SÄHKE2-SOVELLUSAUDITOINNIT



Samankaltaiset tiedostot
Kansallisarkisto SÄHKE2-AUDITOINNIT PALVELUKUVAUS. v. 1.0 ( )

SÄHKE2-SERTIFIOINTIKRITEERIT

SÄHKE2-SERTIFIOINTIKRITEERIT

SÄHKE2-SERTIFIOINTIKRITEERIT

SÄHKE2-vaatimusten mukainen hävitysesitys ja sen tietosisältö

Sähköisen arkistoinnin reunaehdot

Luonnos eams-rakenteeksi

VAPA. Sähköisen säilyttämisen palvelu [ESITYSAINEISTO]

JHS 156 suosituksen päivitys

SÄHKE2-vaatimusten mukainen hävitysesitys ja sen tietosisältö

Lahden kaupunki. Sähköiseen arkistointiin siirtyminen ja kokemuksia luvanhakuprosessista

Poliisihallitus Seulontaesitys ID- 1 (3) Hallintoyksikkö /2011/561 Kansallisarkisto

Miksi auditoidaan? Pirkko Puranen FT, Ylitarkastaja

VALDA-tietojärjestelmän j versio 1

Kansallisarkiston koulutusohjelma 2017

(päivitykset kursiivilla) LAATUTARHAN YLEISET EHDOT (AUDITOINTISÄÄNNÖT) Sirkkalehtimerkin käyttöön liittyvät sitoumukset

Potilastiedon arkistoon liittyminen 6 kk tukikokous

Sisäinen auditointi osa Oamkin ympäristöohjelmatyötä

eams-foorumi ja keskustelutilaisuus JHShankkeista

Kansallisarkiston koulutusohjelma 2017

Paikalla on useimmiten myös laatupäällikkö. Hän antaa auditoinnista palautteen asiantuntija auditoijalle.

Asiakirjallisten tietojen metatietojen tuottamisen periaatteet

VAPAN KÄYTTÖÖNOTTO Pilotoinnin loppuraportti

Palvelukuvaus v Alkujaan digitaalisen aineiston vastaanoton ja säilyttämisen palvelu

Metatiedot ja terveydenhuollon kansallinen arkisto

SUUNNITELMA JA RAPORTTI Potilastiedon arkisto -palvelun käyttöönottokoe

Projektisuunnitelma: Pyhäjoen kunnan sähköisen asioinnin ja tiedonohjauksen valmistelu ja käyttöönotto

Auditointi. Teemupekka Virtanen

Lausuntopyyntö julkisen hallinnon tiedonhallinnan sääntelyn kehittämistä selvittäneen työryhmän raportista

Seurakehittäjät Paasitorni. Tiistai Auditointikäsikirja ja uudistettu auditointiprosessi

Tähtiseuraverkkopalvelu. Esittely ja käyttökoulutus Seurakehittäjille ja Auditoijille

Sähköisten viranomaisaineistojen arkistoinnin ja säilyttämisen palvelukokonaisuus

Tiera Sähköinen arkistointi. Palvelukuvaus. Sopimus Tiera Sähköinen arkistointi-palvelusta. Salon kaupunki Saapunut /

Kansallisarkiston päätökset opinnäytteiden pysyvästä säilyttämisestä

Tietosuojavaltuutetun toimiston ja arkistolaitoksen kysely hyvän tiedonhallintatavan toteutumisesta Vastauslomake: 245, N=187, Julkaistu:

VALDA 1.2 käyttötapauskaaviot VVAA052

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

Lausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.

