• Home

  • Documents

  • Tietoturvallisuuden_kevatseminaari_2013_Mikko_Eräkaski
12
SÄHKE2-normi ja siihen liittyvät auditoinnit Valtion IT-palvelukeskuksen tietoturvallisuuden kevätseminaari 20.3.2013 Mikko Eräkaski, kehittämispäällikkö Kansallisarkisto

Tietoturvallisuuden_kevatseminaari_2013_Mikko_Eräkaski

Embed Size (px)

DESCRIPTION

Mikko Eräkasken esitys "SÄHKE2 - normi ja siihen liittyvät auditoinnit" Valtion IT-palvelukeskuksen Tietoturvallisuuden kevätseminaarissa 20.3.2013.

Citation preview

Page 1: Tietoturvallisuuden_kevatseminaari_2013_Mikko_Eräkaski

SÄHKE2-normi ja siihen liittyvät auditoinnit

Valtion IT-palvelukeskuksen tietoturvallisuuden kevätseminaari 20.3.2013 Mikko Eräkaski, kehittämispäällikkö Kansallisarkisto

Page 2: Tietoturvallisuuden_kevatseminaari_2013_Mikko_Eräkaski

• Miten varmistetaan lainsäädännön vaatimusten täyttyminen toiminnassa?

• Miten turvataan sähköisen tietopääoman säilyminen ja tarpeettoman tiedon hävittäminen?

• Miten tuetaan organisaatioiden välistä sähköistä asiakirjojen siirtoa ja käyttöä?

• Miten varmistetaan sähköisessä muodossa olevan tiedon säilyminen riittävän kauan?

• Miten varmistetaan, että informaatio on käytettävissä? Miten varmistetaan tietojen todistusvoimaisuus?

Tiedonhallinnan haasteita

Page 3: Tietoturvallisuuden_kevatseminaari_2013_Mikko_Eräkaski

Arkistolaitoksen SÄHKE2-normi

• Tavoitteena tiedon koko elinkaaren hallinta sen syntyvaiheista lähtien

• … ja tietojen säilyttäminen yksinomaan sähköisessä muodossa

• SÄHKE-normeissa kuvattu toimintatapa tukee: – Luotettavaa sähköistä käsittelyä

– Tiedon käytettävyyttä ja uudelleenkäyttöä

– Sähköistä säilyttämistä

• yhtenäistää asiakirjallisen tiedon käsittelyä ja tietorakenteita koko julkishallinnossa

Page 4: Tietoturvallisuuden_kevatseminaari_2013_Mikko_Eräkaski

SÄHKE2 taustaa

• Lainsäädännöllinen tausta – Arkistolaki (831/1994)

– Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003)

• Normin vaatimukset sitovia pysyvästi säilytettävien tietojen säilyttämiselle yksinomaan sähköisessä muodossa.

• Huomioitu mm. Julkisuuslain (621/1999) ja Henkilötietolain (523/1999) vaatimukset

• Huomioitu myös useita alan kansainvälisiä standardeja, mm. SFS-ISO 23081-1 ja 2, SFS-ISO 15489-1, SFS-ISO 5914, MoReq2

Page 5: Tietoturvallisuuden_kevatseminaari_2013_Mikko_Eräkaski

SÄHKE2-vaatimukset

• Asiakirjojen metatiedoille – Metatiedot ja niiden arvojoukot – Metatietojen tuottamisen periaatteet – Yhtenäinen tietomalli

• Tietojärjestelmälle – Asiakirjatiedon käsittelyyn liittyvät ominaisuudet

• Asiakirjatietojen hallintaan – Luotettavuus, todistusvoimaisuus

• SÄHKE2 ei ota kantaa: – Teknologioihin, järjestelmäarkkitehtuuriin,

varmistuksiin, lokeihin tms.

Page 6: Tietoturvallisuuden_kevatseminaari_2013_Mikko_Eräkaski

SÄHKE2-metatiedot:

• Pakollisia metatietoja – Tehtäväluokka – Toimenpiteen tyyppi – Toimenpiteen aikamääreet – Asiakirjan tyyppi – Asiakirjan aikamääreet – Henkilötietoluonne – Säilytysaika (pituus, peruste) – Julkisuusluokka (salassapitoaika, peruste) – Suojaustaso – Turvallisuusluokka

Page 7: Tietoturvallisuuden_kevatseminaari_2013_Mikko_Eräkaski

Sähköisen säilyttämisen lupa

• Julkishallinnon organisaation tulee hakea arkistolaitokselta lupaa, kun se aikoo säilyttää asiakirjatietoja pysyvästi yksinomaan sähköisessä muodossa.

• Sähköisen säilyttämisen lupaprosessissa todennetaan, että organisaation tietojärjestelmä täyttää arkistolaitoksen SÄHKE2-normin vaatimukset.

• Lupaprosessi perustuu arkistolain (831/1994) 11 §:ään.

