Case Study: Tietojärjestelmien kriittisyyden arviointi valtioneuvoston kansliassa
Vento, Eero (2017)
Vento, Eero
Laurea-ammattikorkeakoulu
2017
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2017112818617
https://urn.fi/URN:NBN:fi:amk-2017112818617
Tiivistelmä
Valtioneuvoston kanslian keskeinen rooli yhteiskunnallisessa varautumisessa ja valtion johtamisessa edellyttää varautumiselta laadukkaasti toimivaa kokonaisuutta, joka perustuu parhaisiin mahdollisiin käytänteisiin. Osana jatkuvuudenhallintaa ja siihen kuuluvaa ICT-varautumista valtioneuvoston kanslian valmiusyksikön tehtävänä on koordinoida ja ohjata ministeriön tietojärjestelmien kriittisyyden arviointia tietoturvallisuuden asiantuntijuutta sekä yhteisiä menetelmiä tarjoamalla. Muutokset valmiusyksikön hallinnollisen tietoturvallisuuden asiantuntijaorganisaatiossa ja tietojärjestelmien kriittisyyden arvioinnissa havaitut puutteet edellyttävät prosessin kehittämistarpeen tutkimista.
Opinnäytetyöllä vastattiin tutkimustarpeeseen selvittämällä tapaustutkimuksen keinoin tietojärjestelmien kriittisyyden arvioinnin nykytilaa ja vertaamalla sitä jatkuvuuden hallinnan teoreettiseen viitekehykseen. Teoreettinen viitekehys muodostettiin kirjallisuuslähteiden, kansallinen lainsäädännön ja toimintatapoihin ohjaavien standardien sekä ohjeiden perusteella. Työn tavoitteena oli muodostaa käsitys siitä, mitä toimiva tietojärjestelmien kriittisyyden arvioinnin prosessi valtioneuvoston kansliassa edellyttää ja luoda kehittämisehdotuksia sekä -ideoita siitä, miten tietojärjestelmien kriittisyyden arviointia ja siihen liittyviä toimintamalleja voisi valmiusyksikössä kehittää.
Kriittisten tietojärjestelmien kuten toimintojen ja prosessienkin määrittely on jatkuvuuden hallinnan perustana osa organisaation sisäisen toimintaympäristön tunnistamista. Ilman tätä vaihetta jatkuvuus- ja varautumissuunnittelua ei voida kohdentaa tärkeisiin toimintoihin eikä häiriötilanteista toipumisen toimenpiteitä ole mahdollista toteuttaa oikeassa järjestyksessä. Opinnäytetyön viitekehys kytkeytyi jatkuvuuden hallinnan lisäksi tietoturvallisuuteen, tietojärjestelmissä käsiteltävän tiedon ollessa yksi organisaation arvokkaimmista pääomista.
Tietojärjestelmien kriittisyyden arvioinnin prosessin nykytilaa tutkittiin haastattelemalla valmiusyksikössä työskenteleviä tietoturvallisuuden asiantuntijoita sekä tutustumalla prosessiin liittyvään julkiseen dokumentaatioon. Nykytilan hahmottamista varten menetelmänä käytettiin prosessianalyysia ja kehittämisratkaisuja pyrittiin löytämään teoriaan nojaavalla esikuva-arvioinnilla, joka edellytti kattavaa perehtymistä teoreettiseen viitekehykseen.
Tulokset osoittivat, että tietojärjestelmien kriittisyyden arvioinnin sijaan kehittämisessä on ensisijaisesti tarkasteltava jatkuvuuden hallinnan prosessia kokonaisuutena. Kriittisten tietojärjestelmien tunnistaminen perustuukin strategisen tason jatkuvuussuunnitteluun, jonka osana valtioneuvoston kanslian toimintojen ja prosessien kriittisyys tulisi arvioida. Tietojärjestelmien kriittisyyden arvioinnin menetelmissä ja työkaluissa on huomioitava järjestelmien riippuvuussuhteet toimintoihin ja prosesseihin sen sijaan, että tietojärjestelmiä arvioitaisiin niistä erillisinä kokonaisuuksina. Keskeytymisvaikutusten lisäksi yksittäisen järjestelmän kriittisyyden muodostumisessa on huomioitava järjestelmän merkitys strategisten tehtävien kannalta ja järjestelmän sisältämän tiedon arvo.
Opinnäytetyöllä vastattiin tutkimustarpeeseen selvittämällä tapaustutkimuksen keinoin tietojärjestelmien kriittisyyden arvioinnin nykytilaa ja vertaamalla sitä jatkuvuuden hallinnan teoreettiseen viitekehykseen. Teoreettinen viitekehys muodostettiin kirjallisuuslähteiden, kansallinen lainsäädännön ja toimintatapoihin ohjaavien standardien sekä ohjeiden perusteella. Työn tavoitteena oli muodostaa käsitys siitä, mitä toimiva tietojärjestelmien kriittisyyden arvioinnin prosessi valtioneuvoston kansliassa edellyttää ja luoda kehittämisehdotuksia sekä -ideoita siitä, miten tietojärjestelmien kriittisyyden arviointia ja siihen liittyviä toimintamalleja voisi valmiusyksikössä kehittää.
Kriittisten tietojärjestelmien kuten toimintojen ja prosessienkin määrittely on jatkuvuuden hallinnan perustana osa organisaation sisäisen toimintaympäristön tunnistamista. Ilman tätä vaihetta jatkuvuus- ja varautumissuunnittelua ei voida kohdentaa tärkeisiin toimintoihin eikä häiriötilanteista toipumisen toimenpiteitä ole mahdollista toteuttaa oikeassa järjestyksessä. Opinnäytetyön viitekehys kytkeytyi jatkuvuuden hallinnan lisäksi tietoturvallisuuteen, tietojärjestelmissä käsiteltävän tiedon ollessa yksi organisaation arvokkaimmista pääomista.
Tietojärjestelmien kriittisyyden arvioinnin prosessin nykytilaa tutkittiin haastattelemalla valmiusyksikössä työskenteleviä tietoturvallisuuden asiantuntijoita sekä tutustumalla prosessiin liittyvään julkiseen dokumentaatioon. Nykytilan hahmottamista varten menetelmänä käytettiin prosessianalyysia ja kehittämisratkaisuja pyrittiin löytämään teoriaan nojaavalla esikuva-arvioinnilla, joka edellytti kattavaa perehtymistä teoreettiseen viitekehykseen.
Tulokset osoittivat, että tietojärjestelmien kriittisyyden arvioinnin sijaan kehittämisessä on ensisijaisesti tarkasteltava jatkuvuuden hallinnan prosessia kokonaisuutena. Kriittisten tietojärjestelmien tunnistaminen perustuukin strategisen tason jatkuvuussuunnitteluun, jonka osana valtioneuvoston kanslian toimintojen ja prosessien kriittisyys tulisi arvioida. Tietojärjestelmien kriittisyyden arvioinnin menetelmissä ja työkaluissa on huomioitava järjestelmien riippuvuussuhteet toimintoihin ja prosesseihin sen sijaan, että tietojärjestelmiä arvioitaisiin niistä erillisinä kokonaisuuksina. Keskeytymisvaikutusten lisäksi yksittäisen järjestelmän kriittisyyden muodostumisessa on huomioitava järjestelmän merkitys strategisten tehtävien kannalta ja järjestelmän sisältämän tiedon arvo.