Ads 468x60px

sunnuntai 30. lokakuuta 2011

Millainen on (hyvä) tietoturvapolitiikka?

Lueskelin tässä taannoin luonnosta Vahti-ohjeesta, jonka aiheena oli ”Johtajan tietoturvaopas”. Menemättä sen suuremmin itse ohjeen sisältöön jäin miettimään ohjeen lopussa ollutta esimerkin omaista tietoturvapolitiikan sisällysluetteloa (Vahti 3/2007). Henkilökohtaisen mielipiteeni tietoturvapolitiikasta on se, että se on liian pitkä.

Miksi tämä on sitten merkityksellistä? Mitä väliä sillä on, miten pitkä on organisaation tietoturvapolitiikka? Hmm, oikeastaan ei kai tietoturvapolitiikan pituudella olekaan mitään väliä. Kuitenkin, käytännössä kaikissa edes hieman hallinnollisen tietoturvan puolelle osuvissa auditoinnessa kysytään aina onko organisaatiolla tietoturvapolitiikkaa. Ja jos vastaus on kyllä; tässä on dokumentti, joka alkaa sanalla Tietoturvapolitiikka ja päättyy organisaation johtajan allekirjoitukseen, niin väitän tuon dokumentin kelpaavan poikkeuksetta tietoturvapolitiikaksi. Aivan sama mitä on edellä mainittujen sanojen välissä.

Entäpä jos käännämme tilanteen; kuinka auditoija suhtautuu tilanteeseen, jossa organisaatio ilmoittaa, ettei heillä ole tietoturvapolitiikkaa, mutta he esittävät dokumentin, jossa määritellään asiat X, Y ja Z ja joka on organisaation johtajan allekirjoittaman. Täyttääkö tämä dokumentti vaatimuksen siitä, että organisaatiolla tulee olla tietoturvapolitiikka? Tästä päästään siihen filosofiseen kysymykseen, että mikä on oikeastaan tietoturvapolitiikka ja mitä sen tulisi sisältää vähintään?

Minun filosofiani mukaan tietoturvapolitiikan (olipa se millä nimellä tahansa) tulisi täyttää seuraavat reunaehdot:
  1. Dokumentin tulee kuvata organisaation suhtautuminen tietoturvaan. Itse toivon, että löytäisin dokumentista seuraavat osa-alueet:
    • Johdanto: mikä on tämä dokumentti?
    • Päämäärät ja tavoitteet: mikä on tämän dokumentin tavoite?
    • Vastuut: Miten vastuut on jaettu?
    • Tietoturvatyön organisointi ja toteutuskeinot: Miten tietoturvatyö on priorisoitu ja organisoitu sekä miten riskejä hallitaan?
    • Tiedottaminen ja koulutus: Miten tietoturvaohjeistus hoidetaan ja miten se jalkautetaan henkilöstölle?
    • Seuranta ja ongelmatilanteet: Miten ohjeiden noudattamista seurataan ja miten puututaan rikkomuksiin?
  2. Dokumentin tulee olla allekirjoittanut organisaation tämän hetkinen toimiva johto
  3. Dokumentin tulisi olla julkinen. Vastaavalla tavalla kuin yrityksen mission ja vision tulisi olla julkisia, niin tulisi olla myös tietoturvapolitiikan.
  4. Dokumenttiin ei tule kirjoittaa mitään sellaista, mitä organisaation ylin johto ei ymmärrä. Tekniset nippelit eivät siis kuulu tietoturvapolitiikkaan vaan dokumenttiin halutaan suuret linjat.
  5. Dokumentin maksimi pituus on viisi sivua, mieluummin kuitenkin korkeintaan kolme sivua. (Emme voi olettaa, että rivityöntekijä jaksaa lukea ajatuksella tätä pidempiä dokumentteja.)
Edellä mainitut eivät ole ehdottomia totuuksia, vaan vain oma henkilökohtainen näkemykseni. Juhani Tammista lainatakseni, ”jokaisella valmentajalla on oma pelikirjansa, jonka mukaan hän johtaa joukkuettaan”. Samoin, organisaatiolla tulisi olla siis itsensä näköinen tietoturvapolitiikka, jonka tarkoituksena on olla organisaation tietoturvatyön ylin ohjenuora.

Jos sinulla on vahva mielipide siitä, mitä organisaation tietoturvapolitiikan tulisi vähintään sisältää, niin kommentoi kirjoitukseen. Lupaan koostaa kommenttien perusteella tietoturvapolitiikan, joka huomioi annetut kommentit!

Ystävällisin terveisin
Antti

Ei kommentteja:

Lähetä kommentti