METROPOLIA AMMATTIKORKEAKOULU TIETOTURVALLISUUDEN POLITIIKKA JA OHJEISTUS. Versio

Transkriptio

1 METROPOLIA AMMATTIKORKEAKOULU TIETOTURVALLISUUDEN POLITIIKKA JA OHJEISTUS Versio

2 METROPOLIA AMMATTIKORKEAKOULU... 1 TIETOTURVALLISUUDEN POLITIIKKA JA OHJEISTUS Hallinnolliset turvallisuustoimenpiteet ja johtaminen Tietoturvallisuusohjeistuksen tarkoitus ja tavoitteet Turvallisuusjohdon organisaatio Tietoturvavastuut Ydinliiketoiminta ja tietotekniikka, riippuvuus tietotekniikasta Tarve henkilöstön tietoturvaosaamisen ylläpitämiseksi Ulkoa ostetut tietotekniikkapalvelut, sopimukset Elintärkeät toiminnot ja palvelut Henkilötietorekistereistä laadittavat tietosuojaselosteet ja GDPR Raportointi johdolle Tietoturvallisuustoimenpiteet ja menettelyt Tietoaineistoturvallisuus Fyysinen turvallisuus Tietoliikenneturvallisuus Laitteistoturvallisuus Käyttöturvallisuus Ohjelmistoturvallisuus Tietoturvallisuustoimenpiteiden toteuttaminen hankintojen yhteydessä Tietoturvallisuuden seuranta, valvonta, tarkastus ja testaus Toiminnan jatkuvuuden varmistaminen kaikissa olosuhteissa Koulutus Suunnitelman päivitys ja toimenpiteiden ylläpito

3 1. Hallinnolliset turvallisuustoimenpiteet ja johtaminen 1.1 Tietoturvallisuusohjeistuksen tarkoitus ja tavoitteet Metropolian tietoturvallisuusohjeistus on jatkuvasti ylläpidettävä ja päivitettävä kokonaisuus, joka sisältää korkeakoulun ydintoiminnan tarpeista lähtevän pelkistetyn tietoturvapolitiikkaohjeistuksen (= tämä dokumentti) sekä siihen liitettävät ohjeet, kaaviot ja ohjelmistot. Ohjeistuksen avulla pyritään varmistamaan Metropolian elintärkeiden toimintojen jatkuvuutta tunnistamalla toimintaa uhkaavat riskit ja uhat sekä niiden vaikutukset, suunnittelemalla etukäteen niiden eliminointi- tai vaikutuksen vähentämistoimenpiteet sekä toipumistoimenpiteet. Ohjeistuksen sisältö seuraa pääpiirteissään Valtiovarainministeriön julkaisemaa tietoturvaperiaatteiden ja tietoturvakäytäntöjen rakennetta. Henkilökunnalle ja opiskelijoille on tietoturvapolitiikkaohjeistuksesta julkaistu tiivistetympi tietoturvaohje (löytyy sivustolta Turvallisuusjohdon organisaatio Metropoliassa kokonaisvastuu operatiivisen toiminnan turvallisuudesta kuuluu toimitusjohtaja-rehtorille ja huolehtimisvastuu talous- ja hallintojohtajalle. Turvallisuustoiminnan operatiivisesta johtamisesta ja kehittämisestä vastaa turvallisuuspäällikkö. Turvallisuusorganisaatio koostuu turvallisuusjohdosta ja turvallisuusryhmästä. Turvallisuusjohdon muodostavat toimitusjohtaja-rehtori, talous- ja hallintojohtaja, viestintäpäällikkö, tietohallintojohtaja, ensihoidon asiantuntija opintopsykologi ja opiskelijakunnan pääsihteeri. Turvallisuusjohdon puheenjohtajana on rehtori/toimitusjohtaja ja sihteerinä turvallisuuspäällikkö. Turvallisuusjohdon tehtävänä ja vastuulla on yleisen strategian luominen, turvallisuuden eri osa-alueiden koordinointi ja resursointi. Turvallisuustoiminnasta vastaa ja sitä johtaa toimitusjohtaja-rehtori. Muut turvallisuusjohdon jäsenet toimivat rehtorin päätöksenteon tukena. (Turvallisuusjohdon tehtävät on määritelty tarkemmin rehtorin päätöksessä 18, ). Turvallisuusryhmä hoitaa kiinteistökohtaista turvallisuustoimintaa. Turvallisuusryhmää johtaa turvallisuuspäällikkö ja siihen kuuluvat kiinteistökohtaiset turvallisuusvastaavat. 3

