Organisaation hyvä tietoturvan sääntelyjärjestelmä
Andersson, Jenna (2024-09-26)
Andersson, Jenna
Vaasan yliopisto
26.09.2024
Julkaisun pysyvä osoite on
https://urn.fi/URN:ISBN:978-952-395-150-1
https://urn.fi/URN:ISBN:978-952-395-150-1
Kuvaus
vertaisarvioitu
Tiivistelmä
Tietoturvallisuuden merkitys on kasvanut teknologian kehittymisen, digitalisoitumisen ja globalisaation myötä. Kybertoimintaympäristöömme kohdistuu uhkia, joilla on merkittäviä vaikutuksia organisaatioiden toimintaan, yhteiskunnan toimivuuteen ja yksilöiden oikeuksiin. Nykyisessä, järjestelmäriippuvaisessa verkkoyhteiskunnassa tulee olla sellainen organisaatioiden tietoturvan sääntelyjärjestelmä, joka suojaa tehokkaasti yksilöiden henkilötietoja ja muita oikeuksia sekä organisaatioiden luottamuksellisia tietoja ja jatkuvuutta. Tässä tutkimuksessa muodostetaan ja määritellään voimassa olevan lainsäädännön nojalla organisaatioiden hyvä tietoturvan sääntelyjärjestelmä. Tutkimuksessa kootaan yhteen ja systematisoidaan lukuisat organisaatioiden tietoturvaa koskevat säännökset, joita arvioidaan organisaatioiden hyviä tietoturvakäytänteitä ja käytännesääntöjä vasten. Näin tutkimuksessa esitetään lainsäädännön hyvän tietoturvatavan muodostama kokonaisuus. Tutkimustehtävän toteuttaminen edellyttää nykyisen tietoturvan sääntelyjärjestelmän sisällön ja tehokkuuden sekä yleisen tietoturvalain säätämistarpeen arviointia. Tutkimuksessa esitetään kaksi tutkimuskysymystä: 1) onko nykyinen organisaatioiden tietoturvan sääntelyjärjestelmä hyvä ja 2) onko Suomessa tarpeen kansallinen tietoturvalaki? Tässä oikeusdogmaattisessa tutkimuksessa on myös ongelmakeskeisen lainopin ja de lege ferenda -tutkimuksen piirteitä. Tutkimus on sekä säännöstutkimusta että lainsäädäntötukimusta.
Tutkimuksessa tunnistetaan elementtejä organisaatioiden hyvälle tietoturvan sääntelyjärjestelmälle, joita käytetään kriteereinä tutkimuskysymyksiin vastatessa. Näitä ovat: teknologianeutraalisuus, proaktiivisuus, hyvien käytänteiden huomioiminen, kohtuullisuus ja oikeudenmukaisuus, tavoitettavuus ja ymmärrettävyys, johdonmukaisuus ja yhtenäisyys sekä yksilöiden ja perusoikeuksien huomioiminen. Tutkimuksen eräs havainto on se, että nykyinen organisaatioiden tietoturvan sääntelyjärjestelmä ei ole hyvä näiden kriteerien valossa. Hajanainen sääntely johtaa epäjohdonmukaiseen ja epäyhtenäiseen sääntelyyn sekä vaikeuttaa tietoturvasäännöksien tavoitettavuutta ja ymmärrettävyyttä. Organisaatioita koskevien tietoturvasäännöksien ja hyvien tietoturvakäytänteiden välillä on myös eroavaisuuksia. Tutkimuksen perusteella kansallinen tietoturvalaki on tarpeen, sillä tällöin tietoturvan sääntelyjärjestelmä suojaa paremmin organisaatioiden luottamuksellisia tietoja, yksilöiden oikeuksia sekä toimii proaktiivisemmin alati muuttuvassa yhteiskunnassamme.
Tutkimuksessa tunnistetaan elementtejä organisaatioiden hyvälle tietoturvan sääntelyjärjestelmälle, joita käytetään kriteereinä tutkimuskysymyksiin vastatessa. Näitä ovat: teknologianeutraalisuus, proaktiivisuus, hyvien käytänteiden huomioiminen, kohtuullisuus ja oikeudenmukaisuus, tavoitettavuus ja ymmärrettävyys, johdonmukaisuus ja yhtenäisyys sekä yksilöiden ja perusoikeuksien huomioiminen. Tutkimuksen eräs havainto on se, että nykyinen organisaatioiden tietoturvan sääntelyjärjestelmä ei ole hyvä näiden kriteerien valossa. Hajanainen sääntely johtaa epäjohdonmukaiseen ja epäyhtenäiseen sääntelyyn sekä vaikeuttaa tietoturvasäännöksien tavoitettavuutta ja ymmärrettävyyttä. Organisaatioita koskevien tietoturvasäännöksien ja hyvien tietoturvakäytänteiden välillä on myös eroavaisuuksia. Tutkimuksen perusteella kansallinen tietoturvalaki on tarpeen, sillä tällöin tietoturvan sääntelyjärjestelmä suojaa paremmin organisaatioiden luottamuksellisia tietoja, yksilöiden oikeuksia sekä toimii proaktiivisemmin alati muuttuvassa yhteiskunnassamme.
Kokoelmat
- Väitöskirjat [500]