Ovatko yrityksesi tietoriskit hallinnassa?

Koko: px
Aloita esitys sivulta:

Download "Ovatko yrityksesi tietoriskit hallinnassa?"

Transkriptio

1 Ovatko yrityksesi tietoriskit hallinnassa? Käytännön tietoturvallisuusopas PK-yrityksille Uudistettu laitos Teollisuus ja Työnantajat 3

2

3 4

4 Sisällysluettelo SAATTEEKSI 6 1. Johdanto 7 2. Tietoturvallisuuden merkitys yritystoiminnalle 8 3. Mitä tietoturvallisuus on Mitä laki sanoo tietoturvallisuudesta Yrityksen yleinen tietoturvallisuus Tietoturvallisuus ja laatu Yrityksen tietoturvallisuusperiaatteet ja -politiikka Tietoturvallisuusohjelma Tietoturvallisuusvastuut yrityksessä 19 LÄHTEET 33 YHTEYSTIETOJA 33 LIITTEET 34 1 Yrityksen tietoriskien hallinta: työvälinekortti 2 Arvio tietoturvallisuuden tasosta: arviolomake 3 Tietoturvallisuuden perusteet ja organisointi : kalvopohjat 4 Vaitiolo- ja salassapitosopimukset: mallisopimuksia eri tilanteita varten 5 Tietoturvallisuuden torjuntakeinot: luettelo ja määritelmät 5.5. Tietoaineiston luokittelu Tietoturvallisuus ja henkilöstö Kulunvalvonta ja vierailut Työ- ja liikematkat Tietotekninen turvallisuus Internet ja sähköposti Tiedon käyttö- ja hallintalaitteiden turvallisuus Tietoturvallisuusmenettelyn soveltaminen yritystoimintaan 32 5

5 Saatteeksi Huoli tietoturvallisuudesta on osaamisen ohella suurin pulma uuden tietotekniikan käyttöönotossa. Tietoturvallisuudesta huolehtiminen vaatii myös osaamista. Kaikkea olennaista tietoa ei tarvitse itse osata tai hallita. Koeteltua osaamista näissä kysymyksissä on runsaasti siirrettävissä yritysten käyttöön. Tärkeää onkin tietää mitä ja miten pitää tietoja turvata juuri minun yrityksessäni ja mistä tämän turvan saa. Jokaisen yrityksen on kuitenkin itse toteutettava tietoturvallisuusmenettelynsä. Tekninen tietoturvallisuus on tietysti vain osa, mutta hyvin nopeasti kasvava osa yrityksen koko tietoturvallisuutta. Tietoturvallisuus on taas puolestaan osa koko yrityksen riskien hallintaa. Kaikkia näitä kysymyksiä on käsitelty tässä lähinnä PK-yrityksille tarkeässä uusitussa oppaassa. Teollisuuden ja Työnantajain Keskusliiton PKT-valtuuskunta on pitänyt tärkeänä tietoturvallisuusasian edistämistä ja sen viemistä jäsenyrityksiin mahdollisimman käytännönläheisellä oppaalla. Opas on oheismateriaalina myös valtakunnallisissa TT:n, KTM:n ja TE-keskusten järjestämissä "Täysteho tietotekniikasta seminaareissa". Tänä päivänä harva yritys on enää vastuussa vain omasta tietoturvallisuudestaan. Erittäin nopeasti kehittyvät informaatiojärjestelmät yritysten ja niiden sidosryhmien välisessä verkottuneessa toimintaympäristössä lisäävät tietoturvallisuuden vaatimuksia ja vastuuta. Pysyäkseen mukana tässä kehityksessä yrityksen pelkkä tekninen valmius mikä tänään on jo itsestään selvä vaatimus yhteistyösuhteissa ei enää riitä. Tässä oppaassa selostetaan, mitä laki sanoo tietoturvallisuudesta ja mitä vahinkoa kärsineeltä yritykseltä on oikeuskäsittelyssä edellytetty ja mitä oikeudenkäynneistä on opittu. Yrityksen on esim. annettava henkilöstölleen riittävät ohjeet. Yrityssalaisuuden on oltava riittävän selvästi määritelty ja sillä on oltava taloudellista merkitystä. Oppaassa annetaan ohjeita yrityksen tietoturvallisuusohjelman laatimiseksi, käsitellään yrityksen tietoturvallisuusvastuita ja selvitellään tietoaineiston luokittelua. Lisäksi selostetaan millaisia sopimuksia yrityksen kannattaa tehdä tietoturvallisuuden takaamiseksi, käsitellään kulunvalvontaa ja vierailujen turvallisuusjärjestelyjä, työ- ja liikematkoja sekä atk- ja tietoteknistä turvallisuutta keskeisimpien sovellutusten kuten Internetin, sähköpostin, kotisivujen ja verkkokaupan yhteydessä. Oppaassa esitellään PK-yritysten riskien ja erityisesti tietoriskien hallintaan sopivia työkaluja. Oppaassa on myös tarkistuslista, jonka avulla yritys voi arvioida tietoturvallisuutensa nykyistä tasoa. Vaikka opas on laadittu lähinnä PK-yritysten tarpeisiin, siitä on apua kaikille yrityksille. Oppaan liitteinä on runsaasti erilaisia vaitiolo- ja salassapitosopimusmalleja, joita yritys voi käyttää palkatessaan uusia työntekijöitä avaintehtäviinsä. Helsingissä Johannes Koroma Toimiva tiedonvälitys ja tietojärjestelmien käytön edistäminen edellyttävät, että tietojärjestelmät ovat tehokkaista ja laadullisesti tasokkaista sekä erityisesti sitä, että tiedon turvaaminen on hoidettu ja siihen luotetaan. Tietoturvallisuus on korostuva osa yritysten laatua ja luotettavuutta. 6

6 1. Johdanto Elämme tieto- ja systeemiyhteiskunnassa, jossa tieto, työ ja palvelut verkottuvat. Se antaa toisaalta lisääntyviä mahdollisuuksia pienille ja keskisuurille yrityksille, mutta edellyttää myös tähän kehitykseen liittyvien riskien huomioon ottamista ja hallintaa. Kaikkien yritysten keskeiset toiminnot ovat riippuvaisia tiedoista ja tietojärjestelmistä. Riippuvuus lisääntyy tietojärjestelmien kehityksen sekä tietoteknologian uusien sovellusmahdollisuuksien myötä. Teollisuuden ja Työnantajain Keskusliiton PKT-valtuuskunta on pitänyt tärkeänä tietoturvallisuusasian edistämistä ja sen viemistä jäsenyrityksiin mahdollisimman käytännönläheisellä oppaalla. edessä. Ne ovat korostuneet valtavasti lisääntyneen Internetin käytön ja sen uusien sovellusten myötä. Virukset, kotisivujen ja sähköpostin sabotointi ja eräät sähköisen kaupankäynnin tietoturvallisuusongelmat ovat asettaneet uusia haasteita. Tietoturvallisuustoimintaa ohjaavaa lainsäädäntöä on tullut olennaisesti lisää ja sitä on myös muutettu kahden viime vuoden aikana. Tämän vuoksi on tullut tarpeelliseksi päivittää alkuperäistä opasta ja käsitellä tietoturvallisuutta eräiltä osin yksityiskohtaisemmin uuden tiedon pohjalta. Kirjoittajana on toiminut edelleen TT:n yritysturvallisuustoimiston päällikkö Kalevi Tiihonen. Tuloksena syntyi maaliskuussa 1998 opas, joka käsitteli laajasta tietoturvallisuuden kentästä vain niitä keskeisiä asioita, joilla on huomattavampaa merkitystä käytännön yritystoiminnan kannalta PK- yrityksille. Tämän jälkeen tietojärjestelmien käyttö, uudet sovellukset ja erityisesti tietotekniikan kehitys ovat edenneet suurin harppauksin. Samanlainen kehitys on ollut havaittavissa myös tietoturvallisuudessa. Uusia, entistä tehokkaampia tuotteita on tullut markkinoille, mutta samalla tietoturvallisuuden rakentaminen ja ylläpito on tullut yhä vaativammaksi ja vaikeammaksi uusien uhkien 7

7 2. Tietoturvallisuuden merkitys yritystoiminnalle Työntekijä irtisanoutui ja meni kilpailijan palvelukseen. Tätä ennen hän oli kopioinut yrityksen kustannuslaskelmatietoja, toimintasuunnitelmia sekä kone- ja laitteistopiirustuksia tietovälineelle, jonka antoi kilpailevan yrityksen käyttöön. Taloudelliset vahingot edelliselle työnantajalle olivat merkittävät. Henkilö tuomittiin yrityssalaisuuden rikkomisesta ja kilpailevan yrityksen toimitusjohtaja yrityssalaisuuden väärinkäytöstä. Yrityssalaisuuden rikkomisesta tuomittiin niin ikään henkilö, joka irtisanoutui ja perusti itse saman alan yrityksen. Hän yritti varmistaa uudet asiakassuhteet kopioimalla entisen työnantajansa asiakasrekisterin. Tekijälle tuomittiin lisäksi tuntuva vahingonkorvausvelvollisuus ja velvoite palauttaa kopioitu materiaali. Alihankintaketjussa oli useita toimittajia, jotka valmistivat komponentteja elektroniseen laitteeseen. Laitteen oli kehittänyt henkilö A, jolla oli sellainen määräämisvalta alihankinnassa tapahtuvaan tuotantoon, että ilman hänen lupaansa ei piirustuksia eikä tuotanto-ohjelmaa saanut luovuttaa kenellekään. Lopullisen tuotteen tilaaja halusi ottaa koko tuotannon haltuunsa ja vaati alihankkijoilta piirustukset ja tuotanto-ohjelman itselleen. Lopputuotteen tilaaja saikin eräältä alihankkijalta piirustukset ja tuotanto-ohjelman. Alihankkija tuomittiin yrityssalaisuuden rikkomisesta ja lopputuotteen tilaajaa yritysvakoilusta. Erään tuotantolaitoksen keskusvalvomon mikrotietokone (PC), jossa oli valvomo-ohjelmisto, lakkasi toimimasta kesken kiireisen tuotannon Syyksi osoittautui tietokonevirus, joka tarttui kaikkiin ohjelmiin johtaen toimintahäiriöihin ja virhetoimintoihin. Sama virus löytyi kaikista niitä levykkeistä, joita oli käytetty tutkittaessa ao. PC:n toimimattomuutta. Viruksen siivoaminen ja toiminnan palauttaminen maksoivat sekä tuotannon keskeytymisenä että muina toimenpiteinä yritykselle satojatuhansia markkoja. Yhden tietokoneen puhdistus maksoi tietokoneen verran. Jos virus olisi päässyt leviämään mikroverkkoon liitettyihin muihin mikroihin (100 kpl) tai muihin tuotannonohjausjärjestelmiin, olisivat vahingot olleet katastrofitilanteeseen rinnastettavia. Elektroniikkayrityksen projektijohtaja vei mennessään tuotantotietoja ja häntä seurasi joukko työntekijöitä, joilla oli tärkeitä projektitietoja. Suuryrityksen ulkomaanyksikössä työskentelevä henkilö tallensi esimiehensä työasemalta tiedostoja, joita hyödynsi 8

8 omiin tarkoituksiinsa ja luovutti niitä kolmannelle osapuolelle. Ulkomaanyksikössä toimiva ulkomaalainen asiantuntija jäi verekseltään kiinni imuroidessaan tietokoneen kovalevyltä yrityssalaisia tietoja. Samasta hakkerikeskuksesta sabotoitiin erään merkittävän kansainvälisen pörssiyrityksen ja useiden viranomaisten kotisivuja siten, että niillä olevia tietoja hävitettiin ja muunneltiin ja niihin lisättiin asiattomia kuvia, tekstejä ja muita yksityiskohtia. Näin aiheutettiin ao. yritykselle ja viranomaisille merkittäviä toiminnallisia ja taloudellisia vahinkoja sekä uskottavuusongelmia. Erään pohjoismaisen energiayhtiön sähköpostijärjestelmä saatiin lähes vuorokauden ajaksi toimintakyvyttömäksi, kun sen järjestelmään lähetettiin eri paikoista yhtäaikaisesti valtava määrä asiattomia sähköpostiviestejä - nämäkin harkitusti vahingoittamistarkoituksessa. Ongelman hoitaminen maksoi tuolloin miljoonia markkoja. Edellä kuvatut esimerkit ovat kaikki yrityksen tietoturvallisuuteen liittyneitä käytännön tapauksia, joiden vaikutukset ao. yrityksille ovat olleet merkittäviä sekä taloudellisesti että toiminnallisesti. Jonkinlaista kuvaa rikoslain tietoturvallisuuteen liittyvien säännösten vastaisen toiminnan kehityssuunnasta voidaan saada esimerkiksi tarkastelemalla vuosien poliisille tehtyjä rikosilmoituksia rikosnimikkeillä yritysvakoilu (RL 30:4), yrityssalaisuuden väärinkäyttö (RL 30:6), viestintäsalaisuuden loukkaus (RL 38:3), törkeä viestintäsalaisuuden loukkaus (RL 38:4) ja tietomurto (RL 38:8). Valtaosa rikosilmoituksista - joita on yhteensä liittyi viestintäsalaisuuden rikkomiseen ja tietomurtoon, mutta tapauksista oli mielenkiintoisia yritysvakoilun kannalta. Näiden rikosten yksityiskohdista voidaan päätellä tekotapojen muuttuneen siten, että tietotekniikan hyväksikäyttö on lisääntynyt ja teko on tehty yhä useammin kaupallisen tai ammatillisen hyödyn tavoittelemiseksi. Näistä luvuista huolimatta suuri osa yrityssalaisuuksiin tai yksityisyyden suojaan liittyvästä rikollisesta toiminnasta on piilorikollisuutta eivätkä läheskään kaikki rikosilmoitukset johda oikeusprosessiin. Muista selvityksistä ilmenee edelleen, että joka kymmenes suomalainen pk- huipputeknologiayritys on joutunut yritysvakoilun tai muutoin sopimattoman, tiedustelutarkoituksessa tapahtuvan tiedonhankinnan kohteeksi. Valtaosa näistä yrityksistä katsoo, että niillä on merkittävää yrityssalaisuudeksi katsottavaa taitotietoa sähköisessä muodossa tietojärjestelmissään. Käsiteltyjen oikeustapausten perusteella voidaan arvioida, mitä yrityksissä tulisi tehdä yrityssalaisuuksien suojelemiseksi. Yleisesti voidaan todeta, että lähes kaikissa tarkastelluissa oikeustapauksissa rikoksen tekijänä on ollut yrityksen oma tai entinen työntekijä. Kyseessä ovat olleet tietojärjestelmissä ja piirustuksissa olevat yrityssalaisuudet. Kaikissa tapauksissa vahinkoja kärsineeltä asianomistajalta (yritykseltä) on vaadittu huomattavia ja riidattomia näyttöjä tietoturvallisuustoimenpiteistä ja taloudellisista vahingoista. Mitä oikeuden päätöksissä on edellytetty vahinkoa kärsineeltä yritykseltä esimerkiksi tosiasiallisen salassapidon osalta? Selvitystä siitä, mikä on turvallisuustyön merkitys yrityksen strategioissa ja liiketoiminnan tavoitteissa. Selvitystä siitä. millaisia salassapitosopimuksia työsopimuksen solmimisen tai toimeksiantojen yhteydessä on tehty. Selvitystä tietoturvallisuusohjeista ja siitä, että henkilöstö on saanut ohjeet tietoonsa. Selvitystä annetusta tietoturvallisuuskoulutuksesta ja sen aiheista sekä henkilöstön osallistumisesta. Selvitystä käytännössä toteutetuista tietoturvallisuustoimenpiteistä. Mitä oikeudenkäynneistä on opittu? Mikäli yrityssalaisuuksia ei ole riittävästi yksilöity eli luokiteltu eikä niiden taloudellista arvoa ole määritelty ennen rikollista toimintaa, ei tapauksen jälkeen tapahtunut herääminen ole johtanut yleensä edes syyteharkintaan. Yrityksen johtoa ja ulkopuolisia (toimeksiantotapaukset) lukuun ottamatta kaikki kriminalisoinnit ovat rajoittuneet 9

9 palvelusaikaan tai työsopimussuhteen kestoon (ml. irtisanomisaika). Yrityssalaisuudella on täytynyt olla taloudellista arvoa yrityksen elinkeinoeli liiketoiminnan kannalta. Ilman konkreettista taloudellista arvoa tieto tai seikka ei voi olla yrityssalaisuus. Kaikki rikoslain yrityssalaisuutta koskevat teot ovat ns. asianomistajarikoksia. Tämä tarkoittaa käytännössä sitä, että syyte nostetaan asianomistajan aloitteesta ainoastaan niissä tapauksissa, joissa on esitetty riittävästi näyttöä tehdystä rikoksesta ja aiheutetuista vahingoista. Turvallisuus- ja tietoturvallisuuspolitiikalla osoitetaan salassapitointressi eli se, että yrityssalaisuuksien ilmaiseminen aiheuttaa taloudellista vahinkoa yritykselle. Salassapitosopimuksilla, yrityssalaisuuksien luokittelulla ja niiden taloudellisten arvojen määrittelyllä osoitetaan erityinen salassapitotahto eli se, että tieto on tosiasiallisesti suojattu ulkopuolisilta, ja sen kanssa tekemisissä olevat mieltävät tiedon yrityssalaisuudeksi. Tietoturvallisuusohjeistolla, koulutuksella, henkilökohtaisen tietoturvallisuusvastuun toteuttamisella ja erityisillä tietoturvallisuustoimenpiteillä osoitetaan, mitä tosiasiallisia salassapitotoimenpiteitä on tehty yrityksessä. Suurimmat tietoturvallisuuden ongelmat liittyvät huolimattomuuteen, ymmärtämättömyyteen, osaamattomuuteen ja muihin tietojärjestelmien teknisen toteutuksen ja käytön laadullisiin tekijöihin. Panostaminen tietojärjestelmien käyttö- ja toimintaympäristössä työskenteleviin ihmisiin ja turvallisuustietoisuuden lisäämiseen sekä yhteiskunnan tuki tehokkaalle ja turvalliselle tietojenkäsittelylle menevät aina yksinomaisten tietoteknisten ratkaisujen edelle tietoturvallisuuden rakentamisessa. Tietotekniikan merkitys on kuitenkin korostunut ja tulee korostumaan entisestään tietojärjestelmien ja rakenteiden monimutkaistuessa. Tämä taas on suuri ongelma tiedon käytettävyyden ja saatavuuden näkökulmasta. Informaatioteknologian sovellukset sekä tietoverkkojen hallinta ovat monimutkaistuneet ja vaikeutuneet. Yhä harvemmat hallitsevat niiden toimintaa ja tietoverkkojen turvallisuutta. Sen vuoksi tietoturvallisuutta ja erityisesti tietojärjestelmiin tunkeutumiseen käytettyjä tekniikoita, menetelmiä ja niiden vastatoimia hallitsevien henkilöiden palkkaaminen on selvästi lisääntynyt niin kansainvälisesti kuin Suomessakin. Myös tietojärjestelmään tunkeutumisen ilmaisevia ohjelmia on tuotu markkinoille ja niitä on alettu hankkia (esim. RealSecure, Net- Ranger jne.). Eräiden arvioiden mukaan vain viidesosa suomalaisista yrityksistä havaitsee tällaiset tunkeutumisyritykset. Tältä pohjalta voisi olettaa, että suuri osa yrityksistä ei tiedä tai ei seuraa sitä, mitä luvatonta tai vahingollista toimintaa omissa tietojärjestelmissä tapahtuu. Suurin uhka on, että tietojärjestelmään kertyy luvattomien tunkeutumisten kautta ongelmia, jotka kumuloituvat välittömästi tai ajan mittaan tietojärjestelmien toimimattomuutena ja häiriöinä. Mitä käytännön toimenpiteitä kannattaa tehdä verkkotunkeutumisen havaitsemiseksi? Luo valmiudet vastatoimiksi: yleiset periaatteet ja tarpeelliset toimenpiteet tällaisen tilanteen varalle. Analysoi kaikkea käytettävissä olevaa loki- ym. tietoa, joka kertoo tunkeutumisesta tai sen yrityksestä keskustele kaikkien niiden osapuolten kanssa, joiden on hyvä tietää tunkeutumisesta kerää ja säilytä sellaista tietoa, joka käsittelee tunkeutumista tietoverkkoon käytä lyhytaikaisia ratkaisuja verkkotunkeutumista vastaan poista kaikki sellaiset keinot, jolla tunkeutuja voi helposti päästä verkkoon palauta järjestelmät normaaliin toimintaan Seuraa riittävästi tietojärjestelmääsi varmistaaksesi, että turvallisuus verkkoympäristössä on parantunut niiden toimenpiteiden johdosta, joita on tehty tunkeutumisen ja sen vaikutusten eliminoimiseksi. Eräs mielenkiintoinen selvitys Yhdysvalloista (v ) käsittelee henkilöstön väärinkäytöksiä yrityksen tietojärjestelmissä. Kyselyyn vastanneista 200 yrityksestä 26,9 % ilmoitti rankaisseensa tai erottaneensa työntekijän tai ali- 10

10 urakoitsijan yrityksen tietoturvallisuusmenettelyn rikkomisesta. Tavallisin syy oli sopimaton Internetin / WEB -sivujen käyttö tai katselu (21,4 %) sekä sopimaton toiminta sähköpostiliikenteessä (15,3 %). Liiallinen tai kohtuuton yrityksen tietojärjestelmien käyttö omaan tarkoitukseen oli rangaistuksen perusteena 10,2 %:ssa tapauksista. Tapauksista 4,6 %:ssa yrityksen tietojärjestelmillä oli pyöritetty henkilön oman liiketoiminnan vaatimia järjestelmiä ja 3,1 % tapauksista oli selkeitä rikolliseen toimintaan liittyviä, kuten murtautuminen yrityksen tietokoneella toisiin tietojärjestelmiin. Vastanneista yrityksistä 73,7 % kertoi omaavansa politiikan tai yleiset periaatteet siitä, miten henkilöstö käyttää Internetiä ja sähköpostia. Näistä yrityksistä 28,4 % myös valvoi käytännössä jollakin tavoin Internetin/sähköpostin käyttöä ja vain 16,3 % niiden asiasisältöä. Suomalaisista yrityksistä ei ole toistaiseksi vastaavanlaisia selvityksiä käytettävissä. Meillä ei juurikaan yrityksissä valvota järjestelmällisesti Internetin tai sähköpostin luvatonta käyttöä - ja jos valvotaankin, tuloksia ei tuoda julkisuuteen. Oikeaan aikaan saatu oikea tieto antaa hyvän perustan yritysjohdon päätöksenteolle, mikä merkitsee kilpailuaseman säilyttämistä, liiketoiminnan kannattavuutta ja usein jopa selvää kilpailuetua. Kilpailuedun säilyttäminen edellyttää tietojärjestelmien ja -tekniikan tehokasta ja turvallista käyttöä. Toisaalta yrityksen toiminnasta, kannattavuudesta, taitotiedosta, jopa asiakkaista ja heidän tiedoistaan ovat kiinnostuneita myös toimivat ja perusteilla olevat kilpailijayritykset. Sisällöllisesti oikean tiedon hallinta kotisivujen, sähköpostiliikenteen ja yleisemminkin Internetin käytössä, käyttäjän tunnistaminen ja monet ratkaisemattomat turvallisuusongelmat odottavat selkeitä ja toimivia malleja. Työvälineitä kyllä on käytettävissä ja suomalaista osaamistakin. Uudet turvallisuus- ja yhteensovittamisongelmat ovat vakava ja pysyvä haaste yrityksen tietojärjestelmistä vastaaville henkilöille ja erityinen haaste yrityksen tietoturvallisuudelle. Tietojärjestelmien ja -tekniikan hyväksikäytön mahdollisuudet esimerkiksi sähköisessä kaupankäynnissä tukemassa tuotteiden ja palveluiden myyntiä sekä markkinointia ovat edellyttäneet uusien tietoturvallisuusmenetelmien käyttöönottoa. Yrityksen tietoturvallisuuden lähtökohtana tulee olla sen tosiasian tunnustaminen, että jokaisen yrityksen tiedot voivat olla väärinkäytösten kohteena. Tämän todellisuuden vähätteleminen voi olla koko yritystoiminnan kannalta kohtalokasta. Jokaisen yrityksen on hyvä tiedostaa, että tietoturvallisuus ei merkitse vain yritystä itseään koskevien vaan myös asiakastietojen hallintaa. Erityisen suuri merkitys hyvin hoidetulla tietoturvallisuudella on nopeasti kehittyvässä verkostotaloudessa. Tietoturvallisuus ja luottamuksellisuus ovat tämän kehityksen avainasioita. Tietoturvallisuustoimenpiteiden tarkoituksena on varmistaa yritystoiminnan kannalta tärkeiden tietojen hallinta sovittavien pelisääntöjen mukaisesti. Pelisäännöt tarkoittavat yritysjohdon kannanottoa siihen, miten järjestetään se, että asiattomat ja ulkopuoliset eivät saa kontrolloimattomasti haltuunsa yrityksen tärkeitä tietoja Miksi? Tietojärjestelmässä oleva tieto voi paljastua hallitsemattomasti, kun - ulkopuolinen käyttäjä pääsee järjestelmään ja tietoihin - valtuutettu käyttäjä pääsee tietoihin, joihin hänellä ei ole oikeutta - valtuutettu käyttäjä lähettää sopimattomasti tietoa tietoverkon kautta tiedot ovat yhtäpitäviä ja oikeita kaikkialla yrityksessä esitysmuodosta riippumatta Miksi? Tietojärjestelmässä oleva tieto voi muuttua tai hävitä tahallisen toiminnan johdosta tai vahingossa. tiedot ja palvelut ovat niiden henkilöiden käytettävissä, joilla on siihen oikeus Miksi? Valtuutetut käyttäjät eivät mahdollisesti voi 11

