Hallinnon tietotekniikkakeskuksen kokonaisvaltaisen riskienhallinnan kehittämissuunnitelma
Marjamäki-Ruuskanen, Sonja (2013)
Marjamäki-Ruuskanen, Sonja
Laurea-ammattikorkeakoulu
2013
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201303113180
https://urn.fi/URN:NBN:fi:amk-201303113180
Tiivistelmä
Riskienhallinnan tarkoitus on pyrkiä hallitsemaan organisaation toimintaan kohdistuvia riskejä. Mikäli organisaatiossa ei toteuteta riskienhallintaa, antaa se organisaation toiminnasta ja johtamisesta epävakaan kuvan – organisaatiosta, joka ei täytä sille asetettuja tietoturvavaatimuksia eikä turvaa sen strategisten eikä omistajilleen lupaamiensa tavoitteiden saavuttamista.
Valtionhallinnon virastoissa sovelletaan vuonna 2010 voimaan tullutta tietoturvallisuusasetusta (681/2010) Laissa säädetään viranomaisia koskevista yleisistä tietoturvavaatimuksista ja tietoturvallisuustasoista. Laissa otetaan huomioon myös tietoturvallisuusriskien kartoittaminen.
Tämän opinnäytetyön tarkoituksena oli kehittää Hallinnon tietotekniikkakeskuksen (HALTIK) kokonaisvaltaista riskienhallintaa. Opinnäytetyö suoritettiin konstruktiivisena tutkimuksena, jossa tutkimusongelmaksi asetettiin kokonaisvaltaisen riskienhallinnan vaikuttavuuden parantaminen.
Kehittämistehtävän teoreettinen osuus tapahtui 1.6 - 30.9.2012 välisenä aikana. Kehittämissuunnitelma valmistui loppuvuonna 2012 ja se esitettiin kohdeorganisaation johdolle joulukuussa 2012. Kehittämistyön toimeksiantajana oli Hallinnon tietotekniikkakeskus (HALTIK) ja kehittämistyön valvonnan kohdeorganisaatiossa toteutti kohdeorganisaation riskienhallintapäällikkö.
Opinnäytetyö jakaantuu konstruktiivisen tutkimuksen rakenteen mukaisesti kolmeen pääosaan - teoreettisen taustan hankintaan, käytännöllisen tutkimustiedon hankintaan sekä ratkaisujen laatimiseen. Teoreettisen taustan tarkoituksena oli hankkia tietoa riskienhallinnan toteuttamisesta sekä sen vaikuttavuuden parantamisesta. Tutkimustiedon hankinnassa selvitettiin riskienhallinnan kehittämiseen vaikuttavia asioita. Saadut tiedot mahdollistivat riskienhallinnan kehittämissuunnitelman luomisen.
Kehittämissuunnitelman avulla luotava standardiin pohjautuva kokonaisvaltainen riskienhallinta mahdollistaa kohdeorganisaation riskienhallinnan toteuttamisen yhteisesti hyväksyttyjen menetelmien ja käsitteiden mukaisesti. Tämä mahdollistaa jatkuvan ja toistettavan tavan toteuttaa riskienhallintaa. Kokonaisvaltainen riskienhallinta takaa sen, että kohdeorganisaation strategia, tavoitteet ja arvot ovat lähtökohtana kohdeorganisaation riskienhallinnalle ja että sitä toteutetaan kohdeorganisaation kaikissa prosesseissa. Standardiin pohjautuva kokonaisvaltainen riskienhallinta luo turvallisen ja varman perustan kohdeorganisaation toiminnalle ja takaa kohdeorganisaation johdolle luotettavan työkalun päätöstentekoon parantaen näin sen vaikuttavuutta.
Valtionhallinnon virastoissa sovelletaan vuonna 2010 voimaan tullutta tietoturvallisuusasetusta (681/2010) Laissa säädetään viranomaisia koskevista yleisistä tietoturvavaatimuksista ja tietoturvallisuustasoista. Laissa otetaan huomioon myös tietoturvallisuusriskien kartoittaminen.
Tämän opinnäytetyön tarkoituksena oli kehittää Hallinnon tietotekniikkakeskuksen (HALTIK) kokonaisvaltaista riskienhallintaa. Opinnäytetyö suoritettiin konstruktiivisena tutkimuksena, jossa tutkimusongelmaksi asetettiin kokonaisvaltaisen riskienhallinnan vaikuttavuuden parantaminen.
Kehittämistehtävän teoreettinen osuus tapahtui 1.6 - 30.9.2012 välisenä aikana. Kehittämissuunnitelma valmistui loppuvuonna 2012 ja se esitettiin kohdeorganisaation johdolle joulukuussa 2012. Kehittämistyön toimeksiantajana oli Hallinnon tietotekniikkakeskus (HALTIK) ja kehittämistyön valvonnan kohdeorganisaatiossa toteutti kohdeorganisaation riskienhallintapäällikkö.
Opinnäytetyö jakaantuu konstruktiivisen tutkimuksen rakenteen mukaisesti kolmeen pääosaan - teoreettisen taustan hankintaan, käytännöllisen tutkimustiedon hankintaan sekä ratkaisujen laatimiseen. Teoreettisen taustan tarkoituksena oli hankkia tietoa riskienhallinnan toteuttamisesta sekä sen vaikuttavuuden parantamisesta. Tutkimustiedon hankinnassa selvitettiin riskienhallinnan kehittämiseen vaikuttavia asioita. Saadut tiedot mahdollistivat riskienhallinnan kehittämissuunnitelman luomisen.
Kehittämissuunnitelman avulla luotava standardiin pohjautuva kokonaisvaltainen riskienhallinta mahdollistaa kohdeorganisaation riskienhallinnan toteuttamisen yhteisesti hyväksyttyjen menetelmien ja käsitteiden mukaisesti. Tämä mahdollistaa jatkuvan ja toistettavan tavan toteuttaa riskienhallintaa. Kokonaisvaltainen riskienhallinta takaa sen, että kohdeorganisaation strategia, tavoitteet ja arvot ovat lähtökohtana kohdeorganisaation riskienhallinnalle ja että sitä toteutetaan kohdeorganisaation kaikissa prosesseissa. Standardiin pohjautuva kokonaisvaltainen riskienhallinta luo turvallisen ja varman perustan kohdeorganisaation toiminnalle ja takaa kohdeorganisaation johdolle luotettavan työkalun päätöstentekoon parantaen näin sen vaikuttavuutta.