Yrityksissä on monenlaisia tietoturvasääntöjä. Etätyösäännöt, internetin käyttösäännöt, sosiaalisen median käyttösäännöt, tietojärjestelmien käyttösäännöt, palveluiden ylläpitosäännöt jne. Työntekoa hankaloitetaan säännöllisen säännönmukaisesti?
Tietoturvasääntöjen tarkoituksena ei ole rajoittaa tai hankaloittaa työntekijöiden toimintaa. Tietoturvasäännöt mahdollistavat turvallisen toimintaympäristön luomisen.
Tietoturvasäännöt on negatiivinen käsite?
Kannattaako tietoturvasääntöjä kutsua säännöiksi? Onko termi negatiivinen? Sääntöä voidaan pitää kieltona. Positiivisemmin ajateltuna sääntö on reunaehto tai toimintamalli.
Mitä vaihtoehtoja termille sääntö on? Jos puhutaan esimerkiksi tietojärjestelmien käytöstä:
Tietojärjestelmien käyttöpolitiikka. Joku voisi ajatella, että onpas virallista. Politiikka on jotain yleistä jargonia. Kuulostaa johtotason jutuilta.
Tietojärjestelmien käyttöohjeet. ”Joo joo, käytän tietojärjestelmiä turvallisesti, fiksusti jne. Luen ohjeet, jos tarvitsen ohjeita.” Ohje on säännöistä johdettu tarkempi toimintatapa.
Tietojärjestelmien tietoturvaperiaatteet. Tällä päästään jo lähelle tarkoitusta. Ei kuullosta niin negatiiviselta? Tuntuu mielekkäämmältä sitoutua noudattamaan periaatteita kuin sääntöjä.
Tietojärjestelmien käyttösäännöt on kuitenkin selkeä käsite. Näin toimitaan. Piste.
Tietoturvasäännöistä on hyötyä!
Yrityksellä kannattaa olla yritysjohdon hyväksymät tietoturvasäännöt. Niistä on konkreettista hyötyä päivittäisessä toiminnassa.
Tietoturvasäännöt kertovat, millaista toimintaa työntekijöiltä odotetaan. Yhteiset säännöt ja niiden mukaan toimiminen auttaa turvallisemman toimintaympäristön luomisessa. Tietoturvadokumentaatiota voidaan hyödyntää myös esimerkiksi uuden työntekijän perehdyttämisessä.
Säännöt ja muut tietoturvadokumentit osoittavat yrityksen toimintaperiaatteet muille toimijoille. Ulkopuoliset näkevät, mitä vaadimme itseltämme. Se voi puolestaan nostaa luottamusta ja parantaa yrityksen mainetta.
Yhteistyökumppanit voidaan velvoittaa toimimaan samojen sääntöjen mukaisesti. Ei ole mitään järkeä, että yritys pyrkii laadukkaaseen toimintaan, kun samaan aikaan alihankkija sählää, sooloilee ja sekoilee.
Säännöt auttavat täyttämään lakipykälistä ja standardeista muodostuvat vaatimustenmukaisuusvelvoitteet. Työntekijöiden voi olla helpompi ymmärtää tietoturvasäännöissä kuvattua periaatetta kuin eri lakipykäliin piilotettuja vaatimuksia.
Tietoturvastandardi ISO 27001 asettaa vaatimuksia esimerkiksi suojattavan omaisuuden (tietopääoma, laitteet jne.) käyttösäännöistä sekä ohjelmistojen asennukseen liittyvistä säännöistä. VAHTI 2/2010 dokumentaatiossa kuvatun tietoturvallisuuden perustason saavuttaminen puolestaan edellyttää, että säännöt ja ohjeistukset ovat olemassa (Lähde: VAHTI 2/2010 liite 5, s. 106, osa-alue 1.3.1).
Vastaa