4 1.3 Tietoturvavastuut Tietoturvallisuus tarkoittaa tietojen käsittelyn turvaamista. Tietoturvallisuus rakentuu tiedon luottamuksellisuudesta, eheydestä ja käytettävyydestä sekä lisäksi soveltuvilta osin pääsynvalvonnasta ja kiistämättömyydestä. Tietoturvallisuus nähdään yleensä laajana kenttänä, johon tietojärjestelmien lisäksi kuuluvat myös mm. henkilöturvallisuus ja fyysinen tietoturvallisuus. Tietoturvan johtamisessa korostetaan ylimmän johdon vastuuta siten, että johdolla on oltava selkeä näkemys tietotekniikan roolista ydintoiminnoille, ja että noudatettava tietohallintostrategia on riittävän liiketoimintalähtöinen. Tämän vuoksi tietoturvasta (kuten muustakin turvallisuustoiminnasta) on viime kädessä vastuussa toimitusjohtaja-rehtori, mutta sen käytännön organisointi on tarkoituksenmukaisinta hoitaa tietohallinnossa. Tietohallintojohtaja raportoi tietoturvapolitiikasta toimitusjohtaja-rehtorille ja turvallisuusjohdolle. Koska henkilötietojen käsittelyyn liittyvät riskit voivat olla organisaation maineen kannalta suuria, ja niiden merkitys tietoturvassa on huomattava, on myös jokaisella työntekijällä ja opiskelijalla vastuu tietosuojasta ja -turvasta hänen käyttäessään Metropolian tietotekniikkaa ja tietoverkkoja. Tämän vuoksi eri toimintayksiköt Metropoliassa eivät voi ottaa omatoimisesti käyttöön esimerkiksi verkosta löytämiään ilmaisia sovelluksia. Jotta Metropolian tietohallinto voi tehdä aikana EU:n tietosuoja-asetuksen (General Data Protection Regulation, GDPR, 2016/679) mukaisen tietosuoja- ja tietoturvaominaisuudet kartoittavan ennakkoarvioinnin tälle ohjelmistolle tai järjestelmälle, tulee siitä aina ilmoittaa Metropolian tietohallinnolle. Metropolian tietohallinto pitää sivustollaan yllä listaa niistä GDPR-aikaisen tietosuoja ja -tietoturvaennakkotarkastuksen läpikäyneistä sovelluksista ja järjestelmistä, joita Metropolian opetustoimessa ja muissa organisaation yksiköissä on mahdollista turvallisesti käyttää. Vastuullisena rekisterinpitäjä Metropolian tietohallinto pitää yllä myös ajantasaista luetteloa (ns. henkilötietoinventaaria) kaikista omistamaansa henkilötietoa sisältävistä tietovarannoista. Henkilötietoinventaarin avulla Metropolian pystyy kartoittamaan toimintaprosessinsa ja arvioimaan myös kokonaisarkkitehtuurin kannalta oleellisimmat toimintonsa, tietovarantonsa sekä järjestelmien yhteensopivuuden niihin. Pyynnöstä Metropolian on rekisterinpitäjänä annettava Tietosuojavaltuutetun toimistolle GDPR:n artiklan 30 mukainen seloste käsittelytoimista. Tätä vaatimusta ei ole mahdollista toteuttaa ilman ajantasaista henkilötieto- ja käyttötarkoitusinventaaria. Johdon ja tietohallintoyksikön vastuulla on antaa henkilöstölle riittävät tiedot ja ohjeet tietosuojasta ja tietoturvasta. 4

5 1.4 Ydinliiketoiminta ja tietotekniikka, riippuvuus tietotekniikasta Metropolian ydintoimintaa on opetus- ja opiskeluprosessin toteuttaminen. Tieto- ja viestintätekniikan merkitys tässä ydinprosessissa on jatkuvasti kasvussa. Syitä tähän ovat mm. seuraavat: kriittiset opetuksen suunnittelun, toteutuksen ja opiskelijahallinnon prosessit tukeutuvat tietojärjestelmiin aikuisopiskelijoiden osuus kasvaa (ml. täydennyskoulutus, ylempi amk, työssä oppiminen osaksi opintoja jne.). Tämä lisää tietotekniikasta riippuvaa etäopiskelua sosiaalisen median (toisen www-sukupolven) käyttäjien tulo opiskelijoiksi henkilöstön etätyötarpeet ovat kasvussa Aika- ja paikka riippumattoman opiskelun osuus kasvaa KV-opiskelijoiden määrä (Suomessa ja Suomen ulkopuolella) kasvaa Kannettavien tietokoneiden, älypuhelimien ja langattomien yhteyksien käytön lisääntyminen luo haasteita tietoturvalle. Myös muiden uusien palvelujen sekä etäyhteyksien lisääntyvä tarve kasvattaa tietoturvallisuuteen liittyvien seikkojen painoarvoa. 1.5 Tarve henkilöstön tietoturvaosaamisen ylläpitämiseksi Tietohallinnon työntekijät Metropoliassa ovat yleensä viihtyneet työssään pitkään. Tämä on vähentänyt tietoturvariskiä. Tietoturvariskit kuitenkin tulevat jatkuvasti moninaisimmiksi ja tietoturvaosaamisen ylläpito vaatii jatkuvasti enemmän. Siksi tietohallinnon henkilöstön täydennyskoulutukseen on panostettava entistä enemmän myös tietoturva- ja tietosuoja-asioissa. Esimerkiksi GDPR:n artiklan 33 mukainen nopean reagoinnin velvollisuus on tunnistettava tietoturva- ja tietosuojapoikkeama-asioissa. (ks. tarkemmin erillisohje: Tietosuoja- ja tietoturvapoikkeaman käsittelyprosessi Metropolia AMK Oy:ssä 1.6 Ulkoa ostetut tietotekniikkapalvelut, sopimukset Koska tietotekniikkatuki ja tietoverkkojen ylläpito hoidetaan omana työnä, voidaan ylläpitää omaa osaamista, joka vähentää IT -riskiä. Toisaalta tietoturvaosaaminen ei välttämättä tällä toimintatavalla ole samalla tasolla kuin jos ulkopuolinen korkeatasoinen palveluntarjoaja hoitaisi kaikki tietotekniikkapalvelut. Tärkeimmille tietoliikennelaitteille on toistaiseksi voimassa oleva huoltosopimus. Tiettyjä laitetyyppejä pidetään pieni määrä varastossa vikatilanteiden varalta. Keskeisimmät ulkopuolisten toimittajien kanssa 5