Page 8: Tietoturvallisuuden_kevatseminaari_2013_Mikko_Eräkaski

Miksi lupa? • Tukea organisaatioiden siirtymistä paperimaailman

käytänteistä sähköiseen toimintaympäristöön – Vaatimuksia, ohjeita, auditointeja

• Lupaprosessilla varmistetaan, että organisaation – asiakirjatiedoille tuotetut metatiedot ovat oikeanlaisia

– tietojärjestelmän toiminnallisuudet vastaavat SÄHKE-normien vaatimuksia

– tietojärjestelmässä on toimiva siirtotoiminnallisuus arkistolaitoksen VAPA-palveluun (valtionhallinnon organisaatiot).

• Lupaprosessia on uudistettu 1.3.2013 alkaen – Painopistettä siirretty ulkopuolisista auditoinneista itsearviointina

tapahtuvaan kypsyyden arviointiin.

Page 9: Tietoturvallisuuden_kevatseminaari_2013_Mikko_Eräkaski

Siirtotiedoston tekninen testaus (valtionhallinnon organisaatioille)

SÄHKE2-sovellusauditointi (jos tietojärjestelmä ei ole sertifioitu)

Arkistolaitoksen katselmointi

Sähköisen säilyttämisen lupa

Sähköisen säilyttämisen lupaprosessi

Page 10: Tietoturvallisuuden_kevatseminaari_2013_Mikko_Eräkaski

SÄHKE2-auditoinnit

• Lupa edellyttää, että tietojärjestelmän on todettu täyttävän SÄHKE2-normin vaatimukset

• Käytännössä todennetaan: – Tietojärjestelmätuotteen SÄHKE2-sertifiointi TAI

– Julkisenhallinnon organisaation käyttämän tietojärjestelmän SÄHKE2-auditointi

• SÄHKE2-auditointeja tekevät tilataan Valtion IT-palvelukeskuksen auditoijat

• Valtionhallinnon organisaatioille SÄHKE2-auditoinnit ovat kiinteähintaiset ja ne tilataan Valtion IT-palvelukeskuksen kautta.

Page 11: Tietoturvallisuuden_kevatseminaari_2013_Mikko_Eräkaski

SÄHKE2-auditointi

• Sovellusauditointi keskittyy SÄHKE2-normissa esitettyjen tietojärjestelmältä vaadittavien ominaisuuksien todentamiseen.

• Auditoijan suorittaman auditointityön laajuus on 4 htp. (valtionhallinnon kiinteähintainen paketti).

• Auditointikriteerit jakaantuvat: – eAMS-tiedonohjaus

– Metatietojen tuottaminen

– Metatietojen muokkaaminen ja hallinnointi

– Asiakirjallisen tiedon käsittelyprosessi

– Asiakirjatiedon käsittelyvaatimukset

Page 12: Tietoturvallisuuden_kevatseminaari_2013_Mikko_Eräkaski

Kiitos! [email protected]


העצמת בני משפחה של חולי אלצהיימר

העצמת בני משפחה של חולי אלצהיימר

Documents
עבודת סיום וירולוגיה

עבודת סיום וירולוגיה

Documents
英文的金玉良言

英文的金玉良言

Documents
phone

phone

Documents
ספר התבשילים

ספר התבשילים

Documents
Γιάννης Χοντζέας - Για την ιστορία των Βαλκανίων

Γιάννης Χοντζέας - Για την ιστορία των Βαλκανίων

Documents
BIBLIOGRAFIA

BIBLIOGRAFIA

Documents
French Final - Study Sheet

French Final - Study Sheet

Documents
CLINICA DENTAL PORTUGAL

CLINICA DENTAL PORTUGAL

Documents
טבלאות פרמקולוגיה קרדיו

טבלאות פרמקולוגיה קרדיו

Documents
Gain Score in Data Analysis

Gain Score in Data Analysis

Documents
Honorários nova ponte sor

Honorários nova ponte sor

Documents
PLANTILLA PROYECTO DE INVERSION

PLANTILLA PROYECTO DE INVERSION

Documents
טבלת תרופות למערכת העצבים האוטונומית

טבלת תרופות למערכת העצבים האוטונומית

Documents
Курcовой проект по переходным процессам

Курcовой проект по переходным процессам

Documents
1학년1학기

1학년1학기

Documents
gidoi teknikoa

gidoi teknikoa

Documents
מוטיבציה בעבודה

מוטיבציה בעבודה

Documents
168名詞解釋

168名詞解釋

Documents
Minne hävisivät soneran rahat

Minne hävisivät soneran rahat

Documents
SHMEIWSEIS-MMF2

SHMEIWSEIS-MMF2

Documents
tagalog english

tagalog english

Documents
Informacia ot BD i RIOSV 12 12 2005

Informacia ot BD i RIOSV 12 12 2005

Documents
Клиентизм

Клиентизм

Documents
расписание электричек Москва-Железка

расписание электричек Москва-Железка

Documents
דילמות בערכי יהדות

דילמות בערכי יהדות

Documents
БОРБЕНИ АВИОНИ КОМПАНИЈЕ СУХОЈ

БОРБЕНИ АВИОНИ КОМПАНИЈЕ СУХОЈ

Documents
Municipios de España

Municipios de España

Documents
Šolski spis: Glista

Šolski spis: Glista

Documents
לאומיות וחברת המידע

לאומיות וחברת המידע

Documents