Tietoturvan hallintamalli (ISO27001), Kymenlaakson HVA (RRP, P4, I4)

Hallintajärjestelmä luodaan kansainvälisen ja toimialariippumattoman ISO 27001 - standardin sisältämien vaatimusten mukaisesti.

Toimintaympäristö

Kymenlaakson korkea palvelutarve ja haastava taloustilanne yhdistettynä koronaviruspandemian kasvattamaan sosiaali- ja terveydenhuollon hoito-, kuntoutus- ja palveluvelkaan luovat tarpeen sosiaali- ja terveydenhuollon palvelujen saatavuuden vahvistamiselle ja kustannusvaikuttavuuden lisäämiselle. Kymenlaakso on sosiaali- ja terveyspalvelujen järjestämisen näkökulmasta haastava, sillä alueen väestön palvelutarve on suuri, syntyvyys vähäistä ja ikääntyneiden osuus väestöstä on maan suurimpia.

Hyvinvointialue on julkisten palvelujen organisaatio, joka järjestää alueensa sosiaali- ja terveydenhuollon sekä pelastustoimen palvelut. Suomessa on 21 hyvinvointialuetta, jotka muodostuvat pääosin maakuntajaon pohjalta. Valtio rahoittaa hyvinvointialueiden toiminnan.

Hyvinvointialueuudistus tarvitaan yhdenvertaisten palvelujen varmistamiseksi, kaventamaan hyvinvointi- ja terveyseroja sekä hillitsemään kustannusten kasvua. Tavoitteena on siirtää sosiaali- ja terveydenhuollon painopistettä peruspalveluihin ja ennalta ehkäiseviin toimenpiteisiin sekä parantaa hoitoon pääsyä. Pelastustoimen osalta tavoitteena on parantaa turvallisuutta, ja varmistaa valtakunnallisesti yhtenäinen ja häiriötön pelastustoimen järjestelmä.

Lähtötilanne ja strategiset liittymäkohdat

RRP-hankkeen toimenpiteillä tavoitellaan hyvinvointialuelaajuisia toimintamalleja, digitaalisia palvelupolkuja ja työvälineitä, uusia innovaatioita sekä palveluratkaisuja, jotka edistävät sosiaali- ja terveydenhuollon palvelujen saatavuuden vahvistamista ja kustannusvaikuttavuuden lisäämistä. RRP- hankkeessa on tavoitteena on käyttöönottaa ja laajentaa jo käytössä olevien, sosiaali- ja terveydenhuollon tuottamista ja kehittämistä tukevia sekä asiakaslähtöistä palvelun saatavuutta ja saavutettavuutta parantavia digitaalisia ratkaisuja hyvinvointialueilla.

Kehittämistoimenpiteet on valittu siten, että ne ovat linjassa muiden alueellisten kehittämishankkeiden, hyvinvointialuestrategian, Kymenlaakson alueellisen hyvinvointikertomuksen ja -suunnitelman 2020–2025 sekä muiden valtionavustushankkeiden kanssa. Hankkeella pyritään pitkäjänteiseen alueelliseen yhtenäistämiseen sekä toimeenpanoon ilman, että muiden hankkeiden kanssa ilmenee päällekkäisyyksiä. Hankesuunnitelmaan kirjatut toimenpiteet ovat yhteen sovitettuja hankeoppaan kanssa ja ne tähtäävät konkreettisiin muutoksiin ja toimenpiteisiin. Toimenpiteet tukevat koko hyvinvointialueen palvelujärjestelmän kehittymistä siten, että digipalveluiden ja muiden palveluiden kokonaisuus muodostaa tarkoituksenmukaisen ja elämäntilannelähtöisen kokonaisuuden. Hanke toteuttaa myös Kymenlaakson hyvinvointialueen strategisia painopisteitä.

Kymenlaakson hyvinvointialueen strategiset painopisteet ovat:

  • Tarpeenmukaiset ja vaikuttavat palvelut kaikille kymenlaaksolaisille
  • Talouden tasapaino uudistumisen kautta
  • Hyvinvoiva henkilöstö

Tämä hanke vahvistaa etenkin ensimmäistä strategista tavoitetta (miltei koko investointi 1), tuo digitalisaation kautta hyötyä toiseen (investoinnit 1 ja 4) ja parantaa ammattilaisten työkalujen (investointi 4) kautta myös henkilöstön hyvinvointia.

Kehitystyön lähtökohtana olevat tarpeet

Tietoturvan hallintaan tarvitaan organisaatiossa yhteinen linjaus. Tietoturvan hallintamalli tulee koulutusten kautta tunnetuksi henkilöstölle ja tätä kautta asiakkaiden tietoturva paranee.

Kehittäjäjoukon kokoaminen ja yhteiskehittäminen

Tätä toimintamallia kehitettiin yhdessä EKHVA:n kehittäjäjoukon kanssa. Organisaatioista osallistettu esihenkilöitä, muuta johtoa, tietohallintoa.

Tavoiteltu muutos

Kuvaus organisaation toimintaympäristöstä sisältäen soveltamisalan määrittämisen, toimintaan vaikuttavat sisäiset ja ulkoiset asiat sekä sidosryhmät ja niiden vaatimukset.

Politiikka-tason kuvaus siitä, miten asiakas haluaa toteuttaa tietoturvallisuuttaan ja mitkä sen tavoitteet ovat tietoturvan suhteen. Mikäli asiakkaalla on jo tietoturvapolitiikka, se tarkistetaan ja tarvittaessa muokataan standardin vaatimusten mukaiseksi.

Kuvaus riskien tunnistamisen, analysoinnin, arvioimisen ja käsittelemisen prosessista. Mikäli asiakkaalla on jo tätä varten prosessi, se tarkistetaan ja muokataan tarvittaessa standardin vaatimusten mukaiseksi. Asiakas saa myös Microsoft Excel -dokumenttipohjan tunnistamiensa riskien dokumentoimiseksi, mikäli asiakkaalla ei ole valmiiksi työkalua riskien dokumentointiin. Dokumentissa kuvataan tietoturvallisuuden hallintajärjestelmän ylläpitoon tarvittavat resurssit, käytännöt hallintajärjestelmän dokumentaation hallintaan sekä tietoturvallisuuden hallintajärjestelmän muutoshallinnan menetelmät. Lisäksi dokumentissa kuvataan menetelmät tietoturvallisuuden hallintajärjestelmän jatkuvaan parantamiseen.

 

Kohderyhmä ja asiakasymmärrys

Tässä ei ole asiakkaita osallistettu, koska kyseessä on organisaation sisäinen prosessi.

Ratkaisun perusidea

Tietoturvallisuuden hallintajärjestelmä perustuu ISO 27001 standardiin. Organisaation malli sisältää standardin vaatimukset. 

Toimivuuden ja käyttöönoton ehdot

Tietohallinto järjestää koulutukset ja viestintäsuunnitelman aiheesta.

Vinkit toimintamallin soveltajille

Vaatii panostusta koulutuksiin ja viestintään.

Arvioinnin tulokset tiivistettynä

Yhdessä EKHVA:n kanssa kehitetty toimintamallia, kuitenkin niin, että molemmat suunnittelevat organisaation omiin tarpeisiin sopivan mallin.