Ohje turvallisuuskriittisiin hankintoihin : Määräysvaltamuutoksiin varautuminen turvallisuuskriittisissä tieto- ja viestintäjärjestelmien sekä -ratkaisujen hankinnoissa
Toimittaja:
Janhunen, Kirsi
Valtiovarainministeriö
25.01.2019
Julkaisusarja:
Valtiovarainministeriön julkaisuja 2019:7This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
http://urn.fi/URN:ISBN:978-952-251-988-7Tiivistelmä
Digitaalinen toimintaympäristö muuttuu ja kehittyy jatkuvasti. Tällainen jatkuvasti muuttuva ja vahvasti keskinäisriippuvainen ympäristö vaatii riittävää kokonaishallintaa sekä riskienhallintakykyä. ICT-palveluissa keskeinen vaikuttamisen vaihe on hankintaprosessi, jossa hankinnan kohteen suunnittelu ja palvelusta sopiminen korostuu.
Palvelutuotanto voi olla verkottunutta, kansainvälistä ja perustua laajoihin alihankintaverkostoihin. Muutokset ICT-palveluiden tuottamisessa ovat yleisiä. Yrityksen myynti tai määräysvallan siirtyminen voi aiheuttaa muutoksia sen toiminnassa. Uusi omistaja voi esimerkiksi sijaita sellaisessa maassa, jota koskevat erilaiset säädökset. Palveluissa tulee kuitenkin voida varmistua, että se tuotetaan turvallisesti ja laadukkaasti.
Määräysvaltamuutoksiin varautumisessa keskeisenä lähtökohtana on tunnistaa jo hankinnan suunnitteluvaiheessa, mitkä asiat hankinnassa ovat organisaation kannalta turvallisuuskriittisiä, millaisia säädöksiä niihin liittyy ja löytyykö erityisiä turvallisuusnäkökohtia, joita tulisi ottaa huomioon.
Tässä ohjeessa käydään lyhyesti ja esimerkinomaisesti läpi keskeisiä yleisiä varautumiskeinoja hankintaosapuolen näkökulmasta. Esimerkeissä viitataan usein sopimuksiin. Sopimukset edellyttävät kuitenkin neuvottelua osapuolten kesken. Ohjeen käyttäjän tulisikin huomioida, että palvelutoimittajalla voi olla rajoitteita sopimusehtoihin myöntymiseen.
Palvelutuotanto voi olla verkottunutta, kansainvälistä ja perustua laajoihin alihankintaverkostoihin. Muutokset ICT-palveluiden tuottamisessa ovat yleisiä. Yrityksen myynti tai määräysvallan siirtyminen voi aiheuttaa muutoksia sen toiminnassa. Uusi omistaja voi esimerkiksi sijaita sellaisessa maassa, jota koskevat erilaiset säädökset. Palveluissa tulee kuitenkin voida varmistua, että se tuotetaan turvallisesti ja laadukkaasti.
Määräysvaltamuutoksiin varautumisessa keskeisenä lähtökohtana on tunnistaa jo hankinnan suunnitteluvaiheessa, mitkä asiat hankinnassa ovat organisaation kannalta turvallisuuskriittisiä, millaisia säädöksiä niihin liittyy ja löytyykö erityisiä turvallisuusnäkökohtia, joita tulisi ottaa huomioon.
Tässä ohjeessa käydään lyhyesti ja esimerkinomaisesti läpi keskeisiä yleisiä varautumiskeinoja hankintaosapuolen näkökulmasta. Esimerkeissä viitataan usein sopimuksiin. Sopimukset edellyttävät kuitenkin neuvottelua osapuolten kesken. Ohjeen käyttäjän tulisikin huomioida, että palvelutoimittajalla voi olla rajoitteita sopimusehtoihin myöntymiseen.