11 käyttää työasemaa, tietoverkkoa, tietoja tai tietojärjestelmän palveluja, jolloin heidän työtehtäviensä suorittaminen vaikeutuu, häiriintyy tai estyy kokonaan, kun tiedot ovat vaurioituneet, hävinneet tai niihin pääsy on muutoin estynyt tietojärjestelmän kapasiteetti on siinä määrin vaurioitunut tai ylirasitettu, että se estää valtuutetun käyttäjän järkevän työskentelyn pääsy tietojärjestelmän palveluihin on estynyt Oikein toteutettu tietoturvallisuus antaakin tiedolle kolme tärkeää ominaisuutta: luottamuksellisuuden, eheyden ja käytettävyyden. Tietoturvallisuuden perusta on tunnistaa oman yrityksen toimintaan liittyvät tietoriskit ja sen pohjalta tietää, mitä suojataan. Kukaan ei tunne näitä asioita paremmin kuin yrityksen henkilöstö itse. Tiedon suojaaminen edellyttää tiedon luokittelua eli tiedon merkityksen arviointia liiketoiminnan kannalta. Tässä yhteydessä on muistettava yhtäläisesti kaikki tiedon kolme ominaisuutta. Pelkkä luottamuksellisuus käytännössä tarkoittaa usein vain yrityssalaisuuksiksi katsottavien tietojen luokittelua, merkitsemistä ja käsittelyä. Tilastokeskuksen tutkimuksen Internet ja sähköinen kauppa yrityksissä (Tiede, teknologia ja tutkimus 2000:2) mukaan yrityksiä pyydettiin arvioimaan Internetin käyttöön yleisesti ja sähköiseen kauppaan erityisesti liittyviä esteitä. Selvästi suurimmat ongelmat Interetin käytössä liittyivät tietoturvallisuuteen, johon kuuluivat myös tietokoneviruksista ja niiden ehkäisystä mahdollisesti aiheutuvat ongelmat. Noin 30 % yrityksistä piti näitä ongelmia suurina ja vain 6 %:lle ei aiheutunut minkäänlaisia ongelmia. Tietoruvallisuusongelmat huolettivat yleisemmin suurissa yrityksissä. 25 % hengen yrityksistä piti ongelmaa suurena, yli 100 hengen yrityksissä 41 % yrityksistä oli huolissaan tietoturvallisuudestaan. Toimialoista tietoturvallisuushuoli korostui liike-elämän palveluissa ja teollisuudessa. Koska tietoturvallisuus riippuu yrityksen jokaisen henkilön toiminnasta, on tärkeää, että yrityksellä on tietoturvallisuuden keskeisiä asioita koskeva ohjelma, josta käyvät selkeästi ilmi vastuut, yleiset periaatteet, yrityksen tietoturvallisuusohjeistus, perehdyttäminen, koulutus, ylläpito ja kehittäminen sekä toimintaohjeet ongelma- ja väärinkäyttötapausten varalta. Tietoturvallisuustoimenpiteillä tuetaan yrityksen päätoimintaa ja siihen liittyvien tavoitteiden toteuttamista. Hallittu ja toimiva tietoturvallisuusmenettely ennalta ehkäisee ja estää yritysvakoilua sekä yrityssalaisuuksien rikkomista ja väärinkäyttöä eli turvaa taitotiedon säilymisen yrityksessä. Tietoturvallisuustoimilla voidaan ohjata tietojen, tietojärjestelmien ja -palvelujen tehokasta ja oikeaa käyttöä. Voidaan välttää yritystoiminnan häiriöitä ja vahinkoja ja kohdistaa resurssit toimintaedellytysten turvaamiseen ja ydintoimintoihin eli siihen, minkä vuoksi yritys on olemassa. Toimimaton tietoturvallisuus on omiaan lisäämään epäluottamusta tietojärjestelmiin ja niiden käyttöön. Tämän vuoksi tietoturvallisuus on myös yhteinen ja yhteiskunnallinen kysymys. Luottamus hyvin toimivaan, tehokkaaseen tietojärjestelmään ja -teknologiaan lisää olennaisesti niiden käyttöä. 12

12 3. Mitä tietoturvallisuus on Tietoturvallisuudella tarkoitetaan tietojen, järjestelmien ja palveluiden asianmukaista suojaamista sekä normaali- että poikkeusoloissa. Tietojen luottamuksellisuutta, eheyttä ja käytettävyyttä suojataan erilaisten vikojen, luonnontapahtumien tai tahallisten, tuottamuksellisten tai tapaturmaisten tekojen aiheuttamilta uhilta ja vahingoilta. liittyvien, henkilöä koskevien tietojen käsittelyä ja siihen liittyviä oikeuksia ja velvollisuuksia. Tietoturvallisuus on siis huomattavasti laajempi käsite kuin ns. atk-turvallisuus tai henkilötietoihin liittyvä tietosuoja. Kontrollit eli torjuntakeinot on lueteltu erillisessä liitteessä 5. Tietoturvallisuus on yläkäsite, johon sisältyy mm. atk- tai tietotekninen turvallisuus kaikkine järjestelmineen. Tietosuojalla taas tarkoitetaan ihmisen yksityisyyteen ja yksityiselämään 13

13 4. Mitä laki sanoo tietoturvallisuudesta Suomen lainsäädäntö on kansainvälisestikin arvioiden varsin edistyksellinen tiedon salassapidon ja erityisesti yritysvakoilun, yrityssalaisuuden väärinkäytön ja yrityssalaisuuden rikkomisen osalta. Viime vuosina tietoturvallisuuteen liittyvää lainsäädäntöä on lisätty ja kehitetty edelleen. Vakoilulainsäädäntö on niin ikään varsin uutta, samoin kuin tieto- ja viestintärikosten kriminalisointi. Atk ja tietotekniikka on otettu huomioon kohteena tai rangaistavan teon tekemisen välineenä useissa ns. tavallisissa rikoksissa, kuten vahingonteossa, petoksessa, kavalluksessa, luvattomassa käytössä jne. Ehdotetulla lailla säädettäisiin yrityksissä noudatettavista menettelytavoista eli valvonnan järjestämisestä sähköpostin ja tietoverkon käytössä. Valvonta voi kohdistua myös tietojenkäsittelyn kirjautumisjärjestelmiin ja puhelimen käyttöön. Yhteistoimintamenettelyn piiriin kuuluisivat vastedes myös sähköpostin ja tietoverkon käyttö. Työnantajalla voi olla myös hyväksyttävä peruste rajoittaa työntekijän sähköpostin tai muun tietoverkon kautta tapahtuvaa viestintää. Lakiesityksessä yksityisyyden suojasta työelämässä ei myöskään ehdoteta määriteltäväksi työnantajan oikeuksia työntekijän valvonnassa. Laissa säädettäisiin ainoastaan menettelytavoista valvonnan sekä sähköpostin ja tietoverkon käytön järjestämisessä. Jos laki esitetyssä muodossaan hyväksytään, jokaisen yhteistoimintamenettelyn piiriin kuuluvan yrityksen on vastedes laadittava sähköpostin ja Internetin käyttöön liittyvät pelisäännöt. Menettelyllä edistetään tietoturvallisuutta ja tietosuojaa. Tällä tavoin ovat monet edistykselliset yritykset hoitaneetkin ongelmalliset tietojärjestelmien käyttö- ja valvontakysymykset. Suomi on ollut esimerkillinen myös virusongelmien vastaisessa kansainvälisessä toiminnassa, kun se ensimmäisenä on kriminalisoinut tietokonevirusohjelman tekemisen ja levittämisen (RL 34:9a: Vaaran aiheuttaminen tietojenkäsittelylle). Yksityiselämän suojaan liittyvä henkilötietojen käsittely eli tietosuoja on saanut uutta sääntelyä henkilötietolain myötä (523/ 1999) sekä useina erityislakeina. Niitä ovat laki yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta 565/1999 sekä hallituksen esitys laiksi yksityisyyden suojasta työelämässä (HE 75/2000). 14

14 Hallituksen esityksen keskeinen säännös on 8 Menettelytavat teknisen valvonnan ja tietoverkon käytön järjestämisessä Työntekijöihin kohdistuvan, työnantajan työnjohto- ja valvontaoikeuteen perustuvan teknisen valvonnan tarkoitus, käyttöönotto ja siinä käytettävät menetelmät sekä sähköpostin ja tietoverkon käyttö kuuluvat yhteistoiminnasta yrityksissä annetussa laissa sekä yhteistoiminnasta valtion virastoissa ja laitoksissa annetussa laissa tarkoitetun yhteistoimintamenettelyn piiriin. Muissa kuin yhteistoimintalainsäädännön piiriin kuuluvissa yrityksissä ja julkisoikeudellisissa yhteisöissä työnantajan on ennen päätöksentekoa varattava työntekijöille tai heidän edustajilleen tilaisuus tulla kuulluksi edellä sanotuista asioista. Yhteistoiminta- tai kuulemismenettelyn jälkeen työnantajan on määriteltävä työntekijöihin kohdistuvan teknisen valvonnan käyttötarkoitus ja siinä käytettävät menetelmät sekä tiedotettava työntekijöille teknisen valvonnan tarkoituksesta, käyttöönotosta ja siinä käytettävistä menetelmistä sekä sähköpostin ja tietoverkon käytöstä. Uusi julkisuuslaki, laki viranomaisten toiminnan julkisuudesta (621/1999) ja siihen liittyvä asetus (1030/1999) sisältävät avoimuuden ja julkisuuden vastapainoksi merkittäviä tiedon salassapitoon ja tietoturvallisuuteen liittyviä säännöksiä. TYÖSOPIMUSLAKI kieltää ilmaisemasta muille niitä tietoja, jotka henkilö on saanut työnantajalta sen liike- ja ammattisalaisuuksista (=yrityssalaisuuksista). Säännöksen rikkominen voi johtaa työsopimuksen purkamiseen. YHTEISTOIMINTALAKI toteaa samalla tavoin, että niitä tietoja, jotka työnantaja on määritellyt salassapidettäviksi ei saa antaa ulkopuolisille, mikäli tietojen leviäminen olisi omiaan vahingoittamaan yritystä tai sen liike- tai sopimuskumppania. Tämä on merkittävä laissa ilmaistu periaate, jonka tulisi myös toteutua käytännössä. Sama laki säätää myös yksityisen henkilön taloudellista asemaa, terveydentilaa tai muutoin häntä koskevien tietojen salassapitovelvollisuudesta. VILPILLINEN KILPAILU eli laki sopimattomasta menettelystä elinkeinotoiminnassa säätää niin ikään liikesalaisuudesta. Yleinen liikesalaisuuden oikeudeton hankkiminen tai sen yritys sekä sen käyttäminen tai ilmaiseminen on kielletty. Samoin on kielletty toisen palveluksessa tai toimeksiantosuhteessa saadun liikesalaisuuden, teknisen esikuvan tai teknisen ohjeen käyttö ja ilmaiseminen palvelusaikana. Toimeksiantosuhteessa kielto ei ole sidottu toimeksiannon kestoon, vaan on pysyvä. Jos henkilö on saanut toiselta tiedon em. asioista tietäen, että tämä on hankkinut tai ilmaissut tiedon oikeudettomasti, ei hän saa sitä käyttää eikä ilmaista. Teknisen esikuvan tai ohjeen tahallinen käyttö tai ilmaiseminen rangaistaan sakolla, muissa tapauksissa rikoslain yritysvakoilua, yrityssalaisuuden rikkomista tai yrityssalaisuuden väärinkäyttöä koskevien säännösten mukaisesti. Oikeuskäytännössä ei enää juuri sovelleta vilpillisen kilpailun rangaistussäännöksiä vaan rikoslakia. RIKOSLAKI määrittelee yrityssalaisuuskäsitteen ja salassapitovelvollisuudet sekä näiden kriminalisoinnit. Yrityksen tietoturvallisuuden kannalta ne ovat yhdessä vakoilusäännösten kanssa aivan keskeisessä asemassa. YRITYSSALAISUUDELLA tarkoitetaan liike- tai ammattisalaisuutta taikka muuta vastaavaa elinkeinotoimintaa koskevaa tietoa, jonka elinkeinonharjoittaja pitää salassa ja jonka ilmaiseminen olisi omiaan aiheuttamaan taloudellista vahinkoa joko hänelle tai toiselle elinkeinonharjoittajalle, joka on uskonut tiedon hänelle. Yrityssalaisuus on yrityksen kilpailun ja menestymisen kannalta aivan keskeinen tieto. Jotta kyseessä olisi rikoslain suojaama yrityssalaisuus, tulee yrityksen ilmaista salassapitotahtonsa ja -intressinsä sekä toteuttaa tosiasialliset toimenpiteensä tiedon salassapitämiseksi. Muussa tapauksessa ja ilman näitä toimenpiteitä rikoslaki ei anna suojaa yritysvakoilua, yrityssalaisuuden rikkomista tai väärinkäyttöä vastaan. Tämä tarkoittaa sitä, että yrityksen on itse ryhdyttävä konkreettisiin tietoturvallisuustoimiin. 15