6 solmitut palvelu- ja ohjelmistosopimukset on lueteltu erillisessä dokumentissa "Metropolian tietojärjestelmät sekä tietotekniikkasopimuskumppanit". Lisäksi keskeisimmät ulkopuolisten palvelu- ja järjestelmätoimittajien kanssa laaditut GDPR:n artiklan 28 edellyttämät henkilötietojen käsittelysopimukset on lueteltu erillisessä dokumentissa "Metropolian tietojärjestelmä - ja palveluntuottajien kesken solmitut henkilötietojen käsittelysopimukset. Niissä otetaan kantaa mm. aiemmin mainittuun tietoturva- ja tietosuojapoikkeamatapaukseen reagointivastuisiin 72h määräajan puitteissa. Niissä otetaan myös kantaa siihen, kuka on rekisterinpitäjä- ja kuka henkilötietojen käsittelijä -asemassa suhteessa käsiteltävään henkilötietoon. 1.7 Elintärkeät toiminnot ja palvelut Metropolian toiminnan kannalta tärkeitä ovat opetus- ja oppimisprosessin jatkuvuuteen vaikuttavat palvelut. Kriittisimpiä ovat tällöin tietoliikenneverkon (kattaen verkon, palomuurin, reitityksen, nimipalvelimen, kertakirjautumisen) ja opetusta palvelevien palvelinten toimivuus. Kriittiset järjestelmät ja niiden vastuuhenkilöt sekä lista kriittisistä sopimuskumppaneista on lueteltu erillisessä dokumentissa "Metropolian tietojärjestelmät sekä tietotekniikkasopimuskumppanit". 1.8 Henkilötietorekistereistä laadittavat tietosuojaselosteet ja GDPR Kunkin järjestelmän pääkäyttäjä on vastuussa EU:n tietosuoja-asetuksen ja kansallisen tietosuojalain määräämän tietosuojaselosteen tekemisestä ja päivittämisestä. Huomattavaa kuitenkin on, että GDPR-aikana tietosuojaselosteet kirjoitetaan loogisista henkilörekisterikokonaisuuksista (ei siis enää tietojärjestelmäkohtaisesti). Pohjana käytetään Metropolian tietosuojaselosteen mallipohjaa. Laadittu tietosuojaseloste tulee saattaa Metropolian tietosuojavastaavan tietoon (tietosuojavastaava@metropolia.fi) joka avustaa tarvittaessa selosteen laatimista. Julkisiksi tarkoitetut, esimerkiksi Metropolian opiskelijarekisterin ja asiakasrekisterin rekisteröidyille tarkoitetut tietosuojaselosteet tallennetaan Metropolian julkisten verkkosivujen GDPR ja tietosuoja -osioon. Siellä on kohta, josta löytyvät kaikki julkisiksi, rekisteröityjen informointivelvoitteeseen vastaavat tietosuojaselosteet. Metropolian Oma-portaalin GDPR ja tietosuoja -osioon tallennetaan eijulkiseksi tarkoitetut, organisaation sisäiseen käyttöön tulevat tietosuojaselosteet kuten Metropolian henkilöstöhallintorekisterin tietosuojaseloste ja Metropolian turvallisuusrekisterin tietosuojaseloste. Kaikkien tietosuojaselosteiden julkaiseminen tapahtuu keskitetysti tietosuojavastaavan kautta. 6

