JOENSUUN KAUPUNGIN TIETOTURVASUUNNITELMA

Koko: px
Aloita esitys sivulta:

Download "JOENSUUN KAUPUNGIN TIETOTURVASUUNNITELMA"

Transkriptio

1 JOENSUUN KAUPUNGIN Kaupunginhallitus hyväksynyt: xx.yy.2015 Hyväksytty YT-toimikunnassa: xx.yy.2015 Käsitelty tietohallintoryhmässä Päivitetty: Päivittäjä: Pekka Penttinen, tietohallintopäällikkö

2 2 SISÄLTÖ 1. N TAUSTAA Yleistä Juridista taustaa HALLINNOLLISET TURVALLISUUSTOIMENPITEET JA JOHTAMINEN Tietototurvatoimenpiteiden arviointi Tietoturvariskien kartoitus ja arviointi Kaupungin tietoturvatoiminnan arviointi Tietoturvapoikkeamien hallinta Sopimukset TIETOTURVATOIMENPITEET JA MENETTELYT Tietoaineistoturvallisuus Käsiteltävän tietoaineiston tietosuoja Tietojärjestelmien kuvaus ja luokittelu sekä tietoaineistojen luokitus Tiedostojen, asiakirjojen ja muiden tietovälineiden säilytys Tietoaineistojen ja -järjestelmien varmuuskopiointi Tietoaineistojen arkistointi ja suojakopioiden säilytys Tarpeettomien tietojen hävittäminen turvallisesti Siirrettävien tietovälineiden tietoturva Asiakkaiden tietojen salassapito ja tietosuoja Oikeus järjestelmien tietoihin ja käytöstä kerättäviin tietoihin Henkilöstöturvallisuus Fyysinen turvallisuus Laitteistoturvallisuus Ohjelmistoturvallisuus Tietoliikenneturvallisuus Tietoliikennelaitteiston luettelointi Käytön- ja verkonvalvonta Ongelmatilanteiden kirjaus ja muutoksenvalvonta Tietoturvapoikkeamat tietoliikenteessä Käyttöturvallisuus Järjestelmien ylläpito Etätyön ja -käytön tietoturva Tietotekninen valvonta Käyttöoikeuksien hallinta Haittaohjelmistoilta suojautuminen Sosiaalinen hakkerointi ULKOISTETTUJEN TIETOJENKÄSITTELYTOIMINTOJEN TURVALLISUUS TIETOTURVATOIMENPITEET HANKINTOJEN YHTEYDESSÄ Järjestelmäkehityksen turvallisuus TIETOTURVAN SEURANTA, VALVONTA, TARKASTUS JA TESTAUS TIETOTURVAKOULUTUS TIETOTURVAN KEHITTÄMINEN SUUNNITELMAN PÄIVITYS JA TOIMENPITEIDEN YLLÄPITO RAPORTOINTI JOHDOLLE LIITE 1: AN LIITTYVÄT DOKUMENTIT... 23

3 3 1. N TAUSTAA 1.1. Yleistä Joensuun kaupungin tietoturvasuunnitelma perustuu kaupunginhallituksen hyväksymän tietoturvapolitiikan määrittelemiin linjauksiin ja periaatteisiin sekä koko toiminnan kannalta tehtävien riskikartoituksien tuloksiin. Suunnitelmassa viedään politiikassa määriteltyjä tietoturvan toteutusmenetelmiä käytännön toimenpiteiden asteelle, josta ne edelleen tarkennetaan järjestelmä- ja palvelukohtaisiksi toimintaohjeiksi, henkilöstön toiminta- ja käyttäytymisohjeistuksiksi, tietoaineistojen käsittelyohjeiksi sekä toimintaohjeiksi keskeytymistilanteista toipumiseksi. Tehtyjen ohjeiden, kuten myös itse tietoturvasuunnitelman, ajantasaisuus tarkistetaan vähintään kerran vuodessa. Tietoturvasuunnitelmassa kuvailluilla tietoturvatoimenpiteillä pyritään täyttämään ja noudattamaan säädettyjä lakeja, asetuksia ja standardeja sekä luomaan toimintaympäristö, jossa Joensuun kaupungin toiminnan kannalta olennaisin tieto, tietojärjestelmät, tietoliikenne, palvelut, henkilöstö sekä tietojen käytettävyys olisivat suojattuja ulkoisilta ja sisäisiltä tietoturvauhkilta Juridista taustaa Tietoturva tarkoittaa tietojen, palvelujen, järjestelmien ja tietoliikenteen suojaamista ja varmistamista niihin kohdistuvien riskien hallitsemiseksi lainsäädännöllisillä, hallinnollisilla, teknisillä ja muilla toiminnoilla sekä normaali- että poikkeusoloissa. Rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. (Henkilötietolaki (523/2004) 32, Tietojen suojaaminen.) Kaikissa tietojärjestelmätoiminnoissa tulee näiden ohjeiden lisäksi noudattaa yleisiä tietoturvatoimintoja ohjaavia säädöksiä, erikseen tehtyjä sopimuksia, EU-direktiivejä ja määriteltyjä standardeja. Yhtenä tietoturvapolitiikan perustana olevan hyvän tiedonhallintatavan määrittelee laki viranomaisten toiminnan julkisuudesta (621/1999) 18 : Viranomaisen tulee hyvän tiedonhallintatavan luomiseksi ja toteuttamiseksi huolehtia asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muista tietojen laatuun vaikuttavista tekijöistä sekä tässä tarkoituksessa erityisesti: 1. pitää luetteloa käsiteltäviksi annetuista ja otetuista sekä ratkaistuista ja käsitellyistä asioista tai muutoin huolehtia siitä, että sen julkiset asiakirjat ovat vaivattomasti löydettävissä;

4 4 2. laatia ja pitää saatavilla kuvaukset pitämistään tietojärjestelmistä sekä niistä saatavissa olevista julkisista tiedoista, jollei tiedon antaminen ole vastoin 24 :n tai muun lain säännöksiä; 3. selvittää tietojärjestelmien käyttöönottoa sekä hallinnollisia ja lainsäädännöllisiä uudistuksia valmisteltaessa suunniteltujen toimenpiteiden vaikutus asiakirjojen julkisuuteen, salassapitoon ja suojaan sekä tietojen laatuun samoin kuin ryhtyä tarpeellisiin toimenpiteisiin tietoon liittyvien oikeuksien ja tiedon laadun turvaamiseksi sekä asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen suojan järjestämiseksi; 4. suunnitella ja toteuttaa asiakirja- ja tietohallintonsa samoin kuin ylläpitämänsä tietojärjestelmät ja tietojenkäsittelyt niin, että asiakirjojen julkisuus voidaan vaivattomasti toteuttaa ja että asiakirjat ja tietojärjestelmät sekä niihin sisältyvät tiedot arkistoidaan tai hävitetään asianmukaisesti ja että asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen suoja, eheys ja laatu turvataan asianmukaisin menettelytavoin ja tietoturvajärjestelyin ottaen huomioon tietojen merkitys ja käyttötarkoitus sekä asiakirjoihin ja tietojärjestelmiin kohdistuvat uhkatekijät ja tietoturvatoimenpiteistä aiheutuvat kustannukset; 5. huolehtia siitä, että sen palveluksessa olevilla on tarvittava tieto käsiteltävien asiakirjojen julkisuudesta sekä tietojen antamisessa ja käsittelyssä sekä niiden ja asiakirjojen ja tietojärjestelmien suojaamisessa noudatettavista menettelyistä, tietoturvajärjestelyistä ja tehtävänjaosta, samoin kuin siitä, että hyvän tiedonhallintatavan toteuttamiseksi annettujen säännösten, määräysten ja ohjeiden noudattamista valvotaan. Arkistotoimen tehtävistä on voimassa, mitä arkistolaissa (831/1994) tai sen nojalla säädetään tai määrätään. Hyvän tiedonhallintatavan toteuttaminen liittyy keskeisesti säännösten puitteissa myös tietoturvan toteutumiseen. Tietoturvan suunnittelun yhteydessä on hyvän tiedonhallintatavan toteuttamiseksi laadittava selvityksiä, joista on määrätty asetuksella n:o 1030/1999 viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1 ): Viranomaisen on viranomaisten toiminnan julkisuudesta annetun lain (621/1999) kohdassa tarkoitettujen toimenpiteiden suunnittelua ja toteuttamista varten arkistolaissa (831/1994) tarkoitettua arkistonmuodostussuunnitelmaa hyväksi käyttäen selvitettävä ja arvioitava asiakirjansa ja tietojärjestelmänsä sekä niihin talletettujen tietojen merkitys samoin kuin asiakirja- ja tietohallintonsa. Toimenpiteiden tarvetta arvioitaessa on kiinnitettävä huomiota siihen, kuinka toteutetaan: 1. oikeus saada tietoja viranomaisten julkisista asiakirjoista; 2. velvollisuus tuottaa ja jakaa tietoja sekä antaa tietoja keskeneräisistä asioista; 3. henkilötietojen, erityisesti arkaluonteisten tietojen, suojaaminen; 4. salassa pidettäviksi säädettyjen tietojen suojaaminen; 5. tietojen käyttötarkoituksia koskevat rajoitukset; 6. tietojen käytettävyys, eheys ja laatu viranomaisen tehtävän hoidossa ja viranomaisten yhteistyössä; 7. tietojen laatu erityisesti käytettäessä niitä yksilöitä ja yhteisöjä koskevan päätöksenteon pohjana tai oikeuksien ja velvollisuuksien osoittajina. Hyvän tiedonhallintatavan toteuttamiseksi on lisäksi selvitettävä ja arvioitava tietojen saatavuuteen, käytettävyyteen, laatuun ja suojaan sekä tietojärjestelmien

5 5 turvallisuuteen vaikuttavat uhat sekä niiden vähentämiseksi ja poistamiseksi käytettävissä olevat keinot ja niiden kustannukset sekä muut vaikutukset. Viranomaisen on 1 ja 2 momentissa tarkoitettujen selvitysten perusteella arvioitava ja toteutettava tarvittavat toimenpiteet hyvän tiedonhallintatavan toteuttamiseksi. 2. HALLINNOLLISET TURVALLISUUSTOIMENPITEET JA JOHTAMINEN Hallinnollinen turvallisuus on tietoturvan osa-alue, joka käsittää kaupungin toimintalinjaukset, periaatteet, organisaatiojärjestelyt, henkilöstön tehtävien ja vastuiden määrittelyn, tietoturvaohjeistuksen ja - koulutuksen suunnittelun sekä tietoturvallisen toiminnan kehittämisen osaksi päivittäistä toimintaa. Lisäksi hallinnolliseen turvallisuuteen kuuluu tietoturvariskien kartoituksien järjestäminen säännöllisin väliajoin sekä muutostilanteissa (esim. uuden järjestelmän tai palvelun käyttöönotto) tarkoitukseen sopivilla työkaluilla ja menetelmillä. Joensuun kaupungin tietoturvalinjaukset ja -periaatteet on kirjattu kaupungin tietoturvapolitiikkaan, jonka kaupunginhallitus on hyväksynyt. Tietoturvapolitiikassa on kuvattu myös tietoturvaan liittyvät organisaatiojärjestelyt sekä henkilöstön tehtävät ja vastuut. Yleisemmät em. määrittelyt kuvataan hallintosäännössä. Listaus eri toimintaalueisiin liittyvistä tietoturvaohjeistuksista on kirjattu tämän dokumentin (Tietoturvasuunnitelma) liitteeksi. Tietoturvakoulutuksen järjestämisperiaatteet ja tietoturvatoiminnan kehittäminen on kuvattu tämän dokumentin luvuissa 8 ja Tietoturvatoimenpiteiden arviointi Joensuun kaupungissa toteutettavia tietoturvatoimenpiteitä arvioidaan kaksitasoisesti. Operatiivisella tasolla arviointia toteutetaan tietoturvariskien kartoituksella ja arvioinnilla, joiden avulla pyritään löytämään kaupungin käytännön toiminnantasolla ilmeneviä tietoturvapuutteita ja suunnittelemaan puutteita korjaavat toimenpiteet. Organisaatiotasolla arviointia tehdään tietoturvan hallinnan kypsyystason ja varautumistason määrittämisellä organisaation hallinnon ja sen eri IT-toimintojen puitteissa Tietoturvariskien kartoitus ja arviointi Tietoturvatoimet perustetaan vaatimuksiin, joita toiminta ja palvelut asettavat tietojenkäsittelyn varmuudelle, käytettävyydelle, salassapidolle, laadulle ja toiminnan jatkuvuudelle sekä toimintaan kohdistuvien riskien arviointiin. Tietoturvariskien kartoituksella ja arvioinnilla arvioidaan riskit, niiden todennäköisyydet ja riskien toteutuessa aiheutuvat menetykset sekä vaihtoehtoisten turvallisuustoimien kustannukset/haitat. Samalla hahmotetaan taloudellisesti ja toiminnallisesti edullinen ratkaisu. Tietoturvariskien kartoitus ja arviointi tehdään säännöllisin väliajoin ja liitetään esim. muuhun työpaikalla tehtävään riskienarviointiin. Kartoitus tehdään myös muutettaessa

