Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Transkriptio

1 Vihdin kunnan tietosuoja- ja tietoturvapolitiikka Kunnanhallitus Kunnan johtoryhmä Sisällys 1 Johdanto Mitä tietosuoja ja tietoturvallisuus ovat? Tietosuoja on perustuslain suojaamaa yksityisyyden suojaa Tietoturvallisuus on osa kokonaisturvallisuutta Tietosuojan ja tietoturvallisuuden hallinta Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen Tietosuojatavoitteet Tietoturvallisuustavoitteet Organisointi ja vastuut Rekisterinpitäjät Tehtäväroolit Tiedon ja tietojärjestelmien käyttö Tietosuoja- sekä tietoturvaosaamisen (ja tietoisuuden) ylläpito Tietoturvallisuuden seuranta, ylläpito ja kehittäminen... 6

2 1 Johdanto Vihdin kunnan toiminta ja palvelut perustuvat enenevässä määrin tietoon. Tiedon hallintaa ja käyttöä tukevien prosessien ja järjestelyjen tulee toimia asianmukaisesti kaikissa tilanteissa. Tämä edellyttää tehokasta johtamista, luotettavia tietojen käsittelyn toteutuksia ja osaavaa henkilöstöä. Tietosuoja- ja tietoturvapolitiikassa kunnan johto määrittelee tietojen käsittelyä koskevat periaatteet, vastuut ja tavoitteet. Politiikka toimii perustana kunnan tietojenkäsittelyä koskeville ohjeille, joiden tehtävänä on tarkentaa politiikassa annettuja määräyksiä ja auttaa niiden käytäntöön soveltamisessa. Tietosuoja- ja tietoturvapolitiikka soveltamisohjeineen pidetään käyttäjien saatavilla kunnan intranetissä. Tietosuoja- ja tietoturvapolitiikka koskee kunnan koko organisaatiota sekä niitä kunnan sidosryhmien edustajia, jotka toimeksiantojensa puitteissa käsittelevät kunnan omistamaa tai hallinnoimaa tietoa. Politiikka kattaa kunnan käyttämän, omistaman ja hallinnoiman tiedon riippumatta tiedon esitystavasta, muodosta, suojaustasosta tai elinkaaren vaiheesta. 2 Mitä tietosuoja ja tietoturvallisuus ovat? 2.1 Tietosuoja on perustuslain suojaamaa yksityisyyden suojaa Tietosuojalla tarkoitetaan toimenpiteitä, joiden tarkoituksena on suojata henkilön yksityisyys henkilötietojen käsittelyssä. Näitä toimenpiteitä ovat muun muassa tietojen valtuudettoman saannin estäminen ja tietojen luottamuksellisuuden säilyttäminen sekä henkilötietojen suojaaminen valtuudettomalta tai henkilöä vahingoittavalta käytöltä. 2.2 Tietoturvallisuus on osa kokonaisturvallisuutta Kunnan kokonaisturvallisuus muodostuu useista osa-alueista, joihin kaikkiin liittyy myös tietoturvallisuuden ulottuvuus tai näkökulma (Kuva 1). Tietoturvallisuus on siksi kiinteä osa kunnan johtamista, palveluita ja toimintoja. Se ulottuu jokaisen työntekijän arkipäivän työtehtäviin ja työtapoihin. Kuva 1. Kunnan kokonaisturvallisuus 2/7

