Seuraava webinaari
"
Demo: Riskienhallinnan toteuttaminen ja vinkit Digiturvamallissa
"
alkaa
00
pv
pv
00
h
h
00
min
päästä  

Muutosvaikutusten arvioinnit ja niiden toteuttaminen Digiturvamallissa

Kehitä digiturvatyötänne? Kokeile Digiturvamallia.
Kokeile 14 päivää - se on ilmaista

Organisaation on ajoittain uudistuttava ja sopeuduttava toimintaympäristön muutoksiin pysyäkseen kehityksessä mukana. Usein nämä toiminnan uudistukset vaikuttavat myös tietoturvaan ja tiedonhallintaan.

Selkeästi suunnitellut menettelyt muutostenhallintaan sisältyvät monien tietoturvan vaatimuskehikkojen (mm. ISO 27001, NIST, Katakri, Omavalvontasuunnitelma...) vaatimuksiin.

Muutosvaikutusten arvioinnin tavoitteet

Tiedonhallintalautakunnan mukaan tiedonhallintalain vaatimuksella muutosvaikutusten arvioinnista:

On siis melko yleinen hyvä käytäntö, että järjestelmällisessä tietoturvatyössä merkittäviä muutoksia pyritään aktiivisesti tunnistamaan, niiden vaikutukset arvioidaan ennakkoon ja muutokset toteutetaan systemaattisesti suunnittelun jälkeen. Tavoitteena on auttaa organisaatiota johtamaan muutos hallitusti ja vastuullisesti.

Muutosvaikutusten arvioinnit ovat yksi tiedonhallintalautakunnan nimeämistä osa-alueista, joiden  valvontaan se keskittyy.

Millaiset muutokset ovat tiedonhallinnan kannalta merkittäviä?

Merkittävät muutokset voivat liittyä mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin tai tietojärjestelmiin kohdistuvat muutokset. Tässä esimerkkejä muutoksista, joiden yhteydessä muutosvaikutusten arvioinnille voi olla tarvetta:

Kuinka olennaisia muutoksia voidaan tunnistaa?

Olennaisten muutosten tunnistaminen voi olla esimerkki hyvästä tavasta, jolla organisaation johto voi osallistua digiturvatyöhön.

ISO 27001 -tietoturvastandardi suosittelee johdolle säännöllisesti toteutettavaa "johdon katselmusta", jossa johto katselmoi organisaation digiturvan hallintajärjestelmän tilaa ja asettaa tarvittaessa uusia tavoitteita työlle. Yksi tämän katselmuksen tärkeistä sisällöistä on olennaista muutosten tunnistaminen. Johto pystyy esimerkiksi tunnistamaan toimintaympäristöön, kilpailutilanteeseen, organisaatiorakenteeseen tai sääntelyyn liittyviä muutoksia, jotka voi olla hyvä huomioida huolellisesti. Teknisempia muutoksia voivat tunnistaa digiturvatyön avaintiimin jäsenet suoraviivaisemmin.  

Johdon katselmus voi toimia johdon tapana osallistua digiturvatyöhön ja nostaa esille oleellisia tulevia muutoksia.

Muutosten tunnistamistavat ja siihen liittyvä vastuu on eroteltu Digiturvamallissa omaksi tehtäväkseen, koska se vaatii hyvin erilaisen toimintatavan kuin varsinaisten arviointien toteutus. Tiedonhallintalautakunnan suositus sanoo myös selkeäsanaisesti: "Tiedonhallintayksikön vastuulla on tunnistaa, mitkä muutokset ovat olennaisia ja edellyttävät muutosvaikutusten arviointia."

Vastuu merkittävien muutosten tunnistamisesta sekä varsinaisesta arviointien toteuttamisesta on erotettu Digiturvamallissa

Kuinka muutosvaikutusten arviointi toteutetaan?

Toimiva tiedonhallintamalli toimii muutosvaikutusten arvioinnin pohjana. Kun tiedetään selkeästi sekä nykyiseen tiedonhallintaan liittyvät avainelementit (mm. toimintaprosessit, tietovarannot, tietoaineistot ja tietojärjestelmät), tietoturvallisuutoimenpiteet sekä näihin molempiin liittyvät vastuut, hyvä pohja muutosvaikutusten arvioinnille on olemassa.

Muutosvaikutusten arvioinnin tuotoksena tulisi syntyä seuraavanlainen yhteenveto:

Muutoksessa on tärkeää huomioida tietovarantojen yhteentoimivuuden näkökulmat sekä muutokset vaikutukset muihin sidosryhmiin.

Digiturvamallista löytyy valmis pohja muutosvaikutusten arviointien tulosten dokumentointia varten. Pohja pyrkii myös tukemaan arvioinnin toteuttamisessa ja antamaan esimerkkejä eri kohtiin, joissa se on mahdollista.

Suosittelemme ensin käymään muutosta läpi vapaammin tiedonhallintalain listaamien näkökulmien perusteella. Arvioinnin keskeisistä havainnoista olisi kuitenkin hyvä pystyä johtamaan muutokseen liittyviä riskejä, jotka voidaan sitten arvioida ja käsitellä. Näin voidaan päästä käsiksi toimenpiteisiin, joita muutosvaikutusten arvioinnista nousee.

Tiedonhallintalautakunta: "Osana muutosvaikutusten arviointia tiedonhallintayksikkö tekee riskiarvion muutoksen mahdollisesti aiheuttamien vaikutusten hallitsemiseksi ja laatii suunnitelman näiden riskien saattamiseksi hyväksyttävälle tasolle."

Lopuksi tiedonhallintamallissa määritellyn vastuullisen tahon on hyväksyttävä / hylättävä muutos huomioiden siitä aiheutuvat riskit, niiden hallitsemiseksi tehty toimenpiteet sekä näiden suhteen kustannuksiin ja saavutettaviin hyötyihin.

Vinkkejä toteutukseen:

Palautetta, kysymyksiä?

Jos haluat keskustella kanssamme lisää muutosvaikutusten arvioinneista, muiden tiedonhallintalain vaatimusten täyttämisestä tai antaa palautetta näistä uusista ominaisuuksista, ole meihin mielellään yhteydessä suoraan chatilla tai osoitteessa tiimi@digiturvamalli.fi.

Tule kuulemaan lisää teeman webinaareissamme?

Sinua saattaisi kiinnostaa myös...

Keskustelua