Tulostusversio

4/2011

Palveluntarjoajan vastuu: Raportointi auttaa noudattamaan lakia

Teksti: Jaakko Hamunen

Tietoturvan ja tietosuojan raportointi antaa johdolle ajantasaisen kuvan siitä, miten organisaatio toteuttaa vastuutaan sisäisestä valvonnasta ja toiminnan lainmukaisuudesta.

Tiedon merkitys viranomaisten voimavarana ja sen käsittelyyn liittyvät velvoitteet ovat lisääntyneet. Viraston johdolla on oltava riittävä kuva tietojen käsittelystä, jotta se pystyy tekemään tietoa ja tiedon käsittelyä koskevia päätöksiä.

Johto tarvitsee tilannekuvaa myös raportoidakseen tilinpäätöksessä ja toimintakertomuksessa sisäisestä valvonnasta, riskien hallinnasta, toiminnan laillisuudesta sekä laadusta.

Johdon tarvitsema tilannekuva voidaan tuottaa tietoturva- ja tietosuojaraportoinnilla. Sitä voi lisäksi terävöittää asettamalla tietosuojalle ja tietoturvalle raportoitavia tavoitteita.

Virastojen raportoitava sisäisestä valvonnasta

Viraston ja laitoksen johdon tulee allekirjoittaa vuosittain tilinpäätös ja siihen kuuluva toimintakertomus.

Toimintakertomus käsittää arvioinnin sisäisen valvonnan ja siihen sisältyvän riskienhallinnan asianmukaisuudesta ja riittävyydestä. Arvioinnin perusteella viraston päällikkö antaa lausuman sisäisen valvonnan tilasta ja olennaisimmista kehittämistarpeista. Arviointi- ja vahvistuslausuma konkretisoi johdon vastuuta sisäisen valvonnan ja riskienhallinnan järjestämisestä.

Tiedon käsittelyn näkökulmasta keskeiset sisäisen valvonnan toimenpiteet liittyvät tietojen käsittelyn laillisuuteen sekä oikeiden ja riittävien tietojen tuottamiseen johtamista ja ohjausta varten.

Tietojen käsittelyä tarkastetaan yhä enemmän

Valtiontalouden tarkastusviraston (VTV) tarkastustoiminnan tavoitteena on vastuullistaa hallitusta ja hallintoa hyvään tuloksellisuuteen sekä toimimaan lain ja hyvän hallinnon periaatteiden mukaisesti.

Tilivelvollisuuden vaatimus ja ulkoisen tarkastuksen vastuullistavuus ulottuvat myös tiedon käsittelyyn, tietohallintoon, tietoturvallisuuden ja tietosuojan järjestelyihin ja ohjaukseen sekä riskienhallintaan.

VTV kohdentaa tarkastustoimintaansa riskianalyysin perusteella. Koska tiedon merkitys on kasvanut hallinnossa, myös tarkastustoimintaa suunnataan entistä enemmän tietojen käsittelyyn.

Tarkastusvirasto tarkastaa ja valvoo valtion taloudenhoidon näkökulmasta perus- ja ihmisoikeuksien toteutumista. Laadukas lainsäädäntö on yksi VTV:n ulkoisen tarkastuksen pysyvistä tarkastusalueista, ja virasto onkin kiinnittänyt huomiota tietojenkäsittelyä koskevan lainvalmistelun laatuun ja lainsäädännön ongelmakohtiin.

Tietoturvallisuus osaksi riskienhallintaa

VTV:n suorittamassa tilintarkastuksessa arvioidaan muun muassa viraston toimintakertomusta ja sisäisen valvonnan menettelyjä.

Valtionhallintoa velvoittaa valtioneuvoston asetus tietoturvallisuudesta, joka tuli voimaan lokakuussa 2010. Asetuksen myötä tietoturvallisuuden arviointi ja raportointi on perusteltua sisällyttää yhdeksi merkittäväksi osaksi viraston sisäistä valvontaa ja riskienhallintaa ja siitä annettavaa johdon arviointi- ja vahvistuslausumaa.

VTV:n tekemissä tietojärjestelmätarkastuksissa tietoturvallisuus on ollut merkittävässä roolissa. Sillä on osaltaan haluttu myös varmistua, että virasto on kyennyt raportoimaan oikeat ja riittävät tiedot taloudesta ja toiminnasta.

Tuloksellisuustarkastuksen kohteena on ollut tietoyhteiskuntahankkeita sekä suuria tietojärjestelmähankkeita. Tarkastuksissa on kiinnitetty huomiota hankkeiden tuloksellisuuteen sekä lain noudattamisen ja hyvän hallinnon periaatteiden toteutumiseen.

