Sisältöön

Hyvä tiedonhallintatapa - SecMeter

Ohita valikko
Ohita valikko

Hyvä tiedonhallintatapa

Yritysturvallisuus > Johtaminen
Ohita valikko
Hyvä tiedonhallintatapa



Valtiovarainministeriön työryhmämuistiossa 11/2000 (ISSN: 0788-6322, ISBN: 951-804-164-4) käsitellään hyvän tiedonhallintatavan periaatteita viranomaistoiminnassa.

Muistio pohjautuu lakiin viranomaisten toiminnan julkisuudesta (621/1999), jossa määritellään viranomaisia koskevat vaatimukset tiedonhallinnalle ja asiakirjahallinnalle.

Hyvän tiedonhallintatavan lähtökohtana on julkisuuslaki, joka velvoittaa viranomaisia ja julkista valtaa käyttäviä organisaatioita.

Vaikka yrityksillä ei ole lakisääteistä velvoitetta noudattaa "hyvää tiedonhallintatapaa" julkisuuslain mukaisessa merkityksessä, hyvän tiedonhallintatavan periaatteet ovat erittäin suositeltavia ja käytännöllisiä liiketoiminnan sujuvuuden, turvallisuuden ja säädösten noudattamisen kannalta.
Tehtävälista
Tietojen luokittelu ja rekisteröinti

  1. Laadi tiedonhallintasuunnitelma
  2. Määritä tiedon elinkaaren vaiheet (luonti, käyttö, säilytys, hävittäminen)
  3. Luokittele tiedot (julkinen, sisäinen, salassa pidettävä, henkilötieto jne.)
  4. Tee rekisteriselosteet henkilötiedoista (GDPR-vaatimus)

Tietoturva ja käyttöoikeudet

  1. Määritä käyttöoikeudet tiedostoihin ja järjestelmiin roolipohjaisesti
  2. Käytä salauksia ja turvallisia varmuuskopioita
  3. Toteuta monivaiheinen tunnistautuminen (MFA)
  4. Pidä kirjaa lokitiedoista ja käyttöoikeuksien muutoksista

Dokumentointi ja arkistointi

  1. Dokumentoi keskeiset prosessit, päätökset ja sopimukset
  2. Arkistoi pysyvästi säilytettävät asiakirjat standardien mukaisesti
  3. Määrittele asiakirjoille säilytysajat ja hävittämisprosessit
  4. Käytä versiohallintaa tärkeissä dokumenteissa

Koulutus ja vastuut

  1. Nimeä tiedonhallintavastaava
  2. Kouluta henkilöstöä tiedonhallinnan ja tietosuojan periaatteista
  3. Laadi ohjeistukset tietojen käsittelystä ja tallentamisesta
  4. toteuta säännöllinen perehdytys uusille työntekijöille

Lainsäädäntö ja seuranta

  1. Varmista noudattavasi GDPR:ää ja muuta soveltuvaa lainsäädäntöä
  2. Toteuta sisäisiä auditointeja ja arviointeja
  3. Päivitä käytännöt vuosittain tai muutosten yhteydessä
  4. Laadi poikkeamien käsittelyprosessit (esim. tietovuodot)

Tekniset ratkaisut

  1. Ota käyttöön tiedonhallintajärjestelmä
  2. Ota käyttöön asianhallintajärjetelmä
  3. Integroi automaattiset varmuuskopiot ja palautustoiminnot
  4. Käytä metatietoja tiedon haun helpottamiseksi
Hyvä tiedonhallintatapa julkishallinnossa
Vaikka hyvä tiedonhallintatapa ja hyvä hallintotapa ovat eri käsitteitä, ne kytkeytyvät tiiviisti toisiinsa. Hyvä hallinto edellyttää lainmukaista, tehokasta, avoimuuteen perustuvaa ja asiakaslähtöistä toimintaa. Näiden periaatteiden toteutuminen on mahdollista vain, jos tietoa käsitellään hyvän tiedonhallintatavan mukaisesti, luotettavasti ja turvallisesti. Hyvän tiedonhallintatavan ansiosta voidaan varmistaa asiakirjojen ja tietojen:

  • käytettävyys (tiedot ja järjestelmät ovat oikea-aikaisesti ja asianmukaisesti saatavilla niitä tarvitseville),
  • saatavuus (tietoihin voidaan tutustua laillisin perustein),
  • eheys (tietosisältö on muuttumaton ja virheetön),
  • laatu (tiedot ovat ajantasaisia ja oikeellisia), sekä
  • luottamuksellisuus (tiedot ovat suojattuja asiattomalta käytöltä).

Nämä ominaisuudet muodostavat hyvän tiedonhallintatavan ydinalueet ja ovat keskeisiä viranomaisluottamuksen, tehokkaan toiminnan ja julkisen valvonnan kannalta.

Tietoturvallisuus hyvän tiedonhallintatavan osana
Muistiossa korostetaan, että tietoturvallisuus on olennainen osa hyvää tiedonhallintatapaa. Tietoturvatoimenpiteiden päätavoitteena on turvata tiedon luottamuksellisuus, eheys ja saatavuus. Tämä toteutetaan riskien kartoittamisen ja niiden hallinnan avulla. Julkishallinnon tietoturvallisuus jaetaan kahdeksaan osa-alueeseen:

  1. Hallinnollinen tietoturvallisuus – politiikat, ohjeistukset, johtaminen ja vastuut
  2. Henkilöstöturvallisuus – rekrytointi, koulutus, luotettavuuden varmistaminen
  3. Fyysinen tietoturvallisuus – toimitilojen ja laitteiden suojaaminen
  4. Tietoliikenneturvallisuus – verkkojen ja tiedonsiirron suojaaminen
  5. Laitteistoturvallisuus – laitteiden tekninen suojaus ja hallinta
  6. Ohjelmistoturvallisuus – sovellusten ja ohjelmistojen suojaaminen
  7. Tietoaineistoturvallisuus – tietojen säilytys, varmuuskopiointi ja tuhoaminen
  8. Käyttöturvallisuus – käyttöoikeuksien hallinta, lokit ja valvonta

Tämä jaottelu on muodostunut Suomessa yleiseksi standardiksi julkishallinnon tietoturvallisuudessa. Sen taustalla on historiallinen tarina, jonka mukaan jaottelu pohjautuu Kanadan ratsupoliisin käyttämään malliin. Tämän mallin toi Suomeen 1990-luvun alussa silloisen keskusrikospoliisin apulaispäällikkö Matti Tenhunen, ja myöhemmin sen otti käyttöönsä myös Elinkeinoelämän keskusliiton yritysturvallisuustoimisto.

Yritysten tiedonhallinta ja tietoturva
Vaikka yksityisellä sektorilla ei ole yleistä velvoitetta noudattaa julkishallinnon hyvän tiedonhallintatavan periaatteita, samat tavoitteet pätevät silti liiketoiminnan tehokkuuden, luotettavuuden ja lakien noudattamisen näkökulmasta. Esimerkiksi henkilötietojen käsittelyssä yrityksiä sitovat GDPR ja sitä edeltänyt henkilötietolaki, jotka sisältävät monia samoja vaatimuksia kuin julkisuuslainsäädäntö.

Miksi hyvä tiedonhallintatapa on tärkeä myös yrityksille?

Tietojen käytettävyys ja saatavuus
Yrityksen päätöksenteon ja operatiivisen toiminnan onnistuminen edellyttää, että oikea tieto on saatavilla oikeaan aikaan.

Tietojen laatu ja eheys
Virheettömät ja ajantasaiset tiedot vähentävät virheitä ja kustannuksia.

Tietoturva ja luottamuksellisuus
Yritykset käsittelevät usein arkaluontoisia tietoja, kuten asiakasdataa ja liikesalaisuuksia, joiden suojaaminen on välttämätöntä kilpailukyvyn ja lainmukaisuuden vuoksi (esim. GDPR:n vaatimukset).

Riskienhallinta
Hyvä tiedonhallintatapa auttaa tunnistamaan ja hallitsemaan tietohallintaan liittyviä riskejä.

Sääntelyvaatimukset
Vaikka varsinaista hyvän tiedonhallintatavan velvoitetta ei ole, monet lait, kuten henkilötietolaki (GDPR) tai toimialakohtaiset säädökset, edellyttävät tiettyjä tietojen käsittelytapoja.

Yrityksen tiedonhallinnan erityispiirteet
Yrityksissä tiedonhallinta jaetaan usein kahteen pääosa-alueeseen:

  1. Hallinnollinen tietoturvallisuus: käytännöt, vastuut, koulutus ja riskienhallinta
  2. Tekninen tietoturvallisuus: tietojärjestelmät, tietoliikenne, pääsynhallinta ja tekniset suojaukset

Yrityksen ei tarvitse noudattaa julkishallinnon tiedonhallinnan raskaita toimintamalleja, vaan sen tulee rakentaa tiedonhallinta liiketoimintalähtöisesti ja tarpeitaan vastaavasti.

Tasapainoinen ja tarkoituksenmukainen tietoturva
Yritysten tulee arvioida tietoturvan painopistealueet omista lähtökohdistaan. Ylimitoitetut ja jäykät tietoturvakäytännöt voivat heikentää yrityksen reagointikykyä, päätöksenteon nopeutta ja luovuutta ongelmatilanteissa. Siksi tietoturvatoimien tulee olla riskiperusteisia, tarkoituksenmukaisia ja joustavia.
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön