Ulkoistamisen hallittu prosessi Veli-Pekka Kuparinen valmiuspäällikkö
Muutos ja tietoturvallisuus -ohje Korvaa Vahti-ohjeen 2/1999 ja laajentaa sen tarkastelunäkökulmaa Työryhmänä jaosto, konsulttina WM-data Oy Jaostossa edustettuna HVK, KTM, UM, VM, MML, TSV Tsto, UMV, HKKK, Kaakkois-Suomen verovirasto, OY, VK, TKK Muutosprosessien tunnistaminen, vaikutukset tietoturvallisuuteen, suositukset toimintamalleiksi Keskeisiä muutostekijöitä sähköinen asiointi, ulkoistaminen (painopisteenä ohjeessa), organisaatioiden välinen yhteistyö ja yhteiskäyttöisyys
Muutos ja tietoturvallisuus -ohjeessa käsiteltävät asiat keskeisimmät muutostekijät ja niiden vaikutuksia muutoksen johtaminen ulkoistaminen muutostekijänä prosessien kehittäminen ja muutokset säädökset ulkoistamisen elinkaari erityiskysymyksiä malliasiakirjoja turvallisuussopimus organisaation turvaselvitys turva-asioiden arviointi lisätietolähteitä tarkastuslistoja
Prosessit Prosessilla tarkoitetaan toimia, jotka tähtäävät sisäisen tai ulkoisen asiakkaan tarpeen tyydyttämiseen ja jotka ovat säännöllisesti toistuvia ja yleensä vakioituja
Ydinasioita Tietoturvallisuus osana normaalia toimintaa Kriittinen elementti on muutos; kuinka turvallisuusasiat hallitaan muutostilanteessa alueellistaminen sähköisen asioinnin kehittäminen ulkoistaminen sisäisesti palvelukeskukseen ulkoiselle palvelutoimittajalle jne. Muutosta on johdettava ja sen on oltava hallinnassa
Ulkoistaminen ja tietoturvallisuus Ulkoistaminen on organisaation jonkin toiminnon tai toiminnon itsenäisten osien siirtämistä palvelutoimittajan hoidettavaksi Tietoturvallisuus (Vahti 4/2003 mukaan) on: 1) tavoitetila, jossa tiedot, tietojärjestelmät ja palvelut saavat asianmukaista suojaa siten, että niiden luottamuksellisuuteen, eheyteen ja käytettävyyteen kohdistuvat uhat eivät aiheuta merkittävää vahinkoa yhteiskunnalle ja sen jäsenille lainsäädäntö ja muut normit ja toimenpiteet, joiden avulla pyritään varmistamaan tietoturvallisuus (1) niin normaalikuin poikkeusoloissakin
Ulkoistusmalleja ja -tavoitteita Resursseja (omaisuus, ihmiset) siirtyy ulkoistajalta palvelutuottajalle Resurssien siirtoa ei tapahdu Ulkoistus yhteisyritykselle/organisaatiolle Ulkoistus perustettavaan uuteen yritykseen/organisaatioon (spin-off) Ulkoistus konsernin sisällä keskittyminen omaan ydintoimintaan, kustannussäästöt ja hallittavuus, tarjoajan volyymit ja asiantuntemus, houkuttelevuus työnantajana jne.
Ulkoistuksen vaikutuksia tietoturvallisuuden kannalta Riippuu ratkaisevasti siitä, minkä tyyppistä hankittava palvelu on riippuvuus lisääntyy vastuujakojen tulee olla määriteltyjä toiminnassa (huomioitava vastuun säilyminen ulkoistajalla; vastuuta ei voi ulkoistaa...) vaikutuksia henkilöstöön kansainvälistymiskehityksen vaikutukset tietoturvallisuusosaaminen (puolin ja toisin) sekä työkalut valvontaan ja arviointiin (sopimukset, ohjelmistot, käytännöt)
Ulkoistuksen elinkaari ja tietoturvallisuus 1 Päätös 2 Suunnittelu 3 Kilpailuttaminen 4 Arviointi ja sopimukset 5 Sopimukset 6 Tuotantovaihe 7 Lopettaminen Laajuuden muutos
1. Päätös Arviointi vaikutuksista mm. tietoturvallisuuteen aikaisemmat kokemukset verrokkiorganisaatiot henkilöstöasiat jne.
2. Suunnittelu Ulkoistuskohteen rajaus ja riippuvuudet Dokumentoinnin tarkastus (jotta osapuolet ymmärtävät asian samalla tavalla) Tärkein vaihe tarjouspyynnön teko tarjouspyyntöön erillinen luku ulkoistuksen kohteen tietoturvavaatimuksista tietoturvallisuus arviointikriteerinä (painoarvo arvioitava) arvioinnista erillinen Vahti-ohje kokonaisuuden arviointi hallintajärjestelmän arviointi referenssit
3. Kilpailuttaminen Julkisorganisaatioilla lainsäädäntö julkista hankinnoista säätelee tarjouspyynnön sisällön merkitys keskeinen Vuorovaikutus toimittajaehdokkaiden kanssa; tietoturvallisuuden roolin esille tuominen Toimittaja-arvioinnit
4. Tarjousten arviointi ja sopimukset Jo tarjouspyyntövaiheessa selvitettävä mahdollisuus saada turvallisuusasioiden hoito sopimuspohjaiseksi Arvioitava myös ulkoistavan organisaation mahdollisuudet hyödyntää/toteuttaa sopimuksessa sovittavia käytänteitä Turvallisuussopimusmalli!
5. Siirtymävaihe Kriittinen, esim. toiminnalliset riskit henkilöriskit sopimusepäselvyydet Siirron testaus Siirtymävaiheen huolellinen suunnittelu on molempien osapuolten etujen mukaista
6. Tuotantovaihe ja muutokset Valvonta, laatuarvioinnit, käytänteet, tietoturvallisuuteen liittyvä kriteeristö arvioinnissa (vrt. turvallisuussopimus liitteineen) Auditoinnit esim. ulkoisen puolueettoman toimijan taholta Ulkoistuksen hyötyjen ja ongelmien jatkuva arviointi saadaan esille muutostarpeet (esim. ulkoistamisen laajentaminen tai supistaminen, sisällöllinen muutos palvelutuotannossa tarpeiden muuttuessa) mikäli muutos ei ole hallittu se on tietoturvallisuuden(kin) kannalta riski Muutoksia toimittajan vaihtaminen palvelusisällön muuttaminen ulkoistuksen lopettaminen
7. Lopettaminen Tietoturvaongelmat lopettamistilanteessa muistuttavat edellä kuvattuja Toiminnon lopettaminen, ulkoistuksen lopettaminen (haltuunotto)