
- julkiset hankinnat
Kommentointipyynnön diaarinumero: VN/5408/2023
Kuntaliitto pitää hyvänä suosituksen toteuttamista (myös välillisistä näkökulmista)
sekä
Hankintojen valmisteluvaiheessa yhteistyössä määriteltävät tietoturvallisuustoimenpiteet eri asianosaisten kanssa mahdollistavat tasapainoisen lähestyminen organisaation tietoturvallisuuteen. Lausunnon alainen suositus on rajattu tarkastelemaan (vain) tiedonhallintalain tietoturvallisuusvaatimusten soveltamista hankinnoissa.
Suositus on muodoltaan selkeä, ymmärrettävä ja nostaa esille digitaalisen turvallisuuden eri osa-alueet. Tietoturvallisuustoimenpiteiden vähimmäistason määrittely edellyttää tiedonhallintayksiköltä/organisaatiolta oman toiminnan ja toimintaympäristön tuntemista tietojenkäsittelyyn kohdistuvien riskien hallitsemiseksi. Vähimmäistasoa määriteltäessä tulee huomioida organisaation muuttuminen ja kehittyminen mm.
TiHL:ssa määritellyt (tieto)järjestelmä tietoturvallisuusvaatimukset on kohdistettu viranomaisille, tiedonhallintayksiköille (LIABILITY). Yhteishankintojen ollessa kyseessä (kuntakenttä) hankintamenettely toteutuu palveluna kuntapohjaisten yhtiöitten (INHOUSE-yhtiöt) kautta. Vaatimusmäärittelyn sisällöllisesti toteutuessa pelkistyneenä toteumana esim. Kunta-A:n noudattamista tietosuoja vaikutustenarviointi käytännöistä. Kuntaliitto esittää, että lausuntopyynnön alla oleva suositus tehdään ko. tahoille tiedoksi ja heille annetaan mahdollisuus lausua asiakokonaisuudesta.
Tietoturvallisuuden painopisteenä hankintojen osalta on käsiteltävät tiedot ja niiden merkitys viranomaisen tehtävien hoidolle, lakisääteisten velvollisuuksien toteuttamiselle ja yhteiskunnan toiminnalle. Tämä edellyttää tiedonhallintayksiköltä/kunnalta velvoitetta
Näiden tuloksellinen toteutuminen merkitsee organisaatioissa hankintavastuullisten yhteistyötä eri asianosaisten/vastuullisten kanssa. Erityisesti huomioiden henkilötietojen käsittelyyn liittyvät vaatimukset (tietosuoja-asetus, tietosuojalaki). Tämän mahdollistamiseksi hankintakäytäntöjen tulee tukea yhtenäisiä menettelyjä.
Julkri arviointikriteeristö ja Suosituskokoelma tiettyjen tietoturvallisuussäännösten soveltamisesta suosituksina edesauttavat kuntatoimijoita soveltamaan TiHL:ssa määriteltyjä tietoturvallisuusvaatimuksia omaan toimintaansa ja toimintaympäristöönsä - vähimmäisvaatimusten tunnistamiseksi ja toteuttamiseksi.
Hankinnan osakokonaisuuksia (eri osiin kohdistuvat erilaiset tietoturvallisuusvaatimukset) tunnistettaessa ja määriteltäessä hyvänä työvälineenä toimii organisaation tiedon hallinnan ja käsittelyn nykytila-kuvaus (olemassa/työn alla/suunnitteilla oleva dokumentaatio).
Suosituksessa viitataan viranomaisen arkkitehtuurilinjaukset suositukseen/ohjeistukseen/käytäntöihin/dokumentaatioon ko. linjauksia tarkemmin määrittelemättä.
Suositellun periaatteen Yksittäisen hankinnan tietoturvallisuusvaatimusten yhdenmukaisuus tulee varmistaa suhteessa viranomaisen tietoturva-arkkitehtuuriin tarkoitus jää epäselväksi. Viitataanko tässä olemassa olevaan viitekehykseen, konseptiin vai erilliseen periaatteeseen digitaalisen turvallisuuden osa-alueella?
Suurten toimittajien ollessa kyseessä joudutaan lähtökohtaisesti palvelujen tietoturvallisuus perustamaan toimittajalla asiakkailleen yleisesti käytössä oleviin kriteeristöihin ja niitä tukeviin auditointi ja selvitystöihin (palvelutoimittajan kanssa sovittu agenda esim. ISAE-lausunnot).
