JOENSUUN KAUPUNGIN TIETOTURVASUUNNITELMA

Koko: px
Aloita esitys sivulta:

Download "JOENSUUN KAUPUNGIN TIETOTURVASUUNNITELMA"

Transkriptio

1 JOENSUUN KAUPUNGIN Kaupunginhallitus hyväksynyt: xx.yy.2015 Hyväksytty YT-toimikunnassa: xx.yy.2015 Käsitelty tietohallintoryhmässä Päivitetty: Päivittäjä: Pekka Penttinen, tietohallintopäällikkö

2 2 SISÄLTÖ 1. N TAUSTAA Yleistä Juridista taustaa HALLINNOLLISET TURVALLISUUSTOIMENPITEET JA JOHTAMINEN Tietototurvatoimenpiteiden arviointi Tietoturvariskien kartoitus ja arviointi Kaupungin tietoturvatoiminnan arviointi Tietoturvapoikkeamien hallinta Sopimukset TIETOTURVATOIMENPITEET JA MENETTELYT Tietoaineistoturvallisuus Käsiteltävän tietoaineiston tietosuoja Tietojärjestelmien kuvaus ja luokittelu sekä tietoaineistojen luokitus Tiedostojen, asiakirjojen ja muiden tietovälineiden säilytys Tietoaineistojen ja -järjestelmien varmuuskopiointi Tietoaineistojen arkistointi ja suojakopioiden säilytys Tarpeettomien tietojen hävittäminen turvallisesti Siirrettävien tietovälineiden tietoturva Asiakkaiden tietojen salassapito ja tietosuoja Oikeus järjestelmien tietoihin ja käytöstä kerättäviin tietoihin Henkilöstöturvallisuus Fyysinen turvallisuus Laitteistoturvallisuus Ohjelmistoturvallisuus Tietoliikenneturvallisuus Tietoliikennelaitteiston luettelointi Käytön- ja verkonvalvonta Ongelmatilanteiden kirjaus ja muutoksenvalvonta Tietoturvapoikkeamat tietoliikenteessä Käyttöturvallisuus Järjestelmien ylläpito Etätyön ja -käytön tietoturva Tietotekninen valvonta Käyttöoikeuksien hallinta Haittaohjelmistoilta suojautuminen Sosiaalinen hakkerointi ULKOISTETTUJEN TIETOJENKÄSITTELYTOIMINTOJEN TURVALLISUUS TIETOTURVATOIMENPITEET HANKINTOJEN YHTEYDESSÄ Järjestelmäkehityksen turvallisuus TIETOTURVAN SEURANTA, VALVONTA, TARKASTUS JA TESTAUS TIETOTURVAKOULUTUS TIETOTURVAN KEHITTÄMINEN SUUNNITELMAN PÄIVITYS JA TOIMENPITEIDEN YLLÄPITO RAPORTOINTI JOHDOLLE LIITE 1: AN LIITTYVÄT DOKUMENTIT... 23

3 3 1. N TAUSTAA 1.1. Yleistä Joensuun kaupungin tietoturvasuunnitelma perustuu kaupunginhallituksen hyväksymän tietoturvapolitiikan määrittelemiin linjauksiin ja periaatteisiin sekä koko toiminnan kannalta tehtävien riskikartoituksien tuloksiin. Suunnitelmassa viedään politiikassa määriteltyjä tietoturvan toteutusmenetelmiä käytännön toimenpiteiden asteelle, josta ne edelleen tarkennetaan järjestelmä- ja palvelukohtaisiksi toimintaohjeiksi, henkilöstön toiminta- ja käyttäytymisohjeistuksiksi, tietoaineistojen käsittelyohjeiksi sekä toimintaohjeiksi keskeytymistilanteista toipumiseksi. Tehtyjen ohjeiden, kuten myös itse tietoturvasuunnitelman, ajantasaisuus tarkistetaan vähintään kerran vuodessa. Tietoturvasuunnitelmassa kuvailluilla tietoturvatoimenpiteillä pyritään täyttämään ja noudattamaan säädettyjä lakeja, asetuksia ja standardeja sekä luomaan toimintaympäristö, jossa Joensuun kaupungin toiminnan kannalta olennaisin tieto, tietojärjestelmät, tietoliikenne, palvelut, henkilöstö sekä tietojen käytettävyys olisivat suojattuja ulkoisilta ja sisäisiltä tietoturvauhkilta Juridista taustaa Tietoturva tarkoittaa tietojen, palvelujen, järjestelmien ja tietoliikenteen suojaamista ja varmistamista niihin kohdistuvien riskien hallitsemiseksi lainsäädännöllisillä, hallinnollisilla, teknisillä ja muilla toiminnoilla sekä normaali- että poikkeusoloissa. Rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. (Henkilötietolaki (523/2004) 32, Tietojen suojaaminen.) Kaikissa tietojärjestelmätoiminnoissa tulee näiden ohjeiden lisäksi noudattaa yleisiä tietoturvatoimintoja ohjaavia säädöksiä, erikseen tehtyjä sopimuksia, EU-direktiivejä ja määriteltyjä standardeja. Yhtenä tietoturvapolitiikan perustana olevan hyvän tiedonhallintatavan määrittelee laki viranomaisten toiminnan julkisuudesta (621/1999) 18 : Viranomaisen tulee hyvän tiedonhallintatavan luomiseksi ja toteuttamiseksi huolehtia asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muista tietojen laatuun vaikuttavista tekijöistä sekä tässä tarkoituksessa erityisesti: 1. pitää luetteloa käsiteltäviksi annetuista ja otetuista sekä ratkaistuista ja käsitellyistä asioista tai muutoin huolehtia siitä, että sen julkiset asiakirjat ovat vaivattomasti löydettävissä;

4 4 2. laatia ja pitää saatavilla kuvaukset pitämistään tietojärjestelmistä sekä niistä saatavissa olevista julkisista tiedoista, jollei tiedon antaminen ole vastoin 24 :n tai muun lain säännöksiä; 3. selvittää tietojärjestelmien käyttöönottoa sekä hallinnollisia ja lainsäädännöllisiä uudistuksia valmisteltaessa suunniteltujen toimenpiteiden vaikutus asiakirjojen julkisuuteen, salassapitoon ja suojaan sekä tietojen laatuun samoin kuin ryhtyä tarpeellisiin toimenpiteisiin tietoon liittyvien oikeuksien ja tiedon laadun turvaamiseksi sekä asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen suojan järjestämiseksi; 4. suunnitella ja toteuttaa asiakirja- ja tietohallintonsa samoin kuin ylläpitämänsä tietojärjestelmät ja tietojenkäsittelyt niin, että asiakirjojen julkisuus voidaan vaivattomasti toteuttaa ja että asiakirjat ja tietojärjestelmät sekä niihin sisältyvät tiedot arkistoidaan tai hävitetään asianmukaisesti ja että asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen suoja, eheys ja laatu turvataan asianmukaisin menettelytavoin ja tietoturvajärjestelyin ottaen huomioon tietojen merkitys ja käyttötarkoitus sekä asiakirjoihin ja tietojärjestelmiin kohdistuvat uhkatekijät ja tietoturvatoimenpiteistä aiheutuvat kustannukset; 5. huolehtia siitä, että sen palveluksessa olevilla on tarvittava tieto käsiteltävien asiakirjojen julkisuudesta sekä tietojen antamisessa ja käsittelyssä sekä niiden ja asiakirjojen ja tietojärjestelmien suojaamisessa noudatettavista menettelyistä, tietoturvajärjestelyistä ja tehtävänjaosta, samoin kuin siitä, että hyvän tiedonhallintatavan toteuttamiseksi annettujen säännösten, määräysten ja ohjeiden noudattamista valvotaan. Arkistotoimen tehtävistä on voimassa, mitä arkistolaissa (831/1994) tai sen nojalla säädetään tai määrätään. Hyvän tiedonhallintatavan toteuttaminen liittyy keskeisesti säännösten puitteissa myös tietoturvan toteutumiseen. Tietoturvan suunnittelun yhteydessä on hyvän tiedonhallintatavan toteuttamiseksi laadittava selvityksiä, joista on määrätty asetuksella n:o 1030/1999 viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1 ): Viranomaisen on viranomaisten toiminnan julkisuudesta annetun lain (621/1999) kohdassa tarkoitettujen toimenpiteiden suunnittelua ja toteuttamista varten arkistolaissa (831/1994) tarkoitettua arkistonmuodostussuunnitelmaa hyväksi käyttäen selvitettävä ja arvioitava asiakirjansa ja tietojärjestelmänsä sekä niihin talletettujen tietojen merkitys samoin kuin asiakirja- ja tietohallintonsa. Toimenpiteiden tarvetta arvioitaessa on kiinnitettävä huomiota siihen, kuinka toteutetaan: 1. oikeus saada tietoja viranomaisten julkisista asiakirjoista; 2. velvollisuus tuottaa ja jakaa tietoja sekä antaa tietoja keskeneräisistä asioista; 3. henkilötietojen, erityisesti arkaluonteisten tietojen, suojaaminen; 4. salassa pidettäviksi säädettyjen tietojen suojaaminen; 5. tietojen käyttötarkoituksia koskevat rajoitukset; 6. tietojen käytettävyys, eheys ja laatu viranomaisen tehtävän hoidossa ja viranomaisten yhteistyössä; 7. tietojen laatu erityisesti käytettäessä niitä yksilöitä ja yhteisöjä koskevan päätöksenteon pohjana tai oikeuksien ja velvollisuuksien osoittajina. Hyvän tiedonhallintatavan toteuttamiseksi on lisäksi selvitettävä ja arvioitava tietojen saatavuuteen, käytettävyyteen, laatuun ja suojaan sekä tietojärjestelmien

5 5 turvallisuuteen vaikuttavat uhat sekä niiden vähentämiseksi ja poistamiseksi käytettävissä olevat keinot ja niiden kustannukset sekä muut vaikutukset. Viranomaisen on 1 ja 2 momentissa tarkoitettujen selvitysten perusteella arvioitava ja toteutettava tarvittavat toimenpiteet hyvän tiedonhallintatavan toteuttamiseksi. 2. HALLINNOLLISET TURVALLISUUSTOIMENPITEET JA JOHTAMINEN Hallinnollinen turvallisuus on tietoturvan osa-alue, joka käsittää kaupungin toimintalinjaukset, periaatteet, organisaatiojärjestelyt, henkilöstön tehtävien ja vastuiden määrittelyn, tietoturvaohjeistuksen ja - koulutuksen suunnittelun sekä tietoturvallisen toiminnan kehittämisen osaksi päivittäistä toimintaa. Lisäksi hallinnolliseen turvallisuuteen kuuluu tietoturvariskien kartoituksien järjestäminen säännöllisin väliajoin sekä muutostilanteissa (esim. uuden järjestelmän tai palvelun käyttöönotto) tarkoitukseen sopivilla työkaluilla ja menetelmillä. Joensuun kaupungin tietoturvalinjaukset ja -periaatteet on kirjattu kaupungin tietoturvapolitiikkaan, jonka kaupunginhallitus on hyväksynyt. Tietoturvapolitiikassa on kuvattu myös tietoturvaan liittyvät organisaatiojärjestelyt sekä henkilöstön tehtävät ja vastuut. Yleisemmät em. määrittelyt kuvataan hallintosäännössä. Listaus eri toimintaalueisiin liittyvistä tietoturvaohjeistuksista on kirjattu tämän dokumentin (Tietoturvasuunnitelma) liitteeksi. Tietoturvakoulutuksen järjestämisperiaatteet ja tietoturvatoiminnan kehittäminen on kuvattu tämän dokumentin luvuissa 8 ja Tietoturvatoimenpiteiden arviointi Joensuun kaupungissa toteutettavia tietoturvatoimenpiteitä arvioidaan kaksitasoisesti. Operatiivisella tasolla arviointia toteutetaan tietoturvariskien kartoituksella ja arvioinnilla, joiden avulla pyritään löytämään kaupungin käytännön toiminnantasolla ilmeneviä tietoturvapuutteita ja suunnittelemaan puutteita korjaavat toimenpiteet. Organisaatiotasolla arviointia tehdään tietoturvan hallinnan kypsyystason ja varautumistason määrittämisellä organisaation hallinnon ja sen eri IT-toimintojen puitteissa Tietoturvariskien kartoitus ja arviointi Tietoturvatoimet perustetaan vaatimuksiin, joita toiminta ja palvelut asettavat tietojenkäsittelyn varmuudelle, käytettävyydelle, salassapidolle, laadulle ja toiminnan jatkuvuudelle sekä toimintaan kohdistuvien riskien arviointiin. Tietoturvariskien kartoituksella ja arvioinnilla arvioidaan riskit, niiden todennäköisyydet ja riskien toteutuessa aiheutuvat menetykset sekä vaihtoehtoisten turvallisuustoimien kustannukset/haitat. Samalla hahmotetaan taloudellisesti ja toiminnallisesti edullinen ratkaisu. Tietoturvariskien kartoitus ja arviointi tehdään säännöllisin väliajoin ja liitetään esim. muuhun työpaikalla tehtävään riskienarviointiin. Kartoitus tehdään myös muutettaessa

6 6 oleellisesti toimintayksiköiden ICT-toimintaympäristöä, esim. valmisteltaessa merkittävien järjestelmien käyttöönottoa tai muutettaessa ICT-palvelujen järjestämistapaa tai mikäli kaupungin johto katsoo sen tekemiseen olevan erityistä syytä Kaupungin tietoturvatoiminnan arviointi Kuntien omistama Pohjois-Karjalan Tietotekniikkakeskus Oy (myöh. PTTK Oy) on määritellyt omassa tietoturvapolitiikassaan: Yhtiön yleisempänä päämääränä on saavuttaa KATAKRI 3 -standardin määrittelemä tietoturvan ja varautumisen perustaso kaikessa toiminnassaan sekä korotettu taso kriittisiksi määritellyissä toimintaprosesseissa, tietojärjestelmissä ja palveluissa. Tästä johdateltuna määriteltäessä Joensuun kaupungin kannalta kriittisiä toimintaprosesseja, tietojärjestelmiä tai palveluja käytetään ensisijaisesti periaatteita, jonka mukaan: - toimintaprosessit, tietojärjestelmät tai palvelut, jotka ovat Joensuun kaupungin kannalta kriittisiä, ovat kriittisiä myös PTTK Oy:n toiminnan kannalta. - kaikki muu em. kohtien ulkopuolelle jäävä toiminta saatetaan ICT-varautumisen perustasolle, josta niitä voidaan tapauskohtaisesti nostaa tarvittaessa korotetulle tasolle Pyrkimyksenä on saattaa Joensuun kaupungin ja PTTK Oy:n tietoturvatoiminnan kypsyys- ja varautumistasot vastaamaan toisiaan, minkä jälkeen Joensuun kaupunki voi yhdessä PTTK Oy:n kanssa vaatia vähintään samantasoista tietoturvatasoa yhteistyökumppaneiltaan sekä tulevissa hankinnoissa että sopimuksissa Tietoturvapoikkeamien hallinta Tietoturvallisuuteen poikkeamia aiheuttavat tilanteet voivat olla tahallisia tai tahattomia. Poikkeamien hallintaprosessi (kuva 1) on osa tietoturvan johtamisjärjestelmää ja riskien hallinnan osa-alue.

7 7 Kuva 1. Tietoturvapoikkeamien hallintaprosessi. Kaupungissa varaudutaan suunnitelmallisesti jo etukäteen suurimpiin riskeihin sekä suunnitellaan korjaavat toimenpiteet, toipuminen ja kriisiviestintä. Poikkeamien käsittely on osa normaalia toimintaa ja siihen liittyy määritelty prosessi. Tietoturvakäytännöt ja periaatteet (tietoturvasuunnitelma ohjeistuksineen) kuvaa kaupungin käytössä olevat erilaiset suojautumiskeinot ja menetelmät, joilla tietoturvallisuutta ylläpidetään. Vakaviin tietoturvaongelmiin liittyviä ja nopeaa reagointia vaativia toimenpiteitä koordinoi tietoturvavastaava, joka ongelmien ilmetessä alkaa toteuttaa välittömästi ennalta suunniteltuja menettelyjä tietoturvaongelmien poistamiseksi. Tietohallintopäällikön tehtäviin kuuluu tietoturvallisuuteen liittyvien suunnitelmien ja ohjeistuksien katselmointi ja käytäntöön vienti. Henkilöstöä koskevat ohjeistukset katselmoidaan ja hyväksytetään myös yhteistyötoimikunnassa ennen niiden käyttöönottoa Sopimukset Hankintojen yhteydessä voi olla tarvetta solmia erillinen turvallisuussopimus. Siinä määritetään mm. sopimusosapuolien kesken jaettavien tietojen suojausperiaatteet ja salassapitoajat. Sopimuksilla pyritään estämään tietovuotoja ja -varkauksia toimitusten yhteydessä tai niiden jälkeen sekä varmistamaan, että toimitus vastaa kaupungin tietoturvapolitiikkaa. Toimittajasta tehdään turvallisuusselvitys riippuen hankkeen tai palvelun kriittisyydestä.

8 8 3. TIETOTURVATOIMENPITEET JA MENETTELYT Tässä luvussa on käyty läpi, kuinka kaupungissa toteutetaan tietoturvaa sen eri osaalueilla ja millaisin toimenpitein Tietoaineistoturvallisuus Tietoaineistoturvallisuus on tietoturvan osa-alue, johon kuuluu: - käsiteltävän tietoaineiston tietosuoja - tietoaineistojen ja tietojärjestelmien luokitus ja luettelointi - tiedostojen, asiakirjojen ja muiden tietovälineiden säilytys - tietoaineistojen ja -järjestelmien varmuuskopiointi - tietoaineistojen arkistointi ja suojakopioiden säilytys - tarpeettomien tietojen hävittäminen turvallisesti - siirrettävien tietovälineiden tietoturva (levyke, CD, USB - muistit) Käsiteltävän tietoaineiston tietosuoja Joensuun kaupungissa käsitellään tietosuojan piiriin kuuluvaa tietoaineistoa, kuten henkilötietoja. Näiden tietojen tietosuojan toteutuminen varmistetaan tietoaineistojen luokituksilla, tietojen käsittelyn ohjeistuksilla tehdyn luokituksen mukaisesti, kyseisiä tietoaineistoja sisältävien tietojärjestelmien tarjoamilla suojauskeinoilla ja tietosuojakoulutuksilla arkaluonteista tietoa käsitteleville henkilöille. Lisäksi henkilörekistereitä sisältävistä järjestelmistä laaditaan julkisuuslain mukaiset tietosuojaselosteet. Henkilö- ja asiakastietojen käsittelyssä noudatetaan erityistä tarkkuutta ja tietojen lähettämisessä sähköisesti tulee käyttää suojattuja yhteyksiä, esimerkiksi suojattua sähköpostia Tietojärjestelmien kuvaus ja luokittelu sekä tietoaineistojen luokitus Tietojärjestelmien luettelointi ja luokittelu Joensuun kaupungissa käytettävät tietojärjestelmät luetteloidaan ja luokitellaan kaupungin toiminnan kannalta tärkeysjärjestykseen riskianalyysin avulla. Järjestelmien tärkeysluokkaan vaikuttavia tekijöitä ovat muun muassa niiden sisältämän tiedon tärkeysluokitus ja kunkin järjestelmän käytettävyysvaatimukset. Joensuun kaupungissa käytettävä järjestelmien luokitustapa pohjautuu PTTK Oy:n käyttämään luokitukseen: 1. Erittäin kriittiset Järjestelmä sisältää/välittää toiminnan kannalta erittäin kriittistä tietoa tai, käyttökatko voi olla enintään 2h, käytettävyys 99,5 % kuukaudessa 2. Kriittiset

9 9 Järjestelmä sisältää/välittää toiminnan kannalta kriittistä tietoa, käyttökatko voi olla enintään 4 tuntia, käytettävyys 99,0 % kuukaudessa 3. Tärkeät Järjestelmä sisältää/välittää toiminnan kannalta tärkeitä tietoja, käyttökatko voi olla enintään 8 tuntia arkipäivisin (korjausta jatketaan palveluajan ulkopuolella tarvittaessa), käytettävyys 95,0 % kuukaudessa 4. Normaalit Järjestelmä sisältää/välittää toiminnan kannalta tärkeitä tietoja, käyttökatko voi olla enintään 8 tuntia arkipäivisin (korjaus toteutetaan palveluaikana), käytettävyys 90 % kuukaudessa 5. Ei-kriittiset Järjestelmä ei sisällä/välitä toiminnan kannalta tärkeitä tietoja, käyttökatko voi olla enintään 2 vuorokautta (korjaus toteutetaan palveluaikana), käytettävyys 80 % kuukaudessa Tietoaineistojen luokitus Tietoaineisto voidaan jakaa julkiseen, julkaistavaan tai salassa pidettävään tietoon. Salassa pidettävä tieto on joko kokonaan tai osittain ja pysyvästi tai määräajan salassa pidettävää. Tietoturvatoimien oikean kohdistamisen vuoksi Joensuun kaupungilla käsiteltävät tiedot käydään läpi ja luokitellaan tiedonohjaussuunnittelun yhteydessä. Kaupungin eri yksiköiden käsittelemien tietojen luovutuksesta päättävät ne, joille on määritelty asiakirjan tai tietojen antamista koskeva päätösvalta. Luovutuksessa on otettava huomioon tietojen luokitus sekä julkisuuslain, henkilötietolain, potilaslain, asiakaslain ja muidenkin tietojen luovuttamiseen vaikuttavien säädösten ja määräysten asettamat ehdot Tiedostojen, asiakirjojen ja muiden tietovälineiden säilytys Normaaleihin työasioihin liittyvät tai niiden yhteydessä muodostuvat asiakirjat ja tiedostot tallennetaan verkkolevylle, asianhallintajärjestelmään tai muihin tietojärjestelmiin mahdollisuuksien mukaan päivittäin. Paperidokumentit skannataan tarvittaessa sähköiseen muotoon ja tallennetaan asianhallintaan tai johonkin muuhun tietojärjestelmään, minkä jälkeen paperiversiot tarvittaessa arkistoidaan. Tietoaineistojen asianhallintaan viemisen yhteydessä tehdään aineiston luokitus kohdan kuvaamalla tavalla ja tämän luokituksen perusteella voidaan määritellä ko. aineiston käsittely- ja säilytystavat. Muut tietovälineet kuten CD/DVD:t, videokasetit, jne. luetteloidaan ja luokitellaan ennen kuin ne laitetaan sopivaan säilytyspaikkaan. Joensuun kaupungin henkilökunnan omien tiedostojen tallennuspaikkana toimivat jokaisen työntekijän henkilökohtaiset työhakemistot, jotka sijaitsevat tähän käyttöön

10 10 tarkoitetulla verkkolevyllä. Työhakemistoihin liittyvät käytännöt on kirjattu erilliseksi ohjeistukseksi (käyttäjän tietoturvakäsikirja) Tietoaineistojen ja -järjestelmien varmuuskopiointi Asianhallintajärjestelmässä, muissa tietojärjestelmissä ja verkkolevyillä olevien tietoaineistojen varmuuskopiointi toteutetaan kyseiset toiminnot toteuttavien tietojärjestelmien varmuuskopiointien yhteydessä, joiden tarkempi suoritus on kuvattu järjestelmäkohtaisissa kuvauksissa Tietoaineistojen arkistointi ja suojakopioiden säilytys Kaupungin toiminnan yhteydessä muodostuvat tietoaineistot arkistoidaan asiakirjahallinnon ohjeen mukaisesti Tarpeettomien tietojen hävittäminen turvallisesti Tietoaineistojen luokittelun yhteydessä määritetään ko. aineiston säilytysaika, jonka jälkeen aineiston ja siihen liittyvän muun tiedon voi poistaa kaupungin tietojärjestelmistä. Tuhottavat paperidokumentit laitetaan niille erikseen varattuihin lukittuihin säiliöihin, joiden täyttyessä palvelua tarjoava turvayhtiö huolehtii säiliöiden noutamisesta ja dokumenttien tuhoamisesta. Kaupungin käytöstä poistuville/uuteen käyttöön menevien työasemien, kiintolevyjen ja muiden talletusmedioiden tietojenhävittämiselle on luotu PTTK Oy:n puolesta käytäntö, jota kaupungilla myös noudatetaan. Poistuvat tai uuteen käyttöön menevät työasemat sekä kiintolevyt käsitellään PTTK Oy:n toimesta käyttäen em. käytäntöjä Siirrettävien tietovälineiden tietoturva Yleisenä periaatteena on, ettei työtiedostoja ja -asiakirjoja viedä työpaikan ulkopuolelle eikä salaiseksi luokiteltua aineistoa luovuteta vastoin sovittuja ja lakisääteisiä luovutuskäytäntöjä. Salaiseksi luokitellun aineiston käsittelyssä tulee noudattaa erityistä varovaisuutta. Kuitenkin on tilanteita, jolloin mm. sähköisessä muodossa olevia työtiedostoja tarvitaan esim. koulutus-, esittely- tai kokoustilanteissa työpaikan ulkopuolella. Tällöin noudatetaan seuraavia periaatteita: - CD/DVD levyjä tai levykkeitä käytettäessä varmistutaan, ettei tietoväline tai sen sisältämä tieto joudu ulkopuolisten tahojen haltuun - USB-muistitikkua käytettäessä suositellaan käyttämään joko tikun omaa salausta tai erillistä salausohjelmaa Jos usb-tikun mukana ei tule salausominaisuutta, saa erillisen salausohjelman ja siihen liittyvän käyttökoulutuksen pyydettäessä PTTK Oy:ltä.

11 11 Älypuhelimet Älypuhelimiin voidaan nykyisin tallentaa merkittävät määrät tietoja, mikä merkitsee esim. puhelimen kadotessa todellista tietoturvauhkaa. Tämän vuoksi työtiedostojen ja salasanojen tallentaminen puhelimeen tai siinä olevaan erilliseen muistikorttiin ei ole sallittu. Työpuhelimet suojataan suojakoodilla ja muistikortit salasanalla. Älypuhelimet voidaan liittää PTTK Oy:n hallinnoimaan etähallintajärjestelmään, jonka avulla puhelin saadaan lukittua tai tyhjennettyä etänä laitteen katoamis-/varkaustapauksissa. Samalla henkilöstöä kehotetaan noudattamaan puhelinkäyttäytymisohjeistuksessa (käyttäjän tietoturvakäsikirja) mainittua erityistä varovaisuutta soittaessaan/vastatessaan työpuheluita työpaikan ulkopuolella olevissa julkisissa ympäristöissä Asiakkaiden tietojen salassapito ja tietosuoja Joensuun kaupunki noudattaa asiakkaidensa tietoaineistoja käyttäessään niitä salassapito- ja tietosuojamäärityksiä, joita kyseisiä asioita koskien on määritelty JHS 166 liitteen 2 (JIT 2007 Yleiset ehdot) luvun 26 kohdissa 1-6 sekä luvun 27 kohdissa 1-5. JHS 166 liite 2 (JIT 2007 Yleiset ehdot) 26 SALASSAPITO (1) Tilaaja noudattaa julkisyhteisönä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) sekä muussa lainsäädännössä olevia salassapitoa ja julkisuutta koskevia säännöksiä. (2) Sopijapuolet pitävät toisiltaan saamansa luottamukselliseksi merkityn tai muuten luottamukselliseksi tai liikesalaisuudeksi katsottavan aineiston salassa eivätkä käytä tietoja muihin kuin sopimuksen mukaisiin tarkoituksiin. Tilaajalla on kuitenkin velvollisuus noudattaa kohdan 26(1) mukaisia velvoitteitaan. Sopijapuolet vastaavat, että kaikki heidän palveluksessaan olevat samoin kuin alihankkijat noudattavat tätä määräystä. Sopijapuolella on oikeus vaatia perustellusta syystä erillisen salassapitositoumuksen allekirjoittamista niiltä toisen sopijapuolen tai tämän alihankkijan palveluksessa olevilta, jotka sopimuksen toteuttavat. Tämä määräys on voimassa myös sopimuksen päättymisen jälkeen. (3) Salassapitovelvollisuus ei koske tietoa, joka on yleisesti saatavilla tai julkista tai jonka sopijapuoli on saanut laillisesti haltuunsa muuten kuin toiselta sopijapuolelta. (4) Sopijapuolet huolehtivat omilla vastuualueillaan, että tietosuojaa ja salassapitoa koskevat säädökset ja viranomaisten antamat määräykset otetaan huomioon. (5) Jos sopimus tai toimeksianto päättyy tai purkautuu, sopijapuoli palauttaa tai toisen sopijapuolen suostumuksella hävittää toisen sopijapuolen luottamuksellisen aineiston. Aineistoa ei saa hävittää, mikäli laki tai viranomaisten määräykset vaativat säilyttämistä. (6) Sopijapuolella on oikeus käyttää toimituksen yhteydessä hankkimaansa ammattitaitoa ja kokemusta.

12 12 27 TIETOTURVA JA TIETOSUOJA (1) Toimittajan on noudatettava viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) tarkoitettua hyvää tiedonhallintatapaa sekä sopijapuolten mahdollisesti sopimia muita tietoturvajärjestelyjä tietoturvallisuudesta ja tietosuojasta huolehtimiseksi. (2) Toimittajan on huolehdittava, että sen omistamat laitteet sekä palvelutuotannon tilat on asianmukaisesti suojattu tietoturvariskejä vastaan ja että suojaukseen ja tiedonvarmistukseen liittyviä menettelyjä noudatetaan. Tilaajan on huolehdittava vastaavin tavoin omista tiloistaan. (3) Toimittaja noudattaa henkilötietolain (523/1999) edellyttämää hyvää tietojen käsittelytapaa ja tietojen suojaamista koskevia säännöksiä sekä muuta tietosuojaa koskevaa lainsäädäntöä. (4) Toimittaja huolehtii käsittelemiensä tietojen asianmukaisesta suojaamisesta laittoman tai tapaturmaisen häviämisen tai hävittämisen varalta. (5) Toimittaja ja tilaaja voivat erikseen sopia laite- ja ohjelmistotoimittajien tietoturvaan liittyvien päivitystoimenpiteiden toteuttamisesta. Toimittaja pyrkii seuraamaan aktiivisesti julkaistuja tiedotteita ja tekemään tilaajalle toimintasuosituksia tältä osin Oikeus järjestelmien tietoihin ja käytöstä kerättäviin tietoihin Tietoja kerättäessä ja käsiteltäessä noudatetaan lakia yksityisyyden suojasta työelämässä (759/2004) ja sähköisen viestinnän tietosuojalakia (516/2004) vuoden 2009 muutoksineen (125/2009). Kaupunki on järjestänyt tietojärjestelmät henkilöstön käyttöön kaupungin toimintaan kuuluvaa tiedonvälitystä varten. Näin ollen Joensuun kaupungilla on oikeus määrätä henkilöille annettujen, järjestelmien käyttöön oikeuttavien tunnusten käytöstä. Tietojärjestelmien tietoturvan valvonnan, tietojen varmistamisen ja toiminnan kehittämisen sekä tietojärjestelmien hallinnan tarpeisiin niiden käytöstä voidaan kerätä tietoja, jotka on kuvattu kyseisestä tietojärjestelmästä tehdyn selosteen yhteydessä. Tietojärjestelmien ja niiden sisällön turvallisuuden varmistamista sekä järjestelmien toiminnan ylläpitämistä varten niiden vastuuhenkilöillä on oikeus valvoa järjestelmien käyttöä ja tarvittaessa päästä käsiksi järjestelmien sisältämiin viesteihin ja muihin tietoihin sekä lukea, kopioida, siirtää ja tuhota niitä. Kaupungilla on tekijänoikeus kaikkiin palvelusuhteessa tai siihen verrattavissa olevan henkilöstön laatimiin, tietojärjestelmissä oleviin, kaupungin toimintaan liittyviin tietoihin ja viesteihin. Tietojärjestelmien tietojen ja viestien käyttö, kopiointi ja siirto on sallittu vain kaupungin toimintaan liittyvien tehtävien hoitamiseksi. Tietojärjestelmien käytöstä kerättävän tiedon (lokitiedot) säilytysaika vaihtelee mm. varmuuskopioiden säilytysaikojen tai muuten erikseen säädetyn mukaisesti.

13 Henkilöstöturvallisuus Henkilöstöturvallisuuden perustana on osaava ja sitoutunut henkilöstö, jolle tietoturvavastuut ja tehtävät on selkeästi kuvattu toimenkuvissa. Tietoturvan osalta toimenkuvat ja vastuut on kuvattu Joensuun kaupungin tietoturvapolitiikassa. Lisäksi tarvitaan riittävällä tasolla määritellyt prosessit, joissa kuvataan työtehtävät niin tarkasti, että avainhenkilöriskien syntyminen vältetään. Avainhenkilöriskien kartoituksessa ja hallinnassa tunnistetaan toiminnan kannalta avainhenkilöt sekä varmistetaan heidän käytettävyytensä organisaation palveluksessa eri tilanteissa. Näihin otetaan kantaa erityisesti toipumis-, varautumis- ja valmiussuunnittelun yhteydessä kuten myös VAP-varausten (vapautettu asepalveluksesta sodan aikana) tekemiseen, joka on osa riittävien henkilöresurssien varmistamista osana poikkeusoloihin liittyvässä valmiussuunnittelussa. Valmiussuunnittelussa otetaan huomioon lomat, poissaolot, työnkierto ja väliaikaisjärjestelyt riittävän hyvin sekä lisäksi valmennetaan henkilöstö poikkeusoloihin. Vaaralliset työyhdistelmät pyritään tunnistamaan ja poistamaan, jotta organisaation toiminnan suojaksi rakennettuja menetelmiä ei voida havaitsematta kiertää. Keskeisiä asioita ovat työhönottoon, toimenkuvien olennaisiin muutoksiin ja palvelussuhteen loppumiseen liittyvät prosessit. Tehtävien vaativuudesta tai luottamuksellisuudesta riippuen rekrytoitavan henkilön tausta, sopivuus ja osaaminen on selvitettävä ennen työhönottoa. Työhönoton yhteydessä henkilö allekirjoittaa työsopimuksen, johon sisältyy myös vaitiolositoumus ja viranhaltijan osalta asia huomioidaan virkamääräystä annettaessa.. Perehdytyksen yhteydessä tulee käydä läpi kaupungin tietoturvaohjeistus Fyysinen turvallisuus Fyysisen turvallisuuden tarkoituksena on turvata organisaation häiriötön toiminta kaikissa olosuhteissa niiden erityistarpeet ja riskit huomioon ottaen. Tähän tietoturvan osa-alueeseen kuuluvat mm. kulunvalvonta, kameravalvonta, muu tekninen valvonta ja vartiointi sekä palo-, vesi-, sähkö-, ilmastointi- ja murtovahinkojen torjunta. Lisäksi huomioidaan ovien lukitukset, paloturvakaapit, tietojärjestelmien sähkön saannin varmistaminen sekä henkilöiden, laitteiden ja aineistojen suojaaminen erilaisia tuhoja vastaan. Seuraavassa on lueteltu toimenpiteitä fyysisen turvallisuuden toteuttamiseksi. Tietojenkäsittely-ympäristön kehittäminen ja ylläpito Joensuun kaupungin tietojenkäsittely-ympäristön muodostavat laitteet, lähiverkko, tietoliikenneyhteydet ja ohjelmat sekä varsinaiset työtiedostot. Kaupungin päivittäisessä toiminnassa huolehditaan siitä, että tietojenkäsittely-ympäristön palvelutaso, automaatioaste, tehokkuus ja toipumiskyky erilaisista häiriöistä vastaavat jatkuvasti toiminnan tarpeita ja vaatimuksia. Laitetilat ja niiden sijainti Kaupungissa varmistutaan siitä, että tärkeät tietojenkäsittely- ja tietoliikennelaitteet (palvelimet, reitittimet, kytkimet) sijoitetaan omaan palo-, murto- ja vesivahingoilta turvassa olevaan tilaansa, jossa niiden riittävän häiriötön toiminta ja tarvittavien

