LIITE 1      

 

 

7.2.2012      1579-2012 (21)

 

 

 

Yhtenäinen seurantamenettely riskienhallintaan, tietoturvallisuuteen ja valmius-suunnitteluun

 

Päätösehdotuksella saatetaan riskienhallinta, tietoturvallisuus ja valmiussuunnittelu luottamusorganisaation valvonnan kannalta menettelyltään samanlaiseksi (valmiussuunnittelun mukaiseksi).

 

Valmiussuunnittelussa lautakunta/johtokunta arvioi toimialansa valmiussuunnitelman tilan ja raportoi siitä kaupunginhallitukselle kerran vuodessa. Riskienhallintapäällikkö kokoaa raporteista yhteenvedon kaupunginhallitukselle (Kh 4.10.2011 § 448).

 

Valmiussuunnittelulla pyritään varmistamaan toiminta häiriötilanteissa ja poikkeusoloissa (valtioneuvosto päättää).

Riskienhallinnalla ja tietoturvallisuudella etsitään riskejä ja päätetään niiden hallinnasta. Tietoturvallisuuden riskit saattavat olla toiminnan kannalta niin merkittäviä, että ovat myös riskienhallinnan riskejä. Riskienhallinta katsoo koko toimintaa ja tietoturvallisuus toiminnan ja tietojen tietoturvallisuutta.

 

Valmiussuunnittelu perustuu valmiuslakiin ja valtioneuvoston päätökseen 16.12.2010 Yhteiskunnan turvallisuusstrategia sekä niistä johdettuun kaupunginhallituksen päätökseen 4.10.2011 § 448 Turun kaupungin valmiussuunnitelman yleinen osa 2011. Päätös sisältää luottamusorganisaation seurantamenettelyn.

 

Tietoturvallisuus perustuu lukuisiin lakeihin ja hyvään hallintotapaan. Kaupunginhallitus on päättänyt 23.5.2011 § 256 tietoturvallisuuden hallintapolitiikan ja tietoturvallisuuden organisoinnin ohjaamaan kaupungin tietoturvallisuustyötä. Luottamusorganisaation seurantamenettely puuttuu.

 

Riskienhallinta perustuu hyvään hallintotapaan ja Työ- ja elinkeinoministeriön kirjanpitolautakunnan kuntajaoston tilinpäätösohjeeseen. Koska tilinpäätöksessä tarkastellaan riskienhallintaa ja riskejä, seuraa tästä raportoinnille aikataulutus. Riskienhallinnassa on kansliapäällikön Kp/10 4.1.2010 § 1 päättämä riskienhallintaopas ohjaamassa työtä. Luottamusorganisaation seurantamenettely puuttuu.

 

Ehdotus toimintamalliksi:

 

Lautakunta/johtokunta arvioi vuosittain alaisensa toiminnan riskienhallintatyön ja tietoturvallisuustyön sekä nimeää viisi (5) merkittävintä riskiä ja viisi (5) merkittävintä tietoturvallisuusriskiä. Arviossa paneudutaan edellisten merkittävien riskien hallinnoinnin onnistumiseen sekä nykyisten riskien etsimismenettelyjen kattavuuteen. Arviot ja riskit raportoidaan kaupunginhallitukselle. Riskienhallintapäällikkö kokoaa raporteista yhteenvedon riskienhallinnasta tilinpäätökseen ja riskienhallinnasta ja tietoturvallisuuden hallinnasta kaupunginhallitukselle.

 

Tilinpäätösohjeistuksessa annetaan aikataulu riskienhallinnan arvioiden ja riskiluettelon toimituksesta keskushallinnolle.