Tietoturvan huomioiminen tietojärjestelmien ulkoistamisessa; Case: Lappeenrannan sosiaali- ja terveystoimi
Virpi, Ulmanen (2008)
Tiivistelmä
Tässä diplomityössä tarkastellaan tietoturvan huomioimista tietojärjestelmien ja niiden palveluiden ulkoistamisen yhteydessä. Ulkoistuksen myötä tietohallinnon rooli on muuttunut. Ennen organisaatio on itse määrittänyt halutun tietoturvatason ja varmistanut sitä kautta oman tiedon turvaamisen. Ulkoistamalla omia tietojärjestelmiä tai palveluita, joutuu organisaatio määrittelemään myös näille ulkoistetuille palveluille tietoturvatason ja valvomaan tason saavuttamista ja kehittämistä. Tämä on tuonut muutosta ja sitä kautta paineita ymmärtää ulkoistamista ja sen vaativia toimenpiteitä myös tietoturvan kannalta. Työssä paneudutaan ulkoistamisen teoreettiseen taustaan käymällä läpi ulkoistamisen syitä ja motiiveja. Tässä osassa kuvataan myös erityisesti niitä elementtejä, jotka ovat keskeisiä tietojärjestelmien ja tietohallinnon ulkoistamiselle. Suomen lainsäädäntö ei tunne yhtä ainoaa lakia, joka ottaa kantaa tietoturvaan tai – suojaan, vaan tietoturvan määrittäviä lakeja ja säädöksiä on useita. Tässä työssä tarkastellaan yleisimpiä tietoturvaan vaikuttavia lainsäädäntöjä ja standardeja. Tietoturvan tasoon ulkoistetuissa järjestelmissä voidaan vaikuttaa vain sopimus- käytännön kautta. Ulkoistamisen ja sitä kautta tietoturvan yksi tärkeimpiä elementtejä on sopimuskäytäntö, joten sen läpikäynti tutkimuksessa on yksi oleellisimmista asioista. Tutkimuksen empiirisessä osassa käydään läpi Lappeenrannan kaupungin sosiaali- ja terveystoimen tietojärjestelmien ulkoistamisprosessi ja peilataan sitä teoreettiseen taustaan. Tietoturvan ulkoistamisprosessi esitellään sen eri osa-alueiden kautta niin, että siinä huomioidaan erikseen tekninen tietoturva, dokumentaatio ja tietoturvaorganisaatio sekä henkilöturvallisuus. The objective in this Master's Thesis is to notify the meaning of data security in data systems and their services as outsourcing. Due to outsourcing the role of data administration has changed. Earlier the organization itself has defined the level of data security and assured that way its protection of information. As outsourcing information systems or services, organization has to define the data security level, supervise it is reached and develop it. This has caused changes and pressure to understand outsourcing and its demanding procedures also from the point of view of data security. In this thesis the theoretical background of outsourcing is examined by going through the reasons and the motives for it. Those elements are described, which are essential to data systems and data administration outsourcing. In the Finnish legislation there is not only one law, that commits on data security but there are several of them. The most common ones are examined in this Thesis. To the level of data security in the outsourced systems can be effected only by contractual usage. This is one of the key elements in the Thesis, as throughout the outsourcing and data security process contractual usage is one of the fundamental elements. In the empirical part of the Thesis will be introduced in social and health services of Lappeenranta's data systems outsourcing and it will be reflected to the theoretical background. The outsourcing process will be examined via different parts, so that technical data security, documentation, data security organization and identification security are noticed separately.