Tietoturvapolitiikka

Transkriptio

1 Tietoturvapolitiikka Toivakan kunta Tietoturvapolitiikan käsittely: Tarkastettu Hallintojohtaja Hyväksytty Kunnanhallitus Tietoturvapolitiikan muutokset: Tekijä / päiväys Kohta Muutoksen kuvaus Timo Kukkonen / Koko asiakirja Koko asiakirja

2 Tietoturvapolitiikka 1 (7) Sisällys 1. Johdanto Tietoturvallisuus Tavoitteet Kattavuus Tietoturvan seuranta ja valvonta Tietoturvallisuuden toteuttaminen Tietoturvan kehittämien Tietojärjestelmien käyttö Organisointi ja vastuut Tietoturvaan liittyviä lainsäädäntöä ja ohjeita... 7

3 Tietoturvapolitiikka 2 (7) 1. Johdanto Tietoturvapolitiikka on lähtökohtana Toivakan kunnan palveluiden turvallisen toteuttamisen ja tietoturvallisuuden valmiuden kehittämiselle. Tietoturvallisuutta koskevat vastuut, tavoitteet, toimintatavat ja periaatteet on määritelty tässä tietoturvapolitiikassa ja ne toimivat perustana Toivakan kunnan tietoturvallisuudelle. Tietoturvapolitiikka toimii myös perustana kaikille tietoturvallisuutta koskeville ohjeistuksille, dokumenteille ja tietoturvakäytännöille, joiden tehtävänä on täsmentää määritettyjä säädöksiä ja käytänteitä. Toivakan kunnan päivittäinen toiminta perustuu tietojärjestelmien ja tietoverkkojen luotettavaan ja turvalliseen toimintaan joten tietoturvauhkien huomioiminen ja niihin ennalta varautuminen on erittäin tärkeää kunnan toiminnan kannalta. Tietoturvapolitiikka koskee koko Toivakan kuntakonsernia, kaikkia kunnan luottamushenkilöitä, valtuutettuja, henkilöstöön kuuluvia, sekä palveluksesta erotettuja tai eronneita lainmukaisen vaitiolovelvollisuuden ajan. Tietoturvapolitiikka ja kaikki tietoturvaan liittyvät ohjeistukset on henkilöstön saatavilla yhteisellä verkkolevyllä ja kunnan intranetissä. 2. Tietoturvallisuus Tietoturvallisuus kattaa kaikenlaiset tietojenkäsittelytehtävät sisältäen myös toimistotyön tehtävät ja niihin sisältyvän arkistoinnin. Tietoturvallisuustoimet koskevat sähköisessä, puhutussa ja kirjallisessa muodossa olevan tiedon käsittelyä, luovutusta tai siirtoa. Toivakan kunnan tavoitteena on suojata ja varmistaa kunnan omistaman toiminnan kannalta tärkeän tiedon ja tietojärjestelmien saatavuus normaalitilanteissa, sekä poikkeusoloissa tietoturvallisuusasetuksen 681/2010 kuvaaman perustason mukaisesti. Tietoturvallisuus rakentuu tiedon: luottamuksellisuudesta eheydestä kiistämättömyydestä saatavuudesta Luottamuksellisuus tarkoittaa, että tiedot ovat vain niiden käyttöön oikeutettujen saatavissa. Näitä tietoja ei saa luovuttaa kolmansille osapuolille Eheydellä käsitetään tässä tapauksessa, että järjestelmät ja tiedot ovat luotettavia, oikeellisia, ajantasaisia ja vikasietoisia. Ongelmien ilmetessäkään järjestelmien ja tiedojen eheys ei vaarannu oli ongelman aiheuttaja sitten laitteisto- tai ohjelmistoperäinen, luonnontapahtumien tai inhimillisestä toiminnasta johtuvaa. Koska pääsyä tietoihin on rajattu, tieto on varmennettu, sekä pääsyä seurataan pitämällä lokia tiedostojen käyttäjistä. Saatavuus tarkoittaa, että tiedot ja tietojenkäsittelyjärjestelmät ovat käytettävissä ja käyttökelpoisia valtuutetuille käyttäjille, toiminnan kannalta hyväksyttävän ajan kuluessa.

