KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

Transkriptio

1 1 KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA Kunnanhallitus

2 2 KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA Sisällys Johdanto... 3 Tietoturvan ja -suojan tavoitteet... 3 Tietoturvan ja suojan periaatteet... 3 Tietoturvan- ja suojan toteuttamisen vastuut ja roolit... 4 Tietosuojatietoisuus... 6 Henkilötietojen käsittelyn oikeusperusta... 6 Seuranta ja ongelmatilanteet... 6 Tiedottaminen... 7 Toimeenpano... 7

3 3 Johdanto Tiedon turvaaminen on oleellinen osa Kirkkonummen kunnan toimintaa ja kunnan palvelujen laatua. Tietoturvan hyvä hallinta edellyttää toiminnan jatkuvaa seurantaa, pitkäjänteistä suunnittelua ja resursointia erilaisten uhkatilanteiden varalta. Tietoturvan toteuttaminen vaatii sovittujen ohjeiden ja toimintatapojen noudattamista, koulutusta ja viestintää. Tietoturvapolitiikka on johdon kannanotto tietoturvan ja tietosuojan toteuttamiseen Kirkkonummen kunnassa. Tietoturvapolitiikka määrittelee kunnan tietoturvaperiaatteet, tavoitteet ja vastuut. Lisäksi se kuvaa tiedottamisen ja seurannan yleisperiaatteet. Tietoturvan ja -suojan tavoitteet Tietoturva- ja -suojavaatimukset koskevat sekä manuaalista että sähköistä tietoaineistoa. Kunnan tietoturvatyön tavoitteena on varmistaa tietojen luottamuksellisuus, eheys ja käytettävyys kaikissa olosuhteissa turvaamalla tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, havaita ja estää tietojen ja tietojärjestelmien luvaton käyttö, tiedon tahaton tai tahallinen tuhoaminen tai vääristäminen sekä minimoida niistä mahdollisesti aiheutuvat vahingot. Tietoturvatason tulee mukautua tilanteen, palvelun, standardien ja lainsäädännön edellyttämiin vaatimuksiin ja hyvään tiedonhallintatapaan. Lähtökohtana on, että kunnan tiedot ja tietojärjestelmät suojataan asianmukaisesti sekä normaali- että poikkeusoloissa hallinnollisin ja teknisin toimenpitein. Toimintaympäristön riskeihin varaudutaan varustamalla työ- ja laitetilat tarvittavin kulunvalvonta ja suojausratkaisuin. sisällyttää hyväksytyn tietoturvapolitiikan ja sitä täydentävien tietoturvaperiaatteiden ja - ohjeiden mukainen tietoturva luonnollisena osana kaikkeen kunnan toimintaan. Tämä tarkoittaa henkilökunnan, yhteistyökumppaneiden ja alihankkijoiden sitouttamista kunnan tietoturvakäytäntöihin ja osaltaan huolehtimaan käsiteltävien tietojen tietoturvasta. ylläpitää kuntalaisten ja eri sidosryhmien luottamusta kunnan tarjoamiin perinteisiin ja sähköisiin palveluihin sekä niiden tietoturvan, tietosuojan ja yksityisyydensuojan toteutumiseen. varmistaa asianmukainen ja turvallinen henkilötietojen käsittely kaikessa kunnan toiminnassa. varmistaa rekisteröidyn oikeuksien toteutuminen Tietoturvan ja suojan periaatteet Tietojen luottamuksellisuuden turvaamiseksi salassa pidettävä ja käyttörajoitettu tietoaineisto luokitellaan ja merkitään asianmukaisesti. Tietojärjestelmiin tulee sisällyttää käyttöoikeuksien määrittelyt ja tekniset suojaukset, joilla varmistetaan tietojen luottamuksellisuus. Luottamuksellisuus kuvaa sitä, että luottamuksellinen tieto on ainoastaan tiedon käyttöön oikeutettujen käytettävissä, eikä tietoja paljasteta tai saateta sivullisten tietoon.

