Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa



Samankaltaiset tiedostot
Riskit hallintaan ISO 31000

Miten näkökulmat ovat syventyneet ISO ja välillä? Lassi Väisänen

Neulamäen paloasema, lautakunnan huone, Volttikatu 1a, Kuopio

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Riski = epävarmuuden vaikutus tavoitteisiin. Valtionhallinnossa = epävarmuuden vaikutus lakisääteisten tehtävien suorittamiseen ja tavoitteisiin

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Riskienhallinta sosiaali- ja terveydenhuollon toimintayksiköissä

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Riskienhallintamalli. ja kuvaus riskienhallinnan kehittämisestä keväällä Inka Tikkanen-Pietikäinen

Riskienhallinta- ja turvallisuuspolitiikka

Case-esimerkki: Miten Valtori hallitsee riskejä? Tommi Simula Riskienhallintapäällikkö

Espoon kaupunkikonsernin tietoturvapolitiikka

Kooste riskienhallinnan valmistelusta

SFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen

Potilasturvallisuus organisaatiomuutoksissa Ermo Haavisto Johtajaylilääkäri Satakunnan sairaanhoitopiiri

SISÄLTÖ. 1 RISKIENHALLINTA Yleistä Riskienhallinta Riskienhallinnan tehtävät ja vastuut Riskienarviointi...

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Pro Laadunhallinta. Standardit

Case VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

OULUNKAAREN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Riskienhallinta Maanmittauslaitoksessa mitä pitkäaikainen kehittäminen on opettanut?

Espoon kaupunki Pöytäkirja 96. Valtuusto Sivu 1 / Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

Image size: 7,94 cm x 25,4 cm. SKTY:N SYYSPÄIVÄT , Lahti RISKIENHALLINTA. Eeva Rantanen Ramboll CM Oy

Kuntakonsernin riskienhallinnan arviointi - kommenttipuheenvuoro Tampere Talo, Tilintarkastuksen ja arvioinnin symposium

Aloite Onko asioiden esittämistapa riittävän selkeä ja kieleltään ymmärrettävä?

Mylab Projektitoiminnan kehittäminen. PM Club Tampere

Riski tarkoittaa epävarmuuden vaikutusta tavoitteisiin, poikkeamaa odotetusta. Vaikutus voi olla myönteinen tai kielteinen odotettuun verrattuna.

Varautuva, turvallinen opiskelu- ja työpaikka -reaktiivisesta kohti proaktiivista koulua

Toivakan kunnan sisäisen valvonnan ja kokonaisvaltaisen riskienhallinnan perusteet

Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet

VAHTI-riskienhallintaohje. teoriasta käytäntöön

Turvallinen ja kriisinkestävä Suomi yhteistyössä. Pelastustoimen strategia 2025

KEMIJÄRVEN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Sisäisen valvonnan ja riskienhallinnan perusteet Hyväksytty: kaupunginvaltuusto xx.xx.2014 xx

Turvallinen ja kriisinkestävä Suomi Pelastustoimen strategia 2025

Johda myös riskejä riskienhallinta mahdollistaa #onnistuminen #menestyminen - seminaari

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Tietoturvapolitiikka

Keski-Pohjanmaan erikoissairaanhoito- ja peruspalvelukuntayhtymän sisäisen valvonnan ja riskienhallinnan perusteet

Tiedätkö, olet oman elämäsi riskienhallintapäällikkö! Miten sovellat riskienhallintaa omassa työssäsi? Pyry Heikkinen

Muutoksen hallittu johtaminen ja osaamisen varmistaminen

Riskienhallintapolitiikka. Ohje 1 (11) 3/2017

Vihdin kunnan tietoturvapolitiikka

Sisäisen tarkastuksen ohje

Turvallinen ja kriisinkestävä Suomi yhteistyössä. Pelastustoimen strategia 2025

VAHTIn riskien arvioinnin ja hallinnan ohjeen sekä prosessin uudistaminen - esittely

Ajankohtaista potilasturvallisuudesta

Sisäinen valvonta ja riskienhallinta. Luottamushenkilöiden perehdytystilaisuus

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

JHS-järjestelmä ja avoimet teknologiat. Tommi Karttaavi

Turvallisuudesta kilpailuetua. Mika Susi Elinkeinoelämän keskusliitto EK Turvallisuus 2.0 valtakunnallinen turvallisuusseminaari 24.1.

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia

Sisäisen valvonnan ja riskienhallinnan perusteet

SIILINJÄRVEN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

HAVAINTOJA PARHAISTA KÄYTÄNNÖISTÄ. Harri Vilander, Nixu Oy

Kyberturvallisuus kiinteistöautomaatiossa

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA

Liite/Kvalt , 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Isonkyrön kunta

Laadunvarmistus julkishallinnon ohjelmistoprojekteissa Antti Sinisalo

Miten kuvaat ja kehität organisaation kokonaisarkkitehtuuria?