3 Tietoturvallisuuteen liittyvillä vastuutuksilla ja käytännöillä pyritään varmistamaan, että kunnan omistama ja hallinnoima tieto on oikeaa ja eheää, eikä muuttunut teknisen tai inhimillisen toiminnan seurauksena on vain siihen oikeutettujen saatavilla on saatavilla, kun sitä tarvitaan, ja siinä muodossa, jossa sitä tarvitaan Tähän liittyen tulee tiedon omistajuus ja käyttöoikeudet määritellä sekä huolehtia tiedon elinkaaren hallinnasta niin, että tietoon sen käsittelyn eri vaiheissa tehdyt muutokset voidaan tarvittaessa jäljittää ja todentaa. 2.3 Tietosuojan ja tietoturvallisuuden hallinta Hyvän tietosuojan ja tietoturvallisuuden aikaansaaminen ja ylläpito edellyttävät tietoista johtamista ja hyvän hallintotavan noudattamista kunnan kaikissa toiminnoissa. Tietosuojan ja tietoturvallisuuden osalta tämä kokonaisuus sisältää suunnitteluun, toteutukseen, seurantaan ja ohjaukseen liittyvät prosessit, asiakirjat, kontrollit ja vastuut. Kunnan tietoturvatyötä ohjaavat, soveltuvilta osin, mm. seuraavat viitekehykset: Kuntaa velvoittavat lait ja asetukset (mainittu tietosuojan ja tietoturvan soveltamisohjeissa) Tietosuojavaltuutetun toimiston ohjeet Julkisen hallinnon tietohallinnon neuvottelukunnan (JUHTA) suositukset Kunnan omat strategiat ja niistä johdetut vaatimukset Valtionhallinnon Tietoturvallisuuden johtoryhmän (VAHTI) ohjeet 2.4 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen Kunnan turvallisuusjärjestelyiden ja varautumisen perustan muodostavat kunnan riskienhallintapolitiikassa ja -suunnitelmissa kuvatut riskienhallinnan prosessit. Riskienhallinnan yleisenä tavoitteena on riskien tunnistaminen ja rajoittaminen hyväksyttävälle tasolle niin, että riskienhallintakeinot ovat suhteessa suojattavan kohteen kriittisyyteen ja riskin suuruuteen. Riskienhallinta kattaa myös tietoon kohdistuvat, tiedosta tai tietojen käsittelystä aiheutuvat sekä tietosuojaan liittyvät riskit. Kuva 2. Riskienhallintaprosessi standardin SFS-ISO mukaan 3/7

4 Kunnan tulee varautua turvaamaan toimintansa ja palveluidensa jatkuvuus normaalioloissa, normaaliolojen häiriötilanteissa sekä poikkeusoloissa. Varautumisen suunnittelussa kunnan tulee ottaa huomioon myös henkilötietojen, tietojenkäsittelyprosessien ja tietojärjestelmien turvaaminen. 3 Tietosuojatavoitteet Kunta noudattaa henkilötietojen käsittelyssä EU:n tietosuoja-asetusta sekä sitä täydentäviä kansallisen lainsäädännön määräyksiä. Tietosuojatoimien keskeisimpänä tavoitteena on asiakas- ja muiden henkilötietojen valtuudettoman saannin estäminen ja niiden luottamuksellisuuden säilyttäminen tiedon elinkaaren kaikissa vaiheissa. Tietosuojan kehittämistoimet kohdennetaan ja mitoitetaan riskiarvioinnin perusteella. 4 Tietoturvallisuustavoitteet Kunnan tavoitteena on saavuttaa Tietoturvallisuusasetuksen (681/2010, 5 ) kuvaaman tietoturvallisuuden perustason vaatimukset koko kunnan laajuisesti ja korotetun tason vaatimukset lainsäädännön edellyttämissä toiminnoissa tai toiminnan muutoin niin vaatiessa. 5 Organisointi ja vastuut 5.1 Rekisterinpitäjät 5.2 Tehtäväroolit Kunnanhallituksella on yleinen kehittämis-, johto- ja ohjausvastuu kunnan eri hallintokuntien toiminnasta ja sen lainmukaisuudesta. Henkilötietojen käsittelyyn liittyvien säädösten tarkoittama rekisterinpitäjä on se, jonka käyttöä varten henkilörekisteri perustetaan. Kunnassa rekisteritoimintojen laillisuudesta rekisterinpitäjänä vastaa aina kulloinkin kysymyksessä olevien tehtävien hoidosta säännösten ja määräysten mukaan vastuussa oleva viranomainen. Eri hallintokuntien osalta rekisterinpitäjinä toimivat pääsääntöisesti lautakunnat tai sitä vastaavat toimielimet, ellei kunnan toimintoja ja tehtävien hoitoa koskevista erityissäännöksistä muuta johdu. Kunnan keskeisimmät henkilötietojen käsittelyyn sekä tietoturvallisuuteen liittyvät toimijat ja tehtäväroolit vastuineen on määritelty seuraavassa. Jollei kunnan hallinto- tai muissa säännöissä ole toisin määritelty, kunnanjohtaja vastaa sopivimman henkilön nimeämisestä kuhunkin rooliin. Kunnanjohtaja toimii tietoturvallisuuden omistajana kunnassa luoden edellytykset niiden asianmukaiselle toteuttamiselle. Tarvittaessa kunnanjohtaja asettaa ryhmän seuraamaan tietoturvan ja tietosuojan toteutumista, tekemään kehitysehdotuksia sekä toimimaan toimialojen tietoturva- ja tietosuojavastaavien sekä järjestelmien pääkäyttäjien tukena. 4/7