Kuntaliitto pitää hyvinä käytäntöinä suosituksessa esitettyjä
Suosituksessa esitetään, että viranomainen (tiedonhallintayksikkö) määrittelee ja ohjeistaa yleisen käyttöönottoprosessinsisällyttäen siihen tietoturvallisuuden varmistamiseen liittyvät näkökohdat. Tämän ratkaisemiseksi lähtökohdaksi voisi ottaa tiedonhallintamallin (THM) mikä kuvaa toimintaprosessit ja niihin liittyvät riippuvuudet organisaation toiminnan kannalta menemättä työnkulku tasolle (esim. uimaratakaaviot). On huomioitava, että kunta koostuu useista viranomaisista.
Muutosten jakaminen toimintaympäristön tietoturvallisuudessa tapahtuviin sekä muihin palvelussa tehtäviin muutoksiin ja päivityksiin ei ole tiedon hallinnan ja käsittelyn maailmassa riittävä. Lausunnon alla oleva suositus on rajattu tarkastelemaan TiHL:n tietoturvallisuusvaatimusten soveltamista hankinnoissa. Organisaation toiminnan (toimintaprosessien) muutokset tulee huomioida - toiminta ohjaa toimintaympäristön muutosta. Eri toimialoilla on erilaiset muutostarpeet.
Kuntaliitto pitää hyvänä valmiiden mallidokumentti-pohjien hyödyntämistä. Tämä edesauttaa asioitten käsittelyä palveluntarjoajien kanssa sekä selkeyttää prosessia (eri tarjousten vertailtavuus). Samoin Julkri arviointikriteeristön hyödynnettävyys paranee. TiHL:n kautta tarkasteluna Julkri koostuu 33:sta hallinnollista turvallisuutta, 14:sta fyysistä turvallisuutta, 68:sta teknistä turvallisuutta sekä 12:sta varautumista ja jatkuvuudenhallintaa koskevista kriteereistä. Suosituksen mukaisesti on hankinta kokonaisuutena aina hankintayksikön/-vastuullisten vastuulla. Yhden osa-alueen kriteerien toteuttaminen yksinään ei takaa tietojärjestelmien eikä tietoaineistojen turvallisuutta. Eri osa-alueihin tulee kiinnittää huomiota organisaation toiminnan tasolla.
Alihankkija/Määritelmät Alihankkijoitten tunnistaminen - tarvittava tunniste (todennus, valtuutus). Alihankkijoiden piiri on epäselvä ja tilaajan oikeudet alihankkijoiden suhteen myös haasteelliset. Tavarantoimittajien sisällyttäminen alihankkijoihin?
5.4 Tilaajalla on oikeus kieltää Toimittajan tai alihankkijan osallistuminen Palvelun tuottamiseenTulisiko hyödynnettäviä ”perusteltuja syitä” tilaajan kannalta selventää?
6.1 Tilaajalla on tarkastusoikeus Toimittajan tietoturvallisuusjärjestelyihin.
Kolmannen osapuolen serveritilat yms. Lähtökohtaisesti palveluntarjoajien serveripalvelut eivät myönnä (fyysistä) tarkastusoikeutta - esim. pilvipalvelupohjaiset ratkaisut. Määrittelyssä viitataan lakiin yleisesti sen sijaan että määrittely olisi itse ehdossa.
Työkaluun on koottu Julkri-arviointikriteeristön pohjalta muodostettuja hankintaehtoja. Liite 2:n muotoa ja selkeyttä voisi tarkentaa sen hyödynnettävyyden vuoksi. Esim. sisällyttää siihen esimerkkimallit eritasoisiin hankintoihin. Nyt Liite 2 on muodoltaan yksi excel (eri turvallisuustasojen määrittelyt).
Näkökulmista - työkalun kehittämiselle. Häiriö- ja poikkeustilanteitten hallinta edellyttää organisaatioilta suunnitelmallista/systemaattista lähestymistä - varautumista toiminnan tasolla - palveluiden jatkuvuuden ja organisaation valmiuksien kannalta.
Hankintamenettelyn kannalta olisi tarkoituksenmukaista vahvistaa Liite 2:n lisäarvoa
Julkri-arviointikriteeristön suosituksen rinnalla.
SUOMEN KUNTALIITTO
Jari Ylikoski
erityisasiantuntija, strategiayksikkö
Jokainen meistä käyttää joka päivä kuntapalveluja, vaikka ei ehkä sitä tule edes ajatelleeksi.
Webcast-sarjamme tarjoaa kuntajuridiikan näkökulmia ajankohtaisiin teemoihin.
Digiviikolla keskustellaan digitalisaatiosta erityisesti muutos ja uudistuminen. Tarjolla on sekä live- että etätapaamisia.