Organisaation on ajoittain uudistuttava ja sopeuduttava toimintaympäristön muutoksiin pysyäkseen kehityksessä mukana. Usein nämä toiminnan uudistukset vaikuttavat myös tietoturvaan ja tiedonhallintaan.
Selkeästi suunnitellut menettelyt muutostenhallintaan sisältyvät monien tietoturvan vaatimuskehikkojen (mm. ISO 27001, NIST, Katakri, Omavalvontasuunnitelma...) vaatimuksiin.
Muutosvaikutusten arvioinnin tavoitteet
Tiedonhallintalautakunnan mukaan tiedonhallintalain vaatimuksella muutosvaikutusten arvioinnista:
- vahvistetaan muutostilanteisiin liittyvien taloudellisten ja toiminnallisten riskien ennakointia
- vahvistetaan muutosten ohjauksen tehokkuutta
- pyritään edistämään yhteentoimivuuden ja tietoturvallisuuden toteutumista sekä investointien kannattavuutta
On siis melko yleinen hyvä käytäntö, että järjestelmällisessä tietoturvatyössä merkittäviä muutoksia pyritään aktiivisesti tunnistamaan, niiden vaikutukset arvioidaan ennakkoon ja muutokset toteutetaan systemaattisesti suunnittelun jälkeen. Tavoitteena on auttaa organisaatiota johtamaan muutos hallitusti ja vastuullisesti.
Muutosvaikutusten arvioinnit ovat yksi tiedonhallintalautakunnan nimeämistä osa-alueista, joiden valvontaan se keskittyy.
Millaiset muutokset ovat tiedonhallinnan kannalta merkittäviä?
Merkittävät muutokset voivat liittyä mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin tai tietojärjestelmiin kohdistuvat muutokset. Tässä esimerkkejä muutoksista, joiden yhteydessä muutosvaikutusten arvioinnille voi olla tarvetta:
- Integraatiohanke
- Kilpailutilanteen merkittävä muutos
- Kuntaliitos
- Merkittävän tuotteen / palvelun alasajo
- Tehtävien / palvelutuotannon siirtäminen
- Teknologinen merkittävä kehityskulku
- Tietojärjestelmän käyttöönotto
- Tietovarannon muodostaminen
- Toimintaprosessin ulkoistus
- Tärkeä uusi tietoturvastandardi
- Uuden liikelaitoksen perustaminen
- Uusi lainsäädäntö
- Uusi merkittävä tehtävä tai palvelutuotannon vastuu
Kuinka olennaisia muutoksia voidaan tunnistaa?
Olennaisten muutosten tunnistaminen voi olla esimerkki hyvästä tavasta, jolla organisaation johto voi osallistua digiturvatyöhön.
ISO 27001 -tietoturvastandardi suosittelee johdolle säännöllisesti toteutettavaa "johdon katselmusta", jossa johto katselmoi organisaation digiturvan hallintajärjestelmän tilaa ja asettaa tarvittaessa uusia tavoitteita työlle. Yksi tämän katselmuksen tärkeistä sisällöistä on olennaista muutosten tunnistaminen. Johto pystyy esimerkiksi tunnistamaan toimintaympäristöön, kilpailutilanteeseen, organisaatiorakenteeseen tai sääntelyyn liittyviä muutoksia, jotka voi olla hyvä huomioida huolellisesti. Teknisempia muutoksia voivat tunnistaa digiturvatyön avaintiimin jäsenet suoraviivaisemmin.
Johdon katselmus voi toimia johdon tapana osallistua digiturvatyöhön ja nostaa esille oleellisia tulevia muutoksia.
Muutosten tunnistamistavat ja siihen liittyvä vastuu on eroteltu Digiturvamallissa omaksi tehtäväkseen, koska se vaatii hyvin erilaisen toimintatavan kuin varsinaisten arviointien toteutus. Tiedonhallintalautakunnan suositus sanoo myös selkeäsanaisesti: "Tiedonhallintayksikön vastuulla on tunnistaa, mitkä muutokset ovat olennaisia ja edellyttävät muutosvaikutusten arviointia."
Kuinka muutosvaikutusten arviointi toteutetaan?
Toimiva tiedonhallintamalli toimii muutosvaikutusten arvioinnin pohjana. Kun tiedetään selkeästi sekä nykyiseen tiedonhallintaan liittyvät avainelementit (mm. toimintaprosessit, tietovarannot, tietoaineistot ja tietojärjestelmät), tietoturvallisuutoimenpiteet sekä näihin molempiin liittyvät vastuut, hyvä pohja muutosvaikutusten arvioinnille on olemassa.
Muutosvaikutusten arvioinnin tuotoksena tulisi syntyä seuraavanlainen yhteenveto:
- perustelut ja tausta muutokselle
- keskeiset havainnot (esim. tunnistetut riskit) muutoksen arvioinnista suhteessa
- tiedonhallintamallissa määriteltyihin tiedonhallinnan vastuisiin
- tietoturvallisuusvaatimuksiin ja -toimenpiteisiin
- tietoaineistojen muodostamista ja luovutustapaa koskeviin vaatimuksiin
- asianhallinnan ja palvelujen tiedonhallinnan vaatimuksiin
- muun lainsäädännön säädöksiin asiakirjojen julkisuudesta, salassapidosta, suojasta ja tiedonsaantioikeuksista - kuvaus lopputuloksesta sekä karkealla tasolla vaadittavat toimenpiteet ja niiden aikataulutus
Muutoksessa on tärkeää huomioida tietovarantojen yhteentoimivuuden näkökulmat sekä muutokset vaikutukset muihin sidosryhmiin.
Digiturvamallista löytyy valmis pohja muutosvaikutusten arviointien tulosten dokumentointia varten. Pohja pyrkii myös tukemaan arvioinnin toteuttamisessa ja antamaan esimerkkejä eri kohtiin, joissa se on mahdollista.
Suosittelemme ensin käymään muutosta läpi vapaammin tiedonhallintalain listaamien näkökulmien perusteella. Arvioinnin keskeisistä havainnoista olisi kuitenkin hyvä pystyä johtamaan muutokseen liittyviä riskejä, jotka voidaan sitten arvioida ja käsitellä. Näin voidaan päästä käsiksi toimenpiteisiin, joita muutosvaikutusten arvioinnista nousee.
Tiedonhallintalautakunta: "Osana muutosvaikutusten arviointia tiedonhallintayksikkö tekee riskiarvion muutoksen mahdollisesti aiheuttamien vaikutusten hallitsemiseksi ja laatii suunnitelman näiden riskien saattamiseksi hyväksyttävälle tasolle."
Lopuksi tiedonhallintamallissa määritellyn vastuullisen tahon on hyväksyttävä / hylättävä muutos huomioiden siitä aiheutuvat riskit, niiden hallitsemiseksi tehty toimenpiteet sekä näiden suhteen kustannuksiin ja saavutettaviin hyötyihin.
Vinkkejä toteutukseen:
- visuaaliset raportit voivat auttaa arvioimaan etenkin muutettavan kohteen liitoksia eri elementteihin, esimerkiksi tietojärjestelmän yhteyksiä eri prosesseihin / eri sidosryhmiin tai tietojärjestelmästä muihin järjestelmiin tehtyjä integraatioita
Palautetta, kysymyksiä?
Jos haluat keskustella kanssamme lisää muutosvaikutusten arvioinneista, muiden tiedonhallintalain vaatimusten täyttämisestä tai antaa palautetta näistä uusista ominaisuuksista, ole meihin mielellään yhteydessä suoraan chatilla tai osoitteessa tiimi@digiturvamalli.fi.