1 / 36

VTV:n IT-foorumi, ohjelma

VTV:n IT-foorumi, ohjelma. 12:00 Puheenjohtajan avaus , ylijohtaja Marjatta Kimmonen, VTV 12:10 Overall picture of the EUROSAI IT-Working Group and its functions Head of the Competence Centre IT Auditing Massimo Magnini, Swiss Federal Audit Office

ewa
Download Presentation

VTV:n IT-foorumi, ohjelma

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. VTV:n IT-foorumi, ohjelma • 12:00 Puheenjohtajan avaus, ylijohtaja Marjatta Kimmonen, VTV • 12:10 Overall picture of the EUROSAI IT-Working Group and its functions Head of the Competence Centre IT Auditing Massimo Magnini, Swiss Federal Audit Office • 12:50 VTV:n IT-tarkastustoiminta ja sen tuloksia Tilintarkastuspäällikkö Pentti Mykkänen ja johtava toiminnantarkastaja Tomi Voutilainen • 13:20 Eduskunnan oikeusasiamiehen laillisuusvalvonnan havaintoja IT-toiminnasta Esittelijäneuvos Jorma Kuopus, eduskunnan oikeusasiamiehen kanslia • 13:50 Kahvitauko • 14:20 Julkisen hallinnon IT-toiminnan kehittämistilanne ja IT-tarkastuksen vaikutukset kehittämiseen Ylijohtaja Silja Hiironniemi, valtiovarainministeriö • 14:40 Kohti turvallista, tehokasta ja verkottunutta julkisen toiminnan sähköistä hallintaa Pääjohtaja Tuomas Pöysti, VTV • 15:00 Paneelikeskustelu valtionhallinnon IT-toiminnan ja tarkastuksen haasteista Puheenjohtajana ylijohtaja Marjatta Kimmonen Paneelikeskustelun osallistujat: - Pääjohtaja Tuomas Pöysti, VTV - Ylijohtaja Silja Hiironniemi, VM - Esittelijäneuvos Jorma Kuopus, EOA - Valtioneuvoston controller Soili Vasikainen, VM • 16:10 Puheenjohtajan päätössanat Ylijohtaja Marjatta Kimmonen

  2. IT-tarkastustoiminta Valtiontalouden tarkastusvirastossa Pentti Mykkänen/VTV 6.11.2008 Tomi Voutilainen/VTV 6.11.2008

  3. IT-tarkastus VTV:ssa Riskianalyysi

  4. IT-tarkastus VTV:ssa • IT-tarkastuksia voidaan kohdentaa joko jompaankumpaan osaan tai tarkastus voi koskea kumpaakin osa-aluetta. • Tarkastustoiminnassa kiinnitetään huomiota ainakin tarkastuskohteen toiminnan taloudel-lisuuteen, tuottavuuteen, tarkoituksenmukai-suuteen, laillisuuteen ja hyvään hallintoon. • IT-tarkastusta voidaan kohdentaa joko toimintayksikön tekemien periaatteiden ja linjausten mukaan tai tarkastuskohtaisesti. Linjauksiin perustuen tarkastuksia voidaan kohdentaa eri näkökulmia käyttäen.

  5. IT-tarkastus VTV:ssa • Näkökulmina voivat olla tarkastuskohteen taloudelliset ja toiminnalliset riskit, toiminnan ja tietojen laatu, valvontamenettelyt, tietoturva, tietosuoja, arkkitehtuurit sekä yhteentoimivuus. • Tarkastukset voidaan myös kohdentaa tarkastuskohtaisesti ainakin kolmelle eri toimintatasolle – valtiokonserni, virasto ja sovellus/järjestelmätasolle.

  6. IT-toiminnan tarkastus Toiminnantarkastuksen toimintayksikkö

  7. IT-toiminnan tarkastus • Keskittyy valtion IT-toiminnan tarkastamiseen • Keskeitä kohteita ovat: • Yksittäiset IT-hankkeet tai hankekokonaisuudet tietyn aiheen ympärillä • IT-toiminnan organisointi • IT-hankinnat • IT-hankehallinta/projektinhallinta • Ulkoistaminen • Toiminnan suunnitelmallisuus (IT-strategiat, verkkopalvelustrategiat, TTS, tulossopimukset) • Kustannus-/hyöty (tuottavuus) • Lisäksi toimialaan kuuluu tietoyhteiskunta-asiat laajemminkin • Resurssit 2 henkilöä

  8. IT-toiminnan tarkastus • Toiminnantarkastukset • Ulosoton tietojärjestelmähanke 110/2005 • Sähköisten asiointipalvelujen kehittäminen julkishallinnossa 120/2006 • Alueellisten tietoyhteiskuntahankkeiden toteutus 158/2008 • Tunnistuspalveluiden kehittäminen ja käyttö julkisessa hallinnossa 161/2008 • Ajoneuvohallintokeskuksen tietojärjestelmähankkeet (tekeillä) • Liiketoiminnan sähköistäminen ja yrityksille tarjottavat sähköiset palvelut (tekeillä) • Puolustushallinnon atk-järjestelmien käyttöönotto (tekeillä) • Sosiaali- ja terveydenhuollon tietojärjestelmähankkeet (tekeillä)

  9. IT-tarkastus VTV:ssa Riskianalyysi

  10. Tietohallinnon organisointi, resursointi ja johtaminen • Valtion IT-toiminnan tosiasiallisen konserniohjauksen vahvistaminen  taloudellisen ohjauksen tehostaminen, jolla lisätään konserniohjauksen tehokkuutta ja vaikuttavuutta sekä IT-toiminnan johtamisjärjestelmän mallintaminen ja käyttöönotto. • Julkisen hallinnon IT-toiminnan ohjauksen tulisi perustua tietoiseen sääntelymalliin. Nykyinen sekamalli on tehoton. • Johtamisjärjestelmän pitää olla selkeä ja ketterä siten, että selkeitä ohjaavia elementtejä on vain muutama. Ohjaus- ja päätösvastuiden sekä -välineiden määrittely ja käyttöönotto  kuka päättää, mistä päättää ja millä perusteilla

  11. Tietohallinnon organisointi, resursointi ja johtaminen • Hankkeiden suunnittelujärjestelmässä asetettujen tavoitteiden tulisi olla pitkäjänteisiä. Tavoitteet tulisi asettaa selkeässä suhteessa rahoitukseen ja resursseihin nähden, jonka jälkeen päätetään aikatauluista. • tavoiteasettelun kypsyyden arviointi • Julkiseen hallintoon tulisi luoda yhteinen IT-palveluiden kustannuslaskentamalli

  12. IT-tarkastus VTV:ssa Riskianalyysi

  13. Hyvä tietohallintotapa • IT-hankeohjausmallien yhtenäistäminen  osana IT-sääntelymallien kehittämistä. • Useasta ohjeistajasta ja suosittelijasta yhteen toimielimeen. • Päällekkäisestä seurannasta ja raportoinnista tulisi päästä eroon  hankkeiden seurantaan oma järjestelmä, joka palvelee mahdollisimman monia eri käyttötarkoituksia. • Yhteistyömallien kehittäminen eri viranomaisten välillä  osana IT-hankkeiden suunnittelujärjestelmän uudistamista.

  14. Hyvä tietohallintotapa • Hallinnon oman IT-osaamisen turvaaminen  osana suunnittelujärjestelmän uudistamista. Asiantuntijuuden liiallisesta ulkoistamisesta pitäisi päästä eroon ja pitkäaikaisia asiantuntijuutta vaativia ulkoistuksia pitäisi välttää kokonaan  osaamisen siirto hallintoon. • Tavoitteena tulisi olla pyrkimys ohjeistus- ja selvityskulttuurista käytännön toteutuksiin  IT-toiminnan yleinen tehostaminen.

  15. IT-tarkastus VTV:ssa Riskianalyysi

  16. Kehittäminen • Tavoitteiden asettamisessa on otettava huomioon määrällisten tavoitteiden lisäksi myös toteutustapa. • Kustannusseurantaa tulee tehostaa ja keskittää ohjelmia ja strategioita toteutettaessa. • Hankkeiden tavoitteet ja toimenpiteet tulee olla selkeästi yhdistettävissä toisiinsa. • Ohjelmia ja strategioita toteutettaessa on kiinnitettävä huomiota tavoitteiden toteutuksen alueelliseen tai hallinnonalakohtaiseen koordinointiin sekä täytäntöönpanon ohjaukseen. • Tietoyhteiskunta-avustuksia myöntäville viranomaisille tulee laatia selkeät ohjeet siitä, minkä tyyppiset hankkeet tukevat ohjelmien ja strategioiden tavoitteita. Avustusten myöntämismenettelyiden ja -ehtojen tulee olla yhtenäisiä ja selkeitä. • Yhtenäiset laadunvarmistusmenetelmät

  17. IT-tarkastus VTV:ssä Riskianalyysi

  18. (Tieto)Järjestelmätarkastus Tilintarkastuksen toimintayksikkö

  19. IT-tarkastus VTV:ssa • Tuottaa lisäarvoa tilintarkastukselle • Oma ryhmä tilintarkastuksessa • 1 + 5 erikoistunutta tarkastajaa • Vuodesta 1994 lukien • n. 10 tarkastusta vuosittain • Tarkastuksia tehty lähes joka hallinnonalan virastoissa, viime vuosina myös palvelukeskuksissa • Väkiraportit pääsääntöisesti luottamuksellisia julkisuuskain 24 §:n perusteella • Keskeiset havainnot raportoidaan tilintarkastuksen vuosiyhteenvedossa ja tilintarkastuskertomuksessa

  20. Keskeinen viitekehys Lait ja asetukset • Laki ja asetus valtion talous- arviosta • Julkisuuslaki ja –asetus • Erillislainsäädäntö • … Valtionhallinnon tietoturva- ohjeistus • VN periaatepäätökset • VAHTI:n ohjeet ja suositukset • … VK:n määräykset ja ohjeet • Koneellisten tietovälineiden käyttäminen kirjanpidossa • Koneellisin menetelmin pidetyn kirjanpidon menetelmäkuvaus • … Standardit, suositukset ja mallit • INTOSAI, ISACA, ISO/IEC2* • JHS-suositukset • Cobit, ITIL • …

  21. IT-tarkastus VTV:ssa • Tuotantokäytössä olevat järjestelmät • Tarkastetaan ovatko järjetelmän ja sen toimintaympäristöon liittyvät sisäisen valvonnan menettelyt, tietoturvallisuus ja riskit asianmukaiset

  22. IT-tarkastus VTV:ssä Riskianalyysi

  23. IT-tarkastus VTV:ssa Keskeisiä järjestelmästä tarkastettavia kohteita mm.: • Käyttövaltuushallinta ja käyttöoikeudet • Looginen suojaus • Dokumentaatio • Kontrollit • Käytettävyys • Liittymät • Tietojen säilytys, arkistointi

  24. Käyttövaltuushallinta / looginen suojaus Käyttäjien todentaminen • Käyttäjän aitouden varmista- minen • … Käyttöoikeudet ja – valtuudet • Oikeus käyttää järjestelmän ohjelmia, pääsy tietoihin … • Käyttäjälle myönnetyt oikeu- det nimetyn järjestelmän käyttöön, tietoihin … • Sisäänkirjautumismenette- lyt (salasanat, SSO tms.) • Salasanojen muoto, henkilö- kohtaisuus, vaihtaminen, säilytys • Käyttäjätunnukset • … • Hallinnointi (myöntö, muu- tos, poisto, dokumentointi) • Vain työtehtävissä tarvitta- viin tietoihin • Tehtävien eriyttäminen (riskialttiit työyhdistelmät!) • Tarkastaminen, lokit • …

  25. Dokumentaatio Sopimukset • Hankinta • Ylläpito • Huolto • Käyttöpalvelu • … Prosessi-/järjestelmäkuvaukset • Menetelmäkuvaus • Prosessikuvaukset • Rekisteriselosteet • … Muut dokumentit • Tietoturvadokumentit • Käytettävyysraportointi • … • Olemassa- ja voimassa olo, ylläpito, ajantasaisuus; säännösten mukaisuus (mm. sopimukset), vastuiden määrittely; tarkastusoikeus ja auditoinnit; ulkoistetut osiot! …

  26. Kontrollit, ohjaustiedot Järjestelmän sisältämät (ohjel- malliset) kontrollit • Muotomääräisyystarkis- tukset • Käyttöoikeuskontrollit • Lokit, virhelistat Manuaalisesti suoritettavat • Täydentävät ohjelmallisia kontrolleja Ohjaustiedot • Toimintoja ohjaavia para- metrejä • Input  output • … • Kontrollien olemassaolo ja toimivuus; dokumentointi (ohjaustieto- listaukset), ohjaustietojen hallinnointi ja tarkastaminen; vastuut; lokien tarkastaminen; odotusten mukainen toiminta ja lopputulos …

  27. IT-tarkastus VTV:ssä Riskianalyysi

  28. Ylläpito-, testaus ja tietojen varmistusmenettelyt Ylläpito ja testaus • Menettelyt – ohjeistuksen mukaisuus • Vastuut, (virasto, ohjelmiston toimittaja, palvelukeskus) • Dokumentointi • Versioiden ja muutosten hal- linnointi • Testauslaitejärjestelyt • … Tietojen varmistusmenettelyt • Menettelyt – ohjeistuksen mukaisuus • Dokumentointi • Vastuut • Valvontamenettelyt • Varmuuskopioiden säilytys • Varmuuskopioiden palau- tusten testaus • …

  29. IT-tarkastus VTV:ssä Riskianalyysi

  30. Organisointi, resursointi ja johtaminen • IT-toimintojen vastuu- ja varahenkilöjärjestelyt • Käyttötoiminnasta vastaavat ja varahenkilöt • Tarkasteltavan järjestelmän vastuu- ja varahenkilöt • Muut vastuu- ja varahenkilöt (esim. tietoturvallisuus, tieto- liikenne, varmistukset, fyysinen turvallisuus) • Käytön suunnittelu • Keskeytys- ja virhetilanteiden hallinnointi • Ohjeistus ja muu dokumentaatio • Perustiedot käytössä olevista laitteista, tietoliikenteestä (verkot yms.), sovelluksista/ohjelmista, tietokannoista … • …

  31. IT-tarkastus VTV:ssä Riskianalyysi

  32. Ulkoistaminen • Sopimukset • Vastuut, työjako ja organisointi • Ohjeistus ja muu dokumentaatio • Käyttövaltuushallinta ja käyttöoikeudet • Tietoturvallisuus • Sisäisen valvonnan menettelyt • Virhetilanteiden hallinta • …

  33. Tarkastusten perusteella kehitettävää ja parannettavaa • Käyttö-oikeudet (ylläpito,tarkastaminen ym.) • Looginen suojaus (salasana-menettelyt ym.) • Menetelmäkuvaus (sisältö) • Ohjaustiedot (hallinnointi jatarkastaminen ym.) • Ohjeistus • Sopimukset (säännöstenmukaisuus, tietoturvallisuus,palvelutaso ym.) • Tehtävä-/työyhdistelmät (erit.riskialttiit yhdistelmät) • Tietoturvadokumentit,luokitukset, riskianalyysit • Tietojen arkistointi,säilytys ja hävittäminen • Vastuiden määrittely • Ylläpito ja testausmenettelyt • …

  34. IT-tarkastusta kehitetään VTV:ssa ITAR (IT-tarkastuksen koordinaatioryhmä) • Keskeinen tehtävä IT-tarkastusten suunnittelun ja toteuttamisen koordinointi • Edustus kaikista yksiköistä; vetäjänä ylijohtaja • 3 alatyöryhmää • Tarkastusprosessien ja välineiden kehittäminen • IT-tarkastusosaaminen ja sen kehittäminen • Standardien, mallien ja menetelmien läpikäyminen (esim. JHS, ISO, CobiT yms.) • IT-tarkastusyhteistyö (mm. IT-foorumi) • …

  35. KIITOS!

More Related