7 1.9 Raportointi johdolle Tietohallintojohtaja raportoi tietoturvatilanteesta johdolle ja turvallisuusjohdolle tarvittaessa. 2. Tietoturvallisuustoimenpiteet ja menettelyt 2.1 Tietoaineistoturvallisuus Tietosuoja Olennaisimmat lait, jotka säätelevät henkilökunnan ja opiskelijoiden tietosuojaa ja joiden perusteella Metropolian ylläpitohenkilöstö toimii, ovat seuraavat: Perustuslaki (731/1999) Yksityiselämän suoja 2.luku 10 - Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton. EU:n tietosuoja-asetus (GDPR) (2016/679) - säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta - suojellaan luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan Tietosuojalaki (1050/2018) - säädetään tietyissä kysymyksissä poikkeuksia ja täsmennyksiä EU:n tietosuoja-asetukseen Sähköisen viestinnän tietosuojalaki (516/2004, 125/2009) - Metropolia on yhteisötilaaja, koska käsittelee tietoverkossaan käyttäjien luottamuksellisia tietoja ja viestejä - tunnistamistietoja saa käsitellä siinä määrin kuin on tarpeen verkkopalvelun, viestintäpalvelun tai lisäarvopalvelujen toteuttamiseksi ja käyttämiseksi sekä näiden tietoturvasta huolehtimiseksi - muutettu v.2009 lain 13 : yhteisötilaajalla on oikeus käsitellä tunnistamistietoja mm. viestintäverkon tai viestintäpalvelun luvattoman käytön tai yrityssalaisuuksien paljastamisen ehkäisemiseksi ja selvittämiseksi. Tämän toiminnan aloittaminen vaatii kuitenkin yhteisötilaajalta useita tiedotus- ja ilmoittamisvelvollisuuksia ja muita toimenpiteitä ennen kuin luvatonta käyttöä voidaan alkaa selvittämään - mahdollisuus estää roskaposteja ja poistaa haittaohjelmia jos palvelut vaarantuvat - ei saa kuitenkaan vaarantaa sananvapautta eikä luottamuksellisen viestin tai yksityisyyden suojaa enempää kuin on välttämätöntä viestinnän turvaamiseksi 7

8 Laki yksityisyyden suojasta työelämässä (759/2004) - työnantajan on kerättävä työntekijää koskevat henkilötiedot ensisijaisesti työntekijältä itseltään - ohjeet työnantajalle kuuluvien sähköpostiviestien hakemisesta ja avaamisesta - ennen kuin voi avata posteja niin työnantajan hoidettava: 1) että työntekijä voi laittaa automaattisen poissaoloviestin ja ilmoittaa sijainen tai 2) ohjata viestit sijaiselle tai käytössänsä olevaan toiseen osoitteeseen tai 3) antaa suostumuksen että työnantajan hyväksymä toinen henkilö voi lukea postia - Tietyin edellytyksin (esim. jos työnantaja on huolehtinut edellisen kohdan toimenpiteistä ja työntekijän suostumusta ei ole mahdollista kohtuullisessa ajassa saada) työnantajan pääkäyttäjä voi ottaa selville onko työntekijälle poissaolon aikana tullut työnantajalle kuuluvia tärkeitä viestejä. Otsikkotietojen käsittelystä on tehtävä allekirjoitettu selvitys, joka on toimitettava työntekijälle - avaamisesta on laadittava siihen osallistuneiden henkilöiden (ainakin pääkäyttäjä + toinen henkilö) allekirjoittama selvitys - ohjeet kuolemantapauksessa Laki viranomaisten toiminnan julkisuudesta (621/1999) Viranomaisten asiakirjojen julkisuus 2.luku Viranomaisen hallussa olevat asiakirjat ja muut tallenteet ovat julkisia, jollei niiden julkisuutta ole välttämättömien syiden vuoksi lailla erikseen rajoitettu. Jokaisella on oikeus saada tieto julkisesta asiakirjasta ja tallenteesta Muut lait (mm): Rikoslaki 39/1889(38 luku Tieto- ja viestintärikoksista) Tekijänoikeuslaki Painovapauslaki Arkistolaki (831/1994) Hallintolaki (434/2003) Ammattikorkeakoululaki (932/2014 mm. luku 6:31, 38, 40 ; luku 10:65 ) Vahingonkorvauslaki (412/1974, luku 4; luku 5:5-6 ; luku 6) Työsopimuslaki (55/2001, luku 7:1-2 ; luku 8:1 ;) Esimerkkejä rikkomuksista Rikoslain alaisen materiaalin oikeudeton levittäminen rikoslain alaista materiaalia ovat esimerkiksi lapsiporno, eläimiin sekaantuminen, raaka väkivalta, rasistinen aineisto ja kansankiihottamismateriaali Tekijänoikeuslain alaisen materiaalin oikeudeton levittäminen Tekijänoikeuslain alaista materiaalia on esimerkiksi musiikki, videot, sarjakuvat, elokuvat, pelit ja ohjelmistot. 8