15 5. Yrityksen yleinen tietoturvallisuus Kaikki tietoturvallisuustyö yrityksessä lähtee tietoriskien arvioinnista ja niiden hallinnasta. Toimialasta ja tietojärjestelmistä riippuen riskit voivat vaihdella suurestikin. Valtakunnallinen PK-yritysten riskienhallintaprojekti on tuottanut käyttökelpoisen työvälineen - eräänlaisen riskikortin - pienten ja keskisuurten yritysten tietoriskien kartoittamiseen (Liite). On hyvä vielä muistuttaa, että reilusti yli puolet tietoturvallisuuden ongelmista tietojärjestelmissä johtuu ihmisen toiminnasta, vain pieni osa laitteista, olosuhteista ja ohjelmistoista. Kun tilanne on tämä, ei pienenkään yrityksen tietoturvallisuutta voida hoitaa yksinomaan tietoteknisin ratkaisuin. Tarvitaan yleisiä periaatteita ja ohjeita tietoturvallisuudesta yrityksessä. Tietoturvallisuuden määritelmä sisältää keskeiset uhat ja riskit. Kun yrityssalaisuuksien hallittu käyttö liittyy usein yritysten väliseen kilpailuun, on tässä yhteydessä syytä tarkastella tietoturvallisuutta myös kilpailun näkökulmasta. Kysymys on usein kilpajuoksusta ja siihen liittyvästä taloudellisen hyödyn tavoittelusta. Yritysvakoilua tai muuta vastaavaa kiellettyä toimintaa harjoittavan kilpailijan motiivi on usein maksattaa muilla kalliit tutkimus- ja kehityskulut ja tällä tavoin heikentää teon kohteeksi joutuneen yrityksen taloudellista pohjaa ja markkina-asemaa. Sen sijaan kaikkien terveestikin toimivien yritysten on hankittava riittävää tietoa alansa kehityksestä eikä se ole edes vaikeata. Avoimia tietolähteitä on paljon. Tiedoista % on saatavissa julkisista tai avoimista lähteistä. Loppu tiedoista luottamuksellista tai yrityssalaista, joka voi tuhoutua, muuttua tai joutua hallitsemattomasti ulkopuolisille. Salainen tieto voi koskea yrityksen teknologiatasoa, uusien tuotteiden ominaisuuksia, tuotteen kustannusrakennetta, tuotannon volyymia, toimintatapoja ja organisaatiota, markkinointisuunnitelmia, tarjousstrategiaa ja vastaavia muita yrityksen kannalta erittäin tärkeitä tietoja. Valikoidusti tulisi ainakin tällaisia tietoja suojella. 5.1 Tietoturvallisuus ja laatu Useissa PK-yrityksissä on valmisteilla tai jo käytössä joko laatustandardi tai vastaava laatuohjelma. Tämä tarkoittaa sitä, että yrityksen kannalta tärkeimmät toiminnat ja prosessit ovat dokumentoidut ja jatkuvan parantamisen kohteena. Turvallisuus on tukitoiminto, jota kaikessa laajuudessaan ei ole vielä toteutettu osana yrityksen kokonaislaatua. Parempaan suuntaan ollaan selkeästi menossa mm. EU:n piirissä tehtävän turvallisuusstandardointityön myötä. Sen sijaan useilta yritysturvallisuuden osaalueilta kuten prosessiturvallisuuden, työturvallisuuden ja ympäristönsuojelun sektoreilta on jo olemassa standardeja ja sovelluksia yrityksen laatutoimintaan. Yrityksen tietoturvallisuus on sellainen tärkeä alue eli laatutoiminnan moduli, joka myös olisi toteutettavissa osana yrityksen muun toiminnan laatua (laatukäsikirjaa). Tällä tavoin tietoturvallisuusasiat tulisivat osaksi päivittäisen 16

16 toiminnan dokumentointia, ylläpitoa, koulutusta ja jatkuvaa parantamista. Kansainvälisiä tietoturvallisuusstandardejakin on olemassa kuten esimerkiksi BS 7799:1995, jota kyllä voi hyödyntää laatutyössä, mutta se on sellaisenaan melko raskas työväline käyttöön otettavaksi PKympäristössä. Standardi on käännetty myös suomeksi ja saatavissa Suomen standardisoimisliitosta (BS :fi). 5.2 Yrityksen tietoturvallisuusperiaatteet ja -politiikka Yrityksissä, joissa tietoturvallisuudella on strategista, toimintaan ja kilpailuun liittyvää merkitystä, laaditaan usein toiminnan perusteeksi erillinen tietoturvallisuuspolitiikka. Muutoin kirjataan yleensä keskeiset periaatteet käytännön tietoturvallisuustyölle. Hyväksyessään nämä periaatteet yritysjohto sitoutuu noudattamaan tietoturvallisuuspolitiikkaa ja velvoittaa henkilöstöä noudattamaan sitä. Yritys PK Oy:n tietoturvallisuuspolitiikka voisi olla seuraavan sisältöinen: Yrityksen liiketoiminnan ja taloudellisten etujen turvaamiseksi sekä erityisesti oikean, luotettavan tiedon saamiseksi ja tietojen käsittelyssä mahdollisesti aiheutuvien vahinkojen ennalta ehkäisemiseksi toteutetaan PK Oy:ssä tietoturvallisuutta korostaen, että yrityksen tietoasiakirjat, tietovälineet, tekniset tallenteet ja suullinen infor- maatio ovat yrityksen omaisuutta ja niiden antaminen yrityksen ulkopuolelle saa tapahtua vain yhtiön eduksi, yrityksellä on erilliset, kirjalliset ohjeet yrityssalaisen informaation merkitsemistä, käsittelyä, säilyttämistä ja hävittämistä varten, esimies antaa ohjeet tiedoksi jokaiselle työntekijälle työsopimuksen solmimisen tai toimeksiannon yhteydessä, jokainen työntekijä noudattaa tietoturvallisuudesta annettuja ohjeita ja vastaa omalta osaltaan tietoturvallisuudesta yrityksessämme. Tämän pohjalta voidaan kirjoittaa tietoturvallisuusmenettelyn perusteet ja yleinen sisältö, esimerkiksi seuraavasti: TIETOTURVALLISUUS PK Oy:ssä Tietoturvallisuudella tarkoitetaan yhtiömme tietojen, järjestelmien ja palvelujen suojaamista lainsäädännön ja yhtiön tietoriskien hallintaan perustuvien omien erityistoimenpiteiden avulla. Tietojen luottamuksellisuutta, eheyttä ja käytettävyyttä suojataan laitteisto- ja ohjelmistovikojen, luonnontapahtumien tai tahallisten, tuottamuksellisten ja tapaturmaisten inhimillisten tekojen aiheuttamilta uhilta ja vahingoilta. Tällaisia voivat olla esim. yhtiötä vastaan kohdistettu vakoilu, yritysvakoilu tai muu rikollinen toiminta, 17

17 hallitsematon julkisuus ja tiedottaminen, yksityisyys eli tietosuoja, tahattomat tietovuodot sekä välinpitämättömyys, huolimattomuus ja osaamattomuus tietoja käsiteltäessä. Kaikki nämä asiat voivat aiheuttaa yrityksellemme merkittäviä taloudellisia menetyksiä, tuotannollisia tai toiminnallisia vahinkoja kuten kilpailuaseman menetyksiä, tappioita tarjouskilpailussa tai yksityisyyden suojan loukkauksia. Menettely ja tiedon luokitus on sisällytetty tietoturvallisuusohjeistoon, jota noudatetaan yhtiön kaikilla toimipaikoilla. Yrityssalaisuuksina käsiteltävät tiedot on jaettu kahteen luokkaan: A= strictly confidential / erittäin luottamukselliset tiedot ja B= confidential / luottamukselliset tiedot. Luokitus määrää toimenpiteet tiedon käsittelyssä, jakelussa, säilyttämisessä ja hävittämisessä. Turvallisuusohjeisto antaa yhteisen pohjan yhtiön eri toimintayksiköiden tietoturvallisuusmenettelylle. Ohjeistoon ja menettelyyn perehdyttävät esimiehet ja yhdyshenkilöt, jotka on nimetty toimintayksiköihin linjavastuun mukaisesti. Lisäksi kaikissa tietoturvallisuusasioissa voi kääntyä PKT Oy:n tietojärjestelmävastuuhenkilöiden puoleen. Tiedon luokitukseen ja tietoturvallisuusmenettelyyn tarvittavia materiaaliresursseja kuten leimasimia, tietovälineiden( papereiden, diskettien yms. teknisten tallenteiden tuhoajia, turva- tai kassakaappeja yms.) hankitaan normaalin budjetointimenettelyn mukaisesti. 5.3 Tietoturvallisuusohjelma Yrityksen tietoturvallisuusohjelma perustuu tietoturvallisuuspolitiikkaan ja yrityskohtaiseen tietoriskien analyysiin. Mitkä ovat meidän toimintamme kannalta kaikkein merkittävimmät tietoriskit ja miten ne hallitaan yrityksessämme? Mikä on yritysjohdon kannanotto ja sitoutuminen tietoturvallisuuden edistämiseen ja ylläpitämiseen yrityksessä eli tietoturvallisuuspolitiikka? Tietoturvallisuusohjelman vuosittaiset tavoitteet tulee sovittaa yrityksen lyhyen ja pitkän aikavälin tavoitteisiin. Jos yrityksen tärkein tavoite on uuden tuotteen tuominen markkinoille ja tähän liittyvä tuotekehitys- ja tutkimustyö, ovat varmasti tietoturvallisuusohjelman painotukset markkinointistrategian sekä tutkimus- ja kehitystiedon suojaamisessa. Nämä voivat olla myös pysyviä painotuksia ohjelmassa esimerkiksi silloin, kun yrityksen päätoiminta on tuottaa huipputeknologian tuotteita tai sovellettuja palveluja. Tietoturvallisuusohjelman ei tarvitse olla laaja. Sen keskeinen tavoite on antaa suuntaviivat ja sisältö yrityksen tietoturvallisuusmenettelylle ja -kulttuurille. TIETOTURVALLISUUSOHJELMAN AVAINKOHDAT Sisällytä yrityksen hallituksen tai toimitusjohtajan kannanotto tietoturvallisuusohjelman johdanto-osaan. Tietoturvallisuuden ja yrityssalaisuuksien suojaamisen arvostuksen on lähdettävä yrityksen johdon tahdosta. Kuvaile ohjelman tarkoitus ja tärkeys. Henkilöstön on ymmärrettävä ja miellettävä keskeinen roolinsa ja vastuunsa tietoturvallisuuden toteuttamisessa. Erittele tarkoin, keitä kaikkia toimintaohjelma koskee. Muista oman henkilöstön osalta myös toisiin tehtäviin siirtyvät, eroavat ja erotetut henkilöt sekä laajasti kaikki ulkopuoliset sidosryhmät (ulkopuoliset palvelut, alihankkijat jne.). Tee yrityssalaisuuksien käsittelyn ja muun tietoturvallisuuden kannalta tärkeiden avainhenkilöiden kanssa salassapitosopimus, joka koskee yrityssalaisuuksien lisäksi mm. kilpailevaa toimintaa ja työsuhdekeksintöjä. Tämä on tärkeää tehdä myös ulkopuolisten alihankkijoiden ja järjestelmätoimittajien kanssa sekä kaikkien niiden kanssa, joilta hankitaan palveluja. Muista, että yrityksesi on vastuussa myös 18

18 asiakkaiden, laitetoimittajien ja muiden sidosryhmien tietojen turvallisuudesta. Esimerkkejä salassapitosopimuksista on liitteenä. Määrittele, mikä tietoaineisto on suojattava. Ohjelmaan sisällytetään suojattavan tiedon yleiset ja erityiset periaatteet. Määrittele ja ohjeista tiedon luokitteluperiaatteet siten, että jokainen tuntee ja tietää menettelyn. Nimeä yhdyshenkilöt tärkeimpiin toimintayksiköihin tukemaan tietoturvallisuusmenettelyä ja vastuita. Tiedota nimetyt henkilöt yrityksen koko henkilöstölle. Määrittele toimenpiteet väärinkäytösten tai rikollisen toiminnan varalta. Kirjaa ne toimenpiteet, jotka ovat tärkeitä selvitettäessä, mitä ja milloin on tapahtunut. Nimeä henkilö, johon otetaan yhteyttä, kun jotain yrityksen tietoturvallisuuspelisääntöjen kannalta epäilyttävää on tapahtunut. Määrittele tiedon käsittelyn, säilyttämisen, välittämisen, kirjaamisen, kopioinnin sekä hävittämisen periaatteet ja menettelytavat. Järjestä tietoturvallisuuskoulutusta ja - valmennusta henkilökunnalle. Käytä tiedottamista ja julkaisuja hyväksesi pitääksesi yllä turvallisuustietoisuutta yrityksessäsi. Määrittele, kuka on vastuussa tietoturvallisuusohjelman toteuttamisesta. TÄRKEITÄ PERIAATTEITA TIETOTURVALLISUUSOHJELMAA RAKENNETTAESSA NEED TO KNOW - kuka tietoa tarvitsee NEED TO HOLD - kuka tietoa säilyttää CLOSE TO YOU - tietoturvallisuusvälineet (kaapit, paperisilppurit, yms.) ovat lähellä Sinua ja työskentelytiloissasi Tietoa on paljon ja sitä on yrityksessä eri muodoissa. Hallittu tietojen käsittely edellyttää yhteisiä pelisääntöjä. Edellä kirjatut periaat- teet tarkoittavat käytännössä mm. sitä, että kaikki se tieto, joka on kunkin henkilön tehtävän kannalta tärkeää, on hänen saatava. Kaikkia tietoja ei jaeta kaikille. Entä kuka saa tiedon asiakirjasta tai tietovälineestä? Kuka sen tiedon säilyttää? Tietoteknisenä sovellutuksena samanlaista ongelmaa ei juuri ole. Paperidokumenttien ja vastaavien osalta on toisin: jokainen ylimääräinen kappale asiakirjaa lisää tietoturvallisuusriskiä ja on usein tarpeetonta arkistomateriaalia. Eräissä yrityksissä tehty selvitys siitä, kuinka paljon turhaa asiakirjamateriaalia on taltioituna eri paikkoihin, johti useiden paperitonnien hävittämiseen. Tietoturvallisuuden hoitamiseksi tarvittavat välineet on hankittava ja sijoitettava järkevästi: paperisilppuri kopiokoneen viereen tai läheisyyteen ja avainhenkilön työhuoneeseen. Muutoin niitä ei juurikaan käytetä. Sama koskee palo- ja murtoluokiteltua kassa- tai turvakaappia, jossa säilytetään tärkeimpiä asiakirjoja ja tietovälineiden varmuuskopioita. 5.4 Tietoturvallisuusvastuut yrityksessä Pääperiaatteena on linjavastuu. Tulosyksikön johtaja vastaa tietoturvallisuusmenettelyn toteuttamisesta omassa yksikössään. Henkilöstö vastaa omiin tehtäviinsä liittyvistä tietoturvallisuustoimenpiteistä, mutta yleisen vastuun lisäksi on myös erityisvastuu tietoturvallisuusasioissa osoitettava jokaiselle henkilökohtaisesti. Jos yrityksessä on turvallisuus- tai tietoturvallisuusvastaava, hänellä on yleensä ns. asiantuntijavastuu. Lakisääteistä vastuuta turvallisuusasioissa ei yleisesti voida delegoida - omaehtoista (jota tietoturvallisuus pitkälti on) sen sijaan voidaan. Avainhenkilöiden erityiset tietoturvallisuusvastuut voidaan luontevasti sisällyttää heidän työtehtäviinsä. 19

19 5.5. Tietoaineiston luokittelu Tietoaineiston luokittelulla tarkoitetaan yrityksen toiminnassa tarvittavan tiedon järjestämistä sen mukaisesti, mikä merkitys kullakin tiedolla on yritystoiminnalle. Yksinkertaisimmillaan se tarkoittaa yrityssalaisten tai muulla perusteella salassapidettävien tietojen luokittelemista eli erottamista yrityksen muista tiedoista. Tärkeä lähtökohta tietoaineiston luokitukselle on nykyinen ja tulevakin lainsäädäntö, joka useissa yhteyksissä edellyttää toiminnanharjoittajan ilmoittavan esimerkiksi tietoja saavalle viranomaiselle tai muulle taholle, mitkä tiedot ovat luottamuksellisia tai muulla tavoin yrityssalaisia. Edelleen erityissäännöksillä järjestetään se, miten tällaisia tietoja on käsiteltävä: tietosisällön ilmaisukielto, säilyttäminen, kopiointi, hävittäminen jne. Tietoaineiston luokituksella ilmaistaan samalla salassapitotahto ja tehdään konkreettisia tietoturvallisuustoimenpiteitä. Tietoaineiston luokittelu on resurssien kannalta tietoturvallisuusmenettelyn raskain vaihe sen vuoksi, että kaikki tärkeät tietoryhmät on käytävä läpi ja päätettävä toiminnallistaloudellisin perustein, mitkä tiedot luokitellaan yrityssalaisiksi, mitkä jäävät luokittelun ulkopuolelle. Kun tämä on tehty, on menettelyn ylläpitäminen varsin vaivatonta. Tietoaineisto tarkoittaa kaikkea kirjallista tai kuvallista esitystä sekä tallennetta, mikä voidaan lukea, kuunnella tai saada muulla tavoin ymmärretyksi teknisin apuvälinein. Tietoteknisenä sovelluksena tietojen luokittelu ja menettelyn toteuttaminen on yksinkertaisempaa; on vain muistettava, että tärkeitä tietoja on muuallakin kuin vain tietojärjestelmissä, ja nekin on otettava huomioon tietoja luokiteltaessa. Tietoaineisto voidaan luokitella sen sisällön, käytön ja salassapitotarpeen mukaan esimerkiksi seuraavasti: ERITTÄIN LUOTTAMUKSELLISET tiedot, joiden tuhoutuminen, muuttuminen, häviäminen, hävittäminen tai luvaton joutuminen ulkopuolisten haltuun voi aiheuttaa yritykselle huomattavan suuria (miljoonia, satojatuhansia, kymmeniätuhansia markkoja) taloudellisia vahinkoja tai olla muusta erittäin tärkeästä syystä (turvallisuusjärjestelmät, tietosuoja eli esim. arkaluontoiset tiedot jne.) salassapidettäviä. LUOTTAMUKSELLISET tiedot, joiden tuhoutuminen, muuttuminen, häviäminen, hävittäminen tai luvaton joutuminen ulkopuolisten haltuun voi aiheuttaa yritykselle taloudellisia vahinkoja tai muuta vakavaa haittaa (goodwill, yrityskuva, julkisuus jne.) LUOKITTELEMATTOMAT joita ovat muut yrityksen tiedot. Niidenkin saattamisen ulkopuolisten haltuun tulee tapahtua vain yrityksen eduksi. Kokemusten perusteella tiedon luokitus on järkevää tehdä yrityskohtaisesti siten, että tärkeimpien toimintojen avainhenkilöt päättävät luokituksen käytännön sisällöstä tietoryhmittäin ja tätä jaottelua noudatetaan koko yrityksessä esimerkiksi seuraavasti: Yrityssalaiset tiedot ryhmitellään yrityksessä viiteen eri ryhmään. Yksittäisen tiedon luokituksen määrää sen taloudellinen tai muu merkittävyys yritystoiminnalle. Luokituksesta päättää asiakirjan, tietovälineen tai tiedon laatija. Hän määrittelee myös tiedon jakelun. Tietoryhmät ovat: 1. STRATEGISET TIEDOT - eräät yrityksen johtoelinten pöytäkirjat, PTS-tiedot, markkinatutkimukset, yrityksen tulevaa teknologista kehitystä koskevat ennusteet, omistajalle menevät kannattavuus- ja investointiselvitykset, sisäisen tarkastuksen raportit. 2. TOIMINNALLISET, TALOUDELLISET JA KAUPALLISET TIEDOT - osto- ja myyntisopimukset, kilpailunrajoitussopimukset, tarjousstrategia, osto- ja myyntihinnat asiakaskohtaisina, kustan- 20

20 nukset, muut hintatekijät, kalkyylit, tulosraportit, taloushallinnon seurantalomakkeet, katetiedot ja niihin liittyvät laskelmat, tilinpäätöserittelyt. 3. TUTKIMUS-, KEHITYS JA TUOTETIE- DOT (PALVELUT) - oma taitotieto, jolla on merkittävää kilpailuarvoa, patentoitavat tuotteet, laitteet ja menetelmät, tutkimusanalyysit, kilpailijaanalyysit, asiakaskohtaiset tutkimusraportit, markkinatutkimukset, laadun ja teknologian muutokset. 4 TUOTANTOMENETELMIÄ, KONEITA JA LAITTEITA KOSKEVAT TIEDOT - erittäin tärkeät prosessinohjaustiedot, täydelliset tuotannon suunnittelu- ja käyttötiedot, projektien täydelliset hankinta- ja tarjousvertailutiedot, tärkeät alkuperäispiirustukset, salaiset tai luottamukselliset toimitukset, erikoistuotteiden materiaalit, koostumukset ja ominaisuudet. 5. TALOUSHALLINNOLLISET TIEDOT - avainhenkilöiden työ- ja salassapitosopimukset, sosiaali-, terveys-, palkka- ja muut arkaluontoiset tiedot, koulutus-, resurssi- ja urakehitysarvioinnit, erittäin tärkeät turvallisuusohjeet. Tietoaineiston luokittelu ohjaa tietojen käsittelyä. Luokiteltua tietoa ja niiden varmuuskopioita säilytetään yleensä muussa muodossa kuin teknisenä tallenteena (asiakirjoina, piirustuksina, valokuvina jne.) muusta aineistosta erillään palo- ja murtosuojatuissa tiloissa (holvissa, kassakaapissa), lisäkopioita otetaan vain laatijan luvalla, lähettämiseen yrityksen sisälle tai ulkopuolelle kiinnitetään riittävää huomiota (kuriirit, sinetöinti tms.) ja asiakirjat ja tietovälineet hävitetään paperisilppurissa tai muuten tuhoamalla. Luokiteltujen tietojen käsittelystä tietojärjestelmissä annetaan erilliset ohjeet. 5.6 Tietoturvallisuus ja henkilöstö TURVALLISUUSSELVITYKSET, VAITIOLO- JA SALASSAPITOSOPIMUKSET Turvallisuusselvitykset tarkoittavat henkilön luotettavuuden tarkistusta esim. silloin, kun yritykseen palkataan uusia henkilöitä avaintehtäviin tai tehtäviin, joissa he joutuvat käsittelemään yrityssalaisia tietoja. Muita tilanteita ovat sellaiset sisäiset tehtäväsiirrot, jotka liittyvät yrityksen avaintehtäviin ja joiden yhteydessä on perusteltua tehdä tällainen tarkistus. Luotettavuustarkistus voi koskea myös yrityksen sidosryhmiä ja niiden edustajia, kuten ulkopuolisia palveluja, alihankkijoita tai esimerkiksi ulkomaalaisia henkilöitä, jotka tulevat yritykseen neuvottelemaan, yhteisiin projekteihin jne. Turvallisuusselvitykset ovat suojelupoliisin lakisääteistä toimintaa. Menettely perustuu poliisin hallinnosta annettuun lakiin ja asetukseen, poliisin henkilörekisterilakiin sekä sisäasiainministeriön asiasta antamaan päätökseen (no 247/ ). Selvitystä voidaan pyytää suojelupoliisilta lähinnä silloin, kun on kyseessä valtakunnan turvallisuus tai merkittävät taloudelliset edut. Menettelyssä selvitetään henkilön mahdolliset rikolliseen toimintaan liittyvät tiedot valtakunnan turvallisuuden kannalta. Yrityksen, joka voi tällaista selvitystä pyytää, on luotava kirjallinen menettely ja ohjeet luotettavuuslausuntoja varten. 21

Ekosysteemin eri toimijat. Yritys Työntekijä Ulkopuolinen taho Media Muut tiedonvälittäjät (esim. Wikileaks)

Ekosysteemin eri toimijat. Yritys Työntekijä Ulkopuolinen taho Media Muut tiedonvälittäjät (esim. Wikileaks) Lainsäädännölliset keinot onko niitä kansainvälisellä tasolla? - Kansainvälisesti poikkeavat lähestymistavat - Ekosysteemin eri toimijoiden roolit ja rajat Mikko Manner Riskienhallintayhdistyksen seminaari

Lisätiedot

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41 Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät

Lisätiedot

T Henkilöturvallisuus ja fyysinen turvallisuus, k-04

T Henkilöturvallisuus ja fyysinen turvallisuus, k-04 T-110.460 Henkilöturvallisuus ja fyysinen turvallisuus, k-04 Ilkka Kouri Henkilöstöturvallisuus 28.1.2004: Henkilöstöturvallisuus yleisesti Henkilöstöturvallisuus Henkilöstöturvallisuus on osa yritysturvallisuutta

Lisätiedot

T Yritysturvallisuuden

T Yritysturvallisuuden T-110.260 Yritysturvallisuuden perusteet Henkilöstöturvallisuus 11.2.2004 Ronja Addams-Moring Teknillinen korkeakoulu Tietoliikenneohjelmistojen ja multimedialaboratorio http://www.tml.hut.fi/opinnot/t-110.260/

Lisätiedot

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT YT-neuvosto hyväksynyt 21.11.2007 Vahvistanut: kuntayhtymän johtaja Pentti Leipälä 4.1.2008 1. SÄÄNTÖJEN TARKOITUS 1 2. KÄYTÖN PERIAATTEET

Lisätiedot

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt Turun ammattikorkeakoulu 13.09.2005 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT Sisällysluettelo: 1 Sääntöjen tarkoitus... 2 2 Käytön periaatteet... 2 3 Käyttöoikeus ja käyttäjätunnukset... 4 4 Käyttöoikeuden

Lisätiedot

Tom Vapaavuori. Yrityssalaisuudet, liikesalaisuudet ja salassapitosopimukset

Tom Vapaavuori. Yrityssalaisuudet, liikesalaisuudet ja salassapitosopimukset Tom Vapaavuori Yrityssalaisuudet, liikesalaisuudet ja salassapitosopimukset Talentum Pro Helsinki 2016 2., uudistettu painos Copyright 2016 Talentum Media Oy ja tekijä Yhteistyössä Lakimiesliiton Kustannus

Lisätiedot

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1 Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin 12.12.2011 A-P Ollila 1 Taustaa Tiedon merkitys yhteiskunnassa ja viranomaisten toiminnassa korostuu kaiken aikaa. Viranomaisten

Lisätiedot

REKISTERÖIDYN TIEDONSAANTIOIKEUDET HENKILÖTIETOLAIN MUKAAN

REKISTERÖIDYN TIEDONSAANTIOIKEUDET HENKILÖTIETOLAIN MUKAAN 27. 28.5.2002 Liite 5. REKISTERÖIDYN TIEDONSAANTIOIKEUDET HENKILÖTIETOLAIN MUKAAN YLEINEN TIEDONSAANTIOIKEUS : REKISTERISELOSTE HENKILÖKOHTAINEN TIEDONSAANTIOIKEUS: - Rekisteröityjen informointi henkilötietojensa

Lisätiedot

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS TIETOSUOJAVALTUUTETUN TOIMISTO REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS Päivitetty 15.09.2010 www.tietosuoja.fi 2 Sisällysluettelo 1. Mistä informointivelvoitteessa on kysymys 3 2. Ketä informointivelvoite

Lisätiedot

Tapahtumat.infon käyttöehdot

Tapahtumat.infon käyttöehdot Tapahtumat.infon käyttöehdot Näitä verkkopalveluiden käyttöehtoja sovelletaan Tapahtumat.info:n (jäljempänä palveluntarjoaja) tuottamiin ja ylläpitämiin verkkopalveluihin. Verkkopalvelut tarkoittavat näissä

Lisätiedot

Salassapito- ja tietosuojakysymykset moniammatillisessa yhteistyössä Kalle Tervo. Keskeiset lait

Salassapito- ja tietosuojakysymykset moniammatillisessa yhteistyössä Kalle Tervo. Keskeiset lait Salassapito- ja tietosuojakysymykset moniammatillisessa yhteistyössä 7.5.2014 Kalle Tervo Keskeiset lait Laki viranomaisten toiminnan julkisuudesta (21.5.1999/621) Henkilötietolaki (22.4.1999/523) Laki

Lisätiedot

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.

