Ovatko yrityksesi tietoriskit hallinnassa?

Koko: px
Aloita esitys sivulta:

Download "Ovatko yrityksesi tietoriskit hallinnassa?"

Transkriptio

1 Ovatko yrityksesi tietoriskit hallinnassa? Käytännön tietoturvallisuusopas PK-yrityksille Uudistettu laitos Teollisuus ja Työnantajat 3

2

3 4

4 Sisällysluettelo SAATTEEKSI 6 1. Johdanto 7 2. Tietoturvallisuuden merkitys yritystoiminnalle 8 3. Mitä tietoturvallisuus on Mitä laki sanoo tietoturvallisuudesta Yrityksen yleinen tietoturvallisuus Tietoturvallisuus ja laatu Yrityksen tietoturvallisuusperiaatteet ja -politiikka Tietoturvallisuusohjelma Tietoturvallisuusvastuut yrityksessä 19 LÄHTEET 33 YHTEYSTIETOJA 33 LIITTEET 34 1 Yrityksen tietoriskien hallinta: työvälinekortti 2 Arvio tietoturvallisuuden tasosta: arviolomake 3 Tietoturvallisuuden perusteet ja organisointi : kalvopohjat 4 Vaitiolo- ja salassapitosopimukset: mallisopimuksia eri tilanteita varten 5 Tietoturvallisuuden torjuntakeinot: luettelo ja määritelmät 5.5. Tietoaineiston luokittelu Tietoturvallisuus ja henkilöstö Kulunvalvonta ja vierailut Työ- ja liikematkat Tietotekninen turvallisuus Internet ja sähköposti Tiedon käyttö- ja hallintalaitteiden turvallisuus Tietoturvallisuusmenettelyn soveltaminen yritystoimintaan 32 5

5 Saatteeksi Huoli tietoturvallisuudesta on osaamisen ohella suurin pulma uuden tietotekniikan käyttöönotossa. Tietoturvallisuudesta huolehtiminen vaatii myös osaamista. Kaikkea olennaista tietoa ei tarvitse itse osata tai hallita. Koeteltua osaamista näissä kysymyksissä on runsaasti siirrettävissä yritysten käyttöön. Tärkeää onkin tietää mitä ja miten pitää tietoja turvata juuri minun yrityksessäni ja mistä tämän turvan saa. Jokaisen yrityksen on kuitenkin itse toteutettava tietoturvallisuusmenettelynsä. Tekninen tietoturvallisuus on tietysti vain osa, mutta hyvin nopeasti kasvava osa yrityksen koko tietoturvallisuutta. Tietoturvallisuus on taas puolestaan osa koko yrityksen riskien hallintaa. Kaikkia näitä kysymyksiä on käsitelty tässä lähinnä PK-yrityksille tarkeässä uusitussa oppaassa. Teollisuuden ja Työnantajain Keskusliiton PKT-valtuuskunta on pitänyt tärkeänä tietoturvallisuusasian edistämistä ja sen viemistä jäsenyrityksiin mahdollisimman käytännönläheisellä oppaalla. Opas on oheismateriaalina myös valtakunnallisissa TT:n, KTM:n ja TE-keskusten järjestämissä "Täysteho tietotekniikasta seminaareissa". Tänä päivänä harva yritys on enää vastuussa vain omasta tietoturvallisuudestaan. Erittäin nopeasti kehittyvät informaatiojärjestelmät yritysten ja niiden sidosryhmien välisessä verkottuneessa toimintaympäristössä lisäävät tietoturvallisuuden vaatimuksia ja vastuuta. Pysyäkseen mukana tässä kehityksessä yrityksen pelkkä tekninen valmius mikä tänään on jo itsestään selvä vaatimus yhteistyösuhteissa ei enää riitä. Tässä oppaassa selostetaan, mitä laki sanoo tietoturvallisuudesta ja mitä vahinkoa kärsineeltä yritykseltä on oikeuskäsittelyssä edellytetty ja mitä oikeudenkäynneistä on opittu. Yrityksen on esim. annettava henkilöstölleen riittävät ohjeet. Yrityssalaisuuden on oltava riittävän selvästi määritelty ja sillä on oltava taloudellista merkitystä. Oppaassa annetaan ohjeita yrityksen tietoturvallisuusohjelman laatimiseksi, käsitellään yrityksen tietoturvallisuusvastuita ja selvitellään tietoaineiston luokittelua. Lisäksi selostetaan millaisia sopimuksia yrityksen kannattaa tehdä tietoturvallisuuden takaamiseksi, käsitellään kulunvalvontaa ja vierailujen turvallisuusjärjestelyjä, työ- ja liikematkoja sekä atk- ja tietoteknistä turvallisuutta keskeisimpien sovellutusten kuten Internetin, sähköpostin, kotisivujen ja verkkokaupan yhteydessä. Oppaassa esitellään PK-yritysten riskien ja erityisesti tietoriskien hallintaan sopivia työkaluja. Oppaassa on myös tarkistuslista, jonka avulla yritys voi arvioida tietoturvallisuutensa nykyistä tasoa. Vaikka opas on laadittu lähinnä PK-yritysten tarpeisiin, siitä on apua kaikille yrityksille. Oppaan liitteinä on runsaasti erilaisia vaitiolo- ja salassapitosopimusmalleja, joita yritys voi käyttää palkatessaan uusia työntekijöitä avaintehtäviinsä. Helsingissä Johannes Koroma Toimiva tiedonvälitys ja tietojärjestelmien käytön edistäminen edellyttävät, että tietojärjestelmät ovat tehokkaista ja laadullisesti tasokkaista sekä erityisesti sitä, että tiedon turvaaminen on hoidettu ja siihen luotetaan. Tietoturvallisuus on korostuva osa yritysten laatua ja luotettavuutta. 6

6 1. Johdanto Elämme tieto- ja systeemiyhteiskunnassa, jossa tieto, työ ja palvelut verkottuvat. Se antaa toisaalta lisääntyviä mahdollisuuksia pienille ja keskisuurille yrityksille, mutta edellyttää myös tähän kehitykseen liittyvien riskien huomioon ottamista ja hallintaa. Kaikkien yritysten keskeiset toiminnot ovat riippuvaisia tiedoista ja tietojärjestelmistä. Riippuvuus lisääntyy tietojärjestelmien kehityksen sekä tietoteknologian uusien sovellusmahdollisuuksien myötä. Teollisuuden ja Työnantajain Keskusliiton PKT-valtuuskunta on pitänyt tärkeänä tietoturvallisuusasian edistämistä ja sen viemistä jäsenyrityksiin mahdollisimman käytännönläheisellä oppaalla. edessä. Ne ovat korostuneet valtavasti lisääntyneen Internetin käytön ja sen uusien sovellusten myötä. Virukset, kotisivujen ja sähköpostin sabotointi ja eräät sähköisen kaupankäynnin tietoturvallisuusongelmat ovat asettaneet uusia haasteita. Tietoturvallisuustoimintaa ohjaavaa lainsäädäntöä on tullut olennaisesti lisää ja sitä on myös muutettu kahden viime vuoden aikana. Tämän vuoksi on tullut tarpeelliseksi päivittää alkuperäistä opasta ja käsitellä tietoturvallisuutta eräiltä osin yksityiskohtaisemmin uuden tiedon pohjalta. Kirjoittajana on toiminut edelleen TT:n yritysturvallisuustoimiston päällikkö Kalevi Tiihonen. Tuloksena syntyi maaliskuussa 1998 opas, joka käsitteli laajasta tietoturvallisuuden kentästä vain niitä keskeisiä asioita, joilla on huomattavampaa merkitystä käytännön yritystoiminnan kannalta PK- yrityksille. Tämän jälkeen tietojärjestelmien käyttö, uudet sovellukset ja erityisesti tietotekniikan kehitys ovat edenneet suurin harppauksin. Samanlainen kehitys on ollut havaittavissa myös tietoturvallisuudessa. Uusia, entistä tehokkaampia tuotteita on tullut markkinoille, mutta samalla tietoturvallisuuden rakentaminen ja ylläpito on tullut yhä vaativammaksi ja vaikeammaksi uusien uhkien 7

7 2. Tietoturvallisuuden merkitys yritystoiminnalle Työntekijä irtisanoutui ja meni kilpailijan palvelukseen. Tätä ennen hän oli kopioinut yrityksen kustannuslaskelmatietoja, toimintasuunnitelmia sekä kone- ja laitteistopiirustuksia tietovälineelle, jonka antoi kilpailevan yrityksen käyttöön. Taloudelliset vahingot edelliselle työnantajalle olivat merkittävät. Henkilö tuomittiin yrityssalaisuuden rikkomisesta ja kilpailevan yrityksen toimitusjohtaja yrityssalaisuuden väärinkäytöstä. Yrityssalaisuuden rikkomisesta tuomittiin niin ikään henkilö, joka irtisanoutui ja perusti itse saman alan yrityksen. Hän yritti varmistaa uudet asiakassuhteet kopioimalla entisen työnantajansa asiakasrekisterin. Tekijälle tuomittiin lisäksi tuntuva vahingonkorvausvelvollisuus ja velvoite palauttaa kopioitu materiaali. Alihankintaketjussa oli useita toimittajia, jotka valmistivat komponentteja elektroniseen laitteeseen. Laitteen oli kehittänyt henkilö A, jolla oli sellainen määräämisvalta alihankinnassa tapahtuvaan tuotantoon, että ilman hänen lupaansa ei piirustuksia eikä tuotanto-ohjelmaa saanut luovuttaa kenellekään. Lopullisen tuotteen tilaaja halusi ottaa koko tuotannon haltuunsa ja vaati alihankkijoilta piirustukset ja tuotanto-ohjelman itselleen. Lopputuotteen tilaaja saikin eräältä alihankkijalta piirustukset ja tuotanto-ohjelman. Alihankkija tuomittiin yrityssalaisuuden rikkomisesta ja lopputuotteen tilaajaa yritysvakoilusta. Erään tuotantolaitoksen keskusvalvomon mikrotietokone (PC), jossa oli valvomo-ohjelmisto, lakkasi toimimasta kesken kiireisen tuotannon Syyksi osoittautui tietokonevirus, joka tarttui kaikkiin ohjelmiin johtaen toimintahäiriöihin ja virhetoimintoihin. Sama virus löytyi kaikista niitä levykkeistä, joita oli käytetty tutkittaessa ao. PC:n toimimattomuutta. Viruksen siivoaminen ja toiminnan palauttaminen maksoivat sekä tuotannon keskeytymisenä että muina toimenpiteinä yritykselle satojatuhansia markkoja. Yhden tietokoneen puhdistus maksoi tietokoneen verran. Jos virus olisi päässyt leviämään mikroverkkoon liitettyihin muihin mikroihin (100 kpl) tai muihin tuotannonohjausjärjestelmiin, olisivat vahingot olleet katastrofitilanteeseen rinnastettavia. Elektroniikkayrityksen projektijohtaja vei mennessään tuotantotietoja ja häntä seurasi joukko työntekijöitä, joilla oli tärkeitä projektitietoja. Suuryrityksen ulkomaanyksikössä työskentelevä henkilö tallensi esimiehensä työasemalta tiedostoja, joita hyödynsi 8

