Tietoturva-arkkitehtuurin dokumentoinnin vähimmäisvaatimukset
Tietoturva-arkkitehtuurikuvaus pitäisi tehdä versiohallittuun työtilaan. Näin ehkäistään erillisten, vanhentuneiden dokumenttiversioiden leviämistä.
Tietoturva-arkkitehtuurin dokumentoinnin täsmällinen muoto, sisältö ja laajuus riippuu toteutettavan palvelun ja järjestelmän kompleksisuudesta, mutta minimissään dokumentoinnin pitää sisältää kolmen eri tason tietovuokaavioita (Data Flow Diagram):
- Järjestelmän kontekstitason tietovuokaavio(t)
- Järjestelmän komponenttitason tietovuokaavio(t)
- Järjestelmän tuotantoon viennin tietovuokaavio(t)
Järjestelmästä laaditaan jokaiselle tasolle yksi tai useampi kaavio tarpeen mukaan. Kaaviot voidaan tuottaa osana uhkamallinnusta ja henkilötietoihin liittyvä osuus tietosuojavaikutusten arvioinnin yhteydessä.
Mikäli arkkitehti hallitsee töitään tiketöintipohjaisen työnohjauksen kautta, arkkitehtuuridokumentaation päivittäminen kannattaa myös tiketöidä, jotta sille tulee varattua riittävästi aikaa.
Tietosuojavaikutusten arviot kirjataan osaksi tietoturva-arkkitehtuurikuvausta, mikäli virasto ei ole osoittanut tietosuojavaikutusarviointien tuloksien tallentamiselle erillistä paikkaa. Tietosuojadokumentaatio on kuvattu tarkemmin käsikirjan osiossa 11. Tietosuojan toteutumisen varmistaminen (liite 6)