Tiedonhallintamalli ja tietoturvallisuudenhallintamalli IT-ulkoistuksissa

Tämä tutkielma käsittelee Julkisen hallinnon tiedonhallinnasta annetun lain (Tiedonhallintalaki) ja tietoturvallisuuden hallinnan vaatimuksia IT-ulkoistuksissa. Tiedonhallintalain 5§:ssä säädetään viranomaisen velvollisuu-desta laatia ja ylläpitää tiedonhallintamalli, jossa kuvataan viranomaisten tehtävien hoidossa toteutettava tiedonhallinta mukaan lukien tietoturvallisuuden hallinta. Julkisorganisaatiot yhä enenevässä määrin ulkoistavat IT-toimintojaan yksityisille palveluntarjoajille, mutta ulkoistettujen palvelujen osalta viranomaiselle jää aina lakisääteinen vastuu palveluntarjoajien toiminnan ohjauksesta sekä valvonnasta. Tietoturvavaatimukset ovat hankintavaiheessa keino, jolla viranomainen määrittelee palveluntarjoajalle tietoturvallisuuden tason, joka hankittavissa palveluissa on toteutettava. Laadullisessa tutkimuksessa perehdyttiin sisällönanalyysin keinoin kahdenkymmenen IT-ulkoistuksen hankinta-asiakirjoihin ja niiden sisältämiin tietoturvavaatimuksiin. Tutkimuksen tavoitteena oli ymmärtää, miten tiedonhallintalaki, tietoturvallisuuden hallinta sekä tietoturvavaatimukset liittyvät toisiinsa julkisissa hankinnoissa. Toisena tavoitteena oli saada yleinen käsitys siitä, mitä oman toimintansa IT-toimintoja viranomaiset ulkoistavat yksityisille palveluntarjoajille. Aineisto osoitti, että IT-ulkoistuksia tehdään niin asiantuntijoiden, laitteistojen kuin tietojärjestelmien osalta. Tietoturvavaatimukset tulisi määritellä aina hankinnan kohteen pohjalta, eikä tyytyä vakiosisältöisiin sopimusliitteisiin. Tutkimuksen tuloksena syntyi ylätason kuvaus hankinnan tietoturvallisuudenhallintamallista (Information Security Management System, ISMS), joka huomioi myös tiedonhallintamallin vaatimukset tietoturvallisuustoimenpiteiden kuvaamisesta. Malli antaa myös esimerkkejä, miten olemassa olevia vaatimuslähteitä voidaan hyödyntää tiedonhallintalain vaatimien kuvausten määrittelyssä.