Helsingin kaupungin tietoturvalinjaukset tukevat tiedonhallintalain toimeenpanoa kaupungin toiminnassa. Tiedonhallintalaki edellyttää, että tiedonhallintaan liittyvät vastuut on määritelty. Tietoturvalinjauksiin on koottu tietoturvaan liittyvät vastuut.
Linjauksissa todetaan muun muassa, että jokainen kaupungilla palvelussuhteessa oleva henkilö vastaa omalta osaltaan tietoturvan toteuttamisesta, ohjeiden noudattamisesta sekä tietojen ja tietojärjestelmien asianmukaisesta käytöstä tietoturva huomioiden.
Riskiperusteinen lähestymistapa
Tiedonhallintalain mukaan tietojenkäsittelyyn kohdistuvat olennaiset riskit on selvitettävä. Tietoturvalinjauksissa esitetään riskiperusteinen lähestymistapa. Tietoturvallisuustoimet tulee aina suhteuttaa suojattavaan tietoon.
Julkisen tiedon suojaamiseksi ei tarvita samanlaisia toimenpiteitä kuin salassa pidettävien tietojen suojaamiseksi. Kaupungin riskienhallinnasta annettuja ohjeita ja määräyksiä sovelletaan myös tieto- ja ict-riskeihin ("digiriskeihin").
Käyttöoikeudet
Tiedonhallintalaki vaatii, että tietojärjestelmästä vastuussa olevan viranomaisen on määriteltävä tietojärjestelmän käyttöoikeudet tehtäviin liittyvien käyttötarpeiden mukaan. Käyttöoikeudet on pidettävä ajantasaisina.
Tietoturvalinjauksissa todetaan käyttöoikeuksien hallinnasta, että käyttöoikeudet toteutetaan Helsingin kaupungilla roolipohjaisesti käyttäjän tehtävien tarpeiden mukaisesti.
Käyttäjien tunnistaminen ja lokit
Tiedonhallintalaissa todetaan myös, että, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista, niin viranomaisen on huolehdittava, että tietojärjestelmien käytöstä ja tietojen luovutuksista kerätään tarpeelliset lokitiedot.
Tietoturvalinjauksissa taas todetaan, että kun tieto- ja viestintäjärjestelmän todennetun käyttäjän toimet pitää osoittaa kiistämättömästi, tulee tarvittava tapahtumakirjanpito toteuttaa tietojen eheyden säilyttävillä teknisillä ratkaisuilla – lokijärjestelmillä.
Video, linjaukset ja tiedonhallintalaki
- Tietoturvalinjaukset ja tiedonhallintalaki (video, 2 minuuttia)
- Helsingin kaupungin tietoturvalinjaukset kaupungin verkkosivulla.
- Laki julkisen hallinnon tiedonhallinnasta (906/2019), finlex.fi
- Esityskuvat tietoturvalinjausten koulutuksen luennon seuraamiseen ja otteita tiedonhallintalaista selattavaksi linjauksiin tutustuttaessa.
Opi lisää tietoturvasta ja tiedonhallintalaista digitaalisen Helsingin blogauksista ja Helsinki-kanavan Tietoturva työpisteellä -tietoiskuista.
Herättikö teksti ajatuksia? Keskustele Twitterissä asiasanalla #digihelsinki.
Teksti ja kuvitus: Aaro Hallikainen