Teknisen ICT-ympäristön tietoturvataso-ohje

Koko: px
Aloita esitys sivulta:

Download "Teknisen ICT-ympäristön tietoturvataso-ohje"

Transkriptio

1 VALTIOVARAINMINISTERIÖ JulkICT-toiminto Ver Teknisen ICT-ympäristön tietoturvataso-ohje Valtionhallinnon tietoturvallisuuden johtoryhmä LUONNOS x/2011

2 Teknisen ICT-ympäristön tietoturvataso-ohje 2 (69) Ministerin saatesivu 2

3 Teknisen ICT-ympäristön tietoturvataso-ohje 3 (69) Lyhyesti VAHTIsta Valtiovarainministeriö ohjaa ja yhteensovittaa julkishallinnon ja erityisesti valtionhallinnon tietoturvallisuuden kehittämistä 3

4 Teknisen ICT-ympäristön tietoturvataso-ohje 4 (69) Sisällysluettelo 1. Johdanto Sanasto Rajaukset Lukuohje Keskeiset vaatimukset ICT-ympäristön tietoturvallisuuden toteuttamiseksi Tietoturvallisuusasetuksen vaatimukset tietoturvallisuudelle Valtioneuvoston periaatepäätös valtionhallinnon tietoturvallisuuden kehittämisestä Tietoaineistojen käsittely ja luokittelu Tietoturvatasot Kansallinen turvallisuusauditointikriteeristö (KATAKRI) Suojattavien kohteiden määritteleminen Suojattavien kohteiden määrittämisessä huomioitavaa Tietoturva-asetuksen vaatimukset Miten ICT-palvelun rajaus tulisi suorittaa? Järjestelmän tärkeysluokka Vaatimukset tekniselle tietotekniikkaympäristölle Yleisiä vaatimuksia Työasemat ja päätelaitteet Kaikissa päätelaitteissa sekä palvelimissa huomioitavia seikkoja Kannettavissa päätelaitteissa huomioitavia seikkoja Pääteistunnoissa huomioitavia seikkoja Erityisesti huomioitavia teknisiä ratkaisuja Käyttäjän tunnistaminen Tietojen salaaminen Tulostinjärjestelmät ja tulostaminen Palveluiden etäkäyttö ICT-palveluiden tuottaminen Itse ylläpidetty vai ulkoistettu ICT-palvelu? XaaS palveluiden tuotantomalleina Palveluiden tuotantomallit Dedikoitu ympäristö - organisaation itse tuottama palvelu Dedikoitu ympäristö valtionhallinnon palvelukeskuksen tuottama käyttöpalvelu Dedikoitu ympäristö - toimittajan ylläpitämä ympäristö palvelu tuotetaan Suomesta51 4. Dedikoitu ympäristö - toimittajan ylläpitämä ympäristö palvelun tuottamiseen liittyvistä henkilöistä on mahdollista tehdä turvallisuusselvitys Valtionhallinnon palvelukeskuksen tuottama jaettu kapasiteetti usealle eri valtionhallinnon asiakkaalle palvelu tuotetaan Suomesta Toimittajan tuottama jaettu kapasiteetti usealle eri valtionhallinnon asiakkaalle palvelu tuotetaan kokonaisuudessaan Suomesta Toimittajan tuottama jaettu kapasiteetti usealle eri asiakkaalle (tuntemattomia) - palvelun tuottamiseen liittyvistä henkilöistä on mahdollista tehdä turvallisuusselvitys Toimittajan tuottama jaettu kapasiteetti usealle eri asiakkaalle (tuntemattomia) palvelua voidaan tuottaa mistä tahansa, palvelun tuottamiseen liittyviä henkilöitä ei ole mahdollista nimetä, organisaatio ei voi auditoida palvelua Esimerkkejä palveluiden luokittelusta

5 Teknisen ICT-ympäristön tietoturvataso-ohje 5 (69) Esimerkki perustason tietoturvavaatimukset täyttävästä teknisestä ympäristöstä organisaation julkinen www-palvelin Esimerkki korotetun tason tietoturvavaatimukset täyttävästä teknisestä ympäristöstä organisaation ydinjärjestelmä 1/ Esimerkki korkean tason tietoturvavaatimukset täyttävästä teknisestä ympäristöstä organisaation ydinjärjestelmä 2/ Esimerkki korkean tason tietoturvavaatimukset täyttävästä teknisestä ympäristöstä erillisverkkoratkaisu ICT-palvelun kilpailuttamisessa huomioitavaa tietoturvallisuuden osalta Työkalut ja muut ohjeen käyttöönottoa tukevat apuvälineet Liite 1: Salassa pidettävien asiakirjojen ja tietojen käsittelyvaatimukset (yleiset + koko elinkaarta koskevat vaatimukset) Liite 2: TTT - Tietoturvallisuuden hallinnan vaatimukset Liite 3: TTT - Tietojärjestelmien hallinnan vaatimukset Liite 4: Tärkeysjärjestys-apuväline Liite 5: Järjestelmien välinen riippuvuus työkalu Liite 6: Palveluiden tuottamisen valinta apuväline Liite 7: Etäkäytön tekniset vaatimukset -työkalu Liite 8: Ympäristön ja järjestelmien kuvauksen-apuväline Liite 9: Kansainvälisen turvallisuusluokitellun tietoaineiston käsittelyohje

6 Teknisen ICT-ympäristön tietoturvataso-ohje 6 (69) 1. Johdanto Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa astui voimaan Sitä täydentävä VAHTI-ohje 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta julkaistiin Nämä kaksi asiakirjaa muodostavat valtionhallinnolle keskeisen rungon tietoturvallisuuden toteuttamiseksi tietoaineistojen käsittelyssä. Tämä ohje on laadittu kuvaamaan yksityiskohtaisemmin tietoaineistojen käsittelyyn sen elinkaaren eri vaiheissa sekä tietoturvatasoihin (TTT) liittyviä teknisiä vaatimuksia. Ohjeessa annetaan hyviä käytäntöjä sekä tarkennetaan tietoturvatasojen vaatimuksia, jolloin niitä voidaan helpommin soveltaa valtionhallinnossa käytössä oleviin tai tuleviin prosesseihin sekä teknisiin ratkaisuihin. Tietoaineistojen käsittelyyn liittyvien ohjeiden lisäksi VAHTI 2/2010 -ohje sisältää liitteessä 5 Tietoturvallisuustasojen yksityiskohtaiset vaatimukset, tarkempia kontrollivaatimuksia, jotka jakaantuvat kahteen osaan; Tietoturvallisuuden hallinnan vaatimuksiin ja Tietojärjestelmien hallinnan vaatimuksiin. Nämä vaatimukset on laadittu valtiovarainministeriön tietoturvatasothankkeessa vuosina Vaikka niissä kuvataankin tietojärjestelmiin kohdistuvia vaatimuksia, niin ne kohdistuvat myös tietojärjestelmien hallinnan menettelyihin, prosesseihin ja vastuisiin ja näin ollen osa vaatimuksista on siten luonteeltaan hallinnollisia. Edellä mainittujen ohella tietoturvallisuuteen liittyy muita vaatimuksia, jotka kaikki yhdessä aiheuttavat organisaatiolle tarpeen kehittää ja ylläpitää omaa tietoturvallisuuttaan. Muut vaatimukset johtuvat organisaation toiminnan luonteesta tai ne ovat muun lainsäädännön tai sopimuskumppaneiden asettamia. Keskeisiä esimerkkejä edellä mainittuihin kohtiin Ydintoiminnan (liiketoiminnan) vaatimukset Kuva 1. Organisaation tietoturvallisuuteen vaikuttavat useat eri tekijät, joista osa on lainsäädännöllisiä ja osa tulee esimerkiksi ohjeiden ja sopimusvelvoitteiden kautta. Entistä tärkeämpiä ovat organisaation ydintoiminnan asettamat toiminnan jatkuvuuteen ja tiedon 6

7 Teknisen ICT-ympäristön tietoturvataso-ohje 7 (69) turvaamiseen liittyvät vaatimukset, joiden merkitys korostuu yhteiskunnan palveluiden sähköistyessä. Tätä ohjetta täydentämään on laadittu työvälineitä, joiden avulla valtiohallinnossa voidaan yhtenäisesti arvioida suojattavien kohteiden tärkeyttä ja ICT-palveluiden tuotantomallia sekä niiden välisiä riippuvuuksia. Niiden perusteella organisaatio voi rajata niitä vaihtoehtoisia tuotantomalleja, joita se voi käyttää tuottaessaan itse tai hankkiessaan ICT-palveluita markkinoilta. Työväline on hyödyllinen erityisesti tilanteissa, joissa organisaatio ostaa käyttö- tai sovellusylläpitopalveluita kaupalliselta toimittajalta, joka haluaa käyttää palvelun tuottamiseen jaettua kapasiteettia, palvelintai työasemavirtualisointia, pilvipalvelua tai sijoittaa niiden tuottamisessa tarvittavia palvelimia, tietovarastoja tai asiantuntijapalveluita Suomen ulkopuolelle. Ohje on tarkoitettu organisaatioiden ICT- ja tietoturvahenkilöstölle. Sitä voivat hyödyntää myös palveluita valtionhallinnon organisaatioille tarjoavat toimittajat ja alihankkijat, joiden tulee palveluita tuottaessaan täyttää valtionhallinnon organisaation sen palvelulle asettamat tietoturvavaatimukset. VAHTI x/2011 päätelaitteiden tietoturvaohje sisältää henkilöstölle tarkoitetut ohjeet eri pääteratkaisuja käytettäessä. Ohjeen teknisestä luonteesta ja teknologian nopeasta kehittymisestä johtuen ohjetta ja siihen liittyviä Excel-työvälineitä tullaan ylläpitämään ja päivittämään sähköisesti. Tuoreimmat versiot löytyvät sekä Valtiovarainministeriön www-sivuilta aaraykset/index.jsp että Valtion IT-palvelukeskuksen työkalupakista. Käyttöoikeuden työkalupakkiin saavat valtionhallinnon tietoturvavastaavat, sitä voi anoa sähköpostitse osoitteesta Suojattava tietoaineisto (data) Hallinnolliset prosessit tietoaineiston suojaamiseksi Tekniset ratkaisut tietoaineiston suojaamiseksi Kuva 2. Tietoturvallisuus on nimensä mukaisesti organisaatiossa käsiteltävän tiedon suojaamista. Tätä voidaan toteuttaa sekä hallinnollisilla prosesseilla että teknisillä ratkaisuilla. Nämä pitää mitoittaa aina suojattavan kohteen merkitys huomioiden, arvioinnissa pitää käyttää apuna riskienhallintaa. 7