6 6 oleellisesti toimintayksiköiden ICT-toimintaympäristöä, esim. valmisteltaessa merkittävien järjestelmien käyttöönottoa tai muutettaessa ICT-palvelujen järjestämistapaa tai mikäli kaupungin johto katsoo sen tekemiseen olevan erityistä syytä Kaupungin tietoturvatoiminnan arviointi Kuntien omistama Pohjois-Karjalan Tietotekniikkakeskus Oy (myöh. PTTK Oy) on määritellyt omassa tietoturvapolitiikassaan: Yhtiön yleisempänä päämääränä on saavuttaa KATAKRI 3 -standardin määrittelemä tietoturvan ja varautumisen perustaso kaikessa toiminnassaan sekä korotettu taso kriittisiksi määritellyissä toimintaprosesseissa, tietojärjestelmissä ja palveluissa. Tästä johdateltuna määriteltäessä Joensuun kaupungin kannalta kriittisiä toimintaprosesseja, tietojärjestelmiä tai palveluja käytetään ensisijaisesti periaatteita, jonka mukaan: - toimintaprosessit, tietojärjestelmät tai palvelut, jotka ovat Joensuun kaupungin kannalta kriittisiä, ovat kriittisiä myös PTTK Oy:n toiminnan kannalta. - kaikki muu em. kohtien ulkopuolelle jäävä toiminta saatetaan ICT-varautumisen perustasolle, josta niitä voidaan tapauskohtaisesti nostaa tarvittaessa korotetulle tasolle Pyrkimyksenä on saattaa Joensuun kaupungin ja PTTK Oy:n tietoturvatoiminnan kypsyys- ja varautumistasot vastaamaan toisiaan, minkä jälkeen Joensuun kaupunki voi yhdessä PTTK Oy:n kanssa vaatia vähintään samantasoista tietoturvatasoa yhteistyökumppaneiltaan sekä tulevissa hankinnoissa että sopimuksissa Tietoturvapoikkeamien hallinta Tietoturvallisuuteen poikkeamia aiheuttavat tilanteet voivat olla tahallisia tai tahattomia. Poikkeamien hallintaprosessi (kuva 1) on osa tietoturvan johtamisjärjestelmää ja riskien hallinnan osa-alue.

7 7 Kuva 1. Tietoturvapoikkeamien hallintaprosessi. Kaupungissa varaudutaan suunnitelmallisesti jo etukäteen suurimpiin riskeihin sekä suunnitellaan korjaavat toimenpiteet, toipuminen ja kriisiviestintä. Poikkeamien käsittely on osa normaalia toimintaa ja siihen liittyy määritelty prosessi. Tietoturvakäytännöt ja periaatteet (tietoturvasuunnitelma ohjeistuksineen) kuvaa kaupungin käytössä olevat erilaiset suojautumiskeinot ja menetelmät, joilla tietoturvallisuutta ylläpidetään. Vakaviin tietoturvaongelmiin liittyviä ja nopeaa reagointia vaativia toimenpiteitä koordinoi tietoturvavastaava, joka ongelmien ilmetessä alkaa toteuttaa välittömästi ennalta suunniteltuja menettelyjä tietoturvaongelmien poistamiseksi. Tietohallintopäällikön tehtäviin kuuluu tietoturvallisuuteen liittyvien suunnitelmien ja ohjeistuksien katselmointi ja käytäntöön vienti. Henkilöstöä koskevat ohjeistukset katselmoidaan ja hyväksytetään myös yhteistyötoimikunnassa ennen niiden käyttöönottoa Sopimukset Hankintojen yhteydessä voi olla tarvetta solmia erillinen turvallisuussopimus. Siinä määritetään mm. sopimusosapuolien kesken jaettavien tietojen suojausperiaatteet ja salassapitoajat. Sopimuksilla pyritään estämään tietovuotoja ja -varkauksia toimitusten yhteydessä tai niiden jälkeen sekä varmistamaan, että toimitus vastaa kaupungin tietoturvapolitiikkaa. Toimittajasta tehdään turvallisuusselvitys riippuen hankkeen tai palvelun kriittisyydestä.

8 8 3. TIETOTURVATOIMENPITEET JA MENETTELYT Tässä luvussa on käyty läpi, kuinka kaupungissa toteutetaan tietoturvaa sen eri osaalueilla ja millaisin toimenpitein Tietoaineistoturvallisuus Tietoaineistoturvallisuus on tietoturvan osa-alue, johon kuuluu: - käsiteltävän tietoaineiston tietosuoja - tietoaineistojen ja tietojärjestelmien luokitus ja luettelointi - tiedostojen, asiakirjojen ja muiden tietovälineiden säilytys - tietoaineistojen ja -järjestelmien varmuuskopiointi - tietoaineistojen arkistointi ja suojakopioiden säilytys - tarpeettomien tietojen hävittäminen turvallisesti - siirrettävien tietovälineiden tietoturva (levyke, CD, USB - muistit) Käsiteltävän tietoaineiston tietosuoja Joensuun kaupungissa käsitellään tietosuojan piiriin kuuluvaa tietoaineistoa, kuten henkilötietoja. Näiden tietojen tietosuojan toteutuminen varmistetaan tietoaineistojen luokituksilla, tietojen käsittelyn ohjeistuksilla tehdyn luokituksen mukaisesti, kyseisiä tietoaineistoja sisältävien tietojärjestelmien tarjoamilla suojauskeinoilla ja tietosuojakoulutuksilla arkaluonteista tietoa käsitteleville henkilöille. Lisäksi henkilörekistereitä sisältävistä järjestelmistä laaditaan julkisuuslain mukaiset tietosuojaselosteet. Henkilö- ja asiakastietojen käsittelyssä noudatetaan erityistä tarkkuutta ja tietojen lähettämisessä sähköisesti tulee käyttää suojattuja yhteyksiä, esimerkiksi suojattua sähköpostia Tietojärjestelmien kuvaus ja luokittelu sekä tietoaineistojen luokitus Tietojärjestelmien luettelointi ja luokittelu Joensuun kaupungissa käytettävät tietojärjestelmät luetteloidaan ja luokitellaan kaupungin toiminnan kannalta tärkeysjärjestykseen riskianalyysin avulla. Järjestelmien tärkeysluokkaan vaikuttavia tekijöitä ovat muun muassa niiden sisältämän tiedon tärkeysluokitus ja kunkin järjestelmän käytettävyysvaatimukset. Joensuun kaupungissa käytettävä järjestelmien luokitustapa pohjautuu PTTK Oy:n käyttämään luokitukseen: 1. Erittäin kriittiset Järjestelmä sisältää/välittää toiminnan kannalta erittäin kriittistä tietoa tai, käyttökatko voi olla enintään 2h, käytettävyys 99,5 % kuukaudessa 2. Kriittiset

9 9 Järjestelmä sisältää/välittää toiminnan kannalta kriittistä tietoa, käyttökatko voi olla enintään 4 tuntia, käytettävyys 99,0 % kuukaudessa 3. Tärkeät Järjestelmä sisältää/välittää toiminnan kannalta tärkeitä tietoja, käyttökatko voi olla enintään 8 tuntia arkipäivisin (korjausta jatketaan palveluajan ulkopuolella tarvittaessa), käytettävyys 95,0 % kuukaudessa 4. Normaalit Järjestelmä sisältää/välittää toiminnan kannalta tärkeitä tietoja, käyttökatko voi olla enintään 8 tuntia arkipäivisin (korjaus toteutetaan palveluaikana), käytettävyys 90 % kuukaudessa 5. Ei-kriittiset Järjestelmä ei sisällä/välitä toiminnan kannalta tärkeitä tietoja, käyttökatko voi olla enintään 2 vuorokautta (korjaus toteutetaan palveluaikana), käytettävyys 80 % kuukaudessa Tietoaineistojen luokitus Tietoaineisto voidaan jakaa julkiseen, julkaistavaan tai salassa pidettävään tietoon. Salassa pidettävä tieto on joko kokonaan tai osittain ja pysyvästi tai määräajan salassa pidettävää. Tietoturvatoimien oikean kohdistamisen vuoksi Joensuun kaupungilla käsiteltävät tiedot käydään läpi ja luokitellaan tiedonohjaussuunnittelun yhteydessä. Kaupungin eri yksiköiden käsittelemien tietojen luovutuksesta päättävät ne, joille on määritelty asiakirjan tai tietojen antamista koskeva päätösvalta. Luovutuksessa on otettava huomioon tietojen luokitus sekä julkisuuslain, henkilötietolain, potilaslain, asiakaslain ja muidenkin tietojen luovuttamiseen vaikuttavien säädösten ja määräysten asettamat ehdot Tiedostojen, asiakirjojen ja muiden tietovälineiden säilytys Normaaleihin työasioihin liittyvät tai niiden yhteydessä muodostuvat asiakirjat ja tiedostot tallennetaan verkkolevylle, asianhallintajärjestelmään tai muihin tietojärjestelmiin mahdollisuuksien mukaan päivittäin. Paperidokumentit skannataan tarvittaessa sähköiseen muotoon ja tallennetaan asianhallintaan tai johonkin muuhun tietojärjestelmään, minkä jälkeen paperiversiot tarvittaessa arkistoidaan. Tietoaineistojen asianhallintaan viemisen yhteydessä tehdään aineiston luokitus kohdan kuvaamalla tavalla ja tämän luokituksen perusteella voidaan määritellä ko. aineiston käsittely- ja säilytystavat. Muut tietovälineet kuten CD/DVD:t, videokasetit, jne. luetteloidaan ja luokitellaan ennen kuin ne laitetaan sopivaan säilytyspaikkaan. Joensuun kaupungin henkilökunnan omien tiedostojen tallennuspaikkana toimivat jokaisen työntekijän henkilökohtaiset työhakemistot, jotka sijaitsevat tähän käyttöön

10 10 tarkoitetulla verkkolevyllä. Työhakemistoihin liittyvät käytännöt on kirjattu erilliseksi ohjeistukseksi (käyttäjän tietoturvakäsikirja) Tietoaineistojen ja -järjestelmien varmuuskopiointi Asianhallintajärjestelmässä, muissa tietojärjestelmissä ja verkkolevyillä olevien tietoaineistojen varmuuskopiointi toteutetaan kyseiset toiminnot toteuttavien tietojärjestelmien varmuuskopiointien yhteydessä, joiden tarkempi suoritus on kuvattu järjestelmäkohtaisissa kuvauksissa Tietoaineistojen arkistointi ja suojakopioiden säilytys Kaupungin toiminnan yhteydessä muodostuvat tietoaineistot arkistoidaan asiakirjahallinnon ohjeen mukaisesti Tarpeettomien tietojen hävittäminen turvallisesti Tietoaineistojen luokittelun yhteydessä määritetään ko. aineiston säilytysaika, jonka jälkeen aineiston ja siihen liittyvän muun tiedon voi poistaa kaupungin tietojärjestelmistä. Tuhottavat paperidokumentit laitetaan niille erikseen varattuihin lukittuihin säiliöihin, joiden täyttyessä palvelua tarjoava turvayhtiö huolehtii säiliöiden noutamisesta ja dokumenttien tuhoamisesta. Kaupungin käytöstä poistuville/uuteen käyttöön menevien työasemien, kiintolevyjen ja muiden talletusmedioiden tietojenhävittämiselle on luotu PTTK Oy:n puolesta käytäntö, jota kaupungilla myös noudatetaan. Poistuvat tai uuteen käyttöön menevät työasemat sekä kiintolevyt käsitellään PTTK Oy:n toimesta käyttäen em. käytäntöjä Siirrettävien tietovälineiden tietoturva Yleisenä periaatteena on, ettei työtiedostoja ja -asiakirjoja viedä työpaikan ulkopuolelle eikä salaiseksi luokiteltua aineistoa luovuteta vastoin sovittuja ja lakisääteisiä luovutuskäytäntöjä. Salaiseksi luokitellun aineiston käsittelyssä tulee noudattaa erityistä varovaisuutta. Kuitenkin on tilanteita, jolloin mm. sähköisessä muodossa olevia työtiedostoja tarvitaan esim. koulutus-, esittely- tai kokoustilanteissa työpaikan ulkopuolella. Tällöin noudatetaan seuraavia periaatteita: - CD/DVD levyjä tai levykkeitä käytettäessä varmistutaan, ettei tietoväline tai sen sisältämä tieto joudu ulkopuolisten tahojen haltuun - USB-muistitikkua käytettäessä suositellaan käyttämään joko tikun omaa salausta tai erillistä salausohjelmaa Jos usb-tikun mukana ei tule salausominaisuutta, saa erillisen salausohjelman ja siihen liittyvän käyttökoulutuksen pyydettäessä PTTK Oy:ltä.