8 omiin tarkoituksiinsa ja luovutti niitä kolmannelle osapuolelle. Ulkomaanyksikössä toimiva ulkomaalainen asiantuntija jäi verekseltään kiinni imuroidessaan tietokoneen kovalevyltä yrityssalaisia tietoja. Samasta hakkerikeskuksesta sabotoitiin erään merkittävän kansainvälisen pörssiyrityksen ja useiden viranomaisten kotisivuja siten, että niillä olevia tietoja hävitettiin ja muunneltiin ja niihin lisättiin asiattomia kuvia, tekstejä ja muita yksityiskohtia. Näin aiheutettiin ao. yritykselle ja viranomaisille merkittäviä toiminnallisia ja taloudellisia vahinkoja sekä uskottavuusongelmia. Erään pohjoismaisen energiayhtiön sähköpostijärjestelmä saatiin lähes vuorokauden ajaksi toimintakyvyttömäksi, kun sen järjestelmään lähetettiin eri paikoista yhtäaikaisesti valtava määrä asiattomia sähköpostiviestejä - nämäkin harkitusti vahingoittamistarkoituksessa. Ongelman hoitaminen maksoi tuolloin miljoonia markkoja. Edellä kuvatut esimerkit ovat kaikki yrityksen tietoturvallisuuteen liittyneitä käytännön tapauksia, joiden vaikutukset ao. yrityksille ovat olleet merkittäviä sekä taloudellisesti että toiminnallisesti. Jonkinlaista kuvaa rikoslain tietoturvallisuuteen liittyvien säännösten vastaisen toiminnan kehityssuunnasta voidaan saada esimerkiksi tarkastelemalla vuosien poliisille tehtyjä rikosilmoituksia rikosnimikkeillä yritysvakoilu (RL 30:4), yrityssalaisuuden väärinkäyttö (RL 30:6), viestintäsalaisuuden loukkaus (RL 38:3), törkeä viestintäsalaisuuden loukkaus (RL 38:4) ja tietomurto (RL 38:8). Valtaosa rikosilmoituksista - joita on yhteensä liittyi viestintäsalaisuuden rikkomiseen ja tietomurtoon, mutta tapauksista oli mielenkiintoisia yritysvakoilun kannalta. Näiden rikosten yksityiskohdista voidaan päätellä tekotapojen muuttuneen siten, että tietotekniikan hyväksikäyttö on lisääntynyt ja teko on tehty yhä useammin kaupallisen tai ammatillisen hyödyn tavoittelemiseksi. Näistä luvuista huolimatta suuri osa yrityssalaisuuksiin tai yksityisyyden suojaan liittyvästä rikollisesta toiminnasta on piilorikollisuutta eivätkä läheskään kaikki rikosilmoitukset johda oikeusprosessiin. Muista selvityksistä ilmenee edelleen, että joka kymmenes suomalainen pk- huipputeknologiayritys on joutunut yritysvakoilun tai muutoin sopimattoman, tiedustelutarkoituksessa tapahtuvan tiedonhankinnan kohteeksi. Valtaosa näistä yrityksistä katsoo, että niillä on merkittävää yrityssalaisuudeksi katsottavaa taitotietoa sähköisessä muodossa tietojärjestelmissään. Käsiteltyjen oikeustapausten perusteella voidaan arvioida, mitä yrityksissä tulisi tehdä yrityssalaisuuksien suojelemiseksi. Yleisesti voidaan todeta, että lähes kaikissa tarkastelluissa oikeustapauksissa rikoksen tekijänä on ollut yrityksen oma tai entinen työntekijä. Kyseessä ovat olleet tietojärjestelmissä ja piirustuksissa olevat yrityssalaisuudet. Kaikissa tapauksissa vahinkoja kärsineeltä asianomistajalta (yritykseltä) on vaadittu huomattavia ja riidattomia näyttöjä tietoturvallisuustoimenpiteistä ja taloudellisista vahingoista. Mitä oikeuden päätöksissä on edellytetty vahinkoa kärsineeltä yritykseltä esimerkiksi tosiasiallisen salassapidon osalta? Selvitystä siitä, mikä on turvallisuustyön merkitys yrityksen strategioissa ja liiketoiminnan tavoitteissa. Selvitystä siitä. millaisia salassapitosopimuksia työsopimuksen solmimisen tai toimeksiantojen yhteydessä on tehty. Selvitystä tietoturvallisuusohjeista ja siitä, että henkilöstö on saanut ohjeet tietoonsa. Selvitystä annetusta tietoturvallisuuskoulutuksesta ja sen aiheista sekä henkilöstön osallistumisesta. Selvitystä käytännössä toteutetuista tietoturvallisuustoimenpiteistä. Mitä oikeudenkäynneistä on opittu? Mikäli yrityssalaisuuksia ei ole riittävästi yksilöity eli luokiteltu eikä niiden taloudellista arvoa ole määritelty ennen rikollista toimintaa, ei tapauksen jälkeen tapahtunut herääminen ole johtanut yleensä edes syyteharkintaan. Yrityksen johtoa ja ulkopuolisia (toimeksiantotapaukset) lukuun ottamatta kaikki kriminalisoinnit ovat rajoittuneet 9

9 palvelusaikaan tai työsopimussuhteen kestoon (ml. irtisanomisaika). Yrityssalaisuudella on täytynyt olla taloudellista arvoa yrityksen elinkeinoeli liiketoiminnan kannalta. Ilman konkreettista taloudellista arvoa tieto tai seikka ei voi olla yrityssalaisuus. Kaikki rikoslain yrityssalaisuutta koskevat teot ovat ns. asianomistajarikoksia. Tämä tarkoittaa käytännössä sitä, että syyte nostetaan asianomistajan aloitteesta ainoastaan niissä tapauksissa, joissa on esitetty riittävästi näyttöä tehdystä rikoksesta ja aiheutetuista vahingoista. Turvallisuus- ja tietoturvallisuuspolitiikalla osoitetaan salassapitointressi eli se, että yrityssalaisuuksien ilmaiseminen aiheuttaa taloudellista vahinkoa yritykselle. Salassapitosopimuksilla, yrityssalaisuuksien luokittelulla ja niiden taloudellisten arvojen määrittelyllä osoitetaan erityinen salassapitotahto eli se, että tieto on tosiasiallisesti suojattu ulkopuolisilta, ja sen kanssa tekemisissä olevat mieltävät tiedon yrityssalaisuudeksi. Tietoturvallisuusohjeistolla, koulutuksella, henkilökohtaisen tietoturvallisuusvastuun toteuttamisella ja erityisillä tietoturvallisuustoimenpiteillä osoitetaan, mitä tosiasiallisia salassapitotoimenpiteitä on tehty yrityksessä. Suurimmat tietoturvallisuuden ongelmat liittyvät huolimattomuuteen, ymmärtämättömyyteen, osaamattomuuteen ja muihin tietojärjestelmien teknisen toteutuksen ja käytön laadullisiin tekijöihin. Panostaminen tietojärjestelmien käyttö- ja toimintaympäristössä työskenteleviin ihmisiin ja turvallisuustietoisuuden lisäämiseen sekä yhteiskunnan tuki tehokkaalle ja turvalliselle tietojenkäsittelylle menevät aina yksinomaisten tietoteknisten ratkaisujen edelle tietoturvallisuuden rakentamisessa. Tietotekniikan merkitys on kuitenkin korostunut ja tulee korostumaan entisestään tietojärjestelmien ja rakenteiden monimutkaistuessa. Tämä taas on suuri ongelma tiedon käytettävyyden ja saatavuuden näkökulmasta. Informaatioteknologian sovellukset sekä tietoverkkojen hallinta ovat monimutkaistuneet ja vaikeutuneet. Yhä harvemmat hallitsevat niiden toimintaa ja tietoverkkojen turvallisuutta. Sen vuoksi tietoturvallisuutta ja erityisesti tietojärjestelmiin tunkeutumiseen käytettyjä tekniikoita, menetelmiä ja niiden vastatoimia hallitsevien henkilöiden palkkaaminen on selvästi lisääntynyt niin kansainvälisesti kuin Suomessakin. Myös tietojärjestelmään tunkeutumisen ilmaisevia ohjelmia on tuotu markkinoille ja niitä on alettu hankkia (esim. RealSecure, Net- Ranger jne.). Eräiden arvioiden mukaan vain viidesosa suomalaisista yrityksistä havaitsee tällaiset tunkeutumisyritykset. Tältä pohjalta voisi olettaa, että suuri osa yrityksistä ei tiedä tai ei seuraa sitä, mitä luvatonta tai vahingollista toimintaa omissa tietojärjestelmissä tapahtuu. Suurin uhka on, että tietojärjestelmään kertyy luvattomien tunkeutumisten kautta ongelmia, jotka kumuloituvat välittömästi tai ajan mittaan tietojärjestelmien toimimattomuutena ja häiriöinä. Mitä käytännön toimenpiteitä kannattaa tehdä verkkotunkeutumisen havaitsemiseksi? Luo valmiudet vastatoimiksi: yleiset periaatteet ja tarpeelliset toimenpiteet tällaisen tilanteen varalle. Analysoi kaikkea käytettävissä olevaa loki- ym. tietoa, joka kertoo tunkeutumisesta tai sen yrityksestä keskustele kaikkien niiden osapuolten kanssa, joiden on hyvä tietää tunkeutumisesta kerää ja säilytä sellaista tietoa, joka käsittelee tunkeutumista tietoverkkoon käytä lyhytaikaisia ratkaisuja verkkotunkeutumista vastaan poista kaikki sellaiset keinot, jolla tunkeutuja voi helposti päästä verkkoon palauta järjestelmät normaaliin toimintaan Seuraa riittävästi tietojärjestelmääsi varmistaaksesi, että turvallisuus verkkoympäristössä on parantunut niiden toimenpiteiden johdosta, joita on tehty tunkeutumisen ja sen vaikutusten eliminoimiseksi. Eräs mielenkiintoinen selvitys Yhdysvalloista (v ) käsittelee henkilöstön väärinkäytöksiä yrityksen tietojärjestelmissä. Kyselyyn vastanneista 200 yrityksestä 26,9 % ilmoitti rankaisseensa tai erottaneensa työntekijän tai ali- 10

10 urakoitsijan yrityksen tietoturvallisuusmenettelyn rikkomisesta. Tavallisin syy oli sopimaton Internetin / WEB -sivujen käyttö tai katselu (21,4 %) sekä sopimaton toiminta sähköpostiliikenteessä (15,3 %). Liiallinen tai kohtuuton yrityksen tietojärjestelmien käyttö omaan tarkoitukseen oli rangaistuksen perusteena 10,2 %:ssa tapauksista. Tapauksista 4,6 %:ssa yrityksen tietojärjestelmillä oli pyöritetty henkilön oman liiketoiminnan vaatimia järjestelmiä ja 3,1 % tapauksista oli selkeitä rikolliseen toimintaan liittyviä, kuten murtautuminen yrityksen tietokoneella toisiin tietojärjestelmiin. Vastanneista yrityksistä 73,7 % kertoi omaavansa politiikan tai yleiset periaatteet siitä, miten henkilöstö käyttää Internetiä ja sähköpostia. Näistä yrityksistä 28,4 % myös valvoi käytännössä jollakin tavoin Internetin/sähköpostin käyttöä ja vain 16,3 % niiden asiasisältöä. Suomalaisista yrityksistä ei ole toistaiseksi vastaavanlaisia selvityksiä käytettävissä. Meillä ei juurikaan yrityksissä valvota järjestelmällisesti Internetin tai sähköpostin luvatonta käyttöä - ja jos valvotaankin, tuloksia ei tuoda julkisuuteen. Oikeaan aikaan saatu oikea tieto antaa hyvän perustan yritysjohdon päätöksenteolle, mikä merkitsee kilpailuaseman säilyttämistä, liiketoiminnan kannattavuutta ja usein jopa selvää kilpailuetua. Kilpailuedun säilyttäminen edellyttää tietojärjestelmien ja -tekniikan tehokasta ja turvallista käyttöä. Toisaalta yrityksen toiminnasta, kannattavuudesta, taitotiedosta, jopa asiakkaista ja heidän tiedoistaan ovat kiinnostuneita myös toimivat ja perusteilla olevat kilpailijayritykset. Sisällöllisesti oikean tiedon hallinta kotisivujen, sähköpostiliikenteen ja yleisemminkin Internetin käytössä, käyttäjän tunnistaminen ja monet ratkaisemattomat turvallisuusongelmat odottavat selkeitä ja toimivia malleja. Työvälineitä kyllä on käytettävissä ja suomalaista osaamistakin. Uudet turvallisuus- ja yhteensovittamisongelmat ovat vakava ja pysyvä haaste yrityksen tietojärjestelmistä vastaaville henkilöille ja erityinen haaste yrityksen tietoturvallisuudelle. Tietojärjestelmien ja -tekniikan hyväksikäytön mahdollisuudet esimerkiksi sähköisessä kaupankäynnissä tukemassa tuotteiden ja palveluiden myyntiä sekä markkinointia ovat edellyttäneet uusien tietoturvallisuusmenetelmien käyttöönottoa. Yrityksen tietoturvallisuuden lähtökohtana tulee olla sen tosiasian tunnustaminen, että jokaisen yrityksen tiedot voivat olla väärinkäytösten kohteena. Tämän todellisuuden vähätteleminen voi olla koko yritystoiminnan kannalta kohtalokasta. Jokaisen yrityksen on hyvä tiedostaa, että tietoturvallisuus ei merkitse vain yritystä itseään koskevien vaan myös asiakastietojen hallintaa. Erityisen suuri merkitys hyvin hoidetulla tietoturvallisuudella on nopeasti kehittyvässä verkostotaloudessa. Tietoturvallisuus ja luottamuksellisuus ovat tämän kehityksen avainasioita. Tietoturvallisuustoimenpiteiden tarkoituksena on varmistaa yritystoiminnan kannalta tärkeiden tietojen hallinta sovittavien pelisääntöjen mukaisesti. Pelisäännöt tarkoittavat yritysjohdon kannanottoa siihen, miten järjestetään se, että asiattomat ja ulkopuoliset eivät saa kontrolloimattomasti haltuunsa yrityksen tärkeitä tietoja Miksi? Tietojärjestelmässä oleva tieto voi paljastua hallitsemattomasti, kun - ulkopuolinen käyttäjä pääsee järjestelmään ja tietoihin - valtuutettu käyttäjä pääsee tietoihin, joihin hänellä ei ole oikeutta - valtuutettu käyttäjä lähettää sopimattomasti tietoa tietoverkon kautta tiedot ovat yhtäpitäviä ja oikeita kaikkialla yrityksessä esitysmuodosta riippumatta Miksi? Tietojärjestelmässä oleva tieto voi muuttua tai hävitä tahallisen toiminnan johdosta tai vahingossa. tiedot ja palvelut ovat niiden henkilöiden käytettävissä, joilla on siihen oikeus Miksi? Valtuutetut käyttäjät eivät mahdollisesti voi 11

