Kunnanhallitus
Pöytäkirja 25.04.2022/Pykälä 154

Kunnanhallitus 25.04.2022 § 154  

170/03.00/2022 [Kommentointipyyntö: Tiedonhallintalautakunnan suositus julkisen hallinnon tietoturvallisuuden arviointikriteeristöstä (Julkri), kommentointipyyntö]               

Tiedonhallintalautakunnan suositus julkisen hallinnon tietoturvallisuuden arviointikriteeristöstä (Julkri), kommentointipyyntö, Lausuntopyynnön diaarinumero: VN/10182/2022

Johdanto

Tiedonhallintalautakunnan tehtävänä on edistää tiedonhallintalaissa säädettyjen tiedonhallinnan ja tietoturvallisuuden menettelytapojen ja tiedonhallintalain vaatimusten toteuttamista. Tiedonhallintalautakunta ei ole tiedonhallinnan yleisviranomainen, vaan sen tehtävät liittyvät tiedonhallintalakiin. Tiedonhallintalautakunnan asettamat jaostot laativat ja ylläpitävät tiedonhallintalaissa säädettyjen vaatimusten toteuttamista koskevia suosituksia. Tiedonhallintalautakunnan suositukset eivät ole velvoittavia tai sitovia, vaan niissä ohjataan tiedonhallintayksikköjä ja viranomaisia toteuttamaan hyviin käytäntöihin pohjautuen tiedonhallintalaissa säädetyt vaatimukset. Tiedonhallintalautakunta on asettanut tietoturvallisuusjaoston 31.12.2022 saakka.

Tausta

Julkisen hallinnon tiedonhallinnasta annetussa laissa (906/2019) on säädetty tietoturvallisuustoimenpiteisiin liittyviä vastuita julkisen hallinnon tiedonhallintayksiköille ja viranomaisille sekä yksityisille henkilöille ja yhteisöille taikka muille kuin viranomaisena toimiville julkisoikeudellisille yhteisöille, siltä osin kuin ne hoitavat julkista hallintotehtävää. Lisäksi laissa säädetään tietoturvallisuustoimenpiteiden vähimmäistasosta ja tiedonhallintayksikön velvollisuudesta tunnistaa olennaiset tietojenkäsittelyyn kohdistuvat riskit ja mitoittaa tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti.

Arviointikriteeristön tavoitteena on tukea julkishallinnon tietoturvallisuuden kehittämistä ja arviointia. Sitä voidaan käyttää apuna arvioitaessa tiedonhallintalaissa, turvallisuusluokitteluasetuksessa sekä osin myös tietosuoja-asetuksessa säädettyjen tietoturvallisuutta koskevien vaatimusten täyttymistä.

Kriteerit on ryhmitelty seuraaviin viiteen osa-alueeseen:

* hallinnollinen turvallisuus (HAL),

* fyysinen turvallisuus (FYY),

* tekninen turvallisuus (TEK),

* varautuminen ja jatkuvuudenhallinta (VAR),

* tietosuoja (TSU).

Tiedonhallintalautakunnan tietoturvallisuusjaosto on tehnyt suositusluonnoksen yhteistyössä Tietosuojavaltuutetun toimiston kanssa.

Tavoitteet

Julkrin käyttö tukee organisaatioita tietoturvallisuuden ja henkilötietojen suojaamisen suunnittelussa, toteuttamisessa ja arvioinnissa. Sitä voi hyödyntää lainmukaisuuden arvioinnissa ja osana tietosuoja-asetuksen mukaista osoitusvelvollisuutta. Tavoitteena on myös, että kriteeristö tukee organisaation riskilähtöistä turvallisuusjohtamista.

Linkit

https://www.finlex.fi/fi/laki/ajantasa/2019/20190906 - Laki julkisen hallinnon tiedonhallinnasta (906/2019)

https://www.finlex.fi/fi/laki/ajantasa/2019/20191101 - Valtioneuvoston asetus asiakirjojen turvallisuusluokittelusta valtionhallinnossa (1101/2019)

http://tietosuoja.fi - Tietosuojavaltuutetun toimisto

Liitteet:

Julkri-suositus.pdf - Suositusluonnos

Liite 1A Julkri-kriteerit.pdf - Lista kriteereistä, ilman tietosuoja-osiota

Liite 1B Tietosuojakriteerit.pdf - Tietosuojakriteerit

Liite 2 Julkri-työkalu.xlsx - Kriteeristötyökalu

Liite 3 Julkri-työkalun käyttöohje.pdf - Työkalun käyttöohje

Liite 4 Termistö.pdf - Suosituksessa käytetyt termit

Tiedonhallintalautakunnan tietoturvallisuusjaosto pyytää kommentteja ja huomioita liitteenä olevasta suositusluonnoksesta, kriteeristöstä ja siihen liittyvästä työkalusta 19.4.2022 saakka.

Tohmajärven kunnan lausunto on esityslistan liitteenä. 

Asian valmistelija

 tiedonhallinnan asiantuntija

Esittelijä

 vt. kunnanjohtaja

Päätösehdotus

 Saatetaan kunnanhallitukselle tiedoksi Tohmajärven kunnan lausunto.

Päätös

 Saatettiin kunnanhallitukselle tiedoksi.

 ________