KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Transkriptio

1 KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA 1 S i v u

2 Kokkolan kaupungin tietoturvapolitiikka 1. JOHDANTO Tietojenkäsittely tukee Kokkolan kaupungin palvelujen tuottamista ja palveluiden tehokkuus riippuu suurelta osaltaan tietotekniikan hyödyntämisestä. Tietoaineistot sisältävät asiakkaisiin, työntekijöihin ja toimintaan liittyvää tietoa, joka on lainsäädännön perusteella suojattava. Tietojenkäsittelyn on oltava tehokasta, virheetöntä ja varmaa. Tietoturvapolitiikka määrittelee ne periaatteet, vastuut, toimintatavat sekä seurannan ja valvonnan, joita noudatetaan tietoturvan toteuttamisessa ja kehittämisessä. Tietoturvapolitiikkaa täydentävät yksityiskohtaisemmat tietoturvaan ja suojaan liittyvät määräykset ja ohjeet. 2. KATTAVUUS Kokkolan kaupunginhallituksen vahvistama tietoturvapolitiikka kattaa Kokkolan kaupungin kaikkeen toimintaan liittyvät tietojen käsittelyn tehtävät. Jokaisen Kokkolan kaupungin viranhaltijan, työntekijän ja luottamushenkilön, kaupungille tulevien harjoittelijoiden ja muiden henkilöiden on tietojen ja tietojärjestelmien käyttäjänä tunnettava tämä tietoturvapolitiikka ja noudatettava sen perusteella annettuja ohjeita ja määräyksiä. Kokkolan kaupungin ulkopuolisten toimijoiden, toimittajien ja muiden ulkopuolisten tahojen tulee myös sitoutua noudattamaan tätä tietoturvapolitiikkaa, kansainvälisiä ja kansallisia normeja sekä ohjeita. Se on ehtona tehtävien mukaiselle pääsylle kunnan tietojärjestelmiin ja tietoaineistoihin. 3. TIETOTURVA Tietoturva tarkoittaa tietojen käsittelyn ja arkistoinnin turvaamista. Tietoturva rakentuu tiedon luottamuksellisuudesta, eheydestä, saatavuudesta, käytettävyydestä ja kiistämättömyydestä sekä tietojen käsittelyn valvonnasta. Tietoturvaan kuuluvat tietoturvaorganisaatio, tietojen käsittelijöiden toimintatavat, tietojen turvaamisen menetelmät, välineet ja toimenpiteet, työhön osoitetut resurssit sekä välineistön ja tilojen tietoturvaominaisuudet. Hyväksytyn tietoturvapolitiikan mukainen tietoturva tulee sisällyttää luonnollisena osana kaikkeen toimintaan. Tietoturvan kehittäminen ja ylläpito ovat osa toimintayksikön yleistä turvallisuustoimintaa, riskien hallintaa ja sisäistä valvontaa. 4. TIETOTURVATYÖ Tietoturvatyö on tietoturvan saavuttamiseksi tehtävien toimenpiteiden suunnittelua ja toteuttamista. Tietoturvatyön päämäärä on turvata toiminnalle tärkeiden tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, estää tietojen ja tietojärjestelmien joutuminen ulkopuolisille sekä estää niiden luvaton käyttö, tahaton tai tahallinen tiedon tuhoutuminen tai vääristyminen sekä minimoida aiheutuvat vahingot. Normaaliajan toiminnan tietojenkäsittelyn turvaamisen lisäksi varaudutaan toiminnan keskeyttäviin uhkatilanteisiin ja niistä toipumiseen. 2 S i v u