11 käyttää työasemaa, tietoverkkoa, tietoja tai tietojärjestelmän palveluja, jolloin heidän työtehtäviensä suorittaminen vaikeutuu, häiriintyy tai estyy kokonaan, kun tiedot ovat vaurioituneet, hävinneet tai niihin pääsy on muutoin estynyt tietojärjestelmän kapasiteetti on siinä määrin vaurioitunut tai ylirasitettu, että se estää valtuutetun käyttäjän järkevän työskentelyn pääsy tietojärjestelmän palveluihin on estynyt Oikein toteutettu tietoturvallisuus antaakin tiedolle kolme tärkeää ominaisuutta: luottamuksellisuuden, eheyden ja käytettävyyden. Tietoturvallisuuden perusta on tunnistaa oman yrityksen toimintaan liittyvät tietoriskit ja sen pohjalta tietää, mitä suojataan. Kukaan ei tunne näitä asioita paremmin kuin yrityksen henkilöstö itse. Tiedon suojaaminen edellyttää tiedon luokittelua eli tiedon merkityksen arviointia liiketoiminnan kannalta. Tässä yhteydessä on muistettava yhtäläisesti kaikki tiedon kolme ominaisuutta. Pelkkä luottamuksellisuus käytännössä tarkoittaa usein vain yrityssalaisuuksiksi katsottavien tietojen luokittelua, merkitsemistä ja käsittelyä. Tilastokeskuksen tutkimuksen Internet ja sähköinen kauppa yrityksissä (Tiede, teknologia ja tutkimus 2000:2) mukaan yrityksiä pyydettiin arvioimaan Internetin käyttöön yleisesti ja sähköiseen kauppaan erityisesti liittyviä esteitä. Selvästi suurimmat ongelmat Interetin käytössä liittyivät tietoturvallisuuteen, johon kuuluivat myös tietokoneviruksista ja niiden ehkäisystä mahdollisesti aiheutuvat ongelmat. Noin 30 % yrityksistä piti näitä ongelmia suurina ja vain 6 %:lle ei aiheutunut minkäänlaisia ongelmia. Tietoruvallisuusongelmat huolettivat yleisemmin suurissa yrityksissä. 25 % hengen yrityksistä piti ongelmaa suurena, yli 100 hengen yrityksissä 41 % yrityksistä oli huolissaan tietoturvallisuudestaan. Toimialoista tietoturvallisuushuoli korostui liike-elämän palveluissa ja teollisuudessa. Koska tietoturvallisuus riippuu yrityksen jokaisen henkilön toiminnasta, on tärkeää, että yrityksellä on tietoturvallisuuden keskeisiä asioita koskeva ohjelma, josta käyvät selkeästi ilmi vastuut, yleiset periaatteet, yrityksen tietoturvallisuusohjeistus, perehdyttäminen, koulutus, ylläpito ja kehittäminen sekä toimintaohjeet ongelma- ja väärinkäyttötapausten varalta. Tietoturvallisuustoimenpiteillä tuetaan yrityksen päätoimintaa ja siihen liittyvien tavoitteiden toteuttamista. Hallittu ja toimiva tietoturvallisuusmenettely ennalta ehkäisee ja estää yritysvakoilua sekä yrityssalaisuuksien rikkomista ja väärinkäyttöä eli turvaa taitotiedon säilymisen yrityksessä. Tietoturvallisuustoimilla voidaan ohjata tietojen, tietojärjestelmien ja -palvelujen tehokasta ja oikeaa käyttöä. Voidaan välttää yritystoiminnan häiriöitä ja vahinkoja ja kohdistaa resurssit toimintaedellytysten turvaamiseen ja ydintoimintoihin eli siihen, minkä vuoksi yritys on olemassa. Toimimaton tietoturvallisuus on omiaan lisäämään epäluottamusta tietojärjestelmiin ja niiden käyttöön. Tämän vuoksi tietoturvallisuus on myös yhteinen ja yhteiskunnallinen kysymys. Luottamus hyvin toimivaan, tehokkaaseen tietojärjestelmään ja -teknologiaan lisää olennaisesti niiden käyttöä. 12

12 3. Mitä tietoturvallisuus on Tietoturvallisuudella tarkoitetaan tietojen, järjestelmien ja palveluiden asianmukaista suojaamista sekä normaali- että poikkeusoloissa. Tietojen luottamuksellisuutta, eheyttä ja käytettävyyttä suojataan erilaisten vikojen, luonnontapahtumien tai tahallisten, tuottamuksellisten tai tapaturmaisten tekojen aiheuttamilta uhilta ja vahingoilta. liittyvien, henkilöä koskevien tietojen käsittelyä ja siihen liittyviä oikeuksia ja velvollisuuksia. Tietoturvallisuus on siis huomattavasti laajempi käsite kuin ns. atk-turvallisuus tai henkilötietoihin liittyvä tietosuoja. Kontrollit eli torjuntakeinot on lueteltu erillisessä liitteessä 5. Tietoturvallisuus on yläkäsite, johon sisältyy mm. atk- tai tietotekninen turvallisuus kaikkine järjestelmineen. Tietosuojalla taas tarkoitetaan ihmisen yksityisyyteen ja yksityiselämään 13

13 4. Mitä laki sanoo tietoturvallisuudesta Suomen lainsäädäntö on kansainvälisestikin arvioiden varsin edistyksellinen tiedon salassapidon ja erityisesti yritysvakoilun, yrityssalaisuuden väärinkäytön ja yrityssalaisuuden rikkomisen osalta. Viime vuosina tietoturvallisuuteen liittyvää lainsäädäntöä on lisätty ja kehitetty edelleen. Vakoilulainsäädäntö on niin ikään varsin uutta, samoin kuin tieto- ja viestintärikosten kriminalisointi. Atk ja tietotekniikka on otettu huomioon kohteena tai rangaistavan teon tekemisen välineenä useissa ns. tavallisissa rikoksissa, kuten vahingonteossa, petoksessa, kavalluksessa, luvattomassa käytössä jne. Ehdotetulla lailla säädettäisiin yrityksissä noudatettavista menettelytavoista eli valvonnan järjestämisestä sähköpostin ja tietoverkon käytössä. Valvonta voi kohdistua myös tietojenkäsittelyn kirjautumisjärjestelmiin ja puhelimen käyttöön. Yhteistoimintamenettelyn piiriin kuuluisivat vastedes myös sähköpostin ja tietoverkon käyttö. Työnantajalla voi olla myös hyväksyttävä peruste rajoittaa työntekijän sähköpostin tai muun tietoverkon kautta tapahtuvaa viestintää. Lakiesityksessä yksityisyyden suojasta työelämässä ei myöskään ehdoteta määriteltäväksi työnantajan oikeuksia työntekijän valvonnassa. Laissa säädettäisiin ainoastaan menettelytavoista valvonnan sekä sähköpostin ja tietoverkon käytön järjestämisessä. Jos laki esitetyssä muodossaan hyväksytään, jokaisen yhteistoimintamenettelyn piiriin kuuluvan yrityksen on vastedes laadittava sähköpostin ja Internetin käyttöön liittyvät pelisäännöt. Menettelyllä edistetään tietoturvallisuutta ja tietosuojaa. Tällä tavoin ovat monet edistykselliset yritykset hoitaneetkin ongelmalliset tietojärjestelmien käyttö- ja valvontakysymykset. Suomi on ollut esimerkillinen myös virusongelmien vastaisessa kansainvälisessä toiminnassa, kun se ensimmäisenä on kriminalisoinut tietokonevirusohjelman tekemisen ja levittämisen (RL 34:9a: Vaaran aiheuttaminen tietojenkäsittelylle). Yksityiselämän suojaan liittyvä henkilötietojen käsittely eli tietosuoja on saanut uutta sääntelyä henkilötietolain myötä (523/ 1999) sekä useina erityislakeina. Niitä ovat laki yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta 565/1999 sekä hallituksen esitys laiksi yksityisyyden suojasta työelämässä (HE 75/2000). 14

14 Hallituksen esityksen keskeinen säännös on 8 Menettelytavat teknisen valvonnan ja tietoverkon käytön järjestämisessä Työntekijöihin kohdistuvan, työnantajan työnjohto- ja valvontaoikeuteen perustuvan teknisen valvonnan tarkoitus, käyttöönotto ja siinä käytettävät menetelmät sekä sähköpostin ja tietoverkon käyttö kuuluvat yhteistoiminnasta yrityksissä annetussa laissa sekä yhteistoiminnasta valtion virastoissa ja laitoksissa annetussa laissa tarkoitetun yhteistoimintamenettelyn piiriin. Muissa kuin yhteistoimintalainsäädännön piiriin kuuluvissa yrityksissä ja julkisoikeudellisissa yhteisöissä työnantajan on ennen päätöksentekoa varattava työntekijöille tai heidän edustajilleen tilaisuus tulla kuulluksi edellä sanotuista asioista. Yhteistoiminta- tai kuulemismenettelyn jälkeen työnantajan on määriteltävä työntekijöihin kohdistuvan teknisen valvonnan käyttötarkoitus ja siinä käytettävät menetelmät sekä tiedotettava työntekijöille teknisen valvonnan tarkoituksesta, käyttöönotosta ja siinä käytettävistä menetelmistä sekä sähköpostin ja tietoverkon käytöstä. Uusi julkisuuslaki, laki viranomaisten toiminnan julkisuudesta (621/1999) ja siihen liittyvä asetus (1030/1999) sisältävät avoimuuden ja julkisuuden vastapainoksi merkittäviä tiedon salassapitoon ja tietoturvallisuuteen liittyviä säännöksiä. TYÖSOPIMUSLAKI kieltää ilmaisemasta muille niitä tietoja, jotka henkilö on saanut työnantajalta sen liike- ja ammattisalaisuuksista (=yrityssalaisuuksista). Säännöksen rikkominen voi johtaa työsopimuksen purkamiseen. YHTEISTOIMINTALAKI toteaa samalla tavoin, että niitä tietoja, jotka työnantaja on määritellyt salassapidettäviksi ei saa antaa ulkopuolisille, mikäli tietojen leviäminen olisi omiaan vahingoittamaan yritystä tai sen liike- tai sopimuskumppania. Tämä on merkittävä laissa ilmaistu periaate, jonka tulisi myös toteutua käytännössä. Sama laki säätää myös yksityisen henkilön taloudellista asemaa, terveydentilaa tai muutoin häntä koskevien tietojen salassapitovelvollisuudesta. VILPILLINEN KILPAILU eli laki sopimattomasta menettelystä elinkeinotoiminnassa säätää niin ikään liikesalaisuudesta. Yleinen liikesalaisuuden oikeudeton hankkiminen tai sen yritys sekä sen käyttäminen tai ilmaiseminen on kielletty. Samoin on kielletty toisen palveluksessa tai toimeksiantosuhteessa saadun liikesalaisuuden, teknisen esikuvan tai teknisen ohjeen käyttö ja ilmaiseminen palvelusaikana. Toimeksiantosuhteessa kielto ei ole sidottu toimeksiannon kestoon, vaan on pysyvä. Jos henkilö on saanut toiselta tiedon em. asioista tietäen, että tämä on hankkinut tai ilmaissut tiedon oikeudettomasti, ei hän saa sitä käyttää eikä ilmaista. Teknisen esikuvan tai ohjeen tahallinen käyttö tai ilmaiseminen rangaistaan sakolla, muissa tapauksissa rikoslain yritysvakoilua, yrityssalaisuuden rikkomista tai yrityssalaisuuden väärinkäyttöä koskevien säännösten mukaisesti. Oikeuskäytännössä ei enää juuri sovelleta vilpillisen kilpailun rangaistussäännöksiä vaan rikoslakia. RIKOSLAKI määrittelee yrityssalaisuuskäsitteen ja salassapitovelvollisuudet sekä näiden kriminalisoinnit. Yrityksen tietoturvallisuuden kannalta ne ovat yhdessä vakoilusäännösten kanssa aivan keskeisessä asemassa. YRITYSSALAISUUDELLA tarkoitetaan liike- tai ammattisalaisuutta taikka muuta vastaavaa elinkeinotoimintaa koskevaa tietoa, jonka elinkeinonharjoittaja pitää salassa ja jonka ilmaiseminen olisi omiaan aiheuttamaan taloudellista vahinkoa joko hänelle tai toiselle elinkeinonharjoittajalle, joka on uskonut tiedon hänelle. Yrityssalaisuus on yrityksen kilpailun ja menestymisen kannalta aivan keskeinen tieto. Jotta kyseessä olisi rikoslain suojaama yrityssalaisuus, tulee yrityksen ilmaista salassapitotahtonsa ja -intressinsä sekä toteuttaa tosiasialliset toimenpiteensä tiedon salassapitämiseksi. Muussa tapauksessa ja ilman näitä toimenpiteitä rikoslaki ei anna suojaa yritysvakoilua, yrityssalaisuuden rikkomista tai väärinkäyttöä vastaan. Tämä tarkoittaa sitä, että yrityksen on itse ryhdyttävä konkreettisiin tietoturvallisuustoimiin. 15

