Julkisen asiantuntijalaitoksen riskien- ja jatkuvuushallinnan kehittäminen
Penttinen, Maija (2019)
2019
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2019120223924
https://urn.fi/URN:NBN:fi:amk-2019120223924
Tiivistelmä
Tutkimuksen kohdeorganisaationa toimii Celia, joka on saavutettavan kirjallisuuden ja julkaisemisen asiantuntijakeskus ja jonka tehtävänä on tukea yhdenvertaisuutta lukemisessa ja oppimisessa. Celia on osa opetus- ja kulttuuriministeriön hallinnonalaa ja tuottaa sekä välittää kirjallisuutta saavutettavassa muodossa pääosin verkkopalveluna.
Valtiohallinnossa vaatimukset palveluiden tarjoamiseksi digitaalisina ovat johtaneet uusiin lakeihin varmistamaan palveluiden digitaalista turvallisuutta. Vaikka tietoturvallisuus ei ole velvoitteena uusi, sen merkitys on korostunut digitalisaation myötä vastaamaan tekniikan kehityksen tuomiin tietoturvariskeihin. Teknisten laitteiden ja palveluiden käytön lisääntyminen on tuonut tietohallinnolle uusia haasteita digitaalisen turvallisuuden hallintaan. Turvallisuusosaamista ei voi enää asettaa pelkästään asiantuntijoiden vastuulle, vaan osaamista tulee myös jalkauttaa laitteita ja palveluita käyttäville loppukäyttäjille. Tehtävänä oli parantaa Celian palveluiden laatua ja luotettavuutta kehittämällä riskien- ja jatkuvuudenhallintaa täyttäen näin lain määräämiä velvoitteita.
Kehittämistyö toteutettiin toimintatutkimusmenetelmällä. Tiedonkeruumenetelminä käytettiin havainnointia, haastatteluja ja kirjallisia lähteitä. Tutkimuksen aikana suunniteltiin ja laadittiin riskienhallintapolitiikka sekä Celian palveluiden kannalta kriittisten järjestelmien jatkuvuussuunnitelmat toimintaohjekuvauksineen häiriötilanteiden varalta. Riskienhallintapolitiikan toteutuksessa ja jatkuvuussuunnitelmissa hyödynnettiin muun muassa Valtiovarainministeriön julkaisemia ohjemateriaaleja. Häiriötilanteiden toimintaohjeita testattiin valtiohallinnon yhteisessä digitaalisen turvallisuuden harjoituspäivässä, TAISTO:ssa.
Tutkimuksen johtopäätöksenä todettiin, että riskien- ja jatkuvuudenhallinta ovat aiheiltaan laajoja kokonaisuuksia ja näiden sovittaminen sekä sopivan, hyväksyttävän tason löytäminen on haastavaa pienessä organisaatiossa, jossa resurssit ovat rajalliset. Olennaista tulosten jalkauttamisessa sekä jatkokehityksen varmistamisessa on organisaation ymmärryksen syventäminen digitaalisesta turvallisuudesta.
Valtiohallinnossa vaatimukset palveluiden tarjoamiseksi digitaalisina ovat johtaneet uusiin lakeihin varmistamaan palveluiden digitaalista turvallisuutta. Vaikka tietoturvallisuus ei ole velvoitteena uusi, sen merkitys on korostunut digitalisaation myötä vastaamaan tekniikan kehityksen tuomiin tietoturvariskeihin. Teknisten laitteiden ja palveluiden käytön lisääntyminen on tuonut tietohallinnolle uusia haasteita digitaalisen turvallisuuden hallintaan. Turvallisuusosaamista ei voi enää asettaa pelkästään asiantuntijoiden vastuulle, vaan osaamista tulee myös jalkauttaa laitteita ja palveluita käyttäville loppukäyttäjille. Tehtävänä oli parantaa Celian palveluiden laatua ja luotettavuutta kehittämällä riskien- ja jatkuvuudenhallintaa täyttäen näin lain määräämiä velvoitteita.
Kehittämistyö toteutettiin toimintatutkimusmenetelmällä. Tiedonkeruumenetelminä käytettiin havainnointia, haastatteluja ja kirjallisia lähteitä. Tutkimuksen aikana suunniteltiin ja laadittiin riskienhallintapolitiikka sekä Celian palveluiden kannalta kriittisten järjestelmien jatkuvuussuunnitelmat toimintaohjekuvauksineen häiriötilanteiden varalta. Riskienhallintapolitiikan toteutuksessa ja jatkuvuussuunnitelmissa hyödynnettiin muun muassa Valtiovarainministeriön julkaisemia ohjemateriaaleja. Häiriötilanteiden toimintaohjeita testattiin valtiohallinnon yhteisessä digitaalisen turvallisuuden harjoituspäivässä, TAISTO:ssa.
Tutkimuksen johtopäätöksenä todettiin, että riskien- ja jatkuvuudenhallinta ovat aiheiltaan laajoja kokonaisuuksia ja näiden sovittaminen sekä sopivan, hyväksyttävän tason löytäminen on haastavaa pienessä organisaatiossa, jossa resurssit ovat rajalliset. Olennaista tulosten jalkauttamisessa sekä jatkokehityksen varmistamisessa on organisaation ymmärryksen syventäminen digitaalisesta turvallisuudesta.