Ohje tietoturvallisuuden arviointilaitoksille

Ohje tietoturvallisuuden arviointilaitoksille

Ohje 2 (44) Versiohistoria Versio Päiväys Kuvaus/muutos Tekijä 1.0 7.5.2013 [Ensimmäinen versio] Laura Kiviharju 2.0 Luku 6, laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain muuttamisesta (250/2014) ja sähköisestä lääkemääräyksestä annetun lain muuttamisesta (251/2014) Laura Kiviharju

Ohje 3 (44) Sisältö 1 Johdanto... 5 1.1 Ohjeen tarkoitus ja soveltamisala... 5 1.2 Määritelmät... 5 1.3 Tietoturvallisuuden arviointitoiminnan tarkoitus... 6 1.3.1 Viranomaisten yleiset tietoturvallisuusvaatimukset... 6 1.3.2 Viranomaisten tietojärjestelmien ja luokiteltujen asiakirjojen käsittely-ympäristöjen arviointi... 7 1.3.3 Yritysturvallisuuden edistäminen ja kehittäminen... 7 2 Tietoturvallisuustoiminnan organisointi ja vastuut... 8 2.1 Arvioinnin toimeksiantaja... 8 2.2 Salassa pidettävää tietoa käsittelevä taho... 8 2.3 Tietoturvallisuuden arviointilaitos... 8 2.4 Viestintävirasto... 9 2.5 FINAS-akkreditointipalvelu... 9 2.6 Valtiovarainministeriö... 9 2.7 Kansallinen turvallisuusviranomaisorganisaatio... 10 3 Tietoturvallisuuslainsäädäntö ja tietoturvallisuuden arviointiperusteet. 11 3.1 Viranomaisten toimintaa koskevat kansalliset tietoturvallisuusvaatimukset... 11 3.2 Kansainvälisiin tietoturvavelvoitteisiin perustuvat tietoturvallisuusvaatimukset... 12 3.3 Muut tietoturvallisuutta koskevat säännökset, määräykset tai ohjeet ja vahvistettuun standardiin perustuvat vaatimukset... 13 4 Arviointilaitoksen hyväksyminen... 14 4.1 Vaatimukset tietoturvallisuuden arviointilaitokselle... 14 4.1.1 Johtamis- ja tietoturvallisuuden hallintajärjestelmiä koskevien vaatimusten soveltaminen tietojärjestelmiin ja tietoliikennejärjestelyihin... 14 4.1.2 Toiminnallinen ja taloudellinen riippumattomuus... 14 4.1.3 Laitoksen henkilökunnan pätevyys ja toiminnan edellyttämät järjestelmät... 16 4.1.4 Vastuuhenkilöiden luotettavuus ja tietojenkäsittelyn turvallisuus... 16 4.1.5 Asianmukaiset ohjeet toimintaa ja sen seurantaa varten... 18 4.1.6 Hyvää hallintoa koskevien säännösten noudattaminen... 18 4.2 Arviointilaitokseksi hakeutuminen... 21 4.2.1 Akkreditoinnin hakeminen... 21 4.2.2 Hyväksynnän hakeminen Viestintävirastolta... 22

Ohje 4 (44) 5 Tietoturvallisuuden arviointimenettely... 23 5.1 Arviointityypit... 23 5.1.1 Tietoturvallisuuden hallintajärjestelmän arviointi... 23 5.1.2 Tietojenkäsittely-ympäristön arviointi... 23 5.1.3 Tietojärjestelmän tai tietoliikennejärjestelyn arviointi... 24 5.1.4 Osittainen arviointi... 24 5.1.5 Esiarviointi... 24 5.2 Arviointikriteeristöt ja niiden soveltamisohjeet... 24 5.2.1 Kansalliset tietoturvallisuusvaatimukset... 24 5.2.2 Kansainväliset tietoturvallisuusvaatimukset... 25 5.2.3 Vahvistettuun standardiin perustuvat tietoturvallisuusvaatimukset... 25 5.3 Arviointimenettelyn vaiheet... 25 5.3.1 Toimeksianto... 26 5.3.2 Arvioinnin perustaksi otettujen tietoturvallisuutta koskevien vaatimusten toteutuminen... 27 5.3.3 Arvioinnissa sovellettava menettely... 27 5.3.4 Arviointiraportti ja muut arviointiin liittyvät asiakirjat... 28 5.3.5 Todistuksen antaminen... 28 5.3.6 Arviointia koskevien tietojen julkaiseminen... 29 5.3.7 Seurantatoimenpiteet... 29 5.4 Arviointimenetelmät... 29 5.4.1 Yleisiä arviointitoiminnassa huomioitava periaatteita... 29 5.4.2 Hallinnolliselle todentamiselle asetettavat vähimmäisvaatimukset... 31 5.4.3 Tekniselle todentamiselle asetettavat vähimmäisvaatimukset. 32 5.5 Arviointilaitoksen suorittaman arvioinnin suhde viranomaishyväksyntään ja viranomaisen antama todistus... 34 6 Sosiaali- ja terveydenhuollon tietojärjestelmien arviointi... 35 6.1 Tietoturvallisuuden arvioinnin suorittaminen ja todistuksen antaminen.. 36 6.2 Käyttöönoton jälkeinen seuranta ja laitoksen ilmoitusvelvollisuus... 36 7 Arviointilaitoksen valvonta ja laadunhallinta... 37 7.1 Arviointilaitosten ohjaus ja valvonta... 37 7.1.1 Hyväksymispäätös ja sen valvonta... 37 7.1.2 Viestintäviraston tarkastus- ja tiedonsaantioikeus... 37 7.1.3 Arviointilaitoksen hyväksymisen peruuttaminen... 38 7.2 Arviointilaitoksen tiedonanto- ja ilmoitusvelvollisuus... 38 8 Ohjeen voimaantulo... 40 9 LIITTEET... 40 Liite 1. Tietoturvallisuuden arviointitoimintaa ohjaavat keskeiset normit... 41 Liite 2. Arviointiraporttimalli... 44

Ohje 5 (44) 1 Johdanto 1.1 Ohjeen tarkoitus ja soveltamisala 1.2 Määritelmät Tässä ohjeessa kuvataan tietoturvallisuuden arviointilaitoksen rooli ja tehtävät tietoturvallisuuden arviointitoiminnassa. Ohjeessa kuvataan arviointilaitosten toimintaa koskevat vaatimukset ja tietoturvallisuuden arviointia koskeva menettely. Hyväksytyn tietoturvallisuuden arviointilaitoksen on aina tunnettava sen toimintaan liittyvä voimassa oleva lainsäädäntö ja muut toimintaa kokevat vaatimukset. Tätä ohjeetta sovelletaan myös tietoturvallisuuden arviointilaitosten hyväksymismenettelyssä. Akkreditointi arviointielimen pätevyyden toteaminen yhdenmukaisten kansainvälisten tai eurooppalaisten arviointiperusteiden mukaisesti. Arvioinnin kohde tietojärjestelmä, tietoliikennejärjestely taikka tietojenkäsittely-ympäristö tai hallintajärjestelmä, jossa salassa pidettävää tietoa käsitellään Arviointilaitoslaki laki tietoturvallisuuden arviointilaitoksista (22.12.2011/1405) ISO 17021 standardi SFS-EN ISO/IEC 17021:2011 Vaatimustenmukaisuuden arviointi. Vaatimukset johtamisjärjestelmiä auditoiville ja sertifioiville elimille. Conformity assessment. Requirements for bodies providing audit and certification of management systems ISO 27006 standardi ISO/IEC 27006:2011 Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems Julkisuuslaki laki viranomaisten toiminnan julkisuudesta (21.5.1999/621) Julkisuusasetus asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (12.11.1999/1030) Tietojärjestelmä tietojenkäsittelylaitteista, ohjelmistoista ja muusta tietojenkäsittelystä koostuva kokonaisjärjestely Tietoliikennejärjestely tiedonsiirtoverkosta, tiedonsiirtolaitteista, ohjelmistoista ja muista tietojenkäsittelystä koostuvista järjestelyistä muodostuva järjestelmä Tietoturvallisuuden arviointilaitos Viestintäviraston hyväksymä elinkeinonharjoittaja tai palvelutehtäviä julkishallinnolle tarjoava yksikkö, joka toimeksiannosta arvioi tietoturvallisuustason

Ohje 6 (44) Tietoturvallisuuden arviointikriteeristö vaatimuskriteeristö, jota sovelletaan tietoturvallisuuden arvioinnissa ja joihin arviointilaitos voi hakea akkreditointia ja Viestintäviraston hyväksyntää Tietoturvallisuuden arviointiperuste Arvioinnin perustaksi otetut arviointilaitoslain 10 :n mukaiset tietoturvallisuutta koskevat vaatimukset Tietoturvallisuus tietojen salassapitovelvollisuuden ja käyttörajoitusten noudattamiseksi sekä tietojen saatavuuden, eheyden ja käytettävyyden varmistamiseksi toteutettavat hallinnolliset, tekniset ja muut toimenpiteet ja järjestelyt Tietoturvallisuusasetus valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (1.7.2010/681) Valtionhallinnon viranomainen valtion hallintoviranomainen, muu valtion virasto tai laitos taikka tuomioistuin tai lainkäyttöviranomainen Viranomaishyväksyntä Tietojärjestelmää, tietoliikennejärjestelyä tai tietojenkäsittely-ympäristöä koskeva toimivaltaisen turvallisuusviranomaisen virallinen hyväksyntä 1.3 Tietoturvallisuuden arviointitoiminnan tarkoitus Tietoturvallisuuden arviointi on väline sen toteamiseksi, täyttääkö arvioinnin kohde tietoturvallisuutta koskevat vaatimukset. Arvioinnin kohteena voi olla tietojenkäsittely-ympäristö ja sen toteutus, tietojärjestelmä tai tietoliikennejärjestely taikka tietoturvallisuuden hallintajärjestelmä. Mikäli arvioinnin tavoitteena on arviointilaitoksen antaman todistuksen saaminen ja viranomaishyväksynnän saavuttaminen, tietoturvallisuuden arviointimenettelyn avulla pyritään hankkimaan varmuus ja luottamus siitä, että tietoturvallisuudelle asetetut vaatimukset täyttyvät. Organisaation tietoturvallisuutta kehitettäessä arvioinnin tavoitteena voi olla myös sen selvittäminen, miltä osin tietoturvallisuusvaatimukset täyttyvät. 1.3.1 Viranomaisten yleiset tietoturvallisuusvaatimukset Valtionhallinnon viranomaisen on suunniteltava toimintansa tietoturvallisuus hyvän tiedonhallintatavan mukaisesti ja toteutettava tietoturvallisuusasetuksen edellyttämät toimenpiteet tietoturvallisuuden perustason toteuttamiseksi. Viranomaisten on suunniteltava ja toteutettava tietoturvallisuustoimenpiteet siten, että ne kattavat asiakirjan kaikki käsittelyvaiheet. Suunnittelussa on pidettävä huolta siitä, että tietojenkäsittelyä koskevia velvoitteita noudatetaan myös silloin, kun tietojenkäsittelytehtävää hoidetaan viranomaisen toimeksiannosta. Tietoturvallisuusasetus edellyttää, että valtionhallinnon viranomainen toteuttaa tietoturvallisuuden perustason vaatimukset1 1.10.2013 mennessä 1 Tietoturvallisuusasetus 2 luku Yleiset tietoturvallisuusvaatimukset

Ohje 7 (44) ja luokiteltuja tietoja koskevat käsittelyvaatimuksen viiden vuoden kuluessa siitä, kun viranomainen on tehnyt luokittelupäätöksen. 1.3.2 Viranomaisten tietojärjestelmien ja luokiteltujen asiakirjojen käsittelyympäristöjen arviointi Tietoturvallisuuden arviointi on keino viranomaisille varmistua siitä, että sen määräämisvallassa olevat ja hankittavaksi suunnittelemat tietojärjestelmät täyttävät tietoturvallisuutta koskevat vaatimukset. Arvioinnin avulla voidaan myös todentaa luokiteltujen tietojen käsittelyä koskevien vaatimusten täyttyminen tietyssä tiedonkäsittely-ympäristössä. Viranomaisten tietojärjestelmiin liittyvien tietoturvallisuuden arviointipalvelujen käyttämisestä säädetään viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen arvioinnista annetussa laissa 2. Tietoturvallisuuden arvioinnilla viranomainen voi selvittää, täyttääkö sen käytössä olevat tietojärjestelmät kansallisen lain mukaiset vaatimukset tai silloin, kun järjestelmässä käsitellään kansainvälistä luokiteltua tietoa, kansainväliset tietoturvallisuusvaatimukset. Lain tarkoituksena on muun muassa varmistaa, että valtionhallinnon viranomaiset käyttävät vain luotettavia ulkopuolisia tietoturvallisuuden arviointipalveluja, ja 1.6.2015 lukien valtionhallinnon viranomaiset voivatkin käyttää tietojärjestelmiensä arvioinnissa vain Viestintäviraston tai sen hyväksymän arviointilaitoksen suorittamaa arviointia. Viranomaisen hankintojen yhteydessä tietoturvallisuuden arviointia voidaan käyttää ennen salassa pidettävän tiedon luovuttamista sen todentamiseen, täyttääkö tarjouskilpailuun osallistuvan tarjoajan tai voittajaksi valitun toimittajan tietojenkäsittely-ympäristö vaaditun tietoturvallisuuden tason. Arviointia voidaan siten hyödyntää tietojärjestelmä- ja tietoliikennejärjestelyhankintojen ohella myös muissa hankinnoissa, joiden kilpailuttamisen yhteydessä tai sopimuskaudella käsitellään viranomaisen salassa pidettävää tietoa. Tietoturvallisuuden vaatimuksenmukaisuuden todentamista voidaan käyttää esimerkiksi puolustus- ja turvallisuushankinnoissa, joissa tietoturvallisuuteen liittyvillä vaatimuksilla voi olla olennainen merkitys hankinnan toteuttamisessa. 1.3.3 Yritysturvallisuuden edistäminen ja kehittäminen Tietoturvallisuuden arviointimenettely antaa yrityksille mahdollisuuden osoittaa toimintansa tietoturvallisuuden taso ulkopuolisen ja luotettavan arvioinnin avulla. Vaikka yrityksiä koskevan turvallisuusselvityksen laatiminen kuuluu viranomaiselle, voivat yritykset käyttää arviointilaitoksen suorittamaa tietoturvallisuuden arviointia varautuessaan kansainvälisiin hankintakilpailuihin sekä julkisiin puolustus- tai turvallisuushankintaa koskevaan tarjouskilpailuun, joissa edellytetään viranomaisen laatimaa turvallisuusselvitystä 3. 2 22.12.2011/1406 3 Turvallisuusviranomaisen suorittama yhteisöturvallisuusselvitys voidaan tehdä, kun elinkeinonharjoittaja on sopimusosapuolena turvallisuusluokitellussa sopimuksessa, osallistuu

