| Turun kaupunki | § | Päätöspöytäkirja | 1 |
| Konsernihallinto | |||
| Kansliapäällikkö | 91 | 20.03.2023 | |
1453-2023 (07 01 00, 02 08 00)
Turun kaupungin lausunto tiedonhallintalautakunnan suosituksesta koskien tietoturvallisuutta hankinnoissa
Hankintapäällikkö Susanna Sarvanto-Hohtari, tietoturvapäällikkö Pasi Kalevo ja lakimies Kari Paara 13.3.2023:
Asian tausta
Tiedonhallintalautakunta on antanut mahdollisuuden antaa lausunnon koskien luonnosta suositukseksi tietoturvallisuudesta hankinnoissa.
Julkisen hallinnon tiedonhallinnasta annetussa laissa (906/2019) on säädetty tietoturvallisuustoimenpiteisiin liittyviä vastuita julkisen hallinnon tiedonhallintayksiköille ja viranomaisille sekä yksityisille henkilöille ja yhteisöille taikka muille kuin viranomaisena toimiville julkisoikeudellisille yhteisöille, siltä osin kuin ne hoitavat julkista hallintotehtävää. Lisäksi laissa säädetään tietoturvallisuustoimenpiteiden vähimmäistasosta ja tiedonhallintayksikön velvollisuudesta tunnistaa olennaiset tietojenkäsittelyyn kohdistuvat riskit ja mitoittaa tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti.
Suositus tietoturvallisuudesta hankinnoissa opastaa viranomaisia hankintoihin liittyvien tietoturvallisuusvaatimusten määrittelyssä sekä niiden täyttymisen varmistamisessa. Suosituksen liitteissä on hankintoihin suositeltavia tietoturvallisuusvaatimuksia, joita viranomaiset voivat hyödyntää hankintasopimusten liitteinä sekä hankintaehtotyökalu tarkempien tietoturvallisuusvaatimusten määrittelyyn.
Toimivalta
Hallintosäännön 39 §:n 3 kohdan mukaan kansliapäällikön tehtävänä on antaa kaupungilta pyydetyt lausunnot, tiedot ja selvitykset, jotka koskevat useampaa palvelukokonaisuutta tai muutoin edellyttävät palvelukokonaisuuksien rajat ylittävää harkintaa tai kaupungin kokonaisnäkemyksen muodostamista, ellei pormestari lausu asiasta.
Lausunto
Turun kaupunki suhtautuu myönteisesti suosituksen tavoitteisiin parantaa hankintojen laatua tietoturvanäkökulmasta julkisissa hankinnoissa.
Turun kaupunki pitää sinänsä positiivisena sitä, että suosituksessa on viitattu tietosuoja-asetuksen edellyttämien tietosuojaliitteiden osalta kohtaan Digi- ja väestötietoviraston Digiturvajulkaisut sivustolle kohtaan ”Oppaat ja hyvät käytännöt”. Turun kaupunki kuitenkin katsoo, että suosituksessa ei ole tarpeellista viitata sivustolle toistuvasti.
Turun kaupunki toteaa, että suosituksen liitteenä 2 on hankintaehtotyökalu, jonka avulla hankintayksikkö voi muodostaa hallinnollisen turvallisuuden, fyysisen turvallisuuden, teknisen turvallisuuden sekä varautumisen ja jatkuvuudenhallinnan liitteet tietoturvallisuusvaatimuksista. Turun kaupunki katsoo, että sisällöllisesti hankintaehtotyökalu on hyvä, mutta näkee mahdollisia haasteita työkalun Excel-pohjaisen käyttöliittymän osalta. Turun kaupunki pitää mahdollisena, että työkalun käyttäminen saattaa olla käyttöliittymän vuoksi haasteellista hankintaa valmistelevalle taholle.
Turun kaupungilla ei ole huomautettavaa tietoturvan osalta suosituksen liitteisiin 1 a ja 1 b.
Kansliapäällikkö Tuomas Heikkinen:
PäätösPäätin antaa edellä olevan lausunnon luonnoksesta suositukseksi tietoturvallisuudesta hankinnoissa.
Tuomas Heikkinen
kansliapäällikkö
Jakelu
lausTiedonhallintalautakunta
tiedKaupunginhallitus
tiedKonsernihallinto, lakipalvelut
tiedXXXXX
tiedXXXXX
tpvXXXXX
tiedXXXXX
tiedXXXXX