tulli.fi Lausunto 03.07.2017 Asia: VM/711/00.01.00.01/2015 Julkisen hallinnon ICT-linjauksia Linjausten tarkoitus Linjausten tarkoituksen kuvauksessa olisi hyvä tuoda esille lyhyesti perusteluin, mihin ICT-palveluihin (toimialariippumattomiin ICT-palveluihin ja niiden tiettyihin osa-alueisiin tms.) linjaukset erityisesti kohdentavat. Tullin lausunto on kirjoitettu oletuksella, että luonnostelluilla linjauksilla halutaan kohdentaa vain ja ainoastaan toimialariippumattomiin ICT-palveluihin (ei toimialariippuviin). Mikäli linjaukset kohdentaisivatkin kaikkiin ICT-palveluihin, tulisi esimerkiksi ICT-palveluiden sijainnin ja hallinnan linjauksissa tarkentaa markkinalähtöisyyden tavoitetta niin, että huomioidaan organisaation omat tarpeet. Lisäksi tulisi harkita lisättäväksi linjauksia liittyen valtionhallinnon kokonaisedun huomioimiseen, josta esimerkkinä palveluiden toisen valtion organisaation käyttöön muutostilanteissa siirtämisen mahdollisuuden ja palveluiden skaalautuvuuden varmistaminen. Linjausten tavoitteet Tavoiteasetannassa olisi hyvä tuoda esille niin julkisen hallinnon asiakkaiden kuin julkisen hallinnon työntekijöiden ja toimintojenkin tarpeet ja näkökulmat. Esimerkiksi tavoite Pyydämme uutta tietoa vain kerran olisi hyvä selventää niin, että näkökulma (julkisen hallinnon asiakas?) käy selville. Myös eri julkisen hallinnon organisaatioiden (mm. PTR-yhteistyö) yhä saumattomampi yhteistyö tarvittavilla osa-alueilla olisi hyvä ICT-palveluihinkin kohdistuvana tarpeena tuoda esille tässä yhteydessä. Keitä nämä linjaukset koskevat Myös käyttöpalveluiden (ml. konesali- ja kapasiteettipalvelut sekä sovellusalusta-, tietokanta- ja sovellushallintapalvelut) linjaukset olisi hyvä saada mahdollisuuksien mukaan osaksi samaa ICT- Lausuntopalvelu.fi 1/9
Visio 2025 linjausten kokonaisuutta, sillä nyt luonnostelluissa linjauksissa sivutaan myös tämän osa-alueen asioita (kohdassa 7, ICT-palveluiden sijainti ja hallinta). Kohderyhmänä lienee hyvä nostaa esille myös Valtori tämän osa-alueen keskeisenä toimijana (tekstiluonnoksessa puhutaan nyt ICT-alan yrityksistä ; kuvaavampi ja kattavampi termi voisi olla esimerkiksi ICT-toimittajat tai sekä julkisen hallinnon sisäiset että ulkoiset ICT-toimittajat. Visiosta tulisi kuvastua myös tarve eri suojaus- ja tietoturvatason ratkaisuille, joiden yhteensovittamisen tulisi olla saumatonta. Olisi myös hyvä selventää, mihin muuttuvaan ympäristöön tässä yhteydessä erityisesti viitataan (teknologisiin muutoksiin ja/vai esimerkiksi toimintaympäristön (lainsäädännön, asiointitapojen tms.) muutoksiin). Mittareiksi olisi hyvä mainita myös tarvetta vastaavien ICT-palveluiden saatavuuden turvaaminen ja julkisen hallinnon asiakkaiden (kansalaisten ja yritysten) ketterän asioinnin tukeminen. Kustannustehokkuuden osalta voisi olla hyvä mainita paitsi suorien kustannusten näkökulma myös tehokkaan työnteon ja asioinnin tukemisen näkökulma ja sitä kautta syntyvät säästöt. Tavoite 2025 Linjaukset Visiosta tulisi kuvastua myös tarve eri suojaus- ja tietoturvatason ratkaisuille. Kohdan 1 linjauksen muotoilu kaipaa tarkistusta (esim. muotoon: Julkisella hallinnolla on käytössään tietoliikennepalvelujen kehittämistä ohjaava hyväksytty tietoliikennearkkitehtuuri. ). Kohdan 2 termin tuotteistettu tietoliikennepalvelu osalta olisi hyvä tarkentaa, viitataanko