14 14 tietovälineiden riskitön käsittely on varmistettu. Lisäksi huolehditaan, että laitteet ovat rakenteeltaan käyttötarkoitukseen sekä käyttöolosuhteisiin sopivat. Paloturvallisuus Laitteiden turvallisen sijoituksen lisäksi myös tietovälineitä säilytetään paloturvalliseen säilytykseen tarkoitetussa tietovälinekaapissa. Laitetilojen ulkopuolella syttyneen tulipalon aiheuttaman savun ja noen pääsy esimerkiksi keskusilmastoinnin kautta laitetiloihin ja laitteisiin estetään. Lisäksi huolehditaan riittävästä ja elektronisten laitteiden sammuttamiseen tarkoitetusta alkusammutuskalustosta ja henkilöstön alkusammutuskoulutuksesta. Murto-, varkaus- ja ilkivaltaturvallisuus Laitetilaan asennetaan hälytyksen siirrolla varustettu rikosilmoitinlaitteisto. Hälytys siirretään sellaiseen paikkaan, että kuori-, tila- ja kohdesuojauksen antaman ajan puitteissa voidaan saapua paikalle, ennen kuin vahinkoa on päässyt tapahtumaan. Vesivahinkoturvallisuus Varmistetaan, että tärkeät tietojenkäsittely- ja tietoliikennelaitteet sekä puhelinvaihteet on nostettu riittävän ylös lattiapinnasta, mikäli laitetiloissa on lattialle kertyvän vuoto- tai sammutusveden mahdollisuus. Lisäksi sprinklatuissa tiloissa laitteet sijoitetaan siten, ettei vikalaukeaminen kastele laitteita. Sähköilmiöturvallisuus Tärkeiden laitteiden virransyöttö suojataan ja varmistetaan UPS-laitteilla ja tieto- ja teleliikenneyhteydet varustetaan ylijännitesuojilla varsinkin taajamien ulkopuolella. Maakuntaan yhteinen toimintamalli yhdessä PTTK Oy:n kanssa. Virustorjunta Tietokonevirusten tunnistus- ja torjuntavalmiudesta huolehditaan PTTK Oy:n toimesta riittävän usein päivitetyn virustorjuntaohjelman sekä käyttäjille annettavien toimintaohjeiden avulla. Toimitilaturvallisuus Vähimmäisvaatimukset tilaturvallisuutta lisääville toimille ja järjestelmille määräytyvät turvallisuustarpeiden perusteella, jotka voi kohdistua alueeseen, rakennukseen, tilaryhmään tai tilaan. Usein toimitilojen hallinta ja turvallisuusjärjestelyjen toteutus on kiinteistöhallinnon tai rakennuksen omistajan tehtävä. Joensuun kaupunki nojautuukin em. turvallisuusalueiden toteutuksessa toimipistekohteisiinsa tehtyihin pelastus- ja turvallisuussuunnitelmiin, jotka kyseisten kiinteistöjen hallinnoija tai omistaja on niille tehnyt.

15 15 Taulukko 2. Tilaturvallisuusluokitusmallit Pääosa Joensuun kaupungin toiminnoista ja säilytettävästä omaisuudesta on sellaista, että niiden suojaus on järjestettävä vähintään turvallisuusvyöhykeluokan 4 toimenpitein. Hallinnollinen osa toiminnoista voidaan sijoittaa vyöhykkeen 3 alle. Konesalit palvelimineen ja tietoliikenteeseen liittyvät verkkotekniset laitetilat sijoittuvat vähintään vyöhykkeelle 2. Tärkeysluokituksen perusteella organisaatiolla on tilaturvallisuuden turvallisuusvyöhykeluokka, joka linjaa vähimmäisvaatimukset koko tilaturvallisuudelle. Turvallisuuskartoituksessa otetaan huomioon tiloissa säilytettävä tieto ja sen luokitus sekä tiloissa tapahtuva toiminta ja niihin kohdistuvat riskit. Turvallisuuskartoituksen perusteella alueille, rakennuksille, tilaryhmille, tiloille ja kohteille voidaan määritellä tästä poikkeava suojausluokka Laitteistoturvallisuus Laitteistoturvallisuudella tarkoitetaan laitteistojen suojausta, asennusta, ylläpitoa ja poistoa sekä niihin liittyvää hallinnointia, jossa määritellään laitteiden omistaja ja turvaluokka sekä laitteiden valvonta ja niiden kapasiteettien suunnittelu. Ylipäätään laitteistoturvallisuudella turvataan laitteiston elinkaarta, johon myös kuuluvat asennuksen, takuun ja ylläpidon lisäksi erilaiset tukipalvelut ja -sopimukset sekä laitteiston turvallinen poisto elinkaaren lopussa.

16 16 Kaupunki käyttää laitteiston elinkaareen liittyvissä palvelusopimuksissa palvelun tasoa määritteleviä rajoja ja vasteaikoja, joiden sopimisella voidaan vaikuttaa tietoturvatason ylläpidettävyyteen ja tietoturvapoikkeamiin reagointiin. Palvelusopimusten vasteaikoihin tukeutumalla voidaan vähentää varastoitavaa varalaitteistoa, mutta toisaalta riippuvuus toimittajan kyvystä toimia vasteaikojen puitteissa kasvaa Ohjelmistoturvallisuus Ohjelmistoturvallisuudella tarkoitetaan käyttöjärjestelmien, varus- ja työkaluohjelmistojen sekä muiden ohjelmistojen ja sovellusten tunnistamis-, suojausominaisuuksia, valvonta- ja lokimenettelyjä sekä ohjelmistojen ylläpitoon ja päivitykseen liittyviä turvallisuustoimenpiteitä. Ohjelmistojen turvallisuutta ylläpidetään ohjelmistojen käytönaikaisien ja ohjelmiston palvelualustan (käyttöjärjestelmän ja mahdollisten väli- ja apuohjelmistojen) turvaasetusten määrittelyllä sekä käyttäjien koulutuksella ja ohjeistuksella. Ohjelmistoturvallisuutta toteutetaan myös muita teknisiä turvakeinoja käyttämällä. Käyttäjien ja muiden ohjelmien pääsyä ohjelman sisältämään tietoon rajoitetaan tietoverkon eriyttämisellä, parantamalla ohjelmistoympäristön turvallisuutta. mm. turvapäivityksiä ja -ohjelmia asentamalla sekä käyttämällä järjestelmien turvaominaisuuksia Tietoliikenneturvallisuus Tietoliikenneturvallisuuteen sisältyvät mm. tietoliikennelaitteiston kokoonpano, luettelointi, ylläpito ja muutosten valvonta, ongelmatilanteiden kirjaus, käytön valvonta, verkon hallinta, viestinnän salaus ja varmistaminen, merkittävien tietoturvapoikkeamien tarkkailu, kirjaus ja selvittäminen sekä tietoliikenneohjelmien testaus ja hyväksyminen Tietoliikennelaitteiston luettelointi Joensuun kaupungin käyttämät ja PTTK Oy:n hallinnoimat tietoliikennelaitteet kuvataan laiteluetteloon, johon määritetään laitteiden kokoonpanot ja määritykset sekä ylläpito- ja muutostilanteisiin liittyvät toimenpiteet. Verkon dokumentointia ylläpidetään toimipisteittäin piirretyin loogisin verkkokuvin ja laiteluetteloin Käytön- ja verkonvalvonta Tietoliikennelaitteisiin liittyvät käytön- ja verkonvalvonta toteutetaan erillisellä verkonvalvontajärjestelmällä, jonka piiriin valvottavat kohteet liitetään. Verkonvalvonta toteutetaan PTTK Oy:n taholta käyttäen keskitettyä verkonvalvontajärjestelmää, josta verkon häiriötilanteissa saadaan lähtemään hälytykset sähköpostilla sekä SMStekstiviestein määritellyille vastaanottajille.

17 Ongelmatilanteiden kirjaus ja muutoksenvalvonta PTTK Oy:n hallinnoimiin tietoliikennelaitteisiin kohdistuvat ongelmien selvitys- ja määritysmuutospyynnöt välitetään ServiceDesk järjestelmän kautta PTTK Oy:n tietoliikennettä ylläpitävälle henkilöstölle. Samalla pyynnöistä jää järjestelmään vikatikettikirjaus sekä ongelman ratkaisukuvaus, joita voidaan hyödyntää samanlaisten ongelmien ratkaisussa jatkossa Tietoturvapoikkeamat tietoliikenteessä Tietoliikennelaitteiden käytöstä ja palomuurin kautta kulkeneesta liikenteestä kirjautuu lokitietoja, joita käytetään ainoastaan tietoturvapoikkeamien selvityksessä (kts. luku 2.2) ja niiden ennaltaehkäisevien toimenpiteiden suunnittelun apuna. Jos poikkeamien selvityksen yhteydessä havaitaan kaupungin tietoturvapolitiikkaa vastaan olevia tapahtumia, niistä raportoidaan kaupungin tietoturvasta vastaaville osapuolille Käyttöturvallisuus Käyttöturvallisuudella luodaan ja ylläpidetään tietotekniikan turvallisen käytön vaatimat toimintaolosuhteet. Tämä toteutetaan huolehtimalla mm. toimivuuden valvonnasta, käyttöoikeuksien hallinnasta, käytön ja lokien valvonnasta, ohjelmistotukeen, ylläpito-, kehittämis- ja huoltotoimintoihin liittyvistä turvallisuustoimenpiteistä, varmuuskopioinnista sekä häiriöraportoinnista. Järjestelmien käyttöturvallisuuden taso perustuu järjestelmässä olevien tietojen luokitukseen Järjestelmien ylläpito Ammattitaitoinen tietojärjestelmien ylläpito toteuttaa ja parantaa omalta osaltaan tietoturvallisuutta pitämällä järjestelmät ajantasaisena ja tuntemalla niiden normaalin tilan. Näin ehkäistään ennalta poikkeustilanteita ja minimoidaan niiden vaikutuksia. Hyvä ylläpitokäytäntö on selkeästi ohjeistettua ja tehtävät vastuutettu. PTTK Oy:n ylläpitämät järjestelmät, niihin liittyvät menettelytavat ja toimenpiteet dokumentoidaan sekä dokumentaatiota päivitetään tarpeen mukaan. Ulkoistettu ylläpito Ylläpitävän tahon ja järjestelmän omistajan välillä täytyy olla selkeä sopimus siitä, mitkä ovat kummankin vastuut ja minkä tasoisena ylläpitopalvelu toteutetaan. Sopimus sisältää palvelutasoa ja vasteaikoja määrittäviä rajoja. Ulkoistettujen ylläpito- ja etenkin tietoturvapalveluiden sisällön, eri tilanteiden vasteaikojen, eskaloinnin ja toiminnan häiriötilanteissa tai jopa poikkeusoloissa tulee olla tarkasti määriteltyjä. Järjestelmästä vastuusta olevalta ylläpitäjältä edellytetään riittävää koulutusta ja hänen tietonsa järjestelmän osista tulee olla ajan tasalla. Nämä asiat sisällytetään kaupungin tekemiin palvelusopimuksiin.