11 11 Älypuhelimet Älypuhelimiin voidaan nykyisin tallentaa merkittävät määrät tietoja, mikä merkitsee esim. puhelimen kadotessa todellista tietoturvauhkaa. Tämän vuoksi työtiedostojen ja salasanojen tallentaminen puhelimeen tai siinä olevaan erilliseen muistikorttiin ei ole sallittu. Työpuhelimet suojataan suojakoodilla ja muistikortit salasanalla. Älypuhelimet voidaan liittää PTTK Oy:n hallinnoimaan etähallintajärjestelmään, jonka avulla puhelin saadaan lukittua tai tyhjennettyä etänä laitteen katoamis-/varkaustapauksissa. Samalla henkilöstöä kehotetaan noudattamaan puhelinkäyttäytymisohjeistuksessa (käyttäjän tietoturvakäsikirja) mainittua erityistä varovaisuutta soittaessaan/vastatessaan työpuheluita työpaikan ulkopuolella olevissa julkisissa ympäristöissä Asiakkaiden tietojen salassapito ja tietosuoja Joensuun kaupunki noudattaa asiakkaidensa tietoaineistoja käyttäessään niitä salassapito- ja tietosuojamäärityksiä, joita kyseisiä asioita koskien on määritelty JHS 166 liitteen 2 (JIT 2007 Yleiset ehdot) luvun 26 kohdissa 1-6 sekä luvun 27 kohdissa 1-5. JHS 166 liite 2 (JIT 2007 Yleiset ehdot) 26 SALASSAPITO (1) Tilaaja noudattaa julkisyhteisönä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) sekä muussa lainsäädännössä olevia salassapitoa ja julkisuutta koskevia säännöksiä. (2) Sopijapuolet pitävät toisiltaan saamansa luottamukselliseksi merkityn tai muuten luottamukselliseksi tai liikesalaisuudeksi katsottavan aineiston salassa eivätkä käytä tietoja muihin kuin sopimuksen mukaisiin tarkoituksiin. Tilaajalla on kuitenkin velvollisuus noudattaa kohdan 26(1) mukaisia velvoitteitaan. Sopijapuolet vastaavat, että kaikki heidän palveluksessaan olevat samoin kuin alihankkijat noudattavat tätä määräystä. Sopijapuolella on oikeus vaatia perustellusta syystä erillisen salassapitositoumuksen allekirjoittamista niiltä toisen sopijapuolen tai tämän alihankkijan palveluksessa olevilta, jotka sopimuksen toteuttavat. Tämä määräys on voimassa myös sopimuksen päättymisen jälkeen. (3) Salassapitovelvollisuus ei koske tietoa, joka on yleisesti saatavilla tai julkista tai jonka sopijapuoli on saanut laillisesti haltuunsa muuten kuin toiselta sopijapuolelta. (4) Sopijapuolet huolehtivat omilla vastuualueillaan, että tietosuojaa ja salassapitoa koskevat säädökset ja viranomaisten antamat määräykset otetaan huomioon. (5) Jos sopimus tai toimeksianto päättyy tai purkautuu, sopijapuoli palauttaa tai toisen sopijapuolen suostumuksella hävittää toisen sopijapuolen luottamuksellisen aineiston. Aineistoa ei saa hävittää, mikäli laki tai viranomaisten määräykset vaativat säilyttämistä. (6) Sopijapuolella on oikeus käyttää toimituksen yhteydessä hankkimaansa ammattitaitoa ja kokemusta.

12 12 27 TIETOTURVA JA TIETOSUOJA (1) Toimittajan on noudatettava viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) tarkoitettua hyvää tiedonhallintatapaa sekä sopijapuolten mahdollisesti sopimia muita tietoturvajärjestelyjä tietoturvallisuudesta ja tietosuojasta huolehtimiseksi. (2) Toimittajan on huolehdittava, että sen omistamat laitteet sekä palvelutuotannon tilat on asianmukaisesti suojattu tietoturvariskejä vastaan ja että suojaukseen ja tiedonvarmistukseen liittyviä menettelyjä noudatetaan. Tilaajan on huolehdittava vastaavin tavoin omista tiloistaan. (3) Toimittaja noudattaa henkilötietolain (523/1999) edellyttämää hyvää tietojen käsittelytapaa ja tietojen suojaamista koskevia säännöksiä sekä muuta tietosuojaa koskevaa lainsäädäntöä. (4) Toimittaja huolehtii käsittelemiensä tietojen asianmukaisesta suojaamisesta laittoman tai tapaturmaisen häviämisen tai hävittämisen varalta. (5) Toimittaja ja tilaaja voivat erikseen sopia laite- ja ohjelmistotoimittajien tietoturvaan liittyvien päivitystoimenpiteiden toteuttamisesta. Toimittaja pyrkii seuraamaan aktiivisesti julkaistuja tiedotteita ja tekemään tilaajalle toimintasuosituksia tältä osin Oikeus järjestelmien tietoihin ja käytöstä kerättäviin tietoihin Tietoja kerättäessä ja käsiteltäessä noudatetaan lakia yksityisyyden suojasta työelämässä (759/2004) ja sähköisen viestinnän tietosuojalakia (516/2004) vuoden 2009 muutoksineen (125/2009). Kaupunki on järjestänyt tietojärjestelmät henkilöstön käyttöön kaupungin toimintaan kuuluvaa tiedonvälitystä varten. Näin ollen Joensuun kaupungilla on oikeus määrätä henkilöille annettujen, järjestelmien käyttöön oikeuttavien tunnusten käytöstä. Tietojärjestelmien tietoturvan valvonnan, tietojen varmistamisen ja toiminnan kehittämisen sekä tietojärjestelmien hallinnan tarpeisiin niiden käytöstä voidaan kerätä tietoja, jotka on kuvattu kyseisestä tietojärjestelmästä tehdyn selosteen yhteydessä. Tietojärjestelmien ja niiden sisällön turvallisuuden varmistamista sekä järjestelmien toiminnan ylläpitämistä varten niiden vastuuhenkilöillä on oikeus valvoa järjestelmien käyttöä ja tarvittaessa päästä käsiksi järjestelmien sisältämiin viesteihin ja muihin tietoihin sekä lukea, kopioida, siirtää ja tuhota niitä. Kaupungilla on tekijänoikeus kaikkiin palvelusuhteessa tai siihen verrattavissa olevan henkilöstön laatimiin, tietojärjestelmissä oleviin, kaupungin toimintaan liittyviin tietoihin ja viesteihin. Tietojärjestelmien tietojen ja viestien käyttö, kopiointi ja siirto on sallittu vain kaupungin toimintaan liittyvien tehtävien hoitamiseksi. Tietojärjestelmien käytöstä kerättävän tiedon (lokitiedot) säilytysaika vaihtelee mm. varmuuskopioiden säilytysaikojen tai muuten erikseen säädetyn mukaisesti.

13 Henkilöstöturvallisuus Henkilöstöturvallisuuden perustana on osaava ja sitoutunut henkilöstö, jolle tietoturvavastuut ja tehtävät on selkeästi kuvattu toimenkuvissa. Tietoturvan osalta toimenkuvat ja vastuut on kuvattu Joensuun kaupungin tietoturvapolitiikassa. Lisäksi tarvitaan riittävällä tasolla määritellyt prosessit, joissa kuvataan työtehtävät niin tarkasti, että avainhenkilöriskien syntyminen vältetään. Avainhenkilöriskien kartoituksessa ja hallinnassa tunnistetaan toiminnan kannalta avainhenkilöt sekä varmistetaan heidän käytettävyytensä organisaation palveluksessa eri tilanteissa. Näihin otetaan kantaa erityisesti toipumis-, varautumis- ja valmiussuunnittelun yhteydessä kuten myös VAP-varausten (vapautettu asepalveluksesta sodan aikana) tekemiseen, joka on osa riittävien henkilöresurssien varmistamista osana poikkeusoloihin liittyvässä valmiussuunnittelussa. Valmiussuunnittelussa otetaan huomioon lomat, poissaolot, työnkierto ja väliaikaisjärjestelyt riittävän hyvin sekä lisäksi valmennetaan henkilöstö poikkeusoloihin. Vaaralliset työyhdistelmät pyritään tunnistamaan ja poistamaan, jotta organisaation toiminnan suojaksi rakennettuja menetelmiä ei voida havaitsematta kiertää. Keskeisiä asioita ovat työhönottoon, toimenkuvien olennaisiin muutoksiin ja palvelussuhteen loppumiseen liittyvät prosessit. Tehtävien vaativuudesta tai luottamuksellisuudesta riippuen rekrytoitavan henkilön tausta, sopivuus ja osaaminen on selvitettävä ennen työhönottoa. Työhönoton yhteydessä henkilö allekirjoittaa työsopimuksen, johon sisältyy myös vaitiolositoumus ja viranhaltijan osalta asia huomioidaan virkamääräystä annettaessa.. Perehdytyksen yhteydessä tulee käydä läpi kaupungin tietoturvaohjeistus Fyysinen turvallisuus Fyysisen turvallisuuden tarkoituksena on turvata organisaation häiriötön toiminta kaikissa olosuhteissa niiden erityistarpeet ja riskit huomioon ottaen. Tähän tietoturvan osa-alueeseen kuuluvat mm. kulunvalvonta, kameravalvonta, muu tekninen valvonta ja vartiointi sekä palo-, vesi-, sähkö-, ilmastointi- ja murtovahinkojen torjunta. Lisäksi huomioidaan ovien lukitukset, paloturvakaapit, tietojärjestelmien sähkön saannin varmistaminen sekä henkilöiden, laitteiden ja aineistojen suojaaminen erilaisia tuhoja vastaan. Seuraavassa on lueteltu toimenpiteitä fyysisen turvallisuuden toteuttamiseksi. Tietojenkäsittely-ympäristön kehittäminen ja ylläpito Joensuun kaupungin tietojenkäsittely-ympäristön muodostavat laitteet, lähiverkko, tietoliikenneyhteydet ja ohjelmat sekä varsinaiset työtiedostot. Kaupungin päivittäisessä toiminnassa huolehditaan siitä, että tietojenkäsittely-ympäristön palvelutaso, automaatioaste, tehokkuus ja toipumiskyky erilaisista häiriöistä vastaavat jatkuvasti toiminnan tarpeita ja vaatimuksia. Laitetilat ja niiden sijainti Kaupungissa varmistutaan siitä, että tärkeät tietojenkäsittely- ja tietoliikennelaitteet (palvelimet, reitittimet, kytkimet) sijoitetaan omaan palo-, murto- ja vesivahingoilta turvassa olevaan tilaansa, jossa niiden riittävän häiriötön toiminta ja tarvittavien

14 14 tietovälineiden riskitön käsittely on varmistettu. Lisäksi huolehditaan, että laitteet ovat rakenteeltaan käyttötarkoitukseen sekä käyttöolosuhteisiin sopivat. Paloturvallisuus Laitteiden turvallisen sijoituksen lisäksi myös tietovälineitä säilytetään paloturvalliseen säilytykseen tarkoitetussa tietovälinekaapissa. Laitetilojen ulkopuolella syttyneen tulipalon aiheuttaman savun ja noen pääsy esimerkiksi keskusilmastoinnin kautta laitetiloihin ja laitteisiin estetään. Lisäksi huolehditaan riittävästä ja elektronisten laitteiden sammuttamiseen tarkoitetusta alkusammutuskalustosta ja henkilöstön alkusammutuskoulutuksesta. Murto-, varkaus- ja ilkivaltaturvallisuus Laitetilaan asennetaan hälytyksen siirrolla varustettu rikosilmoitinlaitteisto. Hälytys siirretään sellaiseen paikkaan, että kuori-, tila- ja kohdesuojauksen antaman ajan puitteissa voidaan saapua paikalle, ennen kuin vahinkoa on päässyt tapahtumaan. Vesivahinkoturvallisuus Varmistetaan, että tärkeät tietojenkäsittely- ja tietoliikennelaitteet sekä puhelinvaihteet on nostettu riittävän ylös lattiapinnasta, mikäli laitetiloissa on lattialle kertyvän vuoto- tai sammutusveden mahdollisuus. Lisäksi sprinklatuissa tiloissa laitteet sijoitetaan siten, ettei vikalaukeaminen kastele laitteita. Sähköilmiöturvallisuus Tärkeiden laitteiden virransyöttö suojataan ja varmistetaan UPS-laitteilla ja tieto- ja teleliikenneyhteydet varustetaan ylijännitesuojilla varsinkin taajamien ulkopuolella. Maakuntaan yhteinen toimintamalli yhdessä PTTK Oy:n kanssa. Virustorjunta Tietokonevirusten tunnistus- ja torjuntavalmiudesta huolehditaan PTTK Oy:n toimesta riittävän usein päivitetyn virustorjuntaohjelman sekä käyttäjille annettavien toimintaohjeiden avulla. Toimitilaturvallisuus Vähimmäisvaatimukset tilaturvallisuutta lisääville toimille ja järjestelmille määräytyvät turvallisuustarpeiden perusteella, jotka voi kohdistua alueeseen, rakennukseen, tilaryhmään tai tilaan. Usein toimitilojen hallinta ja turvallisuusjärjestelyjen toteutus on kiinteistöhallinnon tai rakennuksen omistajan tehtävä. Joensuun kaupunki nojautuukin em. turvallisuusalueiden toteutuksessa toimipistekohteisiinsa tehtyihin pelastus- ja turvallisuussuunnitelmiin, jotka kyseisten kiinteistöjen hallinnoija tai omistaja on niille tehnyt.

15 15 Taulukko 2. Tilaturvallisuusluokitusmallit Pääosa Joensuun kaupungin toiminnoista ja säilytettävästä omaisuudesta on sellaista, että niiden suojaus on järjestettävä vähintään turvallisuusvyöhykeluokan 4 toimenpitein. Hallinnollinen osa toiminnoista voidaan sijoittaa vyöhykkeen 3 alle. Konesalit palvelimineen ja tietoliikenteeseen liittyvät verkkotekniset laitetilat sijoittuvat vähintään vyöhykkeelle 2. Tärkeysluokituksen perusteella organisaatiolla on tilaturvallisuuden turvallisuusvyöhykeluokka, joka linjaa vähimmäisvaatimukset koko tilaturvallisuudelle. Turvallisuuskartoituksessa otetaan huomioon tiloissa säilytettävä tieto ja sen luokitus sekä tiloissa tapahtuva toiminta ja niihin kohdistuvat riskit. Turvallisuuskartoituksen perusteella alueille, rakennuksille, tilaryhmille, tiloille ja kohteille voidaan määritellä tästä poikkeava suojausluokka Laitteistoturvallisuus Laitteistoturvallisuudella tarkoitetaan laitteistojen suojausta, asennusta, ylläpitoa ja poistoa sekä niihin liittyvää hallinnointia, jossa määritellään laitteiden omistaja ja turvaluokka sekä laitteiden valvonta ja niiden kapasiteettien suunnittelu. Ylipäätään laitteistoturvallisuudella turvataan laitteiston elinkaarta, johon myös kuuluvat asennuksen, takuun ja ylläpidon lisäksi erilaiset tukipalvelut ja -sopimukset sekä laitteiston turvallinen poisto elinkaaren lopussa.

16 16 Kaupunki käyttää laitteiston elinkaareen liittyvissä palvelusopimuksissa palvelun tasoa määritteleviä rajoja ja vasteaikoja, joiden sopimisella voidaan vaikuttaa tietoturvatason ylläpidettävyyteen ja tietoturvapoikkeamiin reagointiin. Palvelusopimusten vasteaikoihin tukeutumalla voidaan vähentää varastoitavaa varalaitteistoa, mutta toisaalta riippuvuus toimittajan kyvystä toimia vasteaikojen puitteissa kasvaa Ohjelmistoturvallisuus Ohjelmistoturvallisuudella tarkoitetaan käyttöjärjestelmien, varus- ja työkaluohjelmistojen sekä muiden ohjelmistojen ja sovellusten tunnistamis-, suojausominaisuuksia, valvonta- ja lokimenettelyjä sekä ohjelmistojen ylläpitoon ja päivitykseen liittyviä turvallisuustoimenpiteitä. Ohjelmistojen turvallisuutta ylläpidetään ohjelmistojen käytönaikaisien ja ohjelmiston palvelualustan (käyttöjärjestelmän ja mahdollisten väli- ja apuohjelmistojen) turvaasetusten määrittelyllä sekä käyttäjien koulutuksella ja ohjeistuksella. Ohjelmistoturvallisuutta toteutetaan myös muita teknisiä turvakeinoja käyttämällä. Käyttäjien ja muiden ohjelmien pääsyä ohjelman sisältämään tietoon rajoitetaan tietoverkon eriyttämisellä, parantamalla ohjelmistoympäristön turvallisuutta. mm. turvapäivityksiä ja -ohjelmia asentamalla sekä käyttämällä järjestelmien turvaominaisuuksia Tietoliikenneturvallisuus Tietoliikenneturvallisuuteen sisältyvät mm. tietoliikennelaitteiston kokoonpano, luettelointi, ylläpito ja muutosten valvonta, ongelmatilanteiden kirjaus, käytön valvonta, verkon hallinta, viestinnän salaus ja varmistaminen, merkittävien tietoturvapoikkeamien tarkkailu, kirjaus ja selvittäminen sekä tietoliikenneohjelmien testaus ja hyväksyminen Tietoliikennelaitteiston luettelointi Joensuun kaupungin käyttämät ja PTTK Oy:n hallinnoimat tietoliikennelaitteet kuvataan laiteluetteloon, johon määritetään laitteiden kokoonpanot ja määritykset sekä ylläpito- ja muutostilanteisiin liittyvät toimenpiteet. Verkon dokumentointia ylläpidetään toimipisteittäin piirretyin loogisin verkkokuvin ja laiteluetteloin Käytön- ja verkonvalvonta Tietoliikennelaitteisiin liittyvät käytön- ja verkonvalvonta toteutetaan erillisellä verkonvalvontajärjestelmällä, jonka piiriin valvottavat kohteet liitetään. Verkonvalvonta toteutetaan PTTK Oy:n taholta käyttäen keskitettyä verkonvalvontajärjestelmää, josta verkon häiriötilanteissa saadaan lähtemään hälytykset sähköpostilla sekä SMStekstiviestein määritellyille vastaanottajille.

17 Ongelmatilanteiden kirjaus ja muutoksenvalvonta PTTK Oy:n hallinnoimiin tietoliikennelaitteisiin kohdistuvat ongelmien selvitys- ja määritysmuutospyynnöt välitetään ServiceDesk järjestelmän kautta PTTK Oy:n tietoliikennettä ylläpitävälle henkilöstölle. Samalla pyynnöistä jää järjestelmään vikatikettikirjaus sekä ongelman ratkaisukuvaus, joita voidaan hyödyntää samanlaisten ongelmien ratkaisussa jatkossa Tietoturvapoikkeamat tietoliikenteessä Tietoliikennelaitteiden käytöstä ja palomuurin kautta kulkeneesta liikenteestä kirjautuu lokitietoja, joita käytetään ainoastaan tietoturvapoikkeamien selvityksessä (kts. luku 2.2) ja niiden ennaltaehkäisevien toimenpiteiden suunnittelun apuna. Jos poikkeamien selvityksen yhteydessä havaitaan kaupungin tietoturvapolitiikkaa vastaan olevia tapahtumia, niistä raportoidaan kaupungin tietoturvasta vastaaville osapuolille Käyttöturvallisuus Käyttöturvallisuudella luodaan ja ylläpidetään tietotekniikan turvallisen käytön vaatimat toimintaolosuhteet. Tämä toteutetaan huolehtimalla mm. toimivuuden valvonnasta, käyttöoikeuksien hallinnasta, käytön ja lokien valvonnasta, ohjelmistotukeen, ylläpito-, kehittämis- ja huoltotoimintoihin liittyvistä turvallisuustoimenpiteistä, varmuuskopioinnista sekä häiriöraportoinnista. Järjestelmien käyttöturvallisuuden taso perustuu järjestelmässä olevien tietojen luokitukseen Järjestelmien ylläpito Ammattitaitoinen tietojärjestelmien ylläpito toteuttaa ja parantaa omalta osaltaan tietoturvallisuutta pitämällä järjestelmät ajantasaisena ja tuntemalla niiden normaalin tilan. Näin ehkäistään ennalta poikkeustilanteita ja minimoidaan niiden vaikutuksia. Hyvä ylläpitokäytäntö on selkeästi ohjeistettua ja tehtävät vastuutettu. PTTK Oy:n ylläpitämät järjestelmät, niihin liittyvät menettelytavat ja toimenpiteet dokumentoidaan sekä dokumentaatiota päivitetään tarpeen mukaan. Ulkoistettu ylläpito Ylläpitävän tahon ja järjestelmän omistajan välillä täytyy olla selkeä sopimus siitä, mitkä ovat kummankin vastuut ja minkä tasoisena ylläpitopalvelu toteutetaan. Sopimus sisältää palvelutasoa ja vasteaikoja määrittäviä rajoja. Ulkoistettujen ylläpito- ja etenkin tietoturvapalveluiden sisällön, eri tilanteiden vasteaikojen, eskaloinnin ja toiminnan häiriötilanteissa tai jopa poikkeusoloissa tulee olla tarkasti määriteltyjä. Järjestelmästä vastuusta olevalta ylläpitäjältä edellytetään riittävää koulutusta ja hänen tietonsa järjestelmän osista tulee olla ajan tasalla. Nämä asiat sisällytetään kaupungin tekemiin palvelusopimuksiin.

