Tietoturvallisuuden henkilöriskien hallinta
Säilä, Kaisu (2002)
Kuvaus
Kokotekstiversiota ei ole saatavissa.
Tiivistelmä
Tässä tutkielmassa pohditaan henkilötietoturvan osuutta organisaation tietoturvasta, johdon sitoutumista tietoturvaan sekä henkilötietoturvan hallinnan organisointia. Koska tietotekniikka kuuluu lähes jokaisen organisaation toimintaan ja yhä useampi organisaatio on riippuvainen tietotekniikasta, pohditaan sitä miten organisaation jatkuvuus voidaan turvata henkilötietoturvallisuuden menetelmin.
Tietoturvan on todettu olevan 80 prosenttisesti psykologiaa ja vain 20 prosenttia tekniikkaa. Ihminen tietotekniikan käyttäjänä ja tietoturvallisuuden varmistajana on myös todettu tietoturvan merkittävimmäksi, mutta samalla epävarmimmaksi tekijäksi.
Aiheeseen liittyvää aineistoa löytyy runsaasti. Juuri julkaistujen teosten määrästä päätellen aihe on myös hyvin ajankohtainen. Tässä tutkielmassa tehdään katsaus kirjallisuuteen ja muihin tietoturvaa käsitteleviin julkaisuihin ja pyritään kokoamaan yhteen henkilötietoturvaan liittyvät seikat.
Henkilötietoturva on kaikkea muuta kuin tekniikkaa. Siksi henkilötietoturvan toteutukset painottuvat suurelta osin ennalta ehkäisevään toimintaan. Johdon on sitouduttava antamiinsa ohjeisiin ja riskienhallinnan menetelmin kartoitettava tietoturvallisuuden henkilöriskit ja analysoitava niiden vaikuttavuus oikeiden tietoturvallisuuskontrollien valitsemiseksi. Vastuunsa mukaisesti johdon on myös huolehdittava tietoturvatoteutusten organisoinnista sekä riittävän valvonnan järjestämisestä sekä siitä, että jokainen työntekijä hallitsee tarpeelliset tietoturvatoimet ja on myös sitoutunut niiden noudattamiseen.
Henkilötietoturvallisuudella pyritään organisaation toiminnan jatkuvuuden turvaamiseen henkilöstön toiminnalla: osaamisella, oikeilla asenteilla. Tärkeimmät toimenpiteet hyvän lopputuloksen aikaansaamiseksi ovat tietoturva-asiakirjojen laatiminen ja niiden tiedoksi saattaminen, johdon sitoutuminen, otollinen työskentelyilmapiiri, koulutus ja tiedottaminen, toimenkuvat, rajatut käyttöoikeudet ja varahenkilöjärjestelyt, rekrytoinnin ja irtisanoutumisen toimenpiteet, valvonta ja rikkeiden seuraamusmenettelyt.
Tietoturvan on todettu olevan 80 prosenttisesti psykologiaa ja vain 20 prosenttia tekniikkaa. Ihminen tietotekniikan käyttäjänä ja tietoturvallisuuden varmistajana on myös todettu tietoturvan merkittävimmäksi, mutta samalla epävarmimmaksi tekijäksi.
Aiheeseen liittyvää aineistoa löytyy runsaasti. Juuri julkaistujen teosten määrästä päätellen aihe on myös hyvin ajankohtainen. Tässä tutkielmassa tehdään katsaus kirjallisuuteen ja muihin tietoturvaa käsitteleviin julkaisuihin ja pyritään kokoamaan yhteen henkilötietoturvaan liittyvät seikat.
Henkilötietoturva on kaikkea muuta kuin tekniikkaa. Siksi henkilötietoturvan toteutukset painottuvat suurelta osin ennalta ehkäisevään toimintaan. Johdon on sitouduttava antamiinsa ohjeisiin ja riskienhallinnan menetelmin kartoitettava tietoturvallisuuden henkilöriskit ja analysoitava niiden vaikuttavuus oikeiden tietoturvallisuuskontrollien valitsemiseksi. Vastuunsa mukaisesti johdon on myös huolehdittava tietoturvatoteutusten organisoinnista sekä riittävän valvonnan järjestämisestä sekä siitä, että jokainen työntekijä hallitsee tarpeelliset tietoturvatoimet ja on myös sitoutunut niiden noudattamiseen.
Henkilötietoturvallisuudella pyritään organisaation toiminnan jatkuvuuden turvaamiseen henkilöstön toiminnalla: osaamisella, oikeilla asenteilla. Tärkeimmät toimenpiteet hyvän lopputuloksen aikaansaamiseksi ovat tietoturva-asiakirjojen laatiminen ja niiden tiedoksi saattaminen, johdon sitoutuminen, otollinen työskentelyilmapiiri, koulutus ja tiedottaminen, toimenkuvat, rajatut käyttöoikeudet ja varahenkilöjärjestelyt, rekrytoinnin ja irtisanoutumisen toimenpiteet, valvonta ja rikkeiden seuraamusmenettelyt.