8 Teknisen ICT-ympäristön tietoturvataso-ohje 8 (69) Tietovarasto (palvelin, tietokanta) Palvelinympäristön tietoturvallisuus Päätelaiteympäristön tietoturvallisuus Tietoliikenneverkon tarjoama tietoturvallisuus Fyysinen turvallisuus Käyttöoikeudet Käyttäjän tunnistaminen Tietojen salaaminen Tietojen varmistaminen Koventaminen Haittaohjelmatorjunta Tietoturvapäivitykset Lokien hallinta Palomuuri IDS/IPS-järjestelmät Yhdyskäytäväratkaisut Toimitilojen fyysinen suojaus Palvelintilojen olosuhde-valvonta (sähkö, lämpö, kosteus, rikosvalvonta) Kulunvalvonta Tilojen lukitukset Kassakaapit Kuva 3.Tietoaineistoa säilytetään tyypillisesti tietovarastossa, esimerkiksi tietokannassa tai muuten palvelimelle tallennettuna. Jotta tietoa voidaan hyödyntää ja käsitellä sekä välittää, edellyttää se paljon muita teknologisia ratkaisuja (päätelaitteet, tietoliikenne, ympäristön fyysinen tietoturvallisuus). Tietoaineiston käyttäjä (loppukäyttäjä)tai pääkäyttäjä Käyttäjä- sekä käyttöoikeuksien hallinta Henkilöstön osaamisen kehittäminen sekä koulutus Henkilöstöturvallisuus Kuva 4. Tietoaineiston käyttäjällä on erittäin tärkeä rooli tietoturvallisuuden toteutumisessa. Organisaation kannalta kustannustehokkain tapa kehittää tietoturvallisuutta on henkilöstön tietoturvatietoisuuden ja osaamisen kehittäminen. 8

9 Teknisen ICT-ympäristön tietoturvataso-ohje 9 (69) 1.1 Sanasto Auditointi VAHTI 8/2008 mukaisesti: 1) arviointi/testaus, jonka tarkoituksena on tarkastella esimerkiksi tietoturvamekanismien toimivuutta 2) tarkastustoimenpiteet, joiden tarkoituksena on havaita ja/tai estää tietoturvaloukkauksia 3) hallinnollinen ja (tai) tekninen tietoturvallisuustason arviointi" Arviointi Tietoturva-arviointia voidaan pitää ei niin muodollisena ja virallisena kuin auditointia. Auditointi perustuu yleensä sovittuun viitekehykseen tai muihin ennakolta määritettyihin vaatimuksiin, arviointi voi poiketa tästä ja sen näkökulma voi jopa vaihtua. Auditoinnin suorittaa yleensä riippumaton auditoija, arvioinnin tekijän ei tarvitse olla riippumaton taho. Auditoinnin taustalla on yleensä jokin sitoumus, sopimus tai velvoite, arvioinnin tarkoituksena on oman toiminnan sen hetkisen tilanteen arviointi ja kehittäminen, esimerkiksi tavoitteena saavuttaa jonkin auditoinnin edellyttämät vaatimukset. Etäkäyttö ja etätyö Etäkäytöllä tarkoitetaan tässä ohjekokonaisuudessa organisaation toimitilojen ulkopuolelta tapahtuvaa satunnaista tietojärjestelmien ja palveluiden käyttöä. Tyypillistä etäkäyttöä edustaa sähköpostin ja kalenterin sekä organisaation intranetin / työryhmäpalveluiden hyödyntäminen organisaation tarjoamalla kannettavalla tai älypuhelimella. Etätyö poikkeaa etäkäytöstä siinä, että etätyö on myös luvanvaraista, mutta pohjautuu normaalisti tiettyyn, ennakolta sovittuun työmäärään ja työtehtävään, joka tyypillisesti tehdään kotoa. Teknisesti etätyö ja etäkäyttö voidaan toteuttaa samanlaisille teknisillä ratkaisuilla, lisähaastetta etätyössä tulee mahdollisesti kotona säilytettävien tietoaineistojen säilyttämisen ja käsittelyn osalta. Palvelu, ICT-palvelu Sovitun toiminnan tuloksena syntyvä lopputulos, ICT-teknologiassa vaatimusmäärittelyn ja sopimusten mukainen kokonaisuus. Tässä ohjeessa käytetään tästä muotoa ICT-palvelu. Prosessi Mitattavissa oleva vakioitu tapa toimia ja tuottaa jokin lopputulos, esimerkiksi palvelu tai palvelun osa-alue. Päätelaite Tässä ohjekokonaisuudessa päätelaite kattaa kaikki tietotekniset laitteet, joilla palveluita ja tietojärjestelmiä käytetään, esimerkiksi pöytäkone, kannettava tietokone, älypuhelin, tabletit, thin client-päätteet sekä muut vastaavanlaiset tietokonemaisesti toimivat laitteet. Suojattava kohde Suojattavalla kohteella tarkoitetaan tässä ohjeessa sitä kokonaisuutta, jonka organisaatio luokittelee tietoturvallisuusasetuksen ja VAHTI 2/2010-ohjeistuksen mukaisesti jollekin tietoturvatasolle. Suojattava kohde voi olla esimerkiksi tietojärjestelmä, prosessi, fyysinen tila, yksittäinen asiakirja tai työasema. 9

10 Teknisen ICT-ympäristön tietoturvataso-ohje 10 (69) Suojaustaso Tietoturvallisuusasetuksen 9 määritetään käsittelyvaatimuksia osoittavat suojaustasot. Salassa pidettävien asiakirjojen luokittelussa käytettävät luokat ovat suojaustaso I, II, III sekä IV: 1) suojaustaso I, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa erityisen suurta vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle; 2) suojaustaso II, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa merkittävää vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle; 3) suojaustaso III, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle tai yksityiselle edulle; 4) suojaustaso IV, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa haittaa salassapitosäännöksessä tarkoitetulle yleiselle tai yksityiselle edulle. Edellä 1 momentin 4 kohdassa tarkoitettuun suojaustasoon kuuluvaksi voidaan luokitella muukin kuin salassa pidettäväksi säädetty asiakirja, jos asiakirjan luovuttaminen on lain mukaan viranomaisen harkinnassa tai asiakirjaan sisältyviä tietoja saa lain mukaan käyttää tai luovuttaa vain määrättyyn tarkoitukseen ja jos tiedon oikeudeton paljastuminen voi aiheuttaa haittaa yleiselle tai yksityiselle edulle tai heikentää viranomaisen toimintaedellytyksiä. Tietoaineisto Mikä tahansa tieto missä tahansa olomuodossa (esimerkiksi teksti, kuva, ääni) muodostaa tietoaineiston. Synonyyminä käytetään usein termiä asiakirja. Tietojenkäsittely-ympäristö Tietojenkäsittely-ympäristö tarkoittaa tässä ohjeessa organisaation ICT-palveluiden kautta käyttöönsä hankkimaa kokonaisuutta, jonka avulla se tuottaa tarvitsemansa perustietotekniikkaan ja ydintietojärjestelmiin liittyvät kokonaisuudet. Organisaatio voi vastata kokonaan tai osittain kokonaisuuden tuottamisesta itse tai se voi hankkia tarvitsemiaan ICT-palveluita osittain tai kokonaan ulkoistettuna. Ulkoistaminen ei poista organisaation vastuuta huolehtia kokonaisuuden tietoturvavaatimusten täyttämisestä. Tietojärjestelmä "1) ihmisistä, tietojenkäsittelylaitteista, datansiirtolaitteista ja ohjelmista koostuva järjestelmä, jonka tarkoitus on tietoja käsittelemällä tehostaa tai helpottaa jotakin toimintaa tai tehdä toiminta mahdolliseksi 2) abstrakti systeemi, jonka muodostavat tiedot ja niiden käsittelysäännöt Tässä ohjeessa ICT-palvelu saattaa edellyttää yhden tai useamman tietojärjestelmän, jotta sillä voidaan toteuttaa laajempi kokonaisuus eli ICT-palvelu. Tietoturvataso 10

11 Teknisen ICT-ympäristön tietoturvataso-ohje 11 (69) Tietoturva-asetuksessa esitelty ja asetuksen täytäntöönpanoa VAHTI 2/2010 ohjeessa määritetty taso, jonka organisaation tulee täyttää suojattavan kohteen sekä hallinnollisen että teknisen tietoturvallisuuden osalta. Turvallisuusluokiteltava asiakirja (tietoaineisto) Tietoturvallisuusasetuksen 11 todetaan: Jos asiakirjan tai siihen sisältyvän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa kansainvälisille suhteille, valtion turvallisuudelle, maanpuolustukselle tai muulle yleiselle edulle viranomaisten toiminnan julkisuudesta annetun lain 24 :n 1 momentin 2 ja 7 10 kohdassa tarkoitetulla tavalla, salassa pidettävän asiakirjan suojaustasoa koskevan merkinnän yhteyteen tai sen sijasta voidaan tehdä erityinen turvallisuusluokitusmerkintä. Turvallisuusluokitusmerkintä tehdään: 1) suojaustasoon I kuuluvaan asiakirjaan merkinnällä "ERITTÄIN SALAINEN"; 2) suojaustasoon II kuuluvaan asiakirjaan merkinnällä "SALAINEN"; 3) suojaustasoon III kuuluvaan asiakirjaan merkinnällä "LUOTTAMUKSELLINEN"; 4) suojaustasoon IV kuuluvaan asiakirjaan merkinnällä "KÄYTTÖ RAJOITETTU". Turvallisuusluokitusmerkintää ei saa käyttää muissa kuin 1 momentissa tarkoitetuissa tapauksissa, ellei merkinnän tekeminen ole tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi tai asiakirja muutoin liity kansainväliseen yhteistyöhön. Tärkeysluokka Tärkeysluokalla, jossain yhteydessä käytetään myös termiä tärkeys- tai kriittisyysjärjestys, tarkoitetaan tässä ohjeessa ICT-järjestelmän tai muun suojattavan kohteen tärkeyttä organisaatiolle, sen asiakkaille ja sidosryhmille tai koko yhteiskunnalle. Suojattavan kohteen tuottamisessa ja tietoturvavaatimuksissa käytettävät ratkaisut riippuvat tärkeysjärjestyksestä, koska siinä määritellään myös tärkeysluokan ohella edellytettävä tietoturva- ja ICT-varautumisen taso. Erityisesti turvallisuusluokitellun tiedon suojaamisessa korostuu tiedon luottamuksellisuuden suojaaminen, ja luottamuksellisuuden suojaamiselle asetettavat vaatimukset riippuvat tyypillisesti suoraan tiedon suojaustasosta. Tuleekin huomioida, että vaikka järjestelmän tärkeysluokka olisi järjestelmään kohdistuvista käytettävyysvaatimuksista johtuen korkeampi kuin järjestelmässä käsiteltävän tiedon suojaustasoluokka, edellytettävät luottamuksellisuuteen kohdistuvat suojausmenetelmät eivät tyypillisesti ole tiedon suojaustasoluokkaa korkeampia. Poikkeuksena ovat tilanteet, joissa tiedon kasautumisvaikutus nostaa järjestelmän suojaustasoluokkaa. Kasautumisvaikutuksen seurauksia tiedon suojaamistarpeelle on kuvattu yksityiskohtaisemmin Kansallisessa turvallisuusauditointikriteeristössä (KATAKRI, ks. erityisesti I 401.0). 11

12 Teknisen ICT-ympäristön tietoturvataso-ohje 12 (69) Viestintäratkaisu ICT-palvelu: Sähköposti-ja kalenteritietojärjestelmät CRM-ICT-palvelu 1 tietojenkäsittely-ympäristö 2 ICT-palvelua ja 3 tietojärjestelmää Useita suojattavia kohteita Kuva 5. Pienen organisaation tietojenkäsittely-ympäristö saattaa koostua muutamasta ICTpalvelusta, jotka sisältävät vähintään yhtä monta, mutta usein useampia tietojärjestelmiä. Kuvassa viestintäratkaisu sisältää kaksi tietojärjestelmää ja CRM ICT-palvelu yhden tietojärjestelmän. Suojattavia kohteita tulee vähintään jokaisesta ICT-palvelusta sekä tämän ohella esimerkiksi fyysisistä käyttöympäristöistä, joista ICT-palveluita käytetään tai joista niitä tuotetaan. 1.2 Rajaukset Tässä ohjeessa keskitytään ensisijaisesti niihin teknisiin ratkaisuihin, joita tarvitaan kansallisten suojaustasojen ST IV, ST III ja ST II tietoaineistojen käsittelyssä sekä vastaavasti perus-, korotetun ja korkean tietoturvatason tietojenkäsittely-ympäristön toteuttamisessa. Käsiteltäessä kansallista tai kansainvälistä turvallisuusluokiteltua tietoaineistoa, sovelletaan suojauksilta edellytettävänä tasona Kansallista turvallisuusauditointikriteeristöä (KATAKRI). Kansainvälisen turvallisuusluokitellun tietoaineiston osalta KATAKRI:a sovelletaan suoraan kahdenvälisten sopimusten piiriin kuuluviin tietoaineistoihin. KATAKRI:a sovelletaan erityisesti tarkentavana kriteeristönä myös muiden kansainvälisten turvallisuussopimusten (esim. EU:n turvallisuusregiimi) piiriin kuuluviin tietoaineistoihin. KATAKRI:n vaatimustasoja määritettäessä on pyritty huomioimaan keskeisimmät kansainväliset vaatimukset siten, että kotimainen säädöspohja on viime kädessä määräävä tekijä. KATAKRI:ssa kuvatut suojausvaatimukset kattavatkin siten kaikki yleisimmät kansainvälisen ja osan kansallisen turvallisuusluokitellun tiedon suojausvaatimuksista. Kansallisten verkkojen tietoliikenteen osalta pitää noudattaa Sisäverkko-ohjeessa (VAHTI 3/2010) määriteltyjä perus-, korotetun ja korkean tason vaatimuksia. 12

13 Teknisen ICT-ympäristön tietoturvataso-ohje 13 (69) 1.3 Lukuohje Ennen syvempää lukemista suosittelemme tutustumaan ohjeeseen pintapuolisesti tutkimalla sen kuvitusta sekä liitteessä viisi esiteltyjä työvälineitä. Tätä ohjetta hyödynnetään valtiovarainministeriön tuottamissa, Valtiokonttorin Valtion IT-palvelukeskuksen vuosina toteuttamissa tietoturvallisuusasetuksen täytäntöönpanoa tukevissa yhteishankkeissa. Yhteishankkeiden työpajoissa hyödynnetään ohjetta ja sen liitettä. Yhteishankkeissa laadittavat asiakirjat ja ohjeet sekä muu materiaali sisältäen työpajoissa annettavat koti- ja harjoitustehtävät tarjotaan valtionhallinnon organisaatioiden käyttöön Valtion IT-palvelukeskuksen työkalupakista vaikka organisaatio ei osallistuisikaan yhteishankkeisiin. Ohjeessa käsitellään seuraavia asioita: Luku 2 Keskeiset vaatimukset ICT-ympäristön tietoturvallisuuden toteuttamiseksi - mitkä ovat keskeiset vaatimukset, jotka organisaation tulee ottaa huomioon kehittäessään tietoturvallisuuden hallintajärjestelmää Luku 3 Suojattavien kohteiden määritteleminen - miten suojattavat kohteet määritellään ja kuinka ne pitää rajata Luku 4. Vaatimukset tekniselle tietotekniikkaympäristölle - työasemissa ja päätelaitteissa huomioitavia vaatimuksia - palvelimissa ja palveluiden tuotantomallissa huomioitavia vaatimuksia Luku 5 Työkalut ja muut ohjeen käyttöönottoa tukevat apuvälineet - lyhyt kuvaus ohjeen mukana seuraavista työkaluista 13

14 Teknisen ICT-ympäristön tietoturvataso-ohje 14 (69) 2. Keskeiset vaatimukset ICT-ympäristön tietoturvallisuuden toteuttamiseksi Valtioneuvoston asetuksessa tietoturvallisuudesta valtionhallinnossa (681/2010) säädetään valtionhallinnon viranomaisten asiakirjojen käsittelyä koskevista yleisistä tietoturvallisuusvelvoitteista sekä asiakirjojen luokittelun perusteista ja luokiteltujen asiakirjojen käsittelyssä noudatettavista tietoturvallisuusvaatimuksista. VAHTI 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta ohje kuvaa yksityiskohtaisemmin vaatimuksia hyvän tiedonhallintatavan mukaisten toimintaedellytysten toteuttamiseksi organisaatiossa. Myös Valtioneuvoston periaatepäätöksessä valtion tietoturvallisuuden kehittämisestä ( ) velvoitetaan valtionhallinnon organisaatioita kehittämään tietoturvatoimintaansa laaja-alaisesti ja huolehtimaan tietoturvallisuudesta kaikessa yhteistyössä palveluiden tuottajien ja muiden sidosryhmien kanssa. Valtioneuvoston periaatepäätöksessä yhteiskunnan turvallisuusstrategiasta (YTS, ) korostetaan sitä, että turvallisuudesta huolehtiminen on valtiovallan keskeisimpiä tehtäviä ja vaaditaan, että valtiohallinnon toimintakykyä pitää pystyä kehittämään myös normaaliolojen häiriötilanteissa. Tätä voidaan edesauttaa toteuttamalla sellaisia ICT-palveluita, jotka täyttävät jatkuvuuden hallinnalle ja tiedon turvaamiselle (ICT-varautumiselle) asetetut vaatimukset. 2.1 Tietoturvallisuusasetuksen vaatimukset tietoturvallisuudelle Tietoturvallisuusasetuksessa on määritetty kymmenen perustason vaatimusta (5 Tietoturvallisuuden perustason toteuttaminen). Alla on lueteltu nämä vaatimukset ja kuvattu kunkin vaatimuksen osalta ne menettelyt ja välineet, joiden avulla viranomainen voi kyseisen vaatimuksen toteuttaa. Tietoturvallisuuden toteuttamiseksi valtionhallinnon viranomaisen on huolehdittava siitä, että: 1) viranomaisen toimintaan liittyvät tietoturvallisuusriskit kartoitetaan; Tietoturvallisuus tulee nähdä toiminnan laatua parantavana tekijänä, johon keskeisesti liittyy riskienhallinta. Tällä tavalla toimimalla huolehditaan siitä, että tietoturvallisuuteen tehtävät taloudelliset ja muut investoinnit kohdistuvat tarkoituksenmukaisiin kohteisiin. Menetelmä / väline: organisaation oma riskienhallintaprosessi ja väline tai Valtion ITpalvelukeskuksen tietoturvapalveluiden tuottama prosessiohje ja Excel-työväline. Riskienarviointi tulee sisällyttää organisaation toiminnan ja tavoitteiden kannalta tärkeisiin prosesseihin. 2) viranomaisen käytössä on riittävä asiantuntemus tietoturvallisuuden varmistamiseksi ja että tietoturvallisuuden hoitamista koskevat tehtävät ja vastuu määritellään; Menetelmä / väline: riittävä henkilöresursointi ja henkilöiden kattavat tehtäväkuvaukset sekä organisaation johdon hyväksymä tietoturvapolitiikka. Tietoturvavastaavan nimeäminen ja eri toimijoiden vastuiden määrittäminen. 14

15 Teknisen ICT-ympäristön tietoturvataso-ohje 15 (69) 3) asiakirjojen käsittelyä koskevat tehtävät ja vastuut määritellään; Menetelmä / väline: organisaation johdon tekemä päätös tietoaineistojen luokittelemiseksi tietoturvallisuusasetuksen (681/2010) mukaisesti, henkilöiden tehtäväkuvaukset sekä organisaation tietoaineistojen käsittelyä koskeva käsittelyohje, joka huomioi tietoturvallisuusasetuksessa ja VAHTI 2/2010-ohjeessa olevat vaatimukset. Valtion ITpalvelukeskuksen tietoturvapalveluiden tuottamaa tietoaineistojen käsittelyä koskevaa ohjemallia voidaan käyttää laadittaessa organisaation omaa ohjetta. 4) tietojen saanti ja käytettävyys eri tilanteissa turvataan ja luodaan menettelytavat poikkeuksellisten tilanteiden selvittämiseksi; Tietoaineistojen käsittelyssä tulee aina muistaa, että tietoturvallisuus koostuu luottamuksellisuudesta, eheydestä ja saatavuudesta. Jotta nämä osa-alueet voidaan turvata, edellyttää se käsiteltävien tietoaineistojen tärkeyden tunnistamista. Menetelmä / väline: suojattavat kohteet ja niihin liittyvät tietojärjestelmät ja palvelut / prosessit tärkeysluokitellaan sekä toteutetaan ne suojattavan kohteen edellyttämälle tietoturva- ja ICT-varautumisen tasolle. Normaaliolojen häiriötilanteiden varalle on laadittu tarvittavat ohjeet (jatkuvuus- ja toipumissuunnitelmat koko organisaatiolle ja tärkeysjärjestyksen mukaisille tärkeimmille toiminnoille). Vakavien häiriötilanteiden varalle on laadittu kriisinhallinta- ja kriisiviestintäsuunnitelma. Laaditaan valmiussuunnitelmat ja huoltovarmuuskriittiset organisaatiot laativat lisäksi tarvittavat toimintamallit Yhteiskunnan elintärkeiden toimintojen turvaamiseksi poikkeusoloissa. Valtion IT-palvelukeskuksen tietoturvapalveluiden tuottamia jatkuvuus-, valmius- ja toipumissuunnitelmien asiakirjamalleja voidaan käyttää pohjana, mikäli organisaatiolla on tarvetta laatia tai päivittää omia suunnitelmiaan. 5) asiakirjojen ja niihin sisältyvien tietojen salassapito ja muu suoja varmistetaan antamalla pääsy asiakirjoihin vain niille, jotka tarvitsevat salassa pidettäviä tietoja tai henkilörekisteriin talletettuja henkilötietoja työtehtäviensä hoitamiseksi; Mitä tärkeämmistä salassa pidettävistä tietoaineistoista on kyse, sitä tärkeämpiä ovat tietoaineistojen luottamuksellisuuden turvaamiseen liittyvät hallinnolliset prosessit ja fyysiset sekä tietotekniset suojausratkaisut. Mikäli tietoaineisto turvallisuusluokitellaan tietoturvallisuusasetuksen 11 mukaisesti, kohdistuu siihen tällöin pelkillä suojaustasomerkinnöillä varustettuja kansallisia tietoaineistoja tiukemmat käsittelyvaatimukset. Yleisimmät kansalliselle turvallisuusluokitellulle tietoaineistolle asetetut suojausvaatimukset on kuvattu Kansallisessa turvallisuusauditointikriteeristössä (KATAKRI). Mikäli tietoaineistot luokitellaan lain kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) mukaisesti, tulee niiden käsittelyssä noudattaa Suomen ja sopimuskumppanin välisen sopimuksen linjauksia. Käsiteltäessä kahdenvälisten sopimusten piiriin kuuluvaa kansainvälistä turvaluokiteltua tietoaineistoa, sovelletaan suojauksilta edellytettävänä tasona Kansallista turvallisuusauditointikriteeristöä (KATAKRI). KATAKRI:a sovelletaan erityisesti tarkentavana kriteeristönä myös muiden kansainvälisten turvallisuussopimusten 15

16 Teknisen ICT-ympäristön tietoturvataso-ohje 16 (69) (esim. EU:n turvallisuusregiimi) piiriin kuuluviin tietoaineistoihin. KATAKRI:n vaatimustasoja määritettäessä on pyritty huomioimaan keskeisimmät kansainväliset vaatimukset, ja KATAKRI:ssa kuvatut suojausvaatimukset kattavatkin siten kaikki yleisimmät kansainvälisen turvallisuusluokitellun tiedon suojausvaatimukset. Sekä kansallisen että kansainvälisen turvallisuusluokitellun tietoaineiston käsittelyssä on huomioitava, että suojausvaatimukset koskevat kaikkia tiedonkäsittely-ympäristöjä, joissa turvallisuusluokiteltua tietoa käsitellään. Vaatimukset tuleekin huomioida sekä kaikkien organisaation omien ko. tietoa käsittelevien järjestelmien että ulkoistettujen palvelujen osalta. Menetelmä / väline: organisaation tietoaineistojen käsittely ohjeistetaan sen antamassa tietoaineistojen käsittelyohjeessa. Tietojärjestelmiä käyttävien roolien käyttöoikeudet tulee suunnitella joko kohteittain tai käyttäen keskitettyä käyttövaltuushallintaa (Identity and Access Management, IAM). Eri rooleissa toimivat henkilöt pitää pystyä listaamaan rooleittain ja tietojärjestelmittäin. Esimiehen tulee kehittämiskeskustelussa käydä läpi keskeiset työtehtävät ja niissä tarvittavat käyttäjäroolit sekä käsiteltävien tietoaineistojen luokittelu. Organisaation tulee ottaa hankinnoissaan huomioon tietoaineistojen käsittelyltä edellytettävät vaatimukset sekä huomioida ne sopimuksissa. Lisätietoa löytyy VAHTI x/2011 ICT-hankintojen tietoturvaohjeesta sekä sen liitteistä. 6) tietojen luvaton muuttaminen ja muu luvaton tai asiaton käsittely estetään käyttöoikeushallinnan, käytön valvonnan sekä tietoverkkojen, tietojärjestelmien ja tietopalvelujen asianmukaisilla ja riittävillä turvallisuusjärjestelyillä ja muilla toimenpiteillä; Tässä ohjeessa kuvataan niitä teknisiä ratkaisuja, joiden avulla organisaatio voi toteuttaa siltä edellytetyt riittävät turvallisuusjärjestelyt ja muut toimenpiteet. Menetelmä / väline: kuten kohdassa viisi. Sen lisäksi tietojärjestelmien pitää tuottaa sellaista lokitietoa, josta niiden käyttöä voidaan tarvittaessa selvittää. Yksittäisten järjestelmien loki voi olla järjestelmäkohtainen, mutta laajemmissa kokonaisuuksissa pitäisi saada käyttöön keskitetty lokien ja tapahtumien hallintapalvelu (Security Information and Event Management, SIEM). Muita suositeltavia toimenpiteitä ovat organisaation itse suorittamat tai kolmansilta osapuolilta hankittavat katselmoinnit ja auditoinnit. 7) asiakirjojen tietojenkäsittely- ja säilytystilat ovat riittävästi valvottuja ja suojattuja; Tietoturvallisuus on laaja-alainen kokonaisuus, jossa ei pidä unohtaa käsittely-ympäristöön ja muuhun fyysiseen tietoturvallisuuteen liittyviä seikkoja. Etätyön ja -käytön yleistyessä vaatimukset tietoaineistojen käsittelyyn ajasta ja paikasta riippumatta kasvavat, joka asettaa myös käytettäville tietojärjestelmille ja teknisille ratkaisuille uudenlaisia vaatimuksia. Menetelmä / väline: organisaatio täyttää sen toiminnalle asetetun turvaluokituksen mukaiset tilaturvallisuuden vaatimukset ja VAHTI 2/2010-ohjeen vaatimukset. Tämän ohjeen liitteessä 1 on yksityiskohtaisempia vaatimuksia fyysisen turvallisuuden toteuttamiseksi. Nämä tulee ottaa huomioon myös palveluita ostettaessa; myös palvelua 16

17 Teknisen ICT-ympäristön tietoturvataso-ohje 17 (69) tuottavan toimittajan ja toimittajan mahdollisten alihankkijoiden tulee täyttää asetetut vaatimukset. Organisaatio luo etätyötä koskevan ohjeistuksen, jolla varmistetaan etätyöpaikassa säilytettävän tietoaineiston tietoturvallisuus. 8) henkilöstön ja muiden asiakirjojen käsittelyyn liittyviä tehtäviä hoitavien luotettavuus varmistetaan tarvittaessa turvallisuusselvitysmenettelyn ja muiden lain perusteella käytettävissä olevien keinojen avulla; Tämä vaatimus koskee organisaation omaa henkilöstöä, mutta vähintään yhtä tärkeää on huolehtia palveluita organisaation toimeksiannosta tuottavan toimittajan henkilöstön luotettavuudesta. Menetelmä / väline: organisaatiossa on kuvattu periaatteet sekä prosessi, jonka mukaan päätetään mistä rooleista, millä perusteella ja milloin tehdään suppea, perusmuotoinen tai laaja turvallisuusselvitys. Prosessin tulee kattaa organisaation oma henkilöstö, palveluita organisaatiolle tuottavat toimittajat sekä muut sidosryhmät. 9) henkilöstölle ja muille asiakirjojen käsittelyyn liittyviä tehtäviä hoitaville annetaan ohjeet ja koulutusta asiakirjojen ja niihin sisältyvien tietojen asianmukaisesta käsittelystä; Jokainen uusi tietoturvallisuuteen liittyvä prosessi, työväline tai muu toimintamalli edellyttää tiedottamista, koulutusta ja seurantaa sekä mahdollisesti uudenlaista dokumentointia ja raportointia. Tietoturva-asetuksen täytäntöönpanoon liittyy keskeisesti tietoturvatasovaatimusten saavuttaminen, joka aiheuttaa useissa organisaatioissa merkittävän uusien toimintatapojen jalkauttamistarpeen. Menetelmä / väline: Organisaation tulee toteuttaa säännöllistä tietoturvakoulutusta. Valtion IT-palvelukeskuksen tietoturvapalvelut tarjoavat maksuttomia sähköisiä koulutuskokonaisuuksia henkilöstölle, johdolle ja esimiehille sekä tietoaineistojen käsittelijöille. Koulutukseen liittyy olennaisena osana omaksumista mittaava kysely. 10) annettujen ohjeiden noudattamista valvotaan ja niiden muutostarpeita arvioidaan säännöllisesti. Usein jokin uusi toimintamalli laaditaan sen takia, koska sitä edellytetään ilman että organisaatiolla on aidosti halua tai motivaatiota ottaa sitä käyttöön. Tietoturvatasojen toteuttamisessa tämä ei saa käydä näin. Kun organisaatio saavuttaa perus-,korotetun- tai korkean tietoturvatason, se ei voi säilyttää saavutettua tasoa ellei käyttöönotettuja prosesseja ja toimintamalleja liitetä organisaation toimintaan siten, että tietoturvallisuus koetaan osana toimintaprosessia eikä erillisenä vaatimuksena. Tietoturvallisuus tulee nähdä organisaation toiminnan laatua ja suorituskykyä parantavana tekijänä. Menetelmä / väline: organisaation johdolla ja esimiehillä on tärkeä rooli toimia esikuvana ohjeiden noudattamisessa. Organisaatiossa tulee olla prosessi havaittujen poikkeamien raportoimiseen. On suositeltavaa laatia organisaatio-/palvelukohtainen tietoturvallisuuden vuosikello, jonka mukaan huolehditaan prosessien, ohjeiden, sopimusten ja muiden asiakirjojen säännöllisestä katselmoinnista ja päivittämisestä sekä tarvittavista auditoinneista. 17

18 Teknisen ICT-ympäristön tietoturvataso-ohje 18 (69) 2.2 Valtioneuvoston periaatepäätös valtionhallinnon tietoturvallisuuden kehittämisestä Valtioneuvoston periaatepäätöksessä todetaan, että päätös koskee kaikkia hallinnon palveluita, toimintoja, prosesseja, tietojärjestelmiä ja -verkkoja kattaen tiedon koko elinkaaren. Periaatepäätös koskee valtion budjettitalouden piirissä olevia organisaatioita ja liikelaitoksia sekä näiden ulkopuolisilta tahoilta hankkimia tai perustamiinsa osakeyhtiöihin ulkoistamia toimintoja, prosesseja tai palveluja. Periaatepäätöstä noudatetaan myös valtionhallinnon ja muiden organisaatioiden (kuten kunnat, yritykset ja yhteisöt) välisessä toiminnallisessa, tiedon hallinnan ja varautumisen sekä kansainvälisessä yhteistyössä. Edellinen tarkoittaa sitä, että tietoturvallisuus tulee ottaa huomioon sekä valtionhallinnon organisaation omassa toiminnassa että ostettaessa palveluita. Samoin se tulee ottaa huomioon valtionhallinnon ja muiden organisaatioiden yhteistyössä tietoaineistoa välitettäessä organisaatioiden välillä. Periaatepäätöksen luvussa 3 Kehittämisperiaatteet, -kohteet ja painopisteet todetaan: Tiedon ja sen arvon suojaaminen: Organisaatiot parantavat tietoaineistojen, - järjestelmien ja -verkkojen turvallisuutta sekä kehittävät valtion ympärivuorokautista tietoturvatoimintakykyä. Organisaatiot toimivat valtion yhteisten varautumislinjausten, tietoaineistojen suojaustasojen ja tietoturvatasojen vaatimusten mukaisesti sekä ottavat käyttöön näitä tukevat tietotekniset ratkaisut. 2.3 Tietoaineistojen käsittely ja luokittelu Tietoturvallisuuden tärkein tavoite on tukea organisaation toimintaa ja tavoitteiden saavuttamista huolehtimalla tietoaineistojen luottamuksellisuudesta, eheydestä ja saatavuudesta. Tämä on mahdollista ainoastaan ottamalla tietoturvallisuus huomioon tiedon elinkaaren kaikissa vaiheissa. Tietoaineistot tulee luokitella niiden tietosisällön mukaan. Tietoturvallisuusasetus ja VAHTI 2/2010 määrittelevät yksityiskohtaisella tasolla tietoaineistojen käsittelylle asetetut velvoitteet. Salassa pidettävän, harkinnanvaraisesti julkisen sekä käyttörajoitteisen tietoaineiston käsittelyä ohjataan suojaustasojen avulla tietoturvallisuusasetuksen 9 :ssä osoitetulla tavalla. Osaan salassa pidettävistä asiakirjoista voidaan tehdä turvallisuusluokittelua koskeva merkintä tietoturvallisuusasetuksen 11 :ssä säädetyin edellytyksin. Turvallisuusluokitusmerkintää on sallittua käyttää vain niissä tietoaineistoissa, joissa olevien tietojen oikeudeton paljastuminen tai käyttö voi aiheuttaa vahinkoa kansainvälisille suhteille, valtion turvallisuudelle, maanpuolustukselle tai muille yleisille eduille siten kuin tietoturvallisuusasetuksessa säädetään. Suojaustasot ovat: - suojaustaso I (ST I), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa erityisen suurta vahinkoa salassapitosäännöksessä tarkoitetuille yleisille eduille 18

19 Teknisen ICT-ympäristön tietoturvataso-ohje 19 (69) - suojaustaso II (ST II), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa merkittävää vahinkoa salassapitosäännöksessä tarkoitetuille yleisille eduille - suojaustaso III (ST III), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetulle yleisille tai yksityisille eduille ja oikeuksille - suojaustaso IV (ST IV), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa haittaa salassapitosäännöksessä tarkoitetuille yleisille tai yksityisille eduille tai, jos kysymys on tietoturvallisuusasetuksen 9 :n 2 momentissa tarkoitetuista asiakirjoista, jos tiedon oikeudeton paljastuminen voi aiheuttaa haittaa yleiselle tai yksityiselle edulle tai heikentää viranomaisen toimintaedellytyksiä. Tietoaineistojen luokittelua on käsitelty yksityiskohtaisesti VAHTI 2/2010-ohjeen luvussa 7 Tietoaineistojen luokittelu. Kuva 5. Tässä ohjeessa keskitytään kuvamaan niitä teknisiä ratkaisuja, joita tarvitaan luottamuksellisuuden, eheyden ja saatavuuden toteuttamiseksi sekä julkisten että salassa pidettävien tietoaineistojen käsittelyssä. 19

20 Teknisen ICT-ympäristön tietoturvataso-ohje 20 (69) Viranomaisen asiakirjojen luokittelu Kuva 6. Muu kuin julkinen tietoaineisto voidaan merkitä suojaustaso- tai turvallisuusluokitusmerkinnällä riippuen siitä, millaista tietoa se sisältää ja millaista vahinkoa tietojen oikeudeton paljastuminen tai käyttö voivat aiheuttaa. Mikäli tietoaineisto turvallisuusluokitellaan tietoturvallisuusasetuksen 11 mukaisesti, kohdistuu siihen tällöin kansallisia, suojaustasomerkinnöillä varustettuja tietoaineistoja tiukempia käsittelyvaatimuksia erityisesti tiedon luottamuksellisuuden suojaamiseksi. Yleisimmät kansalliselle ja kansainväliselle turvallisuusluokitellulle aineistolle asetettavat suojausvaatimukset on kuvattu Kansallisessa turvallisuusauditointikriteeristössä (KATAKRI). Tässä ohjeessa kansainvälisellä turvallisuusluokitellulla tietoaineistolla tarkoitetaan kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa (588/2004) tarkoitettua erityissuojattavaa tietoaineistoa, johon tietoaineiston Suomeen toimittanut sopimuspuoli on tehnyt turvallisuusluokitusta koskevan merkinnän tai johon Suomen viranomaisen on kansainvälisen tietoturvallisuusvelvoitteen mukaan tehtävä turvallisuusluokitusmerkintä. 20

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1 Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin 12.12.2011 A-P Ollila 1 Taustaa Tiedon merkitys yhteiskunnassa ja viranomaisten toiminnassa korostuu kaiken aikaa. Viranomaisten

Lisätiedot

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TOIMITILAPÄIVÄ 21.3.2013 Johtava asiantuntija Fyysinen turvallisuus ja varautuminen Marko Kalliokoski Verohallinto 020 612 5192 etunimi.sukunimi@vero.fi

Lisätiedot

Teknisen ICTympäristön

Teknisen ICTympäristön Teknisen ICTympäristön tietoturvataso-ohje Valtionhallinnon tietoturvallisuuden johtoryhmä 3/2012 VAHTI Teknisen ICT-ympäristön tietoturvataso-ohje Valtionhallinnon tietoturvallisuuden johtoryhmä 3/2012

Lisätiedot

Tietoturvapolitiikka

Tietoturvapolitiikka Valtiokonttori Ohje 1 (6) Tietoturvapolitiikka Valtion IT -palvelukeskus Valtiokonttori Ohje 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa...

Lisätiedot

VIRTU ja tietoturvatasot

VIRTU ja tietoturvatasot 1 VIRTU ja tietoturvatasot VIRTU/HAKA seminaari 3.2.2010 Erja Kinnunen VK/VIP VIPin palvelut Tietoturvallisuuden viitekehys valtionhallinnossa Ei tietoturvallisuutta koskevaa erillislakia Valtioneuvoston

Lisätiedot

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö Tietosisällön eheys Kimmo Janhunen kimmo.janhunen@om.fi Riskienhallintapäällikkö Oikeusrekisterikeskuski k 26.11.2014 Esityksen sisältö Tiedon merkitys - tiedon eheyden merkitys Määritelmät Lainsäädäntö

Lisätiedot

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Valtorin tietoturvaseminaari 2.4.2014 Pekka Ristimäki Johtava asiantuntija, CISM, CISSP, CRISC Valtori / Tietoturvapalvelut Mikä on hallintajärjestelmä?

Lisätiedot

Julkaistu Helsingissä 15 päivänä kesäkuuta 2011. 634/2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta

Julkaistu Helsingissä 15 päivänä kesäkuuta 2011. 634/2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta SUOMEN SÄÄDÖSKOKOELMA Julkaistu Helsingissä 15 päivänä kesäkuuta 2011 634/2011 Laki julkisen hallinnon tietohallinnon ohjauksesta Annettu Helsingissä 10 päivänä kesäkuuta 2011 Eduskunnan päätöksen mukaisesti

Lisätiedot

Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä

Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä 25.10.2016 m/s Silja Serenade Insevl Pekka Ylitalo Nimi Työ Osasto Roadmap since 90's Mikä on yritysturvallisuusselvitys Uudistetun turvallisuusselvityslain

Lisätiedot

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.

Lisätiedot

Tutkimuslaitosseminaari

Tutkimuslaitosseminaari Tutkimuslaitosseminaari Rakennushankkeen suojaustason vaikutus hankkeeseen Case ST III Luottamuksellinen tasoisen hankkeen käynnistämis- ja suunnitteluvaihe. Tu o m m e t i l a l l e r a t k a i s u t

Lisätiedot

Turvallisuuden lyhyt koulutuspaketti

Turvallisuuden lyhyt koulutuspaketti Turvallisuuden lyhyt koulutuspaketti VELMU-seminaari 7.12. 0 Julkisuuslaki Aluevalvontalaki Sisältö Tietoturvallisuusasetus Kansallinen turvallisuusauditointikriteeristö (KATAKRI) PE päätös: Merenmittaustietojen

Lisätiedot

Luonnos LIITE 1

Luonnos LIITE 1 Luonnos 15.4.2015 LIITE 1 Valtioneuvoston asetus julkisen hallinnon turvallisuusverkkotoiminnasta Valtioneuvoston päätöksen mukaisesti säädetään julkisen hallinnon turvallisuusverkkotoiminnasta annetun

Lisätiedot

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan 10.12.2015 Hannele Kerola Lainsäädäntöneuvos Pääministeri Juha Sipilän hallituksen strateginen

Lisätiedot

Valtioneuvoston asetus

Valtioneuvoston asetus Valtioneuvoston asetus julkisen hallinnon turvallisuusverkkotoiminnasta Valtioneuvoston päätöksen mukaisesti säädetään julkisen hallinnon turvallisuusverkkotoiminnasta annetun lain (10/2015) nojalla: 1

Lisätiedot

VM 5/01/ Valtiovarainministeriö Hallinnon kehittämisosasto. Ministeriöille, virastoille ja laitoksille 1 LÄHTÖKOHDAT

VM 5/01/ Valtiovarainministeriö Hallinnon kehittämisosasto. Ministeriöille, virastoille ja laitoksille 1 LÄHTÖKOHDAT Valtiovarainministeriö Hallinnon kehittämisosasto VM 5/01/2000 19.1.2000 Ministeriöille, virastoille ja laitoksille Asia Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu- ja merkintäohje 1

Lisätiedot

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj Kyberturvallisuus toiminta Valtio Kyberturvallisuuden poliittinen ohjaus kuuluu valtioneuvostolle,

Lisätiedot

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016

Lisätiedot

SELVITYS TIETOJEN SUOJAUKSESTA

SELVITYS TIETOJEN SUOJAUKSESTA 1 (5) Väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) 44 :n mukainen selvitys tietojen SELVITYS TIETOJEN SUOJAUKSESTA Määritelmät Tämä selvitys koskee

Lisätiedot

Tietoturva-asetus ja VIPin tietoturvapalvelut Kimmo Rousku

Tietoturva-asetus ja VIPin tietoturvapalvelut Kimmo Rousku Tietoturva-asetus ja VIPin tietoturvapalvelut Kimmo Rousku Ryhmäpäällikkö, tietoturvapäällikkö Valtion IT-palvelukeskus VIP tietoturvapalvelut Esitykseni pääkohtia ovat mm. Lähtötasokysely Miksi tietoturvallisuus

Lisätiedot

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Lappeenrannan kaupungin tietoturvaperiaatteet 2016 1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015

Lisätiedot

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 1 (6) 25.11.2015 Lappeenrannan kaupungin tietoturvapolitiikka 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0

Lisätiedot

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman Turvallisuusselvityslaki ja käytännön toimijat Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman Supon ennalta estävä tehtävä Suojelupoliisin tulee lakisääteisen

Lisätiedot

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41 Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät

Lisätiedot

Jatkuvuuden varmistaminen

Jatkuvuuden varmistaminen Jatkuvuuden varmistaminen kriittisessä ympäristössä SADe-ohjelman tietosuoja- ja tietoturvailtapäivä 26.11.2014 Aku Hilve http: ://www.capitolhillblue.com/node/47903/060413internet 2 Varautumisella ymmärretään

Lisätiedot

Tietoturvallisuusliite

Tietoturvallisuusliite Tietoturvallisuusliite [Yhteistyökumppanin nimi] STATUS Laatinut: Tarkastanut ja hyväksynyt: Versio no: Tiedoston nimi: Tallennushakemisto: Pvm SISÄLLYSLUETTELO Sisällysluettelo... 2 1 Määritelmät... 3

Lisätiedot

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI TIETOSUOJAVALTUUTETUN TOIMISTO MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI Päivitetty 27.07.2010 www.tietosuoja.fi 2 Malli henkilötietojen käsittelyn/henkilörekisterin

Lisätiedot

MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto

MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto 3.5.2011 Laki julkisen hallinnon tietohallinnon ohjauksesta Lain tavoitteena on luoda toimivalta ja ohjausmalli,

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 8. Luento Tietoturvallisuus Tiedon ominaisuudet

Lisätiedot

Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta

Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta Kehittämispäällikkö Anna Kärkkäinen, THL Sosiaali- ja terveydenhuollon tietosuojaseminaari, Lahti 16.11.2016 Esityksen

Lisätiedot

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy. Tietoturvallisuuden kokonaisvaltainen hallinta 3.12.2015 Heikki O. Penttinen Castilsec Oy Tietoturvallisuuden päätavoitteet organisaatioissa Tietoturvallisuuden oikean tason varmistaminen kokonaisvaltaisesti

Lisätiedot

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta. Itä-Suomen yliopiston tietoturvapolitiikan liitteet 1/6 ITÄ-SUOMEN YLIOPISTON TIETOTURVAPOLITIIKAN LIITTEET LIITE 1: Tietoturvallisuuden vastuut ja organisointi Tässä liitteessä kuvataan tietoturvallisuuteen

Lisätiedot

Vahva vs heikko tunnistaminen

Vahva vs heikko tunnistaminen Vahva vs heikko tunnistaminen Valtorin tietoturvaseminaari 2.4.2014 Tommi Simula Johtava asiantuntija, CISM, CISSP, GSEC, MCSE Valtori / Tietoturvapalvelut Mitä tunnistaminen on? Tunnistaa todeta itselleen

Lisätiedot

Tietoturvavastuut Tampereen yliopistossa

Tietoturvavastuut Tampereen yliopistossa Tietoturvavastuut Tampereen yliopistossa Hyväksytty Tampereen yliopiston Yliopistopalvelujen johtoryhmässä 10.5.2016 Korvaa 18.10.2002 hyväksytyn vastaavan dokumentin. Tulee voimaan hyväksymispäivänä.

Lisätiedot

Valtorin tietoturvapalvelut ja VAHTI yhteistyö. Valtorin asiakaspäivä Johtava asiantuntija Pekka Ristimäki

Valtorin tietoturvapalvelut ja VAHTI yhteistyö. Valtorin asiakaspäivä Johtava asiantuntija Pekka Ristimäki Valtorin tietoturvapalvelut ja VAHTI yhteistyö Valtorin asiakaspäivä Johtava asiantuntija Pekka Ristimäki Tietoturvapalvelut Pekka Ristimäki Johtava asiantuntija Valtion yhteiset tietoturvapalvelut: -Asiantuntijapalvelut

Lisätiedot

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt Turun ammattikorkeakoulu 13.09.2005 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT Sisällysluettelo: 1 Sääntöjen tarkoitus... 2 2 Käytön periaatteet... 2 3 Käyttöoikeus ja käyttäjätunnukset... 4 4 Käyttöoikeuden

Lisätiedot

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy LAURA TM -rekrytointijärjestelmän tietoturva Markku Ekblom Teknologiajohtaja Uranus Oy 17.1.2014 Toimintaympäristö Uranus on Suomessa perustettu, Suomessa toimiva ja suomalaisessa omistuksessa oleva yritys.

Lisätiedot

REKISTERISELOSTE Henkilötietolaki (523/99) 10

REKISTERISELOSTE Henkilötietolaki (523/99) 10 REKISTERISELOSTE Henkilötietolaki (523/99) 10 Laatimispvm: 7.6.2011 Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä. 1. Rekisterinpitäjä Nimi Salon kaupunki liikuntapalvelut

Lisätiedot

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Tietoturvapolitiikka NAANTALIN KAUPUNKI 2016 Tietoturvapolitiikka NAANTALIN KAUPUNKI 1 Sisällysluettelo Johdanto... 2 Tietoturvallisuus... 2 Riskienhallinta... 3 Varautuminen... 3 Vaatimustenmukaisuus ja tavoitteet... 3 Organisointi, roolit

Lisätiedot

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ Liite E Salassapito- ja tietoturvasitoumus 1 (5) VERSIOHISTORIA Päivä Versio Kuvaus Tekijä 3.0 Tarjouspyynnön liitteeksi Hanketoimisto 2 (5) Salassapito-

Lisätiedot

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille 15.3.2016 Kimmo Rousku VAHTI Tilaisuuden ohjelma 2 Tervetuloa! Yksikön päällikkö, VAHTIn puheenjohtaja Aku Hilve

Lisätiedot

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus) Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen 2012 2014 (pohjaehdotus) Arviointilomakkeiden tarkoitus Kunkin vastuualueen ja tulosyksikön sisäisen valvonnan

Lisätiedot

SISÄLTÖ. 1 RISKIENHALLINTA... 3 1.1 Yleistä... 3 1.2 Riskienhallinta... 3 1.3 Riskienhallinnan tehtävät ja vastuut... 4 1.4 Riskienarviointi...

SISÄLTÖ. 1 RISKIENHALLINTA... 3 1.1 Yleistä... 3 1.2 Riskienhallinta... 3 1.3 Riskienhallinnan tehtävät ja vastuut... 4 1.4 Riskienarviointi... RHK Ohje riskienhallinnasta 2 SISÄLTÖ 1 RISKIENHALLINTA... 3 1.1 Yleistä... 3 1.2 Riskienhallinta... 3 1.3 Riskienhallinnan tehtävät ja vastuut... 4 1.4 Riskienarviointi... 5 RH Ohje riskienhallinnasta

Lisätiedot

Lokipolitiikka (v 1.0/2015)

Lokipolitiikka (v 1.0/2015) KYS erityisvastuualue Etelä-Savon sairaanhoitopiiri Lokipolitiikka (v 1.0/2015) Sisällys 1 JOHDANTO... 2 2 HENKILÖTIETOJEN KÄSITTELYYN LIITTYVÄ LAINSÄÄDÄNTÖ... 2 3 LOKI JA LOKITIETO... 3 4 LOKITIETOJEN

Lisätiedot

Laki. EDUSKUNNAN VASTAUS 66/2005 vp. Hallituksen esitys laeiksi viranomaisten toiminnan julkisuudesta annetun lain sekä kuntalain 50 :n muuttamisesta

Laki. EDUSKUNNAN VASTAUS 66/2005 vp. Hallituksen esitys laeiksi viranomaisten toiminnan julkisuudesta annetun lain sekä kuntalain 50 :n muuttamisesta EDUSKUNNAN VASTAUS 66/2005 vp Hallituksen esitys laeiksi viranomaisten toiminnan julkisuudesta annetun lain sekä kuntalain 50 :n muuttamisesta Asia Hallitus on antanut eduskunnalle esityksensä laeiksi

Lisätiedot

Lapin yliopiston tietoturvapolitiikka

Lapin yliopiston tietoturvapolitiikka Lapin yliopiston tietoturvapolitiikka 2016 1 Vahvistettu Lapin yliopiston rehtorin päätöksellä 16.5.2016 Lapin yliopiston tietoturvapolitiikka Sisällysluettelo: 1. Johdanto... 2 2. Tietoturvapolitiikan

Lisätiedot

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen)

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen) Valtiokonttori Kieku-toimiala Ohje Mikko 18.4.2016 Kieku-tietojärjestelmä Työasemavaatimukset 1 (5) Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.5 12.2.2014 Mikko

Lisätiedot

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 1.0 ESPOON KAUPUNKI 02070 ESPOON KAUPUNKI WWW.ESPOO.FI ESBO STAD 02070 ESBO STAD WWW.ESBO.FI Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuus...

Lisätiedot

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT YT-neuvosto hyväksynyt 21.11.2007 Vahvistanut: kuntayhtymän johtaja Pentti Leipälä 4.1.2008 1. SÄÄNTÖJEN TARKOITUS 1 2. KÄYTÖN PERIAATTEET

Lisätiedot

Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä.

Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä. REKISTERISELOSTE Henkilötietolaki (523/99) 10 Päiväys: 25.6.2008 Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä. 1. Rekisterinpitäjä Nimi Intrum Justitia Oy Y-tunnus

Lisätiedot

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle Ohje 1 (6) Käyttöönottosuunnitelma -kotiorganisaatiolle Ohje 2 (6) Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.0 11.12.2009 Mikael Linden käyttöönottohankkeen

Lisätiedot

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS TIETOSUOJAVALTUUTETUN TOIMISTO REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS Päivitetty 15.09.2010 www.tietosuoja.fi 2 Sisällysluettelo 1. Mistä informointivelvoitteessa on kysymys 3 2. Ketä informointivelvoite

Lisätiedot

laeiksi julkisen hallinnon tietohallinnon ohjauksesta

laeiksi julkisen hallinnon tietohallinnon ohjauksesta EDUSKUNNAN VASTAUS 331/2010 vp Hallituksen esitys laeiksi julkisen hallinnon tietohallinnon ohjauksesta sekä viranomaisten toiminnan julkisuudesta annetun lain 18 ja 36 :n muuttamisesta Asia Hallitus on

Lisätiedot

SÄÄDÖSKOKOELMA Julkaistu Helsingissä 19 päivänä heinäkuuta 2010 N:o Laki. N:o 678. yhdistyslain muuttamisesta

SÄÄDÖSKOKOELMA Julkaistu Helsingissä 19 päivänä heinäkuuta 2010 N:o Laki. N:o 678. yhdistyslain muuttamisesta SUOMEN SÄÄDÖSKOKOELMA 2010 Julkaistu Helsingissä 19 päivänä heinäkuuta 2010 N:o 678 682 SISÄLLYS N:o Sivu 678 Laki yhdistyslain muuttamisesta... 2353 679 Laki tilintarkastuslain 57 :n muuttamisesta...

Lisätiedot

Tilastoaineistojen säilytysajan määrääminen - normivaatimukset ja sopimusvelvoitteet. Anna-Leena Reinikainen

Tilastoaineistojen säilytysajan määrääminen - normivaatimukset ja sopimusvelvoitteet. Anna-Leena Reinikainen Tilastoaineistojen säilytysajan määrääminen - normivaatimukset ja sopimusvelvoitteet Anna-Leena Reinikainen 6.5.2009 Vaikuttavia säädöksiä Arkistolaki (831/1994) Laki viranomaisten toiminnan julkisuudesta

Lisätiedot

Korkeakoulujen valtakunnallinen tietovaranto. Ilmari Hyvönen

Korkeakoulujen valtakunnallinen tietovaranto. Ilmari Hyvönen Korkeakoulujen valtakunnallinen tietovaranto Ilmari Hyvönen 8.4.2014 Aiheita Tietovarannon käyttöönotto ja ohjaus Tietovaranto tiedonvälityspalveluna Yhteentoimivuuden edistäminen tietovarannon avulla

Lisätiedot

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA 2016 Kh 111 31.5.2016 v1.0 19.5.2016, Seija Romo 1. JOHDANTO... 1 2. TIETOTURVAPOLITIIKAN TAVOITE... 1 3. TIETOTURVATOIMINTAA OHJAAVAT TEKIJÄT... 2 4. TIETORISKIEN

Lisätiedot

Markkinoiden väärinkäyttöasetusta koskevat ohjeet Markkinoiden tunnustelun vastaanottavat henkilöt

Markkinoiden väärinkäyttöasetusta koskevat ohjeet Markkinoiden tunnustelun vastaanottavat henkilöt Markkinoiden väärinkäyttöasetusta koskevat ohjeet Markkinoiden tunnustelun vastaanottavat henkilöt 10/11/2016 ESMA/2016/1477 FI Sisällysluettelo 1 Soveltamisala... 3 2 Viittaukset, lyhenteet ja määritelmät...

Lisätiedot

TIETOTURVATASOVAATIMUKSET HANKINNOISSA

TIETOTURVATASOVAATIMUKSET HANKINNOISSA TIETOTURVATASOVAATIMUKSET HANKINNOISSA Mikäli muuta ei mainita, Toimittajan (ei Asiakkaan) tulee suorittaa tässä taulukossa kuvatut toimenpiteet, jotka kohdistuvat hankinnan kohteeseen eli palveluun. Tietoturvatasoj

Lisätiedot

Kieku-tietojärjestelmä Työasemavaatimukset

Kieku-tietojärjestelmä Työasemavaatimukset Valtiokonttori Kieku-toimiala Ohje 18.5.2015 Kieku-tietojärjestelmä Työasemavaatimukset Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.00 15.2.2012 Eero Haukilampi

Lisätiedot

REKISTERISELOSTE Henkilötietolaki (523/99) 10

REKISTERISELOSTE Henkilötietolaki (523/99) 10 REKISTERISELOSTE Henkilötietolaki (523/99) 10 Laatimispvm: Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä. 1. Rekisterinpitäjä Nimi Limingan Kiekko ry Yhteystiedot (osoite,

Lisätiedot

Kunnan järjestämisvastuu, tietohallinto ja digitalisaatio. julkisoikeuden professori, IT-oikeuden dosentti Tomi Voutilainen Itä-Suomen yliopisto

Kunnan järjestämisvastuu, tietohallinto ja digitalisaatio. julkisoikeuden professori, IT-oikeuden dosentti Tomi Voutilainen Itä-Suomen yliopisto Kunnan järjestämisvastuu, tietohallinto ja digitalisaatio julkisoikeuden professori, IT-oikeuden dosentti Tomi Voutilainen Itä-Suomen yliopisto Tomi.Voutilainen@uef.fi 25.11.2015 1 Lähtökohta Tietohallintolaki

Lisätiedot

Tietoturva ja viestintä

Tietoturva ja viestintä Tietoturva ja viestintä 3.11.2015 1 Uhkakuvat muuttuvat - mitä teemme? Ihmisestä tallentuu joka päivä tietoa mitä erilaisimpiin paikkoihin - valtion, kuntien ja yritysten ylläpitämiin rekistereihin. Joka

Lisätiedot

MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA

MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA lukien toistaiseksi 1 (5) Sijoituspalveluyrityksille MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA Rahoitustarkastus antaa sijoituspalveluyrityksistä annetun lain

Lisätiedot

Turvallisuus. Käytettävyys. Yhteistyö. Hallinnon turvallisuusverkkohanke Hankkeen esittely

Turvallisuus. Käytettävyys. Yhteistyö. Hallinnon turvallisuusverkkohanke Hankkeen esittely Turvallisuus. Käytettävyys. Yhteistyö. Hallinnon turvallisuusverkkohanke Hankkeen esittely Valtiovarainministeriö TUVE-hanke 03/2012 TUVE - esityksen sisältö 1. Mitä hallinnon turvallisuusverkolla tarkoitetaan

Lisätiedot

4.2 Yhteensopivuus roolimalleihin perustuvassa palvelussa

4.2 Yhteensopivuus roolimalleihin perustuvassa palvelussa 4. Roolimallipalvelu 4.1 Tiedot palvelusta Palvelun nimi: Palvelun versio 01.01.00 Toteuttaa palvelun yksilöllistä palvelua (kts. M14.4.42) Roolimallipalvelu (Model role service) MYJ:lle, jotka toteuttavat

Lisätiedot

REKISTERISELOSTE Henkilötietolaki (523/99) 10

REKISTERISELOSTE Henkilötietolaki (523/99) 10 REKISTERISELOSTE Henkilötietolaki (523/99) 10 JÄRJESTÖREKISTERI / Liikuntapalvelut Laatimispvm: 31.3.2009 Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä. 1. Rekisterinpitäjä

Lisätiedot

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA LIIKENNE- JA VIESTINTÄMINISTERIÖ Muistio Liite 1 Viestintäneuvos 27.10.2015 Kreetta Simola LUONNOS VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA Taustaa Vuoden

Lisätiedot

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) 20.5.2014 Kimmo Janhunen SecICT-hankepäällikkö Hankkeen tausta Esityksen sisältö Valtion ympärivuorokautinen tietoturvatoiminto

Lisätiedot

JHS 179 Kokonaisarkkitehtuurin suunnittelu ja kehittäminen Liite 2. Liiketoimintamallit ja kyvykkyydet KA-suunnittelussa

JHS 179 Kokonaisarkkitehtuurin suunnittelu ja kehittäminen Liite 2. Liiketoimintamallit ja kyvykkyydet KA-suunnittelussa JHS 179 Kokonaisarkkitehtuurin suunnittelu ja kehittäminen Liite 2. Liiketoimintamallit ja kyvykkyydet KA-suunnittelussa Versio: Luonnos palautekierrosta varten Julkaistu: Voimassaoloaika: toistaiseksi

Lisätiedot

Utajärven kunta TIETOTURVAPOLITIIKKA

Utajärven kunta TIETOTURVAPOLITIIKKA Utajärven kunta TIETOTURVAPOLITIIKKA Johdanto Tiedon käsittely on oleellinen osa Utajärven kunnan toimintaa ja palveluiden tuottamista. Tietojenkäsittelyn tehokkuus ja virheettömyys ovat keskeisiä tekijöitä

Lisätiedot

Lokitietojen käsittelystä

Lokitietojen käsittelystä Lokitietojen käsittelystä ylitarkastaja Sari Kajantie/KRP Esityksen lähtökohdista Tavoitteena lisätä ymmärrystä kriteereistä, joilla lokien käsittelytavat tulisi määritellä jotta pystytte soveltamaan käsittelytapoja

Lisätiedot

Esimiesinfo / Tietosuoja Tietosuojavastaava Marita Meriluoto

Esimiesinfo / Tietosuoja Tietosuojavastaava Marita Meriluoto Esimiesinfo 3.11.2015/ Tietosuoja 1 Tietosuojan määritelmä Tietosuoja on osa tietoturvaa Sen avulla pyritään turvaamaan rekisteröidyn yksityisyyden suojan toteutuminen Koskee sekä sähköistä tietojen käsittelyä

Lisätiedot

EPV:N OHJEET MAKSAMATTOMISTA LAINOISTA JA ULOSMITTAUKSESTA EBA/GL/2015/ EPV:n ohjeet. maksamattomista lainoista ja ulosmittauksesta

EPV:N OHJEET MAKSAMATTOMISTA LAINOISTA JA ULOSMITTAUKSESTA EBA/GL/2015/ EPV:n ohjeet. maksamattomista lainoista ja ulosmittauksesta EBA/GL/2015/12 19.08.2015 EPV:n ohjeet maksamattomista lainoista ja ulosmittauksesta 1 Sisältö 1 jakso Noudattamista ja ilmoittamista koskevat velvoitteet 3 2 jakso Aihe, soveltamisala ja määritelmät 4

Lisätiedot

Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana. Sami Laaksonen, Propentus Oy

Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana. Sami Laaksonen, Propentus Oy Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana Sami Laaksonen, Propentus Oy 3.12.2015 Propentus Oy Perustettu vuonna 2003 Toimipisteet Kouvolassa, Lahdessa ja Kotkassa

Lisätiedot

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA POHJOIS-KARJALAN SAIRAANHOITO- JA SOSIAALIPALVELUJEN KUNTAYHTYMÄ Johtoryhmä 7.4.2015 Yhtymähallitus 27.4.2015 SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA Sisällys 1. Lainsäädäntö 3 2. Soveltamisala

Lisätiedot

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia OAMK / Luova 4.5. ja 11.5. Sisäinen auditointi osa Oamkin ympäristöohjelmatyötä Sisältö 1. päivä Johdanto Auditoinnin tavoitteet Ympäristöstandardin (ISO 14001) pääkohdat Alustava ympäristökatselmus Auditoinnin

Lisätiedot

Valtioneuvoston asetus

Valtioneuvoston asetus VALTIOVARAINMINISTERIÖ Luonnos 10.12.2013 TORI-hankkeen lainsäädäntötyöryhmä Lainsäädäntöneuvos Sami Kivivasara Valtioneuvoston asetus valtion yhteisten tieto- viestintäteknisten palvelujen järjestämisestä

Lisätiedot

JHS Avoimen tietoaineiston käyttölupa

JHS Avoimen tietoaineiston käyttölupa JHS Avoimen tietoaineiston käyttölupa Anne Kauhanen-Simanainen ja Marjut Salokannel Esittely julkisen hallinnon tietohallinnon neuvottelukunnalle (JUHTA) 11.12.2014 Valtioneuvoston periaatepäätös (3.3.2011)

Lisätiedot

Vihreät hankinnat ja hankintalaki. Kommenttipuheenvuoro, Vihreät hankinnat seminaari Jukka Koivusalo Hankintalakimies Espoon kaupunki

Vihreät hankinnat ja hankintalaki. Kommenttipuheenvuoro, Vihreät hankinnat seminaari Jukka Koivusalo Hankintalakimies Espoon kaupunki Vihreät hankinnat ja hankintalaki Kommenttipuheenvuoro, Vihreät hankinnat seminaari 18.01.2010 Jukka Koivusalo Hankintalakimies Espoon kaupunki Yleisiä lähtökohtia Hankintalaki perustuu pitkälti EU-lainsäädäntöön,

Lisätiedot

Valtion konesali- ja kapasiteettipalvelun merkitys valtion konesalistrategian toteuttamisessa VM/JulkICT / Tuomo Pigg

Valtion konesali- ja kapasiteettipalvelun merkitys valtion konesalistrategian toteuttamisessa VM/JulkICT / Tuomo Pigg Valtion konesali- ja kapasiteettipalvelun merkitys valtion konesalistrategian toteuttamisessa 20.11.2014 VM/JulkICT / Tuomo Pigg Taustaa Konesali- ja kapasiteettipalvelut ovat toimialariippumattomia palveluita

Lisätiedot

Kokonaisarkkitehtuuri julkisessa hallinnossa. ICT muutostukiseminaari neuvotteleva virkamies Jari Kallela

Kokonaisarkkitehtuuri julkisessa hallinnossa. ICT muutostukiseminaari neuvotteleva virkamies Jari Kallela Kokonaisarkkitehtuuri julkisessa hallinnossa ICT muutostukiseminaari 8.10.2014 neuvotteleva virkamies Jari Kallela Sisältö Miksi kokonaisarkkitehtuuria tarvitaan julkisessa hallinnossa? Mitä tuloksia kokonaisarkkitehtuurista

Lisätiedot

ASIAA TIETOSUOJASTA 4/ HENKILÖTIETOLAKI HENKILÖTIETOJEN KÄSITTELYN OHJAAJANA

ASIAA TIETOSUOJASTA 4/ HENKILÖTIETOLAKI HENKILÖTIETOJEN KÄSITTELYN OHJAAJANA Terveydenhuollon 28. atk-päivät, 27. - 28.5.2002 Ajankohtaista tietosuojasta / Liite 2 ASIAA TIETOSUOJASTA 4/1999 7.6.1999 HENKILÖTIETOLAKI HENKILÖTIETOJEN KÄSITTELYN OHJAAJANA Tietosuojavaltuutetun tehtävänä

Lisätiedot

Suorin reitti Virtu-palveluihin

Suorin reitti Virtu-palveluihin Suorin reitti Virtu-palveluihin Haka- ja Virtu-seminaari 9.2.2011 Hannu Kasanen, Secproof Finland Secproof Finland Noin 15 hengen konsultointi- ja asiantuntijapalveluita tarjoava yritys Perustettu vuonna

Lisätiedot

Turvallisuusselvityslain uudistus yritysturvallisuusselvityksissä

Turvallisuusselvityslain uudistus yritysturvallisuusselvityksissä Turvallisuusselvityslain uudistus yritysturvallisuusselvityksissä Säätytalo 17. ja 18.12.2014 Suojelupoliisin lausuntotoiminto Tarkastaja Lauri Holmström Esityksen sisältö Suojelupoliisin yritysturvallisuustoiminto

Lisätiedot

REKISTERISELOSTE Henkilötietolaki (523/99) 10

REKISTERISELOSTE Henkilötietolaki (523/99) 10 REKISTERISELOSTE Henkilötietolaki (523/99) 10 Laatimispvm: 3.3.2011 Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä. 1. Rekisterinpitäjä Nimi KL-kuntarekry Oy Salon kaupunki/rekrytointiyksikkö

Lisätiedot

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta Fintech Breakfast 17.3.2017, Technopolis, Oulu Agenda I II Maksupalveludirektiivi (PSD2) mitä uutta? Yleinen tietosuoja-asetus PSD2 3 Maksupalveludirektiivi

Lisätiedot

Riippumattomat arviointilaitokset

Riippumattomat arviointilaitokset Riippumattomat arviointilaitokset CSM Riskienhallinta -asetuksen mukainen riippumaton arviointi Komission asetus (352/2009/EY) yhteisestä turvallisuusmenetelmästä, CSM riskienhallinta-asetus, vaatii rautatiejärjestelmässä

Lisätiedot

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016 1 (9) Rauman kaupunki Tietoturvapolitiikka Kaupunginhallitus hyväksynyt 30.5.2016, KH 274, RAU/522/07.03.00/2016 2 (9) Sisällys 1. Johdanto... 3 2. Tietoturvapolitiikan tarkoitus... 3 3. Ketä tämä tietoturvapolitiikka

Lisätiedot

FINANSSIVALVONNAN MÄÄRÄYS- JA OHJEKOKOELMAN UUDISTAMINEN

FINANSSIVALVONNAN MÄÄRÄYS- JA OHJEKOKOELMAN UUDISTAMINEN 11.11.2011 1 (6) Finanssivalvonnalle Lausuntopyyntö 7.10.2011, Dnro 10/2011 FINANSSIVALVONNAN MÄÄRÄYS- JA OHJEKOKOELMAN UUDISTAMINEN Finanssivalvonta (FIVA) on pyytänyt lausuntoa Finanssialan Keskusliitolta

Lisätiedot

Toteutuuko tietoturva?

Toteutuuko tietoturva? Toteutuuko tietoturva? Infomaatiohallinnon päivä 2010 21.9.2010 Rovaniemi Juha Lappi Email: juha.lappi@deltagon.fi Vt. toimitusjohtaja GSM: (044)5280892 Deltagon Group Oy Kehittää ja myy käyttäjäystävällisiä

Lisätiedot

Ohje salauskäytännöistä

Ohje salauskäytännöistä Ohje salauskäytännöistä 11.11.2015 Kimmo Rousku VAHTI Tilaisuuden ohjelma 1/2 2 Tilaisuuden ohjelma 2/2 3 Esityksessäni Miksi salaus on tärkeää? Muuttunut uhkatilanne Salaus on mahdollistaja Ohjeen esittely

Lisätiedot

JHS-järjestelmä. Tommi Karttaavi

JHS-järjestelmä. Tommi Karttaavi JHS-järjestelmä Tommi Karttaavi 25.4.2007 JHS-järjestelmä JHS-suosituksia (julkisen hallinnon suositus) on laadittu vuodesta 1992 lähtien, jolloin JHS-järjestelmä korvasi VHS-järjestelmän Voimassa olevia

Lisätiedot

Perustietovarantojen rajapintaratkaisun sidosryhmät - yhteenveto PERA-määrittely Liite 2

Perustietovarantojen rajapintaratkaisun sidosryhmät - yhteenveto PERA-määrittely Liite 2 Perustietovarantojen rajapintaratkaisun sidosryhmät - yhteenveto PERA-määrittely Liite 2 Päiväys: 31.5.2011 versio 0.9 Sidosryhmä Kuvaus Sidosryhmän rooli Sidosryhmän tehtävät ja vastuut Tietojen luovuttaja

Lisätiedot

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke TITAN-SEMINAARI 9.11.2010 Pasi Ahonen, VTT TITAN projektissa koottiin

Lisätiedot

EU-tietosuoja-asetuksen toimeenpanon tukeminen Verkkokoulutus ja työpajat JUHTA Tuula Seppo erityisasiantuntija

EU-tietosuoja-asetuksen toimeenpanon tukeminen Verkkokoulutus ja työpajat JUHTA Tuula Seppo erityisasiantuntija EU-tietosuoja-asetuksen toimeenpanon tukeminen Verkkokoulutus ja työpajat JUHTA 7.2.2017 Tuula Seppo erityisasiantuntija EU-tietosuoja-asetus Astuu voimaan 25.5.2018 Edellyttää koko henkilöstön ja henkilötietoja

Lisätiedot

Korkeakoulujen valtakunnallinen tietovaranto: Tietosuojaseloste, looginen rekisteri

Korkeakoulujen valtakunnallinen tietovaranto: Tietosuojaseloste, looginen rekisteri RAkenteellisen KEhittämisen Tukena TIetohallinto Korkeakoulujen valtakunnallinen tietovaranto: Tietosuojaseloste, looginen rekisteri Korkeakoulujen ja opetus- ja kulttuuriministeriön yhteinen tietohallintohanke,

Lisätiedot

Sisämarkkina- ja kuluttajansuojavaliokunta LAUSUNTOLUONNOS. teollisuus-, tutkimus- ja energiavaliokunnalle

Sisämarkkina- ja kuluttajansuojavaliokunta LAUSUNTOLUONNOS. teollisuus-, tutkimus- ja energiavaliokunnalle EUROOPAN PARLAMENTTI 2009-2014 Sisämarkkina- ja kuluttajansuojavaliokunta 30.5.2012 2011/0430(COD) LAUSUNTOLUONNOS sisämarkkina- ja kuluttajansuojavaliokunnalta teollisuus-, tutkimus- ja energiavaliokunnalle

Lisätiedot

REKISTERISELOSTE Henkilötietolaki (523/99) 10

REKISTERISELOSTE Henkilötietolaki (523/99) 10 Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä. REKISTERISELOSTE Henkilötietolaki (523/99) 10 Laatimispvm: 22.9.2014 250/07.01.01.02.01/2013 1. Rekisterinpitäjä Nimi

Lisätiedot

Ajankohtaista JulkICT:stä Kirsi Janhunen VAHTI-päivä

Ajankohtaista JulkICT:stä Kirsi Janhunen VAHTI-päivä Ajankohtaista JulkICT:stä 13.9.2016 Kirsi Janhunen VAHTI-päivä Aiheet Julkisen hallinnon verkosto vakaviin ja laajoihin häiriötilanteisiin VAHTI-sivusto uudistuu Tietoturvan kasijako uudistuu uudeksi hallintarakenteeksi

Lisätiedot