18 Etätyön ja -käytön tietoturva Esimiehellä on ohjaus- ja seurantavastuu etätyön turvallisesta järjestämisestä. Etätyöstä sovitaan aina kirjallisesti ja sitä varten laaditaan etätyön erityispiirteitä vastaavat tietoturvaohjeet (käyttäjän tietoturvakäsikirja). Työntekijöiden ja johdon valmiudet etätyöhön varmistetaan turvallisuustietoisuuden lisäämisellä, motivoinnilla ja koulutuksella Tietotekninen valvonta Tietoturvan tietotekninen valvonta koostuu järjestelmien tilan ja käytön seurannasta. Se voi olla reaaliaikaista tarkkailua (esimerkiksi onko tietty palvelu jatkuvasti tavoitettavissa) tai laitteiden ja järjestelmien kirjaamiin tapahtumalokitietoihin perustuvaa poikkeavien tapahtumien havainnointia. Kaupungin toiminnassa valvonta toteutetaan tietojen luokituksen ja palvelujen kriittisyyden edellyttämässä laajuudessa PTTK Oy:n toimesta. Esimerkiksi palveluja, joiden jatkuva käytettävyys on luokiteltu kriittisiksi, valvotaan ympäri vuorokauden. Toisia palveluja valvotaan työajalla ja automaattiset hälytykset kutsuvat päivystäjän paikalle tarvittaessa myös työajan ulkopuolella. Erilaisia ohjelmistoja voidaan käyttää tietoturvapoikkeamien havaitsemiseen suuresta käyttötapahtumamassasta. Valvonnan helpottamiseksi valvontajärjestelmät voivat tuottaa tosiaikaista tilannekuvaa koko tietojärjestelmästä ja kerätä tietoa sekä hälyttää hyväksytyt raja-arvot ylittäneistä tapahtumista. Tietoturvapoikkeamien todentamisessa käytetään hyväksi lokitietoja. Lokien kerääminen ja tallentaminen järjestetään niin, että niitä ei päästä muuttamaan tai poistamaan tietomurtojen yhteydessä. Osa lokien sisältämästä tiedosta on säädösten mukaan luottamuksellista ja suojataan valtuuttamattomalta käsittelyltä. Henkilöstön toiminnan valvontaa ja valvontatiedon käsittelyä säädellään lailla. Työntekijöiden teknisen valvonnasta sovitaan henkilöstön kanssa yhteistoimintamenettelyssä. Tekniseen valvontaan liittyen uhkia seurataan. Suomessa Viestintävirasto CERT-FI antamia varoituksia tietoturvauhkista Käyttöoikeuksien hallinta Tietojärjestelmien käyttäjien työrooleihin perustuva käyttöoikeuksien ja -valtuuksien ajantasainen hallinta on tietoturvallisuuden perusedellytyksiä. Toimenpiteiden avulla varmistetaan, että valtuutetut käyttäjät pääsevät käsiksi ainoastaan siihen tietoon, johon heillä on työtehtävien ja niihin liittyvien vastuiden mukaiset pääsyoikeudet. Käyttöoikeuksien määrittely on kaupungin organisaatiossa olevien esimiesten vastuulla ja he siis vastaavat alaistensa käyttöoikeuksien oikeellisuudesta eri työtehtävissä Haittaohjelmistoilta suojautuminen Joensuun kaupungissa käytetään virustorjuntaohjelmistoa suojaamaan työasemia viruksilta, vakoilu- ja muilta haittaohjelmilta. Internet-liikenteen karkeaa suodatusta tehdään palomuurien avulla ja sähköpostisuodatuksessa käytetään PTTK Oy:n

19 19 hallinnoimaa maakunnallista suodatusjärjestelmää. Työasemien suojaamisesta tehdään erillinen ohjeistus Sosiaalinen hakkerointi Tietojen uteleminen on yleinen tiedustelutapa. Henkilö saattaa esittää puhelimitse joukon merkityksettömiltä tuntuvia kysymyksiä. Kun näitä kysymyksiä tehdään riittävän usealle henkilölle organisaatiossa, välittyy kysyjälle yleiskuva organisaation toiminnasta, ja sen heikoista kohdista. Tarkemmat ohjeet sosiaalisen hakkeroinnin ja tietojen utelemisen torjunnasta ovat käyttäjän tietoturvakäsikirjassa. 4. ULKOISTETTUJEN TIETOJENKÄSITTELYTOIMINTOJEN TURVALLISUUS Ulkoistamisen edellytyksenä on kaupungin tietoturvavaatimuksista johdettujen menettelyjen ulottaminen ulkoistettujen palvelujen toimittajaan. Vaatimukset ja tavoitteet on sovittava ulkoistamisprosessin alussa ja ne on kirjattava tehtävään palvelusopimukseen. Toimintojen ja palvelujen ulkoistaminen edellyttää organisaation ja toimittajan välisten velvoitteiden jakoa, tehtävämäärittelyä ja suunnitelmaa, jotta haluttu tietoturvallisuuden taso voidaan saavuttaa ja säilyttää koko ulkoistamisprosessin ajan. Kokonaisvastuu toiminnoista säilyy organisaatiolla, vaikka palveluntoimittaja vastaa organisaatiolle tuottamistaan palveluista. Palvelujen yhteydessä on siis niiden sisällöstä riippuen tarkistettava tietoturvatarpeet ja laadittava tarvittaessa salassapito- tai turvallisuussopimus. 5. TIETOTURVATOIMENPITEET HANKINTOJEN YHTEYDESSÄ Palvelukokonaisuuden, tietoteknisen laitteen tai tietojärjestelmän hankintaan liittyy tuotteen tietoturvavaatimusten määrittely ja tietoturvaominaisuuksien arviointi. Keskeiset vaatimukset määritellään ja esitetään selkeästi jo tarjouspyyntövaiheessa ja tietoturvatekijät sisällytetään tarjouksen vertailu- ja valintaperusteisiin. Tietoturvavaatimusten toteutuminen voi olla hankinnan ehdoton edellytys. Hankintojen yhteydessä tarkasteltavia tekijöitä ovat: - turvallisuusvaatimukset palveluille - järjestelmähallinta, ohjelmistojen tarjoamat turvallisuusominaisuudet ja valvontamenettelyt, eheys, luottamuksellisuus, käytettävyys, todennus ja kiistämättömyys - riittävän yhtenäisen, korvaavan laitekannan ja käyttöjärjestelmien yhteensopivuuden luominen - palvelu-, huolto-, laite- ja ohjelmistotoimittajien osaaminen ja voimavarat - nopean huollon ja varaosapalvelujen varmistaminen - varalaitteiden saatavuuden varmistaminen sopimuksissa. - Merkittävien järjestelmähankintojen yhteydessä varmistetaan laite-, ohjelmisto- ja tukipalveluyrityksen mahdollisuudet toimituksiin myös poikkeusoloissa.

20 Järjestelmäkehityksen turvallisuus Tietojärjestelmähankkeiden yhteydessä varmistetaan tietoturvan sisällyttäminen hankkeeseen ja uuteen tietojärjestelmään. Tietoturva liittyy tietojärjestelmän muutoksiin ja kehittymiseen tietojärjestelmän koko elinkaaren ajan. Myös järjestelmän teknisten ja hallinnollisten rajapintojen turvallisuus varmistetaan. Hankkeen alussa tehtävällä riskien arvioinnilla suunnataan tietoturvatoimenpiteet kehitystyön kohteena olevan järjestelmän luonteen mukaisesti. Tietojärjestelmän esitutkimusvaiheessa määritellään tärkeysluokitus, turvallisuustarpeet ja -taso sekä asetetaan tietoturvavaatimukset. Tietojärjestelmän testaus suunnitellaan sekä hallinnolliselta että tekniseltä kannalta. Testit voivat kohdistua joko kertaluonteisesti osaan tai koko järjestelmään tai säännöllisesti tuotantoympäristöön, jolloin voidaan testata vähitellen järjestelmässä tapahtuvia pieniäkin muutoksia. Hallinnollisia tietoturvatarkastuksia ovat erilaiset vaatimusmäärittely- ja suunnitelmakatselmoinnit sekä ratkaisujen varmentamiset tietoturva-asiantuntijoita käyttäen. Teknisiä tarkastuksia ovat katselmoinnit erityisesti ohjelmistojen tai järjestelmien kriittisiin toimintoihin liittyen. 6. TIETOTURVAN SEURANTA, VALVONTA, TARKASTUS JA TESTAUS Kaupungin tietoturvasta vastaavan henkilön tehtävänä on vuosittain koostaa tiedot toteutuneista tietoturvatoimista ja tietoturvan muutoksista sekä niiden perusteella raportoida kaupungin johdolle havainnoista sekä toimenpiteistä. Seurannalla pyritään selvittämään ja mittaamaan, missä määrin tietoturvatoimilla saavutetaan haluttu vaikutus. Tietoturvaongelmista (esimerkiksi hyökkäysepäilyt) tulee ilmoittaa välittömästi esimiehelle ja kaupungin tietoturvavastaavalle. Merkittävistä tietoturvarikkomuksista ja niiden epäilyistä tulee tietoturvavastaavan raportoida ylimmälle johdolle. Seurannan organisointivaatimusten vuoksi luodaan selkeä vastuuttaminen myös toimintayksiköiden pääkäyttäjätasoisten vastuuhenkilöiden osalta. Lisäksi koordinoinnin ja seurannan kannalta järjestetään keskusten ja liikelaitosten tietoturvavastuuhenkilöiden raportointi kaupungin tietoturvavastaavalle. Tietoturvan seuraamiseksi luodaan valvontamenettelyt ja raportointitapa olennaisten tapahtumien sekä tietoturvatason ja valmiuksien raportoimiseksi aina ylimmälle johdolle asti. Tietoturvan toteutumisen tarkastusta ja testausta tehdään luvussa 2.1 mainituin toimenpitein vähintään kerran vuodessa tai aina kun siihen havaitaan erityistä tarvetta. Havaittaessa vakava tietoturvaongelma, siitä laitetaan välittömästi tieto tietoturvavastaavalle. Näiden kaltaisiin tapahtumiin varaudutaan varautumissuunnitelmassa, jossa on kuvattu mm. käynnistettävät vastatoimenpiteet.

Tietoturvapolitiikka

Tietoturvapolitiikka Valtiokonttori Ohje 1 (6) Tietoturvapolitiikka Valtion IT -palvelukeskus Valtiokonttori Ohje 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa...

Lisätiedot

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Lappeenrannan kaupungin tietoturvaperiaatteet 2016 1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015

Lisätiedot

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41 Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät

Lisätiedot

Tietoturvallisuusliite

Tietoturvallisuusliite Tietoturvallisuusliite [Yhteistyökumppanin nimi] STATUS Laatinut: Tarkastanut ja hyväksynyt: Versio no: Tiedoston nimi: Tallennushakemisto: Pvm SISÄLLYSLUETTELO Sisällysluettelo... 2 1 Määritelmät... 3

Lisätiedot

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT YT-neuvosto hyväksynyt 21.11.2007 Vahvistanut: kuntayhtymän johtaja Pentti Leipälä 4.1.2008 1. SÄÄNTÖJEN TARKOITUS 1 2. KÄYTÖN PERIAATTEET

Lisätiedot

SELVITYS TIETOJEN SUOJAUKSESTA

SELVITYS TIETOJEN SUOJAUKSESTA 1 (5) Väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) 44 :n mukainen selvitys tietojen SELVITYS TIETOJEN SUOJAUKSESTA Määritelmät Tämä selvitys koskee

Lisätiedot

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 1 (6) 25.11.2015 Lappeenrannan kaupungin tietoturvapolitiikka 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0

Lisätiedot

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA 1 (6) ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA Hyväksytty kaupunginhallituksessa 12.12.2006 Tietoturvapolitiikan avulla vaikutetaan omalta osaltaan siihen, että Espoon kaupungin strategiassa määritelty Espoon

Lisätiedot

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta. Itä-Suomen yliopiston tietoturvapolitiikan liitteet 1/6 ITÄ-SUOMEN YLIOPISTON TIETOTURVAPOLITIIKAN LIITTEET LIITE 1: Tietoturvallisuuden vastuut ja organisointi Tässä liitteessä kuvataan tietoturvallisuuteen

Lisätiedot

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy LAURA TM -rekrytointijärjestelmän tietoturva Markku Ekblom Teknologiajohtaja Uranus Oy 17.1.2014 Toimintaympäristö Uranus on Suomessa perustettu, Suomessa toimiva ja suomalaisessa omistuksessa oleva yritys.

Lisätiedot

Lokipolitiikka (v 1.0/2015)

Lokipolitiikka (v 1.0/2015) KYS erityisvastuualue Etelä-Savon sairaanhoitopiiri Lokipolitiikka (v 1.0/2015) Sisällys 1 JOHDANTO... 2 2 HENKILÖTIETOJEN KÄSITTELYYN LIITTYVÄ LAINSÄÄDÄNTÖ... 2 3 LOKI JA LOKITIETO... 3 4 LOKITIETOJEN

Lisätiedot

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.

Lisätiedot

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TOIMITILAPÄIVÄ 21.3.2013 Johtava asiantuntija Fyysinen turvallisuus ja varautuminen Marko Kalliokoski Verohallinto 020 612 5192 etunimi.sukunimi@vero.fi

Lisätiedot

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016

Lisätiedot

Utajärven kunta TIETOTURVAPOLITIIKKA

Utajärven kunta TIETOTURVAPOLITIIKKA Utajärven kunta TIETOTURVAPOLITIIKKA Johdanto Tiedon käsittely on oleellinen osa Utajärven kunnan toimintaa ja palveluiden tuottamista. Tietojenkäsittelyn tehokkuus ja virheettömyys ovat keskeisiä tekijöitä

Lisätiedot

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1 Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin 12.12.2011 A-P Ollila 1 Taustaa Tiedon merkitys yhteiskunnassa ja viranomaisten toiminnassa korostuu kaiken aikaa. Viranomaisten

Lisätiedot

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA 2016 Kh 111 31.5.2016 v1.0 19.5.2016, Seija Romo 1. JOHDANTO... 1 2. TIETOTURVAPOLITIIKAN TAVOITE... 1 3. TIETOTURVATOIMINTAA OHJAAVAT TEKIJÄT... 2 4. TIETORISKIEN

Lisätiedot

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt Turun ammattikorkeakoulu 13.09.2005 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT Sisällysluettelo: 1 Sääntöjen tarkoitus... 2 2 Käytön periaatteet... 2 3 Käyttöoikeus ja käyttäjätunnukset... 4 4 Käyttöoikeuden

Lisätiedot

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus) Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen 2012 2014 (pohjaehdotus) Arviointilomakkeiden tarkoitus Kunkin vastuualueen ja tulosyksikön sisäisen valvonnan

Lisätiedot

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 1.0 ESPOON KAUPUNKI 02070 ESPOON KAUPUNKI WWW.ESPOO.FI ESBO STAD 02070 ESBO STAD WWW.ESBO.FI Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuus...

