Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja
Akatemian etusivu
Blogit
Digiturvamalli auttaa täyttämään tiedonhallintalain vaatimukset

Tiedonhallintalaki kokoaa useita julkishallinnon organisaatioiden tiedonhallintaa koskevia säädöksiä entistä selkeämmäksi, mutta toteutukseltaan haastavaksi kokonaisuudeksi. Organisaatiolla on oltava tiedonhallintamalli käytössä ja julkaistu 1.1.2021 mennessä ja muukin työ on käynnistettävä, sillä siirtymäaika esimerkiksi tietoturvaa ja rajapintoja koskeviin vaatimuksiin päättyy 1.1.2023.

‍Digiturvamalli on hallinta- ja johtamisjärjestelmä, jolla organisoidaan digitaalisen turvallisuuden toimenpiteet. Sen avulla vaatimustenmukaisuutta kohti edetään määrätietoisesti valmiita sisältöjä ja automatisointia hyödyntäen.

Tässä kirjoituksessa lyhyt yhteenveto siitä, kuinka työskentely tiedonhallintalain ympärillä organisoidaan Digiturvamallin kautta.

Järjestämme webinaarin aiheesta "Digiturvamalli + Tiedonhallintalaki" 22.6. sekä 11.8. Voit osallistua "livenä" tai katsoa tallenteen, kun rekisteröidyt mukaan.

Lue tarkemmin ja varaa paikkasi >>


Tiedonhallintalaki-vaatimuskehikko ohjaa työskentelyä

Digiturvamallissa työskentelyä ohjataan vaatimuskehikkojen kautta. Tiedonhallintalaki on yksi vaatimuskehikko, jonka organisaatio voi ottaa käyttöön. Tämän jälkeen Digiturvamalli suosittelee tehtäviä sekä dokumentaatiota, jota nimenomaan tämä vaatimuskehikko vaatii.

Valittu vaatimuskehikko näkyy työpöydän ylälaidassa ja moduulit ovat järjestyksessä tärkeyden mukaan

Vaatimuskehikon tarkoituksena on tehdä monimutkaisen kokonaisuuden eteen tehtävästä työstä mahdollisimman selkeää ja läpinäkyvää.

Tiedonhallintamalli kasaan selkein askelin

Isoa kokonaisuutta kannattaa alkaa ottamaan haltuun tietyssä järjestyksessä. Digiturvamalli ohjaa toimimaan seuraavan vaiheistuksen kautta.

Digiturvamallia voi käyttää joko MS Teamsin sisällä tai Digiturvamalli.fi-sivuston kautta. Teams-sovellus helpottaa mm. käyttöoikeuksien hallintaa ja tuo digiturva-asiat osaksi tuttua ympäristöä.

1. Hahmota ja vastuuta työtä vaativat tehtävät

Tehtävälistat esittävät, mitä tekemistä tiedonhallintalaki vaatii. Tehtävien kautta voimme vastuuttaa työn organisaatiossamme ja kirjata todisteet, jotka näyttävät tehtävän olevan todellisuudessa hoidossa.

Tiedonhallintalain vaatimukset on jaoteltu 4 eri tehtävälistaan

Tehtävä osoitetaan tehdyksi valitsemalla omistaja ja kuvaamalla joko prosessikuvaus, liittyvä dokumentaatio tai liittyvät ohjeet. Kukin tehtävä suosittelee sopivinta vaihtoehtoa käyttäjälle.  

2. Käynnistä dokumentointi

Tiedonhallintamallin ja siihen liittyvän asiakirjajulkisuuskuvauksen muodostaminen vaatii dokumentaatiota mm. toimintaprosesseista, tietovarannoista, tietoaineistoista sekä tietojärjestelmistä.

Jokaiselle dokumentoitavalle asialle on oma "klikkailtava" tietopohjansa

Digiturvamalli tarjoaa kaikille näistä valmiin dokumentaatiopohjan, jonka avulla valittu omistaja osaa täydentää vaaditut tiedot. Dokumentointia voi halutessaan tarkentaa, mutta oletuksena lomakkeet ja taulukko sisältävät tiedonhallintalain vaatimat tiedot - eivät ylimääräisiä kohtia tai piirroksia.

3. Jalkauta työ ja valvo edistystä

Kun tehtäviä tai dokumentoitavia kohteita on nimetty eri omistajille, kukin näkee omalla vastuullaan olevat tehtävät ja voi tehdä niihin päivityksiä oman tehtäväkirjansa kautta.

Tehtäväkirja sisältää vain tämän käyttäjän omistamat sisällöt

Työpöydän kautta pääkäyttäjät voivat seurata kokonaisuutena työn edistymistä.

4. Raportoi ja julkaise tiedonhallintamalli

Asiakirjajulkisuuskuvaus on julkinen tiivistelmä tiedonhallintamallista, joka on suunniteltu palvelemaan kansalaista ja auttamaan häntä kohdistamaan tietopyyntönsä oikeille tahoille.