SOPIMUS IT- PALVELUSTA SOPIMUS NRO: MEDBIT Tilaajan yhteyshenkilö sopimusasioissa: Sosiaali- ja terveysjohtaja Juha Sandberg

ARVI -järjestelmän ohje koulutuksen järjestäjän pääkäyttäjälle Jaakko Okkeri

RONDO R8 ARKISTO - SÄHKETOIMINNALLISUUS

Tähtiseuraverkkopalvelu. Esittely ja käyttökoulutus Seurakehittäjille ja Auditoijille

Tampere Ote viranhaltijapäätöksestä 1 (5) Tietohallintojohtaja

Yleiset toimitusehdot Asiantuntijapalvelut

Liite 2 : RAFAELA -aineiston elinkaaren hallinta

Näin teet liittymishakemuksen ja päivität asiakastietojasi

SÄHKE- ja Moreqvaikutukset. dokumenttienhallinnan järjestelmäkehitykseen. Juha Syrjälä, Affecto Finland Oy

eams- KÄYTTÖÖNOTTOSUUNNITELMAOHJE

Suomalainen urheilu loistaa Tähtiseurassa

Aineistosiirron testauksen aloituksen ohje Trafin sopimuskumppaneille

PÄÄTÖS VALTION AMMATILLISTEN OPPILAITOSTEN ASIAKIRJOJEN PYSYVÄ SÄILYTYS

TIEDONOHJAUSSUUNNITELMA

Case VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio

Sosiaalihuollon asiakastiedon arkisto Sosiaalihuollon metatietomalli Metatietoesimerkit

EHDOTA HERO-LUKUNALLELLE NIMEÄ voit voittaa jättinallen omaksi ja osallistut samalla leffalippujen arvontaan

Tähtiseuraverkkopalvelu. Esittely ja käyttökoulutus

- tukea kohdeyrityksen toimintaa ja. Edelleen paketoinnin tavoitteena on

KanTa-palvelut. Web-reseptisovellukset. versio 1.0

OLENNAISET TOIMINNALLISET VAATIMUKSET - PÄIVITETTY LUOKITUS JA JÄRJESTELMÄLOMAKE Kela toimittajayhteistyökokous 26.4.

Sähköiseen säilytykseen liittyvät organisaation auditoinnit

Sisäinen ja ulkoinen kliininen auditointi

VAPA-palvelukuvaus v. 2.2 [ ]

VALTIONEUVOSTON JA EDUSKUNNAN YHTEISTEN ASIAKIRJOJEN JA NIIHIN RINNASTETTAVIEN TIETOAINEISTOJEN PYSYVÄ SÄILYTYS

Laatua ja tehoa toimintaan

JHS-suositusluonnos: Tiedonohjaussuunnitelman rakenne

Dnro 344/03/2004

JHS 191 Tiedonohjaussuunnitelman rakenne Liite 1. Metatietomalli

SOPIMUS [...] PALVELUSTA

Tähtiseuraverkkopalvelu. Esittely ja käyttökoulutus Seurakehittäjille ja Auditoijille

Innofactor Dynasty Tiedonohjausjärjestelmä kokemuksia sertifioinnista ja tiedonohjausjärjestelmän käyttöönotosta

KanTa-palvelut. Sähköisen lääkemääräyksen testauspalvelun suunnitelma. versio 1.0

Sähköisen arkistoinnin ja säilyttämisen palvelukokonaisuus

Asiakirjahallinnon opas organisaatiomuutostilanteisiin AL/6640/ /2009. Keskeisiä käsitteitä

Lopullinen versio, syyskuu 2010 Paikallisen ja alueellisen tason kestävää kehitystä koskeva integroitu johtamisjärjestelmä

Mikä muuttuu todentamisessa?

eams-rakenne ja xml-skeema

Asiakirjahallinnon ja arkistoalan tarjoamat työmahdollisuudet

Kuivaketju 10. Virtain kaupungin keskuskeittiö Virtain kaupunki Raimo Pirhonen

Tietosuojaseloste / Dynasty 360 dokumentin- ja asianhallinta

VAPA YLEISKUVAUS ARKISTOLAITOKSEN SÄHKÖISEN SÄILYTTÄMISEN PALVELUSTA

Menettely auditoinnin lopputuloksen uudelleen käsittelemiseksi

Auditointien toteuttaminen kudoslaitoksessa: Case Regea

LIITE 1, Palvelukuvaus

Näin teet liittymishakemuksen ja päivität asiakastietojasi

VIRTU ja tietoturvatasot

3.1. DialOk käsittelee Käsiteltäviä tietoja sopimuksen ja Asiakkaalta saatujen kirjallisten ohjeiden mukaisesti.

Suomen Lions-liitto ry Käyttäjätunnus ja sisäänkirjautuminen MyLCI - Käyttäjäohje Versio