9 Tunnuksen luovuttaminen toiselle käyttäjälle Tunnuksen luovuttamista on esim. salasanan kertominen toiselle käyttäjälle tai istunnon auki jättäminen niin, että joku toinen pääsee valvomattomasti käyttämään toisen tunnusta. Tiedon luottamuksellisuuden vaarantaminen, esim. ei-julkiseksi luokitellun tiedon luovuttaminen henkilölle, jolla ei ole oikeutta saada sitä, esim. palvelinten käyttäjätietojen luovutus ei-julkiseksi luokitellun tiedon tietoturvan laiminlyönti, esim. puutteelliset suojaukset järjestelmässä, jossa tietoa käsitellään salassapitorikokset EU:n tietosuoja-asetuksen rikkominen, GDPR:n minkä vaan artiklan laiminlyönti voi johtaa vähintään rekisterinpitäjän mainehaittaan, pahimmillaan GDPR:n artiklan 83 mukaisesti Tietosuojavaltuutetun toimiston määräämään hallinnolliseen sakkoon. Henkilökohtaisen tietoturvan laiminlyönti, esimerkiksi salasanan jättäminen näkyviin. Varmuus- ja suojakopiointi Henkilökunta ohjeistetaan tallentamaan omat dokumenttinsa ja muu aineisto niihin hakemistoihin, joista otetaan säännöllisesti varmistussuunnitelman mukaiset varmuuskopiot (esim. OMA ja verkkolevyt). Aineistojen tallettamista yksinomaan käyttäjän oman koneen kovalevylle pyritään välttämään ja tästä on annettu ohjeistus. Tietojen tallettaminen työaseman kovalevylle (tai paikkaan, josta ei oteta varmuuskopioita) on henkilön omalla vastuulla. Kannettavien päätelaitteiden (ml. älypuhelimet) varmuuskopioinnista ja tietoturvasta vastaa kannettavan käyttäjä itse. Tietohallinto avustaa arkaluontoisen materiaalin suojaamisessa sekä salausohjelmien hankinnassa. Seuraavien tärkeimpien palvelinten tietokannat ja tiedostot varmistetaan: sähköpostipalvelimet kotihakemistopalvelimet nimi- ja hakemistopalvelimet sovelluspalvelimet virtuaalipalvelimet sellaisenaan 2.2 Fyysinen turvallisuus Palvelin- ja muut tietoliikennehuoneet on asiallisesti suojattu vesivahingoilta, sähkö- ja jännitehäiriöiltä sekä lämpötilan ja kosteuden vaihteluilta. Palvelinhuoneisiin on kulkuoikeus vain nimetyillä tietohallinnon henkilöillä. 9

10 Kiinteistöjen sähkönsyöttöä ei ole varmistettu paitsi Myllypuron kampuksella joka valmistuu Turvallisuusryhmä tekee toimipistekohtaisia sisäisiä turvallisuus- ja palotarkastuksia vähintään yksi (1) / kiinteistö ja /aina tarpeen mukaan. Tarkastuspöytäkirja liitetään turvallisuus- ja pelastussuunnitelman liitteeksi. Kulunvalvonta Pääosassa Metropolian kiinteistöjä on käytössä sekä kulunvalvonta että tallentava kameravalvonta. Henkilökunta saa henkilö- ja kulkutunnisteena toimivan kortin työsuhteen alkaessa. Henkilökunnan henkilö- ja kulkutunnistekortin kulkutunnisteiden luovuttamisesta ja vastaanottamisesta vastaavat kampusten aulapalvelutvahtimestarit. Henkilö- ja kulkutunnistekortin kulkutunnisteen vastaanottajan on todistettava henkilöllisyytensä ennen kortin kulkutunnisteen luovuttamista. Opiskelijat vastaavat itse oman tunnisteensa valinnasta ja rekisteröinnistä. Rekisteröinnin yhteydessä yhdistetään kulkutunniste ja opiskelijan käyttäjäidentiteetti. Työsuhteen päätyttyä henkilö- ja kulkutunnistekortti palautetaan sen kampuksen toimipisteen aulapalveluille vahtimestarille mistä se on kuitattu vastaanotetuksi. Opiskelijoiden kulkuoikeus poistuu opiskeluoikeuden päättyessä automaattisesti. Henkilökunnan henkilö- ja kulkutunnistekortin kulkutunnisteen katoamisesta tulee ilmoittaa välittömästi kampuksen toimipisteen aulapalveluille vahtimestarille. Opiskelijoita on kehotettu poistamaan kadonnut tunniste järjestelmästä rekisteröintipisteellä. Kameravalvonnan tallenteiden katseluoikeus on vain turvallisuuspäälliköllä. 2.3 Tietoliikenneturvallisuus Tietoliikenteen häiriöt vaikuttavat eniten Metropolian elintärkeisiin toimintoihin, koska ne voivat lamauttaa kaikki palvelut. Vakavat häiriöt voivat olla seuraavanlaisia: - Runkoverkon tai ulkoisten yhteyksien valokaapelin katkeaminen - Runkoverkon tietoliikennelaitteiden vikaantuminen - Verkon ylikuormittuminen joko tahallisen hyökkäyksen, asiattoman käytön, tai normaalin toiminnan johdosta. Runkoverkko on rakenteeltaan neljän runkopisteen muodostama vikasietoinen neliö. Runkopisteiden aktiivilaitteet ovat modulaarisia, joissa kaikki aktiivikomponentit ovat kahdennettuja. Muut toimipisteet liittyvät runkopisteisiin. Toimipisteiden yhteyksiä ei ole varmennettu. 10

