Tulostusversio

4/2010

Tietoturva: Viestintävirastolle tietoturvasertifikaatti

Teksti: Päivi Männikkö

Viestintävirasto sai tietoturvallisuuden hallintajärjestelmän sertifikaatin toisena organisaationa Suomessa.

Nelivuotinen kehityshanke saavutti tavoitteensa marraskuussa, kun Viestintävirasto sai tietoturvallisuuden hallintajärjestelmän sertifikaatin. Se osoittaa, että järjestelmä täyttää ISO/IEC 27001:2005 -standardin vaatimukset: Tietoturvallisuus kuuluu kaikkeen toimintaan ja on osa johtamista ja kehittämistä.

Viestintäviraston sertifikaatti kattaa sen kaikki viranomais- ja tukitoiminnot Helsingin Itämerenkadun toimipisteessä.

"Tietoturva on Viestintävirastossa ydintoimintaa, ja sen pitää olla mukana kaikessa. Siksi esimerkiksi pelkän kansallisen tietoturvaviranomaisen CERT-FI:n sertifioiminen ei olisi riittänyt meille", turvallisuuspäällikkö Jani Arnell sanoo.

Johto mukana alusta pitäen

Sertifiointiprosessi alkoi viraston tietoturvallisuuden nykytilan arvioinnilla alkaen tietoturvallisuuden johtamisesta ja ydintoiminnan tietoturvallisuudesta. Sisäisen tietoturvallisuuden profiilia korotettiin viemällä se osaksi toiminta- ja taloussuunnittelua, tuloskorttia ja näin myös tulosohjausta. Myöhemmin se liitettiin myös osaksi osaksi kokonaisvaltaista riskienhallintaa.

Seuraavaksi kokonaisvaltaisempaa tietoturva-ajattelua alettiin ajaa sisään: Työjärjestystä ja työryhmien roolitusta muokattiin, ja dokumentaatiota ja ohjeita lisättiin. Henkilöstö koulutettiin.

Lopuksi tietoteknistä turvallisuutta ja sen valvontaa kehitettiin. Huomiota kiinnitettiin esimerkiksi päivittäiseen turvallisuuteen ottamalla käyttöön salatut muistitikut.

Johto valjastettiin mukaan hankkeeseen heti alussa, ja tekninen tietoturva tuli mukaan vasta lopussa, Arnell kiteyttää.

Järjestelmää pitää kehittää jatkuvasti

Inspecta Sertifiointi Oy arvioi hallintajärjestelmän lokakuussa muun muassa haastattelemalla työntekijöitä ja tutustumalla toimitiloihin. Sertifiointiarvioinnissa järjestelmästä ei löydetty poikkeamia.

Sertifikaatti on voimassa toistaiseksi, mutta sitä arvioidaan vuosittain. Joka kolmas vuosi koko järjestelmä arvioidaan uudelleen.

"Arvioinnissa organisaation on esitettävä näyttöä siitä, että se kehittää järjestelmäänsä; esimerkiksi korjaa puutteet ja tehostaa toimintaa", Inspecta Sertifioinnin pääarvioija Leena Haapaniemi kertoo.

Viestintävirastossa kehittäminen jatkuu esimerkiksi muuttamalla asiakirjojen luokittelua uuden valtionhallinnon tietoturva-asetuksen mukaiseksi. Myös uusi tietoturvallisuusviranomainen NCSA-FI muuttaa toimintaa, koska se käsittelee turvaluokiteltua tietoaineistoa kansainvälisten velvoitteiden mukaan.

"Järjestelmää on tuunattava uusien ja kehittyvien vaatimusten mukaan. Muutokset eivät huoleta, koska perusta on nyt hyvällä mallilla, ja siksi hallittu ja systemaattinen tietoturvallisuuden kehittäminen on mahdollista", Jani Arnell sanoo.

Lue myös

Tietoturva: Standardeilla mittaa tietoturvasta »
Tietoturva: Mistä näitä standardeja oikein tulee? »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.