Information Security Requirements in Public IT Procurements: Effect of Act on Information Management in Public Administration on Requirements
Aaltonen, Riina (2020)
Avaa tiedosto
Lataukset:
Aaltonen, Riina
2020
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2020060517391
https://urn.fi/URN:NBN:fi:amk-2020060517391
Tiivistelmä
Viranomaiset ovat aloittaneet digitalisoimaan palveluitaan. Tämä digitalisointi perustuu entisen pääministeri Juha Sipilän hallituksen hallitusohjelman 'Digitalisoidaan julkiset palvelut' -kärkihankkeeseen. Tiedonhallintaan liittyvän lainsäädännön uudistaminen oli myös osa kyseistä hallitusohjelmaa. Nykyinen Laki julkisen hallinnon tiedonhallinnasta tuli voimaan 1. tammikuuta 2020 ja siinä säädetään myös tietoturvallisuudesta. Tämä vaikuttaa julkisiin IT-hankintoihin.
Ensimmäinen kolmesta tavoitteesta oli selvittää Suomen tietoturvallisuutta koskevan lainsäädännön muutoksia ja muutosten vaikutuksia julkisten IT-hankintojen tietoturvallisuusvaatimuksiin. Toisena tavoitteena oli tutkia, pitääkö julkisten IT-hankintojen tietoturvallisuusvaatimuksissa ottaa huomioon enemmän kuin yksi näkökulma ja kolmantena tavoitteena oli selvittää hyvän vaatimuksen sisältö.
Tutkimuksessa huomattiin, että julkisten IT-hankintojen tietoturvallisuusvaatimuksissa on kolmenlaisia vaatimuksia. Ensimmäisenä ovat viranomaisia koskevat vaatimukset, jotka liittyvät hankinnan kohteen määrittämiseen. Toisena ovat tarjouspyynnössä julkaistavat toimittajaan liittyvät vaatimukset, joilla toimittajan tulee ohjata palvelun tuottamista sekä palveluna tuotettavan kohteen tuottamista. Kolmantena tulevat palveluna tuotettavan kohteen yksityiskohtaiset tietoturvallisuusvaatimukset, jotka asetetaan, kun toimittaja on valittu ja palvelun tuottaminen on alkanut.
Julkisten IT-hankintojen tietoturvallisuusvaatimukset tulisi räätälöidä tapauskohtaisesti. Niiden määrittäminen tulisi olla kiinteä osa hankinnan kohteen määrittelyä, koska tietoturvallisuuden ja muiden osa-alueiden välillä on riippuvuuksia. Public authorities have started to digitalise their services based on the key project ‘Public services will be digitalised’ by the Government Programme of former Prime Minister Juha Sipilä's government. The renewal of the information management legislation was also included in this same programme. The current Act on Information Management in Public Administration entered into force 1 January 2020 and has also provisions on information security that affect public IT procurements.
There were three objectives in the research. The first objective was to study the change in the Finnish legislation regarding information security requirements in public IT procurements. The second objective was to study what the different aspects for information security requirements were in public IT procurements or if there was only one viewpoint. The third objective was to study what a well-formed requirement is.
The used method was content analysis consisting of the interpretation of the law. The legislation under research was analysed and applied against the general principles of secure coding and other methods and best practices.
It was found out that there are three kind of information requirements in public IT procurements: for the authority defining the subject-matter of the procurement, for the supplier to guide service production and for the production of service output and detailed requirements for implementation of the service output.
The information security requirements in public IT procurements should be customised. Their definition needs to be part of the total definition of subject-procurement because there are dependencies between information security issues and other issues.
Ensimmäinen kolmesta tavoitteesta oli selvittää Suomen tietoturvallisuutta koskevan lainsäädännön muutoksia ja muutosten vaikutuksia julkisten IT-hankintojen tietoturvallisuusvaatimuksiin. Toisena tavoitteena oli tutkia, pitääkö julkisten IT-hankintojen tietoturvallisuusvaatimuksissa ottaa huomioon enemmän kuin yksi näkökulma ja kolmantena tavoitteena oli selvittää hyvän vaatimuksen sisältö.
Tutkimuksessa huomattiin, että julkisten IT-hankintojen tietoturvallisuusvaatimuksissa on kolmenlaisia vaatimuksia. Ensimmäisenä ovat viranomaisia koskevat vaatimukset, jotka liittyvät hankinnan kohteen määrittämiseen. Toisena ovat tarjouspyynnössä julkaistavat toimittajaan liittyvät vaatimukset, joilla toimittajan tulee ohjata palvelun tuottamista sekä palveluna tuotettavan kohteen tuottamista. Kolmantena tulevat palveluna tuotettavan kohteen yksityiskohtaiset tietoturvallisuusvaatimukset, jotka asetetaan, kun toimittaja on valittu ja palvelun tuottaminen on alkanut.
Julkisten IT-hankintojen tietoturvallisuusvaatimukset tulisi räätälöidä tapauskohtaisesti. Niiden määrittäminen tulisi olla kiinteä osa hankinnan kohteen määrittelyä, koska tietoturvallisuuden ja muiden osa-alueiden välillä on riippuvuuksia.
There were three objectives in the research. The first objective was to study the change in the Finnish legislation regarding information security requirements in public IT procurements. The second objective was to study what the different aspects for information security requirements were in public IT procurements or if there was only one viewpoint. The third objective was to study what a well-formed requirement is.
The used method was content analysis consisting of the interpretation of the law. The legislation under research was analysed and applied against the general principles of secure coding and other methods and best practices.
It was found out that there are three kind of information requirements in public IT procurements: for the authority defining the subject-matter of the procurement, for the supplier to guide service production and for the production of service output and detailed requirements for implementation of the service output.
The information security requirements in public IT procurements should be customised. Their definition needs to be part of the total definition of subject-procurement because there are dependencies between information security issues and other issues.