Valtionhallinnon tietoturvallisuuden arviointipooli

Tavoitteet ja tuotokset

Perustettavan poolin tehtävä on aluksi laatia ja suorittaa arviointiin liittyvä koulutusohjelma ja 2007-2008 tietoturvallisuuden arvioinnin pilotointia erikseen valittavissa kohdeorganisaatioissa, jotka VM päättää.

Arviointipoolin pilotointihankkeen tehtävänä on edistää valtionhallinnon tietoturvallisuuden arviointia VAHTI ohjeen 8/2006 mukaisesti. Työn tuloksena syntyy raportti poolin koulututtamisesta, tietoturva-arvioinnin suorittamisesta ja arviointitoiminnasta valituissa kohdeorganisaatioissa.

Arviointipoolin toiminta ja toimintamahdollisuuksien jatkaminen arvioidaan VAHTI:ssa vuonna 2008 pilotoinnin päätyttyä.

Arviointipoolin tehtävänä on:
- suunnitella ja toteuttaa poolin koulutusohjelma
- suorittaa tietoturvallisuuden arviointi VM:n valitsemissa organisaatioissa
- laatia raportti toiminnastaan, esityksiä ja muuta materiaalia, joiden avulla edesautetaan tietoturvallisuuden arviointitoimintaa sekä parannetaan tietoturvallisuuden tasoa yhtenäistämällä arviointitoimintaa valtionhallinnossa.
Arvioinnissa huomioidaan valtion tietoturvallisuuden kehitysohjelma, VAHTI-ohjeet ja -hankkeet, valtion IT-strategia, kansainvälinen ja kansallinen kehitys sekä muu tietoturvallisuuden arviointiin liittyvä keskeinen kehitys.

Lähtökohdat

Tietoturvallisuus on tärkeä osa valtionhallinnon toimintaa ja se koskee koko henkilöstöä.

Tietoturvallisuudesta huolehtiminen on sekä toimintojen ja palvelujen edellytys että säädösvelvoite. Tietoturvallisuus on myös osa johtamista ja riskienhallintaa. Tietoturvallisuuden ylläpitäminen ja kehittäminen edellyttää jatkuvaa seurantaa, arviointia, raportointia sekä kehitystyötä ohjeistuksen ja koulutuksen osalta.

Valtiovarainministeriö vastaa valtionhallinnon tietoturvallisuuden yleisestä ohjauksesta ja kehittämisestä. Näissä tehtävissä yhteistyö-, ohjaus- ja koordinaatioelimenä toimii ministeriön asettama ja johtama Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI, jolla on keskeinen rooli hallinnon tietoturvallisuuden kehittämisessä ja ohjauksessa.

Valtiovarainministeriö on käynnistänyt valtionhallinnon tietoturvallisuuden kehitysohjelman. Ohjelma on käsitelty pääministeri Vanhasen johtamassa tietoyhteiskuntaohjelman ministeriryhmässä sekä ministeri Mannisen johtamassa hallinnon ja aluekehityksen ministeriryhmässä. Laajaan ohjelmaan sisältyy 29 kehittämiskohdetta.

Tietoturvallisuuden systemaattinen arviointi on tärkeä osa valtion tietoturvallisuuden jatkuvaa kehittämistä ja valtion tietoturvallisuuden kehitysohjelman toimeenpanoa. Osana valmistunutta VAHTI-ohjetta 8/2006 ”Tietoturvallisuuden arviointi valtionhallinnossa” työryhmä esitti, että valtiovarainministeriö perustaisi tietoturvallisuuden poikkihallinnollisen arviointipoolin. Pooli esitettiin perustettavaksi VAHTI:n ohjaamana hankkeena. Esitys sai VAHTIn puollon. Pilotointihankkeen hyödynsaajina on koko valtionhallinto.