Tiedonhallintamalli.fi-palvelu tullaan julkaisemaan elokuussa 2020

Digiturvamallin avulla tällainen ulkoinen ja sisäinen raportointi tiedonhallintamalliin liittyen voidaan automatisoida. Olemme julkaisemassa avoimen sivuston osoitteeseen Tiedonhallintamalli.fi, jossa kunta voi julkaista oman asiakirjajulkisuuskuvauksensa "yhdellä klikkauksella", kun dokumentaatio on muodostettu Digiturvamallissa. Kuvaus tulee olemaan mahdollista upottaa myös kunnan omalle verkkosivulle.

Muuten Digiturvamalli sisältää kattavan raporttikirjaston sisäiseen käyttöön, joiden avulla voidaan osoittaa, kuinka eri vaatimusten eteen on organisaatiossa toimittu.

Autamme ottamaan nämä askeleet 4-osaisen webinaarisarjan avulla

Palvelemme Digiturvamallin avulla jo kymmeniä kuntia, joista monet ovat käynnistämässä työtä Tiedonhallintamallin muodostamiseksi alkusyksystä. Järjestämme työn tueksi 4-osaisen webinaarisarjan elo-lokakuussa, jonka eri osista järjestetään jokaisesta 3 eri sessiota.

Tämä webinaarisarja on täysin maksuton, ja sen tavoitteena on käydä konkretian kautta läpi tiedonhallintamallin muodostamista Digiturvamallin avulla.

Voit katsoa tarkemmat lisätiedot sekä ajankohdat Webinarit-sivultamme.


Kun työ etenee, jatka pidemmälle henkilöstön osaamisen ja turvallisuustoimenpiteiden parissa

Tiedonhallintalaki vaatii myös henkilöstön osaamisen varmistamista. Lisäksi osana tiedonhallintamallia on kuvattava omat turvallisuustoimenpiteet, joiden kautta organisaatio pyrkii suojaamaan prosesseissaan käsiteltävää tietoa.

Digiturvamallissa tämä tarkoittaa työn jatkamista pidemmälle - automatisoidun henkilöstön ohjeistuksen sekä tietoturvaa käsittelevien vaatimuskehikkojen puolelle.

Ota käyttöön sopiva vaatimuskehikko tietoturvan puolelle

Kun omia toimenpiteitä ja ohjeistuksia tietoturvan puolella halutaan lähteä kehittämään, on aika ottaa käyttöön joku tietoturvaan keskittyneistä vaatimuskehikoista.

Kaikki vaatimuskehikot sisältyvät jokaiseen Digiturvamalliin, organisaatio itse päättää soveltamisesta

Nämä vaatimuskehikot tarjoavat valmiita ohjeita henkilöstölle tärkeissä teemoissa (mm. salasanahallinta, etätyö) ja listaavat tietoturvan tehtäviä eri moduuleihin. Kun käyttöön otetaan esimerkiksi pienin tietoturvakehikko "Tietoturvan välttämättömät ydinasiat", käsittely laajenee mm. mobiililaitteiden hallinnan sekä tietojenkalastelun estämisen parissa.

Henkilöstölle ohjeistus ja koulutus automatisodusti suoraan Teamsissa

Tiedonhallintalaki vaatii henkilöstön ohjeistamisen ja koulutuksen organisointia. Digiturvamalli tarjoaa tähän automatisoidun tavan, joka integroituu suoraan Teams-ympäristöön.

Kun ohjeita aktivoidaan ja kohdistetaan eri yksiköille, jokaiselle työntekijälle muodostuu persoonallinen "digiturvan ohjekirja". Ohjekirjaa voidaan käyttää avuksi esimerkiksi perehdyttämisessä. Se on yksittäinen sivu, joka sisältää kaikki tälle työntekijälle oleelliset digiturvaohjeet.

Ohjekirja on jokaisen työntekijälle personoitu, älykäs digiturvaohje

Koulutuksen ja ohjeiden muistamisen varmistaa Teams-bottimme. Ohjeista muistutetaan säännöllisesti ja botti jakelee myös niihin liittyviä koulutussisältöjä. Samalla tietenkin pyydetään kuittauksia ohjeiden noudattamiselle, joten organisaatiolle muodostuu uskottavat todisteet panostuksista henkilöstön osaamiseen.

Digiturvabotti varmistaa, että henkilöstö muistaa ja ymmärtää digiturvaohjeensa

Kysymyksiä, kommentteja?

Mikäli kiinnostuitte Digiturvamallista ja haluatte perehtyä teemaan tarkemmin, tässä kaksi mainiota toimenpidettä:

Osallistu tuleviin webinaareihin >>

Varaa ilmainen palaveri tiimimme kanssa >>

Sisältö

Jaa artikkeli