15 5. Yrityksen yleinen tietoturvallisuus Kaikki tietoturvallisuustyö yrityksessä lähtee tietoriskien arvioinnista ja niiden hallinnasta. Toimialasta ja tietojärjestelmistä riippuen riskit voivat vaihdella suurestikin. Valtakunnallinen PK-yritysten riskienhallintaprojekti on tuottanut käyttökelpoisen työvälineen - eräänlaisen riskikortin - pienten ja keskisuurten yritysten tietoriskien kartoittamiseen (Liite). On hyvä vielä muistuttaa, että reilusti yli puolet tietoturvallisuuden ongelmista tietojärjestelmissä johtuu ihmisen toiminnasta, vain pieni osa laitteista, olosuhteista ja ohjelmistoista. Kun tilanne on tämä, ei pienenkään yrityksen tietoturvallisuutta voida hoitaa yksinomaan tietoteknisin ratkaisuin. Tarvitaan yleisiä periaatteita ja ohjeita tietoturvallisuudesta yrityksessä. Tietoturvallisuuden määritelmä sisältää keskeiset uhat ja riskit. Kun yrityssalaisuuksien hallittu käyttö liittyy usein yritysten väliseen kilpailuun, on tässä yhteydessä syytä tarkastella tietoturvallisuutta myös kilpailun näkökulmasta. Kysymys on usein kilpajuoksusta ja siihen liittyvästä taloudellisen hyödyn tavoittelusta. Yritysvakoilua tai muuta vastaavaa kiellettyä toimintaa harjoittavan kilpailijan motiivi on usein maksattaa muilla kalliit tutkimus- ja kehityskulut ja tällä tavoin heikentää teon kohteeksi joutuneen yrityksen taloudellista pohjaa ja markkina-asemaa. Sen sijaan kaikkien terveestikin toimivien yritysten on hankittava riittävää tietoa alansa kehityksestä eikä se ole edes vaikeata. Avoimia tietolähteitä on paljon. Tiedoista % on saatavissa julkisista tai avoimista lähteistä. Loppu tiedoista luottamuksellista tai yrityssalaista, joka voi tuhoutua, muuttua tai joutua hallitsemattomasti ulkopuolisille. Salainen tieto voi koskea yrityksen teknologiatasoa, uusien tuotteiden ominaisuuksia, tuotteen kustannusrakennetta, tuotannon volyymia, toimintatapoja ja organisaatiota, markkinointisuunnitelmia, tarjousstrategiaa ja vastaavia muita yrityksen kannalta erittäin tärkeitä tietoja. Valikoidusti tulisi ainakin tällaisia tietoja suojella. 5.1 Tietoturvallisuus ja laatu Useissa PK-yrityksissä on valmisteilla tai jo käytössä joko laatustandardi tai vastaava laatuohjelma. Tämä tarkoittaa sitä, että yrityksen kannalta tärkeimmät toiminnat ja prosessit ovat dokumentoidut ja jatkuvan parantamisen kohteena. Turvallisuus on tukitoiminto, jota kaikessa laajuudessaan ei ole vielä toteutettu osana yrityksen kokonaislaatua. Parempaan suuntaan ollaan selkeästi menossa mm. EU:n piirissä tehtävän turvallisuusstandardointityön myötä. Sen sijaan useilta yritysturvallisuuden osaalueilta kuten prosessiturvallisuuden, työturvallisuuden ja ympäristönsuojelun sektoreilta on jo olemassa standardeja ja sovelluksia yrityksen laatutoimintaan. Yrityksen tietoturvallisuus on sellainen tärkeä alue eli laatutoiminnan moduli, joka myös olisi toteutettavissa osana yrityksen muun toiminnan laatua (laatukäsikirjaa). Tällä tavoin tietoturvallisuusasiat tulisivat osaksi päivittäisen 16

16 toiminnan dokumentointia, ylläpitoa, koulutusta ja jatkuvaa parantamista. Kansainvälisiä tietoturvallisuusstandardejakin on olemassa kuten esimerkiksi BS 7799:1995, jota kyllä voi hyödyntää laatutyössä, mutta se on sellaisenaan melko raskas työväline käyttöön otettavaksi PKympäristössä. Standardi on käännetty myös suomeksi ja saatavissa Suomen standardisoimisliitosta (BS :fi). 5.2 Yrityksen tietoturvallisuusperiaatteet ja -politiikka Yrityksissä, joissa tietoturvallisuudella on strategista, toimintaan ja kilpailuun liittyvää merkitystä, laaditaan usein toiminnan perusteeksi erillinen tietoturvallisuuspolitiikka. Muutoin kirjataan yleensä keskeiset periaatteet käytännön tietoturvallisuustyölle. Hyväksyessään nämä periaatteet yritysjohto sitoutuu noudattamaan tietoturvallisuuspolitiikkaa ja velvoittaa henkilöstöä noudattamaan sitä. Yritys PK Oy:n tietoturvallisuuspolitiikka voisi olla seuraavan sisältöinen: Yrityksen liiketoiminnan ja taloudellisten etujen turvaamiseksi sekä erityisesti oikean, luotettavan tiedon saamiseksi ja tietojen käsittelyssä mahdollisesti aiheutuvien vahinkojen ennalta ehkäisemiseksi toteutetaan PK Oy:ssä tietoturvallisuutta korostaen, että yrityksen tietoasiakirjat, tietovälineet, tekniset tallenteet ja suullinen infor- maatio ovat yrityksen omaisuutta ja niiden antaminen yrityksen ulkopuolelle saa tapahtua vain yhtiön eduksi, yrityksellä on erilliset, kirjalliset ohjeet yrityssalaisen informaation merkitsemistä, käsittelyä, säilyttämistä ja hävittämistä varten, esimies antaa ohjeet tiedoksi jokaiselle työntekijälle työsopimuksen solmimisen tai toimeksiannon yhteydessä, jokainen työntekijä noudattaa tietoturvallisuudesta annettuja ohjeita ja vastaa omalta osaltaan tietoturvallisuudesta yrityksessämme. Tämän pohjalta voidaan kirjoittaa tietoturvallisuusmenettelyn perusteet ja yleinen sisältö, esimerkiksi seuraavasti: TIETOTURVALLISUUS PK Oy:ssä Tietoturvallisuudella tarkoitetaan yhtiömme tietojen, järjestelmien ja palvelujen suojaamista lainsäädännön ja yhtiön tietoriskien hallintaan perustuvien omien erityistoimenpiteiden avulla. Tietojen luottamuksellisuutta, eheyttä ja käytettävyyttä suojataan laitteisto- ja ohjelmistovikojen, luonnontapahtumien tai tahallisten, tuottamuksellisten ja tapaturmaisten inhimillisten tekojen aiheuttamilta uhilta ja vahingoilta. Tällaisia voivat olla esim. yhtiötä vastaan kohdistettu vakoilu, yritysvakoilu tai muu rikollinen toiminta, 17

17 hallitsematon julkisuus ja tiedottaminen, yksityisyys eli tietosuoja, tahattomat tietovuodot sekä välinpitämättömyys, huolimattomuus ja osaamattomuus tietoja käsiteltäessä. Kaikki nämä asiat voivat aiheuttaa yrityksellemme merkittäviä taloudellisia menetyksiä, tuotannollisia tai toiminnallisia vahinkoja kuten kilpailuaseman menetyksiä, tappioita tarjouskilpailussa tai yksityisyyden suojan loukkauksia. Menettely ja tiedon luokitus on sisällytetty tietoturvallisuusohjeistoon, jota noudatetaan yhtiön kaikilla toimipaikoilla. Yrityssalaisuuksina käsiteltävät tiedot on jaettu kahteen luokkaan: A= strictly confidential / erittäin luottamukselliset tiedot ja B= confidential / luottamukselliset tiedot. Luokitus määrää toimenpiteet tiedon käsittelyssä, jakelussa, säilyttämisessä ja hävittämisessä. Turvallisuusohjeisto antaa yhteisen pohjan yhtiön eri toimintayksiköiden tietoturvallisuusmenettelylle. Ohjeistoon ja menettelyyn perehdyttävät esimiehet ja yhdyshenkilöt, jotka on nimetty toimintayksiköihin linjavastuun mukaisesti. Lisäksi kaikissa tietoturvallisuusasioissa voi kääntyä PKT Oy:n tietojärjestelmävastuuhenkilöiden puoleen. Tiedon luokitukseen ja tietoturvallisuusmenettelyyn tarvittavia materiaaliresursseja kuten leimasimia, tietovälineiden( papereiden, diskettien yms. teknisten tallenteiden tuhoajia, turva- tai kassakaappeja yms.) hankitaan normaalin budjetointimenettelyn mukaisesti. 5.3 Tietoturvallisuusohjelma Yrityksen tietoturvallisuusohjelma perustuu tietoturvallisuuspolitiikkaan ja yrityskohtaiseen tietoriskien analyysiin. Mitkä ovat meidän toimintamme kannalta kaikkein merkittävimmät tietoriskit ja miten ne hallitaan yrityksessämme? Mikä on yritysjohdon kannanotto ja sitoutuminen tietoturvallisuuden edistämiseen ja ylläpitämiseen yrityksessä eli tietoturvallisuuspolitiikka? Tietoturvallisuusohjelman vuosittaiset tavoitteet tulee sovittaa yrityksen lyhyen ja pitkän aikavälin tavoitteisiin. Jos yrityksen tärkein tavoite on uuden tuotteen tuominen markkinoille ja tähän liittyvä tuotekehitys- ja tutkimustyö, ovat varmasti tietoturvallisuusohjelman painotukset markkinointistrategian sekä tutkimus- ja kehitystiedon suojaamisessa. Nämä voivat olla myös pysyviä painotuksia ohjelmassa esimerkiksi silloin, kun yrityksen päätoiminta on tuottaa huipputeknologian tuotteita tai sovellettuja palveluja. Tietoturvallisuusohjelman ei tarvitse olla laaja. Sen keskeinen tavoite on antaa suuntaviivat ja sisältö yrityksen tietoturvallisuusmenettelylle ja -kulttuurille. TIETOTURVALLISUUSOHJELMAN AVAINKOHDAT Sisällytä yrityksen hallituksen tai toimitusjohtajan kannanotto tietoturvallisuusohjelman johdanto-osaan. Tietoturvallisuuden ja yrityssalaisuuksien suojaamisen arvostuksen on lähdettävä yrityksen johdon tahdosta. Kuvaile ohjelman tarkoitus ja tärkeys. Henkilöstön on ymmärrettävä ja miellettävä keskeinen roolinsa ja vastuunsa tietoturvallisuuden toteuttamisessa. Erittele tarkoin, keitä kaikkia toimintaohjelma koskee. Muista oman henkilöstön osalta myös toisiin tehtäviin siirtyvät, eroavat ja erotetut henkilöt sekä laajasti kaikki ulkopuoliset sidosryhmät (ulkopuoliset palvelut, alihankkijat jne.). Tee yrityssalaisuuksien käsittelyn ja muun tietoturvallisuuden kannalta tärkeiden avainhenkilöiden kanssa salassapitosopimus, joka koskee yrityssalaisuuksien lisäksi mm. kilpailevaa toimintaa ja työsuhdekeksintöjä. Tämä on tärkeää tehdä myös ulkopuolisten alihankkijoiden ja järjestelmätoimittajien kanssa sekä kaikkien niiden kanssa, joilta hankitaan palveluja. Muista, että yrityksesi on vastuussa myös 18

18 asiakkaiden, laitetoimittajien ja muiden sidosryhmien tietojen turvallisuudesta. Esimerkkejä salassapitosopimuksista on liitteenä. Määrittele, mikä tietoaineisto on suojattava. Ohjelmaan sisällytetään suojattavan tiedon yleiset ja erityiset periaatteet. Määrittele ja ohjeista tiedon luokitteluperiaatteet siten, että jokainen tuntee ja tietää menettelyn. Nimeä yhdyshenkilöt tärkeimpiin toimintayksiköihin tukemaan tietoturvallisuusmenettelyä ja vastuita. Tiedota nimetyt henkilöt yrityksen koko henkilöstölle. Määrittele toimenpiteet väärinkäytösten tai rikollisen toiminnan varalta. Kirjaa ne toimenpiteet, jotka ovat tärkeitä selvitettäessä, mitä ja milloin on tapahtunut. Nimeä henkilö, johon otetaan yhteyttä, kun jotain yrityksen tietoturvallisuuspelisääntöjen kannalta epäilyttävää on tapahtunut. Määrittele tiedon käsittelyn, säilyttämisen, välittämisen, kirjaamisen, kopioinnin sekä hävittämisen periaatteet ja menettelytavat. Järjestä tietoturvallisuuskoulutusta ja - valmennusta henkilökunnalle. Käytä tiedottamista ja julkaisuja hyväksesi pitääksesi yllä turvallisuustietoisuutta yrityksessäsi. Määrittele, kuka on vastuussa tietoturvallisuusohjelman toteuttamisesta. TÄRKEITÄ PERIAATTEITA TIETOTURVALLISUUSOHJELMAA RAKENNETTAESSA NEED TO KNOW - kuka tietoa tarvitsee NEED TO HOLD - kuka tietoa säilyttää CLOSE TO YOU - tietoturvallisuusvälineet (kaapit, paperisilppurit, yms.) ovat lähellä Sinua ja työskentelytiloissasi Tietoa on paljon ja sitä on yrityksessä eri muodoissa. Hallittu tietojen käsittely edellyttää yhteisiä pelisääntöjä. Edellä kirjatut periaat- teet tarkoittavat käytännössä mm. sitä, että kaikki se tieto, joka on kunkin henkilön tehtävän kannalta tärkeää, on hänen saatava. Kaikkia tietoja ei jaeta kaikille. Entä kuka saa tiedon asiakirjasta tai tietovälineestä? Kuka sen tiedon säilyttää? Tietoteknisenä sovellutuksena samanlaista ongelmaa ei juuri ole. Paperidokumenttien ja vastaavien osalta on toisin: jokainen ylimääräinen kappale asiakirjaa lisää tietoturvallisuusriskiä ja on usein tarpeetonta arkistomateriaalia. Eräissä yrityksissä tehty selvitys siitä, kuinka paljon turhaa asiakirjamateriaalia on taltioituna eri paikkoihin, johti useiden paperitonnien hävittämiseen. Tietoturvallisuuden hoitamiseksi tarvittavat välineet on hankittava ja sijoitettava järkevästi: paperisilppuri kopiokoneen viereen tai läheisyyteen ja avainhenkilön työhuoneeseen. Muutoin niitä ei juurikaan käytetä. Sama koskee palo- ja murtoluokiteltua kassa- tai turvakaappia, jossa säilytetään tärkeimpiä asiakirjoja ja tietovälineiden varmuuskopioita. 5.4 Tietoturvallisuusvastuut yrityksessä Pääperiaatteena on linjavastuu. Tulosyksikön johtaja vastaa tietoturvallisuusmenettelyn toteuttamisesta omassa yksikössään. Henkilöstö vastaa omiin tehtäviinsä liittyvistä tietoturvallisuustoimenpiteistä, mutta yleisen vastuun lisäksi on myös erityisvastuu tietoturvallisuusasioissa osoitettava jokaiselle henkilökohtaisesti. Jos yrityksessä on turvallisuus- tai tietoturvallisuusvastaava, hänellä on yleensä ns. asiantuntijavastuu. Lakisääteistä vastuuta turvallisuusasioissa ei yleisesti voida delegoida - omaehtoista (jota tietoturvallisuus pitkälti on) sen sijaan voidaan. Avainhenkilöiden erityiset tietoturvallisuusvastuut voidaan luontevasti sisällyttää heidän työtehtäviinsä. 19

