Yrityksen tietoturvaa suunniteltaessa, toteuttaessa ja kehittäessä on otettava huomioon laissa määriteltyjä asioita. Vaatimusten määrään vaikuttaa toimiala ja liiketoiminnan luonne, joten yrityksen on ensin selvitettävä omaa toimintaansa ohjaavat säädökset.[1] Kuvio 3 havainnollistaa, miten eri lainsäädäntö käsittelee tietoturvaa. Organisaation toiminta on jaettu kolmeen eri kategoriaan, jotka liittyvät palveluihin, infrastruktuuriin ja henkilöstöön.
KUVIO PUUTTUU, katso se opinnäytetyön PDF-versiosta.
Lakien jako kategorioihin tuo käsittelyyn selkeyttä, mutta kuvio on silti vain viitteellinen. Selviä päällekkäisyyksiä on huomattavissa eri kategorioiden välillä. Kuten kuvio 3 osoittaa, oleellisia työntekijöiden omaan tietoturvaan vaikuttavia lakeja ovat henkilötietolaki sekä laki yksityisyyden suojasta työelämässä. Vastaavasti infrastruktuuri-osioon sisällytetty sähköisen viestinnän tietosuojalaki määrittelee, miten yrityksellä on oikeus käsitellä henkilöstön luottamuksellisia tietoja esimerkiksi IT-järjestelmissä[2].
Kuviosta 3 on havaittavissa myös tietoturvaan vaikuttavan lainsäädännön suuri määrä. Säädökset on jaettu useisiin lakeihin, mikä osaltaan hankaloittaa asian hallintaa yrityksen näkökulmasta. Siitä huolimatta Suomeen ei vielä ole säädetty erillistä tietoturvalakia. Uusien lakien sijasta yritykset haluavat viranomaisilta enemmän ohjeistusta tietoturvan suojamekanismien, valvonnan ja vaatimusten lainmukaiseen toteuttamiseen. [3]
Lue seuraavaksi tietoturvastandardeista ja -sertifioinneista tai palaa sisällysluetteloon.
Lähteet
1 (Laaksonen ym. 2006, 18.)
2 (Sähköisen viestinnän tietosuojalaki 16.6.2004/516)
3 (Laaksonen ym. 2006, 21.)