Tietoturvallisuuden vähimmäisvaatimukset: Tehtävien ja vastuiden määrittely (VAHTI 6.02)

Lausunnolla

Tiedonhallintalkai x§: Tietoturvallisuuden vähimmäisvaatimusten toteuttamiseksi viranomaisen on huolehdittava siitä, että viranomaisen käytössä on tarvittava asiantuntemus tietoturvallisuuden toteuttamiseksi ja että tietoturvallisuuden hoitamista koskevat tehtävät ja vastuut määritellään.

Ehdotetun 6 §:n 1 momentin 2 kohdan mukaan viranomaisen käytössä olisi oltava tarvittava asiantuntemus tietoturvallisuuden toteuttamiseksi ja tietoturvallisuuden hoitamista koskevat tehtävät ja vastuut tulisi määritellä. [Y] Säännös vastaa tietoturvallisuusasetuksessa säädettyä.

Osaamisesta ja asiantuntemuksesta huolehtiminen.

Viranomaisen tulee huolehtia, että sen koon ja toiminnan laajuuden huomioiden on nimetty vastuuhenkilö tai vastuuhenkilöt turvallisuudesta, tietoturvallisuudesta ja tietosuojasta huolehtimaan. Suositeltavaa on kuvata esimerkiksi työjärjestykseen tai henkilöiden toimenkuviin tai muulla soveltuvalla tavalla tärkeimmät tietoturvallisuuden tehtävät sekä arvioida tarvittavaa ajankäyttöä ja tehtävien priorisointioikeutta niin, että vastuuhenkilön on mahdollista tehdä tietoturvallisuuden tehtäviä sekä suunnitellusti että tarvittaessa olla myös akuuteissa ja odottamattomissa tilanteissa riittävän nopeasti käytettävissä.

Käytännön esimerkkejä (tietoturvavastaavan toimenkuva):

Pieni virasto: Virasto on nimennyt asiankäsittelijä MM:n hoitamaan tietoturvallisuuteen liittyviä tehtäviä ja vastuita oman toimensa ohella (oto) niin, että viraston hallinnollinen tietoturvallisuus (ohjeet, suunnitelmat ja asioiden käsittely sekä toimien etenemisestä raportointi) hoidetaan (esimerkiksi) 20 % normaalista työajasta. Lisäksi on sovittu, että mahdollisessa akuutissa häiriötilanteessa tai muutoin MM:n asiantuntemusta vaativissa tilanteissa hän voi priorisoida päätoimensa työtehtävät joko myöhemmin suoritettavaksi tai ne voidaan esimiehen päätöksellä delegoida toiselle työntekijälle. Näiden lisäksi on sovittu, että MM itse huolehtii siitä, että hän huolehtii tietoturva-asioiden vaatiman asiantuntemuksen ja osaamisen riittävästä ylläpidosta sekä yhteydenpidosta muihin viranomaistahoihin ja osallistumisesta viranomaisyhteistyöhön.

Suuri virasto: Virastoon on nimetty päätoiminen tietoturvapäällikkö, jonka tehtävät on määritelty tietoturvallisuuden osalta viraston tehtävien ja strategian mukaan kokonaisvaltaisesti ja tulostavoitteet sisältävästi. Viraston tietoturvallisuuspäällikön tärkeimmät tehtävät on kuvattu viraston työjärjestyksessä ja näistä tehtävistään tietoturvallisuuspäällikkö raportoi hallintojohtajalle, joka puolestaan vastaa siitä, että kaikki tarvittavat tietoturvallisuutta koskevat asiat käsitellään soveltuvin osin myös viraston johtoryhmän ja/tai ylijohtajan toimesta. 

Kortin tiedot
Nimi Tietoturvallisuuden vähimmäisvaatimukset: Tehtävien ja vastuiden määrittely
Yksilöivä tunniste 6.02
Julkaisupäivä 26.05.2017
Voimaantulopäivä 12.05.2017
Voimassaolon päättymispäivä Voimassa toistaiseksi
Omistaja Valtiovarainministeriö
Lisätietoa antava viranomainen Valtiovarainministeriö
Kumottavat tai muutettavat aikaisemmat kortit
Muita tietoja