Lisätiedot

Rekisteriseloste. Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen asiakasrekisterin rekisteriseloste

Rekisteriseloste. Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen asiakasrekisterin rekisteriseloste Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen asiakasrekisterin rekisteriseloste Versiot Hyväksytty 1 Johtoryhmä 7.2.2012 2 Päivitetty 05.8.2016 SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERINPITÄJÄ

Lisätiedot

Oulun yliopiston asiakirjahallinnon ja arkistotoimen johtosääntö

Oulun yliopiston asiakirjahallinnon ja arkistotoimen johtosääntö Oulun yliopiston asiakirjahallinnon ja arkistotoimen johtosääntö Yliopistolain (558/2009) 14 :n sekä Oulun yliopiston johtosäännön 2 :n nojalla yliopiston hallitus on 18 päivänä toukokuuta 2010 hyväksynyt

Lisätiedot

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI TIETOSUOJAVALTUUTETUN TOIMISTO MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI Päivitetty 27.07.2010 www.tietosuoja.fi 2 Malli henkilötietojen käsittelyn/henkilörekisterin

Lisätiedot

Korkeakoulujen valtakunnallinen tietovaranto: Tietosuojaseloste, looginen rekisteri

Korkeakoulujen valtakunnallinen tietovaranto: Tietosuojaseloste, looginen rekisteri RAkenteellisen KEhittämisen Tukena TIetohallinto Korkeakoulujen valtakunnallinen tietovaranto: Tietosuojaseloste, looginen rekisteri Korkeakoulujen ja opetus- ja kulttuuriministeriön yhteinen tietohallintohanke,

Lisätiedot

Rekisteriseloste. Kehitysvammaisten asumispalvelujen asiakasrekisterin rekisteriseloste

Rekisteriseloste. Kehitysvammaisten asumispalvelujen asiakasrekisterin rekisteriseloste Rekisteriseloste Kehitysvammaisten asumispalvelujen asiakasrekisterin rekisteriseloste Versiot Hyväksytty 1 Johtoryhmä 7.2.2012 2 Päivitetty 05.8.2016 Rekisteriseloste SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERINPITÄJÄ

Lisätiedot

Rekisteriseloste. Vanhusten ympärivuorokautisen hoidon ja hoivan asiakasrekisterin rekisteriseloste

Rekisteriseloste. Vanhusten ympärivuorokautisen hoidon ja hoivan asiakasrekisterin rekisteriseloste Vanhusten ympärivuorokautisen hoidon ja hoivan asiakasrekisterin rekisteriseloste Versiot Hyväksytty 1 Johtoryhmä 17.1.2012 2 Päivitetty 05.8.2016 SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERINPITÄJÄ 3. REKISTERIN

Lisätiedot

Tietoturvavastuut Tampereen yliopistossa

Tietoturvavastuut Tampereen yliopistossa Tietoturvavastuut Tampereen yliopistossa Hyväksytty Tampereen yliopiston Yliopistopalvelujen johtoryhmässä 10.5.2016 Korvaa 18.10.2002 hyväksytyn vastaavan dokumentin. Tulee voimaan hyväksymispäivänä.

Lisätiedot

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA POHJOIS-KARJALAN SAIRAANHOITO- JA SOSIAALIPALVELUJEN KUNTAYHTYMÄ Johtoryhmä 7.4.2015 Yhtymähallitus 27.4.2015 SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA Sisällys 1. Lainsäädäntö 3 2. Soveltamisala

Lisätiedot

ASIAKIRJAHALLINNON JA ARKISTOTOIMEN TOIMINTAOHJE. Itä-Savon koulutuskuntayhtymä (SAMIedu)

ASIAKIRJAHALLINNON JA ARKISTOTOIMEN TOIMINTAOHJE. Itä-Savon koulutuskuntayhtymä (SAMIedu) ASIAKIRJAHALLINNON JA ARKISTOTOIMEN TOIMINTAOHJE Itä-Savon koulutuskuntayhtymä (SAMIedu) 27.5.2016 27.5.2016 1 27.5.2016 2 SISÄLLYSLUETTELO 1. TOIMINTAOHJEEN TARKOITUS JA SOVELTAMINEN 2. ARKISTOTOIMEN

Lisätiedot

TIETOTURVATASOVAATIMUKSET HANKINNOISSA

TIETOTURVATASOVAATIMUKSET HANKINNOISSA TIETOTURVATASOVAATIMUKSET HANKINNOISSA Mikäli muuta ei mainita, Toimittajan (ei Asiakkaan) tulee suorittaa tässä taulukossa kuvatut toimenpiteet, jotka kohdistuvat hankinnan kohteeseen eli palveluun. Tietoturvatasoj

Lisätiedot

Sastamalan kaupungin uusi hallintosääntö

Sastamalan kaupungin uusi hallintosääntö 1 Sastamalan kaupungin uusi hallintosääntö 2 luku Toimielinorganisaatio 9 Tarkastuslautakunta Tarkastuslautakunnassa on seitsemän jäsentä, joista valtuusto valitsee lautakunnan puheenjohtajan ja varapuheenjohtajan.

Lisätiedot

Tilastoaineistojen säilytysajan määrääminen - normivaatimukset ja sopimusvelvoitteet. Anna-Leena Reinikainen

Tilastoaineistojen säilytysajan määrääminen - normivaatimukset ja sopimusvelvoitteet. Anna-Leena Reinikainen Tilastoaineistojen säilytysajan määrääminen - normivaatimukset ja sopimusvelvoitteet Anna-Leena Reinikainen 6.5.2009 Vaikuttavia säädöksiä Arkistolaki (831/1994) Laki viranomaisten toiminnan julkisuudesta

Lisätiedot

HALLINTOSÄÄNTÖ, TARKASTUSLAUTAKUNNAN OSUUDET. 2 luku Toimielinorganisaatio. 9 Tarkastuslautakunta

HALLINTOSÄÄNTÖ, TARKASTUSLAUTAKUNNAN OSUUDET. 2 luku Toimielinorganisaatio. 9 Tarkastuslautakunta HALLINTOSÄÄNTÖ, TARKASTUSLAUTAKUNNAN OSUUDET 2 luku Toimielinorganisaatio 9 Tarkastuslautakunta Tarkastuslautakunnassa on 7 (5?) jäsentä, joista kaupunginvaltuusto valitsee lautakunnan puheenjohtajan ja

Lisätiedot

MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA

MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA lukien toistaiseksi 1 (5) Sijoituspalveluyrityksille MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA Rahoitustarkastus antaa sijoituspalveluyrityksistä annetun lain

Lisätiedot

ASIAA TIETOSUOJASTA 4/ HENKILÖTIETOLAKI HENKILÖTIETOJEN KÄSITTELYN OHJAAJANA

ASIAA TIETOSUOJASTA 4/ HENKILÖTIETOLAKI HENKILÖTIETOJEN KÄSITTELYN OHJAAJANA Terveydenhuollon 28. atk-päivät, 27. - 28.5.2002 Ajankohtaista tietosuojasta / Liite 2 ASIAA TIETOSUOJASTA 4/1999 7.6.1999 HENKILÖTIETOLAKI HENKILÖTIETOJEN KÄSITTELYN OHJAAJANA Tietosuojavaltuutetun tehtävänä

Lisätiedot

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Valtorin tietoturvaseminaari 2.4.2014 Pekka Ristimäki Johtava asiantuntija, CISM, CISSP, CRISC Valtori / Tietoturvapalvelut Mikä on hallintajärjestelmä?

Lisätiedot

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Tietoturvapolitiikka NAANTALIN KAUPUNKI 2016 Tietoturvapolitiikka NAANTALIN KAUPUNKI 1 Sisällysluettelo Johdanto... 2 Tietoturvallisuus... 2 Riskienhallinta... 3 Varautuminen... 3 Vaatimustenmukaisuus ja tavoitteet... 3 Organisointi, roolit

Lisätiedot

REKISTERISELOSTE Henkilötietolaki (523/99) 10

REKISTERISELOSTE Henkilötietolaki (523/99) 10 REKISTERISELOSTE Henkilötietolaki (523/99) 10 Laatimispvm: 7.6.2011 Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä. 1. Rekisterinpitäjä Nimi Salon kaupunki liikuntapalvelut

Lisätiedot

Kunnan järjestämisvastuu, tietohallinto ja digitalisaatio. julkisoikeuden professori, IT-oikeuden dosentti Tomi Voutilainen Itä-Suomen yliopisto

Kunnan järjestämisvastuu, tietohallinto ja digitalisaatio. julkisoikeuden professori, IT-oikeuden dosentti Tomi Voutilainen Itä-Suomen yliopisto Kunnan järjestämisvastuu, tietohallinto ja digitalisaatio julkisoikeuden professori, IT-oikeuden dosentti Tomi Voutilainen Itä-Suomen yliopisto Tomi.Voutilainen@uef.fi 25.11.2015 1 Lähtökohta Tietohallintolaki

Lisätiedot

Salassapito- ja tietosuojakysymykset moniammatillisessa yhteistyössä Kalle Tervo. Keskeiset lait

Salassapito- ja tietosuojakysymykset moniammatillisessa yhteistyössä Kalle Tervo. Keskeiset lait Salassapito- ja tietosuojakysymykset moniammatillisessa yhteistyössä 7.5.2014 Kalle Tervo Keskeiset lait Laki viranomaisten toiminnan julkisuudesta (21.5.1999/621) Henkilötietolaki (22.4.1999/523) Laki

Lisätiedot

Peltolantie 2 D, Vantaa puh. (09) vastuuhenkilö (palveluntuottaja täyttää) yhteyshenkilö ja yhteystiedot: (palveluntuottaja täyttää)

Peltolantie 2 D, Vantaa puh. (09) vastuuhenkilö (palveluntuottaja täyttää) yhteyshenkilö ja yhteystiedot: (palveluntuottaja täyttää) Tietosuojaseloste 1/5 1. Rekisterinpitäjä Vantaan sosiaali- ja terveyslautakunta Peltolantie 2 D, 01300 Vantaa puh. (09) 83911 2. Osarekisteriasioista vastaava henkilö ja yhteyshenkilö vastuuhenkilö yhteyshenkilö

Lisätiedot

SoTe kuntayhtymä/perusturvaliikelaitos Saarikka REKISTERISELOSTE Pro-Wellness-potilastietojärjestelmä -tietokanta 18.3.

SoTe kuntayhtymä/perusturvaliikelaitos Saarikka REKISTERISELOSTE Pro-Wellness-potilastietojärjestelmä -tietokanta 18.3. Pro-Wellness-potilastietojärjestelmä -tietokanta 18.3.2015 Sivu 1/5 1 Rekisterin nimi 2 Rekisterinpitäjä ProWellness-potilastietojärjestelmä/ SoTe kuntayhtymä/perusturvaliikelaitos Saarikka SoTe kuntayhtymä/perusturvaliikelaitos

Lisätiedot

28.9.2015. Mikäli tämän dokumentin vaatimuksista poiketaan, täytyy ne kirjata erikseen hankintasopimukseen.

28.9.2015. Mikäli tämän dokumentin vaatimuksista poiketaan, täytyy ne kirjata erikseen hankintasopimukseen. Turvallisuusohje 1 (5) 1 Turvallisuuden vähimmäisvaatimukset palveluntoimittajille Metsä Groupin tavoitteena on varmistaa turvallinen ja toimintavarma työympäristö joka päivä. Tavoite koskee niin Metsä

Lisätiedot

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016 1 (9) Rauman kaupunki Tietoturvapolitiikka Kaupunginhallitus hyväksynyt 30.5.2016, KH 274, RAU/522/07.03.00/2016 2 (9) Sisällys 1. Johdanto... 3 2. Tietoturvapolitiikan tarkoitus... 3 3. Ketä tämä tietoturvapolitiikka

Lisätiedot

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto Tietoturvapolitiikka Tietoturvakäytännön toimintaperiaatteet ja ohjeisto 25.1.2011 Sisällysluettelo TIETOTURVAPOLITIIKKA... 3 1 Johdanto... 3 1.1 Yleistä... 3 1.2 Tavoite... 3 1.3 Vaatimuksenmukaisuus...

