Tietoturvallisuusvaatimusten määrittely on yksi keskeisimmistä vaiheista hankinnan turvallisuuden varmistamisessa. Tietoturvallisuusvaatimukset tulee määritellä riskilähtöisesti riittävän tiukoiksi välttäen tarpeettoman korkeita vaatimuksia ja niihin liittyviä ylimääräisiä kustannuksia. Tiedonhallintalautakunta on julkaissut julkishallinnon käyttöön suosituksen koskien hankintojen tietoturvallisuusvaatimuksia. Suositus ei sisällä yleisiä hankintoihin liittyviä vaatimuksia, vaan näkökulma on tietoturvallisuus ja miten se tulee huomioida hankinnan kohteen vaatimuksissa ja miten tietoturvallisuuden säilymisestä huolehditaan koko hankinnan elinkaaren ajan. 

Suosituksen sisältyvien liitteiden avulla on mahdollista muodostaa tietoturvallisuusvaatimukset toimittajille, esimerkiksi osana hankintadokumentaatiota. Suositus sisältää pääsopimukseen kirjattavat asiat sekä liitteinä suppeat ja laajat tietoturvallisuusvaatimukset, hankintaehtotyökalun yksityiskohtaisempien tietoturvallisuusvaatimusten määrittelyyn ja erillisenä VAHTI-toiminnassa julkaistut tietosuojaliitteet.  

Kenelle suositus on tarkoitettu 

Suositus on tarkoitettu viranomaisille ja erityisesti hankintayksiköille tietojärjestelmien ja soveltuvin osin muiden palveluiden hankintoihin liittyvien tietoturvallisuusvaatimusten määrittelyyn sekä niiden täyttymisen varmistamiseen. Myös toimittajia suositellaan perehtymään suositukseen. 

Tietoturvallisuuden varmistamisen prosessi 

Suosituksessa on kuvattu tietoturvallisuuden varmistamisen prosessi. Se sisältää ne vaiheet, joiden avulla voi suunnitella ja varmistaa hankinnan tietoturvallisuuden sekä huolehtia, että tietoturvallisuus säilyy koko hankinnan elinkaaren ajan.  Valmistelu- ja määrittelyvaiheessa korostuu lähtökohtien tunnistaminen, tarvittavien osaamisten ja resurssien varaaminen sekä vaatimusten määrittely. Toteutus- ja varmistusvaiheessa tulee huolehtia vaatimusten täyttymisestä, johdon hyväksynnästä sekä käyttöönotosta. Käyttöönotto tulee suunnitella huolellisesti varsinkin suurissa ja kriittisissä hankinnoissa. Lopuksi on tärkeä huolehtia muutostenhallinnasta, joka pitää sisällään ylläpidon ja palvelun käytön päättämiseen liittyviä näkökulmia.  

Suositukseen sisältyvät liitteet ja niiden käyttötarkoitukset 

Pääsopimuksessa olisi hyvä huomioida, että seuraavat tietoturvallisuusnäkökulman asiat ovat mukana:  

• Oikeus tarkastaa kohteen kannalta riittävät tietoturvallisuusjärjestelyt 
• Tietoturvallisuuden vastuuhenkilöt yhteystiedoissa 
• Sopimuksen ja liitteiden soveltamisjärjestyksen huomiointi (erityisesti tietoturva- ja tietosuojaliitteet) 
• Riittävät sakko- ja vahingonkorvauslausekkeet (myös tietoturvallisuus- ja tietosuojavaatimuksiin liittyvissä poikkeamissa) 
• Millainen purku- tai välittömän irtisanomisen ehto liittyy tietoturvallisuusliitteen velvoitteiden rikkomiseen 

• Tietojen sijainti tai käsittely Suomessa tai ETA-alueella 
• Mahdollisten yrityskauppatilanteiden huomiointi 

Suppeita tietoturvallisuusvaatimuksia voi käyttää osana sellaisia hankintoja, joissa käsitellään vain julkista tietoa ja tiedon eheyteen sekä saatavuuteen ei kohdistu normaalia korkeampia vaatimuksia. Näitä vaatimuksia voidaan käyttää myös tilanteissa, joissa käsitellään vain vähäisessä määrin muita kuin julkisia tietoja ja joiden paljastumisen aiheuttama vahinko on vähäinen.  