Lisätiedot

SO 21 KILPAILULAINSÄÄDÄNNÖN HUOMIOON OTTAMINEN STANDARDOINNISSA

SO 21 KILPAILULAINSÄÄDÄNNÖN HUOMIOON OTTAMINEN STANDARDOINNISSA SISÄINEN OHJE SO 21 1 (5) SO 21 KILPAILULAINSÄÄDÄNNÖN HUOMIOON OTTAMINEN STANDARDOINNISSA Vahvistettu :n hallituksessa 2014-09-19 1 Toimintaohjeiden tarkoitus ja soveltaminen Näiden sisäisten toimintaohjeiden

Lisätiedot

T Henkilöstöturvallisuus ja fyysinen turvallisuus, k-04

T Henkilöstöturvallisuus ja fyysinen turvallisuus, k-04 T-110.460 Henkilöstöturvallisuus ja fyysinen turvallisuus, k-04 Ilkka Kouri Henkilöstöturvallisuus 10.2. 2005: Henkilöstöturvallisuuden käsitteet, tavoitteet ja hallintakeinot Henkilöstöturvallisuus Henkilöstöturvallisuus

Lisätiedot

TIETOSUOJA JA TIETEELLINEN TUTKIMUS

TIETOSUOJA JA TIETEELLINEN TUTKIMUS TIETOSUOJA JA TIETEELLINEN TUTKIMUS Tutkimuksen päätyttyä huomioitavat tietosuoja-asiat Ylitarkastaja Heljä-Tuulia Pihamaa Tietosuojavaltuutetun toimisto Tilastokeskus 6.5.2009, Helsinki LUENTOAIHEET Yleistä

Lisätiedot

MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA

MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA lukien toistaiseksi 1 (5) Sijoituspalveluyrityksille MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA Rahoitustarkastus antaa sijoituspalveluyrityksistä annetun lain

Lisätiedot

VALTIOVARAINMINISTERIÖ MÄÄRÄYS 4.6.2012 Henkilöstö- ja hallintopolitiikkaosasto OHJE VM/1007/00.00.00/2012 Valtion työmarkkinalaitos

VALTIOVARAINMINISTERIÖ MÄÄRÄYS 4.6.2012 Henkilöstö- ja hallintopolitiikkaosasto OHJE VM/1007/00.00.00/2012 Valtion työmarkkinalaitos VALTIOVARAINMINISTERIÖ MÄÄRÄYS 4.6.2012 Henkilöstö- ja hallintopolitiikkaosasto OHJE VM/1007/00.00.00/2012 Valtion työmarkkinalaitos Sisältöalue Virkasopimus Virkavapaus Karenssiaika Säännökset joihin

Lisätiedot

Tietoturvapolitiikka

Tietoturvapolitiikka Valtiokonttori Ohje 1 (6) Tietoturvapolitiikka Valtion IT -palvelukeskus Valtiokonttori Ohje 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa...

Lisätiedot

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman Turvallisuusselvityslaki ja käytännön toimijat Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman Supon ennalta estävä tehtävä Suojelupoliisin tulee lakisääteisen

Lisätiedot

Käyttöehdot, videokoulutukset

Käyttöehdot, videokoulutukset Käyttöehdot, videokoulutukset Edita Publishing Oy PL 700, 00043 NORDIC MORNING www.editapublishing.fi Asiakaspalvelu www.edilexpro.fi edilexpro@edita.fi puh. 020 450 2040 (arkisin klo 9 16) 1 Yleistä Tämä

Lisätiedot

IISALMEN KAUPUNKI KIINTEISTÖJEN KAMERAVALVONTA 19.2.2016 1. Matti Rönkkö tekninen isännöitsijä Iisalmen kaupunki / tilapalvelu

IISALMEN KAUPUNKI KIINTEISTÖJEN KAMERAVALVONTA 19.2.2016 1. Matti Rönkkö tekninen isännöitsijä Iisalmen kaupunki / tilapalvelu IISALMEN KAUPUNKI KIINTEISTÖJEN KAMERAVALVONTA Matti Rönkkö tekninen isännöitsijä Iisalmen kaupunki / tilapalvelu 19.2.2016 1 Iisalmen kaupungin tekninen keskus / tilapalvelu on asentanut tallentavan kameravalvonnan

Lisätiedot

Rekisteriasioista vastaava henkilö ja yhteyshenkilö. osoite: Teollisuuskatu 33, Helsinki. p

Rekisteriasioista vastaava henkilö ja yhteyshenkilö. osoite: Teollisuuskatu 33, Helsinki. p REKISTERISELOSTE 1 REKISTERISELOSTE Henkilötietolain (523/1999) 10 :n mukainen rekisteriseloste Rekisterinpitäjä FEON Oy Y-tunnus: 2733038-4 osoite: Teollisuuskatu 33, 00510 Helsinki kotipaikka: Helsinki

Lisätiedot

Sähköisen viestinnän tietosuojalain muutos

Sähköisen viestinnän tietosuojalain muutos Sähköisen viestinnän tietosuojalain muutos 24.04.2008 Hallituksen esitys sähköisen viestinnän tietosuojalain muuttamisesta yrityssalaisuudet, luvaton käyttö ja tietoturva 2 Hallitusohjelma hallitus edistää

Lisätiedot

1. Rekisterinpitäjä Rekisteriasioista vastaava henkilö Rekisterin nimi Rekisterin käyttötarkoitus... 2

1. Rekisterinpitäjä Rekisteriasioista vastaava henkilö Rekisterin nimi Rekisterin käyttötarkoitus... 2 Rekisteriseloste Sisällys 1. Rekisterinpitäjä... 2 2. Rekisteriasioista vastaava henkilö... 2 3. Rekisterin nimi... 2 4. Rekisterin käyttötarkoitus... 2 5. Rekisterin sisältämät tiedot... 2 6. Säännönmukaiset

Lisätiedot

Päästöluvan peruuttaminen ja toiminnanharjoittajan vaihtuminen. Päästökaupan ajankohtaispäivä Piia Kähkölä

Päästöluvan peruuttaminen ja toiminnanharjoittajan vaihtuminen. Päästökaupan ajankohtaispäivä Piia Kähkölä Päästöluvan peruuttaminen ja toiminnanharjoittajan vaihtuminen Päästökaupan ajankohtaispäivä 14.4.2015 Piia Kähkölä Päästöluvan peruuttaminen Päästölupien peruutukset: Yleistä Päästöluvan peruuttamisen

Lisätiedot

Tietoturvallisuusliite

Tietoturvallisuusliite Tietoturvallisuusliite [Yhteistyökumppanin nimi] STATUS Laatinut: Tarkastanut ja hyväksynyt: Versio no: Tiedoston nimi: Tallennushakemisto: Pvm SISÄLLYSLUETTELO Sisällysluettelo... 2 1 Määritelmät... 3

Lisätiedot

Rekisteriseloste. Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen asiakasrekisterin rekisteriseloste

Rekisteriseloste. Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen asiakasrekisterin rekisteriseloste Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen asiakasrekisterin rekisteriseloste Versiot Hyväksytty 1 Johtoryhmä 7.2.2012 2 Päivitetty 05.8.2016 SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERINPITÄJÄ

Lisätiedot

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TOIMITILAPÄIVÄ 21.3.2013 Johtava asiantuntija Fyysinen turvallisuus ja varautuminen Marko Kalliokoski Verohallinto 020 612 5192 etunimi.sukunimi@vero.fi

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi Järjestelyihin liittyviä asioita Tilatkaa

Lisätiedot

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta. Itä-Suomen yliopiston tietoturvapolitiikan liitteet 1/6 ITÄ-SUOMEN YLIOPISTON TIETOTURVAPOLITIIKAN LIITTEET LIITE 1: Tietoturvallisuuden vastuut ja organisointi Tässä liitteessä kuvataan tietoturvallisuuteen

Lisätiedot

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016

Lisätiedot

PÄÄASIALLINEN SISÄLTÖ

PÄÄASIALLINEN SISÄLTÖ Hallituksen esitys Eduskunnalle laiksi rikoslain muuttamisesta Esityksessä ehdotetaan tehtäväksi rikoslakiin muutokset, jotka aiheutuvat Suomen liittymisestä tarkastusten asteittaisesta lakkauttamisesta

Lisätiedot

Lapin yliopiston tietoturvapolitiikka

Lapin yliopiston tietoturvapolitiikka Lapin yliopiston tietoturvapolitiikka 2016 1 Vahvistettu Lapin yliopiston rehtorin päätöksellä 16.5.2016 Lapin yliopiston tietoturvapolitiikka Sisällysluettelo: 1. Johdanto... 2 2. Tietoturvapolitiikan

Lisätiedot

Ti5313500 Tietoturvan Perusteet : Politiikka

Ti5313500 Tietoturvan Perusteet : Politiikka Ti5313500 Tietoturvan Perusteet : Pekka Jäppinen 12. joulukuuta 2007 Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007 Ohjeistus/säännöt henkilöstölle kuinka toimia Kertoo mitä

Lisätiedot

Rekisteriseloste. Kehitysvammaisten asumispalvelujen asiakasrekisterin rekisteriseloste

Rekisteriseloste. Kehitysvammaisten asumispalvelujen asiakasrekisterin rekisteriseloste Rekisteriseloste Kehitysvammaisten asumispalvelujen asiakasrekisterin rekisteriseloste Versiot Hyväksytty 1 Johtoryhmä 7.2.2012 2 Päivitetty 05.8.2016 Rekisteriseloste SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERINPITÄJÄ

Lisätiedot

T Henkilöturvallisuus ja fyysinen turvallisuus, k-04

T Henkilöturvallisuus ja fyysinen turvallisuus, k-04 T-110.460 Henkilöturvallisuus ja fyysinen turvallisuus, k-04 Ilkka Kouri Henkilöstöturvallisuus 25.2.2004: Osaaminen ja avainhenkilöt Rekrytoinnin tarkistuslista... lähde:www.pk-rh.com Onko uuden työntekijän

Lisätiedot

Sopimusoikeus ja tietotekniikka. IT-sopimukset. Sopimuksesta yleistä. Mitä ovat IT-sopimukset. Suomessa yleiset sopimusehdot: IT2000

Sopimusoikeus ja tietotekniikka. IT-sopimukset. Sopimuksesta yleistä. Mitä ovat IT-sopimukset. Suomessa yleiset sopimusehdot: IT2000 IT-sopimukset Sopimusoikeus ja tietotekniikka Dosentti, OTT Tuomas Pöysti Helsingin yliopisto Neuvotteleva virkamies Valtiovarainministeriö IT-sopimukset Tietohallinnon sopimukset Tietoaineistoja koskevat

Lisätiedot

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ Liite E Salassapito- ja tietoturvasitoumus 1 (5) VERSIOHISTORIA Päivä Versio Kuvaus Tekijä 3.0 Tarjouspyynnön liitteeksi Hanketoimisto 2 (5) Salassapito-

Lisätiedot

Rekisteriseloste. Vanhusten ympärivuorokautisen hoidon ja hoivan asiakasrekisterin rekisteriseloste

Rekisteriseloste. Vanhusten ympärivuorokautisen hoidon ja hoivan asiakasrekisterin rekisteriseloste Vanhusten ympärivuorokautisen hoidon ja hoivan asiakasrekisterin rekisteriseloste Versiot Hyväksytty 1 Johtoryhmä 17.1.2012 2 Päivitetty 05.8.2016 SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERINPITÄJÄ 3. REKISTERIN

Lisätiedot

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Lappeenrannan kaupungin tietoturvaperiaatteet 2016 1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015

Lisätiedot

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan 10.12.2015 Hannele Kerola Lainsäädäntöneuvos Pääministeri Juha Sipilän hallituksen strateginen

Lisätiedot

SISÄLLYS. Esipuhe 11. Lyhenteet 13. Johdanto. Soveltamisala

SISÄLLYS. Esipuhe 11. Lyhenteet 13. Johdanto. Soveltamisala SISÄLLYS Esipuhe 11 1 Johdanto 2 Soveltamisala 3 Yhteistoiminnan Lyhenteet 13 15 1.1 Vuoden 1978 yhteistoimintalaki....................... 15 1.2 Uusi yhteistoimintalaki...............................

Lisätiedot

Datan avaamisen reunaehdot. Katri Korpela Projektipäällikkö 6Aika - Avoin data ja rajapinnat

Datan avaamisen reunaehdot. Katri Korpela Projektipäällikkö 6Aika - Avoin data ja rajapinnat Datan avaamisen reunaehdot Katri Korpela Projektipäällikkö 6Aika - Avoin data ja rajapinnat 19.1.2016 Perinteinen manuaalinen tietopalvelu 1. Asiakas kysyy/pyytää asiakirjoja käyttöönsä/ kopioita omaan

Lisätiedot

Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä

Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä 25.10.2016 m/s Silja Serenade Insevl Pekka Ylitalo Nimi Työ Osasto Roadmap since 90's Mikä on yritysturvallisuusselvitys Uudistetun turvallisuusselvityslain

Lisätiedot

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj Kyberturvallisuus toiminta Valtio Kyberturvallisuuden poliittinen ohjaus kuuluu valtioneuvostolle,

Lisätiedot

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 1 (6) 25.11.2015 Lappeenrannan kaupungin tietoturvapolitiikka 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0

Lisätiedot

HE 23/2007 vp. Esityksessä ehdotetaan muutettavaksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä

HE 23/2007 vp. Esityksessä ehdotetaan muutettavaksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä HE 23/2007 vp Hallituksen esitys Eduskunnalle sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain 25 :n muuttamisesta ESITYKSEN PÄÄASIALLINEN SISÄLTÖ Esityksessä ehdotetaan

Lisätiedot

Markus Äimälä Mika Kärkkäinen Yhteistoimintalaki Talentum Helsinki 2015

Markus Äimälä Mika Kärkkäinen Yhteistoimintalaki Talentum Helsinki 2015 Yhteistoimintalaki Markus Äimälä Mika Kärkkäinen Yhteistoimintalaki Talentum Helsinki 2015 3., uudistettu painos 2015 Markus Äimälä, Mika Kärkkäinen ja Talentum Media Oy Taitto: Marja-Leena Saari ISBN

Lisätiedot

Laki kuntoutuksen asiakasyhteistyöstä

Laki kuntoutuksen asiakasyhteistyöstä N:o 497/2003 Annettu Helsingissä 13 päivänä kesäkuuta 2003 Laki kuntoutuksen asiakasyhteistyöstä Eduskunnan päätöksen mukaisesti säädetään: 1 luku Yleiset säännökset 1 Lain tarkoitus ja soveltamisala Lain

Lisätiedot

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy. Tietoturvallisuuden kokonaisvaltainen hallinta 3.12.2015 Heikki O. Penttinen Castilsec Oy Tietoturvallisuuden päätavoitteet organisaatioissa Tietoturvallisuuden oikean tason varmistaminen kokonaisvaltaisesti

Lisätiedot

SELVITYS TIETOJEN SUOJAUKSESTA

SELVITYS TIETOJEN SUOJAUKSESTA 1 (5) Väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) 44 :n mukainen selvitys tietojen SELVITYS TIETOJEN SUOJAUKSESTA Määritelmät Tämä selvitys koskee

Lisätiedot

Lokipolitiikka (v 1.0/2015)

Lokipolitiikka (v 1.0/2015) KYS erityisvastuualue Etelä-Savon sairaanhoitopiiri Lokipolitiikka (v 1.0/2015) Sisällys 1 JOHDANTO... 2 2 HENKILÖTIETOJEN KÄSITTELYYN LIITTYVÄ LAINSÄÄDÄNTÖ... 2 3 LOKI JA LOKITIETO... 3 4 LOKITIETOJEN

Lisätiedot

Luo luottamusta Suojele lasta Jaana Tervo 2

Luo luottamusta Suojele lasta Jaana Tervo 2 Luo luottamusta Suojele lasta 16.11.2016 Jaana Tervo 2 1 Lasten suojelemisen yhteistyötä ohjaavat periaatteet sekä tiedonvaihtoa ja yhteistyötä ohjaava lainsäädäntö Suojele lasta Varmista lapsen aito osallisuus

Lisätiedot

Askolan kunnan henkilöstö-ja koulutussuunnitelma 2017

Askolan kunnan henkilöstö-ja koulutussuunnitelma 2017 Askolan kunnan henkilöstö-ja koulutussuunnitelma 2017 Yhteistyötoimikunta 30.1.2017 Kunnanhallitus1.2.2017 Sisällysluettelo 1 Yleistä 2 Perusteet henkilöstö- ja koulutussuunnitelman laatimiseen 3 Koulutuskorvauksen

Lisätiedot

Yksityisyyden suoja työsuhteessa

Yksityisyyden suoja työsuhteessa Yksityisyyden suoja työsuhteessa Yksityisyyden suoja työsuhteessa Talentum Media Oy Helsinki 7., uudistettu painos Copyright 2014 Talentum Media Oy ja Toimitus: Heidi Antinkari Taitto: Marja-Leena Saari

Lisätiedot

Verkostokehittäjät-hanke Tietosuoja ja tietoturvallisuus

Verkostokehittäjät-hanke Tietosuoja ja tietoturvallisuus Verkostokehittäjät-hanke 22.9.2016 Tietosuoja ja tietoturvallisuus 1 2 Esityksen sisältö Käsitteitä Juridiikkaa Miksi? Rekisteröidyn oikeudet Rekisterinpitäjän velvollisuudet Rekisterinpitäjän tarkistuslista

Lisätiedot

Tilastolain muutoksen vaikutukset aineistojen tutkimuskäyttöön. Seminaari 27.2.2014

Tilastolain muutoksen vaikutukset aineistojen tutkimuskäyttöön. Seminaari 27.2.2014 Tilastolain muutoksen vaikutukset aineistojen tutkimuskäyttöön Seminaari 27.2.2014 Tilastolain tarkoitus Lain tarkoitusta laajennettiin tilastotarkoituksen lisäksi koskemaan myös tietojen tutkimuskäyttö.

Lisätiedot

Korkeakoulujen valtakunnallinen tietovaranto: Tietosuojaseloste, looginen rekisteri

Korkeakoulujen valtakunnallinen tietovaranto: Tietosuojaseloste, looginen rekisteri RAkenteellisen KEhittämisen Tukena TIetohallinto Korkeakoulujen valtakunnallinen tietovaranto: Tietosuojaseloste, looginen rekisteri Korkeakoulujen ja opetus- ja kulttuuriministeriön yhteinen tietohallintohanke,

Lisätiedot

Yhdenvertaisuussuunnittelu. Erityisasiantuntija Panu Artemjeff Oikeusministeriö

Yhdenvertaisuussuunnittelu. Erityisasiantuntija Panu Artemjeff Oikeusministeriö Yhdenvertaisuussuunnittelu Erityisasiantuntija Panu Artemjeff Oikeusministeriö YES 7 -koulutus 9.2.2015 Panu Artemjeff 1 Uusi yhdenvertaisuuslaki Kaksi kärkeä: syrjinnän suoja ja yhdenvertaisuuden edistäminen

Lisätiedot

Alma Media Oyj Code of Conduct eettinen ohjeistus

Alma Media Oyj Code of Conduct eettinen ohjeistus Alma Media Oyj 2011 Code of Conduct eettinen ohjeistus Alma Median Code of Conduct -- eettinen ohjeistus Tämä eettinen ohjeistus koskee kaikkia Alma Median ja sen tytäryhtiöiden työntekijöitä organisaatiotasosta

Lisätiedot

KESKUSKAUPPAKAMARI Arvosteluperusteet LVV 5.9.2015 Välittäjäkoelautakunta

KESKUSKAUPPAKAMARI Arvosteluperusteet LVV 5.9.2015 Välittäjäkoelautakunta Tehtävä 1 Toimeksiantosopimuksen muotovaatimukset on säädetty laissa kiinteistöjen ja vuokrahuoneistojen välityksestä. Toimeksiantosopimus on tehtävä kirjallisesti tai sähköisesti siten, ettei sopimusehtoja

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 8. Luento Tietoturvallisuus Tiedon ominaisuudet

Lisätiedot

ASIAA TIETOSUOJASTA 4/ HENKILÖTIETOLAKI HENKILÖTIETOJEN KÄSITTELYN OHJAAJANA

ASIAA TIETOSUOJASTA 4/ HENKILÖTIETOLAKI HENKILÖTIETOJEN KÄSITTELYN OHJAAJANA Terveydenhuollon 28. atk-päivät, 27. - 28.5.2002 Ajankohtaista tietosuojasta / Liite 2 ASIAA TIETOSUOJASTA 4/1999 7.6.1999 HENKILÖTIETOLAKI HENKILÖTIETOJEN KÄSITTELYN OHJAAJANA Tietosuojavaltuutetun tehtävänä

Lisätiedot

sekä yksittäistä atk-laitetta tai -laitteistoa että niiden muodostamaa kokonaisuutta

sekä yksittäistä atk-laitetta tai -laitteistoa että niiden muodostamaa kokonaisuutta LIITE 2 Kotimaisten kielten tutkimuskeskuksen tietojärjestelmien ja tietoliikenneverkon käytön säännöt Sisältö 1. Yleistä 2. Käytön periaatteet 3. Käyttäjän asema 4. Käyttäjätunnukset ja salasanat 5. Asianmukainen

Lisätiedot

Yhteistoimintamenettelystä Ja muutosten hallinnasta

Yhteistoimintamenettelystä Ja muutosten hallinnasta Yhteistoimintamenettelystä Ja muutosten hallinnasta Asianajaja Teppo Laine 13.05.2014 ASIANAJOTOIMISTO LEGISTUM OY LIIKEJURIDIIKAN ASIANTUNTIJA www.legistum.fi Laki yhteistoiminnasta yrityksissä YHTEISTOIMINTALAKI

Lisätiedot

SALON SEUDUN AMMATTIOPISTON JÄRJESTYSSÄÄNTÖ

SALON SEUDUN AMMATTIOPISTON JÄRJESTYSSÄÄNTÖ SALON SEUDUN AMMATTIOPISTON JÄRJESTYSSÄÄNTÖ Hallitus 3.5.2015 64 1 1 Järjestyssäännön tarkoitus Järjestyssääntö luo edellytykset opiskelun kasvatuksellisten ja opetuksellisten tavoitteiden saavuttamiselle

Lisätiedot

SOPIMUS PALMIA-LIIKELAITOKSEN TIETTYJEN LIIKETOIMINTOJEN LUOVUTUK- SESTA HELSINGIN KAUPUNGIN [X] OY:N. välillä. [. päivänä kuuta 2014]

SOPIMUS PALMIA-LIIKELAITOKSEN TIETTYJEN LIIKETOIMINTOJEN LUOVUTUK- SESTA HELSINGIN KAUPUNGIN [X] OY:N. välillä. [. päivänä kuuta 2014] SOPIMUS PALMIA-LIIKELAITOKSEN TIETTYJEN LIIKETOIMINTOJEN LUOVUTUK- SESTA HELSINGIN KAUPUNGIN JA [X] OY:N välillä [. päivänä kuuta 2014] 1. OSAPUOLET 1.1 Luovuttaja Helsingin kaupunki (Palmia liikelaitos)

Lisätiedot

TYÖELÄKEVAKUUTUSMAKSUPETOS ESITUTKINNASSA

TYÖELÄKEVAKUUTUSMAKSUPETOS ESITUTKINNASSA TYÖELÄKEVAKUUTUSMAKSUPETOS ESITUTKINNASSA HTSY Verohallinto Päiväys Verohallinto 2 (5) TYÖELÄKEVAKUUTUSMAKSUPETOS ESITUTKINNASSA Työeläkevakuutusmaksupetos ja sen törkeä tekomuoto ovat rikosnimikkeitä,

Lisätiedot

Katutapahtumajärjestelmä (Winkki-järjestelmä) REKISTERIN VASTUUHENKILÖ JA REKISTERIASIOITA HOITAVAT HENKILÖT

Katutapahtumajärjestelmä (Winkki-järjestelmä) REKISTERIN VASTUUHENKILÖ JA REKISTERIASIOITA HOITAVAT HENKILÖT REKISTERISELOSTE 1(5) SISÄLTÖ WINKKI-JÄRJESTELMÄ 1 REKISTERIN NIMI 2 REKISTERINPITÄJÄ 3 REKISTERIN VASTUUHENKILÖ JA REKISTERIASIOITA HOITAVAT HENKILÖT 4 REKISTERIN KÄYTTÖTARKOITUS 5 REKISTERIN PITÄMISEN

Lisätiedot

Julkisuus ja tietosuoja oppilashuollon asioissa Hallintojohtaja Matti Lahtinen

Julkisuus ja tietosuoja oppilashuollon asioissa Hallintojohtaja Matti Lahtinen Julkisuus ja tietosuoja oppilashuollon asioissa 29.4.2011 Hallintojohtaja Matti Lahtinen 1 Julkisuutta ja tietosuojaa koskevia säädöksiä perusopetuksessa Perustuslaki (731/1999) 10 : Jokaisen yksityiselämä,

Lisätiedot

HE 220/2005 vp. kuuden kuukauden aikana ilmoita varauman säilyttämisestä taikka sen muuttamisesta, Esityksessä ehdotetaan, että Eduskunta hyväksyisi

HE 220/2005 vp. kuuden kuukauden aikana ilmoita varauman säilyttämisestä taikka sen muuttamisesta, Esityksessä ehdotetaan, että Eduskunta hyväksyisi HE 220/2005 vp Hallituksen esitys Eduskunnalle lahjontaa koskevaan Euroopan neuvoston rikosoikeudelliseen yleissopimukseen tehtyjen varaumien voimassaolon jatkamisen hyväksymisestä Esityksessä ehdotetaan,

Lisätiedot

Yleisten alueiden luparekisteri (Trimble Locus, elupa-järjestelmä, eservice)

Yleisten alueiden luparekisteri (Trimble Locus, elupa-järjestelmä, eservice) REKISTERISELOSTE 1(5) SISÄLTÖ TRIMBLE LOCUS ELUPAJÄRJESTELMÄ 1 REKISTERIN NIMI 2 REKISTERINPITÄJÄ 3 REKISTERIN VASTUUHENKILÖ JA REKISTERIASIOITA HOITAVAT HENKILÖT 4 REKISTERIN KÄYTTÖTARKOITUS 5 REKISTERIN

Lisätiedot

Markkinoiden väärinkäyttöasetusta koskevat ohjeet Markkinoiden tunnustelun vastaanottavat henkilöt

Markkinoiden väärinkäyttöasetusta koskevat ohjeet Markkinoiden tunnustelun vastaanottavat henkilöt Markkinoiden väärinkäyttöasetusta koskevat ohjeet Markkinoiden tunnustelun vastaanottavat henkilöt 10/11/2016 ESMA/2016/1477 FI Sisällysluettelo 1 Soveltamisala... 3 2 Viittaukset, lyhenteet ja määritelmät...

