Tietoturvallisuuden hallinta kunnissa - prosessi ja sen vaiheet

Abstract

Tutkimuksessa tarkastellaan pienten ja keskisuurten kuntien tietoturvallisuuden hallintaprosessia sekä tiedonhallintalain vaatimuksia. Tutkimuksen tavoitteena oli selvittää pienten ja keskisuurten kuntien tietoturvallisuuden hallinnan taso ja siihen vaikuttavat tekijät. Tämän pohjalta tutkimuksessa rakennettiin ISO27001:n pohjautuva malli tietoturvallisuuden hallintaprosessista kunnille. Esiteltävä malli on yhdenmukaistava ja kokoava, joka toimii pohjana organisaatiokohtaisen mallin kehittämiselle. Tutkimus toteutettiin kirjallisuuskatsauksena ja teemahaastatteluna. Tutkimuksen viitekehyksenä toimi ISO27001- standardi. Kirjallisuuskatsauksessa pureuduttiin tietoturvallisuuden hallintaprosessiin ja sen vaiheisiin. Kirjallisuuskatsauksen aineistoa kerättiin tutkimukseen kansallisesta lainsäädännöstä ja ohjeista sekä kansainvälisistä ohjeista ja standardeista. Teemahaastattelut toteutettiin kolmen eri kunnan tietoturvaan perehtyneen henkilön haastatteluna. Haastatteluilla pyrittiin saamaan kattava kuvaus tietoturvallisuuden hallinnasta ja tiedonhallintalain toteutumisesta pienissä ja keskisuurissa kunnissa. Tutkimuksen perusteella tietoturvallisuuden hallinta ja siihen vaikuttavat tekijät vaihtelivat kunnittain. Tietoturvallisuuden hallintaa ei kaikilta osin ollut toteutettu kunnissa kokonaisuutena vaan yksittäisinä toimenpiteinä. Tutkimuksen perusteella kuntien tietoturvallisuuden hallintaan vaikuttivat osaltaan käytettävissä olevat resurssit sekä ohjauksen hajanaisuus. Tiedonhallintalain vaatimuksien osalta tutkimukseen osallistuneet kunnat olivat tehneet toimenpiteitä, mutta kokonaisuudessaan vaatimuksiin ei ollut päästy. Tiedonhallintalain vaatimuksien täyttämiseksi tutkimukseen osallistuneet henkilöt toivoivat ohjausta ja yhdenmukaisia toimintamalleja vaatimusten toteuttamiseksi.

This study examines the information security management process of small and medium-sized municipalities and the requirements of the Finnish data management act. The aim of the study was to find out the level of information security management in small and medium-sized municipalities and the factors that affecting it. Based on this, the research built a model of the information security management process for municipalities based on ISO27001. The presented model is harmonizing and collecting, which serves as a basis for the development of an organization-specific model. The research was carried out as a literature review and thematic interview. The ISO27001 served as the research framework. The literature review discussed the information security management process and its stages. The material of the literature review was collected from national legislation and guidelines as well as international guidelines and standards. Thematic interviews were carried out as an interview with three people familiar with information security in different municipalities. The interview aimed to get a comprehensive description of information security management and the implementation of the Finnish data management act in small and medium-sized municipalities. Based on the research, information security management and the factors affecting it varied by municipality. Information security management had not been implemented in all aspects in the municipalities as a whole, but as individual measures. Based on research, the municipalities’ information security management was partly influenced by the available resources and the fragmentation of control. Regarding the requirements of the Finnish data management act, the municipalities that participated in the study had taken measures, but the requirements has not been fully met. In order to meet the requirements of the data management act, the people who participated in the study wanted guidance and uniform operating models to implement the requirements.