Tietojenkäsittelykäytäntö Huoltovarmuusorganisaation toimialojen kyberturvallisuuden kypsyyden selvityksessä
Tietojenkäsittelykäytäntö Huoltovarmuusorganisaation toimialojen kyberturvallisuuden kypsyyden selvityksessä 2025.
Toimialojen kyberturvallisuuden tilannekuvan selvittämishanke tehdään Huoltovarmuusorganisaatioon (HVO) kuuluvan Digipoolin toimeksiannosta. Hankkeen tarkoituksena on kerätä trenditietoa kyberturvallisuuden kypsyydestä kriittisillä toimialoilla ja tuottaa tietoa kansallisen kyberturvallisuuteen liittyvän päätöksenteon tueksi. Hankkeen toteuttaa Accenture.
Tiedonkeruu tehdään vuoden 2025 aikana ja hanke valmistuu vuoden 2025 loppupuolella. Tulemme viestimään hankkeen valmistumisesta myöhemmin. Hankkeen ohjausryhmässä on edustajat Digipoolista, Huoltovarmuuskeskuksesta, Kyberturvallisuuskeskuksesta sekä Accenturelta. Hankkeen tiedonhallinta on määritetty ohjausryhmän hyväksymällä tavalla.
Tiedonhallintasuunnitelmassa on huomioitu julkisuuslain, Huoltovarmuuskeskuksen ja yritysten tiedonhallintapoliitikkojen mukainen asiasisältöjen käsittely eri järjestelmissä ja tiloissa. Pääsy hankkeen tietoihin on määritetty henkilökohtaisilla oikeuksilla. Tässä asiakirjassa esitetään lyhennelmä hankkeen tiedonhallintakäytännöstä.
Hankkeeseen osallistuvat organisaatiot ovat Huoltovarmuusorganisaation hyväksymiä. Organisaatioiden osallistuminen hankkeeseen on vapaaehtoista. Tiedonkeruu tapahtuu työpajoissa, jotka järjestetään sovitusti organisaatioille sopivimmalla tavalla Accenturen edustajien toimesta.
Huoltovarmuuskeskus on kerännyt hankkeen toteuttamisesta vastaavilta Accenturen henkilöiltä vaitiolositoumukset sekä tehnyt tarvittavat taustatutkimukset (turvallisuusselvitys) hankkeen henkilöstölle. Organisaatiot voivat kuitenkin halutessaan pyytää työpajaan osallistuvilta henkilöiltä etukäteen henkilökohtaiset vaitiolositoumukset. Hankkeen henkilöstöllä on erilaiset oikeudet nähdä ja käsitellä tietoja:
Hankkeen aikana
- Organisaatiokohtaisia tietoja ja tuloksia käsittelevät hankkeen aikana Accenturen asiantuntijat.
- Organisaatiokohtainen raportti luovutetaan organisaatiolle arvioinnin valmistumisen jälkeen. Organisaatiot voivat itse verrata omaa tulostaan analyysivaiheessa tuotettuihin raportteihin.
- Accenturen asiantuntijat anonymisoivat organisaatiokohtaiset tiedot toimialakohtaisia analyysejä ja raportteja varten.
Hankkeen jälkeen
- Hankkeen kaikki aineistot, mukaan lukien organisaatioiden tulokset, luovutetaan HVK:lle, joka vastaa tiedon käsittelystä hankkeen jälkeen. HVK:lla tietoja käsittelevät vain nimetyt henkilöt, jotka vastaavat siitä, että tietoja käsitellään anonymisoidusti. Tilannekuvan kartoitus on määrä toistaa jatkossa trenditiedon keräämiseksi.
- Accenturen osalta organisaatiokohtaiset kyberturvallisuuden kypsyysarvioinnin tiedot ja tulokset tuhotaan hankkeen päättymisen jälkeen.
Organisaatiokohtaiset työpajat järjestetään kunkin organisaation tiedonkäsittelyyn vaadittavien käytäntöjen mukaisesti. Toteutustapa sovitaan yhdessä ja osallistuva organisaatio määrittää sekä hyväksyy työpajan aineiston tallentamisperiaatteet. Työpajaan osallistuvilla Accenturen edustajilla on käytössään Accenture-luottamukselliset (verrattavissa julkishallinnon TLIV-tasoon) työasemat, joissa selvitykseen liittyvää tietoa käsitellään. Työpajan tulokset annetaan työpajan jälkeen salatulla sähköpostilla tai muulla erikseen sovittavalla tavalla organisaation käyttöön.
Työpajoissa kerätty tieto anonymisoidaan organisaation nimen sekä muiden organisaation tunnistamiseen liittyvien tietojen osalta analyysivaihetta varten. Anonymisoidusta tiedosta muodostetaan analyysin perusteella toimiala- ja yhteenvetoraportit (ei-julkinen ja julkinen).
Raportteja käytetään esimerkiksi huoltovarmuuden kehittämiseen pitkän ajan kehittämissuunnitelmissa Huoltovarmuusorganisaatiossa. Toimiala- ja yhteenvetoraportin julkiseen käyttöön sopivia havaintoja käytetään myös viestinnässä. HVK vastaa raporttien tiedon käytöstä.
Lisätietoja