3 5. ORGANISOINTI JA VASTUUT Tietoturvaa johtaa ja valvoo kaupunginjohtaja ja hän päättää kunnan kokonaisturvallisuuden eri osa-alueiden kehittämistoiminnan tavoitteista, organisoinnista, resursseista ja toimintavaltuuksista. Kokkolan kaupungin tietoturvavastaavana toimii tietohallintopäällikkö ja tietosuojavastaavana arkistosihteeri. Kokkolan kaupungin tietoturvavastaava vastaa Kokkolan kaupungin tietoturvatyön kokonaisuudesta kunnan johdolta saamiensa resurssien ja toimintavaltuuksien puitteissa. Hän vastaa myös tietoturva-asioista tiedottamisesta toimintayksikön ulkopuolelle ja toimintayksikössä yleisellä tasolla. Kokkolan kaupungin toimialat ja liikelaitokset nimeävät tarvittaessa omat tietoturvavastaavat, jotka vastaavat tietoturvatyön koordinoinnista omissa yksiköissään. Kokkolan kaupungin tietosuojavastaava vastaa Kokkolan kaupungin tietosuojaan liittyvästä yleisestä ohjauksesta ja koordinoinnista. Kaupungin keskeisten toimintojen turvanäkemyksiä edustaa Kokkolan kaupungin tietosuoja- ja tietoturvaryhmä, jonka asettaa kaupunginjohtaja. Tämä työryhmä käsittelee tietoturvan linjaukset ja ohjeet ennen kuin ne esitellään kaupunginhallitukselle hyväksyttäväksi. Ryhmän jäsenet vastaavat oman vastuualueensa tietoturvaprosessin asioiden valmistelusta. Tietoturvaryhmään kuuluvat tietoturvavastaava, tietosuojavastaava, toimialojen sekä liikelaitosten edustajat. Kokkolan kaupungin tietoturvavastaava vastaa organisaation tietoturvallisuustason määrittelystä ja arvioinnista ja raportoinnista sekä muusta hallinnollisesta tietoturvasta ja toimii tietoturvaryhmän puheenjohtajana. Hän vastaa tietoturvan kehittämissuunnitelmien tekemisestä, toteutuksen valvonnasta, tietoturvatietouden edistämisestä ja tietoturvallisesta toimintatavasta toimintayksikössä ja sen ostamissa palveluissa sekä raportoinnista johdolle. Kokkolan kaupungin tietosuojavastaava vastaa Kokkolan kaupungin tietosuojaan liittyvästä yleisestä ohjauksesta ja koordinoinnista Ryhmään kutsutaan tarvittaessa lisäksi asiantuntijoita, joiden tehtävät ovat: Tietohallinnon edustaja vastaa laitteisto- ja ohjelmistoturvallisuudesta Teknisen toimialan edustaja vastaa tila- ja laiteteknisestä turvallisuudesta. Henkilöstöhallinnon edustaja vastaa henkilöstöturvallisuudesta. Toimialat ja liikelaitokset nimeävät tarvittaessa oman tietoturvatyöryhmän. Jokaisella tietojärjestelmällä on omistajayksikkö ja tietohallintopalvelusta vastuuhenkilö. Tietojärjestelmän vastuuhenkilön velvollisuuksiin kuuluu tietojärjestelmän toimintaan ja turvallisuuteen asetettavien vaatimusten (esim. kriittisyyden, jatkuvuussuunnittelun ja varmuuskopiointimenettelyn) määrittely. Jokaisella henkilötietoja sisältävällä rekisterillä on 3 S i v u

4 rekisterinpitäjä (lautakunta tai liikelaitosjohtokunta), joka vastaa kyseisestä henkilörekisteristä ja sen lainmukaisuudesta. Käyttöoikeuksien myöntämisestä ja valvonnasta sekä tietoturva-asioiden ohjeistamisesta, tiedottamisesta ja valvonnasta omassa yksikössään vastaa yksikön esimies. Jokainen työntekijä, tietoja käsittelevä, tietojärjestelmien tai tietoverkkojen ylläpitäjä ja käyttäjä on omalta osaltaan vastuussa tietoturvan toteuttamisesta sekä tietoturvaohjeiden noudattamisesta. Jokainen henkilö on velvollinen tietoturvaan liittyvien uhkien ja poikkeamien raportoimisesta esimiehelleen tai tietoturvavastaavalle. 6. TIETOTURVAN TOTEUTUS Tietoturvan toteuttamisen perusta on tämä Kokkolan kaupunginhallituksen hyväksymä kirjallinen tietoturvapolitiikka, joka annetaan tiedoksi jokaiselle toimintayksikön työntekijälle ja tietojärjestelmien käyttäjälle. Toimintayksikön tietoturvaperiaatteet perustuvat kansainvälisiin ja kansallisiin, yleisiin ja toimialakohtaisiin, tietoturvaa, henkilörekistereitä, hyvää tiedonhallintatapaa ja tiedon laatua ohjaaviin ja velvoittaviin säädöksiin, ohjeisiin ja standardeihin. Lainsäädännön ja ohjeistuksen muutokset otetaan huomioon toiminta-yksikön tietoturvan kehittämisessä. Tietoturvan toteutuksen tulee perustua niihin vaatimuksiin, joita toiminta ja palvelut sekä kunkin tiedon ja tietojärjestelmän turvallisuusluokka asettavat tietojenkäsittelyn varmuudelle, käytettävyydelle, salassapidolle, laadulle ja toiminnan jatkuvuudelle sekä toimintaan kohdistuvien riskien arvioinnille. Tietoturvan tavoitteiden saavuttaminen on jatkuva prosessi, joka tapahtuu hallinnollisten ja teknisten ratkaisujen avulla. Käyttäjien toimintaa ohjataan toimintaohjeilla sekä tietoturvakoulutuksella. Jokainen Kokkolan kaupungin viranhaltija ja työntekijä sitoutuu noudattamaan Kokkolan kaupungin tietoturvan ja suojan toimintaperiaatteita allekirjoittaessaan työsopimuksen / vastaanottaessaan viran. 7. TIETOTURVAN SEURANTA JA VALVONTA Käyttäjien ja ylläpitäjien tulee ilmoittaa havaitsemastaan tietoturvan puutteesta, tietoturvaan liittyvästä väärinkäytöksestä tai epäilemästään tietoturvarikkomuksesta esimiehelleen tai tietoturvavastaavalle. Yksikön esimiehen tehtävänä on valvoa tietoturvan toteutumista omassa yksikössään. 4 S i v u

5 Tietoturvavastaavan tehtävänä on seurata ja valvoa kunnan tietojärjestelmien tietoturvan toteutumista ja ryhtyä toimenpiteisiin havaittujen tietoturvan heikkouksien korjaamiseksi. 5 S i v u