Laajat tietoturvallisuusvaatimukset -liite 

Laajoja tietoturvallisuusvaatimuksia suositellaan käyttämään hankintoihin, joissa käsitellään salassa pidettäviä tietoja, turvallisuusluokiteltuja tietoja tai henkilötietoja. Lisäksi liite on tarkoitettu käytettäväksi sellaisissa tilanteissa, joissa palvelujen eheyteen tai saatavuuteen kohdistuu normaalia korkeampia vaatimuksia. Liitettä suositellaan käytettäväksi yhdessä hankintaehtotyökalun avulla muodostettavien osa-aluekohtaisten liitteiden sekä tietosuojaliitteiden kanssa.  

Hankintaehtotyökalu – liite 

Laajan tietoturvallisuusvaatimusliitteen kanssa suositellaan käyttämään Excel-pohjaista hankintaehtotyökalua.  Työkalu helpottaa riskilähtöistä vaatimusten määrittelyä. Se pohjautuu Julkisen hallinnon tietoturvallisuuden arviointikriteeristöön, Julkriin. Julkrin arviointikriteerit on muokattu toimittajaa koskeviksi vaatimuskriteereiksi. Vaatimukset voidaan muodostaa eri osa-alueille, joita ovat hallinnollinen, fyysinen ja tekninen turvallisuus sekä varautuminen ja jatkuvuudenhallinta. Hankintayksikkö voi täsmentää ennalta määriteltyjä vaatimuksia sekä määritellä lisävaatimuksia.  

Tietosuojaliitteet 

Myös henkilötietojen käsittely on huomioitava hankinnan tietoturvallisuusvaatimusten määrittelyssä. Henkilötietojen käsittelyyn liittyvät vaatimukset voi huomioida hankintaehtotyökalun esiehdoissa valitsemalla, että kohde sisältää henkilötietoja tai erityisiin henkilötietoryhmiin kuuluvia tietoja. Esiehtojen valinnalla hankintaehtotyökalu huomioi henkilötietoihin kohdistuvat tietoturvavaatimukset osana vaatimusmäärittelyä.  

Lisäksi VAHTI-toiminnassa on julkaisu erilliset tietosuojaliite ja henkilötietojen käsittelytoimien kuvaus.  Liitteet löytyvät Digi- ja väestötietoviraston Digiturvajulkaisut sivustolla kohdassa Työkalut ja mallipohjat. Tietosuojaliite on tarkoitettu malliasiakirjaksi hankintoihin, joissa toimittaja tulee käsittelemään tilaajan henkilötietoja tilaajan lukuun. Henkilötietojen käsittelytoimien kuvaus on tarkoitettu malliasiakirjaksi, siihen mitä tilaajan (rekisterinpitäjän) henkilötietoja toimittaja (käsittelijä) tai sen alihankkija käsittelee tuottaessaan sopimuksen mukaista palvelua. 

Loppusanat 

Suositusta ja siihen liittyviä liitteitä työsti lukuisa määrä tietoturvallisuuden, tietosuojan ja hankinnan asiantuntijoita mukaan lukien Hansel ja Valtori. Tietoturvallisuusjaoston puheenjohtaja, tiedonhallintalautakunnan sihteeri Mika Kuronen valtiovarainministeriöstä johti suositusvalmistelua.  

Tiedonhallintakunta hyväksyi suosituksen ja se julkaistiin 4.8.2023. Suosituksen ja sen liitteet löytyvät: http://urn.fi/URN:ISBN:978-952-367-645-9 

Toivomme ja uskomme, että nämä suositus ja siihen liittyvät liitteet helpottavat hankintayksiköiden työtä tietoturvallisuusvaatimusten määrittelyssä. Julkisen hallinnon käyttäessä samoja vaatimusmäärittelyitä myös toimittajien vaatimusmäärittelyihin vastaaminen yhdenmukaistuu ja helpottuu.  Aina on mahdollista myös kehittää tehtyä työtä. Näitä toiveita ja käyttökokemuksia voi lähettää Tiedonhallintalautakunnalle (tiedonhallintalautakunta[at]gov.fi). Suositus käännetään myös ruotsin kielelle. Kaikki versiot tulevat Tiedonhallintalautakunnan sivuille. https://vm.fi/tiedonhallintalautakunta  

Olethan huomannut, että eOppivassa on julkaistu kaikille avoin koulutus Julkrista sekä salassa pidettävien tietojen käsittelystä ja suojaamisesta   

Pääkuva: Midjourney

Artikkelin kirjoittaja Tuula Seppo on KTM, YTM, johtava asiantuntija, tietoturvallisuusjaoston sihteeri Digi- ja väestötietovirastosta.  

Artikkeli on ensimmäistä kertaa julkaistu Sytyke -lehdessä.
Lisätietoja www.sytyke.org