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

ABB Drives and Controls, Koneenrakentajan ja laitetoimittajan yhteistoiminta toiminnallisen turvallisuuden varmistamisessa

EU:n yleinen tietosuoja-asetus (GDPR) ja sen toimeenpano Tampereen kaupungilla

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö

Markus Ukkola TEM. Kokonaisratkaisujen innovatiivinen hankinta

Viestintä häiriötilanteissa Anna-Maria Maunu

Espoon kaupunkikonsernin

Kuvantamisen kansalliset toiminnalliset määritykset Valtakunnallinen terveydenhuollon kuva-aineistojen arkisto Kvarkki

TIETOSUOJATYÖN ORGANISOINTI

TIETOTEKNIIKAN HYÖDYNTÄMINEN OSANA LIIKETOIMINTAPROSESSEJA: Toiminnan raportointi ja seuranta, tapahtuneisiin poikkeamiin nopea reagointi.

TOIMIJAREKISTERIN TOTEUTUKSEN JA YLLÄPIDON HANKINTA - HANKINNAN YKSI- LÖINTI HUOM!

ILMOITUSVELVOLLISEN RISKIARVION LAATIMINEN

SISÄISEN VALVONNAN PERUSTEET

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Kasva tietoturvallisena yrityksenä

Merlin Systems Oy. Kommunikaatiokartoitus päätöksenteon pohjaksi. Riku Pyrrö, Merlin Systems Oy

TeliaSonera Identity and Access Management

Consultor Finland Oy. Paasitorni / Markus Andersson Toimitusjohtaja

Ulkoistamisen edut tarjouspyynnön tekninen liite

OMAVALVONTA ISO 9001 ISO / FSSC ISO OHSAS SATAFOOD KEHITTÄMISYHDISTYS RY Marika Kilpivuori

PK-yrityksen tietoturvasuunnitelman laatiminen

Sisäisen valvonnan ja Riskienhallinnan perusteet

IT Service Desk palvelun käyttöönotto palvelukeskuksissa

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Turvallisuus- ja valmiussuunnittelu

Case VRK: tietosuojan työkirjat. JUDO Työpaja #2 - tietosuoja Noora Kallio

Sisäinen valvonta - mitä merkitsee luottamushenkilölle ja viranhaltijalle Rahoitusriskien hallinnan seminaari

Infrahankkeiden turvallisuusriskien tunnistaminen ja arviointi

Pohjois-Pohjanmaan sairaanhoitopiirin kuntayhtymäkonsernin sisäisen valvonnan ja riskienhallinnan perusteet

Espoon kaupunkikonsernin riskienhallintapolitiikka

SYSTEMAATTINEN RISKIANALYYSI YRITYKSEN TOIMINTAVARMUUDEN KEHITTÄMISEKSI

Kankaanpään kaupunki SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

SUUNNITTELE JA JOHDA TURVALLISUUTTA, ENNAKOI RISKIT JA VARMISTA LAATU- JA TURVALLISUUSKULTTUURI

PÄLKÄNEEN KUNNAN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Sisäisen valvonnan ja riskienhallinnan perusteet

Johdon tuki tietosuojavastaavalle terveydenhuollon organisaatiossa

Työeläkealan riski- ja vakavaraisuusarvio (ORSA) Minna Lehmuskero Johtaja, analyysitoiminnot

Vastuullinen liikenne. Yhteinen asia.

Transkriptio:

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa 13.05.2015 Terveydenhuollon ATK-päivät Tampere-talo

Yleistä Riskienhallintaan löytyy viitekehyksiä/standardeja kuten ISO 31000 Digitalisaatio moninkertaistaa riskit (teknologian nopea kehittyminen) Riskienhallintatyön pitäisi olla organisaatiossa pysyvä määrämuotoinen prosessi Digiturvallisuuden tilannekuva? Rekisterinpitoasiat oltava kunnossa Kilpailutuksiin liittyvä projektointi ja sen riittävä resurssointi Dokumenttien (vaatimusmäärittelyt, neuvottelut, tarjouspyynnöt, tarjoukset, sopimukset) hallinta Toimittajan kanssa oltava turvallisuus- ja salassapitoperiaatteet/sopimukset Varautumiseen liittyvät asiat velvoitettava jo tarjouspyyntövaiheessa (esim. SOPIVA-suositukset) Keskeistä nykyään on hallita koko ajan tietoturva- ja tietosuojariskejä!

