Traficomin kokonaisturvallisuuden hallintamalli ottaa kantaa viraston sisäiseen toimintaan riskienhallinnan, tietosuojan, varautumisen, jatkuvuuden sekä tieto-, henkilöstö- ja tilaturvallisuuden hallinnan osalta. Malli pohjautuu ISO/IEC 27001 -tietoturvastandardiin ja parhaisiin käytäntöihin.
Kokonaisturvallisuuden hallintamallin auditoinnissa ei poikkeamia
Traficomin kokonaisturvallisuuden hallintamalli pohjautuu ISO/IEC 27001 -tietoturvastandardiin ja parhaisiin käytäntöihin. Hallintamalli ottaa kantaa viraston riskienhallinnan, tietosuojan, varautumisen, jatkuvuuden sekä tieto-, henkilöstö- ja tilaturvallisuuden hallinnan osalta.
Vuoden 2023 aikana viraston hallintamalliin auditointiin uudelleen ja virasto siirtyi noudattamaan uutta standardin versiota (2022). Auditoinnin teki ulkopuolinen arvioitsija. Auditoinnissa ei havaittu poikkeamia. Tämä kertoo siitä, että Traficom on saavuttanut vahvan perustason vaatimusten mukaisuuden osalta ja parantaa jatkuvasti omaa toimintaansa. Auditoinnissa havaittiin kuitenkin useita kehityskohteita, joiden avulla viraston on mahdollista kehittyä edelleen. Havainnot tukevat viraston jatkuvan parantamisen mallia. Auditointi on tehokas työkalu kokonaisturvallisuuden hallintamallin kehittämisessä ja ylläpidossa.
Henkilöstön turvallisuustietoisuus kohentunut entisestään
Virastossa toteutettiin turvallisuuskulttuuria mittaava vuosittainen kyselytutkimus jo neljännen kerran. Vuoden 2023 kyselyyn vastasi noin joka kolmas virastolainen. Kysely koostui edellisen tapaan turvallisuusjohtamiseen, tietoturvallisuuteen, riskienhallintaan ja tietosuojaan liittyvistä kysymyksistä. Näiden lisäksi kyselyssä oli paloturvallisuuteen, toimitiloista pelastautumiseen ja ensiapuun liittyviä aiheita. Lisäksi kyselyllä haluttiin mitata henkilöstön osallistumista riskienhallinnan ja varautumisen suunnitteluun.
Turvallisuustietoisuus koostuu riittävästä tietopohjasta ja motivaatiosta noudattaa turvallisuuteen liittyviä toimintamalleja. Tutkimustulokset osoittavat, että turvallisuustietoisuuden taso on kehittynyt edelleen positiiviseen suuntaan, samoin henkilöstön mielipide viraston turvallisuuskulttuurin tasosta on kehittynyt jälleen edellisestä vuodesta.
Kyselyn mukaan virastolaisten ymmärrys viraston kokonaisturvallisuuden hallintamallista on kehittynyt niin ikään edelleen. Lisäksi viranomaisen asiakirjojen luokitteluosaamisessa on edelleen merkittävää positiivista muutosta suhteessa vuoteen 2020.
Tietosuojan organisointia ja tieturvaloukkausten käsittelyprosessia kehitettiin
Kehitimme tietosuojan organisointia ja tiivistimme verkostotyötä
Vuonna 2023 virastossa vahvistettiin toimintakokonaisuuksien tietosuojaosaamista. Toimintakokonaisuuksiin nimettiin omat tietosuoja-asiantuntijat, jotka toimivat ensivasteena viraston henkilöstön tietosuojakysymyksille. Virastoon perustettiin myös uusi, tietosuoja-asiantuntijoista muodostuva tietosuojaverkosto, jota johtaa viraston tietosuojavastaava. Verkoston tarkoituksena on tukea tietosuoja-asiantuntijoita työssään. Verkostossa jaetaan hyviä käytänteitä, koulutetaan ja kehitetään viraston tietosuojatyötä.
Sujuvoitimme henkilötietojen tietoturvaloukkausten käsittelyprosessia
Viraston prosessia henkilötietojen tietoturvaloukkausten käsittelemiseksi on kehitetty. Henkilötietojen tietoturvaloukkaustapaukset käsitellään nykyisin viraston toimintakokonaisuuksissa, jossa tehtävään erikseen nimetyt asiantuntijat selvittävät, analysoivat ja dokumentoivat kullekin toimintakokonaisuuksille kuuluvat henkilötietojen tietoturvaloukkaukset. Muutoksella on tavoiteltu entistä tehokkaampaa henkilötietojen tietoturvaloukkausten käsittelyä, kun poikkeamien selvittämisestä vastaavat henkilöt, jotka tuntevat oman toimintakokonaisuutensa erityispiirteet.
Riskienhallintaa ja turvallisuuskoulutuksia kehitettiin edelleen
Kokonaisvaltaisen riskienhallintamallin kehitystyötä jatkettiin
Traficomin kokonaisvaltaisen riskienhallinnan raportointimallin jalkautus lähti hyvin käyntiin vuoden 2023 aikana. Viraston organisaatioyksiköt koostivat määräajoin oman riskienhallinnan tilannekuvansa osaksi koko viraston riskikoontia, joka esiteltiin johtoryhmälle osana kokonaisturvallisuuden tilannekuvaa. Vuoden aikana järjestettiin myös koko viraston läpileikkaavia riskityöpajoja, joissa tunnistettiin koko virastoa koskevia yhteisiä riskejä.
Uusi riskienhallintatyökalu virastomme käyttöön
Virasto sai joulukuussa 2023 uuden riskienhallintatyökalun virastomme käyttöön. Uusi työkalu auttaa varmistamaan viraston tavoitteiden saavuttamista. Riskienhallintatyökalu tukee viraston kokonaisvaltaista riskienhallintaa mahdollistamalla systemaattisemman ja koordinoidumman riskien arvioinnin. Uuden työkalun avulla pystymme seuraamaan järjestelmällisemmin toiminnan jatkuvuutta sekä toimintaedellytysten säilyttämistä kokonaisvaltaisen riskienhallinnan avulla.
Uuden riskienhallintatyökalun avulla tehdään virastomme sisäistä riskien arviointia, josta raportoidaan kokonaisturvallisuuden hallintamallin mukaisesti riskienarvioinnin tilannekuvaa viraston johtoryhmälle.
Riskienhallintaverkosto kasvattaa virastomme riskienhallinnan osaamisen tasoa
Riskienhallintaverkoston toiminta on virastomme neljäntenä vuonna jo vakiintunutta. Kokouksia järjestettiin säännöllisesti noin kuukausittain. Kokouksissa koulutettiin eri riskienhallinnan kokonaisuuksia esimerkiksi ISO 31001-standardin eri osa-alueet. Koulutusmateriaalit on tallennettu ja niistä on koottu kaksi erillistä verkkokoulutuskokonaisuutta kaikkien virastolaisten käyttöön. Syksyllä 2023 mittasimme kyselyllä riskienhallintaverkoston onnistumista ja saimme kokonaisarvosanaksi yli 8 (asteikolla 1-10).
Turvallisuuden osaamispolut kehittyivät
Olemme saaneet käyttöömme uuden koulutusten suunnittelu- ja seurantajärjestelmän, joka on tehostanut osaamispolkujen suunnittelua ja henkilöiden koulutusten ja osaamisen seurantaa. Syksyllä 2023 linjattiin, että kaikkien Viraston virkahenkilöiden tulee suorittaa uuden mallinen turvallisuusperehdytyspolku kevään 2024 aikana. Turvallisuuden koulutukset ovat jatkuva kehityksen kohde ja tärkeä osa kokonaisturvallisuuden hallintamallin käytännön implementointia.
Henkilöstö kokee tärkeäksi pakolliset turvallisuuskoulutukset
Alkuvuodesta 2024 tehtyyn turvallisuuskulttuurikyselyyn vastasi 365 henkilöä. Vastausten perusteella 81 prosenttia on osallistunut viraston järjestämään turvallisuuskoulutukseen ja osallistuneista 81 prosenttia oli joko osittain samaa mieltä tai täysin samaa mieltä siitä, että koulutus kehitti heidän osaamistaan positiivisesti. Vastaajista 76 prosenttia koki tärkeänä, että virastossa on määritelty pakolliset turvallisuuskoulutukset.