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Suomen Lions-liitto ry Käyttäjätunnus ja sisäänkirjautuminen MyLCI - Käyttäjäohje Versio

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia

IT2015 EKT ERITYISEHTOJA OHJELMISTOJEN TOIMITUKSISTA KETTERIEN MENETELMIEN PROJEKTEILLA LUONNOS

Jobiili. Työelämäkäyttäjät

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

LAATUTARHAN YLEISET EHDOT (AUDITOINTISÄÄNNÖT)

Adobe -määrälisensointi

CAMA 2 BASE -projekti

MultiWeb Sähköinen tilausjärjestelmä. Luottamuksellinen

Kansallisarkisto. SÄHKE2-siirtotiedoston testauspalvelu

Asianhallinnan kehittäminen Hallituksen seminaari

Syntysähköisten. Markus Merenmies / Kansallisarkisto

Transkriptio:

1 (8) Kansallisarkisto SÄHKE2-SOVELLUSAUDITOINNIT PALVELUKUVAUS v. 2.0 (21.2.2013) VERSIOHISTORIA Versio Päivämäärä Tekijä Sisältö 2.0 21.2.2013 Mikko Eräkaski Poistettu toiminta-auditointia koskeva osio kokonaan. Muokattu sovellusauditoinnin tekstiä. 1.0 18.4.2012 Mikko Eräkaski Ensimmäinen julkaistu versio

2 (8) Sisältö: 1. Yleistä SÄHKE2-auditoinneista... 3 2. SÄHKE2-auditointien tilaaminen... 4 2.1 Valtionhallinnon organisaatiot... 4 2. 2 Muut kuin valtionhallinnon organisaatiot... 4 3. SÄHKE2-sovellusauditointi... 5 3.1 Auditoinnin sisältö... 6 3.2 Auditointiin valmistautuminen... 6 3.3. Raportointi... 7

3 (8) 1. Yleistä SÄHKE2-auditoinneista SÄHKE2-auditointien tulee olla valmiita ennen kuin organisaatio voi hakea arkistolaitokselta sähköisen säilyttämisen lupaa. Lupahakemuksen liitteenä arkistolaitokseen on toimitettava raportit suoritetuista SÄHKE2-auditoinneista. Mikäli luvan kohteena olevalla tietojärjestelmällä on voimassaoleva SÄHKE2- sertifikaatti, ei SÄHKE2-sovellusauditointia suoriteta tälle tietojärjestelmälle. SÄHKE2-auditointien toimittamiseen on hyvä varata aikaa organisaatiossa auditointien tilaamisesta raportin hyväksymiseen noin 3 kuukautta. Lisätietoja: Sähköisen säilyttämisen lupa: SÄHKE2-sertifiointi: http://www.arkist.fi/fi/palvelut/julkisen-hallinnon-saehkoeisetpalvelut/saehkoeisen-saeilyttaemisen-lupa/ http://www.arkisto.fi/fi/palvelut/julkisen-hallinnon-saehkoeisetpalvelut/saehkoeisen-saeilyttaemisen-lupa/saehke2-sertifiointi/ Yhteystiedot: Kansallisarkiston tutkimuksen ja kehittämisen vastuualue: kehittämispäällikkö Mikko Eräkaski, puh. 050 3635769 tutkija Karin Gref, puh. 050 409 4018 etunimi.sukunimi@narc.fi Valtion IT-palvelukeskus tietoturvapalvelut: Palvelujen tilaukset: ttpalvelut.vip@valtiokonttori.fi Palveluihin liittyvät kysymykset: tietoturva.vip@valtiokonttori.fi