5 Tietohallinto vastaa tietoturvallisuuden ja tarkoituksenmukaisen teknisen valvonnan toteutumisesta tietojärjestelmäympäristössä lain sallimin ja yhteistoimintamenettelyn valtuuttamin menetelmin. Tietosuojavastaava koordinoi tietosuojan kehittämistoimia, seuraa tietosuojasääntöjen noudattamista, antaa tietoja ja neuvoja, tarkastelee lokitietoja tarvittaessa, toimii rekisteröityjen yhteyshenkilönä tietosuoja-asioissa ja tekee yhteistyötä valvontaviranomaisten kanssa. Tietoturvavastaava vastaa tietoturvallisuuden toteutumisesta ja integroitumisesta muihin kokonaisturvallisuuden osa-alueisiin. Vastuuseen sisältyy tarvittava suunnittelu, ohjaus, tiedottaminen, seuranta ja kehittäminen sekä tietoturvariskien ja -poikkeamien hallinnan koordinointi. Tietoturvavastaava raportoi kunnanjohtajalle. Toimialan johto vastaa tietoturvallisuuden ja tietosuojan toteutuksesta johtamansa toiminnan osalta. Toimialakohtaiset tiedonhallintavastaavat huolehtivat toimialajohdon alaisuudessa tietosuojan ja tietoturvan toteutumisesta. He raportoivat toimialajohdon lisäksi tietoturvavastaavalle. Esimies vastaa tietoturvallisuuden ja tietosuojan toteutumisesta alaisessaan toiminnassa. Tiedon, tietojärjestelmän tai palvelun omistaja vastaa omistukseensa liittyvästä käyttäjien ja heidän käyttöoikeuksiensa määrittelystä ja hyväksynnästä käyttäjien ja pääkäyttäjän ohjeistamisesta lokienhallinnan periaatteista riskienhallinnan toteuttamisesta tiedon eheyden varmistamisesta tietojen luokittelusta (julkisuuden ja salassapidon määrittely sekä arkistonmuodostus) Tietojärjestelmän pääkäyttäjä vastaa tietojärjestelmän omistajan antamien sekä tietosuojaan ja tietoturvaan liittyvien ohjeiden mukaisesti käyttöoikeuksiin tehtävien muutoksien toteuttamisesta ja ilmoittamisesta tietojärjestelmän toiminnan valvonnasta lokienhallinnan käytännön toimista tietoturva- ja tietosuojaloukkausten ilmoittamisesta eteenpäin riskienhallintaan liittyvien toimenpiteiden toteuttamisesta Tiedon ja tietojärjestelmien käyttäjä vastaa omalta osaltaan määräysten ja ohjeiden noudattamisesta. Jokaisen käyttäjän vastuulla on lisäksi tietoturvaan ja tietosuojaan liittyvien poikkeamien, uhkien ja riskien ilmoittaminen viipymättä joko esimiehelle, pääkäyttäjälle, tietosuojavastaavalle tai tietotekniikan palvelupisteeseen (helpdesk). 5/7