11 Verkon toimintaa ja kuormitusta valvotaan niin että verkon häiriöihin voidaan puuttua jo ennakolta. Lisäksi valvonta auttaa suunnittelemaan verkon konfiguraatiomuutoksia ajoissa. Verkkolaitteiden konfiguraatiot varmuuskopioidaan automaattisesti joka yö. Ylläpidosta vastaavat seuraavat järjestelmien toimintaa, päivitystarvetta ja mahdollisia tietoturvaongelmia aktiivisesti. 2.4 Laitteistoturvallisuus Lähiverkon ja konesalien laitteilla on voimassa olevat takuut tai huoltosopimukset. Kriittisimmät palvelut on toteutettu vikasietoisesti siten, ettei yksittäisen komponentin vikaantuminen estä palvelun saatavuutta. Tuotantokäytössä käytetään vain tuettuja laitteita ja ohjelmistoja, sisältäen vähintään valmistajan tuen tietoturvapäivityksille. Verkkolaitteita on aina varmuusvarastossa yllättävien vikatilanteiden varalta. 2.5 Käyttöturvallisuus Ammattikorkeakoulun kiinteään verkkoon ei saa kytkeä omia laitteita ilman verkon ylläpitäjän myöntämää lupaa. Liittämisessä tulee noudattaa annettuja ohjeita. Käyttäjien omat laitteet kytketään pääsääntöisesti langattomaan vierasverkkoon. Salasanojen minimipituus on oltava 8 merkkiä (erikoismerkkien ja numeroiden käyttö on suositeltavaa, mutta ei saa käyttää skandeja). Salasanan vaihto tapahtuu selaimen kautta osoitteessa Kaikkien Metropolian tietoverkkoa ja tietojärjestelmiä käyttävien on hyväksyttävä Tietojärjestelmien käyttösääntö. Tämä on luettavissa tietohallinnon tukisivustolla Metropolia on hankkinut joitain internetpohjaisia pilvipalveluja. Näiden pilvipalveluiden käyttöönotto edellyttää, että käyttäjä ilmoittaa lukeneensa ja hyväksyneensä pilvipalveluiden käyttöehdot Metropoliassa ja suostuu seuraavien tietojensa siirtämiseen EU/ETA-alueen ulkopuolelle: nimi, sähköpostiosoite, rooli- ja ohjelmatiedot. Henkilökunnalta lisäksi nimike, yksikkö ja Metropolian yhteystiedot. Tietohallinnon työntekijät allekirjoittavat Tietojärjestelmien ylläpitosäännöt. Sähköpostin käsittelyssä noudatetaan Sähköpostin käsittelysääntöjä. 11