Valtorin tuotteistamaan palveluun, käyttäjän kannalta tuotteistettuun tai konseptoituun palveluun vai johonkin muuhun. Ts. tulisi selventää, mitä tuotteistuksella tavoitellaan tässä asiayhteydessä tuotteistus lienee keino päästä esim. teknisten ratkaisujen harmonisoinnin kautta kustannustehokkuuteen tai johonkin muuhun varsinaiseen tavoitteeseen. Kohdassa 4 mainittuun linjaukseen liittyen tulisi huomioida palvelutasotarpeiden vaihtelu eri organisaatioiden, eri toimintojen ja eri toimipisteiden kesken. Kustannustehokkainta on, jos eri palvelutasotarpeet pystytään huomioimaan ylläpitovalmiuksien hallinnassa ja oikein kohdentamisessa. Tietoliikenteeseen kohdistuvia tietoturvavaatimuksia on aikaisemmin käsitelty virastokohtaisesti. Linjauksissa tulisi selkiyttää, käsitelläänkö julkisen hallinnon tietoliikenneverkkoihin kohdistuvien Lausuntopalvelu.fi 2/9
tietoturvavaatimusten toteutumista jatkossa yhtenä kokonaisuutena vai pitääkö vaatimusten toteutua edelleen virastokohtaisesti. Linjausten kuvaukset ja vaikutukset Lauseessa Linjauksissa tarkoitetut tietoliikennepalvelut ovat pääsääntöisesti tietoyhteiskuntakaaressa tarkoitettuja viestintäpalveluja viimeisen sanan kuuluisi varmaankin olla tietoliikennepalveluita (ei viestintäpalveluja ). Tietoyhteiskuntakaareen viittaamisen sijaan/lisäksi olisi hyvä, jos tässä johdantokappaleessa määriteltäisiin ylätasolla, mihin tietoliikennepalveluin tässä yhteydessä viitataan (esim. konesalien tietoliikennepalvelut, toimipisteiden lähiverkkopalvelut, toimipisteet yhdistävän verkon palvelut, internet-liittymät, etäyhteyspalvelut). Arkkitehtuuria käsittelevässä kohdassa termi konesaliverkosto vaatinee selventämistä viitataanko eri konesalien välisiin yhteyksiin ja/vai kunkin konesalin omaan verkkoon. Myös TUVEpalveluiden ja ei-tuve-palveluiden väliset yhteydet tulee turvata esimerkiksi Tullilla on henkilöstöä, jonka tulee pystyä käyttämään samalta päätelaitteelta niin TUVE-palveluiden piirissä olevia järjestelmiä kuin ei-tuve-käyttöpalveluidenkin piirissä olevia järjestelmiä. Olisi lisäksi hyvä selventää, viitataanko kansainvälisillä ja satelliittiyhteyksillä ylipäätään internet-liikenteeseen (jonka osalta huomioitava myös kotimainen internet-liikennöinti). VY-verkko lienee hyvä mieltää terminologisesti VY-liitynnäksi, joka mahdollistaa valtionhallinnon sisäiset yhteydet ei niinkään valtionhallinnon yhteiseksi kokonaiseksi verkoksi. Toimipisteiden paikalliset yhteydet termin sijaan voinee harkita toimipisteet yhdistävän verkon ja sen liittymien käsitettä. Lähiverkot ja julkisesti käytössä olevat verkot päätelaitteille viitannee langallisiin ja langattomiin lähiverkkoihin niin sisäverkon kuin vierailijaverkonkin kattaen. Yhteentoimivien tietoliikennepalveluiden kohdassa olisi hyvä tuoda esille myös viranomaisyhteistyön edellyttämät tietoliikenneratkaisut, esim. PTR-yhteistyö. Lisäksi olisi hyvä selventää, minkä toimijoiden lähiverkoista ja millä päätelaitteilla työntekijöiden odotetaan pääsevän verkkoon oman organisaationsa vai minkä tahansa julkisen hallinnon organisaation lähiverkon kautta, oman organisaation päätelaitteilla vai esimerkiksi omilla henkilökohtaisella päätelaitteellaan. Linjausta tarkennettaessa tulisi huomioida eri tietoturva- ja suojaustasovaatimukset (mm. päätelaitteiden tunnistuksen tarve) sekä se, riittääkö