Tietoturvapoikkeamatilanteiden hallinta
Ilkka, Juha; Sahlman, Anssi; Mäntylä, Harri; Hartikainen, Jarna; Janhunen, Kirsi; Grönroos, Kristiina; Raappana, Mika; Kinnunen, Paul; Heikkinen, Pyry; Niinikorpi, Sami; Lehtinen, Tuija; Törmälä, Jari; Pajunen, Kimmo (2017-02-14)
Ilkka, Juha
Sahlman, Anssi
Mäntylä, Harri
Hartikainen, Jarna
Janhunen, Kirsi
Grönroos, Kristiina
Raappana, Mika
Kinnunen, Paul
Heikkinen, Pyry
Niinikorpi, Sami
Lehtinen, Tuija
Törmälä, Jari
Pajunen, Kimmo
Valtiovarainministeriö
14.02.2017
Julkaisusarja:
Valtiovarainministeriön julkaisuja 8/2017This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
http://urn.fi/URN:ISBN: 978-952-251-930-6Tiivistelmä
Yhteiskunnan keskeisenä rakenteena toimivat turvalliset, luotettavat ICT-palvelut. Sitä myötä kun toiminta on siirretty manuaalisista palveluista sähköistettyihin, yhä pitemmälle digitalisoitaviin toimintoihin, sitä enemmän niitä kohtaan kohdistuu tieto- ja kyberturvallisuusuhkia.
Täysin varmaa tieto- tai kyberturvallisuutta ei ole mahdollista eikä taloudellisesti järkevää rakentaa. Jokaisella organisaatiolla tulisi kuitenkin olla prosessi, jonka avulla sen tulee huolehtia tietoturvapoikkeamien hallinnasta. Prosessi voi olla osa laajempaa sen toimintaan kohdistuvien häiriötilanteiden hallintaprosessia.
Poikkeama voi koskea tiedon luottamuksellisuuden vaarantumisen sijaan sen saatavuuteen tai eheyteen liittyviä tekijöitä. Jos tietoturvallisuus on aikaisemmin painottunut yhteen sen kolmesta osa-alueesta, luottamuksellisuuteen, jatkossa toiminnan digitalisaation myötä entistä merkittävämmäksi seikaksi tulee huolehtia tiedon ja palveluiden saatavuuden ja eheyden vaatimustenmukaisuudesta, myös julkisen tiedon osalta.
Tietoturvallisuuden ohella henkilötietojen käsittelyn merkitys on vahvasti noussut ja digitalisaation sekä tarpeen yhdistää tietoja entistä joustavammin myötä, tarve tulee kasvamaan. EU-tietosuoja-asetus (GDPR, General Data Protection Regulation 2016/679) asettaa uusia vaatimuksia tietoturvapoikkeamien hallintaan ennen kaikkea ilmoitusvelvollisuuden henkilötietojen tietosuojaloukkauksiin liittyen.
Tämän VAHTI-ohjeen avulla organisaatio pystyy kehittämään toimintaansa näiden kaikkien vaatimusten mukaiseksi kehittäen samalla organisaation omaa ja sidosryhmien yhteistyötä ja viestintää tietoturvapoikkeamien hallinnassa.
2., päivitetty versio.
Täysin varmaa tieto- tai kyberturvallisuutta ei ole mahdollista eikä taloudellisesti järkevää rakentaa. Jokaisella organisaatiolla tulisi kuitenkin olla prosessi, jonka avulla sen tulee huolehtia tietoturvapoikkeamien hallinnasta. Prosessi voi olla osa laajempaa sen toimintaan kohdistuvien häiriötilanteiden hallintaprosessia.
Poikkeama voi koskea tiedon luottamuksellisuuden vaarantumisen sijaan sen saatavuuteen tai eheyteen liittyviä tekijöitä. Jos tietoturvallisuus on aikaisemmin painottunut yhteen sen kolmesta osa-alueesta, luottamuksellisuuteen, jatkossa toiminnan digitalisaation myötä entistä merkittävämmäksi seikaksi tulee huolehtia tiedon ja palveluiden saatavuuden ja eheyden vaatimustenmukaisuudesta, myös julkisen tiedon osalta.
Tietoturvallisuuden ohella henkilötietojen käsittelyn merkitys on vahvasti noussut ja digitalisaation sekä tarpeen yhdistää tietoja entistä joustavammin myötä, tarve tulee kasvamaan. EU-tietosuoja-asetus (GDPR, General Data Protection Regulation 2016/679) asettaa uusia vaatimuksia tietoturvapoikkeamien hallintaan ennen kaikkea ilmoitusvelvollisuuden henkilötietojen tietosuojaloukkauksiin liittyen.
Tämän VAHTI-ohjeen avulla organisaatio pystyy kehittämään toimintaansa näiden kaikkien vaatimusten mukaiseksi kehittäen samalla organisaation omaa ja sidosryhmien yhteistyötä ja viestintää tietoturvapoikkeamien hallinnassa.
2., päivitetty versio.