Sähköisen asioinnin tietoturvallisuus -ohje
Rousku, Kimmo (toimittaja) (2017-06-02)
Valtiovarainministeriö
02.06.2017
Julkaisusarja:
Valtiovarainministeriön julkaisuja 25/2017This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
http://urn.fi/URN:ISBN:978-952-251-868-2Tiivistelmä
Suomi on toiminut edelläkävijänä sekä hallinnon että kansalaisille suunnattujen palveluiden sähköistämisessä jo 1990-luvulta alkaen ja nyt koko toimintaketjua tai prosessia koskevan toiminnan digitalisaation osalta.
Molemmat edellä olevat toimintamallit ovat edellyttäneet riskienhallinnan, tietoturvallisuuden, toiminnan jatkuvuuden hallinnan, tietosuojan sekä kyberturvallisuuden toteuttamista osana kokonaisuutta. Jos aikaisemmin nämä osa-alueet saatettiin nähdä erillisinä, nyt jokainen taho on ymmärtänyt, että edellä olevia osa-alueita toteuttava digitaalinen turvallisuus pitää olla sisäänrakennettua (security by design) ja otettu oletusarvoisesti käyttöön (security by default).
Tämä ohje on laadittu tukemaan asiointipalveluiden suunnittelua, hankintaa, toteuttamista ja kehittämistä. Ohje kuvaa yleisellä tasolla, kuinka turvallisuuden eri osa-alueet tulee ottaa huomioon sähköisiä asiointipalveluita suunniteltaessa ja niitä toteutettaessa. Ohjeessa kerrotaan yhteenveto sähköisen asioinnin tietoturvallisuutta säätelevistä laeista ja viitekehyksistä. Ohjeen avulla halutaan auttaa muodostamaan kokonaisnäkemys sähköisen asioinnin keskeisistä tietoturvauhista. Ohje tarjoaa käytännön neuvoja sähköisen asiointipalvelun tietoturvallisista rakenneratkaisuista ja toimintamalleista, ja havainnollistaa niitä sähköisen asioinnin viitearkkitehtuurin ja julkishallinnon konkreettisten case-esimerkkien kautta. Ohje tarjoaa perustiedot julkisen hallinnon sähköisen asioinnin tukipalveluista ja niiden tarjoamista hyödyistä tietoturvallisuuden varmistamisessa. Ohje kokoaa sähköisiä asiointipalveluita tarjoaville tahoille velvoittavat vaatimukset sekä tarjoaa suositusluonteisia ohjeita ja hyviä käytäntöjä.
Lisäksi ohjeessa on käyty läpi hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetun lain mukaiset keskeiset tukipalvelut, joita julkishallinnon tulee ensisijaisesti hyödyntää sähköisen asioinnin verkkopalveluidensa suunnittelussa ja toteuttamisessa
Molemmat edellä olevat toimintamallit ovat edellyttäneet riskienhallinnan, tietoturvallisuuden, toiminnan jatkuvuuden hallinnan, tietosuojan sekä kyberturvallisuuden toteuttamista osana kokonaisuutta. Jos aikaisemmin nämä osa-alueet saatettiin nähdä erillisinä, nyt jokainen taho on ymmärtänyt, että edellä olevia osa-alueita toteuttava digitaalinen turvallisuus pitää olla sisäänrakennettua (security by design) ja otettu oletusarvoisesti käyttöön (security by default).
Tämä ohje on laadittu tukemaan asiointipalveluiden suunnittelua, hankintaa, toteuttamista ja kehittämistä. Ohje kuvaa yleisellä tasolla, kuinka turvallisuuden eri osa-alueet tulee ottaa huomioon sähköisiä asiointipalveluita suunniteltaessa ja niitä toteutettaessa. Ohjeessa kerrotaan yhteenveto sähköisen asioinnin tietoturvallisuutta säätelevistä laeista ja viitekehyksistä. Ohjeen avulla halutaan auttaa muodostamaan kokonaisnäkemys sähköisen asioinnin keskeisistä tietoturvauhista. Ohje tarjoaa käytännön neuvoja sähköisen asiointipalvelun tietoturvallisista rakenneratkaisuista ja toimintamalleista, ja havainnollistaa niitä sähköisen asioinnin viitearkkitehtuurin ja julkishallinnon konkreettisten case-esimerkkien kautta. Ohje tarjoaa perustiedot julkisen hallinnon sähköisen asioinnin tukipalveluista ja niiden tarjoamista hyödyistä tietoturvallisuuden varmistamisessa. Ohje kokoaa sähköisiä asiointipalveluita tarjoaville tahoille velvoittavat vaatimukset sekä tarjoaa suositusluonteisia ohjeita ja hyviä käytäntöjä.
Lisäksi ohjeessa on käyty läpi hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetun lain mukaiset keskeiset tukipalvelut, joita julkishallinnon tulee ensisijaisesti hyödyntää sähköisen asioinnin verkkopalveluidensa suunnittelussa ja toteuttamisessa