Tietosuoja-asetus astuu voimaan ensi vuoden toukokuussa. Kirjoitin jo aikaisemmin mitä ITILin palvelustrategiasta ja palvelusuunnitelusta voi hyödyntää tietosuojan saralla. Myös palvelutransitio-elinkaarivaiheesta löytyy paljon ideoita, joita voi hyödyntää tietosuojan parantamiseksi.
ITILin palvelutransitio opastaa, millä periaatteilla kannattaa hallita palveluiden ja prosessien rakentamista ja tuotantoon vientiä. Lisäksi se opastaa organisoimaan päätöksentekoa ja hallitsemaan palveluihin liittyvää tietoa sen kaikissa muodoissaan. Palvelutransition tavoitteena on systemaattinen muutoksia koskeva päätöksenteko sekä toteutus. Koska asiakastarpeet ja mahdollisuudet muuttuvat jatkuvasti, myös palvelutransitio on luonteeltaan jatkuvaa toimintaa.
Tietosuoja tulee huomioida sekä uuden palvelun teknisiä valintoja tehtäessä että uusien muutoksien yhteydessä. Muutoksen vaikutusta palveluun tietosuojan näkökulmasta tulee arvioida siinä missä vaikutusta tietoturvaan, jatkuvuuteen, kapasiteettiin tai saatavuuteen.
ITILin palvelutransitio tukee tietosuojan tavoitteita ja vaatimuksiin vastaamista mm. seuraavasti:
- Suunnittelun koordinointi –prosessissa transitioiden toteuttamista mietitään prosessien rajat ylittävän kokonaisuutena. Kannattaa kerätä ja jakaa organisaatiokohtaisia parhaita käytäntöjä muutoksien läpiviennin kannalta. Palvelurajat ylittävien muutoksen toteuttaminen vaatii usein erillistä koordinointia. Muutoksia tekevillä henkilöillä on yleensä tekniikan kautta pääsy palveluitten dataan. Nämä kaikki ovat asioita, joita pitää miettiä myös tietosuojan näkökulmasta ja tietosuojaan koskevien muutoksien toteuttamisessa.
- Muutoksenhallinnassa tehdään päätökset muutoksien rakentamisesta, tuotantoon viemisestä ja lopullisesta hyväksymisestä. Tietosuojaan liittyvät päätökset pitää tehdä sovitulla tavalla. Muutoksien vaikutuksen analysoinnissa ja teknisissä vaatimuksissa pitää huomioida tietosuojan vaatimukset.
- Palveluomaisuuden –ja konfiguraationhallinnassa pidetään yllä rakenteellista tietoa palveluista ja niiden rakenneosista sekä näiden välisistä suhteista. Sama lähestymistapa vastuineen sopii myös palveluiden tietosisällön kartoittamiseen ja hallintaan. Jos tietosuojan alaista tietoa pitää lähteä organisaatiosta etsimään niin tämän prosessin hallinnassa olevat tietosisällöt ovat hyvä paikka aloittaa.
- Jakelun- ja käyttöönotonhallinnassa rakennetaan uusi toiminnallisuus ja viedään se tuotantoon. Certified Information Privacy Technologist –kurssi antaa eväitä minkälaisia teknologisia valintoja kannattaa tehdä tässä vaiheessa.
- Palvelua validoitaessa ja testatessa kannattaa miettiä minkälaisella datalla testaus tehdään. Mitä enemmän testissä käytetään oikeaa tuotantodataa niin sitä luotettavampi testi on, mutta samalla pitää huomioida tuotantodatan käyttöön liittyvät tietosuojavaatimukset.
- Tietämyksenhallinnassa kerätään ja jaetaan tietämystä palveluiden tuottamisen laadun parantamiseksi ja toiminnan tehostamiseksi. Organisaatiossa käytettävät tiedon jakamisen työkalut pitää määrittää ja samalla on hyvä tarkastella minkälaisia asioita kuhunkin työkaluun saa ja kannattaa kirjata.
ITILin palvelutransitiossa rakennetaan ja muokataan palveluita, joiden tietosisällön tietosuojasta pitää huolehtia. Tietosuojan vaatimukset pitää toteuttaa palveluita rakennettaessa ja vaatimuksista täytyy pitää kiinni myös palveluita muutettaessa. Palvelutransition työkaluista löytyy paljon apuja tietosuojan hallinnointiin ja hahmottamiseen. Lopputuloksena on uusi tai muuttunut palvelu, joka täyttää vaatimukset myös tietosuojan näkökulmasta.
Jos aihepiiri kiinnostaa, suosittelen tutustumaan seuraaviin kursseihin:
ITIL perus- ja jatkokoulutukset
Privacy-koulutukset
Oppimisen verkkokaupasta voit kuunnella myös maksuttomia webinaareja aiheeseen liittyen. Jo pidetyt webinaarit voit aina kuunnella jälkitallenteena!
Turvallisuus kilpailuetuna – harjoittelu tekee mestarin (pidetty maaliskuussa 2017) Puhumassa kyberturvallisuusjohtaja Jarno Limnéll (Insta Group Oy) sekä asiakkuus- ja kehitysjohtaja Martti Setälä (Insta Trust Oy).
Kirjoittaja on työskennellyt prosessien ja toiminnan kehittämisen ja arvioinnin alueella yli 10 vuotta. Päätoimisesti IT-palveluiden prosessien määrittelyn, kehittämisen ja johtamisen alueella hän on toiminut vuodesta 2005. Hän on konsultoinut ja valmentanut useita suomalaisia ja kansainvälisiä yrityksiä ja organisaatioita ITIL/ITSM prosessien määrittelyihin, käyttöönottoon ja kehittämiseen liittyen. Lari on myös Suomen ensimmäinen sertifioitu ITIL Practitioner -kouluttaja.
Lisää tietoa tästä ja muista mielenkiintoisista aiheista löydät Oppia.fi > koulutukset
Kysymyksiä kirjoittajalle? Laita viestiä lari.peltoniemi@wakaru.fi