VTV on antanut Digi- ja väestötietovirastolle lausunnon julkisen hallinnon digitaalisen turvallisuuden strategisesta riskienhallinnasta.
1. Onko malli selkeä ja uskottava?
Dokumentissa on tärkeä selventää, miten eri viranomaisten tehtävät strategiassa rakentuvat. Viranomaisten välinen toiminta -kuvaus voisi selventää eri toimijoiden välistä työnjakoa. Ongelmallista on, että dokumentti on osoitettu koko julkiselle hallinnolle, mutta tällä hetkellä esimerkiksi yksittäisten valtion virastojen tai kuntien roolit ja tavoitteet jäävät epäselviksi.
2. Tuottaako se oikeaa informaatiota?
Vaikka mallin yläotsikkona ”julkisen hallinnon digitaalisen turvallisuuden strateginen riskienhallinta”, ei malli sisällä erityisen strategisia elementtejä. Riskienhallintamalli on nykymuodossaan malli ennen kaikkea asiantuntijoille. Toki mallin näin tuottamaa tietoa voidaan hyödyntää strategisellakin tasolla, mutta hyödyntäminen saattaa jäädä sattumanvaraiseksi. Jotta malli olisi aidosti ”strateginen”, edellyttäisi tämä sitä, että määriteltäisiin ne tavoitteet, joiden saavuttamisesta tässä tarkasteltu riskienhallintamalli edesauttaisi. Strategisuus olisi mahdollista määritellä tarkemmin esimerkiksi luvussa 2.3.
3. Kattaako malli riittävästi asiantuntija ja johtoryhmätasolle tarvittavia näkökulmia julkisen hallinnon digitaalisen turvallisuuden strategisen riskienhallinnan hahmottamiseksi?
–
4. Vastaako kehitettävä kokonaisuus organisaatioiden tai päätöksentekijöiden tarpeita?
Tavoite hallinnonalatasoisesta riskien- ja jatkuvuudenhallinnasta on kannatettava. Myös kokonaiskuvapalvelun tavoitteet rajallisten kehittämisresurssien tarkoituksenmukaisesta kohdentamisesta ja kehittämistoimenpiteiden vaikuttavuuden seurannasta ovat tärkeitä. Kuvatun kokonaispalvelun voidaan katsoa vastaavan julkisen hallinnon johdon tarpeita.
Riskienhallintapäällikön tehtävän vakinaisuutta voidaan pitää positiivisena. VTV on tuloksellisuustarkastuksessaan kybersuojauksen järjestämisestä (16/2017) todennut, että kybersuojauksen rahoitusta tulisi pystyä tukemaan pitkäjänteisesti. Pitkäjänteisyyden tärkeys korostuu samalla tavalla riskienhallinnan rahoituksessa.
5. Muut kommentit ja kehittämisehdotukset.
–