Tiedonhallintamalli ja tietoturvallisuudenhallintamalli IT-ulkoistuksissa

Abstract

Tämä tutkielma käsittelee Julkisen hallinnon tiedonhallinnasta annetun lain (Tiedonhallintalaki) ja tietoturvallisuuden hallinnan vaatimuksia IT-ulkoistuksissa. Tiedonhallintalain 5§:ssä säädetään viranomaisen velvollisuu-desta laatia ja ylläpitää tiedonhallintamalli, jossa kuvataan viranomaisten tehtävien hoidossa toteutettava tiedonhallinta mukaan lukien tietoturvallisuuden hallinta. Julkisorganisaatiot yhä enenevässä määrin ulkoistavat IT-toimintojaan yksityisille palveluntarjoajille, mutta ulkoistettujen palvelujen osalta viranomaiselle jää aina lakisääteinen vastuu palveluntarjoajien toiminnan ohjauksesta sekä valvonnasta. Tietoturvavaatimukset ovat hankintavaiheessa keino, jolla viranomainen määrittelee palveluntarjoajalle tietoturvallisuuden tason, joka hankittavissa palveluissa on toteutettava. Laadullisessa tutkimuksessa perehdyttiin sisällönanalyysin keinoin kahdenkymmenen IT-ulkoistuksen hankinta-asiakirjoihin ja niiden sisältämiin tietoturvavaatimuksiin. Tutkimuksen tavoitteena oli ymmärtää, miten tiedonhallintalaki, tietoturvallisuuden hallinta sekä tietoturvavaatimukset liittyvät toisiinsa julkisissa hankinnoissa. Toisena tavoitteena oli saada yleinen käsitys siitä, mitä oman toimintansa IT-toimintoja viranomaiset ulkoistavat yksityisille palveluntarjoajille. Aineisto osoitti, että IT-ulkoistuksia tehdään niin asiantuntijoiden, laitteistojen kuin tietojärjestelmien osalta. Tietoturvavaatimukset tulisi määritellä aina hankinnan kohteen pohjalta, eikä tyytyä vakiosisältöisiin sopimusliitteisiin. Tutkimuksen tuloksena syntyi ylätason kuvaus hankinnan tietoturvallisuudenhallintamallista (Information Security Management System, ISMS), joka huomioi myös tiedonhallintamallin vaatimukset tietoturvallisuustoimenpiteiden kuvaamisesta. Malli antaa myös esimerkkejä, miten olemassa olevia vaatimuslähteitä voidaan hyödyntää tiedonhallintalain vaatimien kuvausten määrittelyssä.

This thesis discusses of the requirements of Act on Information Management in Public Administration (Tiedonhallintalaki) and information security management in the context of IT outsourcing. According to section 5 of the Act an authority shall maintain an information management model which defines and describes the information management including information security in its operating environment. IT outsourcing has become more and more popular in Public organizations, but authorities cannot outsource their responsibilities to supervise the outsourced IT functions. Information security requirements engineering is the function to manage the information security level of the acquisition. This qualitative research utilized content analysis methodology and explored 20 IT outsourcing cases through their tender documents and information security requirements. Goal of the research was to provide understanding on the relations between the Act on Information Management in Public Administration, information security management and information security requirements in the context of IT outsourcing. Another interest was to find out which IT functions truly are outsourced by Finnish authorities. The material showed that outsourcing cases may include anything between workforce (consultants), information systems (software) and infrastructure (datacenter services, hardware). Information security requirements should always be based on the object of the acquisition instead of constant agreement templates. A metamodel of Information Security Management System (ISMS) in IT outsourcing was formed according to the results of the content analysis. The model includes the requirements of the section 5 of the Act on Information Management in Public Administration. Also examples of the relations and applicability between ISO 27001 requirements, VAHTI requirements and the information management model are given.