19 5.5. Tietoaineiston luokittelu Tietoaineiston luokittelulla tarkoitetaan yrityksen toiminnassa tarvittavan tiedon järjestämistä sen mukaisesti, mikä merkitys kullakin tiedolla on yritystoiminnalle. Yksinkertaisimmillaan se tarkoittaa yrityssalaisten tai muulla perusteella salassapidettävien tietojen luokittelemista eli erottamista yrityksen muista tiedoista. Tärkeä lähtökohta tietoaineiston luokitukselle on nykyinen ja tulevakin lainsäädäntö, joka useissa yhteyksissä edellyttää toiminnanharjoittajan ilmoittavan esimerkiksi tietoja saavalle viranomaiselle tai muulle taholle, mitkä tiedot ovat luottamuksellisia tai muulla tavoin yrityssalaisia. Edelleen erityissäännöksillä järjestetään se, miten tällaisia tietoja on käsiteltävä: tietosisällön ilmaisukielto, säilyttäminen, kopiointi, hävittäminen jne. Tietoaineiston luokituksella ilmaistaan samalla salassapitotahto ja tehdään konkreettisia tietoturvallisuustoimenpiteitä. Tietoaineiston luokittelu on resurssien kannalta tietoturvallisuusmenettelyn raskain vaihe sen vuoksi, että kaikki tärkeät tietoryhmät on käytävä läpi ja päätettävä toiminnallistaloudellisin perustein, mitkä tiedot luokitellaan yrityssalaisiksi, mitkä jäävät luokittelun ulkopuolelle. Kun tämä on tehty, on menettelyn ylläpitäminen varsin vaivatonta. Tietoaineisto tarkoittaa kaikkea kirjallista tai kuvallista esitystä sekä tallennetta, mikä voidaan lukea, kuunnella tai saada muulla tavoin ymmärretyksi teknisin apuvälinein. Tietoteknisenä sovelluksena tietojen luokittelu ja menettelyn toteuttaminen on yksinkertaisempaa; on vain muistettava, että tärkeitä tietoja on muuallakin kuin vain tietojärjestelmissä, ja nekin on otettava huomioon tietoja luokiteltaessa. Tietoaineisto voidaan luokitella sen sisällön, käytön ja salassapitotarpeen mukaan esimerkiksi seuraavasti: ERITTÄIN LUOTTAMUKSELLISET tiedot, joiden tuhoutuminen, muuttuminen, häviäminen, hävittäminen tai luvaton joutuminen ulkopuolisten haltuun voi aiheuttaa yritykselle huomattavan suuria (miljoonia, satojatuhansia, kymmeniätuhansia markkoja) taloudellisia vahinkoja tai olla muusta erittäin tärkeästä syystä (turvallisuusjärjestelmät, tietosuoja eli esim. arkaluontoiset tiedot jne.) salassapidettäviä. LUOTTAMUKSELLISET tiedot, joiden tuhoutuminen, muuttuminen, häviäminen, hävittäminen tai luvaton joutuminen ulkopuolisten haltuun voi aiheuttaa yritykselle taloudellisia vahinkoja tai muuta vakavaa haittaa (goodwill, yrityskuva, julkisuus jne.) LUOKITTELEMATTOMAT joita ovat muut yrityksen tiedot. Niidenkin saattamisen ulkopuolisten haltuun tulee tapahtua vain yrityksen eduksi. Kokemusten perusteella tiedon luokitus on järkevää tehdä yrityskohtaisesti siten, että tärkeimpien toimintojen avainhenkilöt päättävät luokituksen käytännön sisällöstä tietoryhmittäin ja tätä jaottelua noudatetaan koko yrityksessä esimerkiksi seuraavasti: Yrityssalaiset tiedot ryhmitellään yrityksessä viiteen eri ryhmään. Yksittäisen tiedon luokituksen määrää sen taloudellinen tai muu merkittävyys yritystoiminnalle. Luokituksesta päättää asiakirjan, tietovälineen tai tiedon laatija. Hän määrittelee myös tiedon jakelun. Tietoryhmät ovat: 1. STRATEGISET TIEDOT - eräät yrityksen johtoelinten pöytäkirjat, PTS-tiedot, markkinatutkimukset, yrityksen tulevaa teknologista kehitystä koskevat ennusteet, omistajalle menevät kannattavuus- ja investointiselvitykset, sisäisen tarkastuksen raportit. 2. TOIMINNALLISET, TALOUDELLISET JA KAUPALLISET TIEDOT - osto- ja myyntisopimukset, kilpailunrajoitussopimukset, tarjousstrategia, osto- ja myyntihinnat asiakaskohtaisina, kustan- 20

20 nukset, muut hintatekijät, kalkyylit, tulosraportit, taloushallinnon seurantalomakkeet, katetiedot ja niihin liittyvät laskelmat, tilinpäätöserittelyt. 3. TUTKIMUS-, KEHITYS JA TUOTETIE- DOT (PALVELUT) - oma taitotieto, jolla on merkittävää kilpailuarvoa, patentoitavat tuotteet, laitteet ja menetelmät, tutkimusanalyysit, kilpailijaanalyysit, asiakaskohtaiset tutkimusraportit, markkinatutkimukset, laadun ja teknologian muutokset. 4 TUOTANTOMENETELMIÄ, KONEITA JA LAITTEITA KOSKEVAT TIEDOT - erittäin tärkeät prosessinohjaustiedot, täydelliset tuotannon suunnittelu- ja käyttötiedot, projektien täydelliset hankinta- ja tarjousvertailutiedot, tärkeät alkuperäispiirustukset, salaiset tai luottamukselliset toimitukset, erikoistuotteiden materiaalit, koostumukset ja ominaisuudet. 5. TALOUSHALLINNOLLISET TIEDOT - avainhenkilöiden työ- ja salassapitosopimukset, sosiaali-, terveys-, palkka- ja muut arkaluontoiset tiedot, koulutus-, resurssi- ja urakehitysarvioinnit, erittäin tärkeät turvallisuusohjeet. Tietoaineiston luokittelu ohjaa tietojen käsittelyä. Luokiteltua tietoa ja niiden varmuuskopioita säilytetään yleensä muussa muodossa kuin teknisenä tallenteena (asiakirjoina, piirustuksina, valokuvina jne.) muusta aineistosta erillään palo- ja murtosuojatuissa tiloissa (holvissa, kassakaapissa), lisäkopioita otetaan vain laatijan luvalla, lähettämiseen yrityksen sisälle tai ulkopuolelle kiinnitetään riittävää huomiota (kuriirit, sinetöinti tms.) ja asiakirjat ja tietovälineet hävitetään paperisilppurissa tai muuten tuhoamalla. Luokiteltujen tietojen käsittelystä tietojärjestelmissä annetaan erilliset ohjeet. 5.6 Tietoturvallisuus ja henkilöstö TURVALLISUUSSELVITYKSET, VAITIOLO- JA SALASSAPITOSOPIMUKSET Turvallisuusselvitykset tarkoittavat henkilön luotettavuuden tarkistusta esim. silloin, kun yritykseen palkataan uusia henkilöitä avaintehtäviin tai tehtäviin, joissa he joutuvat käsittelemään yrityssalaisia tietoja. Muita tilanteita ovat sellaiset sisäiset tehtäväsiirrot, jotka liittyvät yrityksen avaintehtäviin ja joiden yhteydessä on perusteltua tehdä tällainen tarkistus. Luotettavuustarkistus voi koskea myös yrityksen sidosryhmiä ja niiden edustajia, kuten ulkopuolisia palveluja, alihankkijoita tai esimerkiksi ulkomaalaisia henkilöitä, jotka tulevat yritykseen neuvottelemaan, yhteisiin projekteihin jne. Turvallisuusselvitykset ovat suojelupoliisin lakisääteistä toimintaa. Menettely perustuu poliisin hallinnosta annettuun lakiin ja asetukseen, poliisin henkilörekisterilakiin sekä sisäasiainministeriön asiasta antamaan päätökseen (no 247/ ). Selvitystä voidaan pyytää suojelupoliisilta lähinnä silloin, kun on kyseessä valtakunnan turvallisuus tai merkittävät taloudelliset edut. Menettelyssä selvitetään henkilön mahdolliset rikolliseen toimintaan liittyvät tiedot valtakunnan turvallisuuden kannalta. Yrityksen, joka voi tällaista selvitystä pyytää, on luotava kirjallinen menettely ja ohjeet luotettavuuslausuntoja varten. 21

Ekosysteemin eri toimijat. Yritys Työntekijä Ulkopuolinen taho Media Muut tiedonvälittäjät (esim. Wikileaks)

Ekosysteemin eri toimijat. Yritys Työntekijä Ulkopuolinen taho Media Muut tiedonvälittäjät (esim. Wikileaks) Lainsäädännölliset keinot onko niitä kansainvälisellä tasolla? - Kansainvälisesti poikkeavat lähestymistavat - Ekosysteemin eri toimijoiden roolit ja rajat Mikko Manner Riskienhallintayhdistyksen seminaari

Lisätiedot

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1 Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet

Lisätiedot

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41 Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät

Lisätiedot

Varmaa ja vaivatonta

Varmaa ja vaivatonta Varmaa ja vaivatonta viestintää kaikille Suomessa Tekninen valvonta sähköisissä palveluissa Päällikkö Jarkko Saarimäki Tähän joku aloituskuva, esim. ilmapallopoika jarkko.saarimaki@ficora.fi Ennakkokysymys

Lisätiedot

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA JYVÄSKYLÄN KAUPUNKI Tietohallinto JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA VERSIO 1.0 11.5.2009 SISÄLLYSLUETTELO 1 JOHDANTO... 1 2 KATTAVUUS... 1 3 MITÄ TIETOTURVA ON... 1 4 MIKSI TIETOTURVAA...

Lisätiedot

TYÖNTEKIJÖIDEN SÄHKÖPOSTIEN TUNNISTAMISTIETOJEN KÄSITTELYOIKEUS, KUN EPÄILLÄÄN YRITYSSALAISUUKSIEN VUOTAMISTA

TYÖNTEKIJÖIDEN SÄHKÖPOSTIEN TUNNISTAMISTIETOJEN KÄSITTELYOIKEUS, KUN EPÄILLÄÄN YRITYSSALAISUUKSIEN VUOTAMISTA TYÖNTEKIJÖIDEN SÄHKÖPOSTIEN TUNNISTAMISTIETOJEN KÄSITTELYOIKEUS, KUN EPÄILLÄÄN YRITYSSALAISUUKSIEN VUOTAMISTA Nice Tuesday 11.11.2008 asianajaja Klaus Nyblin 1 1. Nykyisin: työnantajilla ei oikeutta tunnistamistietojen

Lisätiedot

Pilvipalveluiden arvioinnin haasteet

Pilvipalveluiden arvioinnin haasteet Pilvipalveluiden arvioinnin haasteet Tietoturvallisuus- ja jatkuvuuden hallinnan vaatimukset ICT-hankinnoissa, 12.5.2014 Laura Kiviharju Pilvipalvelut Pilvilaskenta (CloudComputing) tarkoittaa internetissä

Lisätiedot

NDA-SOPIMUS Nice Tuesday 11.11.2008 OTK Jaakko Lindgren

NDA-SOPIMUS Nice Tuesday 11.11.2008 OTK Jaakko Lindgren NDA-SOPIMUS Nice Tuesday 11.11.2008 OTK Jaakko Lindgren 1 Esittely Jaakko Lindgren, lakimies Erikoistuminen: yritysjärjestelyt, riidanratkaisu, IPR-asiat niin start-upeille kuin listatuillekin yhtiöille

Lisätiedot

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT YT-neuvosto hyväksynyt 21.11.2007 Vahvistanut: kuntayhtymän johtaja Pentti Leipälä 4.1.2008 1. SÄÄNTÖJEN TARKOITUS 1 2. KÄYTÖN PERIAATTEET

Lisätiedot

Rikoslaki 19.12.1889/39 30 LUKU (24.8.1990/769) Elinkeinorikoksista

Rikoslaki 19.12.1889/39 30 LUKU (24.8.1990/769) Elinkeinorikoksista Rikoslaki 19.12.1889/39 30 LUKU (24.8.1990/769) Elinkeinorikoksista 1 (1.4.1999/475) Markkinointirikos Joka tavaroiden, palveluksien, kiinteistöjen, yksityisen osakeyhtiön arvopapereiden tai muiden hyödykkeiden

Lisätiedot

Suomen kulttuurilaitokset

Suomen kulttuurilaitokset Suomen kulttuurilaitokset Kurssi, kevät 2001 Moskovan yliopisto Leena Kononen Tiedonhaku Suomesta Julkisten viranomaisten, valtion ja kuntien keskeiset palvelut sekä keskeiset julkiset tiedot löytyvät

Lisätiedot

Laatua ja tehoa toimintaan

Laatua ja tehoa toimintaan Laatua ja tehoa toimintaan Tietoturvallisuus osana laatua Kuntamarkkinat 12.9.2013 Aapo Immonen, Senior Manager, FCG konsultointi Oy 5.9.2013 Page 1 Sisältö Tavoitteet Tietoturvallisuutta ohjaavat tekijät

Lisätiedot

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt Turun ammattikorkeakoulu 13.09.2005 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT Sisällysluettelo: 1 Sääntöjen tarkoitus... 2 2 Käytön periaatteet... 2 3 Käyttöoikeus ja käyttäjätunnukset... 4 4 Käyttöoikeuden

Lisätiedot

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä FINAS-päivä 22.1.2013 Helsingin Messukeskus Laura Kiviharju Viestintävirasto Viestintäviraston

Lisätiedot

TIETOTURVA- POLITIIKKA

TIETOTURVA- POLITIIKKA TIETOTURVA- POLITIIKKA Kaupunginhallitus 3.9.2013 216 HAAPAJÄRVEN KAUPUNGIN TIETOTURVAPOLITIIKKA 1. JOHDANTO... 3 2. KATTAVUUS... 3 3. TIETOTURVA... 3 4. TIETOTURVATYÖ... 4 5. ORGANISOINTI JA VASTUUT...