Lisätiedot

Korkeakoulujen valtakunnallinen tietovaranto. Ilmari Hyvönen

Korkeakoulujen valtakunnallinen tietovaranto. Ilmari Hyvönen Korkeakoulujen valtakunnallinen tietovaranto Ilmari Hyvönen 8.4.2014 Aiheita Tietovarannon käyttöönotto ja ohjaus Tietovaranto tiedonvälityspalveluna Yhteentoimivuuden edistäminen tietovarannon avulla

Lisätiedot

Palvelutarpeen arvioinnin rekisteri

Palvelutarpeen arvioinnin rekisteri Tietosuojaseloste 1/5 1. Rekisterinpitäjä Vantaan sosiaali- ja terveyslautakunta Peltolantie 2 D, 01300 Vantaa 2. Rekisteriasioista vastaava henkilö ja yhteyshenkilö Perhepalvelut: perhepalvelujen johtaja

Lisätiedot

Tietoturva ja viestintä

Tietoturva ja viestintä Tietoturva ja viestintä 3.11.2015 1 Uhkakuvat muuttuvat - mitä teemme? Ihmisestä tallentuu joka päivä tietoa mitä erilaisimpiin paikkoihin - valtion, kuntien ja yritysten ylläpitämiin rekistereihin. Joka

Lisätiedot

Lapin yliopiston tietoturvapolitiikka

Lapin yliopiston tietoturvapolitiikka Lapin yliopiston tietoturvapolitiikka 2016 1 Vahvistettu Lapin yliopiston rehtorin päätöksellä 16.5.2016 Lapin yliopiston tietoturvapolitiikka Sisällysluettelo: 1. Johdanto... 2 2. Tietoturvapolitiikan

Lisätiedot

SISÄLTÖ. 1 RISKIENHALLINTA... 3 1.1 Yleistä... 3 1.2 Riskienhallinta... 3 1.3 Riskienhallinnan tehtävät ja vastuut... 4 1.4 Riskienarviointi...

SISÄLTÖ. 1 RISKIENHALLINTA... 3 1.1 Yleistä... 3 1.2 Riskienhallinta... 3 1.3 Riskienhallinnan tehtävät ja vastuut... 4 1.4 Riskienarviointi... RHK Ohje riskienhallinnasta 2 SISÄLTÖ 1 RISKIENHALLINTA... 3 1.1 Yleistä... 3 1.2 Riskienhallinta... 3 1.3 Riskienhallinnan tehtävät ja vastuut... 4 1.4 Riskienarviointi... 5 RH Ohje riskienhallinnasta

Lisätiedot

Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä.

Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä. REKISTERISELOSTE Henkilötietolaki (523/99) 10 Päiväys: 25.6.2008 Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä. 1. Rekisterinpitäjä Nimi Intrum Justitia Oy Y-tunnus

Lisätiedot

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö Tietosisällön eheys Kimmo Janhunen kimmo.janhunen@om.fi Riskienhallintapäällikkö Oikeusrekisterikeskuski k 26.11.2014 Esityksen sisältö Tiedon merkitys - tiedon eheyden merkitys Määritelmät Lainsäädäntö

Lisätiedot

Rekisteri kuntaan sijoitetuista lapsista

Rekisteri kuntaan sijoitetuista lapsista Tietosuojaseloste 1/5 1. Rekisterinpitäjä Vantaan sosiaali- ja terveyslautakunta Peltolantie 2 D, 01300 Vantaa 2. Rekisteriasioista vastaava henkilö ja yhteyshenkilö Perhepalvelujen johtaja Anna Cantell-Forsbom

Lisätiedot

Datan avaamisen reunaehdot. Katri Korpela Projektipäällikkö 6Aika - Avoin data ja rajapinnat

Datan avaamisen reunaehdot. Katri Korpela Projektipäällikkö 6Aika - Avoin data ja rajapinnat Datan avaamisen reunaehdot Katri Korpela Projektipäällikkö 6Aika - Avoin data ja rajapinnat 19.1.2016 Perinteinen manuaalinen tietopalvelu 1. Asiakas kysyy/pyytää asiakirjoja käyttöönsä/ kopioita omaan

Lisätiedot

Biopankkien toimintojen yhdistäminen. Lakiperusta

Biopankkien toimintojen yhdistäminen. Lakiperusta Biopankkien toimintojen yhdistäminen Lakiperusta Biopankkilain (688/2012, jatkossa myös BPL ) 10 mahdollistaa biopankkien toimintojen yhdistämisen. Toimintojen hoitamisesta tai yhdistämisestä on sovittava

Lisätiedot

TIETOSUOJASELOSTE Henkilötietolaki (523/1999) 10 ja 24 Rekisterinpitäjä Rekisterin nimi Henkilötietojen käsittelytarkoitus Rekisterin tietosisältö

TIETOSUOJASELOSTE Henkilötietolaki (523/1999) 10 ja 24 Rekisterinpitäjä Rekisterin nimi Henkilötietojen käsittelytarkoitus Rekisterin tietosisältö TIETOSUOJASELOSTE Henkilötietolaki (523/1999) 10 ja 24 Rekisterinpitäjä Valtiokonttori Sörnäisten rantatie 13 000054 VALTIOKONTTORI Rekisterin nimi Valtiolle.fi - Valtion rekrytointijärjestelmä Henkilötietojen

Lisätiedot

Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet

Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet 1 Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet Valtuusto 23.3.2015 16 2 Vieremän kunnan sisäisen valvonnan ja riskienhallinnan perusteet Lainsäädäntöperusta ja soveltamisala Kuntalain

Lisätiedot

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS TIETOSUOJAVALTUUTETUN TOIMISTO REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS Päivitetty 15.09.2010 www.tietosuoja.fi 2 Sisällysluettelo 1. Mistä informointivelvoitteessa on kysymys 3 2. Ketä informointivelvoite

Lisätiedot

SISÄISEN VALVONNAN PERUSTEET

SISÄISEN VALVONNAN PERUSTEET P A I M I O N K A U P U N K I SISÄISEN VALVONNAN PERUSTEET Hyväksytty kaupunginvaltuustossa 12.2.2015 11 Voimaan 1.3.2015 alkaen 1 Sisällysluettelo Lainsäädäntöperusta ja soveltamisala... 3 Sisäisen valvonnan

Lisätiedot

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn! 1(16) Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn! Arvoisa vastaaja, Tällä kyselyllä selvitetään Suomen kuntien tieto- ja kyberturvallisuuden

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 8. Luento Tietoturvallisuus Tiedon ominaisuudet

Lisätiedot

FINLANDIA-TALO Oy. REKISTERISELOSTE Kameravalvontajärjestelmä SISÄLTÖ

FINLANDIA-TALO Oy. REKISTERISELOSTE Kameravalvontajärjestelmä SISÄLTÖ FINLANDIA-TALO Oy REKISTERISELOSTE Kameravalvontajärjestelmä 19.11.2012 SISÄLTÖ 1 REKISTERIN NIMI 2 REKISTERINPITÄJÄ 3 REKISTERIN VASTUUHENKILÖ 4 REKISTERIASIOITA HOITAVA HENKILÖ 5 REKISTERIN KÄYTTÖTARKOITUS

Lisätiedot

IISALMEN KAUPUNKI KIINTEISTÖJEN KAMERAVALVONTA 19.2.2016 1. Matti Rönkkö tekninen isännöitsijä Iisalmen kaupunki / tilapalvelu

IISALMEN KAUPUNKI KIINTEISTÖJEN KAMERAVALVONTA 19.2.2016 1. Matti Rönkkö tekninen isännöitsijä Iisalmen kaupunki / tilapalvelu IISALMEN KAUPUNKI KIINTEISTÖJEN KAMERAVALVONTA Matti Rönkkö tekninen isännöitsijä Iisalmen kaupunki / tilapalvelu 19.2.2016 1 Iisalmen kaupungin tekninen keskus / tilapalvelu on asentanut tallentavan kameravalvonnan

Lisätiedot

Julkisuus ja tietosuoja oppilashuollon asioissa Hallintojohtaja Matti Lahtinen

Julkisuus ja tietosuoja oppilashuollon asioissa Hallintojohtaja Matti Lahtinen Julkisuus ja tietosuoja oppilashuollon asioissa 29.4.2011 Hallintojohtaja Matti Lahtinen 1 Julkisuutta ja tietosuojaa koskevia säädöksiä perusopetuksessa Perustuslaki (731/1999) 10 : Jokaisen yksityiselämä,

Lisätiedot

HIJAT HR TYÖPÖYTÄ PALVELUNA KUVAUS, SOPIMUS 22005, LIITE 2

HIJAT HR TYÖPÖYTÄ PALVELUNA KUVAUS, SOPIMUS 22005, LIITE 2 HIJAT HR TYÖPÖYTÄ PALVELUNA KUVAUS, SOPIMUS 22005, LIITE 2 HELSINGIN KAUPUNKI JA LOGICA OY 1 Palvelusopimus 22005 1 SISÄLLYSLUETTELO 1 PALVELUNA -PALVELUN TEKNINEN PALVELINYMPÄRISTÖN KUVAUS... 2 2 PALVELUNA-PALVELU...

Lisätiedot

1. Rekisterinpitäjä Rekisteriasioista vastaava henkilö Rekisterin nimi Rekisterin käyttötarkoitus... 2

1. Rekisterinpitäjä Rekisteriasioista vastaava henkilö Rekisterin nimi Rekisterin käyttötarkoitus... 2 Rekisteriseloste Sisällys 1. Rekisterinpitäjä... 2 2. Rekisteriasioista vastaava henkilö... 2 3. Rekisterin nimi... 2 4. Rekisterin käyttötarkoitus... 2 5. Rekisterin sisältämät tiedot... 2 6. Säännönmukaiset

Lisätiedot

kaikki muut väärään osoitteeseen tulleet viestit tulee palauttaa lähettäjälle.

kaikki muut väärään osoitteeseen tulleet viestit tulee palauttaa lähettäjälle. Sähköpostisäännöt Sähköpostisäännöt koskevat kaikkia yliopiston sähköpostijärjestelmien käyttäjiä. Henkilökunnalle merkityt osiot koskevat yliopiston yksiköitä, koko henkilökuntaa ja heihin rinnastettavia

Lisätiedot

OPPILASREKISTERISELOSTE

OPPILASREKISTERISELOSTE OPPILASREKISTERISELOSTE Henkilötietolaki (523/99) 10 mukainen REKISTERISELOSTE ja lain 24 :n mukainen INFORMOINTI Laatimispvm: 2.1.2017 1. Rekisterinpitäjä Nimi Siikalatvan kunnan koulutuslautakunta /

Lisätiedot

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET Hall. 01.04.2014 Valt. 29.04.2014 1 Voimaantulo 01.07.2014 1 Lainsäädännöllinen perusta ja soveltamisala Kuntalain 13

Lisätiedot

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ Liite E Salassapito- ja tietoturvasitoumus 1 (5) VERSIOHISTORIA Päivä Versio Kuvaus Tekijä 3.0 Tarjouspyynnön liitteeksi Hanketoimisto 2 (5) Salassapito-

Lisätiedot

Julkaistu Helsingissä 15 päivänä kesäkuuta 2011. 634/2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta

Julkaistu Helsingissä 15 päivänä kesäkuuta 2011. 634/2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta SUOMEN SÄÄDÖSKOKOELMA Julkaistu Helsingissä 15 päivänä kesäkuuta 2011 634/2011 Laki julkisen hallinnon tietohallinnon ohjauksesta Annettu Helsingissä 10 päivänä kesäkuuta 2011 Eduskunnan päätöksen mukaisesti

Lisätiedot

Asiakirjahallinnon ja arkistotoimen toimintaohje

Asiakirjahallinnon ja arkistotoimen toimintaohje Hyväksytty maakuntahallituksessa 23.3.2015. Kumoaa 18.4.1990 hyväksytyn arkistosäännön. Voimaantulo 1.1.2015. 1 Yleistä Arkistolain 8 :n mukaan arkistonmuodostajan on määrättävä miten sen arkistotoimen

Lisätiedot

Sisällysluettelo LIIKENNEVIRASTO OHJE 2 (7) 31.10.2011 Dnro 4258/005/2011

Sisällysluettelo LIIKENNEVIRASTO OHJE 2 (7) 31.10.2011 Dnro 4258/005/2011 LIIKENNEVIRASTO OHJE 2 (7) Sisällysluettelo 1 VARAUTUMISSUUNNITTELU... 3 1.1 Säädösperusta... 3 1.2 Varautumistoiminnan tavoite... 3 2 VARAUTUMISSUUNNITELMIEN LAADINTA... 4 2.1 Varautumistoiminnan hierarkia...