6 6 Tiedon ja tietojärjestelmien käyttö Kunnan tietoja ja tietojärjestelmiä käytettäessä tulee noudattaa seuraavia tietoturvallisuutta edistäviä periaatteita ja sääntöjä: 1. Kunnan käytössä oleva tieto sekä tietojärjestelmät, tietotekniset laitteet ja ohjelmistot on tarkoitettu työtehtävien hoitamista varten. 2. Kunnan tietojärjestelmäympäristössä saa käyttää ainoastaan tietohallinnon hyväksymiä tietojärjestelmiä, laitteita ja ohjelmistoja. 3. Tietotekniset asennustyöt saa suorittaa vain tietohallinto tai sen valtuuttama taho. 4. Kunnan toimintaa ja palveluita tukevat tietojärjestelmät luokitellaan kriittisyyden perusteella ja niille nimetään omistaja. 5. Käyttöoikeudet kunnan tietoon ja tietojärjestelmiin myönnetään työtehtävien hoitoon tarvittavassa laajuudessa. Käyttöoikeudet hyväksyy hakemuksen perusteella tietojärjestelmän omistaja tai hänen valtuuttamansa taho. 6. Tietoturvallisuutta koskeviin laiminlyönteihin ja väärinkäytöksiin puututaan välittömästi kunnan normaalein kurinpidollisin keinoin tai lainsäädännön edellyttämällä tavalla. 7. Tiedon turvalliset käsittelytavat ja tietoturvapoikkeamien hallintakäytännöt kuvataan erillisissä ohjeissa. 7 Tietosuoja- sekä tietoturvaosaamisen (ja tietoisuuden) ylläpito Jokainen uudessa tehtävässä aloittava työtekijä perehdytetään tietosuojan ja tietoturvan perusteisiin ja siihen, miten tietojenkäsittely tulee huomioida hänen omissa työtehtävissään. Lisäksi tietosuojan ja tietoturvallisuuden peruskoulutusta on tarjolla säännöllisesti ja ohjeistus on kaikkien työntekijöiden saatavilla. Tietoturvallisuuden ja tietosuojan ylläpidosta, kehittämisestä ja johtamisesta vastaaville tarjotaan riittävä hallinnollinen ja tekninen koulutus. 8 Tietoturvallisuuden seuranta, ylläpito ja kehittäminen Kunnan kokonaisturvallisuutta tukeva tietoturvallisuustyö sisältää toiminnan, teknologian ja osaamisen jatkuvaa kehittämistä kuvassa 2 esitetyn prosessin mukaisesti. 6/7

7 Kuva 3. Kunnan kokonaisturvallisuusprosessi Tietoturvallisuustyön tulee olla suunnitelmallista ja käytännön toteutusten tulee vastata toiminnan tarpeisiin, lainsäädännön vaatimuksiin sekä kunnan riskienhallintatyössä asetettuihin muihin tavoitteisiin, ulkoiset toimintaolosuhteet huomioiden. Seurannan ja muutoshallinnan keinoin varmistetaan, että tietoturvallisuuteen liittyvät kokemukset, palaute ja muutokset vaatimuksissa tai olosuhteissa tulevat oikea-aikaisesti huomioon otetuiksi. Kunnan tietosuoja- ja tietoturvapolitiikka katselmoidaan vuosittain ja päivitetään tarvittaessa. Luetteloa tietosuojaan ja tietoturvaan liittyvistä laeista, asetuksista ja direktiiveistä pidetään yllä kunnan intranetissä. 7/7