4 4 Tietojen eheydestä huolehditaan tietoaineistojen suunnitelmallisella kartuttamisella ja säilyttämisellä, jossa otetaan huomioon toiminnalliset tarpeet ja lainsäädännön asettamat vaateet. Tietojen käytettävyys varmistetaan huolehtimalla tietojärjestelmien hyvästä toimintavarmuudesta ja riittävästä suorituskyvystä ja varmistuksista. Manuaalisesti säilytettävien tietojen saatavuus tulee myös varmistaa. Työn edellyttämien tietojen tulee olla käytettävissä ilman kohtuutonta vaivaa. Tietoturvan- ja suojan toteuttamisen vastuut ja roolit Jokainen työntekijä vastaa omalta osaltaan tietojen asianmukaisesta käytöstä, annettujen ohjeiden mukaisesti. Työntekijöiden vastuulla on huolehtia siitä, että heidän työtehtävissään käsittelemät, organisaatiolle kuuluvat tiedot jäävät organisaation haltuun, ellei niitä muilla määräyksillä ole määrätty hävitettäväksi. Jokaisen työntekijän velvollisuus on ilmoittaa havaitsemistaan tietoturvaan liittyvistä puutteista tai väärinkäytöksistä esimiehelleen, kunnan tietosuojavastaavalle tai toimialansa tietosuojavastaavalle. Esimiesten vastuulla on valvoa tietoturva- ja -suojaohjeiden noudattamista ja tietoturvan ja suojan toteutumista yksikössään. Esimiehet vastaavat siitä, että työntekijöillä on oikeudet tehtävän edellyttämässä laajuudessa tarvittaviin tietojärjestelmiin ja tietoihin. Esimiesten tulee huolehtia siitä, että alaiset saavat riittävän perehdytyksen ja koulutuksen tietoturvaan ja suojaan sekä siitä, että työntekijät ymmärtävät tietoturvan ja suojan merkityksen. Esimiehiltä odotetaan esimerkillistä ja vastuullista tietoturvakäyttäytymistä. Esimiesten vastuulla on huolehtia siitä, että työtehtävien muutokset huomioidaan järjestelmien käyttöoikeuksissa ja työsuhteen päättyessä esimiesten on huolehdittava, että työntekijät palauttavat kaiken työnantajalle kuuluvan omaisuuden ja heidän käyttöoikeutensa järjestelmiin poistetaan. Toimialat vastaavat tietoturvan ja -suojan toteutumisesta omassa toiminnassaan ja ostopalveluissa. Toimialojen johdon ja nimettyjen tietosuojavastaavien tulee huomioida toiminnan erikoispiirteet ja lainsäädäntö sekä selventää tietoturva- ja -suojavastuut omilla toimialoillaan. Toimialan johto vastaa siitä, että henkilöstö noudattaa tietoturva- ja tietosuojaohjeistuksia. Tiedonkäsittelijä tai käyttäjä vastaa omalta osaltaan määräysten ja ohjeiden noudattamisesta. Jokaisen käyttäjän vastuulla on lisäksi tietoturvaan ja tietosuojaan liittyvien poikkeamien, uhkien ja riskien ilmoittaminen/tiedottaminen viipymättä esimiehelle, tietohallintopäällikölle ja tietosuojavastaavalle. Tiedon, tietojärjestelmän tai palvelun omistaja vastaa omistukseensa liittyvästä tietosuojariskienhallinnan toteuttamisesta sekä tarvittavien ohjeiden antamisesta. Jokaisella tietojärjestelmällä ja henkilörekisterillä tulee olla nimetty omistaja ja omistajan nimeämä vastuu-/ yhteyshenkilö, jotka osaltaan vastaavat tietojärjestelmän tietoturvan ja henkilörekisterin tietosuojan toteutumisesta. Järjestelmän ja henkilörekisterin omistajuuteen liittyvät tiedot dokumentoidaan tietosuojan hallintajärjestelmään. Omistajien tehtävänä on mm. kartoittaa tietojärjestelmiensä ja henkilörekistereidensä toimintaan liittyvät riskit, huolehtia tietojenkäsittelyn luottamuksellisuudesta, tietojen oikeellisuudesta, pääsynvalvonnasta ja toimintojen jatkuvuudesta. Kaikki tietojärjestelmät ja tietovarastot/tietovarannot on luokiteltava niissä käsiteltävien tietojen ja tunnistettujen tietoturvariskien mukaisesti. Tietojen, henkilörekistereiden ja tietojärjestelmien omistajien on tehtävä luokittelua vastaavat riskikartoitukset ja tietoturva-/ tietosuojaohjeet käyttäjille sekä huolehdittava, että käyttäjät saavat riittävän koulutuksen.