Ohje 8 (44) Yritys voi käyttää esimerkiksi Kansallista turvallisuusauditointikriteeristöä (KATAKRI) tietoturvallisuuden kehittämisen keinona. Arviointi voidaan silloin toteuttaa myös säännöllisin väliajoin tai arvioinnin toimeksiantajan niin halutessa aina erityisen tarpeen ilmetessä esimerkiksi organisaatiomuutosten yhteydessä. 2 Tietoturvallisuustoiminnan organisointi ja vastuut 2.1 Arvioinnin toimeksiantaja Arvioinnin toimeksiantaja on taho, jonka aloitteesta arviointilaitoksen suorittama arviointi käynnistyy eli toimeksiantaja on arviointilaitoksen asiakas. Viranomaisen tietojärjestelmää koskevassa arvioinnissa arvioinnin toimeksiantajana on aina viranomainen, jonka määräämisvallassa järjestelmä on tai joka suunnittelee arvioinnin kohteena olevan järjestelmän hankintaa. Toimeksiantajana voi olla myös viranomaisen valtuuttama taho, joka on viranomaisen lukuun hankintoja tekevä taikka tietojenkäsittely- ja tietoliikennepalveluja tuottava tai niiden järjestämiseen liittyviä palvelutehtäviä hoitava taho. Arvioinnin toimeksiantaja vastaa arvioinnin tavoitteiden määrittämisestä, arviointiperusteena käytettävän arviointikriteeristön ja sovellettavan suojaustason valinnasta sekä arvioinnin kohteen määrittelystä yhteistyössä arviointilaitoksen kanssa. 2.2 Salassa pidettävää tietoa käsittelevä taho Salassa pidettävää tietoa käsittelevä taho voi olla viranomainen tai sen toimeksiannosta tietojenkäsittelytehtävää hoitava taho. Salassa pidettävää tietoa käsittelevä taho vastaa tietoturvallisuusvaatimusten noudattamisesta ja tietoturvallisuustoimenpiteiden toteuttamisesta arvioinnin kohteessa. 2.3 Tietoturvallisuuden arviointilaitos Tietoturvallisuuden arviointilaitos arvioi toimeksiannosta arvioinnin kohteen tietoturvallisuustason. Arviointilaitoksen tulee arvioinnissa selvittää, onko arvioinnin kohteen toiminnassa asianmukaisella tavalla toteutettu ne tietoturvallisuutta koskevat vaatimukset, jotka ovat otettu arvioinnin perustaksi. Arviointilaitos voi myös antaa arvioinnin kohteelle todistuksen sen osoittamiseksi, että arvioinnin kohteen toiminta ja toimitilat täyttävät ne tietoturvallisuusvaatimukset, jotka ovat otettu arvioinnin perustaksi. tällaista sopimusta edeltävään tarjouskilpailuun tai toimii tällaisen elinkeinon harjoittajan alihankkijana. Turvallisuusluokitellulla sopimuksella tarkoitetaan sopimusta, jonka toisena osapuolena on toisen valtion viranomainen tai siellä kotipaikkaansa pitävä yritys taikka kansainvälinen järjestö tai toimielin ja kun tarjouskilpailuun osallistuminen tai sopimuksen toteuttaminen voi edellyttää pääsyä erityissuojattavaan tietoaineistoon. Yhteisöturvallisuusselvitys voidaan tehdä myös silloin, kun elinkeinonharjoittaja osallistuu julkisista puolustus- ja turvallisuushankinnoista annetussa laissa (1531/2011) tarkoitettuun tarjouskilpailuun tarjoajana tai alihankkijana ja saa, laatii tai muutoin käsittelee tarjouskilpailun tai hankinnan toteuttamiseksi luokiteltuja tietoja (laki kansainvälisistä tietoturvallisuusvelvoitteista 1 ).

Ohje 9 (44) Arviointilaitoksen tulee toiminnassaan noudattaa lainsäädännössä, akkreditoinnissa sovellettavissa standardeissa, Viestintäviraston ohjeissa ja arviointilaitoksen hyväksymispäätöksessä asetettuja vaatimuksia. 2.4 Viestintävirasto Viestintävirasto toimii Suomen määrättynä turvallisuusviranomaisena ja kansallisena tietoturvaviranomaisena (NCSA, National Communications Security Authority), joka vastaa turvaluokitellun aineiston sähköiseen tiedonsiirtoon ja -käsittelyyn liittyvistä turvallisuusasioista. Viestintävirasto vastaa muun muassa salausteknisen aineiston jakeluverkon hallinnoinnista, salaustuotteiden hyväksynnästä turvaluokitellun tiedon suojaamiseksi Suomessa, kansainvälistä turvallisuusluokiteltua tietoa käsittelevien tietojärjestelmien hyväksynnästä sekä kansallisen hajasäteilytoiminnan koordinoinnista ja ohjauksesta. Viestintävirasto toimii myös viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen hyväksyntäviranomaisena sekä vastaa tietoturvallisuuden arviointilaitosten hyväksymisestä, ohjaamisesta ja valvonnasta. 2.5 FINAS-akkreditointipalvelu Mittatekniikan keskuksen akkreditointiyksikkö eli FINASakkreditointipalvelu toimii Suomessa kansallisena akkreditointielimenä ja vastaa akkreditoinnista eli arviointielinten pätevyyden toteamisesta yhdenmukaisten arviointiperusteiden mukaisesti. Akkreditoinnin tarkoituksena on varmistaa vaatimustenmukaisuuden arviointipalvelujen luotettavuus ja kansainvälinen hyväksyttävyys. FINAS-akkreditointipalvelu arvioi osana arviointilaitoksen hyväksymismenettelyä tietoturvallisuuden arviointilaitoksen toiminnan riippumattomuuden, henkilökunnan koulutuksen ja kokemuksen sekä sen, että laitoksella on toiminnan edellyttämät laitteet, välineet ja järjestelmät. FINAS-akkreditointipalvelu vastaa myös akkreditoimiensa laitosten pätevyyden seurannasta. 2.6 Valtiovarainministeriö Valtiovarainministeriö ohjaa ja yhteen sovittaa julkishallinnon ja erityisesti valtionhallinnon tietoturvallisuuden kehittämistä. Ohjaus- ja yhteensovittamisroolinsa toteuttamiseksi valtiovarainministeriö asettaa ja ylläpitää toimialallaan yhteistyön ohjaamiseen, kehittämiseen ja koordinaatioon tarvittavat toimielimet. Valtiovarainministeriön asettama Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI on hallinnon tietoturvallisuuden ohjaamisen, kehittämisen ja koordinaation elin. VAHTI käsittelee kaikki merkittävät valtionhallinnon tietoturvallisuuden linjaukset. Valtionvarainministeriö voi pyytää valtionhallinnon tietoturvallisuudesta annettujen säännösten täytäntöönpanon seuraamiseksi sekä niiden kehittämiseksi Viestintävirastolta selvityksiä valtionhallinnon viranomaisten

Ohje 10 (44) tietojärjestelmien ja tietoliikennejärjestelyjen yleisestä tietoturvallisuuden tasosta. 2.7 Kansallinen turvallisuusviranomaisorganisaatio Ulkoasiainministeriö toimii kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisessa Suomen kansallisena turvallisuusviranomaisena. Kansallisen turvallisuusviranomaisen tehtävänä on erityisesti ohjata ja valvoa, että ulkomailta Suomeen luovutetut niin sanotut erityissuojattavat tietoaineistot suojataan ja niitä käsitellään asianmukaisesti. Kansallinen turvallisuusviranomainen vastaa kansainvälisten tietoturvallisuusvelvoitteiden toteuttamista koskevien ohjeiden antamisesta. Puolustusministeriö, pääesikunta, suojelupoliisi ja Viestintävirasto toimivat kansainvälisissä tietoturvallisuusvelvoitteissa tarkoitettuina määrättyinä turvallisuusviranomaisina ja huolehtivat henkilöiden ja elinkeinonharjoittajien luotettavuuden selvittämisestä. Puolustusministeriö, pääesikunta ja suojelupoliisi toimivat kansallisen turvallisuusviranomaisen asiantuntijoina henkilöstö-, yhteisö- ja toimitilaturvallisuutta koskevissa asioissa sekä Viestintävirasto tietojärjestelmien ja tietoliikenteen tietoturvallisuutta koskevissa asioissa. Kuva 1. Tietoturvallisuuteen liittyvät toimijat

