (9) 4. SÄHKE2-toiminta-auditointi SÄHKE2-normin mukaisen sähköisen säilyttämisen lupaprosessin osana suoritetaan aina toiminta-auditointi lupaa hakevalle organisaatiolle. Toiminta-auditoinnissa tarkastellaan miten organisaation toiminnassa toteutuvat SÄHKE2-vaatimukset. Auditoinnissa selvitetään organisaation eamsin hyödyntämistä metatietojen lähteenä, käsittelyvaiheiden määrittelyä, käyttöoikeuspolitiikkaa, asiakirjatiedon käsittelyä, metatietojen tuottamista ja hallinnointia sekä asiakirjatiedon hävittämistä tietojärjestelmässä. Keskeinen vaatimus kaikilla osa-alueilla on, että organisaatiolla on sovitut käytännöt ja määritellyt vastuut eri toimintoja ja tilanteita varten. Auditoija selvittää näiden käytäntöjen olemassaoloa suullisin haastatteluin ja dokumentaatioon tutustuen. Lisäksi toiminta-auditoinnissa todennetaan määrättyjen vaatimusten toteutuminen luvan kohteena olevasta tietojärjestelmästä. Toiminta-auditointia varten on olemassa vain yksi kriteeristö ja se on sama kaikille SÄHKE2-mukaisille järjestelmille. Kriteerit on julkaistu arkistolaitoksen verkkosivuilla: http://www.arkisto.fi/fi/palvelut/julkisen-hallinnon-saehkoeiset-palvelut/saehkoeisensaeilyttaemisen-lupa/luvan-hakeminen-saehke2-normin-mukaiseen-jaerjestelmaeaen/ 4.1 Auditoinnin sisältö Auditoijan suorittaman auditointityön laajuus on 2 henkilötyöpäivää, joka jakautuu seuraavasti: 0,5 htp esityöt: aloituskokous ja auditoija tutustuu organisaation toimittamaan aineistoon. 1 htp auditointitilaisuus: todennetaan käytännössä auditointikriteeristön vaatimusten toteutuminen dokumentaatioon tutustuen, haastatteluin ja tietojärjestelmästä. 0,5 htp loppuyhteenveto: auditoija tuottaa auditointitilaisuuden pohjalta raportin, joka sisältää mahdollisen esityksen jatkotoimenpiteiksi. Mikäli auditointia ei saada sovitulla auditointikerralla toimitettua, tulee organisaation ja auditoijan sopia keskenään uusinta-auditoinnista eli uudesta auditointikerrasta. Yleensä uusinta-auditointi joudutaan toimittamaan, jos organisaatio ei ole valmistautunut auditointiin riittävän hyvin tai läheskään kaikki kriteereissä esitetyistä asioista ei ole vielä kunnossa. Uuteen auditointikertaan liittyvä työmäärä ja kustannukset eivät sisälly alkuperäisen auditoinnin kustannuksiin ja/tai työmäärään, vaan niistä sovitaan aina auditoijan ja organisaation kesken.

9 (9) 4.2 Auditointiin valmistautuminen Auditointiprosessi alkaa kun organisaatio ja auditoija pitävät yhteisen aloituskokouksen, jossa sovitaan itse auditointitilaisuuden ajankohdasta ja ohjelmasta. Lisäksi auditoija voi antaa organisaatiolle tarkempia ohjeita auditointiin valmistautumiseksi. Aloituskokous voidaan järjestää mm. puhelinpalaverina. Organisaation tulee perehtyä toiminta-auditoinnin kriteereihin ja täyttää kriteerit etukäteen itsearvioinnin tyyppisesti. Lisäksi organisaation tulee järjestää auditoinnin kannalta kaikki relevantti dokumentaatio valmiiksi. Auditoijalle on hyvä toimittaa etukäteen mm. (sovitaan aina tapauskohtaisesti auditoijan kanssa): Raportti organisaatiossa suoritetusta tietoturvatason arvioinnista Näyte / osa organisaation eamsista Organisaation asiakirjahallinnon ohje / käsikirja (soveltuvin osin). Toiminta-auditointiin kuuluu vain yksi auditointitilaisuus, minkä vuoksi on tärkeää, että organisaatio valmistautuu tilaisuuteen huolella ja varmistaa kaikkien keskeisten henkilöiden osallistumisen auditointitilaisuuteen (mm. järjestelmän pääkäyttäjä, tietoturvasta vastaava henkilö, eamsista vastaava tms.). Erilaisen materiaalin jälkikäteinen tutkiminen tai yksittäisen asiantuntijan jälkikäteinen haastattelu ei kuulu auditoinnin normaalin työmäärän piirin, vaan voi johtaa uusinta-auditointiin. Auditointitilaisuudessa organisaation on valmistauduttava näyttämään tarvittavaa dokumentaatiota auditoijalle sekä esittämään tiettyjen toiminnallisuuksien toteutuminen tietojärjestelmästä. 4.3 Raportointi Auditoija on velvollinen tuottamaan raportin auditoinnin tuloksista kahden viikon kuluessa siitä kun itse auditointi on katsottu päätetyksi. Raportissa auditoija ei ota kantaa siihen voidaanko sähköisen säilyttämisen lupa myöntää. Sen sijaan raportissa esitetään: auditoinnin keskeiset havainnot yksityiskohtaiset puutteet ja poikkeamat auditointikriteereihin sekä organisaation mahdollinen arvio korvaavista toimenpiteistä Auditointiraportin liitteenä on aina kirteeristö, jota vasten auditointi on tehty ja siinä on auditoijan merkinnät kunkin kriteerin täyttymisestä. Auditoija toimittaa auditointiraportin aina suoraan organisaatiolle eli auditoinnin tilaajalle, ei arkistolaitokselle. Organisaatiolla on raportin saatuaan kaksi viikkoa aikaa esittää raportin sisällöstä huomautus auditoijalle. Mikäli huomautuksia ei tänä aikana esitetä, katsotaan organisaation hyväksyneen raportin. Auditointiraportteja tulee käsitellä kaikkien osapuolten toimesta salassa pidettävänä (suojaustaso III) aineistona, koska ne sisältävät yksityiskohtaista tietoa eri tietojärjestelmistä ja niiden tietoturva- ym. ratkaisuista. Organisaatio toimittaa auditointiraportin sähköisen säilyttämisen lupahakemuksen liitteenä arkistolaitokseen.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute