Tiedonhallintamalli ja tietoturvallisuudenhallintamalli IT-ulkoistuksissa
Authors
Date
2020Copyright
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Tämä tutkielma käsittelee Julkisen hallinnon tiedonhallinnasta annetun lain (Tiedonhallintalaki) ja tietoturvallisuuden hallinnan vaatimuksia IT-ulkoistuksissa. Tiedonhallintalain 5§:ssä säädetään viranomaisen velvollisuu-desta laatia ja ylläpitää tiedonhallintamalli, jossa kuvataan viranomaisten tehtävien hoidossa toteutettava tiedonhallinta mukaan lukien tietoturvallisuuden hallinta. Julkisorganisaatiot yhä enenevässä määrin ulkoistavat IT-toimintojaan yksityisille palveluntarjoajille, mutta ulkoistettujen palvelujen osalta viranomaiselle jää aina lakisääteinen vastuu palveluntarjoajien toiminnan ohjauksesta sekä valvonnasta. Tietoturvavaatimukset ovat hankintavaiheessa keino, jolla viranomainen määrittelee palveluntarjoajalle tietoturvallisuuden tason, joka hankittavissa palveluissa on toteutettava. Laadullisessa tutkimuksessa perehdyttiin sisällönanalyysin keinoin kahdenkymmenen IT-ulkoistuksen hankinta-asiakirjoihin ja niiden sisältämiin tietoturvavaatimuksiin. Tutkimuksen tavoitteena oli ymmärtää, miten tiedonhallintalaki, tietoturvallisuuden hallinta sekä tietoturvavaatimukset liittyvät toisiinsa julkisissa hankinnoissa. Toisena tavoitteena oli saada yleinen käsitys siitä, mitä oman toimintansa IT-toimintoja viranomaiset ulkoistavat yksityisille palveluntarjoajille. Aineisto osoitti, että IT-ulkoistuksia tehdään niin asiantuntijoiden, laitteistojen kuin tietojärjestelmien osalta. Tietoturvavaatimukset tulisi määritellä aina hankinnan kohteen pohjalta, eikä tyytyä vakiosisältöisiin sopimusliitteisiin. Tutkimuksen tuloksena syntyi ylätason kuvaus hankinnan tietoturvallisuudenhallintamallista (Information Security Management System, ISMS), joka huomioi myös tiedonhallintamallin vaatimukset tietoturvallisuustoimenpiteiden kuvaamisesta. Malli antaa myös esimerkkejä, miten olemassa olevia vaatimuslähteitä voidaan hyödyntää tiedonhallintalain vaatimien kuvausten määrittelyssä.
...
This thesis discusses of the requirements of Act on Information Management in Public Administration (Tiedonhallintalaki) and information security management in the context of IT outsourcing. According to section 5 of the Act an authority shall maintain an information management model which defines and describes the information management including information security in its operating environment. IT outsourcing has become more and more popular in Public organizations, but authorities cannot outsource their responsibilities to supervise the outsourced IT functions. Information security requirements engineering is the function to manage the information security level of the acquisition. This qualitative research utilized content analysis methodology and explored 20 IT outsourcing cases through their tender documents and information security requirements. Goal of the research was to provide understanding on the relations between the Act on Information Management in Public Administration, information security management and information security requirements in the context of IT outsourcing. Another interest was to find out which IT functions truly are outsourced by Finnish authorities. The material showed that outsourcing cases may include anything between workforce (consultants), information systems (software) and infrastructure (datacenter services, hardware). Information security requirements should always be based on the object of the acquisition instead of constant agreement templates. A metamodel of Information Security Management System (ISMS) in IT outsourcing was formed according to the results of the content analysis. The model includes the requirements of the section 5 of the Act on Information Management in Public Administration. Also examples of the relations and applicability between ISO 27001 requirements, VAHTI requirements and the information management model are given.
...
Keywords
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [29556]
Related items
Showing items with similar title or keywords.
-
Tietojärjestelmä julkisen hankinnan kohteena
Piipponen, Jaana (2020)Julkisen sektorin tietojärjestelmähankintoihin käytetään vuosittain huomattava määrä julkisia varoja. Tietojärjestelmähankinnat ovat yleensä kompleksisia hankintoja ja julkisiin hankintoihin kohdistuva EU-tasoinen sekä ... -
State of public ICT procurement in Finland
Ghezzi, Reetta-Kaisa (2022)Tässä pro gradu -tutkielmassa tutkitaan ICT-hankintojen nykytilaa Suomen julkisella sektorilla 2022. Tutkimuskysymystä tarkastellaan kokonaisarkkitehtuurin ja kilpailutuksen näkökulmista. Scopus-tietokanta toimii lähteenä ... -
Faith-holders as social capital of Finnish public organisations
Luoma-aho, Vilma (University of Jyväskylä, 2005)Vilma Luoma-aho tutki väitöskirjassaan suomalaisten julkisten organisaatioiden sidosryhmäsuhteita. Luoma-ahon mukaan olemme siirtymässä maineyhteiskuntaan, jossa sosiaalisilla suhteilla ja mielikuvilla on keskeisen tärkeä ... -
Tietojärjestelmien hankinta julkisella sektorilla
Rinne, Samu (2018)Tietojärjestelmät ovat tänä päivänä olennainen osa julkisen sektorin eri osa-alueiden toimintaa, ja uusia tietojärjestelmähankintoja tehdään vuosittain merkittävillä summilla. Investoinnit eivät kuitenkaan aina ole ... -
Pilvipalveluiden hankintaan vaikuttavat tekijät julkisella sektorilla
Jalkanen, Artte (2022)Pilvipalvelut ovat uusi teknologia, jonka avulla organisaatioiden on mahdollista ulkoistaa laskentalaitteistoaan. Niiden avulla organisaatioiden on mahdollista esimerkiksi tehostaa liiketoimintaa, hyödyntää ekologisempaa ...