18 Etätyön ja -käytön tietoturva Esimiehellä on ohjaus- ja seurantavastuu etätyön turvallisesta järjestämisestä. Etätyöstä sovitaan aina kirjallisesti ja sitä varten laaditaan etätyön erityispiirteitä vastaavat tietoturvaohjeet (käyttäjän tietoturvakäsikirja). Työntekijöiden ja johdon valmiudet etätyöhön varmistetaan turvallisuustietoisuuden lisäämisellä, motivoinnilla ja koulutuksella Tietotekninen valvonta Tietoturvan tietotekninen valvonta koostuu järjestelmien tilan ja käytön seurannasta. Se voi olla reaaliaikaista tarkkailua (esimerkiksi onko tietty palvelu jatkuvasti tavoitettavissa) tai laitteiden ja järjestelmien kirjaamiin tapahtumalokitietoihin perustuvaa poikkeavien tapahtumien havainnointia. Kaupungin toiminnassa valvonta toteutetaan tietojen luokituksen ja palvelujen kriittisyyden edellyttämässä laajuudessa PTTK Oy:n toimesta. Esimerkiksi palveluja, joiden jatkuva käytettävyys on luokiteltu kriittisiksi, valvotaan ympäri vuorokauden. Toisia palveluja valvotaan työajalla ja automaattiset hälytykset kutsuvat päivystäjän paikalle tarvittaessa myös työajan ulkopuolella. Erilaisia ohjelmistoja voidaan käyttää tietoturvapoikkeamien havaitsemiseen suuresta käyttötapahtumamassasta. Valvonnan helpottamiseksi valvontajärjestelmät voivat tuottaa tosiaikaista tilannekuvaa koko tietojärjestelmästä ja kerätä tietoa sekä hälyttää hyväksytyt raja-arvot ylittäneistä tapahtumista. Tietoturvapoikkeamien todentamisessa käytetään hyväksi lokitietoja. Lokien kerääminen ja tallentaminen järjestetään niin, että niitä ei päästä muuttamaan tai poistamaan tietomurtojen yhteydessä. Osa lokien sisältämästä tiedosta on säädösten mukaan luottamuksellista ja suojataan valtuuttamattomalta käsittelyltä. Henkilöstön toiminnan valvontaa ja valvontatiedon käsittelyä säädellään lailla. Työntekijöiden teknisen valvonnasta sovitaan henkilöstön kanssa yhteistoimintamenettelyssä. Tekniseen valvontaan liittyen uhkia seurataan. Suomessa Viestintävirasto CERT-FI antamia varoituksia tietoturvauhkista Käyttöoikeuksien hallinta Tietojärjestelmien käyttäjien työrooleihin perustuva käyttöoikeuksien ja -valtuuksien ajantasainen hallinta on tietoturvallisuuden perusedellytyksiä. Toimenpiteiden avulla varmistetaan, että valtuutetut käyttäjät pääsevät käsiksi ainoastaan siihen tietoon, johon heillä on työtehtävien ja niihin liittyvien vastuiden mukaiset pääsyoikeudet. Käyttöoikeuksien määrittely on kaupungin organisaatiossa olevien esimiesten vastuulla ja he siis vastaavat alaistensa käyttöoikeuksien oikeellisuudesta eri työtehtävissä Haittaohjelmistoilta suojautuminen Joensuun kaupungissa käytetään virustorjuntaohjelmistoa suojaamaan työasemia viruksilta, vakoilu- ja muilta haittaohjelmilta. Internet-liikenteen karkeaa suodatusta tehdään palomuurien avulla ja sähköpostisuodatuksessa käytetään PTTK Oy:n

19 19 hallinnoimaa maakunnallista suodatusjärjestelmää. Työasemien suojaamisesta tehdään erillinen ohjeistus Sosiaalinen hakkerointi Tietojen uteleminen on yleinen tiedustelutapa. Henkilö saattaa esittää puhelimitse joukon merkityksettömiltä tuntuvia kysymyksiä. Kun näitä kysymyksiä tehdään riittävän usealle henkilölle organisaatiossa, välittyy kysyjälle yleiskuva organisaation toiminnasta, ja sen heikoista kohdista. Tarkemmat ohjeet sosiaalisen hakkeroinnin ja tietojen utelemisen torjunnasta ovat käyttäjän tietoturvakäsikirjassa. 4. ULKOISTETTUJEN TIETOJENKÄSITTELYTOIMINTOJEN TURVALLISUUS Ulkoistamisen edellytyksenä on kaupungin tietoturvavaatimuksista johdettujen menettelyjen ulottaminen ulkoistettujen palvelujen toimittajaan. Vaatimukset ja tavoitteet on sovittava ulkoistamisprosessin alussa ja ne on kirjattava tehtävään palvelusopimukseen. Toimintojen ja palvelujen ulkoistaminen edellyttää organisaation ja toimittajan välisten velvoitteiden jakoa, tehtävämäärittelyä ja suunnitelmaa, jotta haluttu tietoturvallisuuden taso voidaan saavuttaa ja säilyttää koko ulkoistamisprosessin ajan. Kokonaisvastuu toiminnoista säilyy organisaatiolla, vaikka palveluntoimittaja vastaa organisaatiolle tuottamistaan palveluista. Palvelujen yhteydessä on siis niiden sisällöstä riippuen tarkistettava tietoturvatarpeet ja laadittava tarvittaessa salassapito- tai turvallisuussopimus. 5. TIETOTURVATOIMENPITEET HANKINTOJEN YHTEYDESSÄ Palvelukokonaisuuden, tietoteknisen laitteen tai tietojärjestelmän hankintaan liittyy tuotteen tietoturvavaatimusten määrittely ja tietoturvaominaisuuksien arviointi. Keskeiset vaatimukset määritellään ja esitetään selkeästi jo tarjouspyyntövaiheessa ja tietoturvatekijät sisällytetään tarjouksen vertailu- ja valintaperusteisiin. Tietoturvavaatimusten toteutuminen voi olla hankinnan ehdoton edellytys. Hankintojen yhteydessä tarkasteltavia tekijöitä ovat: - turvallisuusvaatimukset palveluille - järjestelmähallinta, ohjelmistojen tarjoamat turvallisuusominaisuudet ja valvontamenettelyt, eheys, luottamuksellisuus, käytettävyys, todennus ja kiistämättömyys - riittävän yhtenäisen, korvaavan laitekannan ja käyttöjärjestelmien yhteensopivuuden luominen - palvelu-, huolto-, laite- ja ohjelmistotoimittajien osaaminen ja voimavarat - nopean huollon ja varaosapalvelujen varmistaminen - varalaitteiden saatavuuden varmistaminen sopimuksissa. - Merkittävien järjestelmähankintojen yhteydessä varmistetaan laite-, ohjelmisto- ja tukipalveluyrityksen mahdollisuudet toimituksiin myös poikkeusoloissa.

20 Järjestelmäkehityksen turvallisuus Tietojärjestelmähankkeiden yhteydessä varmistetaan tietoturvan sisällyttäminen hankkeeseen ja uuteen tietojärjestelmään. Tietoturva liittyy tietojärjestelmän muutoksiin ja kehittymiseen tietojärjestelmän koko elinkaaren ajan. Myös järjestelmän teknisten ja hallinnollisten rajapintojen turvallisuus varmistetaan. Hankkeen alussa tehtävällä riskien arvioinnilla suunnataan tietoturvatoimenpiteet kehitystyön kohteena olevan järjestelmän luonteen mukaisesti. Tietojärjestelmän esitutkimusvaiheessa määritellään tärkeysluokitus, turvallisuustarpeet ja -taso sekä asetetaan tietoturvavaatimukset. Tietojärjestelmän testaus suunnitellaan sekä hallinnolliselta että tekniseltä kannalta. Testit voivat kohdistua joko kertaluonteisesti osaan tai koko järjestelmään tai säännöllisesti tuotantoympäristöön, jolloin voidaan testata vähitellen järjestelmässä tapahtuvia pieniäkin muutoksia. Hallinnollisia tietoturvatarkastuksia ovat erilaiset vaatimusmäärittely- ja suunnitelmakatselmoinnit sekä ratkaisujen varmentamiset tietoturva-asiantuntijoita käyttäen. Teknisiä tarkastuksia ovat katselmoinnit erityisesti ohjelmistojen tai järjestelmien kriittisiin toimintoihin liittyen. 6. TIETOTURVAN SEURANTA, VALVONTA, TARKASTUS JA TESTAUS Kaupungin tietoturvasta vastaavan henkilön tehtävänä on vuosittain koostaa tiedot toteutuneista tietoturvatoimista ja tietoturvan muutoksista sekä niiden perusteella raportoida kaupungin johdolle havainnoista sekä toimenpiteistä. Seurannalla pyritään selvittämään ja mittaamaan, missä määrin tietoturvatoimilla saavutetaan haluttu vaikutus. Tietoturvaongelmista (esimerkiksi hyökkäysepäilyt) tulee ilmoittaa välittömästi esimiehelle ja kaupungin tietoturvavastaavalle. Merkittävistä tietoturvarikkomuksista ja niiden epäilyistä tulee tietoturvavastaavan raportoida ylimmälle johdolle. Seurannan organisointivaatimusten vuoksi luodaan selkeä vastuuttaminen myös toimintayksiköiden pääkäyttäjätasoisten vastuuhenkilöiden osalta. Lisäksi koordinoinnin ja seurannan kannalta järjestetään keskusten ja liikelaitosten tietoturvavastuuhenkilöiden raportointi kaupungin tietoturvavastaavalle. Tietoturvan seuraamiseksi luodaan valvontamenettelyt ja raportointitapa olennaisten tapahtumien sekä tietoturvatason ja valmiuksien raportoimiseksi aina ylimmälle johdolle asti. Tietoturvan toteutumisen tarkastusta ja testausta tehdään luvussa 2.1 mainituin toimenpitein vähintään kerran vuodessa tai aina kun siihen havaitaan erityistä tarvetta. Havaittaessa vakava tietoturvaongelma, siitä laitetaan välittömästi tieto tietoturvavastaavalle. Näiden kaltaisiin tapahtumiin varaudutaan varautumissuunnitelmassa, jossa on kuvattu mm. käynnistettävät vastatoimenpiteet.

ILOMANTSIN KUNNAN TIETOTURVASUUNNITELMA

ILOMANTSIN KUNNAN TIETOTURVASUUNNITELMA ILOMANTSIN KUNNAN TIETOTURVASUUNNITELMA Organisaation hallitus hyväksynyt: xx.yy.2015 Hyväksytty YT-toimikunnassa: xx.yy.2015 Päivitetty: 20.02.2015 Päivittäjä: xxx 2 SISÄLTÖ 1. TIETOTURVASUUNNITELMAN

Lisätiedot

TIETOTURVA- POLITIIKKA

TIETOTURVA- POLITIIKKA TIETOTURVA- POLITIIKKA Kaupunginhallitus 3.9.2013 216 HAAPAJÄRVEN KAUPUNGIN TIETOTURVAPOLITIIKKA 1. JOHDANTO... 3 2. KATTAVUUS... 3 3. TIETOTURVA... 3 4. TIETOTURVATYÖ... 4 5. ORGANISOINTI JA VASTUUT...

Lisätiedot

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Lappeenrannan kaupungin tietoturvaperiaatteet 2016 1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015

Lisätiedot

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41 Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät

Lisätiedot

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA JYVÄSKYLÄN KAUPUNKI Tietohallinto JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA VERSIO 1.0 11.5.2009 SISÄLLYSLUETTELO 1 JOHDANTO... 1 2 KATTAVUUS... 1 3 MITÄ TIETOTURVA ON... 1 4 MIKSI TIETOTURVAA...

Lisätiedot

6) tietojen käytettävyys, eheys ja laatu viranomaisen tehtävän hoidossa ja viranomaisten yhteistyössä;

6) tietojen käytettävyys, eheys ja laatu viranomaisen tehtävän hoidossa ja viranomaisten yhteistyössä; Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta 12.11.1999/1030 Oikeusministerin esittelystä säädetään viranomaisten toiminnan julkisuudesta 21 päivänä toukokuuta 1999 annetun

Lisätiedot

Tietoturvapolitiikka. Kunnanhallitus 27.2.2012 42 Tyrnävän kunta

Tietoturvapolitiikka. Kunnanhallitus 27.2.2012 42 Tyrnävän kunta Tietoturvapolitiikka Kunnanhallitus 27.2.2012 42 Tyrnävän kunta 2 SISÄLLYSLUETTELO 1. YLEISTÄ 3 2. POLITIIKAN SOVELTAMINEN JA LAAJUUS 3 3. TIETOTURVAPOLITIIKKA, TAVOITTEET JA PERIAATTEET 4 4. TIETOJEN

Lisätiedot

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020 Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020 Sisällys Valtiontalouden tarkastusviraston tietoturvapolitiikka... 2 1 Johdanto... 3 2 Vastuut... 3 2.1 Tarkastusviraston

Lisätiedot

Tietoturvapolitiikka

Tietoturvapolitiikka Mäntsälä Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 0.9 2/8 Sisällys 1 Johdanto... 4 2 Mitä tietoturvallisuus on?... 4 2.1 Tietoturvallisuuden hallinta... 5 2.2 Riskienhallinta sekä jatkuvuuden

Lisätiedot

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT YT-neuvosto hyväksynyt 21.11.2007 Vahvistanut: kuntayhtymän johtaja Pentti Leipälä 4.1.2008 1. SÄÄNTÖJEN TARKOITUS 1 2. KÄYTÖN PERIAATTEET

Lisätiedot

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1 Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet

Lisätiedot

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvapolitiikka Porvoon Kaupunki Tietoturvapolitiikka Porvoon Kaupunki 1 Sisältö 1 Johdanto... 3 2 Mitä tietoturvallisuus on?... 4 Tietoturvallisuuden hallinta... 4 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen... 5 3 Tietoturvallisuustavoitteet...