5 5 Mikäli sovellus tai sen ylläpito on annettu sopimuksella ulkopuoliselle toimijalle niin käytännön teknisestä tietoturvasta ja sen ohjeistuksesta vastaa palveluntuottaja. Kaikkiin palvelusopimuksiin tulee sisällyttää tietoturvaan ja -suojaan liittyvät vaatimukset, velvoitteet, häiriötilanteiden toimintamallit ja määritellään vastuuhenkilöt läpi koko palveluketjun. Palveluntuottajan vastuulla on raportoida tietoturvaan kohdistuvista merkittävistä riskeistä välittömästi palvelusopimuksessa määritellyille yhteyshenkilöille, jonka velvollisuus on raportoida riskeistä edelleen omalle esimiehelleen, tietohallintopäällikölle ja tietosuojavastaavalle. Tietosuojan hallintamalli on dokumentoitu ARC:in tietosuojan hallintajärjestelmään. Tietosuojan hallintamalli määrittelee ja kuvaa, miten tietosuojan hallinta kunnassa organisoidaan, mitä rooleja siihen kuuluu ja millä ylätason prosesseilla tietosuojatehtäviä suunnitellaan ja kehitetään sekä miten tietosuojatyötä käytännön tasolla hallitaan. Hallintamallin mukaisesti kunnan tietosuojasta on dokumentoitu seuraavat kokonaisuudet: tietosuojasuunnitelma tietosuojariskienhallinta tietovirtakuvaukset tietojärjestelmäsalkku tietosuojapolitiikka Tietosuojan toteuttamista tukevat käytännöt ja varmistaminen varmistetaan että luottamukselliset, erityiset ja salaiset tiedot kuuluvat vaitiolovelvollisuuden piiriin, riippumatta siitä miten ne on tallennettu tai miten tieto on saatu riskien arviointi tapahtuu säännöllisesti suoritettavin turvallisuusanalyysein ja sisäisin tarkastuksin jokainen käyttäjä sitoutuu noudattamaan EU:n yleistä tietosuoja-asetusta (EU 2016/679) ja siitä annettua ohjeistusta Lainsäädäntö ja ohjeistukset ohjaavat kunnan tietosuojatyötä. Näitä ovat esimerkiksi: Tietosuojalaki (käsittelyssä) / EU:n yleinen tietosuoja-asetus (EU 2016/679) Laki viranomaisten toiminnan julkisuudesta 621/1999 Arkistolaki 831/1994 / Tiedonhallintalaki (käsittelyssä) Julkisen hallinnon tietohallinnon neuvottelukunnan (JUHTA) suositukset Arjen tietosuoja.fi -videokoulutukset Kunnan omat strategiat ja niistä johdetut vaatimukset Valtionhallinnon Tietoturvallisuuden johtoryhmän (VAHTI) ohjeet Tietohallintopäällikkö vastaa ja koordinoi tietoturvan ohjeistusta. Tietohallintopäällikkö valvoo, että tietoturvaloukkaukset ja havaitut riskit kirjataan ja selvitetään viipymättä. Tietohallintopäällikkö ja tietosuojavastaava raportoivat tietoturvan ja- suojan toteutumisesta kuukausittain kunnan johtoryhmälle. Kokonaisvastuu tietoturvan ja suojan toteutumisesta on kunnanhallituksella ja kunnanjohtajalla luoden edellytykset niiden asianmukaiselle toteuttamiselle. Kunnan johdon vastuulla on huolehtia tietoturva- ja tietosuojatyön riittävästä resursoinnista.

6 6 Kunnanjohtaja asettaa ryhmän seuraamaan tietoturvan ja tietosuojan toteutumista, tekemään kehitysehdotuksia sekä toimimaan toimialojen tietoturva- ja tietosuojavastaavien sekä järjestelmien pääkäyttäjien tukena. Tietosuojavastaava tukee tietosuojatyön organisointia ja suunnittelua kunnassa. Tietosuojatietoisuus Tietosuojatietoisuus merkitsee kunnan henkilöstön ymmärrystä henkilötietojen käsittelyyn liittyvistä vastuista sekä velvoitteista tiedon hallinnan prosessin kaikissa vaiheissa. Tietosuojatietoisuutta ylläpidetään ja lisätään henkilöstön koulutuksen sekä ajantasaisen ohjeistuksen avulla. Kaikki kunnan työntekijät ovat velvoitettuja osoittamaan tietosuojaosaamisensa esimiehelleen. Henkilötietojen käsittelyn oikeusperusta Henkilötietojen käsittely on asianmukaista ainoastaan EU:n tietosuoja-asetuksen määrittelemin edellytyksin. Kunta on rekisterinpitäjänä vastuussa siitä, ettei henkilötietoja käsitellä ilman asianmukaista oikeusperustaa ja tämä huomioidaan uusia käsittely- ja toimintatapoja suunniteltaessa. Henkilötietojen käsittely on tarkoitussidonnaista; rekisterinpitäjän määrittelee ennakkoon ne tarkoitukset, joihin henkilötietoja käsitellään ja varmistaa, ettei tietoja käsitellä muihin tarkoituksiin. Seuranta ja ongelmatilanteet Jokainen työntekijä, joka havaitsee tietoturvan tai -suojan loukkauksia ja muita poikkeamia, on velvollinen viipymättä ilmoittamaan asiasta omalle esimiehelleen, joka edelleen ilmoittaa asian tietohallintopäällikölle ja tietosuojavastaavalle. Ilmoituksen saajan on ryhdyttävä välittömästi tarpeellisiin toimenpiteisiin tietoturvan takaamiseksi. Tietoturvapolitiikan ja -ohjeiden noudattamisen valvonta on tärkeä osa kunnan sisäistä valvontaa. Kunnan johtoryhmä ja toimialojen johtoryhmät seuraavat teknisen ja hallinnollisen tietoturvan toteutumista ja niillä on oikeus toimeenpanna tietoturva-arviointeja. IT -palveluiden tuottajilla on velvollisuus raportoida säännöllisesti tietoturvaan liittyvistä palvelutasojen täyttymisistä ja riskeistä tietohallintopäällikölle. Esimiesten tulee raportoida tietoturvaloukkauksista toimialojensa tietosuojavastaavalle, kunnan tietosuojavastaavalle ja tietohallintopäällikölle sekä toimivalle johdolle. Tietoturvaloukkauksissa tai tietoturvaan liittyvässä uhkatilanteessa tietohallinnolla on oikeus selvittää uhan lähde ja sulkea tietty tietoliikenneyhteys, järjestelmä, tunnus tai laite. Tietohallintopäällikön on viipymättä informoitava asianosaisia tehdyistä toimenpiteistä ja mahdollisista jatkotoimenpiteistä. Tietoturvaloukkauksia selvitettäessä noudatetaan lakia sähköisen viestinnän palveluista (917/ 2014) määräyksiä, sekä lakia yksityisyyden suojasta työelämässä (759/2004). Mahdollisissa tietovuodoissa toimitaan kunnan sekä toimialan ohjeiden mukaan. Ohjeistuksissa määritellään poikkeamien hallinta, menettelytavat ja vastuut kaikissa tietosuojaan liittyvissä poikkeamatilanteissa.

7 7 Seuraavat käytännön ohjeet menettelytavoista löytyy toimialoittain: Ilmoituksen tekeminen tietosuojapoikkeamassa Hallinnollinen vastuu, prosessi, menettelytavat ja korjaavat toimenpiteet Tiedottaminen rekisteröidylle Tiedottaminen henkilöstölle Rikkomuksista voi olla seurauksena käyttöoikeuden rajoituksia, työsuhteeseen vaikuttavia toimenpiteitä ja lainsäädännössä määriteltyjä seuraamuksia. Tietoturvarikkomuksista ilmoitetaan aina esimiehelle. Tiedottaminen Sisäisestä tiedottamisesta tietoturva- ja suoja-asioissa vastaavat toimialat yhteistyössä tietohallintopäällikön, tietosuojavastaavan ja kunnan viestinnän kanssa. Tietohallintopäällikkö ja ITpalveluiden tuottaja ylläpitävät käyttäjien saatavilla käytännön tietoturvaohjeita ja tiedottavat akuuteista tietoturvauhista sekä suojautumiskeinoista työntekijöitä ja muita sidosryhmiä tarvittavassa laajuudessa. Kulloinkin voimassa oleva ohjeistus on koko henkilöstön helposti saatavissa ja esimiesten on varmistettava, että henkilöstö on tietoinen ohjeistuksesta ja noudattaa sitä. Toimialat ovat vastuussa omista ohjeistuksistaan Ulkoisesta tietoturvaan liittyvässä tiedotuksesta vastaa hallintojohtaja yhdessä tietohallintopäällikön kanssa. Ulkoisesta tietosuojaloukkauksiin liittyvästä tiedottamisesta vastaa rekisterin vastuuhenkilö yhdessä tietosuojavastaavan kanssa. Poikkeusolojen tiedottamisesta vastaa kunnanjohtaja. Toimeenpano Tämä Tietoturvapolitiikka ja Tietoturvaohje tulevat voimaan ja noudatettavaksi heti kun kunnanhallitus on ne vahvistanut. Kunnanhallituksen hyväksyttyä Tietoturvapolitiikan ja Tietoturvaohjeen, ne korvaavat aiemmat Tietoturvapolitiikat ja -ohjeet. Lisätiedot ja liitteet: Kunnan intra > Tietoturva