I lagen om informationshantering inom den offentliga förvaltningen (906/2019) finns bestämmelser om ansvar i fråga om informationssäkerhetsåtgärder som gäller informationshanteringsenheter och myndigheter inom den offentliga förvaltningen samt privatpersoner, sammanslutningar och offentligrättsliga samfund som inte är myndigheter till den del som de sköter offentliga förvaltningsuppgifter. I lagen finns också bestämmelser om miniminivån för informationssäkerhetsåtgärder och om skyldigheten att följa upp informationssäkerheten i verksamhetsmiljön och försäkra sig om informationssäkerheten i informationsmaterial och informationssystem under hela deras livscykel. Organisationen ska identifiera relevanta risker som är förenade med informationsbehandlingen och dimensionera informationssäkerhetsåtgärderna utifrån riskbedömningen. Vid upphandlingar ska organisationen säkerställa att de aktuella informationssystemen har lämpliga informationssäkerhetsåtgärder.

Den här rekommendationen av informationshanteringsnämnden beskriver kriterierna för bedömning av informationssäkerheten i den offentliga förvaltningen och ger anvisningar om hur de används. Kriterierna för bedömning stödjer behoven av utveckling och bedömning av informationssäkerheten i hela den offentliga förvaltningen. De kan användas som hjälp vid bedömning av hur kraven på informationssäkerhet i informationshanteringslagen, säkerhetsklassificeringsförordningen och delvis i dataskyddsförordningen uppfylls.

Informationshanteringsnämnden godkände rekommendationerna vid sitt möte den 11 maj 2022.