12 Kaikki ym. säännöt on luettavissa tietohallinnon tukisivustolla Säännöt noudattavat yliopistojen ja korkeakoulujen yhteisiä käytäntöjä, ja ne on hyväksytty yt- komiteassa. Opiskelijat ja henkilökunta saavat tunnukset tunnistauduttuaan verkkopankkitunnuksin tai mobiilivarmenteella. Mikäli ko. tunnistautuminen ei ole mahdollista, asioidaan virkailijan luona, jolloin henkilöllisyys tarkistetaan ennen tunnustietojen luovuttamista. Käyttäjä hyväksyy tietojärjestelmien käyttösäännön aktivoidessaan ensimmäisen kerran käyttäjätunnuksensa. Kaikilla käyttäjillä on käytössään henkilökohtainen tunnus ja salasana sekä pääsy avointen palvelujen lisäksi toimenkuvan edellyttämiin palveluihin. Erityistä painoarvoa on annettava yleisellä tasolla (mm. erillisinä tiedonantoina) sekä perehdyttämisen yhteydessä nk. Social engineering ongelmaa vastaan: tunnuksia, tietoja, avointa ohjelmistoa/työasemaa tai pääsyä suljettuun tilaan ei anneta ilman asiaankuuluvia tarkistuksia henkilöstä. Käyttäjähallinta Käyttäjähallinnassa noudatetaan korkeakoulujen yhteisen HAKAluottamusverkoston sääntöjä. Käyttäjähallinta (mm. kotiorganisaation käyttäjähallinnon kuvaus ja henkilökunnan sekä opiskelijoiden käyttäjätunnusten hankintaprosessit) on kuvattu tietohallinnon tukisivustolla: Henkilökunnan vastuut Jokainen opiskelija ja henkilökuntaan kuuluva on velvollinen varmistamaan että kiinteistöjen tilat (erityisesti atk-luokat ja laitetilat) ovat lukittu. Jokaisen on myös varmistettava, että laitteet ja ohjelmat on sammuttu/lukittu kun työpisteistä poistutaan. Tällä mm. voidaan estää asiaton ohjelman käyttö, asiaton urkkiminen tai tiedonsiirto. Henkilökunnalla on käytössään kuvallinen henkilökortti. Koska opiskelijoilla ei ole käytössä näkyvillä pidettäviä henkilön tunnistavia kulkukortteja, niin jokaisen henkilökuntaan kuuluvan velvollisuus on tarvittaessa tarkistaa tuntemattoman henkilön oikeus käyttää tiloja. Henkilökunnan tulee vastaanottaa vierailijat ja saattaa heidät ulos kiinteistön tiloista. Vierailijoiden valvontavastuu on kutsujalla. Sen lisäksi mitä käyttösäännössä on sanottu, on jokaisen opiskelijan ja henkilökuntaan kuuluvan ilmoitettava heti esimiehelleen/tietohallinnolle havaitsemistaan tietoturvallisuusriskeistä ja vaaratilanteista. 12

13 Henkilökunnan ja opiskelijoiden perehdyttämiseen sisällytetään tietoturvaan liittyvä osuus, jossa käydään läpi tietoturvaohje (löytyy tietohallinnon tukisivustolta: ). Koko henkilökunnan toivotaan myös suorittavan Tietoturvakurssin verkossa: Vastuu henkilökunnan opastamisesta on kullakin esimiehellä omien alaistensa osalta. 2.6 Ohjelmistoturvallisuus Tietohallintopalvelut huolehtivat ohjelmistojen päivityksistä Metropolian työasemiin, joihin ne jaetaan mahdollisimman nopeasti tietoturvajulkaisun jälkeen. Tietoturvapäivitykset Metropolian tietojärjestelmiin tehdään yhteistyössä ao. järjestelmän toimittajan suositusten kanssa. Kaikkien tietohallinnon tarjoamien palveluiden huoltotyöt suoritetaan huoltopolitiikan mukaisesti. Tietojärjestelmien käyttöönotot ja isommat huoltotyöt pyritään soveltuvin osin ajoittamaan opetuksettomaan tai toiminnan kannalta muutoin hiljaiseen aikaan. Lukuvuoden mittaan tehtävät pakolliset huoltotyöt suoritetaan kustannussyistä pääsääntöisesti arkisin, poikkeuksena pitkiä katkoja tai muutoin kohtuutonta haittaa laajalle käyttäjämäärälle aiheuttavat työt. Tärkeimmät laitteiden ja käyttäjän palveluiden saatavuutta valvotaan automaattisella valvontajärjestelmällä. 3. Tietoturvallisuustoimenpiteiden toteuttaminen hankintojen yhteydessä Uusien palvelujen ja sovellusten kehittämisen ja käyttöönoton yhteydessä suunnitellaan ja toteutetaan myös niiden tietoturva-, varmistus- ja toipumisratkaisut. Tietoturvaominaisuuksia käytetään myös valintakriteerinä valmisohjelmistojen hankinnassa. 4. Tietoturvallisuuden seuranta, valvonta, tarkastus ja testaus Tietohallinnossa käydään kerran vuodessa läpi tietoturvaan liittyvät asiat eli kaikki ohjeistuksessa olevat osa-alueet. Ohjeistus päivitetään vastaavasti. Tietoturvakartoituksia ja auditointeja teetetään ulkopuolisilla toimijoilla tarvittaessa. 13

14 5. Toiminnan jatkuvuuden varmistaminen kaikissa olosuhteissa Kaikilla tietojärjestelmillä pitää olla pääkäyttäjä ja hänellä varamies sekä tekninen ylläpitäjä ja hänellä varamies. Toipuminen erilaisista häiriöistä on kirjattu erilliseen Riskit, uhat ja niistä toipuminen - taulukkoon. Kriittisistä häiriöistä toipumista on harjoiteltava säännöllisesti. Toipumisharjoitusten aikataulu kirjataan em. taulukkoon. Jokaisen järjestelmän pääkäyttäjän on tehtävä suunnitelma miten toiminnan jatkaminen hoidetaan pitempiaikaisessa keskeytystilanteessa esim. manuaalisesti. Käyttäjien esimiesten tulee tarkistaa näiden vararutiinien järkevyys. Kaikista häiriöistä tiedotetaan välittömästi häiriön havaitsemisen jälkeen käyttäjille. Toipumisen jälkeen käyttäjille tiedotetaan toipumisen onnistumisesta sekä annetaan lyhyt selvitys häiriön syystä. Tarvittaessa käyttäjille annetaan myös väliaikatietoja. Metropoliaa rekisterinpitäjänä säätelee lisäksi GDPR:n artiklan 33 mukainen tietoturva- ja tietosuojapoikkeamatilanteen nopea tunnistamis- ja toimintavelvollisuus ( erillisohje: Tietosuoja- ja tietoturvapoikkeaman käsittelyprosessi Metropolia AMK Oy:ssä ). Tietojärjestelmien huoltotöistä tiedotetaan noin viikkoa ennen työn suorittamista. Huoltotöistä tiedotetaan tietohallinnon sivustossa ja kohdennetulla tiedotteella OMAintranetissä. Palvelun tai tietojärjestelmän pääkäyttäjä vastaa palvelukohtaisten erityispiirteiden viestinnästä tietohallintoon. Näitä ovat mm. tiedotuksen kohdentaminen ja mahdolliset rauhoitusajat. Rauhoitusaikana mahdollisesti tehtävistä pakollisista huoltotöistä sovitaan tapauskohtaisesti. Tekninen ylläpitäjä lähettää tiedoteluonnoksen tietohallinnon viestintäryhmälle, joka vastaa lopullisen tiedotteen laatimisesta ja kohdentamisesta. Poikkeusolojen toiminta pohjautuu toipumissuunnitelman varajärjestelmä-ratkaisuun (ml. manuaaliset ratkaisut) ja viranomaisilta saatavaan lisäohjeistukseen, koska toiminnan luonne poikkeusoloissa ei muutu eikä ole kriittistä. 6. Koulutus Tietoturvan perusasiat (Tietoturvallisuusohjeet tietojärjestelmien käyttäjille) käydään läpi uuden työntekijän perehdyttämiskoulutuksessa (myös tietojärjestelmien käyttösääntö). Kaikessa tietotekniikkaan liittyvissä henkilöstökoulutustilaisuuksissa käsitellään myös tietoturva-asioita. Koko henkilökunnan toivotaan myös suorittavan Tietoturvakurssin verkossa: Opiskelijoille käydään käyttösääntöön liittyvät asiat läpi opintoihin orientoitumisen yhteydessä. 14

15 Tietohallinnon ylläpitäjien koulutukseen on panostettava riittävästi. Tietohallinnon henkilöstön osaamista ylläpidetään mm. osallistumalla Funetin CERT- verkoston toimintaan ja sen järjestämiin koulutustilaisuuksiin. 7. Suunnitelman päivitys ja toimenpiteiden ylläpito Tämä ohjeistus katselmoidaan ja päivitetään kerran vuodessa valmiussuunnitelman mukaisesti. Vastuu katselmoinnista on tietohallintojohtajalla. Päivitetty dokumentti hyväksytään tuvallisuusjohdossa. Tietohallintojohtaja raportoi tietoturvatilanteesta johdolle normaalin toiminnan arvioinnin ja suunnittelun yhteydessä ja aina silloin kun on aiheellista. 15

16 Tätä asiakirjaa tukevat seuraavat dokumentit: Riskit, uhat ja niistä toipuminentaulukko (sisäinen dokumentti: wpage.action?pageid= Katselmointi ja päivitys Vastuu katselmoinnista 1 krt/vuosi Järjestelmäylläpidon päällikkö Hyväksyminen Tietohallintojohtaja Metropolian tietojärjestelmät ja tietotekniikkasopimuskumppanit 1 krt/vuosi Järjestelmäylläpidon päällikkö Tietohallintojohtaja Kotiorganisaation käyttäjähallinnon kuvaus tarvittaessa Järjestelmäylläpidon päällikkö Tietohallintojohtaja Tietojärjestelmien käyttösäännöt tarvittaessa Järjestelmäylläpidon päällikkö, tietohallintojohtaja Sähköpostin käsittelysäännöt tarvittaessa Järjestelmäylläpidon päällikkö, tietohallintojohtaja Tietojärjestelmien ylläpitosäännöt tarvittaessa Järjestelmäylläpidon Tietoturvarikkomusten seuraamuskäytäntö hallitus hallitus Tietohallintojohtaja päällikkö tarvittaessa Tietohallintojohtaja Rehtori Tietoturvaohje (henkilökunnalle ja opiskelijoille) Metropolia- ammattikorkeakoulun valmiussuunnitelma tarvittaessa Atk-palvelupäällikkö Tietohallintojohtaja 1 krt/vuosi Turvallisuuspäällikkö Turvallisuusjohto Tietosuojaselosteet tarvittaessa Järjestelmän Tietosuojavastaava pääkäyttäjä Tietosuojapolitiikka tarvittaessa Tietosuojavastaava Turvallisuusjohto 16