Ohje 11 (44) 3 Tietoturvallisuuslainsäädäntö ja tietoturvallisuuden arviointiperusteet Tietoturvallisuuden arviointiperusteilla tarkoitetaan niitä tietoturvallisuutta koskevia vaatimuksia, joiden perusteella tietoturvallisuuden arviointi suoritetaan. Näitä arviointiperusteita ovat 1) lailla tai asetuksella säädettyjä viranomaisen toimintaa koskevia tietoturvallisuusvaatimuksia ja valtiovarainministeriön tietoturvallisuutta koskevia ohjeita; 2) kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa tarkoitetun kansallisen turvallisuusviranomaisen antamia kansainvälisten tietoturvavelvoitteiden toteuttamista koskevia ohjeita; 3) Euroopan unionin tai muun kansainvälisen toimielimen antamia tietoturvallisuutta koskevia ohjeita; 4) julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia säännöksiä, määräyksiä tai ohjeita; ja 5) vahvistettuun standardiin sisältyviä tietoturvallisuutta koskevia vaatimuksia. 3.1 Viranomaisten toimintaa koskevat kansalliset tietoturvallisuusvaatimukset Tietoturvallisuuden arviointi voi perustua kansallisessa lainsäädännössä eli Suomen lailla tai asetuksella säädettyihin viranomaisen toimintaa koskeviin tietoturvallisuusvaatimuksiin ja valtiovarainministeriön tietoturvallisuutta koskeviin ohjeisiin. Suomalaisten viranomaisten asiakirjojen salassapidosta ja hyvästä tiedonhallintatavasta säädetään julkisuuslaissa ja julkisuusasetuksessa. Hyvän tiedonhallintatavan toteuttamiseksi viranomaisten on huolehdittava asiakirjojen ja tietojärjestelmien sekä niihin liittyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muusta tietojen laatuun vaikuttavista tekijöistä. Viranomaisen on hyvän tiedonhallintatavan toteuttamiseksi myös selvitettävä ja arvioitava tietojen saatavuuteen, käytettävyyteen, laatuun ja suojaan sekä tietojärjestelmien turvallisuuteen vaikuttavat uhat sekä niiden vähentämiseksi ja poistamiseksi käytettävissä olevat keinot ja niiden kustannukset sekä muut vaikutukset. Lisäksi viranomaisen on selvitysten perusteella arvioitava ja toteutettava tarvittavat toimenpiteet hyvän tiedonhallintatavan toteuttamiseksi. 4 Tietoturvallisuusasetuksessa säädetään valtionhallinnon viranomaisten asiakirjojen käsittelyä koskevista yleisistä tietoturvallisuusvaatimuksista sekä asiakirjojen luokittelun perusteista ja luokittelua vastaavista asiakirjojen käsittelyssä noudatettavista tietoturvallisuusvaatimuksista eli 4 Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (12.11.1999/1030)

Ohje 12 (44) suojaustasojen mukaisista käsittelyvaatimuksista. Asetus edellyttää, että tietoturvallisuustoimenpiteet suunnitellaan ja toteutetaan siten, että ne kattavat asiakirjan kaikki käsittelyvaiheet niiden laatimisesta tai vastaanottamisesta arkistointiin tai hävittämiseen mukaan lukien asiakirjan luovuttaminen ja siirtäminen sekä käsittelyn valvonta. Suunnittelussa on myös huolehdittava siitä, että tietojenkäsittelyä koskevia velvoitteita noudatetaan myös silloin, kun tietojenkäsittelytehtävää hoidetaan viranomaisen toimeksiannosta eli kun yksityinen taho käsittelee viranomaisen asiakirjoja. Tietoturvallisuusasetuksen mukaisia vaatimuksia täsmennetään valtiovarainministeriön ohjeilla, jotka koskevat tietoturvallisuusasetuksen täytäntöönpanoa. Tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanoa koskevaa koskevia määritettyjä ohjeita (VAHTI 2/2010, VAHTI 3/2010, VAHTI 3/2012, VAHTI 2/2013) sovelletaan tietoturvallisuuden arviointiperusteena silloin, kun arvioinnin kohde käsittelee Suomen viranomaisen salassa pidettävää tietoa eli kun salassapito perustuu julkisuuslakiin. 3.2 Kansainvälisiin tietoturvavelvoitteisiin perustuvat tietoturvallisuusvaatimukset Kun taho, jolla on määräysvalta salassa pidettävään tietoon, on toisen valtion viranomainen tai siellä kotipaikkaansa pitävä yritys taikka kansainvälinen järjestö tai toimielin ja Suomella on tietoturvallisuusvaltiosopimus kyseisen toisen valtion tai toimielimen kanssa, sovelletaan tiedon salassapitoon ja tietoturvallisuustoimenpiteisiin lakia kansainvälisistä tietoturvallisuusvelvoitteista 5. Tiedon käsittelyyn sovelletaan tällöin kansallisten tietoturvallisuusvaatimusten lisäksi aina soveltuvaan valtiosopimukseen tai muuhun Suomea koskevaan velvoitteeseen eli kansainväliseen tietoturvallisuusvelvoitteeseen sisältyviä määräyksiä 6. Erityissuojattavaa tietoaineistoa eli kansainvälisen tietoturvallisuusvelvoitteen mukaisesti turvallisuusluokiteltuja asiakirjoja ja materiaaleja luotaessa, kopioitaessa, siirrettäessä, jaettaessa, säilytettäessä, hävitettäessä tai muutoin käsiteltäessä on pidettävä huolta, että tietoaineiston suojaamisesta voidaan huolehtia tietoaineiston turvallisuusluokkaa vastaavalla tavalla. Erityissuojattava tietoaineisto on säilytettävä tiloissa, joissa asiakirjojen ja niihin sisältyvien tietojen suojaamisesta voidaan huolehtia valtiosopimuksessa edellytetyllä tavalla. 5 Laki 24.6.2004/588 6 Kansainvälisellä tietoturvallisuusvelvoitteella sellaista Suomea sitovaan kansainväliseen sopimukseen sisältyvää määräystä sekä sellaista muuta Suomea koskevaa velvoitetta, jota Suomen on noudatettava ja joka koskee erityissuojattavan aineiston suojaamiseksi tarvittavia toimenpiteitä. Tällaisia velvoitteita ovat Suomea sitovien turvallisuusluokitellun tiedon suojaamista koskevien valtiosopimusten ohella muun muassa Euroopan neuvoston päätös turvallisuussäännöistä EU:n turvallisuusluokiteltujen tietojen suojaamiseksi (Neuvoston päätös 31.3.2011 (2011/292/EU). Suomea sitovat valtiosopimukset [linkki].

Ohje 13 (44) Kansainvälisiin tietoturvallisuusvelvoitteisiin liittyvien tietoturvallisuusvaatimusten todentamisessa tietoturvallisuuden arviointiperusteena käytetään kansallista turvallisuusauditointikriteeristöä (KATAKRI). Kyseistä kriteeristöä siis käytetään vaatimustasona niissä arvioinneissa, joiden tarkoituksena on todentaa, täyttyvätkö kansainväliset tietoturvallisuusvaatimukset. Erityissuojattavan tietoaineiston käsittely edellyttää viranomaishyväksyntää (katso kappale 5.8) ja kansainvälisiin tietoturvallisuusvelvoitteisiin liittyvien turvallisuusselvitysten tekemisestä vastaa aina toimivaltainen turvallisuusviranomainen. Kuva 2. Tietoturvallisuuslainsäädäntö ja tietoturvallisuuden arviointi 3.3 Muut tietoturvallisuutta koskevat säännökset, määräykset tai ohjeet ja vahvistettuun standardiin perustuvat vaatimukset Tietoturvallisuuden arviointi voi perustua myös muihin kuin lainsäädännöstä johtuviin vaatimuksiin. Tietoturvallisuustasoa osoittavana perustana voidaan käyttää julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia säännöksiä, määräyksiä tai ohjeita taikka vahvistettuun standardiin sisältyviä tietoturvallisuutta koskevia vaatimuksia. Tällainen vahvistettu standardi on esimerkiksi tietoturvallisuuden hallintajärjestelmiä koskeva kansainvälinen standardi ISO 27001 7, joka toimii mallina tietoturvallisuuden hallintajärjestelmän kehittämiselle, toteuttamiselle, käyttämiselle, valvomiselle, katselmoinnille, ylläpitämiselle ja parantamiselle. 7 ISO/IEC 27001:2005 Information technology. Security techniques. Information security management systems. Requirements

Ohje 14 (44) 4 Arviointilaitoksen hyväksyminen 4.1 Vaatimukset tietoturvallisuuden arviointilaitokselle Tietoturvallisuuden arviointilaitoksen hyväksymisen edellytyksenä on, että laitos täyttää arviointilaitoslain 5 :n mukaiset hyväksymiskriteerit. Arviointilaitoksen akkreditoinnissa sovelletaan tätä ohjetta sekä standardeiden ISO 17021 ja ISO 27006 vaatimuksia. Kyseisissä standardeissa yksilöidään vaatimukset tietoturvallisuuden johtamisjärjestelmiä auditoiville ja sertifioiville elimille. 4.1.1 Johtamis- ja tietoturvallisuuden hallintajärjestelmiä koskevien vaatimusten soveltaminen tietojärjestelmiin ja tietoliikennejärjestelyihin Akkreditointimenettelyssä sovellettavat standardit ISO 17021 ja ISO 27006 koskevat johtamisjärjestelmien ja tietoturvallisuuden hallintajärjestelmien sertifiointia. Tietoturvallisuuden arviointilaitokset arvioivat kuitenkin hallintajärjestelmien myös yksittäisiä tietojärjestelmiä ja tietoliikennejärjestelyjä. Niiltä osin kuin näissä standardeissa asetetaan vaatimuksia koskien johtamisjärjestelmää, hallintajärjestelmä (management system) tai tietoturvallisuuden hallintajärjestelmää (information security management system, ISMS), sovelletaan näitä vaatimuksia soveltuvin osin myös tietojärjestelmään ja tietoliikennejärjestelyyn. Tällaisia vaatimuksia ovat esimerkiksi vaatimukset koskien konsultointia ja puolueettomuuden hallintaa 8, pätevyyttä 9, muutoksista ilmoittamista 10 ja auditointiprosessia 11. 4.1.2 Toiminnallinen ja taloudellinen riippumattomuus Tietoturvallisuuden arviointilaitoksen tulee olla toiminnallisesti ja taloudellisesti riippumaton arvioinnin kohteena olevista tahoista. Puolueettomuutta koskevat periaatteet ja puolueettomuuden hallintaa koskevat vaatimukset ovat määritelty arviointilaitosten akkreditointimenettelyssä sovellettavissa standardeissa ISO 17021 ja ISO 27006, jotka sisältävät muun muassa vaatimuksia liittyen hallintajärjestelmien konsultointitoimintaan. Arviointilaitoksen on noudatettava myös viranomaistoimintaa koskevia hyvän hallinnon vaatimuksia. Näihin kuuluvat muun muassa esteellisyyssäännökset, jotka täydentävät arviointilaitoksen riippumattomuusvaatimuksia. Tietoturvallisuuden arviointilaitoksen riippumattomuus edellyttää, että laitos ei tarjoa sellaisia konsultointipalveluja, jotka koskevat tietoturvallisuuden hallintajärjestelmiä eikä myöskään konsultointia koskien 8 Esimerkiksi ISO 17021 3.3 Johtamisjärjestelmäkonsultointi, 5.2 Puolueettomuuden hallinta, ISO 27006 5.2 Management of impartiality 9 Esimerkiksi ISO 17021 7.1 Johdon ja henkilöstön pätevyys, ISO 27006 7 Resource requirements 10 ISO 17021 8.6.3 Asiakkaan tekemistä muutoksista tiedottaminen 11 Esimerkiksi ISO 17021 9.1.2 Auditointisuunnitelma, ISO 17021 9.1.4 Auditointiajan määrittäminen, ISO 9.1.6 Auditointiryhmien tehtävien viestiminen, ISO 27006 9.1 General requirements, ISO 27006 9.2 Inital audit and certification.

Ohje 15 (44) tietojärjestelmiä tai tietoliikennejärjestelmiä. Riippumattomuutta koskevat vaatimukset koskevat arviointilaitoksen toimintaa, eikä riippumattomuuden turvaamiseksi siten riitä pelkästään se, että riippumattomuus toteutuu yksittäisen arviointilaitoksen lukuun työskentelevän henkilön kohdalla. Arviointilaitoksen tulee myös olla erillinen ja riippumaton sellaisista tahoista, jotka suorittavat arvioinnin kohteessa tietoturvallisuuden hallintajärjestelmän, tietojärjestelmän tai tietoliikennejärjestelyn sisäisiä auditointeja tai arviointeja. Laitoksen on puolueettomuuden hallintaa koskevien vaatimusten mukaisesti aina tunnistettava, analysoitava ja dokumentoitava mahdolliset arviointitoiminnan eturistiriidat ja puolueettomuutta uhkaavat tekijät. Akkreditointistandardi ISO 27006:ssa on lueteltu toimintoja, jotka ovat sallittuja arviointilaitoksille ilman, että niiden katsottaisiin olevan konsultointia tai rikkovan puolueettomuutta koskevia vaatimuksia. Tietoturvallisuuden arviointilaitos voi järjestää sen pätevyysalueeseen liittyvää koulutusta tai laitoksen lukuun toimiva henkilö voi osallistua luennoitsijana tällaiseen koulutukseen, kun koulutuksen sisältö koostuu yleisestä informaatiosta eikä sisällä yritys- tai asiakaskohtaista neuvontaa. Koulutuksen tulee myös olla julkisesti saatavilla ja avoin kaikille halukkaille osallistujille. Lisäksi toiminnot, joiden tavoitteena on määritellä valmius arviointiin, ovat tietyin edellytyksin sallittuja arviointilaitoksille. Auditointivalmiuden selvittäminen ei saa johtaa suosituksiin tai neuvontaan, jotka voidaan katsoa konsultoinniksi tai uhkaavan puolueettomuutta, ja arviointilaitoksen tulee pystyä osoittamaan, etteivät tällaiset toiminnot ole muutenkaan ristiriidassa puolueettomuutta koskevien vaatimusten kanssa. Valmiuden määrittämisellä ei voida perustella arviointiajan lyhentämistä vaan sen tarkoituksena on ainoastaan selvittää, onko arvioinnin kohteen kypsyystaso riittävä arviointiin. Auditointivalmiuden selvittämiseksi tehtävän esiarvioinnin osalta katso kohta 5.1.5. Arviointilaitos voi arvioinnin yhteydessä yksilöidä ja osoittaa arvioinnin kohteelle mahdollisuuksia parantaa sen toimintaa tai esittää muita huomioita, joiden tarkoituksena on arvioinnin kohteen toiminnan kehittäminen, kun tällaiset huomiot tulevat esille arvioinnin ja arviointikäyntien yhteydessä. Arviointilaitoksen tulee kuitenkin pidättyä tiettyjen konkreettisten ratkaisuehdotusten tarjoamisesta. Arviointilaitoksen neuvontavelvollisuuden osalta katso kohta 4.1.6.1.3. Riippumattomuusvaatimusten lisäksi arviointilaitoksen on toiminnassaan noudatettava hallintolain mukaisia esteellisyyssäännöksiä, jotka ovat luonteeltaan henkilökohtaisia eli tiettyä arviointilaitoksen lukuun työskentelevää henkilöä koskevia esteellisyysperusteita. Nämä esteellisyysvaatimukset kohdistuvat kaikkiin arviointilaitoksen lukuun työskenteleviin henkilöihin riippumatta siitä, ovatko nämä henkilöt työsopimussuhteen perusteella laitoksen palveluksessa vai perustuuko työskentely esimerkiksi toimeksiantosopimukseen.

Ohje 16 (44) 4.1.3 Laitoksen henkilökunnan pätevyys ja toiminnan edellyttämät järjestelmät Tietoturvallisuuden arviointilaitoksen tulee standardien ISO 17021 ja ISO 27006 mukaisesti varmistua siitä, että sillä on käytössään jatkuvasti sellaiset henkilö- ja muut resurssit, joilla turvataan luotettavan ja pätevän tietoturvallisuuden arviointitehtävän suorittaminen. Pätevyys edellyttää todennettua hyvää teknistä osaamista ja riittävän laaja-alaista kokemusta arviointitoimintaan kuuluvissa tehtävissä, mistä osoituksena voi olla esimerkiksi tietoturvallisuusalaan liittyvä koulutus ja riittävä työkokemus arviointitoiminnassa. Tietty koulutusohjelma tai tutkinto ei ole ehdoton vaatimus arviointilaitoksen henkilöstölle. Pätevyyden arvioinnissa otetaan huomioon kaikki arviointilaitokseksi hakevan esittämä näyttö, jonka perusteella arvioidaan, täyttyvätkö resurssivaatimukset. Arviointilaitoksella on oltava käytettävissään myös toiminnan edellyttämät laitteet, välineet, menetelmät ja järjestelmät, jotka ovat tarpeen tietoturvallisuuden arviointitehtävän suorittamiseen. Pätevyyden arvioinnissa arviointilaitoksen tulee uskottavasti osoittaa, että sillä on riittävät hallinnolliset ja tekniset todennusmenetelmät haettavaan pätevyysalueeseen liittyvien arviointien suorittamiseksi. Kyky tehdä KATAKRI- ja VAHTI-arviointeja on osoitettava kaikkien näihin kriteeristöihin kuuluvien vaatimusten osalta, ja nämä menettelyt tulee käydä ilmi myös arviointilaitoksen toimintaa koskevista ohjeista. Osana pätevyyden arviointia arviointilaitoksen tulee osoittaa myös, että sillä on käytössään arviointitoiminnan edellyttämät laitteet, välineet ja järjestelmät. Arviointilaitoksella tulee olla käytössään sellaiset laitteet, välineet ja järjestelmät, joilla voidaan suorittaa arviointitoimeksiannot sekä suojata toimeksiantojen yhteydessä saatavat tiedot. Tietojenkäsittelyn turvallisuutta koskevat vaatimukset todennetaan KATAKRI-kriteeristön perusteella. 4.1.4 Vastuuhenkilöiden luotettavuus ja tietojenkäsittelyn turvallisuus Tietoturvallisuuden arviointilaitoksen vastuuhenkilöiden tulee olla luotettavaksi todettuja henkilöitä. Vastuuhenkilöiksi katsotaan laitoksen kaupparekisteriotteessa ilmoitetut henkilöt ja laitoksen ylin johto 12. Arviointilaitos käsittelee arviointitoiminnan yhteydessä arvioinnin kohteiden salassa pidettävää tietoa, ja laitoksella tulee olla kyky käsitellä tällaista tietoa sille asetettujen suojausvaatimusten mukaisesti. Arviointilaitoksella on oltava luotettavaksi arvioitu ja valvottu menetelmä, jonka avulla laitoksen toimitilojen ja tietojenkäsittelyn turvallisuus varmistetaan. Luottamuksellisen tiedon turvallista käsittelyä koskevat vaatimukset todennetaan Kansallisen turvallisuusauditointikriteeristön (KATAKRI) kulloinkin voimassa olevan version avulla ja arviointilaitoksen on täytettävä KATAKRI:n hallinnollista turvallisuutta, henkilöstöturvallisuutta, fyysistä 12 Henkilöt, jotka vastaavat ISO 17021 6.1.2 kohdan mukaisista tehtävistä.

Ohje 17 (44) turvallisuutta sekä tietoturvallisuutta koskevien osa-alueiden mukaiset vaatimukset. Vaatimusten täyttäminen tarkoittaa käytännössä muun muassa sitä, että laitos on määritellyt sen turvallisuustoimintaa koskevat periaatteet, turvallisuusorganisaation sekä siihen liittyvät vastuut, sillä on riittävät menetelmät riskien tunnistamiseksi, arvioimiseksi ja poikkeustilanteiden hallitsemiseksi. Laitoksen toimitilojen on puolestaan täytettävä KATAKRI:ssa luetellut vaatimukset koskien aluetta, fyysisiä rakenteita ja turvallisuusteknisiä järjestelmiä. Henkilöstöturvallisuusvaatimukset edellyttävät muun muassa sitä, että arviointitoiminnassa käytetään vain sellaisia henkilöitä, jotka ovat antaneet asianmukaiset salassapitositoumukset sekä läpäisseet riittävät turvallisuusselvitykset 13. Arviointilaitos voi toiminnassaan käyttää vain sellaisia henkilöitä, joiden osalta turvallisuusselvitystä tehtäessä ei ole tullut esiin mitään sen tarkoituksen kannalta merkityksellistä tietoa. Mikäli turvallisuusselvityksen perusteella tulee esiin tietoja, on arviointilaitoksen aina pyydettävä Viestintävirastolta etukäteinen kirjallinen lausunto henkilöstövaatimusten täyttymisestä ennen kyseisen henkilön käyttämistä arviointitoiminnassa. Kun arviointilaitos hakee pätevyysalueekseen KATAKRI:a tai VAHTI:a, sovelletaan sen omaan toimintaan lähtökohtaisesti yhtä suojaustasoa korkeampaa vaatimustasoa, kuin mille laitos hakee hyväksyntää 14. Jos hyväksyntää haetaan esimerkiksi suojaustasolle IV, arviointilaitoksen tietojenkäsittelyn turvallisuuden todentamisessa käytetään KATAKRI:n IIItason vaatimuksia. Kun pätevyysalue ei sisällä KATAKRI:a tai VAHTI:a, tietojenkäsittelyn turvallisuus todennetaan käyttäen KATAKRI IV-tason vaatimuksia. Turvalliseen tiedonkäsittelyyn liittyen arviointilaitoksen tulee huomioida tietojenkäsittelyssään myös akkreditointistandardien vaatimukset koskien luottamuksellisuutta. Lisäksi arviointilaitoksen on varmistuttava siitä, että tiedonkäsittelyvaatimuksia noudatetaan riippumatta siitä, kuka arviointilaitoksen lukuun tekevä henkilö tai taho käsittelee salassa pidettävää tietoa. Vaatimukset koskevat yhtä lailla omaa henkilöstöä kuin tahoa, joka hoitaa arviointiin liittyviä tehtäviä esimerkiksi toimeksiantosopimuksen perusteella. 13 Arviointilaitoksen on haettava toimintaan osallistuvista henkilöistä turvallisuusselvitys sen perusteella, mitä salassa pidettävää tai turvallisuusluokiteltua tietoa arviointitoimintaan osallistuva henkilö tulee käsittelemään. Turvaselvitysten osalta otetaan huomioon myös salassa pidettävän tai turvallisuusluokiteltujen tietojen määrä. 14 Arviointilaitoksella tulee olla kyky käsitellä loppuasiakkaansa luokittelemaa tietoa sille asetettujen suojausvaatimusten mukaisesti. Arviointilaitoksen arvioidessa esimerkiksi loppuasiakkaansa IV-tason järjestelmää, tulee arviointilaitos saamaan arviointiprosessin aikana asiakkaansa luokittelemaa ko. järjestelmää koskevaa tietoa (esimerkiksi verkkokuvat ja tiedot kytkennöistä muihin järjestelmiin). Järjestelmien turvallisuustoteutuksiin liittyvät tiedot luokitellaan eräissä tapauksissa pykälää korkeammalle, kuin mikä on korkein järjestelmässä käsiteltävä tieto. Myös eri loppuasiakkaiden tiedoista koostuvan tietovarannon suojaustaso on usein tulkittavissa kasautumisvaikutuksesta johtuen yksittäisten tietojen suojaustasoa korkeammaksi.

Ohje 18 (44) 4.1.5 Asianmukaiset ohjeet toimintaa ja sen seurantaa varten Tietoturvallisuuden arviointilaitoksella tulee olla ja sen tulee ylläpitää ohjeistusta koskien arviointitoimintaa ja toiminnan seurantaa. Ohjeistuksen tulee ottaa huomioon arviointilaitostoimintaan liittyvät lakisääteiset ja muut vaatimukset sekä tämän ohjeen sisältö. Lisäksi arviointilaitoksen tietoturvallisuusohjeistuksen on täytettävä KATAKRI:ssa kuvatut vaatimukset. Arviointilaitoksen tulee varmistua siitä, että sen lukuun työskentelevät henkilöt ja tahot saatetaan tietoisiksi tietoturvallisuuden arviointitoimintaan liittyvistä vaatimuksista ja velvollisuuksista. Tämän varmistamiseksi arviointilaitoksen ohjeistuksessa tulee ottaa kantaa esimerkiksi siihen, miten laitos varmistuu siitä, että sen henkilöstö ja muut laitoksen lukuun työskentelevät henkilöt ovat tietoisia arviointilaitoksen yleisestä ja tietoturvallisuuteen liittyvästä ohjeistuksesta ja ymmärtävät ohjeistuksen sisällön. 4.1.6 Hyvää hallintoa koskevien säännösten noudattaminen Hyväksytty tietoturvallisuuden arviointilaitos hoitaa toiminnassaan julkista hallintotehtävää, minkä vuoksi sen on arviointilaitoslaissa tarkoitettuja tehtäviä suorittaessaan noudatettava hyvää hallintoa koskevia hallintolaissa (434/2003), julkisuuslaissa ja kielilakia (423/2003) viranomaisvaatimuksia. 4.1.6.1 Hallintolaki Hallintolaissa säädetään hyvän hallinnon perusteista, joita hyväksyttyjen arviointilaitosten on noudatettava toiminnassaan. Hyvän hallinnon perusteet ovat toimintaa koskevia yleisiä laadullisia vähimmäisvaatimuksia, jotka arviointilaitoksen tulee huomioida toiminnassaan. Lisäksi jokaisen arviointilaitoksen lukuun työskentelevän on omatoimisesti huomioitava nämä vaatimukset yksittäisissä arvioinneissa. Arviointilaitoksen on kohdeltava asiakkaitaan tasapuolisesti sekä käytettävä toimivaltaansa lain mukaan hyväksyttäviin tarkoituksiin. Arviointilaitoksen toiminnalta edellytetään muun muassa puolueettomuutta, tasapuolisuutta ja luottamuksensuojaa. Arviointilaitoksen tulee toiminnassaan lisäksi huomioida hallintolain menettelylliset oikeusperiaatteet, jotka koskevat esteellisyyttä, asianosaisen eli arvioinnin toimeksiantajan ja arvioinnin kohteen kuulemista ja perusteluvelvollisuutta liittyen arvioinnissa tehtyihin havaintoihin ja johtopäätöksiin. 4.1.6.1.1 Hallinnon oikeusperiaatteet Hallinnon oikeusperiaatteilla tarkoitetaan yhdenvertaisuutta, objektiivisuutta, tarkoitussidonnaisuutta, suhteellisuutta ja luottamuksensuojaa. Nämä periaatteet ovat osittain päällekkäisiä ISO 17021 standardin mukaisten periaatteiden kanssa. Yhdenvertaisuudella tarkoitetaan sitä, että arviointilaitoksen on kohdeltava kaikkia asiakkaitaan samanlaisissa tilanteissa samalla tavalla eli

Ohje 19 (44) tasapuolisesti. Tarkoitussidonnaisuudella tarkoitetaan yleisesti ottaen toiminnan hyväksyttäviä tarkoitusperiä ja kiellettyjen tarkoitusten toteuttamisen välttämistä. Tarkoitussidonnaisuus pitää sisällään esimerkiksi sen, että arviointitoiminnassa saatuja tietoja käytetään vain etukäteen määriteltyihin ja hyväksyttyihin tarkoituksiin. Objektiivisuudella puolestaan tarkoitetaan arviointitoiminnan yhteydessä muun muassa esitettyjen näkemysten ja kannanottojen objektiivisuutta eli subjektiivisten asenteiden poissulkemista. Lisäksi objektiivisuus edellyttää, että esitetyt kannanotot vastaavat mahdollisimman pitkälle tosiasioita, mikä osaltaan edistää arviointilaitoksen toimintaan kohdistuvaa luottamusta. Arviointilaitoksen ja sen lukuun toimivien henkilöiden toiminnan on myös oltava suhteellisuusperiaatteen mukaista eli laitoksen toimenpiteiden on oltava oikeassa suhteessa tavoiteltuun päämäärään nähden. Tämä on huomioitava erityisesti niissä tilanteissa, joissa arviointitehtävässä käsitellään henkilötietoja tai yksityisyyden suojaan kuuluvia tietoja. Tällaisia tietoja ei pääsääntöisesti tule käsitellä, ellei se ole välttämätöntä tehtävän suorittamisen kannalta. Silloinkin tulee varmistua siitä, että tietojen käsittely on lain mukaan mahdollista ja se tapahtuu lain edellyttämällä tavalla. Luottamuksensuoja liittyy oikeusvarmuuteen ja pitää sisällään erityisesti vaatimuksen arviointitoiminnan johdonmukaisuudesta. Lisäksi se tarkoittaa laitoksen tuottamien asiakirjojen ja niiden sisältämien tietojen julkista luotettavuutta ja oikeellisuutta, kunnes ne nimenomaisesti osoitetaan vääriksi. Luottamusvaatimus tarkoittaa myös perusteltua arviointilaitostoimintaan kohdistuvaa odotusta siitä, että laitos toimii ennakoitavissa olevalla tavalla ja arviointilaitoksen antamiin neuvoihin tai muuhun informaatioon voi luottaa. 4.1.6.1.2 Palveluperiaate ja palvelun asianmukaisuus Palveluperiaatteella tarkoitetaan sitä, että arviointilaitoksen asiakas saa asianmukaisesti laitoksen tarjoamia palveluja. Palvelut on järjestettävä asiakkaan näkökulmasta ja palveluiden on oltava laadultaan hyviä. 4.1.6.1.3 Neuvonta ja hyvän kielenkäytön vaatimus Arviointilaitoksella on neuvontavelvollisuus sen pätevyysalueeseen kuuluvien tietoturvallisuuden arviointitehtävien osalta. Laitoksen on annettava asiakkailleen tarpeen mukaan arviointipalveluihin liittyvää neuvontaa sekä vastattava palveluja koskeviin kysymyksiin ja tiedusteluihin. Neuvontavelvollisuus kattaa lähinnä arviointitoimeksiantoa koskevat menettelyneuvot, eikä se ulotu sisällölliseen neuvontaan. Tässä yhteydessä arviointilaitoksen ja sen lukuun työskentelevien henkilöiden onkin pidättäydyttävä neuvonnasta, joka on konsultointia ja vaarantaa riippumattomuuden. Arviointilaitoksen tulee antaa neuvoja, ohjeita ja opastusta maksutta, mikäli niistä aiheutuu vain vähäisiä kustannuksia. Neuvonnalta ei varsinaisesti edellytetä ehdotonta julkista luotettavuutta, mutta arviointilaitoksen tulee pyrkiä mahdollisimman virheettömiin neuvoihin ja opastukseen.

