1 (8) Kansallisarkisto SÄHKE2-SOVELLUSAUDITOINNIT PALVELUKUVAUS v. 2.0 (21.2.2013) VERSIOHISTORIA Versio Päivämäärä Tekijä Sisältö 2.0 21.2.2013 Mikko Eräkaski Poistettu toiminta-auditointia koskeva osio kokonaan. Muokattu sovellusauditoinnin tekstiä. 1.0 18.4.2012 Mikko Eräkaski Ensimmäinen julkaistu versio
2 (8) Sisältö: 1. Yleistä SÄHKE2-auditoinneista... 3 2. SÄHKE2-auditointien tilaaminen... 4 2.1 Valtionhallinnon organisaatiot... 4 2. 2 Muut kuin valtionhallinnon organisaatiot... 4 3. SÄHKE2-sovellusauditointi... 5 3.1 Auditoinnin sisältö... 6 3.2 Auditointiin valmistautuminen... 6 3.3. Raportointi... 7
3 (8) 1. Yleistä SÄHKE2-auditoinneista SÄHKE2-auditointien tulee olla valmiita ennen kuin organisaatio voi hakea arkistolaitokselta sähköisen säilyttämisen lupaa. Lupahakemuksen liitteenä arkistolaitokseen on toimitettava raportit suoritetuista SÄHKE2-auditoinneista. Mikäli luvan kohteena olevalla tietojärjestelmällä on voimassaoleva SÄHKE2- sertifikaatti, ei SÄHKE2-sovellusauditointia suoriteta tälle tietojärjestelmälle. SÄHKE2-auditointien toimittamiseen on hyvä varata aikaa organisaatiossa auditointien tilaamisesta raportin hyväksymiseen noin 3 kuukautta. Lisätietoja: Sähköisen säilyttämisen lupa: SÄHKE2-sertifiointi: http://www.arkist.fi/fi/palvelut/julkisen-hallinnon-saehkoeisetpalvelut/saehkoeisen-saeilyttaemisen-lupa/ http://www.arkisto.fi/fi/palvelut/julkisen-hallinnon-saehkoeisetpalvelut/saehkoeisen-saeilyttaemisen-lupa/saehke2-sertifiointi/ Yhteystiedot: Kansallisarkiston tutkimuksen ja kehittämisen vastuualue: kehittämispäällikkö Mikko Eräkaski, puh. 050 3635769 tutkija Karin Gref, puh. 050 409 4018 etunimi.sukunimi@narc.fi Valtion IT-palvelukeskus tietoturvapalvelut: Palvelujen tilaukset: ttpalvelut.vip@valtiokonttori.fi Palveluihin liittyvät kysymykset: tietoturva.vip@valtiokonttori.fi
4 (8) 2. SÄHKE2-auditointien tilaaminen Arkistolaitos ei tee SÄHKE2-auditointeja, vaan auditoinnit toimittaa aina ulkopuolinen toimija. Auditointeja suorittavan taho tulee olla puolueeton, eikä se saa olla osallisena auditoinnin kohteena olevan kokonaisuuden kehittämisessä tai ylläpidossa. Auditointeja tilaavan tahon tulee selvittää yhdessä auditoijan kanssa auditoijan mahdolliset kytkennät auditoitavaan kokonaisuuteen. Auditoinnin tilannut taho vastaa aina erilaisten esteellisyyksien arvioinnista ja päättää onko auditoija mahdollisesti esteellinen auditoinnin toimittamiseen. 2.1 Valtionhallinnon organisaatiot Valtionhallinnon organisaatiot tilaavat SÄHKE2-auditoinnit aina valtion ITpalvelukeskukselta (VIP). Auditoinnin kulut maksaa työn tilannut organisaatio. Arkistolaitoksen kautta ei voi tilata auditointeja. Valtionhallinnon organisaatiolle auditoinnit ovat kiinteähintaiset: SÄHKE2-sovellusauditointi: 3720 2. 