Lisätiedot

Valvottujen tapaamisten rekisteri

Valvottujen tapaamisten rekisteri Tietosuojaseloste 1/5 1. Rekisterinpitäjä Vantaan sosiaali- ja terveyslautakunta Peltolantie 2 D, 01300 Vantaa 2. Rekisteriasioista vastaava henkilö ja yhteyshenkilö vs. perhepalvelujen johtaja Anna Cantell-Forsbom

Lisätiedot

SOPIMUS [SOVELLUSHANKINNASTA]

SOPIMUS [SOVELLUSHANKINNASTA] Julkisen hallinnon IT- hankintojen sopimusehdot (JIT 2007) 1 ----------------------------------------------------------------------------------------------------------------------------------- [JHS 166

Lisätiedot

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan 10.12.2015 Hannele Kerola Lainsäädäntöneuvos Pääministeri Juha Sipilän hallituksen strateginen

Lisätiedot

Järvenpään lasten ja nuorten lautakunta. Järvenpään kaupunki Hallintokatu 2, PL Järvenpää p. keskus

Järvenpään lasten ja nuorten lautakunta. Järvenpään kaupunki Hallintokatu 2, PL Järvenpää p. keskus 1. Rekisterinpitäjä Järvenpään lasten ja nuorten lautakunta Järvenpään kaupunki Hallintokatu 2, PL 41 04401 Järvenpää p. keskus 09 21 797 2. Osarekisteriasioista vastaava henkilö ja yhteyshenkilö Lasten

Lisätiedot

Järjestäjä järjestää kilpailun yhteistyössä Dr. Oetkerin kanssa (jäljempänä Yhteistyökumppani ).

Järjestäjä järjestää kilpailun yhteistyössä Dr. Oetkerin kanssa (jäljempänä Yhteistyökumppani ). Koko Suomi leipoo - Joulukakkukisa Kilpailun nimi, paikka ja ajankohta: Koko Suomi leipoo - Joulukakkukisa, kilpailu 10.11.2014. 7.12.2014. Palkinto ja sen arvo: Kilpailun pääpalkintona on 1 kpl OBH Nordica

Lisätiedot

MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto

MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto 3.5.2011 Laki julkisen hallinnon tietohallinnon ohjauksesta Lain tavoitteena on luoda toimivalta ja ohjausmalli,

Lisätiedot

REKISTERISELOSTE. Tervon kunta 4.2.2016. Tarkoitettu asiakkaille. Henkilötietolaki (523/99) 10, 24. Oppilas- ja opiskelijahuoltolaki (1287/2013)

REKISTERISELOSTE. Tervon kunta 4.2.2016. Tarkoitettu asiakkaille. Henkilötietolaki (523/99) 10, 24. Oppilas- ja opiskelijahuoltolaki (1287/2013) Tervon kunta 4.2.2016 REKISTERISELOSTE Tarkoitettu asiakkaille Henkilötietolaki (523/99) 10, 24 Oppilas- ja opiskelijahuoltolaki (1287/2013) Sisällys 1. REKISTERIN NIMI 2. REKISTERINPITÄJÄ 3. REKISTERIN

Lisätiedot

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA LIIKENNE- JA VIESTINTÄMINISTERIÖ Muistio Liite 1 Viestintäneuvos 27.10.2015 Kreetta Simola LUONNOS VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA Taustaa Vuoden

Lisätiedot

Liite/Kvalt , 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Isonkyrön kunta

Liite/Kvalt , 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Isonkyrön kunta Öo Liite/Kvalt 13.10.2014, 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET Isonkyrön kunta Isonkyrön kunnan ja kuntakonsernin 1 (5) Sisällys 1 Lainsäädäntöperusta

Lisätiedot

HE 305/2010 vp. Hallituksen esitys Eduskunnalle laeiksi sosiaaliturvan muutoksenhakulautakunnasta annetun lain 17 :n ja vakuutusoikeuslain

HE 305/2010 vp. Hallituksen esitys Eduskunnalle laeiksi sosiaaliturvan muutoksenhakulautakunnasta annetun lain 17 :n ja vakuutusoikeuslain HE 305/2010 vp Hallituksen esitys Eduskunnalle laeiksi sosiaaliturvan muutoksenhakulautakunnasta annetun lain 17 :n ja vakuutusoikeuslain 21 :n muuttamisesta ESITYKSEN PÄÄASIALLINEN SISÄLTÖ Esityksessä

Lisätiedot

TIETOSUOJASELOSTE Henkilötietolaki (523/99) 10 JA 24. 1. Rekisterin nimi Kokkolan perheneuvolan asiakas- ja potilasrekisteri

TIETOSUOJASELOSTE Henkilötietolaki (523/99) 10 JA 24. 1. Rekisterin nimi Kokkolan perheneuvolan asiakas- ja potilasrekisteri TIETOSUOJASELOSTE Henkilötietolaki (523/99) 10 JA 24 Laatimispvm: 25.1.2012 1. Rekisterin nimi Kokkolan perheneuvolan asiakas- ja potilasrekisteri 2.Rekisterinpitäjä Kokkolan kaupunki Sosiaali- ja terveystoimi

Lisätiedot

Valtioneuvoston asetus

Valtioneuvoston asetus Valtioneuvoston asetus julkisen hallinnon turvallisuusverkkotoiminnasta Valtioneuvoston päätöksen mukaisesti säädetään julkisen hallinnon turvallisuusverkkotoiminnasta annetun lain (10/2015) nojalla: 1

Lisätiedot

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET KOKKOLAN KAUPUNKI Syyskuu 2014 Keskushallinto SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET SISÄLLYSLUETTELO 1. YLEISTÄ 2. SISÄISEN VALVONNAN JA RISKIENHALLINNAN TAVOITE JA TARKOITUS; KÄSITTEET 3. SISÄISEN

Lisätiedot

SoTe kuntayhtymä/perusturvaliikelaitos Saarikka REKISTERISELOSTE Pegasos-potilastietojärjestelmä -tietokanta Työterveyshuolto 18.3.

SoTe kuntayhtymä/perusturvaliikelaitos Saarikka REKISTERISELOSTE Pegasos-potilastietojärjestelmä -tietokanta Työterveyshuolto 18.3. Työterveyshuolto 18.3.2015 Sivu 1/5 1 Rekisterin nimi Pegasos-potilastietojärjestelmä/ SoTe kuntayhtymä/perusturvaliikelaitos Saarikka tietokanta, työterveyshuolto 2 Rekisterinpitäjä SoTe kuntayhtymä/perusturvaliikelaitos

Lisätiedot

JHS 156 suosituksen päivitys

JHS 156 suosituksen päivitys JHS 156 suosituksen päivitys Mikael Himanka, Avain Technologies Oy Sisältö Suosituksen aikataulu Päivityksen taustat Suosituksen tavoitteet Suosituksen avulla saavutettavat edut Suosituksen menetelmät

Lisätiedot

Oulun kaupunki. Ulkoisen tarkastuksen johtosääntö. Voimaantulo

Oulun kaupunki. Ulkoisen tarkastuksen johtosääntö. Voimaantulo Oulun kaupunki Ulkoisen tarkastuksen johtosääntö Voimaantulo 1.1.2013 päätöspäivä voimaantulo Johtamisjärjestelmätoimikunta 5.10.2012 22 Yhdistymishallitus 7.11.2012 110 Kaupunginvaltuusto 12.11.2012 10

Lisätiedot

Riippumattomat arviointilaitokset

Riippumattomat arviointilaitokset Riippumattomat arviointilaitokset CSM Riskienhallinta -asetuksen mukainen riippumaton arviointi Komission asetus (352/2009/EY) yhteisestä turvallisuusmenetelmästä, CSM riskienhallinta-asetus, vaatii rautatiejärjestelmässä

Lisätiedot

Lastenvalvojan rekisteriseloste

Lastenvalvojan rekisteriseloste Lastenvalvojan rekisteriseloste SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERINPITÄJÄ 3. REKISTERIN VASTUUHENKILÖ 4. REKISTERIASIOITA HOITAVAT HENKILÖT 5. REKISTERIN KÄYTTÖTARKOITUS 6. REKISTERIN PITÄMISEN PERUSTE

Lisätiedot

Tiedostojen tallentaminen Xamkissa

Tiedostojen tallentaminen Xamkissa Tiedostojen tallentaminen Xamkissa Valmistelu: Marjaana Kivelä, Pirkko Rautaniemi, Jari Väisänen, Marjo Nykänen, Susanna Voutila, Riitta Leviäkangas, Kati Hoffren ja Kimmo Hoikka Lähtökohtana tiedostojen

Lisätiedot

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa. Laatimispäivä: 10 /2015 Tämä on tietosuojaseloste, joka sisältää rekisteriselosteen ja asiakkaiden henkilötietojen käsittelyä koskevan informoinnin. 1. Toiminnasta vastaava rekisterinpitäjä Nimi: Katuosoite:

Lisätiedot

Hyväksytyt asiantuntijat

Hyväksytyt asiantuntijat 1(4) Hyväksytyt asiantuntijat Pätevyysalue Pätevyysluokat Tarkastuskohteet Tässä muistiossa käsitellään ajoneuvolain 1090/2002 (muutettuna viimeksi 1042/2014) 48 2 momentin nojalla Liikenteen turvallisuusviraston

Lisätiedot

Järvenpään lasten ja nuorten lautakunta. Järvenpään kaupunki Hallintokatu 2, PL Järvenpää p. keskus

Järvenpään lasten ja nuorten lautakunta. Järvenpään kaupunki Hallintokatu 2, PL Järvenpää p. keskus 1. Rekisterinpitäjä Järvenpään lasten ja nuorten lautakunta Järvenpään kaupunki Hallintokatu 2, PL 41 04401 Järvenpää p. keskus 09 21 797 2. Osarekisteriasioista vastaava henkilö ja yhteyshenkilö Lasten

Lisätiedot

eresepti- ja KANTA-hankkeissa

eresepti- ja KANTA-hankkeissa Tietoturvallisuus ja yksityisyydensuoja 1 eresepti- ja KANTA-hankkeissa Teemupekka Virtanen Sosiaali- ja terveysministeriö teemupekka.virtanen@stm.fi 2 Käsitteitä Tietosuoja, yksityisyyden suoja Periaatteessa

Lisätiedot

Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä. 1. Rekisterinpitäjä Nimi. Pohjois-Karjalan koulutuskuntayhtymä

Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä. 1. Rekisterinpitäjä Nimi. Pohjois-Karjalan koulutuskuntayhtymä HENKILÖREKISTERISELOSTE Henkilötietolaki (523/99) 10 Laatimispvm: 27.1.2009 Tarkastettu 22.6.2016 Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä. 1. Rekisterinpitäjä

Lisätiedot

Tietosuojaseloste. Nimi ja vastuualue Vastaanoton sairaanhoitaja Yhteystiedot Anttilantie 2, 37470 Vesilahti Puh. 03 565 27000

Tietosuojaseloste. Nimi ja vastuualue Vastaanoton sairaanhoitaja Yhteystiedot Anttilantie 2, 37470 Vesilahti Puh. 03 565 27000 1 28.1.2015 Selosteen laadinta-/ tarkastuspvm. 1. Rekisterinpitäjä Nimi Perusturvalautakunta Yhteystiedot (osoite, puhelin, sähköposti, fax) Suupantie 11, 33960 Pirkkala puh. 03 565 2400, fax 03 565 25072

Lisätiedot