Lisätiedot

VALTIOVARAINMINISTERIÖ MÄÄRÄYS 4.6.2012 Henkilöstö- ja hallintopolitiikkaosasto OHJE VM/1007/00.00.00/2012 Valtion työmarkkinalaitos

VALTIOVARAINMINISTERIÖ MÄÄRÄYS 4.6.2012 Henkilöstö- ja hallintopolitiikkaosasto OHJE VM/1007/00.00.00/2012 Valtion työmarkkinalaitos VALTIOVARAINMINISTERIÖ MÄÄRÄYS 4.6.2012 Henkilöstö- ja hallintopolitiikkaosasto OHJE VM/1007/00.00.00/2012 Valtion työmarkkinalaitos Sisältöalue Virkasopimus Virkavapaus Karenssiaika Säännökset joihin

Lisätiedot

IT-palvelujen ka yttö sa a nnö t

IT-palvelujen ka yttö sa a nnö t IT-palvelujen ka yttö sa a nnö t Tampereen yliopisto Yliopistopalvelut / tietohallinto Rehtorin päätös 28.8.2014. Sisällysluettelo 1 Soveltamisala... 2 2 Käyttövaltuudet ja käyttäjätunnus... 2 2.1 Käyttövaltuudet...

Lisätiedot

-------- = LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

-------- = LV! 17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet -------- Seinäjoen kaupungin tietoturvapolitiikka 1. Johdanto Tietoturva nähdään julkishallinnon organisaatioissa oleellisena osana normaalia toimintaa ja palveluiden laatua, kokonaisturvallisuutta ja

Lisätiedot

T-110.5610 Henkilöstö- ja toimitilaturvallisuus. Ilkka Kouri Henkilöstöturvallisuus 15.3.2007: Henkilöstöturvallisuuden tavoitteet ja hallintakeinot

T-110.5610 Henkilöstö- ja toimitilaturvallisuus. Ilkka Kouri Henkilöstöturvallisuus 15.3.2007: Henkilöstöturvallisuuden tavoitteet ja hallintakeinot T-110.5610 Henkilöstö- ja toimitilaturvallisuus Ilkka Kouri Henkilöstöturvallisuus 15.3.2007: Henkilöstöturvallisuuden tavoitteet ja hallintakeinot Henkilöstöturvallisuus Henkilöstöturvallisuus on osa

Lisätiedot

TIETOTURVAPOLITIIKKA

TIETOTURVAPOLITIIKKA TIETOTURVAPOLITIIKKA Lapin ammattikorkeakoulun rehtori on hyväksynyt tietoturvapolitiikan 18.3.2014. Voimassa toistaiseksi. 2 Sisällysluettelo 1 Yleistä... 3 1.1 Tietoturvallisuuden kolme ulottuvuutta...

Lisätiedot

SÄHKÖPOSTIN KÄYTÖSTÄ SOSIAALIHUOLLOSSA

SÄHKÖPOSTIN KÄYTÖSTÄ SOSIAALIHUOLLOSSA TIETOSUOJAVALTUUTETUN TOIMISTO SÄHKÖPOSTIN KÄYTÖSTÄ SOSIAALIHUOLLOSSA Päivitetty 15.09.2010 www.tietosuoja.fi 2 SÄHKÖPOSTIN KÄYTÖSTÄ SOSIAALIHUOLLOSSA Tämän ohjeen tarkoituksena on antaa suosituksia sähköpostin

Lisätiedot

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty kunnanhallituksessa 20.01.2014 23 1. YLEISTÄ Tietoturva- ja tietosuojapolitiikka asiakirjana sisältää ne periaatteet, toimintatavat, vastuut, toimivallat,

Lisätiedot

Tietoturvapolitiikka. Kunnanhallitus 27.2.2012 42 Tyrnävän kunta

Tietoturvapolitiikka. Kunnanhallitus 27.2.2012 42 Tyrnävän kunta Tietoturvapolitiikka Kunnanhallitus 27.2.2012 42 Tyrnävän kunta 2 SISÄLLYSLUETTELO 1. YLEISTÄ 3 2. POLITIIKAN SOVELTAMINEN JA LAAJUUS 3 3. TIETOTURVAPOLITIIKKA, TAVOITTEET JA PERIAATTEET 4 4. TIETOJEN

Lisätiedot

Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu

Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu JHS 147 Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu Julkaistu: 28.11.2000 Voimassaoloaika: Toistaiseksi Sisältö 1 TAUSTAA 1.1 Suosituksen tarkoitus 1.2 Asiakirjojen ja tietojen luokittelu

Lisätiedot

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.

Lisätiedot

TIETOTURVA- JA TIETOSUOJARIKKOMUSTEN SEURAAMUSTAULUKKO

TIETOTURVA- JA TIETOSUOJARIKKOMUSTEN SEURAAMUSTAULUKKO TIETOTURVA- JA TIETOSUOJARIKKOMUSTEN SEURAAMUSTAULUKKO 3.4.2015 Taustaa Lainsäädäntö edellyttää (esim. sosiaali- ja terveydenhuollossa) palveluista vastuussa olevan valvomaan asiakas/potilastietojen käyttöä

Lisätiedot

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman Turvallisuusselvityslaki ja käytännön toimijat Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman Supon ennalta estävä tehtävä Suojelupoliisin tulee lakisääteisen

Lisätiedot

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat? Tietoturva ja tietosuoja Millaisia ovat tietoyhteiskunnan vaarat? Mitä on tietoturva? Miten määrittelisit tietoturvallisuuden? Entä tietosuojan? Mitä ylipäänsä on tieto siinä määrin, kuin se ihmisiä kiinnostaa?

Lisätiedot

SO 21 KILPAILULAINSÄÄDÄNNÖN HUOMIOON OTTAMINEN STANDARDOINNISSA

SO 21 KILPAILULAINSÄÄDÄNNÖN HUOMIOON OTTAMINEN STANDARDOINNISSA SISÄINEN OHJE SO 21 1 (5) SO 21 KILPAILULAINSÄÄDÄNNÖN HUOMIOON OTTAMINEN STANDARDOINNISSA Vahvistettu :n hallituksessa 2014-09-19 1 Toimintaohjeiden tarkoitus ja soveltaminen Näiden sisäisten toimintaohjeiden

Lisätiedot

Tietosuoja henkilöstön rekrytoinnissa

Tietosuoja henkilöstön rekrytoinnissa Tietosuoja henkilöstön rekrytoinnissa 1 Tietosuoja ja hyvä tiedonhallintatapa 2 Henkilöstön palvelussuhdeasiat - viran-/toimenhakua koskevien tietojen käsittely ja säilytys Kuntarekrypäivä 9.10.2013, klo

Lisätiedot

Tiedonjulkistamisneuvottelukunnan tilaisuus 21.4.2008 Tieteiden talolla Hallintojohtaja Anitta Hämäläinen Kansallisarkisto anitta.hamalainen@narc.

Tiedonjulkistamisneuvottelukunnan tilaisuus 21.4.2008 Tieteiden talolla Hallintojohtaja Anitta Hämäläinen Kansallisarkisto anitta.hamalainen@narc. Tutkimus, aineistot ja avoimuuden rajat Tiedonjulkistamisneuvottelukunnan tilaisuus 21.4.2008 Tieteiden talolla Hallintojohtaja Anitta Hämäläinen Kansallisarkisto anitta.hamalainen@narc.fi HYVÄ AINEISTON

Lisätiedot

Henkilötietolain (523/1999) 10 :n mukainen REKISTERISELOSTE

Henkilötietolain (523/1999) 10 :n mukainen REKISTERISELOSTE 1 Rekisterinpitäjä If Vahinkovakuutusyhtiö Oy Y-tunnus 1614120-3 Niittyportti 4, Espoo 00025 IF Yhteyshenkilö rekisteriä koskevissa asioissa If Vahinkovakuutusyhtiö Oy Mika Rintamäki, puh. 101 191515,

Lisätiedot

YHTEISTOIMINTA-ASIAMIEHEN OHJE PAIKANTAMISTA JA HENKILÖTIETOJEN KERÄÄMISEN PERIAATTEITA JA KÄYTÄNTÖJÄ KOSKEVASTA YHTEISTOIMINTA- MENETTELYSTÄ

YHTEISTOIMINTA-ASIAMIEHEN OHJE PAIKANTAMISTA JA HENKILÖTIETOJEN KERÄÄMISEN PERIAATTEITA JA KÄYTÄNTÖJÄ KOSKEVASTA YHTEISTOIMINTA- MENETTELYSTÄ 1 (8) 5.1.2012 YHTEISTOIMINTA-ASIAMIEHEN OHJE PAIKANTAMISTA JA HENKILÖTIETOJEN KERÄÄMISEN PERIAATTEITA JA KÄYTÄNTÖJÄ KOSKEVASTA YHTEISTOIMINTA- MENETTELYSTÄ Yhteistoiminta-asiamiehelle tehdyn pyynnön keskeinen

Lisätiedot

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA 2014 SISÄLLYSLUETTELO 1 JOHDANTO... 1 2 KATTAVUUS... 1 3 MITÄ TIETOTURVA ON... 1 4 MIKSI TIETOTURVAA... 1 5 TIETOTURVA JA LAATU... 2 6 TIETOTURVAN KEHITTÄMINEN...

Lisätiedot

Johtokunta 7.12.2009 193. Tietoturva- ja tietosuojapolitiikka

Johtokunta 7.12.2009 193. Tietoturva- ja tietosuojapolitiikka Johtokunta 7.12.2009 193 Tietoturva- ja tietosuojapolitiikka Sisällys: 1. Johdanto 3 2. Tietoturvapolitiikan tavoitteet ja toteutuksen periaatteet 4 3. Tietosuojapolitiikan tavoitteet ja toteutuksen periaatteet

Lisätiedot

Tapahtumat.infon käyttöehdot

Tapahtumat.infon käyttöehdot Tapahtumat.infon käyttöehdot Näitä verkkopalveluiden käyttöehtoja sovelletaan Tapahtumat.info:n (jäljempänä palveluntarjoaja) tuottamiin ja ylläpitämiin verkkopalveluihin. Verkkopalvelut tarkoittavat näissä

Lisätiedot

KILPAILUTTAMO PALVELU

KILPAILUTTAMO PALVELU YLEISET KÄYTTÖEHDOT LAATIMALLA, ESIKATSELEMALLA, SELAAMALLA, LÄHETTÄMÄLLÄ, VASTAANOTTAMALLA TAI LUKEMALLA TARJOUSPYYNNÖN KILPAILUTTAMO:N WWW-SIVUILTA (MYÖHEMMIN PALVELU) SEN LAATIJA (MYÖHEMMIN ASIAKAS)

Lisätiedot

IISALMEN KAUPUNKI KIINTEISTÖJEN KAMERAVALVONTA 19.2.2016 1. Matti Rönkkö tekninen isännöitsijä Iisalmen kaupunki / tilapalvelu

IISALMEN KAUPUNKI KIINTEISTÖJEN KAMERAVALVONTA 19.2.2016 1. Matti Rönkkö tekninen isännöitsijä Iisalmen kaupunki / tilapalvelu IISALMEN KAUPUNKI KIINTEISTÖJEN KAMERAVALVONTA Matti Rönkkö tekninen isännöitsijä Iisalmen kaupunki / tilapalvelu 19.2.2016 1 Iisalmen kaupungin tekninen keskus / tilapalvelu on asentanut tallentavan kameravalvonnan

Lisätiedot

T-110.460 Henkilöturvallisuus ja fyysinen turvallisuus, k-04

T-110.460 Henkilöturvallisuus ja fyysinen turvallisuus, k-04 T-110.460 Henkilöturvallisuus ja fyysinen turvallisuus, k-04 Ilkka Kouri Henkilöstöturvallisuus 7.4.2004: Ulkomaantoimintojen turvallisuus, työsuhteen päättyminen Matkustustarpeet Yritys- ja liiketoiminnan

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi Järjestelyihin liittyviä asioita Tilatkaa

Lisätiedot

28.11.2013. Ammattikorkeakoulun IT-palvelujen säännöstö sitoo ja velvoittaa jokaista käyttäjää. Myös sinua.

28.11.2013. Ammattikorkeakoulun IT-palvelujen säännöstö sitoo ja velvoittaa jokaista käyttäjää. Myös sinua. 28.11.2013 IT-palvelujen väärinkäytön seuraamukset lyhyesti Ammattikorkeakoulun IT-palvelujen säännöstö sitoo ja velvoittaa jokaista käyttäjää. Myös sinua. IT-palvelujen väärinkäytöllä tarkoitetaan IT-palvelujen

Lisätiedot

Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015

Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015 Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015 Espoon kaupunki 2015 Tietoturvapolitiikka 1 (7) Yhteenveto Tietoturvapolitiikka on kaupunginhallituksen ja kaupunginjohdon tahdonilmaisu tietoturvan

Lisätiedot

TIETOSUOJA JA TIETEELLINEN TUTKIMUS

TIETOSUOJA JA TIETEELLINEN TUTKIMUS TIETOSUOJA JA TIETEELLINEN TUTKIMUS Tutkimuksen päätyttyä huomioitavat tietosuoja-asiat Ylitarkastaja Heljä-Tuulia Pihamaa Tietosuojavaltuutetun toimisto Tilastokeskus 6.5.2009, Helsinki LUENTOAIHEET Yleistä

Lisätiedot

Tietosuoja Copyright (c) 2005 ACE LAW Offices

Tietosuoja Copyright (c) 2005 ACE LAW Offices Tietosuoja Esityksen sisältö Sääntely-ympäristö Henkilötietolaki Sähköisen viestinnän tietosuoja Tietoturvallisuus Rikoslaki Muuta alaa koskeva sääntelyä Sääntely-ympäristö Perustuslaki Henkilötietolaki

Lisätiedot

PK-yrityksen tietoturvasuunnitelman laatiminen www.turkuamk.fi

PK-yrityksen tietoturvasuunnitelman laatiminen www.turkuamk.fi Matti Laakso / Tietoturvapäivä 8.2.2011 PK-yrityksen tietoturvasuunnitelman laatiminen Tietoturvasuunnitelma 1/3 Toimenpiteiden ja dokumentoinnin lopputuloksena syntyvä kokonaisuus -- kirjallinen tietoturvasuunnitelma

Lisätiedot

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Lappeenrannan kaupungin tietoturvaperiaatteet 2016 1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015

Lisätiedot

Kuka kantaa virkavastuuta? Tanja Mansikka, VT, OTL Kuntamarkkinat 9.9.2015

Kuka kantaa virkavastuuta? Tanja Mansikka, VT, OTL Kuntamarkkinat 9.9.2015 Kuka kantaa virkavastuuta? Tanja Mansikka, VT, OTL Kuntamarkkinat 9.9.2015 Väärinkäytösten ehkäisy kunnallishallinnossa Vaalikelpoisuusrajoitukset valtuuston ja toimielimiin Esteellisyyssäännökset Kuntalaki

Lisätiedot

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ Liite E Salassapito- ja tietoturvasitoumus 1 (5) VERSIOHISTORIA Päivä Versio Kuvaus Tekijä 3.0 Tarjouspyynnön liitteeksi Hanketoimisto 2 (5) Salassapito-

Lisätiedot

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016

Lisätiedot

Käyttöehdot, videokoulutukset

Käyttöehdot, videokoulutukset Käyttöehdot, videokoulutukset Edita Publishing Oy PL 700, 00043 NORDIC MORNING www.editapublishing.fi Asiakaspalvelu www.edilexpro.fi edilexpro@edita.fi puh. 020 450 2040 (arkisin klo 9 16) 1 Yleistä Tämä

Lisätiedot

YRITYKSEN JOHDON VASTUU JA RISKIT

YRITYKSEN JOHDON VASTUU JA RISKIT 1 YRITYKSEN JOHDON VASTUU JA RISKIT Johdon korvausvastuu yhtiölle Hallituksen jäsenen, hallintoneuvoston jäsenen ja toimitusjohtajan on korvattava vahinko, jonka hän on tehtävässään 1 luvun 8 :ssä säädetyn

Lisätiedot

Yksityiset palveluntuottajat sosiaali- ja terveydenhuollossa Asiakastietojen hallinnointi, yksityiselämän suoja ja tietosuoja

Yksityiset palveluntuottajat sosiaali- ja terveydenhuollossa Asiakastietojen hallinnointi, yksityiselämän suoja ja tietosuoja Yksityiset palveluntuottajat sosiaali- ja terveydenhuollossa Asiakastietojen hallinnointi, yksityiselämän suoja ja tietosuoja Lakimies Kaisa Heino Eksoten tietosuojavastaava 12.10.2011 Asiakastiedot osa

Lisätiedot

T-110.5610 Henkilöstö- ja toimitilaturvallisuus

T-110.5610 Henkilöstö- ja toimitilaturvallisuus T-110.5610 Henkilöstö- ja toimitilaturvallisuus Ilkka Kouri Henkilöstöturvallisuus 27.4.2006: Osa 1: Ulkomaantoimintojen turvallisuus. Osa 2: Työsuhteen päättyminen Osa 1: Ulkomaan toiminnot Matkustustarpeet

Lisätiedot

MITÄ TIETOSUOJA TARKOITTAA?

MITÄ TIETOSUOJA TARKOITTAA? EU-tietosuoja-asetuksen vaikutukset koulutuskierros Yhteistyössä tietosuojavaltuutetun toimisto ja FCG / Maaliskuu 2015 MITÄ TIETOSUOJA TARKOITTAA? Reijo Aarnio tietosuojavaltuutettu Tietosuojavaltuutetun

Lisätiedot

Rakenta Oy 2407354-6. Helsinki. Sergey Kovalev 044-919 0061

Rakenta Oy 2407354-6. Helsinki. Sergey Kovalev 044-919 0061 SOPIMUS OSOITE- JA POSTITUSPALVELUISTA TILAAJA Toiminimi Y-tunnus Kotipaikka Yhteyshenkilö Osoite Puhelin Sähköposti Maksuehdot 14 pv netto, laskutus 3-12 kk välein, 1. vuosi ennakkomaksu 240 e (hintaan

Lisätiedot

Vihdin kunnan tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka Vihdin kunnan tietoturvapolitiikka Kunnanhallitus 2.3.2015 50, liite 2 Kunnan johtoryhmä 18.11.2014 Tietohallinnon ohjausryhmä (Thor) 24.9.2014 Sisällys 1 Johdanto... 2 2 Mitä tietoturvallisuus on?...

Lisätiedot

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet Yleisesittely Julkaisutilaisuus 12.6.2014 Teknologiajohtaja Aki Siponen, Microsoft Oy SFS-ISO/IEC 27002:2013 tietoturvallisuuden

Lisätiedot

Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011

Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011 Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011 A. YLEISTÄ 1. Vastaajaorganisaation nimi, vastaajan nimi ja asema organisaatiossa.

Lisätiedot

Pentti Mäkinen 4.10.2007

Pentti Mäkinen 4.10.2007 Pentti Mäkinen 4.10.2007 Keskuskauppakamari kansallisen yhteistyöfoorumin puheenjohtajana Viranomaisten ja elinkeinoelämän muodostama kansallinen yhteistyöryhmä edistää suomalaisten yritysten turvallisuutta

Lisätiedot

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö Verkkorikollisuus tietoturvauhkana Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö Verkkorikollisuuden erityispiirteet Verkkorikollisuus on ammattimaista ja tähtää

Lisätiedot

Valokuva ja yksityisyyden suoja henkilötietolain kannalta

Valokuva ja yksityisyyden suoja henkilötietolain kannalta Valokuva ja yksityisyyden suoja henkilötietolain kannalta IT-erityisasiantuntija Lauri Karppinen Tietosuojavaltuutetun toimisto 21.11.2011 Valtakunnalliset kuva-arkistopäivät Tietosuojavaltuutettu Ohjaa,

Lisätiedot

Tietoturvapolitiikka

Tietoturvapolitiikka Mäntsälä Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 0.9 2/8 Sisällys 1 Johdanto... 4 2 Mitä tietoturvallisuus on?... 4 2.1 Tietoturvallisuuden hallinta... 5 2.2 Riskienhallinta sekä jatkuvuuden

Lisätiedot

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö Kyberturvallisuus Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö Kyberturvallisuuskeskuksen yhteiskunnallinen vaikuttavuuus Kansallinen CERT-toiminto; ohjeet, tiedotteet, haavoittuvuuskoordinaatio

Lisätiedot

Tuiri Kerttula 17.10.2012 SFS Forum. Toimintaympäristön turvallisuus markkinavalvonnan näkökulmasta

Tuiri Kerttula 17.10.2012 SFS Forum. Toimintaympäristön turvallisuus markkinavalvonnan näkökulmasta Tuiri Kerttula 17.10.2012 SFS Forum Toimintaympäristön turvallisuus markkinavalvonnan näkökulmasta TUKES ENTISTÄ LAAJEMPI TUOTEVALVONNAN KESKUS Turvallisuus- ja kemikaalivirasto (Tukes) aloitti toimintansa

Lisätiedot

Tietoturvallisuus julkisessa. Sähköisen hallinnon oikeudelliset perusteet 13.12.2012 Tommi Oikarinen

Tietoturvallisuus julkisessa. Sähköisen hallinnon oikeudelliset perusteet 13.12.2012 Tommi Oikarinen Tietoturvallisuus julkisessa hallinnossa Sähköisen hallinnon oikeudelliset perusteet 13.12.2012 Tommi Oikarinen Sisältö Tietoturva Keskeiset säädökset Tietoturva-asetus käsitteet yleiset tietoturvavaatimukset

Lisätiedot

Johdatus IT-oikeuteen; harjoitustehtävät 1-3, 7-10

Johdatus IT-oikeuteen; harjoitustehtävät 1-3, 7-10 Johdatus IT-oikeuteen; harjoitustehtävät 1-3, 7-10 1. Työpaikan sähköpostiohjeistus Helsingin yliopiston tietojenkäsittelytieteen laitos 2001 Dosentti, OTT Tuomas Pöysti, Helsingin yliopisto Neuvotteleva

Lisätiedot

Sisällysluettelo. 1 JOHDANTO Irma Pahlman... 11

Sisällysluettelo. 1 JOHDANTO Irma Pahlman... 11 Sisällysluettelo 1 JOHDANTO Irma Pahlman... 11 2 KÄSITEMÄÄRITTELYT JA LÄHTEET Irma Pahlman... 13 2.1 Käsitemäärittelyt... 13 2.2 Oikeuslähteet... 16 2.2.1 Henkilötietodirektiivi (Euroopan parlamentin ja.

Lisätiedot

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA Hyväksytty: Hämeenkyrön lautakunta 2.11.2011 Tarkastettu 29.4.2014 OK 1. JOHDANTO Tietojenkäsittely tukee Hämeenkyrön kunnan / n terveydenhuollon toimintayksikön

Lisätiedot

Tutkittavan informointi ja suostumus

Tutkittavan informointi ja suostumus Tutkittavan informointi ja suostumus yhdistettäessä tutkittavilta kerättyjä tietoja rekisteritietoihin Ylitarkastaja Raisa Leivonen Tietosuojavaltuutetun toimisto 9.12.2010 Kysy rekisteritutkimuksen luvista

Lisätiedot

Henkilötietolain (523/1999) 10 :n mukainen REKISTERISELOSTE

Henkilötietolain (523/1999) 10 :n mukainen REKISTERISELOSTE 1 Rekisterinpitäjä If Vahinkovakuutusyhtiö Oy Y-tunnus 1614120-3 Niittyportti 4, Espoo 00025 IF Yhteyshenkilö rekisteriä koskevissa asioissa If Vahinkovakuutusyhtiö Oy Mika Rintamäki, puh. 101 191515,

Lisätiedot

TIETOTEKNIIKAN HYÖDYNTÄMINEN OSANA LIIKETOIMINTAPROSESSEJA: Toiminnan raportointi ja seuranta, tapahtuneisiin poikkeamiin nopea reagointi.

TIETOTEKNIIKAN HYÖDYNTÄMINEN OSANA LIIKETOIMINTAPROSESSEJA: Toiminnan raportointi ja seuranta, tapahtuneisiin poikkeamiin nopea reagointi. TIETOTEKNIIKAN HYÖDYNTÄMINEN OSANA LIIKETOIMINTAPROSESSEJA: Sähköisen liiketoiminnan mahdollisuudet: Sisäiset ja ulkoiset prosessit Toiminnan tehostaminen, reaaliaikaisuus Toiminnan raportointi ja seuranta,

Lisätiedot

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman Turvallisuusselvityslaki ja käytännön toimijat Säätytalo Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman Supon ennalta estävä tehtävä Suojelupoliisin tulee lakisääteisen tehtävän toteuttamiseksi

Lisätiedot

Tilastolain muutoksen vaikutukset aineistojen tutkimuskäyttöön. Seminaari 27.2.2014

Tilastolain muutoksen vaikutukset aineistojen tutkimuskäyttöön. Seminaari 27.2.2014 Tilastolain muutoksen vaikutukset aineistojen tutkimuskäyttöön Seminaari 27.2.2014 Tilastolain tarkoitus Lain tarkoitusta laajennettiin tilastotarkoituksen lisäksi koskemaan myös tietojen tutkimuskäyttö.

Lisätiedot

Liite 2 : RAFAELA -aineiston elinkaaren hallinta

Liite 2 : RAFAELA -aineiston elinkaaren hallinta RAFAELA-hoitoisuusluokitus-jär je 1 Liite 2 : RAFAELA -aineiston elinkaaren hallinta Ohje: Lomake täytetään Tilaajan toimesta ja palautetaan Toimittajalle käyttöoikeussopimuksen mukana. 1. Aineiston omistajuus

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 3.Luento Lainsäädännön merkitys yritykselle

Lisätiedot

6) tietojen käytettävyys, eheys ja laatu viranomaisen tehtävän hoidossa ja viranomaisten yhteistyössä;

6) tietojen käytettävyys, eheys ja laatu viranomaisen tehtävän hoidossa ja viranomaisten yhteistyössä; Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta 12.11.1999/1030 Oikeusministerin esittelystä säädetään viranomaisten toiminnan julkisuudesta 21 päivänä toukokuuta 1999 annetun

Lisätiedot

Julkaistu Helsingissä 14 päivänä huhtikuuta 2015. 368/2015 Laki. rikoslain muuttamisesta. Annettu Helsingissä 10 päivänä huhtikuuta 2015

Julkaistu Helsingissä 14 päivänä huhtikuuta 2015. 368/2015 Laki. rikoslain muuttamisesta. Annettu Helsingissä 10 päivänä huhtikuuta 2015 SUOMEN SÄÄDÖSKOKOELMA Julkaistu Helsingissä 14 päivänä huhtikuuta 2015 368/2015 Laki rikoslain muuttamisesta Annettu Helsingissä 10 päivänä huhtikuuta 2015 Eduskunnan päätöksen mukaisesti kumotaan rikoslain

Lisätiedot

Diplomityöseminaari. 8.12.2005 Teknillinen Korkeakoulu

Diplomityöseminaari. 8.12.2005 Teknillinen Korkeakoulu Diplomityöseminaari 8.12.2005 Teknillinen Korkeakoulu Työn otsikko: Tekijä: Valvoja: Ohjaaja: Tekninen tiedonhankinta ja yrityksen tietojen turvaaminen Pekka Rissanen Prof Sven-Gustav Häggman DI Ilkka

Lisätiedot

Hämeenkyrön terveyskeskus. Yhteystiedot: Hämeenkyrön terveyskeskus Härkikuja 10 39100 Hämeenkyrö

Hämeenkyrön terveyskeskus. Yhteystiedot: Hämeenkyrön terveyskeskus Härkikuja 10 39100 Hämeenkyrö HÄMEENKYRÖN KUNTA REKISTERISELOSTE Henkilötietolaki (523/99) 10 Perusturva Terveyspalvelut 15.4.2014 1. Terveydenhuollon toimintayksikkö (rekisterinpitäjä) 2. Rekisteriasioista vastaava henkilö Rekisteriasioiden

Lisätiedot

Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen rekisteriseloste

Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen rekisteriseloste Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen rekisteriseloste Johtoryhmä 7.2.2012 SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERINPITÄJÄ 3. REKISTERIN VASTUUHENKILÖ 4. REKISTERIASIOITA

Lisätiedot

Uusi kuntalaki: Miten kunnan toimintaa markkinoilla koskevia pelisääntöjä selkiytetään?

Uusi kuntalaki: Miten kunnan toimintaa markkinoilla koskevia pelisääntöjä selkiytetään? Uusi kuntalaki: Miten kunnan toimintaa markkinoilla koskevia pelisääntöjä selkiytetään? Kuntalaki uudistuu- seminaari Kuntatalo 3.6.2014 Pirkka-Petri Lebedeff, johtava lakimies Kunta ja markkinat Kunta

Lisätiedot

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvapolitiikka Porvoon Kaupunki Tietoturvapolitiikka Porvoon Kaupunki 1 Sisältö 1 Johdanto... 3 2 Mitä tietoturvallisuus on?... 4 Tietoturvallisuuden hallinta... 4 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen... 5 3 Tietoturvallisuustavoitteet...

Lisätiedot

SÄHKÖISET JA LAINSÄÄDÄNTÖ

SÄHKÖISET JA LAINSÄÄDÄNTÖ LIIKEARKISTOPÄIVÄT 12.-13.9.2007 ASIAKIRJAT SÄHKÖISET JA LAINSÄÄDÄNTÖ Jukka Tuomela Tampereen yliopisto Oikeustieteiden laitos Lainsäädännön lähtökohtia Lainsäädännössä pyritään siihen, että sähköisiä

Lisätiedot

A. Lastensuojelulain mukaista ympärivuorokautista laitoshoitoa, B. Perhekotihoitoa, C. Erityisyksikköhoitoa

A. Lastensuojelulain mukaista ympärivuorokautista laitoshoitoa, B. Perhekotihoitoa, C. Erityisyksikköhoitoa Sopimus lastensuojelulain mukaisesta ympärivuorokautisesta hoidosta. 1. Sopijapuolet Tilaaja PL 85 45101 Kouvola Y-tunnus 0161075-9 Yhteyshenkilö Palvelupäällikkö Sanna-Riitta Junnonen PL 85 45101 Kouvola

Lisätiedot

Lokipolitiikka (v 1.0/2015)

Lokipolitiikka (v 1.0/2015) KYS erityisvastuualue Etelä-Savon sairaanhoitopiiri Lokipolitiikka (v 1.0/2015) Sisällys 1 JOHDANTO... 2 2 HENKILÖTIETOJEN KÄSITTELYYN LIITTYVÄ LAINSÄÄDÄNTÖ... 2 3 LOKI JA LOKITIETO... 3 4 LOKITIETOJEN

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 3. Luento Lainsäädännön merkitys yritykselle

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 9. Luento Tietoturvallisuus Tiedon ominaisuudet

Lisätiedot

HYVÄ PANKKITAPA SUOMEN PANKKIYHDISTYS

HYVÄ PANKKITAPA SUOMEN PANKKIYHDISTYS SUOMEN PANKKIYHDISTYS HYVÄ PANKKITAPA Hyvä pankkitapa on muotoutunut käytännön kokemuksesta. Hyvän pankkitavan säännöt sisältävät asiakkaan ja pankin välistä suhdetta sekä pankkien toimintatapoja koskevia

Lisätiedot

LAKI ASUINHUONEISTON VUOKRAUKSESTA JA TUKIASUMINEN, VUOKRASOPIMUKSEN PÄÄTTÄMINEN 17.9.2013

LAKI ASUINHUONEISTON VUOKRAUKSESTA JA TUKIASUMINEN, VUOKRASOPIMUKSEN PÄÄTTÄMINEN 17.9.2013 LAKI ASUINHUONEISTON VUOKRAUKSESTA JA TUKIASUMINEN, VUOKRASOPIMUKSEN PÄÄTTÄMINEN 17.9.2013 J U H A N I S K A N E N K I I N T E I S T Ö P Ä Ä L L I K K Ö Y - S Ä Ä T I Ö LAKI ASUINHUONEISTON VUOKRAAMISESTA

Lisätiedot

HELSINGIN KAUPUNKI MUISTIO Numero 1 TALOUS- JA SUUNNITTELUKESKUS Tietotekniikkaosasto 13.11.2012

HELSINGIN KAUPUNKI MUISTIO Numero 1 TALOUS- JA SUUNNITTELUKESKUS Tietotekniikkaosasto 13.11.2012 HELSINGIN KAUPUNKI MUISTIO Numero 1 13.11.2012 HELMI-EXTRANET-KÄYTTÖPOLITIIKKA SISÄLTÖ 1 Extranet-tunnuksen käyttöpolitiikka 2 Käyttäjätunnusten myöntöperusteet 3 Salasanat Käyttäjätunnuksen hyväksyttävä

Lisätiedot

POTILASASIAKIRJASSA OLEVAN TIEDON ANTAMINEN POTILAALLE

POTILASASIAKIRJASSA OLEVAN TIEDON ANTAMINEN POTILAALLE 17.3.2016 Dnro 1669/2/15 Ratkaisija: Oikeusasiamies Petri Jääskeläinen Esittelijä: Vanhempi oikeusasiamiehensihteeri Håkan Stoor POTILASASIAKIRJASSA OLEVAN TIEDON ANTAMINEN POTILAALLE 1 ASIA Tutkittavani

Lisätiedot

Yhteistoimintamenettelystä Ja muutosten hallinnasta

Yhteistoimintamenettelystä Ja muutosten hallinnasta Yhteistoimintamenettelystä Ja muutosten hallinnasta Asianajaja Teppo Laine 13.05.2014 ASIANAJOTOIMISTO LEGISTUM OY LIIKEJURIDIIKAN ASIANTUNTIJA www.legistum.fi Laki yhteistoiminnasta yrityksissä YHTEISTOIMINTALAKI

Lisätiedot

Nolla tapaturmaa 2020. Kulmakivet 2016-17(luonnos) Tilannekatsaus 24.2.2015. Etera 24.2.2015 Ahti Niskanen

Nolla tapaturmaa 2020. Kulmakivet 2016-17(luonnos) Tilannekatsaus 24.2.2015. Etera 24.2.2015 Ahti Niskanen Nolla tapaturmaa 2020 Kulmakivet 2016-17(luonnos) Tilannekatsaus 24.2.2015 Etera 24.2.2015 Ahti Niskanen TAVOITTEENA NOLLA TAPATURMAA RAKENNUSTEOLLISUUDESSA 2020 Rakennusteollisuus RT ry:n hallitus asetti

Lisätiedot

Lapsen huolto- ja tapaamisoikeuden rekisteri

Lapsen huolto- ja tapaamisoikeuden rekisteri Tietosuojaseloste 1/5 1. Rekisterinpitäjä Vantaan sosiaali- ja terveyslautakunta Peltolantie 2 D, 01300 Vantaa 2. Rekisteriasioista vastaava henkilö ja yhteyshenkilö Perhepalvelujen johtaja Maritta Pesonen

Lisätiedot

KYSELY TYÖSUOJELUTOIMINNASTA 2008

KYSELY TYÖSUOJELUTOIMINNASTA 2008 KYSELY TYÖSUOJELUTOIMINNASTA 2008 OHJE KYSELYN TÄYTTÄMISEEN: Käykää ensin läpi koko kysely. Vastatkaa sen jälkeen omaa yhteisöänne koskeviin kysymyksiin. Kyselyssä on yleinen osa, johon pyydetään vastaus

Lisätiedot

Harri Koskenranta 10.3. 2005

Harri Koskenranta 10.3. 2005 FYYSINEN TURVALLISUUS T-110.460 - Kalusteet Harri Koskenranta 10.3. 2005 Arvot Suojaustoimenpiteet Uhkat Tunnistetaan Luokitellaan Mitoitetaan Otetaan riski Analysoidaan 10.3. 2005 T-110.460 Koskenranta

Lisätiedot

TURVALLISUUSSELVITYSLAIN- SÄÄDÄNNÖN KOKONAISUUDISTUS. Tausta, tavoitteet ja tarkoitus

TURVALLISUUSSELVITYSLAIN- SÄÄDÄNNÖN KOKONAISUUDISTUS. Tausta, tavoitteet ja tarkoitus TURVALLISUUSSELVITYSLAIN- SÄÄDÄNNÖN KOKONAISUUDISTUS Tausta, tavoitteet ja tarkoitus 1 Kokonaisuudistuksen tunnusluvut ja hyväksyttävyys Valmistelun kokonaisaika n. 6 vuotta Laaja uudistus: 23 lakia muutettiin,

Lisätiedot

Sähköinen kulunvalvonta toimenpiteet yrityksissä. Paavo Mattila Talonrakennusteollisuus ry

Sähköinen kulunvalvonta toimenpiteet yrityksissä. Paavo Mattila Talonrakennusteollisuus ry Sähköinen kulunvalvonta toimenpiteet yrityksissä Paavo Mattila Talonrakennusteollisuus ry Sähköinen kulunvalvonta ja YT-laki YT-laki edellyttää sähköisen kulunvalvonnan käsittelemistä YTneuvotteluissa

Lisätiedot

Tiemaksut ja maksajan oikeusturva. Mirva Lohiniva-Kerkelä Dosentti, yliopistonlehtori Lapin Yliopisto

Tiemaksut ja maksajan oikeusturva. Mirva Lohiniva-Kerkelä Dosentti, yliopistonlehtori Lapin Yliopisto Tiemaksut ja maksajan oikeusturva Mirva Lohiniva-Kerkelä Dosentti, yliopistonlehtori Lapin Yliopisto Muutamia oikeusturvan kannalta olennaisia kysymyksiä Paikannus ja henkilötietojen käyttö Tietojen kerääminen

Lisätiedot

Luottamushenkilöiden tiedonsaantioikeus ja saatujen tietojen edelleen välittäminen

Luottamushenkilöiden tiedonsaantioikeus ja saatujen tietojen edelleen välittäminen 8.11.2010 1(5) DocId: 145064 Luottamushenkilöiden tiedonsaantioikeus ja saatujen tietojen edelleen välittäminen Viimeaikaiseen keskusteluun ja yleisönosaston kirjoitteluun liittyen on syytä kerrata luottamushenkilöinä

Lisätiedot