Upload
valtiokonttori-statskontoret-state-treasury-of-finland
View
851
Download
2
Embed Size (px)
DESCRIPTION
Mikko Eräkasken esitys "SÄHKE2 - normi ja siihen liittyvät auditoinnit" Valtion IT-palvelukeskuksen Tietoturvallisuuden kevätseminaarissa 20.3.2013.
Citation preview
SÄHKE2-normi ja siihen liittyvät auditoinnit
Valtion IT-palvelukeskuksen tietoturvallisuuden kevätseminaari 20.3.2013 Mikko Eräkaski, kehittämispäällikkö Kansallisarkisto
• Miten varmistetaan lainsäädännön vaatimusten täyttyminen toiminnassa?
• Miten turvataan sähköisen tietopääoman säilyminen ja tarpeettoman tiedon hävittäminen?
• Miten tuetaan organisaatioiden välistä sähköistä asiakirjojen siirtoa ja käyttöä?
• Miten varmistetaan sähköisessä muodossa olevan tiedon säilyminen riittävän kauan?
• Miten varmistetaan, että informaatio on käytettävissä? Miten varmistetaan tietojen todistusvoimaisuus?
Tiedonhallinnan haasteita
Arkistolaitoksen SÄHKE2-normi
• Tavoitteena tiedon koko elinkaaren hallinta sen syntyvaiheista lähtien
• … ja tietojen säilyttäminen yksinomaan sähköisessä muodossa
• SÄHKE-normeissa kuvattu toimintatapa tukee: – Luotettavaa sähköistä käsittelyä
– Tiedon käytettävyyttä ja uudelleenkäyttöä
– Sähköistä säilyttämistä
• yhtenäistää asiakirjallisen tiedon käsittelyä ja tietorakenteita koko julkishallinnossa
SÄHKE2 taustaa
• Lainsäädännöllinen tausta – Arkistolaki (831/1994)
– Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003)
• Normin vaatimukset sitovia pysyvästi säilytettävien tietojen säilyttämiselle yksinomaan sähköisessä muodossa.
• Huomioitu mm. Julkisuuslain (621/1999) ja Henkilötietolain (523/1999) vaatimukset
• Huomioitu myös useita alan kansainvälisiä standardeja, mm. SFS-ISO 23081-1 ja 2, SFS-ISO 15489-1, SFS-ISO 5914, MoReq2
SÄHKE2-vaatimukset
• Asiakirjojen metatiedoille – Metatiedot ja niiden arvojoukot – Metatietojen tuottamisen periaatteet – Yhtenäinen tietomalli
• Tietojärjestelmälle – Asiakirjatiedon käsittelyyn liittyvät ominaisuudet
• Asiakirjatietojen hallintaan – Luotettavuus, todistusvoimaisuus
• SÄHKE2 ei ota kantaa: – Teknologioihin, järjestelmäarkkitehtuuriin,
varmistuksiin, lokeihin tms.
SÄHKE2-metatiedot:
• Pakollisia metatietoja – Tehtäväluokka – Toimenpiteen tyyppi – Toimenpiteen aikamääreet – Asiakirjan tyyppi – Asiakirjan aikamääreet – Henkilötietoluonne – Säilytysaika (pituus, peruste) – Julkisuusluokka (salassapitoaika, peruste) – Suojaustaso – Turvallisuusluokka
Sähköisen säilyttämisen lupa
• Julkishallinnon organisaation tulee hakea arkistolaitokselta lupaa, kun se aikoo säilyttää asiakirjatietoja pysyvästi yksinomaan sähköisessä muodossa.
• Sähköisen säilyttämisen lupaprosessissa todennetaan, että organisaation tietojärjestelmä täyttää arkistolaitoksen SÄHKE2-normin vaatimukset.
• Lupaprosessi perustuu arkistolain (831/1994) 11 §:ään.
Miksi lupa? • Tukea organisaatioiden siirtymistä paperimaailman
käytänteistä sähköiseen toimintaympäristöön – Vaatimuksia, ohjeita, auditointeja
• Lupaprosessilla varmistetaan, että organisaation – asiakirjatiedoille tuotetut metatiedot ovat oikeanlaisia
– tietojärjestelmän toiminnallisuudet vastaavat SÄHKE-normien vaatimuksia
– tietojärjestelmässä on toimiva siirtotoiminnallisuus arkistolaitoksen VAPA-palveluun (valtionhallinnon organisaatiot).
• Lupaprosessia on uudistettu 1.3.2013 alkaen – Painopistettä siirretty ulkopuolisista auditoinneista itsearviointina
tapahtuvaan kypsyyden arviointiin.
Siirtotiedoston tekninen testaus (valtionhallinnon organisaatioille)
SÄHKE2-sovellusauditointi (jos tietojärjestelmä ei ole sertifioitu)
Arkistolaitoksen katselmointi
Sähköisen säilyttämisen lupa
Sähköisen säilyttämisen lupaprosessi
SÄHKE2-auditoinnit
• Lupa edellyttää, että tietojärjestelmän on todettu täyttävän SÄHKE2-normin vaatimukset
• Käytännössä todennetaan: – Tietojärjestelmätuotteen SÄHKE2-sertifiointi TAI
– Julkisenhallinnon organisaation käyttämän tietojärjestelmän SÄHKE2-auditointi
• SÄHKE2-auditointeja tekevät tilataan Valtion IT-palvelukeskuksen auditoijat
• Valtionhallinnon organisaatioille SÄHKE2-auditoinnit ovat kiinteähintaiset ja ne tilataan Valtion IT-palvelukeskuksen kautta.
SÄHKE2-auditointi
• Sovellusauditointi keskittyy SÄHKE2-normissa esitettyjen tietojärjestelmältä vaadittavien ominaisuuksien todentamiseen.
• Auditoijan suorittaman auditointityön laajuus on 4 htp. (valtionhallinnon kiinteähintainen paketti).
• Auditointikriteerit jakaantuvat: – eAMS-tiedonohjaus
– Metatietojen tuottaminen
– Metatietojen muokkaaminen ja hallinnointi
– Asiakirjallisen tiedon käsittelyprosessi
– Asiakirjatiedon käsittelyvaatimukset
Kiitos! [email protected]