Lisätiedot

Vihdin kunnan tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka Vihdin kunnan tietoturvapolitiikka Kunnanhallitus 2.3.2015 50, liite 2 Kunnan johtoryhmä 18.11.2014 Tietohallinnon ohjausryhmä (Thor) 24.9.2014 Sisällys 1 Johdanto... 2 2 Mitä tietoturvallisuus on?...

Lisätiedot

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA Hyväksytty: Hämeenkyrön lautakunta 2.11.2011 Tarkastettu 29.4.2014 OK 1. JOHDANTO Tietojenkäsittely tukee Hämeenkyrön kunnan / n terveydenhuollon toimintayksikön

Lisätiedot

Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015

Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015 Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015 Espoon kaupunki 2015 Tietoturvapolitiikka 1 (7) Yhteenveto Tietoturvapolitiikka on kaupunginhallituksen ja kaupunginjohdon tahdonilmaisu tietoturvan

Lisätiedot

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty kunnanhallituksessa 20.01.2014 23 1. YLEISTÄ Tietoturva- ja tietosuojapolitiikka asiakirjana sisältää ne periaatteet, toimintatavat, vastuut, toimivallat,

Lisätiedot

Laatua ja tehoa toimintaan

Laatua ja tehoa toimintaan Laatua ja tehoa toimintaan Tietoturvallisuus osana laatua Kuntamarkkinat 12.9.2013 Aapo Immonen, Senior Manager, FCG konsultointi Oy 5.9.2013 Page 1 Sisältö Tavoitteet Tietoturvallisuutta ohjaavat tekijät

Lisätiedot

TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET 1.4.2015 ALKAEN

TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET 1.4.2015 ALKAEN TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET 1.4.2015 ALKAEN Khall 9.3.2015 73 2 Sisältö 1. TIETOTURVAPOLITIIKKA... 3 1.1. Tietoturvatyö... 3 1.2. Tietoturvallisuuden osa alueet... 4 1.3. Vastuut ja valvonta...

Lisätiedot

JOENSUUN KAUPUNGIN TIETOTURVAPOLITIIKKA

JOENSUUN KAUPUNGIN TIETOTURVAPOLITIIKKA JOENSUUN KAUPUNGIN TIETOTURVAPOLITIIKKA Päivitetty: 26.01.2015 Päivittäjä: Pekka Penttinen, tietohallintopäällikkö Käsitelty: 10.2.2015, tietohallintoryhmä Hyväksytty: xx.xx.2015 kaupunginhallitus SISÄLTÖ

Lisätiedot

Liite 2 : RAFAELA -aineiston elinkaaren hallinta

Liite 2 : RAFAELA -aineiston elinkaaren hallinta RAFAELA-hoitoisuusluokitus-jär je 1 Liite 2 : RAFAELA -aineiston elinkaaren hallinta Ohje: Lomake täytetään Tilaajan toimesta ja palautetaan Toimittajalle käyttöoikeussopimuksen mukana. 1. Aineiston omistajuus

Lisätiedot

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA 2016 Kh 111 31.5.2016 v1.0 19.5.2016, Seija Romo 1. JOHDANTO... 1 2. TIETOTURVAPOLITIIKAN TAVOITE... 1 3. TIETOTURVATOIMINTAA OHJAAVAT TEKIJÄT... 2 4. TIETORISKIEN

Lisätiedot

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.

Lisätiedot

Sisällysluettelo. Esipuhe... 10. 1 Johdanto... 15. 2 Tietoturvallisuuden rooli yritystoiminnassa... 17

Sisällysluettelo. Esipuhe... 10. 1 Johdanto... 15. 2 Tietoturvallisuuden rooli yritystoiminnassa... 17 Esipuhe...................................................... 10 1 Johdanto............................................... 15 2 Tietoturvallisuuden rooli yritystoiminnassa.............. 17 2.1 Mitä on

Lisätiedot

Pilvipalveluiden arvioinnin haasteet

Pilvipalveluiden arvioinnin haasteet Pilvipalveluiden arvioinnin haasteet Tietoturvallisuus- ja jatkuvuuden hallinnan vaatimukset ICT-hankinnoissa, 12.5.2014 Laura Kiviharju Pilvipalvelut Pilvilaskenta (CloudComputing) tarkoittaa internetissä

Lisätiedot

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016

Lisätiedot

Johtokunta 7.12.2009 193. Tietoturva- ja tietosuojapolitiikka

Johtokunta 7.12.2009 193. Tietoturva- ja tietosuojapolitiikka Johtokunta 7.12.2009 193 Tietoturva- ja tietosuojapolitiikka Sisällys: 1. Johdanto 3 2. Tietoturvapolitiikan tavoitteet ja toteutuksen periaatteet 4 3. Tietosuojapolitiikan tavoitteet ja toteutuksen periaatteet

Lisätiedot

Lokipolitiikka (v 1.0/2015)

Lokipolitiikka (v 1.0/2015) KYS erityisvastuualue Etelä-Savon sairaanhoitopiiri Lokipolitiikka (v 1.0/2015) Sisällys 1 JOHDANTO... 2 2 HENKILÖTIETOJEN KÄSITTELYYN LIITTYVÄ LAINSÄÄDÄNTÖ... 2 3 LOKI JA LOKITIETO... 3 4 LOKITIETOJEN

Lisätiedot

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä FINAS-päivä 22.1.2013 Helsingin Messukeskus Laura Kiviharju Viestintävirasto Viestintäviraston

Lisätiedot

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA 2014 SISÄLLYSLUETTELO 1 JOHDANTO... 1 2 KATTAVUUS... 1 3 MITÄ TIETOTURVA ON... 1 4 MIKSI TIETOTURVAA... 1 5 TIETOTURVA JA LAATU... 2 6 TIETOTURVAN KEHITTÄMINEN...

Lisätiedot

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus 10.4.2014 41

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus 10.4.2014 41 Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA 41 Johdanto Tiedon käsittely on oleellinen osa Peruspalvelukuntayhtymä Kallion toimintaa ja palveluiden tuottamista. Tietojenkäsittelyn tehokkuus, toimintakyky,

Lisätiedot

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT TIETOTURVALLISUUDEN KEHITTÄMINEN Opettaja: Tuija Kyrölä 040-5455465 tuija.kyrola@kolumbus.fi Toimintaohjeistus Tietoturvallisuusohjeistus I-TASO II-TASO III-TASO Ylin johto hyväksyy Konsernihallinto valmistelee

Lisätiedot

Valtiontalouden tarkastusviraston tietoturvapolitiikka

Valtiontalouden tarkastusviraston tietoturvapolitiikka Valtiontalouden tarkastusviraston tietoturvapolitiikka Valtiontalouden tarkastusvirasto on tänään vahvistanut oheisen tietoturvapolitiikan. Päätös on voimassa 1.5.2008 lukien toistaiseksi. Helsingissä

Lisätiedot

Tietosuoja henkilöstön rekrytoinnissa

Tietosuoja henkilöstön rekrytoinnissa Tietosuoja henkilöstön rekrytoinnissa 1 Tietosuoja ja hyvä tiedonhallintatapa 2 Henkilöstön palvelussuhdeasiat - viran-/toimenhakua koskevien tietojen käsittely ja säilytys Kuntarekrypäivä 9.10.2013, klo

Lisätiedot

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet Yleisesittely Julkaisutilaisuus 12.6.2014 Teknologiajohtaja Aki Siponen, Microsoft Oy SFS-ISO/IEC 27002:2013 tietoturvallisuuden

Lisätiedot

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt Turun ammattikorkeakoulu 13.09.2005 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT Sisällysluettelo: 1 Sääntöjen tarkoitus... 2 2 Käytön periaatteet... 2 3 Käyttöoikeus ja käyttäjätunnukset... 4 4 Käyttöoikeuden

Lisätiedot

-------- = LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

-------- = LV! 17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet -------- Seinäjoen kaupungin tietoturvapolitiikka 1. Johdanto Tietoturva nähdään julkishallinnon organisaatioissa oleellisena osana normaalia toimintaa ja palveluiden laatua, kokonaisturvallisuutta ja

Lisätiedot

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA Johdanto Tiedon käsittely on oleellinen osa Oulunkaaren kuntayhtymän toimintaa ja palveluiden tuottamista. Tietojenkäsittelyn tehokkuus ja virheettömyys ovat

Lisätiedot

Tietosuoja- ja tietoturvapolitiikka

Tietosuoja- ja tietoturvapolitiikka Tietosuoja- ja tietoturvapolitiikka Johtoryhmä 13.3.2012 Johtoryhmä 10.4.2012 Yhtymähallitus 24.4.2012 2 (8) Versiohistoria: Versio Pvm: Laatija: Kommentit: 0.1 24.2.2011 Navicre Oy Katselmoitavaksi 0.2

Lisätiedot

Sähköi sen pal l tietototurvatason arviointi

Sähköi sen pal l tietototurvatason arviointi Sähköisen palvelun l tietototurvatason arviointi Kirsi Janhunen Arviointia tehdään monesta syystä Itsearviointi Sisäinen arviointi Sisäinen tarkastus Vertaisarviointi Ulkoinen arviointi Lähtökohtana usein

Lisätiedot

tiedon ja ihmisten johtamisen, asiakirjahallinnon osaamisen, ja jokaisen työntekijän sitoutumisen avulla.

tiedon ja ihmisten johtamisen, asiakirjahallinnon osaamisen, ja jokaisen työntekijän sitoutumisen avulla. Hyvään tiedonhallintatapaan tiedon ja ihmisten johtamisen, asiakirjahallinnon osaamisen, ja jokaisen työntekijän sitoutumisen avulla. Hyvä tiedonhallintatapa avoin pääsy julkisiin tietoihin korkealaatuista

Lisätiedot

Ammattikorkeakoulu 108 Liite 1

Ammattikorkeakoulu 108 Liite 1 2 (7) Tietoturvapolitiikka Johdanto Tietoturvapolitiikka on ammattikorkeakoulun johdon kannanotto, joka määrittelee ammattikorkeakoulun tietoturvallisuuden tavoitteet, vastuut ja toteutuskeinot. Ammattikorkeakoululla

Lisätiedot

Tietoturvallisuus julkisessa. Sähköisen hallinnon oikeudelliset perusteet 13.12.2012 Tommi Oikarinen

Tietoturvallisuus julkisessa. Sähköisen hallinnon oikeudelliset perusteet 13.12.2012 Tommi Oikarinen Tietoturvallisuus julkisessa hallinnossa Sähköisen hallinnon oikeudelliset perusteet 13.12.2012 Tommi Oikarinen Sisältö Tietoturva Keskeiset säädökset Tietoturva-asetus käsitteet yleiset tietoturvavaatimukset

Lisätiedot

TIETOTURVATASOVAATIMUKSET HANKINNOISSA

TIETOTURVATASOVAATIMUKSET HANKINNOISSA TIETOTURVATASOVAATIMUKSET HANKINNOISSA Mikäli muuta ei mainita, Toimittajan (ei Asiakkaan) tulee suorittaa tässä taulukossa kuvatut toimenpiteet, jotka kohdistuvat hankinnan kohteeseen eli palveluun. Tietoturvatasoj

Lisätiedot

Lapsen huolto- ja tapaamisoikeuden rekisteri

Lapsen huolto- ja tapaamisoikeuden rekisteri Tietosuojaseloste 1/5 1. Rekisterinpitäjä Vantaan sosiaali- ja terveyslautakunta Peltolantie 2 D, 01300 Vantaa 2. Rekisteriasioista vastaava henkilö ja yhteyshenkilö Perhepalvelujen johtaja Maritta Pesonen

Lisätiedot

HEINÄVEDEN KUNNAN TIETOTURVAPOLITIIKKA

HEINÄVEDEN KUNNAN TIETOTURVAPOLITIIKKA JULKINEN HEINÄVEDEN KUNNAN TIETOTURVAPOLITIIKKA Käsitelty: 30.3.2012 yhteistyötoimikunnassa Hyväksytty: 16.4.2012 kunnanhallituksessa 2 SISÄLTÖ 1. ESIPUHE... 3 2. TIETOTURVAPOLITIIKAN LÄHTÖKOHTA... 3 3.

Lisätiedot

HELSINGIN KAUPUNKI MUISTIO Numero 1 TALOUS- JA SUUNNITTELUKESKUS Tietotekniikkaosasto 13.11.2012

HELSINGIN KAUPUNKI MUISTIO Numero 1 TALOUS- JA SUUNNITTELUKESKUS Tietotekniikkaosasto 13.11.2012 HELSINGIN KAUPUNKI MUISTIO Numero 1 13.11.2012 HELMI-EXTRANET-KÄYTTÖPOLITIIKKA SISÄLTÖ 1 Extranet-tunnuksen käyttöpolitiikka 2 Käyttäjätunnusten myöntöperusteet 3 Salasanat Käyttäjätunnuksen hyväksyttävä

Lisätiedot

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI TIETOSUOJAVALTUUTETUN TOIMISTO MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI Päivitetty 27.07.2010 www.tietosuoja.fi 2 Malli henkilötietojen käsittelyn/henkilörekisterin

Lisätiedot

PK-yrityksen tietoturvasuunnitelman laatiminen www.turkuamk.fi

PK-yrityksen tietoturvasuunnitelman laatiminen www.turkuamk.fi Matti Laakso / Tietoturvapäivä 8.2.2011 PK-yrityksen tietoturvasuunnitelman laatiminen Tietoturvasuunnitelma 1/3 Toimenpiteiden ja dokumentoinnin lopputuloksena syntyvä kokonaisuus -- kirjallinen tietoturvasuunnitelma

Lisätiedot

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto Tietoturvapolitiikka Tietoturvakäytännön toimintaperiaatteet ja ohjeisto 25.1.2011 Sisällysluettelo TIETOTURVAPOLITIIKKA... 3 1 Johdanto... 3 1.1 Yleistä... 3 1.2 Tavoite... 3 1.3 Vaatimuksenmukaisuus...

Lisätiedot

Varmaa ja vaivatonta

Varmaa ja vaivatonta Varmaa ja vaivatonta viestintää kaikille Suomessa Tekninen valvonta sähköisissä palveluissa Päällikkö Jarkko Saarimäki Tähän joku aloituskuva, esim. ilmapallopoika jarkko.saarimaki@ficora.fi Ennakkokysymys

Lisätiedot

TIETOTURVAA TOTEUTTAMASSA

TIETOTURVAA TOTEUTTAMASSA TIETOTURVAA TOTEUTTAMASSA Ari Andreasson Juha Koivisto TIETOTURVAA TOTEUTTAMASSA TIETOSANOMA Tekijät ja Tietosanoma Oy ISBN 978-951-885-334-6 KL 61.7 Tietosanoma Oy Bulevardi 19 C 00120 Helsinki 09 694

Lisätiedot

Jämsän kaupungin tietoturvapolitiikka

Jämsän kaupungin tietoturvapolitiikka 4.11.2014 Jämsän kaupungin tietoturvapolitiikka Jämsän kaupunki Hallintopalvelut SISÄLLYSLUETTELO 1 TIETOTURVAPOLITIIKKA... 1 2 TIETOTURVALLISUUS... 2 2.1 Tavoitteet ja tietoturvallisuuden merkitys...

Lisätiedot

SÄHKÖPOSTIN KÄYTÖSTÄ SOSIAALIHUOLLOSSA

SÄHKÖPOSTIN KÄYTÖSTÄ SOSIAALIHUOLLOSSA TIETOSUOJAVALTUUTETUN TOIMISTO SÄHKÖPOSTIN KÄYTÖSTÄ SOSIAALIHUOLLOSSA Päivitetty 15.09.2010 www.tietosuoja.fi 2 SÄHKÖPOSTIN KÄYTÖSTÄ SOSIAALIHUOLLOSSA Tämän ohjeen tarkoituksena on antaa suosituksia sähköpostin

Lisätiedot

6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA

6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA 6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA Tietoturvallisuuspolitiikka on lähtökohta tietoturvallisuuden ja valmiuden kehittämiselle organisaatiossa. Sen avulla määritellään tietoturvallisuuden periaatteet

Lisätiedot

Loviisan kaupungin keskusten ja vastuualueiden riskienhallinnan ja valvonnan arviointikehikko (luonnos)

Loviisan kaupungin keskusten ja vastuualueiden riskienhallinnan ja valvonnan arviointikehikko (luonnos) Loviisan kaupungin keskusten ja vastuualueiden riskienhallinnan ja valvonnan arviointikehikko (luonnos) Keskukset ja vastuualueet arvioivat riskejä oman perustehtävänsä erityispiirteiden ja taloutensa

Lisätiedot

Asiakirjahallinnon opas organisaatiomuutostilanteisiin AL/6640/07.01.01.00/2009. Keskeisiä käsitteitä

Asiakirjahallinnon opas organisaatiomuutostilanteisiin AL/6640/07.01.01.00/2009. Keskeisiä käsitteitä Asiakirjahallinnon opas organisaatiomuutostilanteisiin AL/6640/07.01.01.00/2009 Liite 1 Keskeisiä käsitteitä Aineisto Asiakirjallisen tiedon käsittelyprosesseissa tuotettu kokonaisuus (metatiedot ja tiedostot).

Lisätiedot

Sivu x/x Laatimispvm: 27.1.2009 Päivitetty/tarkastettu: 27.11.2013

Sivu x/x Laatimispvm: 27.1.2009 Päivitetty/tarkastettu: 27.11.2013 HENKILÖREKISTERISELOSTE Henkilötietolaki (523/99) 10 Sivu x/x Laatimispvm: 27.1.2009 Päivitetty/tarkastettu: 27.11.2013 Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä.

Lisätiedot

Tutkittavan informointi ja suostumus

Tutkittavan informointi ja suostumus Tutkittavan informointi ja suostumus yhdistettäessä tutkittavilta kerättyjä tietoja rekisteritietoihin Ylitarkastaja Raisa Leivonen Tietosuojavaltuutetun toimisto 9.12.2010 Kysy rekisteritutkimuksen luvista

Lisätiedot

Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen rekisteriseloste

Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen rekisteriseloste Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen rekisteriseloste Johtoryhmä 7.2.2012 SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERINPITÄJÄ 3. REKISTERIN VASTUUHENKILÖ 4. REKISTERIASIOITA

Lisätiedot

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA TIETOTILINPÄÄTÖSSEMINAARI 31.1.2013 TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA Reijo Aarnio tietosuojavaltuutettu Tietosuojavaltuutetun toimisto KEHITYSKULKUJA TIETOYHTEISKUNTA TEKNOLOGIA

Lisätiedot

Parik säätiön tietosuojaseloste

Parik säätiön tietosuojaseloste Parik säätiön tietosuojaseloste Sisällysluettelo 1. Rekisterin nimi... 2 2. Rekisterinpitäjä... 2 3. Rekisterin vastuuhenkilö... 2 4. Rekisteriasioita hoitava(t) henkilö(t)... 2 5. Rekisterin käyttötarkoitus...

Lisätiedot

TIETOSUOJASELOSTE Henkilötietolaki (523/99) 10

TIETOSUOJASELOSTE Henkilötietolaki (523/99) 10 TIETOSUOJASELOSTE Henkilötietolaki (523/99) 10 Laatimispvm: 11.2.2014 1. Rekisterinpitäjä Nimi Hevostoiminta Laukki Yksityinen elinkeinonharjoittaja, Y-tunnus 2601111-1 Yhteystiedot Puh: 040-186 2222,

Lisätiedot

Yleistä hallinnollisesta tietoturvallisuudesta. Tukikoulutus joulukuu 2007 Tuija Lehtinen

Yleistä hallinnollisesta tietoturvallisuudesta. Tukikoulutus joulukuu 2007 Tuija Lehtinen Yleistä hallinnollisesta tietoturvallisuudesta Tukikoulutus joulukuu 2007 Tuija Lehtinen Tieto Tieto on suojattava kohde, jolla on tietty arvo organisaatiossa Tieto voi esiintyä monessa muodossa: painettuna

Lisätiedot

Kymenlaakson Kyläportaali

Kymenlaakson Kyläportaali Kymenlaakson Kyläportaali Klamilan vertaistukiopastus Tietoturva Tietoturvan neljä peruspilaria 1. Luottamuksellisuus 2. Eheys 3. Saatavuus 4. (Luotettavuus) Luottamuksellisuus Käsiteltävää tietoa ei paljasteta

Lisätiedot

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn! 1(16) Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn! Arvoisa vastaaja, Tällä kyselyllä selvitetään Suomen kuntien tieto- ja kyberturvallisuuden

Lisätiedot

Kehitysvammaisten asumispalvelujen rekisteriseloste

Kehitysvammaisten asumispalvelujen rekisteriseloste Kehitysvammaisten asumispalvelujen rekisteriseloste Johtoryhmä 7.2.2012 SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERINPITÄJÄ 3. REKISTERIN VASTUUHENKILÖ 4. REKISTERIASIOITA HOITAVAT HENKILÖT 5. REKISTERIN KÄYTTÖTARKOITUS

Lisätiedot

ABB Drives and Controls, 26.05.2015 Koneenrakentajan ja laitetoimittajan yhteistoiminta toiminnallisen turvallisuuden varmistamisessa

ABB Drives and Controls, 26.05.2015 Koneenrakentajan ja laitetoimittajan yhteistoiminta toiminnallisen turvallisuuden varmistamisessa ABB Drives and Controls, 26.05.2015 Koneenrakentajan ja laitetoimittajan yhteistoiminta toiminnallisen turvallisuuden varmistamisessa Sisältö 1. Koneenrakentajan haasteita koneiden turvallistamisessa 2.

Lisätiedot

28.9.2015. Mikäli tämän dokumentin vaatimuksista poiketaan, täytyy ne kirjata erikseen hankintasopimukseen.

28.9.2015. Mikäli tämän dokumentin vaatimuksista poiketaan, täytyy ne kirjata erikseen hankintasopimukseen. Turvallisuusohje 1 (5) 1 Turvallisuuden vähimmäisvaatimukset palveluntoimittajille Metsä Groupin tavoitteena on varmistaa turvallinen ja toimintavarma työympäristö joka päivä. Tavoite koskee niin Metsä

Lisätiedot

TIETOSUOJASELOSTE Henkilötietolaki (523/1999) 10 ja 24 Rekisterinpitäjä Rekisterin nimi Henkilötietojen käsittelytarkoitus Rekisterin tietosisältö

TIETOSUOJASELOSTE Henkilötietolaki (523/1999) 10 ja 24 Rekisterinpitäjä Rekisterin nimi Henkilötietojen käsittelytarkoitus Rekisterin tietosisältö TIETOSUOJASELOSTE Henkilötietolaki (523/1999) 10 ja 24 Rekisterinpitäjä Valtiokonttori Sörnäisten rantatie 13 000054 VALTIOKONTTORI Rekisterin nimi Valtiolle.fi - Valtion rekrytointijärjestelmä Henkilötietojen

Lisätiedot

IT-palvelujen ka yttö sa a nnö t

IT-palvelujen ka yttö sa a nnö t IT-palvelujen ka yttö sa a nnö t Tampereen yliopisto Yliopistopalvelut / tietohallinto Rehtorin päätös 28.8.2014. Sisällysluettelo 1 Soveltamisala... 2 2 Käyttövaltuudet ja käyttäjätunnus... 2 2.1 Käyttövaltuudet...

Lisätiedot

Tampereen yliopiston arkistotoimen johtosääntö

Tampereen yliopiston arkistotoimen johtosääntö 18.11.2005 1/6 Tampereen yliopiston arkistotoimen johtosääntö Tampereen yliopiston hallitus 18.11.2005 hyväksynyt Kansleri 7.12.2005 vahvistanut Yliopiston arkistotoimi 1 Tampereen yliopiston arkistotoimessa

Lisätiedot

Suomen avoimien tietojärjestelmien keskus COSS ry

Suomen avoimien tietojärjestelmien keskus COSS ry Viisaat hankinnat: Avoimuudet uusissa JIT 2015 -ehdoissa JulkICTLab-seminaari 20.11.2015 Martin von Willebrand, puheenjohtaja Avoin arkkitehtuuri Luo jäsenien menestystarinoita avoimilla ratkaisuilla Avoimet

Lisätiedot

Verkkopalkan palvelukuvaus

Verkkopalkan palvelukuvaus 27.1.2012 1 (6) Verkkopalkan palvelukuvaus 27.1.2012 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Verkkopalkka-palvelun toiminta palkanmaksajalle... 3 3 Verkkopalkan käyttöönotto... 4 4 Verkkopalkka-palvelun

Lisätiedot

OULUNKAAREN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

OULUNKAAREN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET OULUNKAAREN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET Sisällys SISÄISEN VALVONNAN PERUSTEET... 3 RISKIENHALLINNAN PERUSTEET... 4 1. Johdanto... 4 2. Riskienhallinnan määritelmä ja toteuttamisen

Lisätiedot

Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011

Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011 Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011 A. YLEISTÄ 1. Vastaajaorganisaation nimi, vastaajan nimi ja asema organisaatiossa.

Lisätiedot

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA Turvallinen ohjelmistokehitys seminaari 30.9.2008 1 Turvallisuusvaatimukset ohjelmiston hankinnassa Tehtävä/toiminta liittyvä toiminnot/prosessit

Lisätiedot

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari 2012. Jaakko Lindgren

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari 2012. Jaakko Lindgren Hostingpalvelujen oikeudelliset kysymykset Viestintäviraston Abuse-seminaari 2012 Jaakko Lindgren Legal Counsel Tieto, Legal jaakko.lindgren@tieto.com Esittely Jaakko Lindgren Legal Counsel, Tieto Oyj

Lisätiedot

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö Verkkorikollisuus tietoturvauhkana Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö Verkkorikollisuuden erityispiirteet Verkkorikollisuus on ammattimaista ja tähtää

Lisätiedot

JHS 179 ICT-palvelujen kehittäminen: Kokonaisarkkitehtuurimenetelmä

JHS 179 ICT-palvelujen kehittäminen: Kokonaisarkkitehtuurimenetelmä JHS 179 ICT-palvelujen kehittäminen: Kokonaisarkkitehtuurimenetelmä Liite 5 Arkkitehtuuriperiaatteiden kuvaus Versio: 1.1 Julkaistu: 8.2.2011 Voimassaoloaika: toistaiseksi Sisällys 1 Arkkitehtuuriperiaatteet...

Lisätiedot

Asiakirjahallinnon ja arkistotoimen toimintaohje

Asiakirjahallinnon ja arkistotoimen toimintaohje Hyväksytty maakuntahallituksessa 23.3.2015. Kumoaa 18.4.1990 hyväksytyn arkistosäännön. Voimaantulo 1.1.2015. 1 Yleistä Arkistolain 8 :n mukaan arkistonmuodostajan on määrättävä miten sen arkistotoimen

Lisätiedot

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ Liite E Salassapito- ja tietoturvasitoumus 1 (5) VERSIOHISTORIA Päivä Versio Kuvaus Tekijä 3.0 Tarjouspyynnön liitteeksi Hanketoimisto 2 (5) Salassapito-

Lisätiedot

Järjestäjä järjestää kilpailun yhteistyössä GoGreenin/Lantmännen Cerealian kanssa (jäljempänä Yhteistyökumppani ).

Järjestäjä järjestää kilpailun yhteistyössä GoGreenin/Lantmännen Cerealian kanssa (jäljempänä Yhteistyökumppani ). Parempi ruoka syyskuun kilpailu Kilpailun nimi, paikka ja ajankohta: Parempi ruoka syyskuun arvonta, kilpailu 1.9.2014. 30.9.2014. Palkinto ja sen arvo:3 kpl smoothie-tuotepakettia, arvo noin 45 euroa

Lisätiedot

HALLINNOINTIKOODI (CORPORATE GOVERNANCE)

HALLINNOINTIKOODI (CORPORATE GOVERNANCE) HALLINNOINTIKOODI (CORPORATE GOVERNANCE) 20.5.2010 1 / 5 Suomen Yliopistokiinteistöt Oy Finlands Universitetsfastigheter Ab:n (jäljempänä yhtiö ) päätöksenteossa ja hallinnossa noudatetaan osakeyhtiölakia

Lisätiedot

Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden palveluohjauksen rekisteriseloste

Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden palveluohjauksen rekisteriseloste Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden palveluohjauksen rekisteriseloste Johtoryhmä 7.2.2012 SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERINPITÄJÄ 3. REKISTERIN VASTUUHENKILÖ 4. REKISTERIASIOITA

Lisätiedot

Ottolapsineuvonnan asiakasrekisteri

Ottolapsineuvonnan asiakasrekisteri Tietosuojaseloste 1/5 1. Rekisterinpitäjä Vantaan sosiaali- ja terveyslautakunta Peltolantie 2 D, 01300 Vantaa 2. Rekisteriasioista vastaava henkilö ja yhteyshenkilö Perhepalvelujen johtaja Maritta Pesonen

Lisätiedot

SISÄLTÖ. 1 RISKIENHALLINTA... 3 1.1 Yleistä... 3 1.2 Riskienhallinta... 3 1.3 Riskienhallinnan tehtävät ja vastuut... 4 1.4 Riskienarviointi...

SISÄLTÖ. 1 RISKIENHALLINTA... 3 1.1 Yleistä... 3 1.2 Riskienhallinta... 3 1.3 Riskienhallinnan tehtävät ja vastuut... 4 1.4 Riskienarviointi... RHK Ohje riskienhallinnasta 2 SISÄLTÖ 1 RISKIENHALLINTA... 3 1.1 Yleistä... 3 1.2 Riskienhallinta... 3 1.3 Riskienhallinnan tehtävät ja vastuut... 4 1.4 Riskienarviointi... 5 RH Ohje riskienhallinnasta

Lisätiedot

Kaarinan kaupunki, Henkilöstöhallinto REKISTERISELOSTE kuntarekry.fi -palvelu 1/5 16.5.2012

Kaarinan kaupunki, Henkilöstöhallinto REKISTERISELOSTE kuntarekry.fi -palvelu 1/5 16.5.2012 kuntarekry.fi -palvelu 1/5 16.5.2012 1 Rekisterin nimi Kuntarekry.fi -palvelu 2 Rekisterinpitäjä A Kaarinan kaupunki / Henkilöstöhallinto Lautakunnankatu 4 20780 Kaarina Kaarinan kaupunki on rekisteröitynyt

Lisätiedot

Tietoturva Kehityksen este vai varmistaja?

Tietoturva Kehityksen este vai varmistaja? Tietoturva Kehityksen este vai varmistaja? Valtion IT-johtaja Yrjö Benson 11.2.2010 Tietoturvan rakenne VAHTI Ulkokerros Hallinnollinen tietoturva Henkilöstöturvallisuus Fyysinen turvallisuus Tietoliikenneturvallisuus

Lisätiedot

YHTEISTOIMINTA-ASIAMIEHEN OHJE PAIKANTAMISTA JA HENKILÖTIETOJEN KERÄÄMISEN PERIAATTEITA JA KÄYTÄNTÖJÄ KOSKEVASTA YHTEISTOIMINTA- MENETTELYSTÄ

YHTEISTOIMINTA-ASIAMIEHEN OHJE PAIKANTAMISTA JA HENKILÖTIETOJEN KERÄÄMISEN PERIAATTEITA JA KÄYTÄNTÖJÄ KOSKEVASTA YHTEISTOIMINTA- MENETTELYSTÄ 1 (8) 5.1.2012 YHTEISTOIMINTA-ASIAMIEHEN OHJE PAIKANTAMISTA JA HENKILÖTIETOJEN KERÄÄMISEN PERIAATTEITA JA KÄYTÄNTÖJÄ KOSKEVASTA YHTEISTOIMINTA- MENETTELYSTÄ Yhteistoiminta-asiamiehelle tehdyn pyynnön keskeinen

Lisätiedot

HIJAT HR TYÖPÖYTÄ PALVELUNA KUVAUS, SOPIMUS 22005, LIITE 2

HIJAT HR TYÖPÖYTÄ PALVELUNA KUVAUS, SOPIMUS 22005, LIITE 2 HIJAT HR TYÖPÖYTÄ PALVELUNA KUVAUS, SOPIMUS 22005, LIITE 2 HELSINGIN KAUPUNKI JA LOGICA OY 1 Palvelusopimus 22005 1 SISÄLLYSLUETTELO 1 PALVELUNA -PALVELUN TEKNINEN PALVELINYMPÄRISTÖN KUVAUS... 2 2 PALVELUNA-PALVELU...

Lisätiedot

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana Terveydenhuollon Atk-päivät Tampere-talo 26.5.2010 Antti-Olli Taipale Tietohallintojohtaja Päijät-Hämeen sosiaali- ja terveysyhtymä

Lisätiedot

Onko sinun yritykselläsi jo tietotekniikka Palveluksessa? vtoasp -palvelun avulla siirrät tietojärjestelmäsi haasteet ammattilaisten hoidettaviksi.

Onko sinun yritykselläsi jo tietotekniikka Palveluksessa? vtoasp -palvelun avulla siirrät tietojärjestelmäsi haasteet ammattilaisten hoidettaviksi. Onko sinun yritykselläsi jo tietotekniikka Palveluksessa? vtoasp -palvelun avulla siirrät tietojärjestelmäsi haasteet ammattilaisten hoidettaviksi. vtoasp -palvelu 1) Huolehtii yrityksesi tietojärjestelmän

Lisätiedot

MTV Oy, Ilmalantori 2, 00240 Helsinki (jäljempänä "Järjestäjä")

MTV Oy, Ilmalantori 2, 00240 Helsinki (jäljempänä Järjestäjä) Säännöt ja rekisteriseloste 1. Järjestäjä, Ilmalantori 2, 00240 Helsinki (jäljempänä "Järjestäjä") Järjestäjä järjestää testiryhmän yhteistyössä Lumenen kanssa (jäljempänä "Yhteistyökumppani") 2. Osallistumiskelpoisuus

Lisätiedot

HELSINGIN KAUPUNKI Rekisteriseloste 1 (5)

HELSINGIN KAUPUNKI Rekisteriseloste 1 (5) HELSINGIN KAUPUNKI Rekisteriseloste 1 (5) Laatimispäivä/Päivityspäivä 31.7.2013 Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä. 1. nimi 2. pitäjä 3. vastuuhenkilö 4.

Lisätiedot

REKISTERISELOSTE Henkilötietolaki (523/99) 10

REKISTERISELOSTE Henkilötietolaki (523/99) 10 REKISTERISELOSTE Henkilötietolaki (523/99) 10 Laatimispvm: 24.1.2008 Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä. 1. Rekisterinpitäjä Nimi Suomen Sairaalahygieniayhdistys

Lisätiedot

Kuntarekry.fi palvelun työnhakijatietokanta

Kuntarekry.fi palvelun työnhakijatietokanta REKISTERISELOSTE/TIETOSUOJASELOSTE Henkilötietolaki (523/1999) 10 1 Rekisterin nimi Kuntarekry.fi palvelun työnhakijatietokanta Tietokanta koostuu kohdistetuista rekrytoinneista, sijaisrekrytoinneista

Lisätiedot

kaikki muut väärään osoitteeseen tulleet viestit tulee palauttaa lähettäjälle.

kaikki muut väärään osoitteeseen tulleet viestit tulee palauttaa lähettäjälle. Sähköpostisäännöt Sähköpostisäännöt koskevat kaikkia yliopiston sähköpostijärjestelmien käyttäjiä. Henkilökunnalle merkityt osiot koskevat yliopiston yksiköitä, koko henkilökuntaa ja heihin rinnastettavia

Lisätiedot

Grillikuume Weber-kilpailu 2015

Grillikuume Weber-kilpailu 2015 Grillikuume Weber-kilpailu 2015 Kilpailun nimi, paikka ja ajankohta: Grillikuume - Weber-kilpailu, 22.4.2015. 1.7.2015. Palkinto ja sen arvo: Viikkokilpailu 1: Weber-grillituotesetti, 105,5 euroa Viikkokilpailu

Lisätiedot