PARHAAT KÄYTÄNNÖT
Petri Huotari, 14.10.2011, 9:16Vastaako tietoturvapolitiikkanne tämän päivän haasteisiin?
Tietoturvapolitiikka on erinomainen johtamisväline, mikäli sitä osataan soveltaa oikein. Valitettavan usein vieraillessani asiakasyrityksissämme olen todennut, että tietoturvapolitiikkaa ei ole tai sen olemassaoloa ei tunnisteta.
Useimmissa tapauksissa olen löytänyt tietoturvapolitiikan luonnoksen tietohallintopäällikön pöytälaatikosta. Versionumerointi on jäänyt 0.x-tasolle. Työ on jäänyt kesken, koska tärkeämpiäkin tehtäviä on ollut.
Johdon kannanotto tietoturvaan
Tietoturvapolitiikka on organisaation johdon hyväksymä näkemys organisaation tietoturvan päämääristä, periaatteista, vastuista ja toteutuksesta. Yrityksen johto hyväksyy tietohallintopäällikön johtaman asiantuntijatyöryhmän kirjoittaman tietoturvapolitiikan. Kyseessä on yritysjohdon selkeä kannanotto yrityksen tietoturvallisuudesta osana yrityksen toiminnan jatkuvuutta.
Tietoturvapolitiikan sisältö
Tietoturvapolitiikassa todetaan tietoturvan tavoitteet, kohteet ja periaatteet sekä määritellään vastuut. Yrityksen tietoturvapolitiikassa on myös huomioitava lakien ja sopimusten asettamat vaatimukset yrityksen toiminnalle.
Tietoturvastandardissa todetaan: Tietoturvapolitiikan määrittelyasiakirjan tulee olla johdon hyväksymä, se tulee julkaista ja siitä tulee tiedottaa tarkoituksenmukaisesti kaikille työntekijöille. Siitä tulee ilmetä johdon sitoutuminen tietoturvallisuuteen sekä näkemys sen hallinnasta. Standardin mukaan tietoturvapolitiikka sisältää ainakin seuraavat asiakokonaisuudet:
-tietoturvallisuuden tavoitteita ja periaatteita tukeva yritysjohdon kannanotto
-tietoturvallisuuden, tavoitteellisuuden, soveltamisalan ja sen merkityksen määrittelyt keinona tietojen yhteiseen käyttöön
-yrityksen toiminnan kannalta erityisen tärkeiden tietoturvallisuuden menettelytapojen, periaatteiden, standardien ja vaatimusten noudattamista koskeva tiivis selvitys.
Yrityksen tietoturvapolitiikka määrittelee tietoturvallisuuden perusvaatimukset ja antaa siten lähtökohdat tietoturvan suunnittelemiseksi ja toteuttamiseksi.
Miten edetään?
Määritellään vaatimukset yrityksen tietoturvalle. Kirjoitetaan yrityksen tietoturvapolitiikka, jonka sisällön on oltava tiivistä ja selkeää suomenkieltä. Yleensä noin viiden sivun tietoturvapolitiikka on riittävän kattava. Liian pitkä ja vaikeasti ymmärrettävä dokumentti ei saavuta lukijakuntaansa.
Tietoturvapolitiikka esitellään yrityksen johdolle siten, että yrityksen johto ymmärtää asiasisällön ja voi hyväksyä sen. Hyväksynnän jälkeen tietoturvapolitiikka julkaistaan ja viestitään ymmärrettävästi koko yrityksen henkilöstölle ja sidosryhmille. Yrityksen johto voi antaa tietoturvapolitiikalle ”kasvot”, joka takaa tietoturvan painoarvon yrityksen toiminnan jatkuvuudelle. Tietoturvapolitiikka kannattaa julkaista osana yrityksen intranet-sivustoja.
Hyvin yleisenä käytäntönä on liittää tietoturvapolitiikan sisältöön tutustuminen esimerkiksi rekrytointiin tai soveltuviin HR-prosesseihin. Käyttäjätunnusten ja käyttöoikeuksien luovutuksen yhteydessä tietojärjestelmien käyttäjän on ymmärrettävä tietoturvapolitiikan sisältö ja tarvittaessa se myös allekirjoituksella varmistettava.
Lopuksi
Hyväksytty tietoturvapolitiikka toimii vankkana perustana kaikissa tietojenkäsittelyyn liittyvissä toimintamalleissa, teknisissä ratkaisuissa ja johtamisessa. Monia hyviäkin projekteja on pysäytetty, koska suunnitteluvaiheessa ei ole huomioitu tietoturvapolitiikan vaatimuksia. Toisaalta kysymys kuuluu, onko tietoturvapolitiikkaa ollut edes käytettävissä?
PARHAAT KÄYTÄNNÖT
Sonja Laakkonen, 16.11.2011 15:38Voiko tietohallintolain ohittaa yksityissektorilla?
