Tietoturvallisuuden hallinnan kehittäminen pienessä kuntaorganisaatiossa - Toimintatutkimus
YLANDER, SIRKKA (2007)
2007
Tietojenkäsittelyoppi - Computer Science
Informaatiotieteiden tiedekunta - Faculty of Information Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2007-11-16
Julkaisun pysyvä osoite on
https://urn.fi/urn:nbn:fi:uta-1-17409
https://urn.fi/urn:nbn:fi:uta-1-17409
Tiivistelmä
Tietoturvallisuuden tila suomalaisissa kuntaorganisaatioissa on tutkimusten mukaan heikko. Erityisesti tutkimuksissa korostuvat tietoturvallisuuden hallintatoimenpiteiden huono tila, ohjeistukseen ja koulutukseen sekä riskienhallintaan liittyvät puutteellisuudet. Etenkin pienissä kuntaorganisaatioissa ei aina ole resursseja tai asiantuntemusta kattavan tietoturvallisuuden kehittämisprojektin toteutukseen.
Tietoturvallisuuden hallintaan on olemassa standardeja ja ohjeistoja, mutta ne on suunniteltu joko valtionhallinnon tai yksityisen sektorin näkökulmasta. Ohjeistot kuntaorganisaation tietoturvallisuuden hallintaan puuttuvat.
Toisaalta olemassa olevat ohjeet ja standardit ovat raskaita, kalliita ja monimutkaisia käyttää. Lisäksi standardit ovat usein abstraktilla tasolla ja niistä puuttuvat konkreettiset toimintamallit.
Näiden edellä mainittujen havaintojen seurauksena käynnistettiin projekti, jossa tavoitteena oli laatia tietoturvallisuuden hallinnan kehittämiseen sopiva, kevyt ja helppokäyttöinen sekä kattava toimintamalli kuntaorganisaation käyttöön. Malli on pilotoitu pienessä suomalaisessa kunnassa.
Tuloksena on laadittu toimintamalli, joka kattaa tietoturvallisuuden kehittämisessä tärkeäksi katsotut vaiheet: Projektointi, tietoturvavaatimusten määrittäminen, nykytilanteen kartoittaminen sekä tietoturvallisuussuunnittelu ja toteutus. Tässä työssä ei oteta kantaa valittaviin suojamekanismeihin, vaan työssä keskitytään siihen, miten kuntaorganisaation tietoturvallisuus saadaan ylipäätään hallintaan ja jatkuvan kehityksen tielle.
Toimintamalli on yleinen ja sitä voidaan käyttää myös muiden kuin kuntaorganisaatioiden tietoturvallisuuden kehittämisessä.
Avainsanat ja -sanonnat: tietoturvallisuuden hallinta, tietoturvatoiminta, julkishallinto, kuntaorganisaatio.
Tietoturvallisuuden hallintaan on olemassa standardeja ja ohjeistoja, mutta ne on suunniteltu joko valtionhallinnon tai yksityisen sektorin näkökulmasta. Ohjeistot kuntaorganisaation tietoturvallisuuden hallintaan puuttuvat.
Toisaalta olemassa olevat ohjeet ja standardit ovat raskaita, kalliita ja monimutkaisia käyttää. Lisäksi standardit ovat usein abstraktilla tasolla ja niistä puuttuvat konkreettiset toimintamallit.
Näiden edellä mainittujen havaintojen seurauksena käynnistettiin projekti, jossa tavoitteena oli laatia tietoturvallisuuden hallinnan kehittämiseen sopiva, kevyt ja helppokäyttöinen sekä kattava toimintamalli kuntaorganisaation käyttöön. Malli on pilotoitu pienessä suomalaisessa kunnassa.
Tuloksena on laadittu toimintamalli, joka kattaa tietoturvallisuuden kehittämisessä tärkeäksi katsotut vaiheet: Projektointi, tietoturvavaatimusten määrittäminen, nykytilanteen kartoittaminen sekä tietoturvallisuussuunnittelu ja toteutus. Tässä työssä ei oteta kantaa valittaviin suojamekanismeihin, vaan työssä keskitytään siihen, miten kuntaorganisaation tietoturvallisuus saadaan ylipäätään hallintaan ja jatkuvan kehityksen tielle.
Toimintamalli on yleinen ja sitä voidaan käyttää myös muiden kuin kuntaorganisaatioiden tietoturvallisuuden kehittämisessä.
Avainsanat ja -sanonnat: tietoturvallisuuden hallinta, tietoturvatoiminta, julkishallinto, kuntaorganisaatio.