Mitä on hallinnollinen tietoturvallisuus?

  • heinäkuuta 12, 2020

Yksinkertaisuudessaan hallinnollinen tietoturvallisuus tarkoittaa tietoturvallisuuden johtamista. Sen avulla suunnitellaan ja asetetaan tietyt vaatimukset ja tavoitteet organisaation tietoturvallisuudelle, huomioiden niin fyysinen kuin tekninen(kyber) tietoturvallisuus.

  • Hallinnnollisen tietoturvallisuustyön avulla on tarkoitus varmistaa (liike)toiminnan jatkuvuus suojaamalla organisaation arkaluonteiset ja kriittiset tiedot, jotka voivat vaihdella organisaatioittain. Tästä syystä tietoturvallisuutta tulee johtaa siten, että määritellyt suuntaviivat ja niihin liittyvät toimintamallit ja suojaustavat tulee suunnitella kohdekohtaisen nykytilanteen kartoituksen ja riskiarvioinnin mukaisesti.

    Hallinnollista tietoturvallisuutta voidaan ajatella prosessina, joka toteutetaan PDCA-mallin mukaisesti. Sen tulee siis reagoida toimintaympäristön sisäisiin ja ulkoisiin muutoksiin, jotta tietoturvallisuuden tason säilyminen ja kehittäminen on mahdollista.

  •  
  •  

    Mitä hallinnollinen tietoturvallisuus sisältää?

    Hallinnollinen tietoturvallisuus koostuu monista asioista, jotka mahdollistavat organisaation tietoturvallisuuden suunnittelun sekä asetettujen vaatimusten saavuttamisen. Keskeisin niistä on organisaation johdon hyväksymä tietoturvapolitiikka, jonka avulla määritellään tietoturvallisuuden vaatimukset voimassaolevan lainsäädännön ja organisaation tarpeiden mukaisesti.

    Suunnittelu ja toteutus tehdään aina riskilähtöisesti, jolloin se vaatii nykytilan kartoituksen ja siihen liittyvän riskiarvioinnin. Huolellisesti tehdyn riskiarvioinnin perusteella voidaan suunnitella organisaatiota parhaiten palvelevat kustannustehokkaat ja tarkoituksen mukaiset ratkaisut. Tietoturvallisuuden tulisikin olla osa yrityksen liiketoiminnan jatkuvuussuunnitelmaa, jolloin sen tavoitteet voidaan johtaa suoraan siitä. Näin varmistetaan myös, että tavoitteet ovat yhtenäisiä yrityksen strategian ja muiden turvallisuuden osa-alueiden kanssa.

    Organisaation johdon tulee sitoutua tietoturvapolitiikan suunnitteluun ja toteuttamiseen, jotta sitä voidaan ylläpitää ja kehittää. Johdon tulee varmistaa, että politiikan toteuttamiseksi on olemassa tarvittavat resurssit ja edellytykset.

    Organisaatiossa tulisi olla nimetty tietoturvapäällikkö, joka kehittää, ohjaa ja johtaa tietoturvallisuuden toteutusta. Organisaation koosta riippuen voidaan määrittää myös tarvittava määrä muita vastuuhenkilöitä, jotka vastaavat tietoturvallisuuden toteutumisesta ja jalkauttamisesta omilla vastuualueillaan. Tällaisia henkilöitä voivat olla esimerkiksi yksikön johtajat, jotka vastaavat yksikkönsä tietoturvallisuudesta.

    Yksi osa hallinnollista tietoturvallisuutta on viestintä. Jotta turvalliset toimintatavat saadaan käyttöön jokaisella organisaation tasolla, niihin liittyvät ohjeistukset tulisi olla käytännönläheisiä, konkreettisia ja selkeitä. Ohjeistuksen tukena kannattaa hyödyntää esimerkiksi henkilöstölle järjestettävää tietoturvallisuuskoulutusta, jossa voitaisiin käydä ohjeistusta läpi käytännön tasolla. Viestinnän tulee toimia myös toiseen suuntaan. Henkilöstöä tulee kannustaa ilmoittamaan tietoturvapoikkeamista, jotta ne voidaan korjata. Kun ilmoittaminen tehdään helpoksi ja nopeaksi esimerkiksi sähköisen poikkeusilmoituslomakkeen muodossa, se mahdollistaa sen, että ilmoituksia oikeasti tehdään.

    Tietoturvallisuus on tärkeää integroida osaksi jokapäiväistä työntekoa ja siihen on sitouduttava koko organisaation laajuudella. Tätä voidaan seurata auditoimalla organisaation toimintaa niin henkilöstön kuin johdonkin tasolla. Auditoinnit tulisi suorittaa säännöllisin väliajoin, esimerkiksi kerran vuodessa. Sen aikana tehdyt huomiot voidaan edelleen ottaa huomioon, kun päivitetään tietoturvapolitiikkaa.

  •  
  •  

    Miksi hallinnollinen tietoturvallisuus on tärkeää?

    Hallinnollinen tietoturva on kaiken tietoturvallisuuden perusta. Sen avulla määritellään eri tietoturvan osa-alueiden tavoitteet, toimintatavat, suuntaviivat ja ylipäätään tarkempi suorittaminen laaditun riskiarvioinnin perusteella.

    Tietoturvallisuuden osa-alue on nopeimmin muuttuva ja kehittyvä turvallisuuden osa-alueista. Jotta voidaan pysyä toimintaympäristön muutosten mukana ja toisaalta vältytään toimintaympäristön uusilta riskeiltä, tietoturvallisuuden tulee olla johdettua. Osa siitä on vanhentuneiden ja epävirallisten toimintamallien ja -tapojen kitkemistä ja uusien turvallisten ja liiketoimintaa tukevien toimintamallien luomista, kehittämistä ja jalkauttamista.

    Sen lisäksi, että hyvin toteutettu tietoturvallisuus mahdollistaa organisaation arkaluonteisten ja tärkeiden tietojen suojaamisen, se luo luottamusta ja lisäarvoa asiakkaiden näkökulmasta. Lisäksi sillä voi olla etua tarjouskilpailuissa, joissa yhtenä vaatimuksena voi olla tietoturvan asiallinen hoitaminen. (Tietoturvan johtamisjärjestelmä)

  •  
  •  

    Esimerkkejä yleisesti käytetyistä viitekehyksistä

     

Katakri 2015

  • Katakri on tietoturvallisuuden auditointityökalu viranomaisille. Sitä voivat käyttää myös muut organisaatiot oman tietoturvallisuutensa arvioinnin tukena. Valmisteilla on myös uusi versio Katakrista, joka on päivitetty vastaamaan uusia lainsäädännön vaatimuksia ja käytännön tarpeita (blogin kirjoitushetkellä lausuntokierroksella).

 

VAHTI 2/2013

  • Vahti 2/2013 on valtionhallinnon toimitilojen tietoturvaohje. Ohje antaa suuntaviivoja ja ehdotuksia toimitilojen tietoturvallisuuden parantamiselle. Sen avulla organisaatiot pystyvät ottamaan huomioon lainsäädännön vaikutukset toimitilojen turvallisuudelle.

 

ISO 27001

  • Tietoturvallisuuden johtamismallin esimerkki. Antaa suuntaviivoja ja esimerkkejä organisaation tietoturvallisuusjohtamisjärjestelmän rakentamiseen ja siihen liittyvien prosessien ja yksityiskohtien suunnitteluun ja toteuttamiseen.

 

Pikatesti oman organisaation hallinnollisen tietoturvan perusteista

  • Organisaatiolla on johdon hyväksymä tietoturvallisuuspolitiikka
  • Organisaatiolla on yhteiset tietoturvallisuusohjeet
  • Organisaatiolla on nimetty tietoturvapäällikkö
  • Tietoturvallisuus on osa yrityksen liiketoiminnan jatkuvuussuunnitelmaa
  • Tietoturvapolitiikka on läpinäkyvää
  • Toimintaa seurataan ja auditoidaan säännöllisesti
  • Henkilöstölle järjestetään säännöllisesti tietoturvallisuusohjeistuksia/-koulutuksia

 

Mikäli vastasit kieltävästi johonkin edellä mainituista kysymyksistä, saattaa hallinnollisen tietoturvallisuuden tarkastelu olla ajankohtaista. 

  •  

Seclionin asiantuntijapalvelut kattavat kaikki tietoturvallisuuden osa-alueet aina hallinnollisen tietoturvallisuuden kehittämisestä kyberturvapalveluihin.