4 Tietoturvapolitiikka 3 (7) Kiistämättömyys tarkoittaa todisteiden luomista sen varmistamiseksi, ettei yksikään tietojen käsittelyn tai siirron osapuoli voi jälkikäteen kiistää osuuttaan siihen. Tietoturvan hallintaa ohjaavat myös mm. seuraavat säädökset, lait, vaatimukset ja suositukset: Henkilötietolaki Sähköisen viestinnän tietosuojalaki Valtionhallinnon Tietoturvallisuuden johtoryhmän ohjeet (VAHTI) Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010) 3. Tavoitteet Tavoitteena on ylläpitää toimintavarmaa ja tietoturvallista ympäristöä noudattaen yleisesti hyväksi havaittuja tietoturvakäytäntöjä. Tärkein päämäärä tietoturvapolitiikalla on turvata kunnan tietoturva-aineisto, toiminnan kannalta välttämättömien tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, estää tietojen ja tietojärjestelmien valtuudeton käyttö, suojata tieto tuhoutumiselta ja vääristymiseltä, sekä minimoida vahingoista mahdollisesti aiheutuvat haitat. Tietojärjestelmien normaalitilanteen toiminnan jatkuvuuden turvaamisen lisäksi täytyy varautua myös poikkeustilanteisiin ja erityisolosuhteisiin, sekä niistä palautumiseen ennalta määritettyjen suunnitelmien, ohjeiden ja toimenpiteiden avulla. Tietojärjestelmät ovat varmistettu poikkeustilanteiden ja häiriöiden varalle siten, että mahdollisista keskeytyksistä ei aiheudu huomattavaa katkosta toimintaan, vaan palvelut toimivat ennalta määritetyn minitason mukaisesti. Esimiehien on huolehdittava työntekijöiden tietoturva- ja tietosuojaohjeisiin perehdyttämisestä ennen palvelusuhdetta ja sen aikana. Tietosuojaan kuuluvien tietosuojasäädösten ja sen mukaisten toimenpiteitten noudattamisella varmistetaan henkilön yksityisyyden suoja ja sitä turvaavien oikeuksien toteutuminen. Tärkeimmät päämäärät ovat: Tietoturvariskien vähentäminen ja niistä aiheutuvien vahinkojen minimointi Toimintaa vaarantavista riskeistä toipuminen Toiminnan kannalta tärkeiden tietojärjestelmien keskeytymättömän toiminnan turvaaminen Tietojärjestelmien ja niiden tietojen turvaaminen luvattomalta käytöltä, ulkopuolisilta tahoilta ja tuhoutumiselta ja vääristymiseltä

5 Tietoturvapolitiikka 4 (7) 4. Kattavuus Toivakan kunnassa käsitellään paljon luottamuksellista tietoa, kuten henkilötietoja, hallinnon asiakirjoja ja muita hallinnollisia dokumentteja. On erittäin tärkeää ettei luottamuksellista tietoa joudu tahattomasta tai tahallisesti asiattomien haltuun. Tietoturvapolitiikka kattaa myös kaikki toimistotyöhön liittyvät tehtävät ja niihin liittyvät luottamukselliset dokumentit. Tämä tietoturvapolitiikka annetaan tiedoksi kaikille kunnan työntekijöille, toimihenkilöille, sekä valtuutetuille ja se koskee jokaista joka työnsä, tai toimeksiantonsa puolesta käsittelee tai hallinnoi Toivakan kunnan omistamaa tietoa. Tietoturvapolitiikka määrittää tietoturvallisuutta tukevat toimintatavat ja ohjeet, joita henkilöstön tulee noudattaa ja näin huolehtia omalta osaltaan kunnan tietoturvasta. Jokainen on omalta osaltaan vastuussa tietoturvallisuuden toteutumisesta Toivakan kunnassa. 5. Tietoturvan seuranta ja valvonta Kunnan tietoturvallisuuden ylläpito tarvitsee jatkuvaa tietoturvapoikkeamien kartoittamista, uusien uhkien analysointia sekä mahdollisesti havaittujen puutteiden korjaamista. Tietoturvavastaava tekee säännöllisesti tietojärjestelmien tietoturvakartoituksia mahdollisten puutteiden havaitsemiseksi, sekä aloittaa korjaamiseen vaadittavat toimenpiteet tietoturvauhkien estämiseksi. Jokainen tietojenkäsittelyjärjestelmien käyttäjä on velvollinen noudattamaan johdon hyväksymiä käyttösääntöjä ja tietoturvaohjeita. Käyttäjien ja ylläpitäjien tulee ilmoittaa havaitsemistaan tietoturvallisuuden puutteista, tietoturvallisuuteen liittyvistä väärinkäytöksistä, tai epäilemistään tietoturvarikkomuksista esimiehelleen, tai tietoturvavastaavalle. Jokaisen esimiehen on valvottava oman yksikkönsä tietoturvallisuutta ja sen toteutumista. Tietoturvavastaava raportoi tietoturvallisuuteen liittyvistä puutteista, väärinkäytöksistä ja rikkomuksista Toivakan kunnan johtoryhmälle. Tietoturvavastaava raportoi myös vuosittain tietoturvallisuuden ja tietosuojan toteutuksesta johtoryhmälle. 6. Tietoturvallisuuden toteuttaminen Tämä kunnanhallituksen hyväksymä tietoturvapolitiikka on perustana Toivakan kunnan tietoturvan toteuttamiselle ja sen tietoturvaperiaatteet perustuvat yleisesti hyväksi havaittujen tietoturvaa ohjaavien ohjeiden, säädösten ja standardien noudattamiseen. Toivakan kunnan tietoturvan kehityksessä otetaan huomioon kulloinkin voimassa olevat lainsäädännöt ja ohjeistukset. Tämä tietoturvapolitiikka tuodaan koko Toivakan kunnan henkilöstön, toimihenkilöiden ja valtuutettujen tietoon. Tietoturvasuunnitelmassa kuvataan yksityiskohtaisesti tietoturvan toteuttaminen Toivakan kunnassa. Tietoturvan toteutuksessa tulee ottaa huomioon ne vaatimukset, joita palvelut ja tietojärjestelmät asettaa tietojenkäsitte-

6 Tietoturvapolitiikka 5 (7) lyn varmuudelle, käytettävyydelle, salassapidolle, laadulle ja toiminnan jatkuvuudelle sekä toimintaan kohdistuvien riskien arvioinnille. Asetettujen tietoturvallisuuden tavoitteiden saavuttaminen vaatii jatkuvia toimenpiteitä, joita hallinnollisten ja teknisten ratkaisujen avulla voidaan tukea. Käyttäjien toimintaa ohjataan toimintaohjeilla, tietoturvakoulutuksilla ja riittävällä perehdytyksellä. Jokaisella esimiehellä on tehtävä huolehtia työntekijöiden riittävästä tietoturvaosaamisesta. Jokaisen käyttäjän on allekirjoitettava käyttösitoumus, jossa käyttäjä sitoutuu noudattamaan Toivakan kunnan tietoturvaohjeita ja käytäntöjä. 7. Tietoturvan kehittämien Tavoitteena tietoturvan kehittämisessä on turvata tietojärjestelmät ja niiden sisältämät tiedot niihin kohdistuvilta uhkilta ja riskeiltä ja pyrkiä luomaan korkea tietoturvallisuustaso. Henkilöstön tietoturvaosaamisen jatkuva kehittäminen ja ylläpito koulutusten ja tiedottamisen avulla parantaa huomattavasti tietoturvallisuutta. Tietoturvan korkea taso saadaan varmistettua riskienhallintaa apuna käyttäen analysoimalla ja kartoittamalla mahdollisia tietoturvariskejä säännöllisesti. Toivakan kunnan tietoturvaa kehitetään ja ylläpidetään seuraamalla tietoturvallisuuteen liittyviä uutisvirtoja ja alan yleistä kehittymistä. 8. Tietojärjestelmien käyttö Toivakan kunnan tietojärjestelmät, tietoliikenneverkko ja sähköpostijärjestelmä on tarkoitettu ainoastaan työtehtävien hoitamiseen. Kunnan tietojärjestelmiä, tietoliikenneverkkoa tai sähköpostijärjestelmää ei tule käyttää yksityisten asioiden hoitamiseen. Käyttäjät ovat itse vastuussa tekemistään päätöksistä, jotka ovat Toivakan kunnan tietoturvaohjeistuksen, yleisen lainsäädännön tai salassapitosopimusten vastaisia. Luottamuksellista tietoa ei tule lähettää salaamattomana, vaan lähettämiseen tulee aina käyttää siihen tarkoitettua salattua sähköpostia. Tietojärjestelmiin liittyviä lokeja käytetään vain mahdollisien tietoturvaan liittyvien väärinkäytösten selvittämiseksi.

7 Tietoturvapolitiikka 6 (7) 9. Organisointi ja vastuut Toivakan kunnan tietoturvallisuuden kokonaisuudesta päättää kunnanhallitus. Kunnanhallitus myös päättää kokonaisturvallisuuden eri osa-alueiden mahdollisesta kehittämisestä ja nimeää tietosuojavastaavan. Tietoturvallisuuteen liittyvien keskeisten toimijoiden tehtävät ja vastuu on määritelty seuraavasti. Kunnanhallitus Hyväksyy tietoturvapolitiikan sekä siihen tehtävät muutokset. Seuraa tietoturvallisuuden toteutumista Toivakan kunnassa. Johtoryhmä Vastaa tietoturvaongelmiin liittyvien toimenpiteiden käynnistämisestä ja tietoturvallisuuteen liittyvien ohjeistusten ja suunnitelmien katselmoinnista ja käytäntöön viennistä. Valmistelee ja ohjaa tietoturvallisuuden toteutusta ja kehittämistoimenpiteitä. Esimiehet Vastaa tietoturvallisuuden toteutumisesta omassa yksikössään, sekä perehdyttää henkilöstön tietoturvaohjeisiin, käytettäviin tietojärjestelmiin ja niihin liittyviin tietoturvavastuisiin. Palvelusuhteen päättyessä palauttaa kunnan tiedon/omaisuuden ja ilmoittaa käyttöoikeuksien ja valtuuksien poistamisesta. Henkilöstö On vastuussa henkilötietojen turvallisesta käsittelystä (tietosuojalaki 523/1999), tietoturvaohjeiden noudattamisesta ja tietoturvapoikkeamien, riskien ja uhkien välittömästä ilmoittamisesta esimiehelleen tai tietoturvavastaavalle. Kiinteistönhoito Vastaa fyysisen tietoturvallisuuden toteutumisesta kiinteistöissä Tietoturvavastaava Vastaa Toivakan kunnan tietoturvasta kokonaisuudessaan saamiensa resurssien ja toimintavaltuuksien puitteissa. Raportoi tietoturvallisuuden toteutuksesta johtoryhmälle vuosittain. Tietosuojavastaava Vastaa henkilötietoja sisältävien rekisterien käyttöturvallisuudesta, valvonnasta ja suojauksesta sekä on mukana suunnittelemassa yrityksen tietosuoja-asioita. Raportoi tietosuojan toteutumisesta johtoryhmälle vuosittain. Tietosuojavastaava ei nimestä huolimatta ole kuitenkaan vastuussa tietosuojasta.

8 Tietoturvapolitiikka 7 (7) 10. Tietoturvaan liittyviä lainsäädäntöä ja ohjeita Arkistolaki (831/1994) Asetus viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999) Hallintolaki (434/2003) Henkilötietolaki (523/1999) Julkisuus ja tietosuoja opetustoimessa (opas koulujen ja oppilaitosten käyttöön 2013:7) Kansanterveyslaki (66/1972) Kuntalaki (365/1995) Laki julkisista hankinnoista (348/2007) Laki kansainvälisistä tietoturvavelvoitteista (588/2004) Laki kunnallisesta viranhaltijasta (304/2003) Laki potilaan asemasta ja oikeuksista (785/1992) Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000) Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) Laki sosiaali- ja terveydenhuollon palvelusetelistä (569/2009) Laki sähköisistä allekirjoituksista (14/2003) Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003) Laki terveydenhuollon ammattihenkilöstä (559/1994) Laki yksityisyyden suojasta työelämässä (759/2004) Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) Laki viranomaisen toiminnan julkisuudesta (621/1999) Laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista (661/2009) Perustuslaki (731/1999) Perusopetuslaki (628/1998) Rikoslaki (39/1889) Sosiaalihuoltolaki(710/1982) Sosiaali- ja terveysministeriön asetus potilasasiakirjoista (298/2009) Sähköisen viestinnän tietosuojalaki (516/2004) Tekijänoikeuslaki (4040/1961) Tietosuovaltuutetun toimiston ohjeet ja kannanotot Työsopimuslaki (55/2001) Valmiuslaki (1080/1991) Viestintämarkkinalaki (393/2003)