Uppdatering av statsförvaltningens riktlinjerna för användningen molntjänster
Diarienummer för begäran om utlåtande: VN/3115/2023
Svarstiden gick ut: 10.3.2023
Uppgifter om begäran om utlåtande
Språket i begäran om utlåtande:
Inledning
Till finansministeriets ansvarsområde hör de allmänna grunderna för informationspolitiken, informationshanteringen och den elektroniska kommunikationen inom den offentliga förvaltningen och frågor som gäller den allmänna utvecklingen och styrningen av informationshanteringen inom den offentliga förvaltningen. För att utveckla informationshanteringen inom statsförvaltningen håller finansministeriet på att bereda uppdaterade riktlinjer för användningen av molntjänster.
Bakgrund
År 2019 publicerade finansministeriet riktlinjer om molntjänster för den offentliga förvaltningen (VM/276/00.01.00.01/2018). Finansministeriet gav 2020 dessutom ut tillämpningsanvisningar för riktlinjerna om molntjänsterna (Finansministeriets publikationer 2020:73). Syftet med riktlinjerna om molntjänsterna har varit att ge den offentliga förvaltningen informationsstyrning som stöd för användningen av molntjänster. Avsikten med de nya riktlinjerna är att precisera innehållet i de riktlinjer som getts tidigare så att de beaktar de förändringar som skett i användningen av molntjänster och i omvärlden. I princip har motiveringarna och målen för de gällande riktlinjerna om molntjänster inte ändrats. De nya riktlinjerna kommer att vara en uppdatering av de gällande riktlinjerna.
Riktlinjerna för användning av molntjänster hos staten har beretts under 2022 av en arbetsgrupp för molntjänster vid Statens center för informations- och kommunikationsteknik Valtori. Valtoris kundorganisationer har i bred utsträckning deltagit i beredningen av riktlinjerna, och berörda grupper har hörts i samband med beredningen. I nuläget är det meningen att de nya riktlinjerna om molntjänster ska publiceras som riktlinjer för statsförvaltningen. Utgångspunkten är att riktlinjerna i tillämpliga delar ska kunna utnyttjas också av övrig offentlig förvaltning.
Avsikten är att det vid den fortsatta beredningen även ska utarbetas uppdaterade tillämpningsanvisningar till riktlinjerna. Det är meningen att tillämpningsanvisningarna ska ges i form av så kallade åtgärdskort med närmare beskrivningar av de förfaranden som hänför sig till riktlinjerna, till exempel i fråga om riskhantering, resultat osv.
Riktlinjerna för användning av molntjänster hos staten har beretts under 2022 av en arbetsgrupp för molntjänster vid Statens center för informations- och kommunikationsteknik Valtori. Valtoris kundorganisationer har i bred utsträckning deltagit i beredningen av riktlinjerna, och berörda grupper har hörts i samband med beredningen. I nuläget är det meningen att de nya riktlinjerna om molntjänster ska publiceras som riktlinjer för statsförvaltningen. Utgångspunkten är att riktlinjerna i tillämpliga delar ska kunna utnyttjas också av övrig offentlig förvaltning.
Avsikten är att det vid den fortsatta beredningen även ska utarbetas uppdaterade tillämpningsanvisningar till riktlinjerna. Det är meningen att tillämpningsanvisningarna ska ges i form av så kallade åtgärdskort med närmare beskrivningar av de förfaranden som hänför sig till riktlinjerna, till exempel i fråga om riskhantering, resultat osv.
Målsättningar
Förslag till riktlinjer om molntjänster för staten
1. Molntjänster i första hand (Cloud 1st) som strategi: En molntjänst eller molnbaserad teknik ska väljas i första hand, om det inte finns några grunder som hindrar det.
Mål: Nya produktifierade och mer informationssäkra tjänster och förmågor är lättillgängliga och lätta att ta i bruk. Tjänsterna möjliggör flexibel användning och anskaffning av kapacitet.
2. Moln- och ekosystemlösningarna ska i regel produceras inom EU/EES-området.
Mål: Det säkerställs att genomförandet och administrationen/hanteringen av tjänsterna och databehandlingen alltid, om möjligt, sker inom ramen för EU/EES-områdets lagstiftning och att undantag godkänns av informationshanteringsenhetens eller myndighetens ledning genom ett riskbaserat beslut.
3. Statens gemensamma moln- och ekosystemlösningar ska väljas i första hand, om det inte finns några grunder som hindrar det.
Mål: Ett mer omfattande utnyttjande av statens gemensamma lösningar och säkerställande av deras interoperabilitet.
4. Konkurrensutsättning och upphandling av molnplattformstjänster ska i första hand göras genom statsförvaltningens allmänna upphandlingskontrakt.
Mål: Valtori och Hansel tillhandahåller myndigheterna uppdaterade upphandlingskontrakt för upphandling av molnplattformstjänster samt erbjuder dem också tillhörande stödtjänster. Myndigheten svarar för valet av tjänster i enlighet med sin egen strategi och sina egna mål.
5. Upphandlingen, ibruktagandet och utnyttjandet av molntjänster ska hanteras som upphandling eller ändring av vilken annan tjänst som helst.
Mål: Det säkerställs att upphandlingen och ändringshanteringen sker ändamålsenligt och omsorgsfullt i enlighet med statens och myndigheternas processer.
6. Offentlig information kan behandlas i en offentlig molntjänst, när informationssäkerheten, dataskyddet och kontinuitetshanteringen har genomförts, verifierats och tagits i bruk i enlighet med kraven och genom ett riskbaserat beslut av informationshanteringsenhetens eller myndighetens ledning.
Mål: Det görs möjligt att använda och utnyttja offentlig information i molntjänster. Genom klassificering av informationen har det säkerställts att den aktuella tjänsten innehåller endast offentlig information.
7. Information som är sekretessbelagd men inte säkerhetsklassificerad kan behandlas i en offentlig molntjänst, när informationssäkerheten, dataskyddet och kontinuitetshanteringen har genomförts, verifierats och tagits i bruk i enlighet med kraven och genom ett riskbaserat beslut av informationshanteringsenhetens eller myndighetens ledning.
Mål: Det görs möjligt att använda och utnyttja sekretessbelagd information som inte är säkerhetsklassificerad i molntjänster. Genom klassificering av informationen har det säkerställts att den aktuella tjänsten innehåller endast sådan sekretessbelagd information som inte är säkerhetsklassificerad.
8. Personuppgifter kan behandlas i en offentlig molntjänst, när informationssäkerheten, dataskyddet och kontinuitetshanteringen har genomförts, verifierats och tagits i bruk i enlighet med kraven och genom ett riskbaserat beslut av informationshanteringsenhetens eller myndighetens ledning.
Mål: Det görs möjligt att använda och utnyttja personuppgifter i molntjänster. Genom klassificering av informationen har det säkerställts att när den aktuella tjänsten innehåller personuppgifter har de åtgärder som den kräver vidtagits vid överföring av personuppgifter till områden utanför EES-området och att de särskilda dataskyddskraven för dataöverföringen uppfylls.
9. Information av säkerhetsklass IV kan behandlas i en offentlig molntjänst, när informationssäkerheten, dataskyddet och kontinuitetshanteringen har genomförts, verifierats och tagits i bruk i enlighet med kraven och genom ett riskbaserat beslut av informationshanteringsenheten eller myndighetens ledning.
Mål: Det görs möjligt att använda och utnyttja säkerhetsklassificerad information i molntjänster. I riskbedömningen har man beaktat hela den leveranskedja som använts vid produktionen av tjänsten. Genom klassificeringen av information har det säkerställts att den aktuella tjänsten innehåller endast sådan information av säkerhetsklass IV som får lämnas ut till de länder som har möjlighet att inverka på molntjänsten i fråga genom lagstiftning. Om uppgifterna inte får lämnas ut till andra stater som har bestämmande inflytande över tjänsten, ska tjänsten genomföras genom nationella molntjänster, förutsatt att de uppfyller kraven.
1. Molntjänster i första hand (Cloud 1st) som strategi: En molntjänst eller molnbaserad teknik ska väljas i första hand, om det inte finns några grunder som hindrar det.
Mål: Nya produktifierade och mer informationssäkra tjänster och förmågor är lättillgängliga och lätta att ta i bruk. Tjänsterna möjliggör flexibel användning och anskaffning av kapacitet.
2. Moln- och ekosystemlösningarna ska i regel produceras inom EU/EES-området.
Mål: Det säkerställs att genomförandet och administrationen/hanteringen av tjänsterna och databehandlingen alltid, om möjligt, sker inom ramen för EU/EES-områdets lagstiftning och att undantag godkänns av informationshanteringsenhetens eller myndighetens ledning genom ett riskbaserat beslut.
3. Statens gemensamma moln- och ekosystemlösningar ska väljas i första hand, om det inte finns några grunder som hindrar det.
Mål: Ett mer omfattande utnyttjande av statens gemensamma lösningar och säkerställande av deras interoperabilitet.
4. Konkurrensutsättning och upphandling av molnplattformstjänster ska i första hand göras genom statsförvaltningens allmänna upphandlingskontrakt.
Mål: Valtori och Hansel tillhandahåller myndigheterna uppdaterade upphandlingskontrakt för upphandling av molnplattformstjänster samt erbjuder dem också tillhörande stödtjänster. Myndigheten svarar för valet av tjänster i enlighet med sin egen strategi och sina egna mål.
5. Upphandlingen, ibruktagandet och utnyttjandet av molntjänster ska hanteras som upphandling eller ändring av vilken annan tjänst som helst.
Mål: Det säkerställs att upphandlingen och ändringshanteringen sker ändamålsenligt och omsorgsfullt i enlighet med statens och myndigheternas processer.
6. Offentlig information kan behandlas i en offentlig molntjänst, när informationssäkerheten, dataskyddet och kontinuitetshanteringen har genomförts, verifierats och tagits i bruk i enlighet med kraven och genom ett riskbaserat beslut av informationshanteringsenhetens eller myndighetens ledning.
Mål: Det görs möjligt att använda och utnyttja offentlig information i molntjänster. Genom klassificering av informationen har det säkerställts att den aktuella tjänsten innehåller endast offentlig information.
7. Information som är sekretessbelagd men inte säkerhetsklassificerad kan behandlas i en offentlig molntjänst, när informationssäkerheten, dataskyddet och kontinuitetshanteringen har genomförts, verifierats och tagits i bruk i enlighet med kraven och genom ett riskbaserat beslut av informationshanteringsenhetens eller myndighetens ledning.
Mål: Det görs möjligt att använda och utnyttja sekretessbelagd information som inte är säkerhetsklassificerad i molntjänster. Genom klassificering av informationen har det säkerställts att den aktuella tjänsten innehåller endast sådan sekretessbelagd information som inte är säkerhetsklassificerad.
8. Personuppgifter kan behandlas i en offentlig molntjänst, när informationssäkerheten, dataskyddet och kontinuitetshanteringen har genomförts, verifierats och tagits i bruk i enlighet med kraven och genom ett riskbaserat beslut av informationshanteringsenhetens eller myndighetens ledning.
Mål: Det görs möjligt att använda och utnyttja personuppgifter i molntjänster. Genom klassificering av informationen har det säkerställts att när den aktuella tjänsten innehåller personuppgifter har de åtgärder som den kräver vidtagits vid överföring av personuppgifter till områden utanför EES-området och att de särskilda dataskyddskraven för dataöverföringen uppfylls.
9. Information av säkerhetsklass IV kan behandlas i en offentlig molntjänst, när informationssäkerheten, dataskyddet och kontinuitetshanteringen har genomförts, verifierats och tagits i bruk i enlighet med kraven och genom ett riskbaserat beslut av informationshanteringsenheten eller myndighetens ledning.
Mål: Det görs möjligt att använda och utnyttja säkerhetsklassificerad information i molntjänster. I riskbedömningen har man beaktat hela den leveranskedja som använts vid produktionen av tjänsten. Genom klassificeringen av information har det säkerställts att den aktuella tjänsten innehåller endast sådan information av säkerhetsklass IV som får lämnas ut till de länder som har möjlighet att inverka på molntjänsten i fråga genom lagstiftning. Om uppgifterna inte får lämnas ut till andra stater som har bestämmande inflytande över tjänsten, ska tjänsten genomföras genom nationella molntjänster, förutsatt att de uppfyller kraven.
Bilagor:
VN_3115_2023-VM-3 Valtionhallinnon pilvipalvelulinjaukset - lausuntopyyntö_SV.pdf - Finansministeriets begäran om utlåtande om riktlinjer om molntjänster för statsförvaltningen VN/3115/2023-VM-3
Tidtabell
Vi ber er lämna ert utlåtande senast den 10 mars 2023.
Svarsanvisningar för mottagare
Ni kan lämna utlåtande genom att svara på den begäran om utlåtande som finns i webbtjänsten utlåtande.fi. Begäran om utlåtande har sänts separat till ministerierna.
För att ni ska kunna lämna ett utlåtande krävs registrering och inloggning på utlåtande.fi. Närmare anvisningar för användning av tjänsten finns på webbplatsen utlåtande.fi under fliken Anvisningar> Bruksanvisningar. Om ni behöver mer stöd för användning av tjänsten, kontakta lausuntopalvelu.om@gov.fi.
Alla utlåtanden som lämnas via utlåtande.fi är offentliga och publiceras på utlåtande.fi.
Även andra än de som nämns i sändlistan kan lämna ett utlåtande.
För att ni ska kunna lämna ett utlåtande krävs registrering och inloggning på utlåtande.fi. Närmare anvisningar för användning av tjänsten finns på webbplatsen utlåtande.fi under fliken Anvisningar> Bruksanvisningar. Om ni behöver mer stöd för användning av tjänsten, kontakta lausuntopalvelu.om@gov.fi.
Alla utlåtanden som lämnas via utlåtande.fi är offentliga och publiceras på utlåtande.fi.
Även andra än de som nämns i sändlistan kan lämna ett utlåtande.
Beredare
Mer information om begäran om utlåtande ges av informationsförvaltningsrådet Tommi Kangasaho (tfn 0295 530 264, tommi.kangasaho(at)gov.fi) vid den offentliga förvaltningens informations- och kommunikationstekniska avdelning.
Sändlista:
| Liikenne- ja viestintäministeriö | ||
| Maa- ja metsätalousministeriö | ||
| Oikeusministeriö | ||
| Opetus- ja kulttuuriministeriö | ||
| Puolustusministeriö | ||
| Sisäministeriö | ||
| Sosiaali- ja terveysministeriö | ||
| Työ- ja elinkeinoministeriö | ||
| Ulkoministeriön edustustot | ||
| Valtioneuvoston kanslia | ||
| Valtiovarainministeriö | ||
| Ympäristöministeriö |