naapuriorganisaation lähiverkkoa hyödynnettäessä mahdollisuus hyödyntää ko. organisaation vierailijaverkkoa ja sen tarjoamaa internet-yhteyttä. Nyt luonnostellun tekstin mukaan työntekijät pääsisivät päätelaitepalvelulla omiin palveluihinsa mistä tahansa langallisen ja/tai langattoman lähiverkon kautta. Linjaus avaa laajasti uusia rajapintoja tietoturvahyökkäyksille, jos kaikkien virastojen verkot ulotetaan kaikkiin toimipisteisiin. Virastot ja niissä käsiteltävä tieto eroavat toisistaan huomattavasti salaustasoiltaan, samoin toimitilojen fyysisen turvallisuuden toteutus. Tietoturvan riittävästi huomioiva linjaus olisi Työntekijät pääsevät päätelaitepalvelulla omiin palveluihinsa mistä tahansa langallisen ja/tai langattoman lähiverkon kautta hyödyntäen etäyhteyspalvelua. Toisen viraston tiloissa verkkoon kytkeytyminen avaisi päätelaitteen tunnistuksen perusteella yhteyden vain internetiin. Käynnistämällä päätelaitteelta liikenteen salaava etäyhteysohjelmisto saisi pääsyn oman organisaation palveluihin. Teknisestikin lienee haastavaa tuoda kaikkien organisaatioiden sisäverkot saataville kaikkiin toimispisteverkon liittymiin. Lausuntopalvelu.fi 3/9
Markkinoilta hankittujen palveluiden kohdassa on mainittu, että viranomaisten itse hallinnoimia tietoliikennepalveluita voidaan korvata Tässä kohdassa olisi hyvä tuoda esille, että tietoliikennepalvelut hankitaan keskitetysti erityisesti Valtorilta, jonka vastuulla on hyödyntää tarpeen mukaan alihankintaa kaupallisilta toimijoilta/operaattoreilta, jotta mm. saatavuus- ja toimituskyvykkyysvaatimuksiin pystytään vastaamaan. Viranomaisten tietoliikennepalveluiden saatavuuskriittisyyttä käsittelevässä kohdassa on lähdetty luonnoksen tekstissä siitä olettamasta, että saatavuus turvattaisiin viranomaisten itse tuottamin tietoliikenneyhteyksin. Käytännössä esimerkiksi toimipisteet yhdistävän verkon tapauksessa on turvauduttava kaupallisten toimijoiden liityntäverkkoihin ja huomioitava, että ko. operaattoreilla on tarvittavat 24/7-ylläpidon valmiudet, joista voi sopimuksellisesti sopia. Linjauksessa tulisi siis lähteä siitä, että korkean saatavuuden vaatimus voidaan toteuttaa myös kaupalliselta toimijalta tarvittava palvelu ostamalla. Vierailijaverkkoa koskevilta osin tekstiluonnoksessa on lähdetty siitä, että vierailijaverkko tulisi eriyttää täysin sisäverkosta ja vieläpä niin, ettei vierailijaverkon peittoalueilla tulisi olla sisäverkkoa käytettävissä. Tätä vierailijaverkkoa käsittelevää kohtaa olisi tarpeen tarkentaa siten, että vierailijaverkon eriyttäminen sisäverkosta voi olla loogiseen eriyttämiseen perustuvaa siten, että esimerkiksi samoja julkisen hallinnon organisaation palveluna hankkimia lähiverkon tukiasemia on pystyttävä hyödyntämään niin vierailijoiden kuin organisaation oman työntekijöidenkin tarpeisiin. Vierailijaverkkoon liittyvä linjaus Vieraille tarkoitettuihin neuvottelu- ja muihin tiloihin ei uloteta sisäverkon yhteyksiä. kumoaa linjauksen Työntekijät pääsevät päätelaitepalvelulla omiin palveluihinsa mistä tahansa langallisen ja/tai langattoman lähiverkon kautta. Toisen viraston työntekijöitä kohdellaan virastoissa lähtökohtaisesti vieraina. Linjausdokumentissa tulisi selkiyttää, mitkä linjaukset koskevat valtiohallintoa yhtenä kokonaisuutena, mitkä yksittäistä virastoa ja mitkä työntekijää. Tavoite 2025 Olisi hyvä tuoda esille, kohdentavatko linjaukset julkisen hallinnon työntekijöiden käyttämiin päätelaitteisiin vai myös sen tukemiseen, että julkisen hallinnon asiakkaat voivat asioida julkisen hallinnon toimijan suuntaan eri päätelaitteita käyttäen. Olisi hyvä määritellä, tarkoitetaanko päätelaitteilla matkapuhelinten ja muiden mobiililaitteiden (tabletit jne.) sekä työasemien lisäksi esimerkiksi tulostuslaitteita (monitoimilaitteet ja verkkotulostimet) ja neuvotteluhuoneiden AV-laitteita (videokonferenssikamerat jne). Tavoitteessa voisi olla hyvä mainita myös laitteiden elinkaarten tehokas hallinta. Lausuntopalvelu.fi 4/9
Linjaukset Kohdan 1 tavoitteessa olisi hyvä viitata mobiliteettiin ja selventää, mitä palveluilla tässä yhteydessä tarkoitetaan. Kohdan 2 osalta viitattaneen varmistamisen tarpeettomuudella siihen, ettei työntekijän (päätelaitteen käyttäjän) tarvitse huolehtia varmistuksista itse. Linjauksissa olisi lisäksi hyvä tuoda esille keskitetyn etähallinnan hyödyntäminen mahdollisuuksien mukaan mm. tietoturvan hallitsemiseksi. Linjausten kuvaukset ja vaikutukset Ensimmäisen linjauksen osalta paikasta riippumattomuuden osalta on hyvä rajata, ettei suosita esimerkiksi suojaamattomien vieraiden WLAN-verkkojen käyttöä. Lisäksi tarpeen rajata, että kapasiteettienkin hallitsemiseksi tulee voida priorisoida organisaation oma käyttö suhteessa toisten julkisen hallinnon organisaatioiden työntekijöiden käyttöön (esim. ohjaamalla vieraan organisaation työntekijä hyödyntämään vierailijaverkkoa, jonka kapasiteetti on rajattu). Organisaation tulee myös pystyä linjaamaan järjestelmien suojaustasojen perusteella, haluaako se sallia jonkin järjestelmänsä käytön esimerkiksi etäkäyttöratkaisulla sisäverkon (organisaation tilojen) ulkopuolelta. Toisen linjauksen osalta tulee huomioida tarve datan säilytykseen päätelaitteella esim. ulkomailla vierailujen ajan kohtuuhintaisten tms. datayhteyksien saatavuuden ollessa epävarma. Kolmannen linjauksen osalta tulee huomioida, että päätelaitevalikoimassa myös peruspuhelimet ovat tietyissä perustehtävissä yhä tarpeen (esimerkiksi työpisteen äärellä tapahtuva puhelinasiakaspalvelutyö, jossa puhelinlaite on perusmallia datakäytön tapahtuessa työasemalta). Tässä linjauskohdassa olisi hyvä tuoda esille myös tehokkaan elinkaarten hallinnan näkökulmaa päätelaitevalikoimaa ylläpidettäessä ja linjatessa. Neljännen linjauksen kohdassa olisi hyvä esille tuoda etähallinnan hyödyntäminen päätelaitteiden tietoturvan (esim. käyttöjärjestelmäpäivitysten ja etätyhjennysten) ja tarjottavien sovellusten/palveluiden hallinnointiin. Omistus ei vaikuttane tarjottaviin palveluihin suoraan (organisaatiot ostavat päätelaitteita yhä enemmän palveluna, ei omaan omistukseen), mutta tässä yhteydessä omistuksella viitattaneenkin enemmänkin siihen, onko kyse käyttäjän omasta yksityisomistuksessa olevasta laitteesta vai työnantajan (julkisen hallinnon organisaation) työntekijälleen osoittamasta päätelaitteesta. Tätä olisi hyvä ko. linjauskohtaan terminologisesti selventää. Omien päätelaitteiden käyttöä käsittelevän linjauksen yhteydessä oleva kuva 4 (pitäisi varmaankin olla kuva 1?) ei selvennä luonnosteltua tekstiä, vaan vaatisi lisätekstiä/-selostusta auetakseen lukijalle. Kuvasta saa käsityksen, että myös käyttäjän omalle päätelaitteelle jouduttaisiin antamaan Lausuntopalvelu.fi 5/9
palveluiden käytön tukea (joskin rajoitetusti), mikä voi muodostua haasteeksi kustannustehokkaan käyttäjätukitoiminnon varmistamisen kannalta. Lisäksi jää epäselväksi, miten kunkin käyttäjän oman laitteen soveltuvuutta jonkin työtehtävän suorittamiseen kulloinkin hallittaisiin ja arvioitaisiin (käyttäjän itsensä vai työntekijän toimesta tms.) Lähtökohtaisesti tulisi olla niin, että käyttäjäorganisaatio (työnantaja, joka tarjoaa (hankkii palveluna tai muutoin) käyttäjilleen harkintansa mukaan päätelaitteet työtehtävien suorittamiseksi) voi itse linjata, salliiko se työntekijöilleen työtehtävien hoitamisen myös näiden omilta yksityisiltä päätelaitteilta. Oman yksityisen päätelaitteen käytön harkinnan tulisi perustua mm. siihen tilannetietoon, onko kyseiselle työntekijälle tarjottu ko. työtehtävien suorittamiseksi tarvittava päätelaitteisto myös työnantajan puolesta. Oman yksityisen päätelaitteen tulisi tuoda jotakin selkeää toiminta- tms. etua suhteessa työnantajan tarjoaman päätelaitteen käyttöön. Tavoite 2025 Linjaukset Tässäkin tavoitteessa voisi olla hyvä mainita kustannustehokkuusnäkökulma, joka ei liity niinkään ko. ratkaisujen edullisuuteen vaan tehokkaan työskentelyn mahdollistamiseen. Lisäksi olisi hyvä määritellä, tarkoitetaanko viestintäpalveluilla esim. puhepalveluita (mobiililiittymiä, vaihteenhoidon välitysratkaisuja tms), yhteyskeskusratkaisuja (contact center), sähköpostipalveluita, internetsivustojen julkaisualustoja/-ratkaisuja, verkkokokousratkaisuja ja/vai videoneuvottelupalveluita. Lisäksi olisi hyvä tähdentää, tarkoitetaanko tässä sekä työntekijöiden käyttämiä viestintäpalveluita että julkisen hallinnon asiakkaiden viestintäkanavia ja tapoja julkiseen hallintoon päin. Ensimmäisen linjauksen osalta saatavuus ja toimintavarmuus viitannevat osittain samaan asiaan. Lisäksi ensimmäiseen linjaukseen olisi hyvä huomioida myös tietosuoja ja yksityisyyden suoja. Toisena mainittu linjaus nousee yksittäisenä asiana luonnostekstissä aika suureen rooliin. Sen rinnalle olisi hyvä harkita muiden tärkeiden osa-alueiden linjauksia kuten asiakkaiden kontaktien hallinnan ratkaisujen monikanavaisuuden (puhelut, s-postit, chat, video, näytön jakaminen jne.) tukeminen asioinnin sujuvoittamiseksi tarpeen mukaan. Myös eri suojaustasot huomioivista sähköpostiratkaisuista voisi olla oma linjauksensa. Linjausten kuvaukset ja vaikutukset Ensimmäisen linjauksen osalta sisältö jää hyvin yleiselle tasolle, jos viestintäratkaisujen linjauksia ei tarkenna koskemaan tiettyjä palveluita (esim. sähköposti, yhteyskeskusratkaisut, videoneuvotteluratkaisut, verkkokokousratkaisut jne.) ja kirjoita niihin liittyviä linjauksia toiminnan ohjauksen tueksi. Lausuntopalvelu.fi 6/9
Sosiaalisen median käyttöä koskevassa linjauksessa olisi hyvä selventää, viitataanko julkisen hallinnon asiakkaiden palvelemiseen (mm. tiedottamiseen asiakkaille) sosiaalisen median kanavien kautta vai ennemmin siihen, miten julkisen hallinnon työntekijöiden sosiaalisen median käyttöä tuetaan tarpeen mukaan. Tavoite 2025 Linjaukset Käytettävyyden sijaan tässä viitattaneen ennemmin (tai lisäksi) saatavuuteen; hyvä tarkentaa. Tiedon eheys ja tietoarkkitehtuurin hallinta voisi olla hyvä mainita myös. Lisäksi olisi hyvä täsmentää (otsikkotasollakin), tarkoitetaanko tässä ICT-palveluilla toimialariippumattomia ICT-palveluita (ja mahdollisesti vain jotakin osajoukkoa siitä, kuten päätelaite-, tietoliikenne- ja viestintäpalveluita) vai laajemmin myös jotain muuta. Ensimmäinen linjaus toimialariippumattomien ICT-palveluiden osalta viitannee siihen, että valtionhallinnon ostaessa palvelut keskitetysti Valtorilta huolehtii Valtori siitä, että se alihankkii palvelut tehokkaasti kaupallisilta toimijoilta. Toisen linjauksen osalta olisi hyvä puhua tiedon omistajuuden sijaan/lisäksi järjestelmän/sovelluksen omistajuudesta. Kolmannen linjauksen osalta tulisi käyttäjäorganisaatiolle jättää itselleen mahdollisuus harkita, sallivatko sen tietoturvavaatimukset hallinnan ja ylläpidon ulkomailta ja jos kyllä, onko myös EUmaiden ulkopuolinen palveluiden tuottaminen mahdollista. Sekä toisessa että kolmannessa linjauksessa tulisi huomioida jollain tavoin muiden maiden lainsäädännön vaikutukset julkisen hallinnon tietojen tietoturvaan ja tietosuojaan (erityisesti jos EU/ETA-ulkopuolinen maa) esim. riski henkilö- tai liikesalaisuuksien väärinkäytölle tai puutteelliset mahdollisuudet poikkeamien ja väärinkäytösten tutkimiselle. Neljän linjauksen osalta voisi olla paikallaan käyttää termin riittävällä tavalla sijaan esim. sanamuotoa tarvittavin palvelutasovaatimuksin ja varajärjestelyin Viidennen ja kuudennen linjauksen osalta olisi tarpeen määritellä, mitä pilvipalvelulla tässä yhteydessä tarkoitetaan. Jos jaettua kapasiteettia, niin määritettävä minkä toimijoiden kesken jaettua kapasiteettia (valtionhallinnon asiakkaiden, toimittajan kaikkien asiakkaiden tms.) ja mihin sijoitettua kapasiteettia (vain kaupallisten toimittajien konesaleihin sijoitettu kapasiteetti vai myös Lausuntopalvelu.fi 7/9
julkisen hallinnon omien konesalien kapasiteetti). Lisäksi hyvä täsmentää, aiheuttaako looginen eriyttäminen ilman fyysistä eriyttämistä ratkaisun kategorisoitumisen ei-pilvipalveluksi. Harkinnan pilvipalveluiden käytön osalta tulisi olla käyttäjäorganisaation. Lisäksi huomioitava, että jos hankitaan vain alemman tason alustapalvelua (ilman sovelluksen hallintaa), on käyttäjäorganisaatolla mahdollisuus hankkia sovellus ja sen hallinta myös kolmannelta osapuolelta (jos kyse ei ole toimialariippumattomaksi ICT-palveluksi lukeutuvasta sovelluksesta). Sovellusalustan käyttöjärjestelmätason ja middleware-kerroksen hallinta taasen lukeutuu lähtökohtaisesti toimialariippumattomaksi ICT-palveluksi, eikä käyttäjäorganisaation tulisi yleisesti ottaen hallita näitä kerroksia itse, vaan ostaa myös näiden hallinta palveluna Valtorilta ja sen alihankkijoilta. Tullin näkemyksen mukaan paitsi kapasiteettipalveluiden myös tietokanta- ja sovellusalustapalveluiden sekä sovellusten hallintapalveluiden tulisi olla tarvittavilta osin valtionhallinnon tasolla tehtävien ICTlinjausten piirissä huomioiden niiden toimialariippumaton luonne. Linjausten kuvaukset ja vaikutukset Ensimmäisessä ja toisessa linjauksessa olisi hyvä tulla esille Valtorin rooli. Nyt esimerkiksi toisessa linjauksessa annetaan ymmärtää, että käyttäjäorganisaatiolla olisi yleensä oma konesali, jonne tieto/järjestelmä on sijoitettu, vaikkei näin yleensä enää ole. Toisin sanoen väittämä omista konesaleista on virheellinen. Suomeen / muualle maailmaan sijoittamisen ja palveluiden tuottamisen osalta olisi hyvä tuoda esille turvallisuusselvitysten ja vaitiolositoumusten