Riskienhallinta mahdollistaa! Parantaa tavoitteiden saavuttamisen todennäköisyyttä Tukee ennakoivaa johtamista Tunnistaa tarpeet tunnistaa riskit ja käsitellä niitä koko organisaatiossa Parantaa mahdollisuuksien ja uhkien tunnistamista Noudattaa organisaatiota koskevia lainsäädännön ja viranomaisten vaatimuksia ja kansainvälisiä normeja Kehittää pakollista ja vapaaehtoista raportointia Kehittää organisaation hallintotapaa Lisää sidosryhmien luottamusta Luo luotettavan perustan päätöksenteolle ja suunnittelulle Kohdentaa ja käyttää resursseja vaikuttavasti riskien käsittelyyn Parantaa operatiivista vaikuttavuutta ja tehokkuutta Parantaa terveyteen ja turvallisuuteen liittyvän toiminnan sekä ympäristönsuojelun tasoa Kehittää vahingontorjuntaa ja häiriötilanteiden hallintaa Pienentää tappioiden määrän mahdollisimman vähäiseksi Parantaa organisaation oppimiskykyä

Riskienhallintaprosessi lähde: SFS-ISO 31000-standardi

Riskin merkityksen arviointi Tarkoituksena auttaa tekemään päätöksiä riskianalyysin tulosten perusteella siitä, mitä riskejä on tarpeen käsitellä ja mikä on niiden käsittelyn toteuttamisen tärkeysjärjestys. Riskien merkityksen arviointiin kuuluu analyysin aikana havaitun riskitason vertaaminen toimintaympäristön määrittelemisen yhteydessä määriteltyihin riskikriteereihin. Tästä seuraa päätös riskin käsittelytarpeesta. Päätöksenteossa riski olisi otettava huomioon laaja-alaisesti ja harkittavat sietotoleranssi. Päätökset on tehtävä lakien ja viranomaisten vaatimusten sekä muiden vaatimusten mukaan. Joissain olosuhteissa riskin merkityksen arvioinnin johtopäätöksenä voi olla lisäanalyysin tekeminen. Riskin merkityksen arvioinnin lopputulos voi myös olla päätös olla käsittelemättä riskiä millään muilla tavoin kuin säilyttämällä jo olemassa olevat hallintakeinot.

Riskit ICT-ulkoistuksissa ja tietojärjestelmähankinnoissa riskit liittyvät selkeästi: Aikatauluun Kilpailutukseen/sopimukseen Vastuujakoon Palvelun laatuun Muutostenhallintaan sopimusneuvotteluiden ja sopimuksen aikana Siirtymävaiheeseen Tietoturvaan ja teknisiin asioihin Henkilöstöön mukaan lukien avainhenkilöriskit Tilaaja- ja toimittajaosaamiseen Kustannuksiin Kehittämiseen Seuraavaan kilpailutukseen ja palvelujen siirtoprojektiin toisille palveluntuottajille

Tietoturva- ja tietosuojariskien hallinta Ideasta palveluksi -prosessi, jonka alkupäässä tunnistettava kilpailutettavan kokonaisuuden yksittäiset tietoturva/suojariskit Tarkistuslistojen laatiminen projektipäälliköiden avuksi -niitä voi kehittää pitkin matkaa vuodesta toiseen tieto-, kyber- ja digiturvallisuusvaatimuksien muuttuessa Pakollisten turvallisuuteen liittyvien vaatimuksien tarkka määrittely riippuen hankittavasta järjestelmästä (vastaavasti mukaan hyvä tuoda myös toivottavat ominaisuudet) Tietojen luokittelu Palvelimien ja tietojen sijainnin määrittely mukaan lukien ylläpitotehtävät OWASP10-lista Web-rajapinnat kansalaisille (tunnistaminen ja maksaminen verkossa) Testaus ennen käyttöönottoa Auditoinnit missä vaiheessa, kuinka usein, kuka suorittaa, kuka maksaa?

Vinkit Organisaation pitää nimetä tietoturvasta ja tietosuojasta vastaavat henkilöt ja heidän varahenkilönsä Henkilöiden työrooliin syytä määritellä eri turvallisuusnäkökulmiin liittyvien riskien hallinta mukaan lukien dokumentointi ja seuranta (mm. tietotilinpäätös) Yhteistyö riskienhallintapäällikön tmv. työroolin kanssa Riskienhallintaa varten voidaan yleisemminkin perustaa pysyvä työryhmä ja tarvittaessa pientyöryhmiä Työryhmä toteuttaa riskienhallintapolitiikkaa ja siitä jalkautettuja suunnitelmia Vähintään seudullinen/alueellinen yhteistyö Olemassa olevien sopimuksien (omien ja muiden vastaavien organisaatioiden) läpikäynti Apuna kannattaa käyttää omaa sisäistä tarkastusta ja/tai ulkoisia konsultteja Virheistä pitää oppia!

Kiitos!

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute