Hyvä tiedonhallintatapa - SecMeter

Go to content

Hyvä tiedonhallintatapa

Yritysturvallisuus > Johtaminen
Hyvän tiedonhallintatavan lähtökohtana on julkisuuslaki, joka velvoittaa viranomaisia ja julkista valtaa käyttäviä muita organisaatioita.

Julkisuuslaki rajaa hyvän tiedonhallintatavan käsitettä epäsuorasti, eikä määrittele käsitettä tyhjentävästi.

Hyvän tiedonhallintavan voi katsoa korreloivan myös hyvän hallintotavan kanssa.

Valtionvarainministeriön työryhmämuistiossa 11/2000 ISSN: 0788-6322 ISBN: 951-804-164-4 on kuvattu julkisuuslainmukainen hyvä tiedonhallintatapa sekä hyvän tiedonhallintatavan ominaispiirteet ja sen toteuttamisen edellytykset (laki viranomaisen toiminnan julkisuudesta, 621/1999).

Työryhmämuistiossa todetaan, että hyvän tiedonhallintatavan ansiosta voidaan olla varmoja asiakirjojen ja tietojen käytettävyydestä ja saatavuudesta, niiden eheydestä ja laadusta sekä luottamuksellisuudesta.

Tietojen käytettävyydellä tarkoitetaan tietojärjestelmän ominaisuutta, että tieto, tietojärjestelmä tai palvelu on siihen oikeutetuille saatavilla tai hyödynnettävissä haluttuna aikana ja vaaditulla tavalla. Tietojen saatavuudella tarkoitetaan lähinnä oikeutta tai mahdollisuutta tutustua tietoon.

Työryhmämuistiossa mainitaan lisäksi, että turvallisuustoimenpiteiden tavoitteena on hyvän tiedonhallintatavan mukaisen tietoturvallisuuden varmistaminen, lähtökohtana riskien kartoittaminen ja niiden hallinta.

Hyvän tiedonhallintatavan pääasiallista tavoitetta eli varmuutta asiakirjojen ja tietojen käytettävyydestä ja saatavuudesta, niiden eheydestä ja laadusta sekä luottamuksellisuudesta voidaan pitää myös yksityisoikeudellisen yrityksen tietohallinnon tavoitteina. Yrityksellä ei kuitenkaan ole hyvän tiedonhallintatavan yleisvelvoitetta.

Henkilötietojen käsittelyn osalta hyvää tiedonhallintatapaa säätelee henkilötietolaki. Nämä velvoitteet koskevat kaikkia henkilötietoja käsitteleviä yrityksiä. Julkishallinnon tietoturvallisuus jaetaan seuraaviin kahdeksaan osa-alueeseen:

  • Hallinnollinen tietoturvallisuus
  • Henkilöstöturvallisuus
  • Fyysinen tietoturvallisuus
  • Tietoliikenneturvallisuus
  • Laitteistoturvallisuus
  • Ohjelmistoturvallisuus
  • Tietoaineistoturvallisuus
  • Käyttöturvallisuus

Tarinan mukaan edellä mainitut tietoturvallisuuden osa-alueet ovat peräisin Kanadan ratsupoliisin käyttämästä tietoturvallisuuden jaottelusta, jonka silloinen keskusrikospoliisin apulaispäällikkö Matti Tenhunen lanseerasi Suomeen 1990-luvun alussa. Saman tietoturvallisuuden jaottelun otti käyttöönsä myös EK:n yritysturvallisuustoimisto.

Kategorinen jako havainnollistaa tietoturvallisuuden kohdealueita ja helpottaa toimenpiteiden kohdentamisessa. Yrityksen kohdalla edellä kuvatun kaltainen jaottelu ei ole kuitenkaan vaatimus, eikä useinkaan välttämätöntä. Julkishallinnon käytäntöjä kannattaa soveltaa vain niiltä osin, joiden yritys katsoo olevan liiketoiminnalle hyödyksi. Nykyisin tietoturvallisuus jaetaan yrityksissä seuraaviin kahteen eri osa-alueeseen

  • hallinnolliseen tietoturvallisuuteen ja
  • tekniseen tietoturvallisuuteen.

Tasapainoisen tilanteen saavuttaminen tietoturvallisuuden osalta edellyttää aina yrityskohtaisten painopistealueiden arviointia. Toiminnoille tarpeeton painolasti tulee karsia pois. Ennalta kiinnitetyt ja sovitut raskaat toimintamallit eivät edusta dynamiikkaa, vaan ovat omiaan vähentämään yrityksen päätöksenteon tilanneherkkyyttä ja luovat epäsuotuisat olosuhteet ongelmatilanteiden joustavalle ja nopealle käsittelylle.

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Asiakkaiden luottamus on voitettava joka päivä uudelleen.
Sääntö nro 2
Riittävän isolla vasaralla voi rikkoa mitä tahansa.
Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.

Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.

Back to content