Tiedonhallintalaki kokoaa useita julkishallinnon organisaatioiden tiedonhallintaa koskevia säädöksiä entistä selkeämmäksi, mutta toteutukseltaan haastavaksi kokonaisuudeksi. Organisaatiolla on oltava tiedonhallintamalli käytössä ja julkaistu 1.1.2021 mennessä ja muukin työ on käynnistettävä, sillä siirtymäaika esimerkiksi tietoturvaa ja rajapintoja koskeviin vaatimuksiin päättyy 1.1.2023.
Digiturvamalli on hallinta- ja johtamisjärjestelmä, jolla organisoidaan digitaalisen turvallisuuden toimenpiteet. Sen avulla vaatimustenmukaisuutta kohti edetään määrätietoisesti valmiita sisältöjä ja automatisointia hyödyntäen.
Tässä kirjoituksessa lyhyt yhteenveto siitä, kuinka työskentely tiedonhallintalain ympärillä organisoidaan Digiturvamallin kautta.
Digiturvamallissa työskentelyä ohjataan vaatimuskehikkojen kautta. Tiedonhallintalaki on yksi vaatimuskehikko, jonka organisaatio voi ottaa käyttöön. Tämän jälkeen Digiturvamalli suosittelee tehtäviä sekä dokumentaatiota, jota nimenomaan tämä vaatimuskehikko vaatii.
Vaatimuskehikon tarkoituksena on tehdä monimutkaisen kokonaisuuden eteen tehtävästä työstä mahdollisimman selkeää ja läpinäkyvää.
Isoa kokonaisuutta kannattaa alkaa ottamaan haltuun tietyssä järjestyksessä. Digiturvamalli ohjaa toimimaan seuraavan vaiheistuksen kautta.
Tehtävälistat esittävät, mitä tekemistä tiedonhallintalaki vaatii. Tehtävien kautta voimme vastuuttaa työn organisaatiossamme ja kirjata todisteet, jotka näyttävät tehtävän olevan todellisuudessa hoidossa.
Tehtävä osoitetaan tehdyksi valitsemalla omistaja ja kuvaamalla joko prosessikuvaus, liittyvä dokumentaatio tai liittyvät ohjeet. Kukin tehtävä suosittelee sopivinta vaihtoehtoa käyttäjälle.
Tiedonhallintamallin ja siihen liittyvän asiakirjajulkisuuskuvauksen muodostaminen vaatii dokumentaatiota mm. toimintaprosesseista, tietovarannoista, tietoaineistoista sekä tietojärjestelmistä.
Digiturvamalli tarjoaa kaikille näistä valmiin dokumentaatiopohjan, jonka avulla valittu omistaja osaa täydentää vaaditut tiedot. Dokumentointia voi halutessaan tarkentaa, mutta oletuksena lomakkeet ja taulukko sisältävät tiedonhallintalain vaatimat tiedot - eivät ylimääräisiä kohtia tai piirroksia.
Kun tehtäviä tai dokumentoitavia kohteita on nimetty eri omistajille, kukin näkee omalla vastuullaan olevat tehtävät ja voi tehdä niihin päivityksiä oman tehtäväkirjansa kautta.
Työpöydän kautta pääkäyttäjät voivat seurata kokonaisuutena työn edistymistä.
Asiakirjajulkisuuskuvaus on julkinen tiivistelmä tiedonhallintamallista, joka on suunniteltu palvelemaan kansalaista ja auttamaan häntä kohdistamaan tietopyyntönsä oikeille tahoille.
Digiturvamallin avulla tällainen ulkoinen ja sisäinen raportointi tiedonhallintamalliin liittyen voidaan automatisoida. Olemme julkaisemassa avoimen sivuston osoitteeseen Tiedonhallintamalli.fi, jossa kunta voi julkaista oman asiakirjajulkisuuskuvauksensa "yhdellä klikkauksella", kun dokumentaatio on muodostettu Digiturvamallissa. Kuvaus tulee olemaan mahdollista upottaa myös kunnan omalle verkkosivulle.
Muuten Digiturvamalli sisältää kattavan raporttikirjaston sisäiseen käyttöön, joiden avulla voidaan osoittaa, kuinka eri vaatimusten eteen on organisaatiossa toimittu.
Palvelemme Digiturvamallin avulla jo kymmeniä kuntia, joista monet ovat käynnistämässä työtä Tiedonhallintamallin muodostamiseksi alkusyksystä. Järjestämme työn tueksi 4-osaisen webinaarisarjan elo-lokakuussa, jonka eri osista järjestetään jokaisesta 3 eri sessiota.
Tämä webinaarisarja on täysin maksuton, ja sen tavoitteena on käydä konkretian kautta läpi tiedonhallintamallin muodostamista Digiturvamallin avulla.
Voit katsoa tarkemmat lisätiedot sekä ajankohdat Webinarit-sivultamme.
Tiedonhallintalaki vaatii myös henkilöstön osaamisen varmistamista. Lisäksi osana tiedonhallintamallia on kuvattava omat turvallisuustoimenpiteet, joiden kautta organisaatio pyrkii suojaamaan prosesseissaan käsiteltävää tietoa.
Digiturvamallissa tämä tarkoittaa työn jatkamista pidemmälle - automatisoidun henkilöstön ohjeistuksen sekä tietoturvaa käsittelevien vaatimuskehikkojen puolelle.
Kun omia toimenpiteitä ja ohjeistuksia tietoturvan puolella halutaan lähteä kehittämään, on aika ottaa käyttöön joku tietoturvaan keskittyneistä vaatimuskehikoista.
Nämä vaatimuskehikot tarjoavat valmiita ohjeita henkilöstölle tärkeissä teemoissa (mm. salasanahallinta, etätyö) ja listaavat tietoturvan tehtäviä eri moduuleihin. Kun käyttöön otetaan esimerkiksi pienin tietoturvakehikko "Tietoturvan välttämättömät ydinasiat", käsittely laajenee mm. mobiililaitteiden hallinnan sekä tietojenkalastelun estämisen parissa.
Tiedonhallintalaki vaatii henkilöstön ohjeistamisen ja koulutuksen organisointia. Digiturvamalli tarjoaa tähän automatisoidun tavan, joka integroituu suoraan Teams-ympäristöön.
Kun ohjeita aktivoidaan ja kohdistetaan eri yksiköille, jokaiselle työntekijälle muodostuu persoonallinen "digiturvan ohjekirja". Ohjekirjaa voidaan käyttää avuksi esimerkiksi perehdyttämisessä. Se on yksittäinen sivu, joka sisältää kaikki tälle työntekijälle oleelliset digiturvaohjeet.
Koulutuksen ja ohjeiden muistamisen varmistaa Teams-bottimme. Ohjeista muistutetaan säännöllisesti ja botti jakelee myös niihin liittyviä koulutussisältöjä. Samalla tietenkin pyydetään kuittauksia ohjeiden noudattamiselle, joten organisaatiolle muodostuu uskottavat todisteet panostuksista henkilöstön osaamiseen.
Mikäli kiinnostuitte Digiturvamallista ja haluatte perehtyä teemaan tarkemmin, tässä kaksi mainiota toimenpidettä:
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
