Identiteetin- ja käyttövaltuushallinnan kehittäminen Sipoon kunnassa
Salminen, Teppo (2022)
Salminen, Teppo
2022
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202205108322
https://urn.fi/URN:NBN:fi:amk-202205108322
Tiivistelmä
Tässä opinnäytetyössä tutkittiin, mitä viranomaisvaatimuksia kohdistuu kunnan identiteetin- ja käyttövaltuushallinnan toteuttamiseen. Sipoon kunnalle on otettu käyttöön järjestelmä, jonka avulla on voitu automatisoida käyttäjätunnusten hallintaan liittyviä tehtäviä. Verrattain lyhyessä ajassa viranomaisvaatimukset ovat lisääntyneet EU:n yleisen tietosuoja-asetuksen ja tiedonhallintalain voimaantulon myötä. Tiedonhallintalain siirtymäaika tulee päättymään vuoden 2022 lopussa ja samanaikaisesti myös uutta kansallista ohjeistusta on laadittu käyttövaltuushallinnan vaatimusten mukaiseen toteuttamiseen.
Opinnäytetyön tavoitteena oli selvittää vaatimukset ja suositukset, vaikutukset tietoturvaan sekä tunnistaa kehityskohteet identiteettien hallinnoinnin vaati-musten mukaiseen tavoitetilaan pääsemiseksi.
Tutkimusmenetelmäksi valittiin tutkimuksellinen kehittämisprojekti ja tutkimuskysymysten kautta aluksi keskityttiin tutkimaan lainsäädännön, ohjeiden, suositusten ja standardien sekä parhaiden käytäntöjen vaatimuksia tai tehtäviä identiteettien hallinnoinnin toteuttamiseen. Vaatimuskehysten kautta luotiin vaatimuslista, jota vasten tutkittiin organisaation nykytilaa ja sen vaatimustenmukaisuutta. Havaintojen jälkeen luotiin kehityskohteet, joihin tulisi keskittyä.
Identiteettien hallinnoinnin toteuttamiseen löydettiin yhteensä 18 eri vaatimusta. Tärkeimpänä vaatimuskehyksenä kuntaorganisaatiolle toimii tiedonhallintalaki ja sitä tukemaan luotu tiedonhallintalautakunnan suosituskokoelma. Käyttäjätunnusten ja käyttöoikeuksien hallinta liittyy myös useisiin kyberuhkiin, joista erityisesti vähimpien oikeuksien periaatteen käyttöönottaminen on keskeinen yhdessä säännöllisen katselmoinnin kanssa. Kehityskohteina löytyi useita toimintaprosesseihin liittyviä tehtäviä ja identiteettien hallinnoinnin järjestelmän käyttöönoton jälkeen vain teknisimmät vaatimukset olivat toteutettu asianmukaisesti. Identiteettien hallinnoinnin järjestelmän käyttöönotto tulisi aloittaa toimintaprosessien ja pääsynhallintapolitiikan luomisella.
Opinnäytetyön tavoitteena oli selvittää vaatimukset ja suositukset, vaikutukset tietoturvaan sekä tunnistaa kehityskohteet identiteettien hallinnoinnin vaati-musten mukaiseen tavoitetilaan pääsemiseksi.
Tutkimusmenetelmäksi valittiin tutkimuksellinen kehittämisprojekti ja tutkimuskysymysten kautta aluksi keskityttiin tutkimaan lainsäädännön, ohjeiden, suositusten ja standardien sekä parhaiden käytäntöjen vaatimuksia tai tehtäviä identiteettien hallinnoinnin toteuttamiseen. Vaatimuskehysten kautta luotiin vaatimuslista, jota vasten tutkittiin organisaation nykytilaa ja sen vaatimustenmukaisuutta. Havaintojen jälkeen luotiin kehityskohteet, joihin tulisi keskittyä.
Identiteettien hallinnoinnin toteuttamiseen löydettiin yhteensä 18 eri vaatimusta. Tärkeimpänä vaatimuskehyksenä kuntaorganisaatiolle toimii tiedonhallintalaki ja sitä tukemaan luotu tiedonhallintalautakunnan suosituskokoelma. Käyttäjätunnusten ja käyttöoikeuksien hallinta liittyy myös useisiin kyberuhkiin, joista erityisesti vähimpien oikeuksien periaatteen käyttöönottaminen on keskeinen yhdessä säännöllisen katselmoinnin kanssa. Kehityskohteina löytyi useita toimintaprosesseihin liittyviä tehtäviä ja identiteettien hallinnoinnin järjestelmän käyttöönoton jälkeen vain teknisimmät vaatimukset olivat toteutettu asianmukaisesti. Identiteettien hallinnoinnin järjestelmän käyttöönotto tulisi aloittaa toimintaprosessien ja pääsynhallintapolitiikan luomisella.