Tiedonhallintamalli ja tietoturvallisuudenhallintamalli IT-ulkoistuksissa
Tämä tutkielma käsittelee Julkisen hallinnon tiedonhallinnasta annetun lain (Tiedonhallintalaki) ja tietoturvallisuuden hallinnan vaatimuksia IT-ulkoistuksissa. Tiedonhallintalain 5§:ssä säädetään viranomaisen velvollisuu-desta laatia ja ylläpitää tiedonhallintamalli, jossa kuvataan viranomaisten tehtävien hoidossa toteutettava tiedonhallinta mukaan lukien tietoturvallisuuden hallinta. Julkisorganisaatiot yhä enenevässä määrin ulkoistavat IT-toimintojaan yksityisille palveluntarjoajille, mutta ulkoistettujen palvelujen osalta viranomaiselle jää aina lakisääteinen vastuu palveluntarjoajien toiminnan ohjauksesta sekä valvonnasta. Tietoturvavaatimukset ovat hankintavaiheessa keino, jolla viranomainen määrittelee palveluntarjoajalle tietoturvallisuuden tason, joka hankittavissa palveluissa on toteutettava. Laadullisessa tutkimuksessa perehdyttiin sisällönanalyysin keinoin kahdenkymmenen IT-ulkoistuksen hankinta-asiakirjoihin ja niiden sisältämiin tietoturvavaatimuksiin. Tutkimuksen tavoitteena oli ymmärtää, miten tiedonhallintalaki, tietoturvallisuuden hallinta sekä tietoturvavaatimukset liittyvät toisiinsa julkisissa hankinnoissa. Toisena tavoitteena oli saada yleinen käsitys siitä, mitä oman toimintansa IT-toimintoja viranomaiset ulkoistavat yksityisille palveluntarjoajille. Aineisto osoitti, että IT-ulkoistuksia tehdään niin asiantuntijoiden, laitteistojen kuin tietojärjestelmien osalta. Tietoturvavaatimukset tulisi määritellä aina hankinnan kohteen pohjalta, eikä tyytyä vakiosisältöisiin sopimusliitteisiin. Tutkimuksen tuloksena syntyi ylätason kuvaus hankinnan tietoturvallisuudenhallintamallista (Information Security Management System, ISMS), joka huomioi myös tiedonhallintamallin vaatimukset tietoturvallisuustoimenpiteiden kuvaamisesta. Malli antaa myös esimerkkejä, miten olemassa olevia vaatimuslähteitä voidaan hyödyntää tiedonhallintalain vaatimien kuvausten määrittelyssä.
...
This thesis discusses of the requirements of Act on Information Management in Public Administration (Tiedonhallintalaki) and information security management in the context of IT outsourcing. According to section 5 of the Act an authority shall maintain an information management model which defines and describes the information management including information security in its operating environment. IT outsourcing has become more and more popular in Public organizations, but authorities cannot outsource their responsibilities to supervise the outsourced IT functions. Information security requirements engineering is the function to manage the information security level of the acquisition. This qualitative research utilized content analysis methodology and explored 20 IT outsourcing cases through their tender documents and information security requirements. Goal of the research was to provide understanding on the relations between the Act on Information Management in Public Administration, information security management and information security requirements in the context of IT outsourcing. Another interest was to find out which IT functions truly are outsourced by Finnish authorities. The material showed that outsourcing cases may include anything between workforce (consultants), information systems (software) and infrastructure (datacenter services, hardware). Information security requirements should always be based on the object of the acquisition instead of constant agreement templates. A metamodel of Information Security Management System (ISMS) in IT outsourcing was formed according to the results of the content analysis. The model includes the requirements of the section 5 of the Act on Information Management in Public Administration. Also examples of the relations and applicability between ISO 27001 requirements, VAHTI requirements and the information management model are given.
...
Asiasanat
Metadata
Näytä kaikki kuvailutiedotKokoelmat
- Pro gradu -tutkielmat [29743]
Lisenssi
Samankaltainen aineisto
Näytetään aineistoja, joilla on samankaltainen nimeke tai asiasanat.
-
Tietojärjestelmä julkisen hankinnan kohteena
Piipponen, Jaana (2020)Julkisen sektorin tietojärjestelmähankintoihin käytetään vuosittain huomattava määrä julkisia varoja. Tietojärjestelmähankinnat ovat yleensä kompleksisia hankintoja ja julkisiin hankintoihin kohdistuva EU-tasoinen sekä ... -
State of public ICT procurement in Finland
Ghezzi, Reetta-Kaisa (2022)Tässä pro gradu -tutkielmassa tutkitaan ICT-hankintojen nykytilaa Suomen julkisella sektorilla 2022. Tutkimuskysymystä tarkastellaan kokonaisarkkitehtuurin ja kilpailutuksen näkökulmista. Scopus-tietokanta toimii lähteenä ... -
Tiedonhallintamallin käyttö julkishallinnon organisaatiossa
Helén, Satu (2022)Tässä tutkimuksessa tarkastellaan tiedonhallintaa suomalaisessa julkishallinnon organisaatiossa. Tutkielman tavoitteena on selvittää, miten tiedonhallintamallia tällä hetkellä käytetään organisaatiossa ja mitkä ovat ... -
Suomen lainsäädännön vaikutus julkishallinnon kokonaisarkkitehtuurityöhön
Blomqvist, Henri (2024)Kokonaisarkkitehtuuria käytetään työkaluna strategisen tason suunnittelussa, jolla pyritään linjaamaan organisaation tietojärjestelmät, tiedonhallinta, liiketoi minta ja infrastruktuuri yhteen strategiaan. Tavoitteena on ... -
Faith-holders as social capital of Finnish public organisations
Luoma-aho, Vilma (University of Jyväskylä, 2005)Vilma Luoma-aho tutki väitöskirjassaan suomalaisten julkisten organisaatioiden sidosryhmäsuhteita. Luoma-ahon mukaan olemme siirtymässä maineyhteiskuntaan, jossa sosiaalisilla suhteilla ja mielikuvilla on keskeisen tärkeä ...
Ellei toisin mainittu, julkisesti saatavilla olevia JYX-metatietoja (poislukien tiivistelmät) saa vapaasti uudelleenkäyttää CC0-lisenssillä.