Ohje 20 (44) Hyvän kielenkäytön vaatimus tarkoittaa asiallista, selkeää ja ymmärrettävää kieltä. Hyvää kieltä on käytettävä sekä suullisessa että kirjallisessa esityksessä ja arviointilaitoksen tuottamat asiakirjat on laadittava hyvällä ja ymmärrettävällä kielellä. 4.1.6.1.4 Selvittämisvelvollisuus ja päätöksen perusteleminen Arviointilaitostehtävää hoidettaessa arviointilaitoksen on huolehdittava asian riittävästä ja asianmukaisesta selvittämisestä ja pyydettävä arvioinnin kohteelta tarvittavat tiedot arvioinnin suorittamiseksi. Arviointitoimeksiantoa ei voida suorittaa pintapuolisen arviointiaineiston pohjalta. Selvittäminen voi perustua suulliseen tai kirjalliseen selvitykseen, mutta arviointilaitoksen on kuitenkin pystyttävä osoittamaan jälkikäteen, että tehdyt havainnot perustuvat riittävään selvitykseen. Perusteluvelvollisuus edellyttää sitä, että arvioinnissa tehtävät havainnot perustellaan riittävällä tarkkuudella siten, että arvioinnin toimeksiantaja saa tiedot siitä, miten tiettyyn lopputulokseen on päädytty ja mihin tehdyt johtopäätökset perustuvat. Perusteluissa on kiinnitettävä huomiota johdonmukaisuuteen ja selkeyteen sekä saatujen selvitysten tarkkaan arviointiin. Mikäli arviointilaitos esimerkiksi toimeksiantajan reklamoinnin johdosta havaitsee jälkikäteen, että sen tekemässä arvioinnissa on puutteita tai virheitä liittyen asian selvittämisen, havaintojen perustelemisen tai muun syyn takia, tulee sen mahdollisuuksien mukaan korjata havaitut puutteet tai virheet. Arviointitehtävään liittyvää selvittämis- ja perusteluvelvollisuutta konkretisoidaan kappaleissa 5.3 Arviointimenettelyn vaiheet, 5.4 Arviointimenetelmät sekä liitteessä B Arviointiraporttimalli. Lisäksi standardi ISO 17021 sisältää vaatimuksia koskien tiedon keräämistä ja todentamista, poikkeamien syiden selvittämistä, auditointihavaintojen yksilöintiä ja kirjaamista, valituksiin vastaamista ja valituksia koskevasta käsittelyprosessista sekä siitä tiedottamisesta. 4.1.6.1.5 Esteellisyys Arviointilaitoksen lukuun työskentelevä henkilö ei saa osallistua arviointitoimeksiantoon, jos häntä koskee hallintolain 28 :ssä mainittu esteellisyysperuste. Esteellisyyttä koskeva asia on ratkaistava viipymättä arviointitoimeksiannon alkuvaiheessa. Esteellisyyden ratkaisee henkilö itse. Arviointilaitos ja sen vastuuhenkilöt ovat kuitenkin vastuussa riippumattomuutta koskevien vaatimusten täyttymisestä. 4.1.6.2 Julkisuuslaki Julkisuuslaissa säädetään viranomaisten julkisista asiakirjoista sekä asiakirjojen salassapidosta, salassa pidettäviin tietoihin liittyvästä vaitiolovelvollisuudesta ja hyväksikäyttökiellosta sekä hyvästä tiedonhallintatavasta. Julkisuuslain lähtökohta on julkisuusperiaate, mutta arviointilaitoksen tulee suojata salassa pidettävää tietoa (kuten liikesalaisuudet ja turvajärjestelyjä koskevat salassa pidettävät tiedot)

Ohje 21 (44) tietoturvallisuus- ja tiedonkäsittelyä koskevien vaatimusten edellyttämällä tavalla (vertaa kohta 4.1.4). Rangaistus julkisuuslain mukaisen salassapitovelvollisuuden ja hyväksikäyttökiellon rikkomisesta tuomitaan rikoslain 40 luvun 5 :n mukaan, jollei teko ole rangaistava 38 luvun 1 tai 2 :n mukaan tai jollei siitä muualla laissa säädetä ankarampaa rangaistusta. 4.2 Arviointilaitokseksi hakeutuminen 4.2.1 Akkreditoinnin hakeminen Ennen varsinaisen hyväksynnän hakemista Viestintävirastolta, arviointielimen on haettava FINAS-akkreditointipalvelulta akkreditointia eli pätevyyden arviointia. Arviointielimen akkreditointiin sovelletaan yhdenmukaisia kansainvälisiä ja eurooppalaisia arviointiperusteita. Tietoturvallisuuden arviointilaitoksen pätevyyden arvioinnissa sovelletaan standardien ISO 17021 ja ISO 27006 vaatimuksia sekä tässä ohjeessa tarkemmin kuvattuja vaatimuksia. 4.2.1.1 Arviointilaitoksen pätevyysalue Tietoturvallisuuden arviointilaitoksen on hakiessaan pätevyyden arviointia ilmoitettava, mille pätevyysalueelle se hakee akkreditointia. Pätevyysalueet määritellään seuraaville osa-alueille: I. tietoturvallisuuden arviointikriteeristö 1) valtiovarainministeriön liitteessä 1 yksilöidyt ohjeet tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, kulloinkin voimassa olevat versiot 15 2) kansallinen turvallisuusauditointikriteeristö, kulloinkin voimassa oleva versio 3) ISO/IEC 27001, kulloinkin voimassa oleva versio 4) muu julkaistu ja yleisesti tai alueellisesti sovellettu tietoturvallisuutta koskeva säännös, määräys tai ohje taikka vahvistettuun standardiin sisältyvät tietoturvallisuutta koskevat vaatimukset Arviointilaitoksen on haettava pätevyyttä osa-alueelle 3) eli jotta laitos voidaan hyväksyä tietoturvallisuuden arviointilaitokseksi, sillä on oltava pätevyys suorittaa ISO 27001 standardin mukaisia arviointeja. Kun arviointilaitos hakee pätevyyden arviointia kohtiin I. 1) ja 2), haetaan pätevyyttä myös suojaustason perusteella: 15 Mikäli tietoturvallisuuden arviointilaitoksen pätevyysalue kattaa valtiovarainministeriön ohjeet tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, voi se tehdä sosiaali- ja terveydenhuollon tietojärjestelmien arvioinnin ja antaa olennaisten vaatimusten täyttymistä koskevan todistuksen (ks. 6 Sosiaali- ja terveydenhuollon tietojärjestelmien arviointi)

Ohje 22 (44) II. suojaustaso 1) suojaustaso IV 2) suojaustaso III Kun arviointilaitos hakee pätevyyden arviointia tietoturvallisuuden arviointilaitoksista annetun lain mukaisesti ensimmäisen kerran, voidaan sille määritellä akkreditoitu pätevyysalue osa-alueen II osalta suojaustasolle IV (II, alakohta 1). 4.2.2 Hyväksynnän hakeminen Viestintävirastolta Tietoturvallisuuden arviointilaitos voi hakea hyväksyntää toimintaansa varten Viestintävirastolle osoitetulla vapaamuotoisella hakemuksella. Hakemukseen on liitettävä tiedot, jotka ovat tarpeen asian käsittelyä varten. Hakemukseen liitteenä tulee olla FINAS-akkreditointipalvelun akkreditointipäätös, josta ilmenee arviointilaitoksen akkreditoitu pätevyysalue. Hyväksyntä voidaan arviointilaitoksen hakemuksesta erityisestä syystä antaa määräaikaisena. Erityinen syy voi liittyä esimerkiksi arviointilaitoksen pätevyysalueen rajaamiseen, joka tulisi arviointilaitoksen toiminnan kehittämisen jälkeen tarpeettomaksi. Hyväksynnän antamisen edellytyksenä on kuitenkin aina se, että laitos täyttää arviointilaitoksista annetun lain 5 :n hyväksymisvaatimukset. Kuva 3. Arviointilaitoksen hyväksymismenettely Hakemuksen tulee sisältää seuraavat tiedot: