Kaupunkiyhteisen tietoturvajohtamisen muutoshankkeen käynnistäminen ja tietoturvajohtamisen muutoshankkeen ohjausryhmän asettaminen

HEL 2025-005935
Tiedon hallinta
Other decisions for the policymaker
§ 79

Kaupunkiyhteisen tietoturvajohtamisen muutoshankkeen käynnistäminen ja tietoturvajohtamisen muutoshankkeen ohjausryhmän asettaminen

Kansliapäällikkö

Päätös

Kansliapäällikkö päätti käynnistää kaupunkiyhteisen Tietoturvajohtamisen muutoshankkeen.

Muutoshankkeessa noudatetaan kaupungin merkittävien muutoshankkeiden hallintamallia (kansliapäällikkö 12.10.2023 § 14).

Samalla kansliapäällikkö päätti asettaa tietoturvajohtamisen muutoshankkeelle ohjausryhmän, jonka tehtävänä on ohjata ja seurata muutoshankkeen etenemistä, vastata hankesuunnitelman mukaisten tuotosten valmistelun ohjaamisesta sekä varmistaa tavoitteiden saavuttamista tukevat voimavarat läpi kaupungin organisaatioiden ja riittävän kaupunkitason hankeseurannan ja -hallinnan.

Ohjausryhmän jäsenet ovat:

  • Markus Kühn, strategiajohtaja, kaupunginkanslia, puheenjohtaja 
  • Hannu Heikkinen, digitalisaatiojohtaja, kaupunginkanslia, varapuheenjohtaja 
  • Riitta Laanala, ohjelmapäällikkö, kaupunginkanslia
  • Mikael Inkinen, tietoturvapäällikkö, kaupunginkanslia
  • Petri Otranen, tietohallintojohtaja, sosiaali-, terveys- ja pelastoimiala
  • Jussi Vehviläinen, kehitys- ja digitalisaatiopäällikkö, kulttuurin ja vapaa-ajan toimiala 
  • Sami Tikkanen, tietohallintojohtaja, kasvatuksen ja koulutuksen toimiala 
  • Petri Leskinen, kehitys- ja digitalisaatiopäällikkö, kaupunkiympäristön toimiala
  • Otto Pulkkinen, tietosuojavastaava, kaupunginkanslia
  • Mika Leivo, johtava tietoarkkitehti, hankejohtaja kaupunginkanslia

Päätöksen perustelut

Tietoturvajohtamisen muutoshanke

Tietoturvajohtamisen muutoshankkeen tehtävä on varmistaa ja toteuttaa kaupungin eri toimiala- ja organisaatiorajat ylittävään tietoturvallisuuden johtamiseen selkeät ja riittävät roolit, vastuut, rakenteet ja toimintatavat. Lisäksi muutoshanke varmistaa tavoitteen mukaisen laajuuden, aikataulun ja budjetin mukaiset toimenpiteet teknisen tietoturvatason parantamiseen digitalisen perustan muutos- ja kehityshankkeiden hankesalkunseurannalla. Nykyaikaisen tietoturvallisen tietoteknisen ympäristön hallinta edellyttää yhtenäiseen tilannekuvaan pohjautuvaa keskitettyä tietoturvan johtamista tilanteessa, jossa kaupungin vastuut ja tehtävät tiedonhallintaan ja tietojärjestelmiin liittyen ovat jakautuneet eri toimialoille ja toiminnoille.

Käynnistettävä muutoshanke kokoaa aiemmin erillisinä toimenpiteinä edistettyjä toimia yhden johdettavan kokonaisuuden alle. Lisäksi tietoturvan muutoshanke tukee 18.6.2024 kansliapäällikön käynnistämän kaikkia toimialoja, liikelaitoksia ja virastoja koskevan tiedonhallinnan, tietoturvan ja tietosuojan Turvaa yhteinen tietomme- toimenpideohjelman toteutumista tietoturvan osalta. Tietoturvajohtamisen muutoshankkeessa toimeenpannaan kaupungilla kasvatuksen ja koulutuksen toimialan tietomurron tutkinnan yhteydessä havaittujen puutteiden korjaukset ja tutkinnan yhteydessä saatujen suositusten mukaiset toimenpiteet sekä kyberturvallisuuslain (124/2025) ja tiedonhallintalain 4 a luvun mukaiset velvoitteet.

Muutoshankkeen tavoitteet ja hyödyt

Tietoturvajohtamisen muutoshanke varmistaa riittävät toimet kaupungin tietoturvan riskilähtöiseen johtamiseen kokonaisuutena (ts. vastuut, toimintamallit ja kontrollit) huomioiden kaupungin tietosuojaan ja tiedonhallintaan liittyvät keskeiset kehitystarpeet.  Hanke varmistaa tietoturvaa koskien säännösten ja muun vaatimustenmukaisuuden toteutumisen kaupunkiorganisaatiossa. Osana muutoshanketta varmistetaan merkittävien DigiHelsinki Oy:n vastuulla olevien korjaus- ja kehitysinvestointien läpimeno parantaen palvelutuotannon tasoa.

Tavoitteet:

  1. Tarkennetaan tietoturvan johtamiseen ja ylläpitoon liittyvät toimintatavat,roolit ja vastuut sekä käytännöt tietoturvan ylläpitämiseksi.
  2. Vahvistetaan kaupungin kykyä tunnistaa ja arvioida tietoturvariskejä sekä reagoida tietoturvapoikkeamiin. Hanke varmistaa tietoturvaa koskevan riskienhallinnan käytännöt ja niiden toteutumisen.
  3. Rakennetaan kyvykkyys toteuttaa aiemmin tunnistetut ja tulevat tietoturvan korjaustoimenpiteet yhteisesti, koordinoidusti ja tehokkaasti.
  4. Kaupunkiorganisaation osaaminen ja resurssit sekä toimeenpanokyky vastaavat tarpeita toteuttaa ja ylläpitää korkeatasoista tietoturvakulttuuria, prosesseja ja ratkaisuja.
  5. Varmistetaan tietoturvaa koskevien säännösten ja muun vaatimustenmukaisuuden toteutuminen.

Tietoturvajohtamisen muutoshankkeen 2025–2028 tuloksena kaupungin tietoturvaa johdetaan kokonaisvaltaisesti ja riskilähtöisesti. Kaupungin tietoturvaan liittyvää johtamis- ja hallintamallia toimialoilla, liikelaitoksissa ja virastoissa yhtenäistetään ja tätä myöten läpinäkyvyyttä sekä hallittavuutta parannetaan. Muutoshankkeen tuloksena kaupunkiyhteinen kyvykkyys huolehtia kriittisten palveluiden jatkuvuuden varmistamisesta sekä kriittisten häiriö- ja poikkeamatilanteiden ennakointi ja hallinta paranevat.

Muutoshankkeella tavoiteltujen hyötyjen toteutumista seurataan ja niistä raportoidaan kansliapäällikön asettamien merkittävien muutoshankkeiden hallintamallin mukaisesti. Tavoitellut hyödyt on tarkemmin kuvattu liitteenä olevassa hankesuunnitelmassa.

Muutoshanke sisältää kolme osakokonaisuutta, joista ensimmäinen keskittyy johtamiseen ja toiminnan organisointiin, toinen jatkuvuudenhallintaan ja kolmas osa-alue, joka on pääosin tilattu DigiHelsinki Oy:ltä, keskittyy infrastruktuurin parannuksiin. Kokonaisuudet on eritelty A, B ja C osa-alueiksi.

Osa-alueita ovat:

  • A Tietoturvajohtaminen ja organisointi
  • B Palveluiden ja prosessien ICT:n jatkuvuudenhallinta
  • C Digitaalisen perustan korjaustoimet ja investoinnit

Etenemissuunnitelma- ja aikataulu

Muutoshanke etenee vaiheittain vuosien 2025–2028 aikana. Muutoshankkeelle asetettu ohjausryhmän varmistaa tavoitteiden toteutumisen.

Merkittävimmät ja laajavaikutteisimmat päätöspisteet käsitellään kansliapäällikön johtaman operatiivisen johtoryhmän seurannassa. Merkittäviä päätöspisteitä ovat mm. prosesseja ja toimintaa laajasti ohjaavat palvelukokonaisuuksien tarvemäärittelyt, prosessimääritykset, kilpailutusaineisto, hankintapäätökset ja toteutusvaiheen käynnistys sekä huomattavat toteutuksen aikaiset laajuuden, aikataulun ja budjetin muutokset.

Tietoturvajohtamisen muutoshankkeen aikataulu koostuu kolmen osa-alueen toimenpidekokonaisuuksista. Osa-aluekohtaiset etenemissuunnitelmat on esitetty liitteenä olevassa hankesuunnitelmassa.

Tarvittavat resurssit

Tietoturvajohtamisen uudistuksen kokonaiskustannusarvio vuosille 2025–2031 on 29 000 000 euroa. Hankkeelle tästä on tunnistettu yhteisten ja keskitetysti johdettujen toimien osalta riittävät resurssi- ja budjettiarviot sekä näiden toimien osalta alustava toimialakohtainen resursointitarve. Toimiala- ja liikelaitoskohtaista näkymää kriittisiin resursseihin parannetaan ja tarkennetaan hankkeen edetessä.

Hankesuunnitelmassa päätöshetkellä esitetty kustannusarvio sisältää sekä kaupungin oman työn, DigiHelsinki Oy palveluveloitukset (sis. tarvittavien yhtiön investointien poistot) sekä ulkoiset kustannukset. Toimialat vastaavat omalta osaltaan tietoturvajohtamisen tavoitteiden mukaisen parantamisen toimien ja talousvaikutusten suunnittelusta.  Tietoturvajohtamisen yhteisten ja keskitettyjen toimien kustannusarviot vuosille 2025–2028 ja muutoshankkeen yli meneville vuosille on eritelty liitteenä olevassa hankesuunnitelmassa.

Riskienhallinta

Muutoshankkeen riskit on kuvattu hankesuunnitelmassa ja niitä seurataan kaupunginkanslian ja toimialojen yhteisessä muutoshankkeen ohjausryhmässä. Kaupungin ylimmälle johdolle tuotetaan vähintään neljännesvuosittain tai tarpeen mukaan riittävä tilannekuvan hankkeen riskeistä osana kaupungin merkittävien muutoshankkeiden seurantaa.

Hankeriskihallinnan lisäksi muutoshankkeen myötä läpinäkyvyyttä parannetaan keskeisiin kaupungin eri viranhaltijoiden vastuulla oleviin tietoturvariskeihin, poikkeamiin ja hallintatoimiin osana muutoshanketta.

Tunnistetut muutoshankkeeseen liittyvät riippuvuudet

Muutoshankkeella tavoiteltu tietoturvajohtamisen toiminnanmuutos edellyttää keskushallinnon sekä kaikkien toimialojen tietohallintojohdon sitoutumista ja riittävien toimien varmistamista osana omaa talouden ja toiminnan suunnittelua. Hankkeen asettamisvaiheessa riippuvuuksia on tunnistettu muihin käynnissä oleviin kehityshankkeisiin, joista merkittävimmät ovat keskitettyjen toimintojen tai toimialojen uudistukset:

  • Taloudenpalvelujen ja prosessien muutosohjelma, Henkilöstöjohtamisen kokonaisuudistusja Asianhallinnan uudistukset
  • Kasvatuksen ja koulutuksen ICT-ympäristön siirto DigiHelsingille
  • Käyttöoikeushallinnan uudistaminen

Kaupungin merkittävien muutoshankkeiden hankesalkun seurannan osana tuetaan myös tietoturvajohtamisen muutoshankkeiden riippuvuuksien ja resursoinnin hallintaa yli eri organisaatioiden ja hankkeiden sekä tiivisti kytkettynä kaupungin toiminnan ja talouden suunnitteluun ja seurantaan.

Muutoshankkeen omistajuus, ohjausryhmä sekä raportointi

Ohjausryhmä tukee hanketavoitteiden saavuttamista ja seurantaa sekä varmistaa riittävän hankkeen riskienhallinnan. Ohjausryhmään kuuluvat kaikki muutoshankkeen onnistumisen sekä hyötyjen saavuttamisen kannalta keskeiset organisaatiot. Ohjausryhmän jäsenet varmistavat toimenpiteiden toteutumisen omalla vastuualueellaan. Ohjausryhmä kokoontuu kuukausittain.  Koordinaatio liikelaitosten suuntaan organisoidaan keskushallinnon sisällä osana asetettavaa kaupunkitason tietoturvaryhmää sekä digitaalisen perustan ohjausryhmää.

Ohjausryhmä koostuu toimialojen tietohallintojohtajista ja kehitys- ja digitalisaatiopäälliköistä sekä kaupunginkanslian nimeämistä hankejohtajasta ja tietoturvapäälliköstä. Tietoturvajohtamisen muutoshankkeen omistajana ja ohjausryhmän puheenjohtajana toimii kaupungin strategiajohtaja.

Ohjausryhmän toimintaan osallistuvat henkilöt on valittu asemansa ja asiantuntemuksensa perusteella. Ohjausryhmän sihteerinä toimii hankkeen omistajan erikseen nimeämä henkilö. Ohjausryhmää täydennetään tarvittaessa. Ohjausryhmä voi työssään kuulla muita tarpeellisiksi katsomiaan asiantuntijoita.

Muutoshankkeelle on osoitettu hankejohtaja. Hankejohtaja vastaa muutostyön johtamisesta ja tuloksien tarkistamisesta sekä varmistaa riittävän raportoinnin hankkeen etenemisestä, riskienhallinnasta ja budjetista muutoshankkeen ohjausryhmälle sekä kaupunkiyhteisten muutoshankkeiden säännölliseen seurantaan ylimmälle johdolle. Kaupunginkanslian strategiaosasto tuottaa koosteen merkittävien muutoshankkeiden tilannekuvasta neljännesvuosittain kaupungin operatiiviselle johtoryhmälle. Lisäksi merkittävien muutoshankkeiden hallinnan kautta tuetaan muutoshankkeiden onnistumista varmistamalla riittävä valvonta ja arviointi.

Viestintä

Viestintää toteutetaan jatkuvasti ja kaupunginkanslian viestintäosaston ohjeiden mukaisesti.

Tietoturvajohtamisen -muutoshankkeelle on nimetty muutoskoordinaattori, joka huolehtii hankkeen tavoitteiden viestinnästä ja kommunikoinnista. Viestintä on jaettu kolmeen pääluokkaan seuraavasti: hankkeen ulkoinen viestintä, hankkeen sisäinen viestintä ja osa-aluekohtainen projektiviestintä. Jokaisella viestinnän pääluokalla on nimetty vastuuhenkilö hankeorganisaatiosta.

Muutoshankkeen etenemisen tilannekuva ja päätettävät asiat raportoidaan neljännesvuosittain ja tarpeen mukaan useammin hankkeen ohjausryhmälle ja kaupungin operatiiviselle johtoryhmälle.

Lopuksi

Tietoturvajohtamisen muutoshanketta edistetään kaupunkiyhteisten muutoshankkeiden hallintamallin (kansliapäällikkö 12.10.2023 § 144) mukaisesti. Kaupunkiyhteisiä muutoshankkeita koskevan toimintaohjeen (kansliapäällikkö 12.10.2023 § 144) mukaan kaupunkiyhteinen muutoshanke asetetaan valmisteluvaiheen jälkeen kansliapäällikön, pormestarin tai kaupunginhallituksen päätöksellä hallintamallin mukaiseen hankesuunnitelmaan perustuen.

Hallintamallilla varmistetaan, että kaupungin ylin johto pystyy valvomaan, seuraamaan ja tukemaan muutoshankkeiden toimeenpanoa sekä tekemään tarvittaessa niitä koskevia päätöksiä. Toiminnan muodostaminen kaupunkiyhteiseksi muutoshankkeeksi on johtamisen apuväline eikä sisällä taloudellista tai muutakaan päätöksentekoa. Kaikki määrärahoihin tai hankintoihin liittyvä päätöksenteko toteutetaan muutoksen edetessä niitä koskevan toimivallan mukaisesti ja kaupunginvaltuuston hyväksymän talousarvion puitteissa.

Hallintosäännön 12 luvun 1 §:n 4 kohdan mukaan kansliapäällikön toimivaltaan kuuluu kahta tai useampaa toimialaa käsittelevien työryhmien asettaminen.

This decision was published on 17.05.2025

MUUTOKSENHAKUKIELTO

Tähän päätökseen ei saa hakea muutosta, koska päätös koskee asian valmistelua tai täytäntöönpanoa.

Sovellettava lainkohta: Kuntalaki 136 §

Ask for more info

Hannu Heikkinen, digitalisaatiojohtaja, puhelin: 09 310 76652

hannu.a.heikkinen@hel.fi

Markus Kühn, strategiajohtaja, puhelin: 09-31015281

markus.kuhn@hel.fi

Decisionmaker

Jukka-Pekka Ujula
kansliapäällikkö
Markus Kühn
strategiajohtaja
Download decision (pdf)

Attachments

1. Confidential: JulkL (621/1999) 24.1 § 7 k

The decision documents refer to appendices that are not available online. The City of Helsinki does not publish any appendices that contain confidential information or information that could compromise the protection of privacy or a private trader's business or trade secret when published. The published documents also exclude appendices that cannot be made available in an electronic format due to technical reasons. (Act on the Openness of Government Activities 621/1999, Information Society Code 917/2014, Data Protection Act 1050/2018, Act on the Status and Rights of Social Welfare Clients 812/2000, Act on the Status and Rights of Patients 785/1992, Act on Public Procurement and Concession Contracts 1397/2016). You can also request decision documents from the City of Helsinki Registrar's Office.