Valtionhallinnon tietoturvallisuuden johtoryhmän Vahti-julkaisu Tietoturvallisuudella tuloksia – yleisohje tietoturvallisuuden johtamiseen ja hallintaan käsittelee tietoturvallisuutta erityisesti sen johtamisen kannalta ja toimii valtion tietoturvatyön yleisohjeena.

Yhtä lailla organisaation johto kuin henkilöstökin vastaavat toimintojen, palvelujen, prosessien ja järjestelmien tietoturvallisuuden tasosta. Tietoturvallisuus on organisaation toiminnan laatutekijä sekä hyvän tiedonhallinta- ja hallintotavan perusta. Säädökset velvoittavat organisaatioita ja niissä työskenteleviä huolehtimaan toimintansa tietoturvallisuudesta.

Johdon tehtävänä on osana omaa johtamistoimintaansa varmistaa organisaation toiminnan tietoturvallisuus. Ohjeen mukaan korkean tietoturvallisuuden tason saavuttamiseksi henkilöstön hyvinvointiin ja motivointiin tulee kiinnittää erityistä huomiota. Tämä ei kuitenkaan välttämättä tarkoita, että kyllästynyt työntekijä ryhtyisi hetimiten tietovarkaaksi.

- Motivoitunut henkilökunta hoitaa tietoturvankin paremmin. Motivaatio parantaa huolellisuutta; jos työntekijä esimerkiksi lähettää sähköpostin väärälle henkilölle, jo silloin tietoturva voi murtua, huomauttaa neuvotteleva virkamies ja Vahtin puheenjohtaja Mikael Kiviniemi valtiovarainministeriöstä.

Ohje korvaa aiemman Vahti-julkaisun "1/2001 Valtion viranomaisten tietoturvallisuustyön yleisohje", joka on nyt uudistettu perusteellisesti. Ohje toimii johdantona kattavaan Vahtin tuottamaan, erityisesti hallinnon käyttöön tarkoitettuun tietoturvallisuutta koskevaan ohje- ja suositusmateriaalin.

- Vahti-ohjeisto kaiken kaikkiaan on vuoden 2001 jälkeen laajentunut hyvin paljon. Tämän ohjeen roolina on ollut toimia kokonaisohjeena laajaan tietoturvan kenttään. On myös tapahtunut jonkin verran säädöskehitystä, ja tietoturva-asioissa kaikkinensa on tapahtunut hyvin paljon kehitystä. Tässä ei nyt ole uudistettu vain yksittäisiä lukuja, vaan yleisohjeeseen on tullut aivan uusia osioita, Kiviniemi korostaa.

Ohjeen liitteistä esimerkiksi löytyy taulukoita, joista selviää, mitä eri tehtävärooleissa toimivien henkilöiden pitäisi tietoturvan osalta tehdä. Kyse on siis hyvistä käytännöistä.