Tiedonhallintalaki korostaa tietoturvallisuutta - mitä kunnan tulee ottaa huomioon ja mistä apua?

Tiedonhallintalaki astuu voimaan vuoden 2020 alussa. Tiedonhallintalaki koskettaa useita ammattiryhmiä kunnissa. Lain vaikutukset ulottuvat muun muassa ylempään johtoon, yleishallintoon, asianhallintaan, säilyttämiseen, arkistointiin ja suurelta osin tietoturvallisuuteen. Laki asettaa tietoturvallisuudelle vähimmäisvaatimukset, joita myös kunnan on noudatettava. 

Tietoturvallisuusvaatimuksille on laissa annettu kolmen vuoden siirtymäaika, lukuun ottamatta lokitietojen keräämistä, rajapintoja ja katseluyhteyksiä. Uusissa hankittavissa tietojärjestelmissä nämä asiat on huomioitava heti. 

Lisäksi tiedonhallintalaki tuo mukanaan uuden kuvausvelvoitteen -tiedonhallintamallin.  Tiedonhallintamallissa on kuvattava muun muassa määritykset asiankäsittely- ja palveluprosessien tietoturvallisuusjärjestelyistä ja tietojärjestelmien rajapinnoista. 

Tiedonhallintamallin tulee olla valmis vuoden kuluttua. Erilaiset siirtymäajat saattavat tuntua pitkiltä, mutta riippuen kunnan tietoturvan tilanteesta kehitettävää saattaa olla paljon. Siksi tietoturvan kehittäminen kannattaakin aloittaa heti. 

Miksi tietoturvaan panostaminen kannattaa?

Kuten kesän aikana on nähty, kyberhyökkäykset kohdistuvat myös kuntiin. Itse asiassa hyökkäyksiä tapahtuu koko ajan, mutta valtaosa niistä saadaan estettyä. Tietoturvan kehittämisellä turvataan tiedon saatavuutta, tiedon eheyttä sekä tiedon luottamuksellisuutta. Digitaalinen ja verkottunut yhteiskunta ja organisaatiot ovat haavoittuvaisia erilaisille hyökkäyksille; kyberturvallisuuteen panostaminen ja erilaisten uhkatilanteiden toteutumisen harjoitteluun kannattaakin panostaa. 

Tiedonhallintalaki korostaa viranomaisen velvollisuutta hallita erilaisia häiriötilanteita ja velvollisuutta tunnistaa yhteiskunnan toiminnan kannalta keskeiset toiminnot, tiedot ja suojattavat kohteet sekä näihin on kiinnitettävä erityistä huomioita.  Nämä turvallisuustoimenpiteet on suunniteltava ja toteutettava niin, että ne kattavat kaikki tiedon käsittelyvaiheet ja menettelytavat koko tiedon elinkaaren ajan. 

Tietoturvan kehittämiseen apua tulossa kuntakiertueita

Tiedonhallintalaissa luku 4 käsittelee tietoturvallisuusvaatimuksia. Ne liittyvät henkilöiden luotettavuuden varmistamiseen, tietoaineistojen ja tietojärjestelmien tietoturvallisuuteen, tietojen siirtämiseen tietoverkossa, käyttöoikeuksien hallintaan, lokitietojen keräämiseen ja turvallisuusluokiteltaviin asiakirjoihin. Kannattaa huomata, että turvallisuusluokittelu koskee vain valtionhallinnon organisaatioita. 

Apua näiden osa-alueiden kehittämiseen on saatavilla. Väestörekisterikeskuksen JUDO-hanke kehittää julkisen hallinnon digiturvallisuutta järjestämällä avoimia verkkoseminaareja, tuottamalla ohjeistusta ja tarjoamalla mahdollisuuden harjoitella marraskuussa järjestettävässä TAISTO19-harjoituksessa varautumista ICT-häiriöitä ja kyberhyökkäyksiä vastaan. 

Lisäksi Väestörekisterikeskus tekee lokakuun aikana digiturvakiertueen seuraavilla paikkakunnilla: 8.10. Turku, 9.10. Tampere, 15.10. Jyväskylä, 23.10. Kuopio, 24.10. Oulu, 31.10. Järvenpää. Myös Kuntaliitto on mukana kiertueella. Katso ohjelma ja ilmoittaudu mukaan.

Lisäksi Kuntaliiton ja Huoltovarmuuskeskuksen sekä laajan kumppanuusverkoston yhteisessä käynnissä olevassa KUJA-hankkeessa kehitetään kuntien jatkuvuuden hallintaa ja siihen liittyviä työkaluja

Neljä pointtia

Tietoturvan ja kyberturvallisuuden kehittämisen neljä kohokohtaa voi tiivistää seuraavasti: 

  1. tunnista; tiedä mitä omistat ja mistä olet vastuussa,
  2. tunnista kriittiset toiminnot, arvioi riskit ja suunnittele, 
  3. kouluttaudu ja kouluta sekä 
  4. harjoittele ja ota opiksi. 

Ja ennen kaikkea, verkostoidu ja tee asioita yhdessä.

Tagit