4 (8) 2. SÄHKE2-auditointien tilaaminen Arkistolaitos ei tee SÄHKE2-auditointeja, vaan auditoinnit toimittaa aina ulkopuolinen toimija. Auditointeja suorittavan taho tulee olla puolueeton, eikä se saa olla osallisena auditoinnin kohteena olevan kokonaisuuden kehittämisessä tai ylläpidossa. Auditointeja tilaavan tahon tulee selvittää yhdessä auditoijan kanssa auditoijan mahdolliset kytkennät auditoitavaan kokonaisuuteen. Auditoinnin tilannut taho vastaa aina erilaisten esteellisyyksien arvioinnista ja päättää onko auditoija mahdollisesti esteellinen auditoinnin toimittamiseen. 2.1 Valtionhallinnon organisaatiot Valtionhallinnon organisaatiot tilaavat SÄHKE2-auditoinnit aina valtion ITpalvelukeskukselta (VIP). Auditoinnin kulut maksaa työn tilannut organisaatio. Arkistolaitoksen kautta ei voi tilata auditointeja. Valtionhallinnon organisaatiolle auditoinnit ovat kiinteähintaiset: SÄHKE2-sovellusauditointi: 3720 2. 2 Muut kuin valtionhallinnon organisaatiot Muiden kuin valtionhallinnon organisaatioiden tulee teettää SÄHKE2-auditointi yksityisellä toimijalla. Organisaatiot voivat olla yhteydessä valtion ITpalvelukeskukseen ja tiedustella auditointeja suorittavien tahojen yhteystietoja. Valtion IT-palvelukeskuksella on lista niistä auditoijista, jotka ovat suorittaneet hyväksytysti arkistolaitoksen antaman SÄHKE2-auditointikoulutuksen. Arkistolaitos hyväksyy lähtökohtaisesti vain sen kouluttamien SÄHKE2-auditoijien raportit sähköisen säilyttämisen lupahakemusta varten. Auditoinnin kulut maksaa aina työn tilannut organisaatio ja auditoinnin hinnasta sovitaan organisaation ja auditoijan kesken. Arkistolaitoksen kautta ei voi tilata auditointeja. Auditointi on suositeltavaa tilata noin 1 2 kuukautta ennen auditoinnin suunniteltua ajankohtaa. Tilaaminen: Valtion IT-palvelukeskus tietoturvapalvelut: Palvelujen tilaukset: ttpalvelut.vip@valtiokonttori.fi Palveluihin liittyvät kysymykset: tietoturva.vip@valtiokonttori.fi

5 (8) 3. SÄHKE2-sovellusauditointi Mikäli luvan kohteena olevalla tietojärjestelmällä on voimassaoleva SÄHKE2- sertifikaatti, ei SÄHKE2-sovellusauditointia suoriteta tälle tietojärjestelmälle. SÄHKE2-sovellusauditointi voi kohdentua operatiiviseen tietojärjestelmään, jolla tarkoitetaan tietojärjestelmää, jossa asiakirjatieto syntyy, sitä käsitellään ja muokataan. Operatiivisessa tietojärjestelmässä syntyvä, muodostuva ja käsiteltävä asiakirjatieto saa eamsiin määritellyt oletusmetatietoarvot. SÄHKE2-vaatimusten mukaisesti operatiivisessa tietojärjestelmässä tulee olla myös määräajan säilytettävien asiakirjatietojen hävittämistoiminnallisuus sekä siirtotoiminnallisuus, joka on pakollinen vaatimus valtionhallinnon organisaatioille. säilytysjärjestelmään, jolla tarkoitetaan tietojärjestelmää, jossa tietoa ei enää käsitellä tai muokata, vaan sinne tallennetun tiedon käsittely on päättynyt. SÄHKE2-vaatimusten mukaisessa säilytysjärjestelmässä tulee olla myös määräajan säilytettävien asiakirjatietojen hävittämistoiminnallisuus sekä siirtotoiminnallisuus, joka on pakollinen vaatimus valtionhallinnon organisaatioille. Molemmille järjestelmätyypeille on olemassa omat kriteerit, jotka on julkaistu arkistolaitoksen verkkosivuilla. http://www.arkisto.fi/fi/palvelut/julkisen-hallinnon-saehkoeiset-palvelut/saehkoeisensaeilyttaemisen-lupa/luvan-hakeminen-saehke2-normin-mukaiseen-jaerjestelmaeaen/ Sähköisen säilyttämisen lupaa haetaan sille kokonaisuudelle, jossa asiakirjatietoja käsitellään, hallitaan ja säilytetään. Tähän kokonaisuuteen voi kuulua useita eri tietojärjestelmiä ja sovelluksia. Lähtökohtaisesti lupaa haetaan operatiiviselle tietojärjestelmälle, jossa aineisto muodostuu ja jossa sitä käsitellään. Jos kokonaisuus koostuu selkeästi erillisestä operatiivisesta tietojärjestelmästä ja säilytysjärjestelmästä, auditoidaan molemmat. On kuitenkin hyvä huomioida, että kaikkia luvan kohteena olevaan kokonaisuuteen kuuluvia tietojärjestelmiä ei tarvitse välttämättä erikseen auditoida, vaan operatiivisen tietojärjestelmän auditoinnissa voidaan huomioida myös muita järjestelmiä, jotka toteuttavat tietyt palvelut sähköisen säilyttämisen luvan kohteena olevalle kokonaisuudelle. Esimerkiksi eams-järjestelmälle (tiedonohjausjärjestelmälle) ei toimiteta omaa SÄHKE2-sovellusauditointia, vaan tiedonohjauksen toteutuminen eamsista tarkistetaan osana sovellusauditointia. Auditoitava kokonaisuus on hyvä käydä yhdessä etukäteen läpi auditoijan kanssa ja selvittää miten auditoinnit kannattaa toteuttaa.

