Tietoturvallisuuden hallintajärjestelmä : sisältö ja kehittäminen valtionhallinnon organisaatiossa
Moilanen, Aki (2012)
Moilanen, Aki
Mikkelin ammattikorkeakoulu
2012
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2012111415254
https://urn.fi/URN:NBN:fi:amk-2012111415254
Tiivistelmä
Työn tavoitteena oli tutkia tietoturvan ja tietoturvallisuuden hallinnan teoriaa, yleisiä käytäntöjä, lainsäädäntöä, standardeja sekä erityisesti valtionhallinnon organisaatiolle kohdennettuja tietoturvavelvoitteita, -suosituksia ja -ohjeita.
Työn tavoitteena oli lisäksi selvittää miten valtionhallinto ohjaa alaisiaan organisaatioita tietoturvan hallintajärjestelmän sekä siihen liittyvän hallintaprosessin rakentamisessa, ylläpidossa ja kehittämisessä. Tavoitteena oli myös kuvata Suomen metsäkeskuksen tietoturvallisuuden hallinnan nykytila ja arvioida hallintajärjestelmään liittyviä kehittämistarpeita.
Työn teoreettinen tausta muodostuu lähtötilanteen viitekehyksen määrittelystä, johon sisältyvät keskeisinä osioina tietoturvallisuuden yleiset periaatteet, normiohjaus, standardit ja toimintamallit sekä tietoturvallisuuden johtaminen osana organisaatioturvallisuutta. Työssä käytetään viitekehyksenä pääasiassa valtiovarainministeriön antamia Vahti-tietoturvaohjeita sekä muita ministeriön linjauksia. Vahti-ohjeiden lisäksi työssä hyödynnetään muuta tietoturvadokumentaatiota ja -aineistoa, joka soveltuu käytettäväksi valtionhallinnon organisaation tietoturvatyössä ja joka tuo edelleen työvälineitä Suomen metsäkeskuksen tietoturvallisuuden kehittämistyöhön.
Valtionhallinnon organisaation tietoturvallisuuden hallintaa ohjaavat useat lait, asetukset, määräykset ja ohjeet, jotka sisältävät organisaatiota koskevia tietoturvavelvoitteita. Työssä selvitetään tämän kokonaisuuden hallinnan periaatteita ja miten ne viedään edelleen organisaatiota hyödyttäväksi tavoitteelliseksi tietoturvatoiminnaksi, mikä on tietoturvallisuuden hallintajärjestelmän sekä siihen liittyvän hallintaprosessin kehittämisen keskeinen päämäärä.
Työssä selvitetään tietoturvallisuuden hallintajärjestelmän sisältö, käydään läpi tarvittavat toimenpiteet tietoturvallisuuden hallintajärjestelmän luomiseksi sekä tuodaan esille hallintajärjestelmän kehittämisprosessin menetelmät tietoturvallisuuden jatkuvan toiminnan varmistamiseksi.
Työssä kuvataan Suomen metsäkeskuksen tietoturvallisuuden hallinnan nykytila ja arvioidaan tietoturvallisuuden hallintaan liittyviä kehittämistarpeita. Kehittämistarpeiden arvioinnissa otetaan huomioon Suomen metsäkeskuksen toiminnalliset tavoitteet, lainsäädäntö ja valtionhallinnon ohjaus sekä MMM:n hallinnonalalleen asettamat tavoitteet tietoturvallisuuden hallinnassa ja kehittämisessä.
Työn tavoitteena oli lisäksi selvittää miten valtionhallinto ohjaa alaisiaan organisaatioita tietoturvan hallintajärjestelmän sekä siihen liittyvän hallintaprosessin rakentamisessa, ylläpidossa ja kehittämisessä. Tavoitteena oli myös kuvata Suomen metsäkeskuksen tietoturvallisuuden hallinnan nykytila ja arvioida hallintajärjestelmään liittyviä kehittämistarpeita.
Työn teoreettinen tausta muodostuu lähtötilanteen viitekehyksen määrittelystä, johon sisältyvät keskeisinä osioina tietoturvallisuuden yleiset periaatteet, normiohjaus, standardit ja toimintamallit sekä tietoturvallisuuden johtaminen osana organisaatioturvallisuutta. Työssä käytetään viitekehyksenä pääasiassa valtiovarainministeriön antamia Vahti-tietoturvaohjeita sekä muita ministeriön linjauksia. Vahti-ohjeiden lisäksi työssä hyödynnetään muuta tietoturvadokumentaatiota ja -aineistoa, joka soveltuu käytettäväksi valtionhallinnon organisaation tietoturvatyössä ja joka tuo edelleen työvälineitä Suomen metsäkeskuksen tietoturvallisuuden kehittämistyöhön.
Valtionhallinnon organisaation tietoturvallisuuden hallintaa ohjaavat useat lait, asetukset, määräykset ja ohjeet, jotka sisältävät organisaatiota koskevia tietoturvavelvoitteita. Työssä selvitetään tämän kokonaisuuden hallinnan periaatteita ja miten ne viedään edelleen organisaatiota hyödyttäväksi tavoitteelliseksi tietoturvatoiminnaksi, mikä on tietoturvallisuuden hallintajärjestelmän sekä siihen liittyvän hallintaprosessin kehittämisen keskeinen päämäärä.
Työssä selvitetään tietoturvallisuuden hallintajärjestelmän sisältö, käydään läpi tarvittavat toimenpiteet tietoturvallisuuden hallintajärjestelmän luomiseksi sekä tuodaan esille hallintajärjestelmän kehittämisprosessin menetelmät tietoturvallisuuden jatkuvan toiminnan varmistamiseksi.
Työssä kuvataan Suomen metsäkeskuksen tietoturvallisuuden hallinnan nykytila ja arvioidaan tietoturvallisuuden hallintaan liittyviä kehittämistarpeita. Kehittämistarpeiden arvioinnissa otetaan huomioon Suomen metsäkeskuksen toiminnalliset tavoitteet, lainsäädäntö ja valtionhallinnon ohjaus sekä MMM:n hallinnonalalleen asettamat tavoitteet tietoturvallisuuden hallinnassa ja kehittämisessä.