Tietoturvapolitiikka on erinomainen johtamisväline, mikäli sitä osataan soveltaa oikein. Valitettavan usein vieraillessani asiakasyrityksissämme olen todennut, että tietoturvapolitiikkaa ei ole tai sen olemassaoloa ei tunnisteta. Useimmissa tapauksissa olen löytänyt tietoturvapolitiikan luonnoksen tietohallintopäällikön pöytälaatikosta. Versionumerointi on jäänyt 0.x –tasolle. Työ on jäänyt kesken, koska tärkeämpiäkin tehtäviä on ollut.
Tietoturvapolitiikka on johdon kannanotto yrityksen tietoturva-asioihin
Tietoturvapolitiikka on yritysjohdon hyväksymä näkemys johtamansa yrityksen tietoturvan päämääristä, periaatteista, vastuista ja toteutuksesta.Yrityksen johto hyväksyy tietohallintopäällikön johtaman asiantuntijatyöryhmän kirjoittaman tietoturvapolitiikan. Kyseessä on yritysjohdon selkeä kannanotto yrityksen tietoturvallisuudesta osana yrityksen toiminnan jatkuvuutta.
Tietoturvapolitiikan sisältö
Tietoturvapolitiikassa todetaan tietoturvan tavoitteet, kohteet ja periaatteet sekä määritellään vastuut. Yrityksen tietoturvapolitiikassa on myös huomioitava lakien ja sopimusten asettamat vaatimukset yrityksen toiminnalle.
Tietoturvastandardissa todetaan: Tietoturvapolitiikan määrittelyasiakirjan tulee olla johdon hyväksymä, se tulee julkaista ja siitä tulee tiedottaa tarkoituksenmukaisesti kaikille työntekijöille. Siitä tulee ilmetä johdon sitoutuminen tietoturvallisuuteen sekä näkemys tietoturvallisuuden hallinnasta.
Standardin mukaan tietoturvapolitiikka sisältää ainakin seuraavat asiakokonaisuudet:
Yrityksen tietoturvapolitiikka määrittelee tietoturvallisuuden perusvaatimukset ja antaa siten lähtökohdat tietoturvan suunnittelemiseksi ja toteuttamiseksi.
Miten edetään?
Määritellään vaatimukset yrityksen tietoturvalle. Kirjoitetaan yrityksen tietoturvapolitiikka, jonka sisältö on oltava tiivistä ja selkeää suomenkieltä. Yleensä n. 5 sivun tietoturvapolitiikka on riittävän kattava. Liian pitkä ja vaikeasti ymmärrettävä dokumentti ei saavuta lukijakuntaansa.
Tietoturvapolitiikka esitellään yrityksen johdolle siten, että yrityksen johto ymmärtää asiasisällön ja voi hyväksyä sen. Hyväksynnän jälkeen tietoturvapolitiikka julkaistaan ja viestitään ymmärrettävästi koko yrityksen henkilöstölle ja sidosryhmille. Yrityksen johto voi antaa tietoturvapolitiikalle ”kasvot”, joka takaa tietoturvan painoarvon yrityksen toiminnan jatkuvuudelle. Tietoturvapolitiikka kannattaa julkaista osana yrityksen intranet-sivustoja.
Hyvin yleisenä käytäntönä on liittää tietoturvapolitiikan sisältöön tutustuminen esim. rekrytointiin tai soveltuviin HR-prosesseihin. Käyttäjätunnusten ja käyttöoikeuksien luovutuksen yhteydessä tietojärjestelmien käyttäjän on ymmärrettävä tietoturvapolitiikan sisältö ja tarvittaessa se myös allekirjoituksella varmistettava.
Lopuksi
Hyväksytty tietoturvapolitiikka toimii vankkana perustana kaikissa tietojenkäsittelyyn liittyvissä toimintamalleissa, teknisissä ratkaisuissa ja johtamisessa. Monia hyviäkin projekteja on pysäytetty, koska suunnitteluvaiheessa ei ole huomioitu tietoturvapolitiikan vaatimuksia. Toinen kysymys onkin, onko tietoturvapolitiikkaa ollut edes käytettävissä?
Haluatko tietää lisää Bisnesteknologiamallista ja sen soveltamisesta käytännössä? Ota yhteyttä.