Lisätiedot

Electronic Frontier Finland ry

Electronic Frontier Finland ry Lausunto luonnoksesta hallituksen esitykseksi laiksi sähköisen viestinnän tietosuojalain muuttamisesta 17.8.2007 17.08.09 Electronic Frontier Finland ry www.effi.org 1. Yleistä Electronic Frontier Finland

Lisätiedot

REKISTERISELOSTE Henkilötietolaki (523/99) 10

REKISTERISELOSTE Henkilötietolaki (523/99) 10 REKISTERISELOSTE Henkilötietolaki (523/99) 10 Laatimispvm: 7.6.2011 Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä. 1. Rekisterinpitäjä Nimi Salon kaupunki liikuntapalvelut

Lisätiedot

POTILASASIAKIRJASSA OLEVAN TIEDON ANTAMINEN POTILAALLE

POTILASASIAKIRJASSA OLEVAN TIEDON ANTAMINEN POTILAALLE 17.3.2016 Dnro 1669/2/15 Ratkaisija: Oikeusasiamies Petri Jääskeläinen Esittelijä: Vanhempi oikeusasiamiehensihteeri Håkan Stoor POTILASASIAKIRJASSA OLEVAN TIEDON ANTAMINEN POTILAALLE 1 ASIA Tutkittavani

Lisätiedot

FINLANDIA-TALO Oy. REKISTERISELOSTE Kameravalvontajärjestelmä SISÄLTÖ

FINLANDIA-TALO Oy. REKISTERISELOSTE Kameravalvontajärjestelmä SISÄLTÖ FINLANDIA-TALO Oy REKISTERISELOSTE Kameravalvontajärjestelmä 19.11.2012 SISÄLTÖ 1 REKISTERIN NIMI 2 REKISTERINPITÄJÄ 3 REKISTERIN VASTUUHENKILÖ 4 REKISTERIASIOITA HOITAVA HENKILÖ 5 REKISTERIN KÄYTTÖTARKOITUS

Lisätiedot

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET Hall. 01.04.2014 Valt. 29.04.2014 1 Voimaantulo 01.07.2014 1 Lainsäädännöllinen perusta ja soveltamisala Kuntalain 13

Lisätiedot

Henkilötiedot ja tietosuoja kotipalveluyrityksissä

Henkilötiedot ja tietosuoja kotipalveluyrityksissä Henkilötiedot ja tietosuoja kotipalveluyrityksissä Valtakunnalliset kotityöpalvelupäivät 18.1.2013 Otto Markkanen, lakimies Asianajotoimisto Castrén & Snellman 1 TIETOSUOJA? YKSITYISYYS JA HENKILÖTIEDOT

Lisätiedot

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan 1(7) TYÖSSÄOPPIMINEN JA AMMATTIOSAAMISEN NÄYTTÖ Tutkinnon osa: Palvelujen käyttöönotto ja tuki Tutkinnon osaan kuuluvat opinnot: Työasemaympäristön suunnittelu ja toteuttaminen Kouluttaminen ja asiakastuki

Lisätiedot

Kunnan järjestämisvastuu, tietohallinto ja digitalisaatio. julkisoikeuden professori, IT-oikeuden dosentti Tomi Voutilainen Itä-Suomen yliopisto

Kunnan järjestämisvastuu, tietohallinto ja digitalisaatio. julkisoikeuden professori, IT-oikeuden dosentti Tomi Voutilainen Itä-Suomen yliopisto Kunnan järjestämisvastuu, tietohallinto ja digitalisaatio julkisoikeuden professori, IT-oikeuden dosentti Tomi Voutilainen Itä-Suomen yliopisto Tomi.Voutilainen@uef.fi 25.11.2015 1 Lähtökohta Tietohallintolaki

Lisätiedot

PUUTTUMISKEINO KUULEMINEN ILMOITTAMINEN KIRJAAMINEN TOIMIVALTA HUOM!

PUUTTUMISKEINO KUULEMINEN ILMOITTAMINEN KIRJAAMINEN TOIMIVALTA HUOM! 1 (6) PUUTTUMINEN JA OJENTAMINEN PERUSOPETUKSESSA Kasvatuskeskustelu ensisijaisena toimena, kun oppilas häiritsee opetusta tai muuten rikkoo koulun järjestystä, menettelee vilpillisesti tai kohtelee muita

Lisätiedot

VM 5/01/ Valtiovarainministeriö Hallinnon kehittämisosasto. Ministeriöille, virastoille ja laitoksille 1 LÄHTÖKOHDAT

VM 5/01/ Valtiovarainministeriö Hallinnon kehittämisosasto. Ministeriöille, virastoille ja laitoksille 1 LÄHTÖKOHDAT Valtiovarainministeriö Hallinnon kehittämisosasto VM 5/01/2000 19.1.2000 Ministeriöille, virastoille ja laitoksille Asia Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu- ja merkintäohje 1

Lisätiedot

PUUTTUMISKEINO KUULEMINEN ILMOITTAMINEN KIRJAAMINEN TOIMIVALTA HUOM! oppilaan huoltajille. Huoltajalle tulee varata mahdollisuus

PUUTTUMISKEINO KUULEMINEN ILMOITTAMINEN KIRJAAMINEN TOIMIVALTA HUOM! oppilaan huoltajille. Huoltajalle tulee varata mahdollisuus PUUTTUMINEN JA OJENTAMINEN PERUSOPETUKSESSA (LIITE POL 29 JA 35-36 ) PUUTTUMISKEINO KUULEMINEN ILMOITTAMINEN KIRJAAMINEN TOIMIVALTA HUOM! HÄIRITSEE OPETUSTA TAI MUUTOIN oppilaan huoltajille koulun opettaja

Lisätiedot

Yhdistyslaki pähkinän kuoressa. Mihin yhdistyslaki velvoittaa hallitusta?

Yhdistyslaki pähkinän kuoressa. Mihin yhdistyslaki velvoittaa hallitusta? Yhdistyslaki pähkinän kuoressa Mihin yhdistyslaki velvoittaa hallitusta? Yhdistyksen toimintaa säätelee Yhdistyslaki (26.5.1989/503) Tärkein yhdistyksiä ohjaava laki. Yhdistyksen kokous Ylin päätäntävalta

Lisätiedot

Tietoturvavastuut Tampereen yliopistossa

Tietoturvavastuut Tampereen yliopistossa Tietoturvavastuut Tampereen yliopistossa Hyväksytty Tampereen yliopiston Yliopistopalvelujen johtoryhmässä 10.5.2016 Korvaa 18.10.2002 hyväksytyn vastaavan dokumentin. Tulee voimaan hyväksymispäivänä.

Lisätiedot

28.9.2015. Mikäli tämän dokumentin vaatimuksista poiketaan, täytyy ne kirjata erikseen hankintasopimukseen.

28.9.2015. Mikäli tämän dokumentin vaatimuksista poiketaan, täytyy ne kirjata erikseen hankintasopimukseen. Turvallisuusohje 1 (5) 1 Turvallisuuden vähimmäisvaatimukset palveluntoimittajille Metsä Groupin tavoitteena on varmistaa turvallinen ja toimintavarma työympäristö joka päivä. Tavoite koskee niin Metsä

Lisätiedot

Yhteistoimintalaki. Aalto-yliopisto Juhani Kauhanen. Laki yhteistoiminnasta yrityksissä 2007/334

Yhteistoimintalaki. Aalto-yliopisto Juhani Kauhanen. Laki yhteistoiminnasta yrityksissä 2007/334 Yhteistoimintalaki Laki yhteistoiminnasta yrityksissä 2007/334 Aalto-yliopisto Juhani Kauhanen juhani.kauhanen@aalto.fi Tarkoitus Edistää yrityksen ja henkilöstön vuorovaikutuksellisia yhteistoimintamenettelyjä

Lisätiedot

Tampereen kaupungin paikkatietostrategia 2013 2015. Tampereen kaupunki

Tampereen kaupungin paikkatietostrategia 2013 2015. Tampereen kaupunki Tampereen kaupungin paikkatietostrategia 2013 2015 Tampereen kaupunki 28.3.2013 TAMPERE Tampereen kaupungin paikkatietostrategia 1 PAIKKATIETO JA PAIKKATIETOINFRASTRUKTUURI KÄSITTEENÄ Paikkatiedolla tarkoitetaan

Lisätiedot

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö Tietosisällön eheys Kimmo Janhunen kimmo.janhunen@om.fi Riskienhallintapäällikkö Oikeusrekisterikeskuski k 26.11.2014 Esityksen sisältö Tiedon merkitys - tiedon eheyden merkitys Määritelmät Lainsäädäntö

Lisätiedot

Harri Koskenranta 10.3. 2005

Harri Koskenranta 10.3. 2005 FYYSINEN TURVALLISUUS T-110.460 - Kalusteet Harri Koskenranta 10.3. 2005 Arvot Suojaustoimenpiteet Uhkat Tunnistetaan Luokitellaan Mitoitetaan Otetaan riski Analysoidaan 10.3. 2005 T-110.460 Koskenranta

Lisätiedot

Postiosoite. Kotipaikka. Nimi/muu yhteystieto Sähköpostiosoite Puhelinnumero. Nimi/muu yhteystieto Sähköpostiosoite Puhelinnumero

Postiosoite. Kotipaikka. Nimi/muu yhteystieto Sähköpostiosoite Puhelinnumero. Nimi/muu yhteystieto Sähköpostiosoite Puhelinnumero LIITE 2 TARJOUSTIEDOT JA TARJOAJAN SOVELTUVUUS Tarjouslomake, palautetaan täytettynä OHJEET TARJOAJALLE Seuraavassa tarjoajaa pyydetään yksilöimään tarjoajan tunnistetiedot (kohta 1) sekä ilmoittamaan

Lisätiedot

Julkaistu Helsingissä 15 päivänä kesäkuuta 2011. 634/2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta

Julkaistu Helsingissä 15 päivänä kesäkuuta 2011. 634/2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta SUOMEN SÄÄDÖSKOKOELMA Julkaistu Helsingissä 15 päivänä kesäkuuta 2011 634/2011 Laki julkisen hallinnon tietohallinnon ohjauksesta Annettu Helsingissä 10 päivänä kesäkuuta 2011 Eduskunnan päätöksen mukaisesti

Lisätiedot

Luottamushenkilöiden tiedonsaantioikeus ja saatujen tietojen edelleen välittäminen

Luottamushenkilöiden tiedonsaantioikeus ja saatujen tietojen edelleen välittäminen 8.11.2010 1(5) DocId: 145064 Luottamushenkilöiden tiedonsaantioikeus ja saatujen tietojen edelleen välittäminen Viimeaikaiseen keskusteluun ja yleisönosaston kirjoitteluun liittyen on syytä kerrata luottamushenkilöinä

Lisätiedot

OULUTECH OY YRITYSHAUTOMO 1(14) KYSYMYKSIÄ LIIKETOIMINTASUUNNITELMAN TEKIJÄLLE. Yritys: Tekijä:

OULUTECH OY YRITYSHAUTOMO 1(14) KYSYMYKSIÄ LIIKETOIMINTASUUNNITELMAN TEKIJÄLLE. Yritys: Tekijä: OULUTECH OY YRITYSHAUTOMO 1(14) KYSYMYKSIÄ LIIKETOIMINTASUUNNITELMAN TEKIJÄLLE Yritys: Tekijä: Päiväys: MARKKINAT Rahoittajille tulee osoittaa, että yrityksen tuotteella tai palvelulla on todellinen liiketoimintamahdollisuus.

Lisätiedot

Salassapitosopimukset. Varatuomari Krista Hytönen

Salassapitosopimukset. Varatuomari Krista Hytönen Salassapitosopimukset Varatuomari Krista Hytönen 29.10.2015 Mikä salassapitosopimus on? Non-Disclosure Agreement (NDA), Confidentiality Agreement. Sopimus, jossa osapuolet sopivat niistä ehdoista, joilla

Lisätiedot

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI TIETOSUOJAVALTUUTETUN TOIMISTO MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI Päivitetty 27.07.2010 www.tietosuoja.fi 2 Malli henkilötietojen käsittelyn/henkilörekisterin

Lisätiedot

Tietosuoja sosiaali- ja terveyden huollossa

Tietosuoja sosiaali- ja terveyden huollossa Tietosuoja sosiaali- ja terveyden huollossa tietohallintoylilääkäri Pirkko Kortekangas, VSSHP Lähi- ja perushoitajien alueellinen koulutuspäivä 19.10.2016 Tyks, T-sairaala, Haartman-Sali VSSHP Kehittämispalvelut

Lisätiedot

Kokonaisvaltainen turvallisuuden hallinta työpaikoilla

Kokonaisvaltainen turvallisuuden hallinta työpaikoilla Kokonaisvaltainen turvallisuuden hallinta työpaikoilla 15.11.2016 1 Työsuojelu strategia 2020 (STM) Kolmikannassa laaditut työympäristön ja työhyvinvoinnin linjaukset Tavoitetila - Ammattitautien määrä

Lisätiedot