6 (8) 3.1 Auditoinnin sisältö Sovellusauditointi keskittyy SÄHKE2-normissa esitettyjen tietojärjestelmältä vaadittavien ominaisuuksien todentamiseen. Auditoijan suorittaman auditointityön laajuus on 4 henkilötyöpäivää, joka jakautuu seuraavasti: 1 htp, esityöt: aloituskokous ja auditoija perehtyy organisaation toimittamaan aineistoon. 2 htp, auditointitilaisuus: todennetaan käytännössä, että auditointikriteeristön vaatimukset toteutuvat tietojärjestelmässä. 1 htp: loppuyhteenveto: auditoija tuottaa auditointitilaisuuden ja havaintojen pohjalta raportin, joka sisältää mahdollisen esityksen jatkotoimenpiteistä. Mikäli auditointia ei saada sovituilla auditointikerroilla toimitettua, tulee organisaation ja auditoijan sopia keskenään uusinta-auditoinnista eli uudesta auditointikerrasta. Yleensä uusinta-auditointi joudutaan toimittamaan, jos järjestelmässä ei ole kaikki toiminnallisuudet vielä valmiina katsottavaksi tai organisaation valmistautuminen auditointitilaisuuteen on ollut puutteellista. Uuteen auditointikertaan liittyvä työmäärä ja kustannukset eivät sisälly alkuperäisen auditoinnin kustannuksiin ja työmäärään, vaan niistä sovitaan aina erikseen auditoijan ja organisaation kesken. 3.2 Auditointiin valmistautuminen Auditointiprosessi alkaa kun organisaatio ja auditoija pitävät yhteisen aloituskokouksen, jossa sovitaan itse auditointitilaisuuden ajankohta ja ohjelma. Auditoitavan tahon on hyvä kuvata auditoijalle auditoitava kokonaisuus, siihen liittyvät tietojärjestelmät ja siinä käsiteltävät tehtävät, jotta auditoija saa kokonaiskuvan sähköisen säilyttämisen luvan kohteesta. Auditoija voi antaa organisaatiolle tarkempia ohjeita auditointiin valmistautumiseksi. Aloituskokous voidaan järjestää esim. puhelinpalaverina. Organisaation tulee perehtyä sovellusauditoinnin kriteereihin ja täyttää kriteerit etukäteen itsearvioinnin tyyppisesti. Organisaation tulee toimittaa esitäytetty kriteeristö auditoijalle hyvissä ajoin ennen varsinaista auditointitilaisuutta. Sovellusauditointia ei voida toimittaa järjestelmätoimittajan tms. tiloissa, vaan se tulee toteuttaa siinä teknisessä ympäristössä, jossa itse järjestelmän tuotantokäyttö tapahtuu. Auditointitilaisuudessa todennetaan auditointikriteeristössä esitettyjen vaatimusten toteutuminen tietojärjestelmässä. Tämä edellyttää, että käytössä on tuotantoversiota vastaava testiympäristö. Organisaation tulee luoda järjestelmään (testiympäristöön) riittävän monipuolista aineistoa, joilla kaikki kriteereissä esitetyt toiminnallisuudet voidaan todentaa. Testiaineiston on hyvä sisältää mm. määräajan säilytettäviä asiakirjallisen tiedon käsittelyprosesseja ja asiakirjoja salasssa pidettäviä asiakirjallisen tiedon käsittelyprosesseja ja asiakirjoja