2 Muut kuin valtionhallinnon organisaatiot Muiden kuin valtionhallinnon organisaatioiden tulee teettää SÄHKE2-auditointi yksityisellä toimijalla. Organisaatiot voivat olla yhteydessä valtion ITpalvelukeskukseen ja tiedustella auditointeja suorittavien tahojen yhteystietoja. Valtion IT-palvelukeskuksella on lista niistä auditoijista, jotka ovat suorittaneet hyväksytysti arkistolaitoksen antaman SÄHKE2-auditointikoulutuksen. Arkistolaitos hyväksyy lähtökohtaisesti vain sen kouluttamien SÄHKE2-auditoijien raportit sähköisen säilyttämisen lupahakemusta varten. Auditoinnin kulut maksaa aina työn tilannut organisaatio ja auditoinnin hinnasta sovitaan organisaation ja auditoijan kesken. Arkistolaitoksen kautta ei voi tilata auditointeja. Auditointi on suositeltavaa tilata noin 1 2 kuukautta ennen auditoinnin suunniteltua ajankohtaa. Tilaaminen: Valtion IT-palvelukeskus tietoturvapalvelut: Palvelujen tilaukset: ttpalvelut.vip@valtiokonttori.fi Palveluihin liittyvät kysymykset: tietoturva.vip@valtiokonttori.fi
5 (8) 3. SÄHKE2-sovellusauditointi Mikäli luvan kohteena olevalla tietojärjestelmällä on voimassaoleva SÄHKE2- sertifikaatti, ei SÄHKE2-sovellusauditointia suoriteta tälle tietojärjestelmälle. SÄHKE2-sovellusauditointi voi kohdentua operatiiviseen tietojärjestelmään, jolla tarkoitetaan tietojärjestelmää, jossa asiakirjatieto syntyy, sitä käsitellään ja muokataan. Operatiivisessa tietojärjestelmässä syntyvä, muodostuva ja käsiteltävä asiakirjatieto saa eamsiin määritellyt oletusmetatietoarvot. SÄHKE2-vaatimusten mukaisesti operatiivisessa tietojärjestelmässä tulee olla myös määräajan säilytettävien asiakirjatietojen hävittämistoiminnallisuus sekä siirtotoiminnallisuus, joka on pakollinen vaatimus valtionhallinnon organisaatioille. säilytysjärjestelmään, jolla tarkoitetaan tietojärjestelmää, jossa tietoa ei enää käsitellä tai muokata, vaan sinne tallennetun tiedon käsittely on päättynyt. SÄHKE2-vaatimusten mukaisessa säilytysjärjestelmässä tulee olla myös määräajan säilytettävien asiakirjatietojen hävittämistoiminnallisuus sekä siirtotoiminnallisuus, joka on pakollinen vaatimus valtionhallinnon organisaatioille. Molemmille järjestelmätyypeille on olemassa omat kriteerit, jotka on julkaistu arkistolaitoksen verkkosivuilla. http://www.arkisto.fi/fi/palvelut/julkisen-hallinnon-saehkoeiset-palvelut/saehkoeisensaeilyttaemisen-lupa/luvan-hakeminen-saehke2-normin-mukaiseen-jaerjestelmaeaen/ Sähköisen säilyttämisen lupaa haetaan sille kokonaisuudelle, jossa asiakirjatietoja käsitellään, hallitaan ja säilytetään. Tähän kokonaisuuteen voi kuulua useita eri tietojärjestelmiä ja sovelluksia. Lähtökohtaisesti lupaa haetaan operatiiviselle tietojärjestelmälle, jossa aineisto muodostuu ja jossa sitä käsitellään. Jos kokonaisuus koostuu selkeästi erillisestä operatiivisesta tietojärjestelmästä ja säilytysjärjestelmästä, auditoidaan molemmat. On kuitenkin hyvä huomioida, että kaikkia luvan kohteena olevaan kokonaisuuteen kuuluvia tietojärjestelmiä ei tarvitse välttämättä erikseen auditoida, vaan operatiivisen tietojärjestelmän auditoinnissa voidaan huomioida myös muita järjestelmiä, jotka toteuttavat tietyt palvelut sähköisen säilyttämisen luvan kohteena olevalle kokonaisuudelle. Esimerkiksi eams-järjestelmälle (tiedonohjausjärjestelmälle) ei toimiteta omaa SÄHKE2-sovellusauditointia, vaan tiedonohjauksen toteutuminen eamsista tarkistetaan osana sovellusauditointia. Auditoitava kokonaisuus on hyvä käydä yhdessä etukäteen läpi auditoijan kanssa ja selvittää miten auditoinnit kannattaa toteuttaa.
6 (8) 3.1 Auditoinnin sisältö Sovellusauditointi keskittyy SÄHKE2-normissa esitettyjen tietojärjestelmältä vaadittavien ominaisuuksien todentamiseen. Auditoijan suorittaman auditointityön laajuus on 4 henkilötyöpäivää, joka jakautuu seuraavasti: 1 htp, esityöt: aloituskokous ja auditoija perehtyy organisaation toimittamaan aineistoon. 2 htp, auditointitilaisuus: todennetaan käytännössä, että auditointikriteeristön vaatimukset toteutuvat tietojärjestelmässä. 1 htp: loppuyhteenveto: auditoija tuottaa auditointitilaisuuden ja havaintojen pohjalta raportin, joka sisältää mahdollisen esityksen jatkotoimenpiteistä. Mikäli auditointia ei saada sovituilla auditointikerroilla toimitettua, tulee organisaation ja auditoijan sopia keskenään uusinta-auditoinnista eli uudesta auditointikerrasta. Yleensä uusinta-auditointi joudutaan toimittamaan, jos järjestelmässä ei ole kaikki toiminnallisuudet vielä valmiina katsottavaksi tai organisaation valmistautuminen auditointitilaisuuteen on ollut puutteellista. Uuteen auditointikertaan liittyvä työmäärä ja kustannukset eivät sisälly alkuperäisen auditoinnin kustannuksiin ja työmäärään, vaan niistä sovitaan aina erikseen auditoijan ja organisaation kesken. 3.2 Auditointiin valmistautuminen Auditointiprosessi alkaa kun organisaatio ja auditoija pitävät yhteisen aloituskokouksen, jossa sovitaan itse auditointitilaisuuden ajankohta ja ohjelma. Auditoitavan tahon on hyvä kuvata auditoijalle auditoitava kokonaisuus, siihen liittyvät tietojärjestelmät ja siinä käsiteltävät tehtävät, jotta auditoija saa kokonaiskuvan sähköisen säilyttämisen luvan kohteesta. Auditoija voi antaa organisaatiolle tarkempia ohjeita auditointiin valmistautumiseksi. Aloituskokous voidaan järjestää esim. puhelinpalaverina. Organisaation tulee perehtyä sovellusauditoinnin kriteereihin ja täyttää kriteerit etukäteen itsearvioinnin tyyppisesti. Organisaation tulee toimittaa esitäytetty kriteeristö auditoijalle hyvissä ajoin ennen varsinaista auditointitilaisuutta. Sovellusauditointia ei voida toimittaa järjestelmätoimittajan tms. tiloissa, vaan se tulee toteuttaa siinä teknisessä ympäristössä, jossa itse järjestelmän tuotantokäyttö tapahtuu. Auditointitilaisuudessa todennetaan auditointikriteeristössä esitettyjen vaatimusten toteutuminen tietojärjestelmässä. Tämä edellyttää, että käytössä on tuotantoversiota vastaava testiympäristö. Organisaation tulee luoda järjestelmään (testiympäristöön) riittävän monipuolista aineistoa, joilla kaikki kriteereissä esitetyt toiminnallisuudet voidaan todentaa. Testiaineiston on hyvä sisältää mm. määräajan säilytettäviä asiakirjallisen tiedon käsittelyprosesseja ja asiakirjoja salasssa pidettäviä asiakirjallisen tiedon käsittelyprosesseja ja asiakirjoja
7 (8) asiakirjoja, joista on tallennettu useita eri versioita asiakirjallisen tiedon käsittelyprosessi, joka sisältää asiakirjoja, joilla on eri säilytysaikoja asiakirjallisen tiedon käsittelyprosesseja, asiakirjoja ja toimenpiteitä, joiden tehtäväryhmää voidaan vaihtaa hävittämiskriteerit täyttäviä asiakirjallisen tiedon käsittelyprosesseja ja asiakirjoja (säilytysaika umpeutunut) siirtokriteerit täyttäviä asiakirjoja (pysyvästi säilytettäviä ja käsittelyprosessiltaan päättyneitä) Listan jokaista kohtaa varten ei tarvitse luoda erillistä asiakirjallisen tiedon käsittelyprosessia tai asiakirjaa. Testiaineiston luonti on tärkeää, jotta itse auditointitilaisuus sujuu mahdollisimman jouhevasti. HUOM! Hävittämistoiminnallisuutta koskevat vaatimukset voidaan todentaa tietojärjestelmän sijaan organisaation laatimasta kuvauksesta, tietojärjestelmän määrittelydokumentaatiosta tai muusta vastaavasta kuvauksesta, josta käy ilmi miten määräajan säilytettävien asiakirjatietojen hävittäminen aiotaan tietojärjestelmässä toteuttaa. Hävittämistoiminnallisuuksien todentaminen ei siis edellytä sitä, että hävittämistoiminnallisuus olisi toteutettu tietojärjestelmän testiympäristöön. Auditointitilaisuuden sujuvuuden varmistamiseksi tulisi olla mahdollisuus useampaan yhtäaikaiseen yhteyteen järjestelmään, esim. siten että sisällöllisen pääkäyttäjän / kirjaajan oikeuksilla näytetään metatietojen luomista ja muuttamista eri roolien mukaisin katselijan ja käyttäjän oikeuksin katsotaan tietojen näkyvyyttä ja muokkaamista. 3.3. Raportointi Auditoija on velvollinen tuottamaan raportin auditoinnin tuloksista kahden viikon kuluessa siitä kun itse auditointi on katsottu päätetyksi. Raportissa auditoija ei ota kantaa siihen voidaanko tietojärjestelmälle myöntää sähköisen säilyttämisen lupa, vaan sen sijaan raportissa esitetään: auditoinnin keskeiset havainnot yksityiskohtaiset puutteet ja poikkeamat auditointikriteereihin sekä organisaation mahdollinen arvio korvaavista toimenpiteistä Auditointiraportin liitteenä tulee olla kriteeristö, jota vasten auditointi on tehty ja siinä on auditoijan merkinnät kunkin kriteerin täyttymisestä. Auditoija toimittaa auditointiraportin aina suoraan organisaatiolle eli auditoinnin tilaajalle, ei arkistolaitokselle. Organisaatiolla on raportin saatuaan kaksi viikkoa aikaa esittää raportin sisällöstä huomautuksia auditoijalle. Mikäli huomautuksia ei tänä aikana esitetä, katsotaan organisaation hyväksyneen raportin. Auditointiraportteja tulee käsitellä kaikkien osapuolten toimesta salassa pidettävänä aineistona (suojaustaso III), koska ne sisältävät yksityiskohtaista tietoa eri tietojärjestelmistä ja niiden tietoturva- ym. ratkaisuista.
Organisaatio toimittaa auditointiraportin sähköisen säilyttämisen lupahakemuksen liitteenä arkistolaitokseen. 8 (8)