VTV:lla laaja tiedonsaantioikeus

VTV:lla on perustuslaissa säädetty oikeus saada viranomaisilta ja muilta valvontansa kohteina olevilta kaikki tehtävänsä hoitamiseksi tarvitsemansa tiedot. Tiedonsaantioikeus ulottuu myös salassa pidettäviin tietoihin. VTV:n on siten pystyttävä käsittelemään vastaanottamiaan tietoja yhtä turvallisesti kuin tietojen luovuttamiseen velvolliset virastot.

VTV ei eduskunnan virastona kuulu valtionhallinnon tietoturvallisuusasetuksen soveltamisalaan. Valtionhallinnon kanssa tapahtuvan tiedonvaihdon turvaamiseksi ja yhdenmukaistamiseksi VTV:ssä on annettu vastaavat menettelyt sisältävä oma määräys tietoturvallisuudesta.

Sisäinen valvonta VTV:ssä

VTV pyrkii luomaan omasta toiminnastaan riittävän kuvan päätöksentekoaan varten, osoittamaan toimintaansa kohdistuvien laillisuusvaatimusten toteutumisen sekä sisäisen valvonnan ja riskien hallinnan riittävyyden myös tietosuojan ja tietoturvallisuuden osalta.

Tarkastusviraston johdolle raportoidaan tiedon käsittelyyn liittyvien tulos- ja laatutavoitteiden toteutumisesta sekä tietosuojasta ja tietoturvasta osana yksiköiden raportointia ja erillisillä tietoturvaraporteilla.

Tietoturvallisuuteen ja tietosuojaan liittyviä tulos- ja laatutavoitteita mittareineen on asetettu muun muassa kirjaamo- ja arkistotoimelle, vakavien tietoturvapoikkeamien lukumäärälle, tietoturvallisuuden kehittämiselle, tietojärjestelmien käytettävyydelle ja kehittämiselle sekä kirjasto- ja tietopalveluille.

Kirjaamo- ja arkistotoimen tavoitteet on johdettu lainsäädännön velvoitteista koskien asiakirjojen säilyttämistä sekä asiakirjapyyntöjen käsittelyä.

Tulos- ja laatutavoitteiden toteutumista seurataan kuukausittain ja niistä raportoidaan johdolle vähintään kerran vuodessa.

Osana sisäisen valvonnan ja riskienhallinnan raportointiaan yksiköt raportoivat johdolle myös merkittävistä tietosuoja- ja tietoturva-asioista. Lisäksi johdolle odotetaan raportoitavaksi tietosuoja- ja tietoturvaosaamisesta ja sen kehittämistarpeista.

VTV:n henkilöstö ja yksiköt ilmoittavat havaitsemistaan tietoturva- ja tietosuojapoikkeamista esimiehelle ja tietoturvapäällikölle. Ulkopuolisille palveluntuottajille on asetettu raportointivelvoitteita tietoturvaan liittyen. Vakavista poikkeamista raportoidaan viraston johdolle välittömästi.

Tietoturvaraportti kahdesti vuodessa

VTV:n johto saa kaksi kertaa vuodessa käsiteltäväkseen erillisen tietoturvallisuusraportin.

Raporteissa käsitellään tietoturvapoikkeamat ja niiden hallintatoimenpiteet, tehdyt ja tulevat kehittämistoimenpiteet sisältäen riskiarviointien tai ulkoisten auditointien tuloksena esitettävät uudet kehittämistoimenpiteet, muutokset tietoturvatasossa, tietoturvakoulutus sekä tietoturvatoiminnan resurssien käyttö.

VTV:n johtoryhmä käsittelee toisen raportin sisäisen valvonnan arviointi- ja vahvistuslausuman yhteydessä helmikuussa. Lausumassa käsitellään myös tietoturvallisuusriskien hallinnan asianmukaisuutta ja riittävyyttä sekä kehittämistarpeita.

Tällä hetkellä raportoinnin keskeisimmät haasteet liittyvät tietoturva- ja tietosuojapoikkeamien riittävään tunnistamiseen ja läpinäkyvyyteen.

---

[KIRJOITTAJA]

Jaakko Hamunen on Valtiontalouden tarkastusviraston tietojohtaja.

Lue myös

Palveluntarjoajan vastuu: Uusyrittäjää ei neuvota tietosuojasta »
Palveluntarjoajan vastuu: Yritykset luottavat tietoturvaansa »
Palveluntarjoajan vastuu: Yrittäjän linkkivinkit »
Palveluntarjoajan vastuu: Rekisteritietojen tarkastus etanapostin varassa »
Palveluntarjoajan vastuu: Rekisterinpitäjän muistilista »
Palveluntarjoajan vastuu: Verkkokauppias vastaa tietoturvasta »
Palveluntarjoajan vastuu: Verkkokauppias, tarkista nämä! »
Palveluntarjoajan vastuu: Finnair vannoo PCI:n nimiin »
Palveluntarjoajan vastuu: Lainsäädäntö ohjaa toimimaan tietoturvallisesti »
Tietojohtaminen: Ylimmän johdon asiaksi »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.