sekä esimerkiksi tilaturvallisuuden ja auditointimahdollisuuksien hallinnan näkökulma. Ts. voisi olla hyvä linjata, minkä tyyppisten palveluiden osalta em. seikat ja suojaustasovaatimukset huomioiden palveluiden tuottaminen esim. muista EU-maista (muttei muualta maailmasta) voi olla mahdollista käyttäjäorganisaation oman harkinnan mukaan. Linjauksissa on luonnosteltu tekstiksi, että jatkossa valvontaa ja hallintaa tulee käsitellä samoilla periaatteilla kuin tiedon sijaintia. Tullin näkemyksen mukaan tulee voida käyttäjäorganisaatio harkinnalla esimerkiksi edellyttää tiedon Suomeen sijoittamista, mutta sallia esimerkiksi riittävän osaamispohjan turvaamiseksi valvonnan ja hallinnan tehtävien suorittaminen vaikkapa muista EUmaista. Linjauksia kirjoitettaessa on lähdetty siitä, että pilvipalvelu terminä viittaisikin myös pelkkään kapasiteettiostoon (jaettuun kapasiteettiin). Voisi olla syytä harkita selvyyden vuoksi, ettei jaetun kapasiteetin käsitettä katsota synonyymiksi pilvipalvelulle, kun alalla muutoin pilvipalvelut viittaavat ennemmin SaaS-tyyppisiin (Software as a Service -tyyppisiin) toteutuksiin, jossa kaupallisen toimijan pilvestä /konesalista ostetaan ko. konesalin jaetussa käytössä oleville palvelimille asennettua ohjelmistoa, jota ko. toimija myy myös muille asiakkailleen (rajaten toteutuksen esim. pelkkien julkishallinnon asiakkaiden jaetuksi toteutukseksi, jossa voi olla asiakaskohtaiset osiot, tai sallien kaikkien asiakkaiden olevan saman toteutuksen piirissä omine asiakaskohtaisine osioineen). Yleiset kommentit Lausuntopalvelu.fi 8/9
Mistä muista aihealueista linjauksia pitäisi tehtä? Vuonna 2014 on julkaistu erillinen valtion kones ali- ja kapasiteettipalvelustrategia (http://vm.fi/julkaisu?pubid=4204). Voisi olla hyvä, jos myös tämän osa-alueen (käyttöpalveluiden) linjaukset kiteytettäisiin tähän samaan ICT-linjausten koosteeseen. Tällöin voisi myös tässä yhteydessä varmistaa, että kyseiset linjaukset ovat sellaisenaan vielä sovellettavissa ilman tarkennuksia. Mahdollisia tarkennuksia voisi olla hyvä puntaroida esim. pilvipalvelun käsitteeseen (em. strategiassa pilvipalvelulla viitataan yhteiskäyttöisen kapasiteetin käyttämiseen niin valtionhallinnon omien kuin toimittajien konesalien jaetuista kapasiteeteista puhuttaessa, kun toisissa asiayhteyksissä pilvipalvelu terminä viittaa ennemmin toimittajien eri asiakkaiden (myös muiden kuin valtionhallinnon tai julkisen hallinnon) kesken jaettuihin kapasiteetteihin). Olisi myös hyvä varmistaa, että tässäkin luonnoksessa (kohdassa 7, ICT-palveluiden sijainti ja hallinta) sivutulla tavalla linjauksissa huomioidaan myös sovellusalustojen ja tietokantojen hallinta sekä operointiohjein ohjeistettavissa oleva sovellusten hallinta osana Valtorilta ostettavissa olevia käyttöpalveluita. Lisäksi ehdotamme pohdittavaksi linjauksia toimialariippuviin tietojärjestelmiin liittyen. Tulisi mahdollisuuksien mukaan puntaroida, onko valtionhallinnon tasolla merkitystä sillä, rakennetaanko räätälöityjä ratkaisuja, hankintaanko valmisohjelmistoja vai hankitaanko palveluita. Tällöin olisi hyvä myös linjata, onko valmisohjelmistojen hankintaan liittyen mitään vähimmäisvaatimuksia esimerkiksi ohjelmistolisenssien siirrettävyydelle toiselle valtionorganisaatiolle muutostilanteissa. Kukkula Lotta tulli.fi Lausuntopalvelu.fi 9/9