7 (8) asiakirjoja, joista on tallennettu useita eri versioita asiakirjallisen tiedon käsittelyprosessi, joka sisältää asiakirjoja, joilla on eri säilytysaikoja asiakirjallisen tiedon käsittelyprosesseja, asiakirjoja ja toimenpiteitä, joiden tehtäväryhmää voidaan vaihtaa hävittämiskriteerit täyttäviä asiakirjallisen tiedon käsittelyprosesseja ja asiakirjoja (säilytysaika umpeutunut) siirtokriteerit täyttäviä asiakirjoja (pysyvästi säilytettäviä ja käsittelyprosessiltaan päättyneitä) Listan jokaista kohtaa varten ei tarvitse luoda erillistä asiakirjallisen tiedon käsittelyprosessia tai asiakirjaa. Testiaineiston luonti on tärkeää, jotta itse auditointitilaisuus sujuu mahdollisimman jouhevasti. HUOM! Hävittämistoiminnallisuutta koskevat vaatimukset voidaan todentaa tietojärjestelmän sijaan organisaation laatimasta kuvauksesta, tietojärjestelmän määrittelydokumentaatiosta tai muusta vastaavasta kuvauksesta, josta käy ilmi miten määräajan säilytettävien asiakirjatietojen hävittäminen aiotaan tietojärjestelmässä toteuttaa. Hävittämistoiminnallisuuksien todentaminen ei siis edellytä sitä, että hävittämistoiminnallisuus olisi toteutettu tietojärjestelmän testiympäristöön. Auditointitilaisuuden sujuvuuden varmistamiseksi tulisi olla mahdollisuus useampaan yhtäaikaiseen yhteyteen järjestelmään, esim. siten että sisällöllisen pääkäyttäjän / kirjaajan oikeuksilla näytetään metatietojen luomista ja muuttamista eri roolien mukaisin katselijan ja käyttäjän oikeuksin katsotaan tietojen näkyvyyttä ja muokkaamista. 3.3. Raportointi Auditoija on velvollinen tuottamaan raportin auditoinnin tuloksista kahden viikon kuluessa siitä kun itse auditointi on katsottu päätetyksi. Raportissa auditoija ei ota kantaa siihen voidaanko tietojärjestelmälle myöntää sähköisen säilyttämisen lupa, vaan sen sijaan raportissa esitetään: auditoinnin keskeiset havainnot yksityiskohtaiset puutteet ja poikkeamat auditointikriteereihin sekä organisaation mahdollinen arvio korvaavista toimenpiteistä Auditointiraportin liitteenä tulee olla kriteeristö, jota vasten auditointi on tehty ja siinä on auditoijan merkinnät kunkin kriteerin täyttymisestä. Auditoija toimittaa auditointiraportin aina suoraan organisaatiolle eli auditoinnin tilaajalle, ei arkistolaitokselle. Organisaatiolla on raportin saatuaan kaksi viikkoa aikaa esittää raportin sisällöstä huomautuksia auditoijalle. Mikäli huomautuksia ei tänä aikana esitetä, katsotaan organisaation hyväksyneen raportin. Auditointiraportteja tulee käsitellä kaikkien osapuolten toimesta salassa pidettävänä aineistona (suojaustaso III), koska ne sisältävät yksityiskohtaista tietoa eri tietojärjestelmistä ja niiden tietoturva- ym. ratkaisuista.

Organisaatio toimittaa auditointiraportin sähköisen säilyttämisen lupahakemuksen liitteenä arkistolaitokseen. 8 (8)