TIETOTURVALLISUUDEN ARVIOINTI VALTIONHALLINNOSSA

Koko: px
Aloita esitys sivulta:

Download "TIETOTURVALLISUUDEN ARVIOINTI VALTIONHALLINNOSSA"

Transkriptio

1 TIETOTURVALLISUUDEN ARVIOINTI VALTIONHALLINNOSSA 8/2006 VALTIONHALLINNON TIETOTURVALLISUUDEN JOHTORYHMÄ

2 Pääotsikko/luku TIETOTURVALLISUUDEN ARVIOINTI VALTIONHALLINNOSSA 8/2006 valtiovarainministeriö HALLINNON KEHITTÄMISOSASTO VAHTI

3 Pääotsikko/luku VALTIOVARAINMINISTERIÖ Snellmaninkatu 1 A PL VALTIONEUVOSTO Puhelin (09) Telefaksi (09) Internet Julkaisun tilaukset Puh. (09) fax (09) ISSN ISBN (nid.) ISBN (pdf) Edita Prima Oy HELSINKI

4 Pääotsikko/luku

5 Pääotsikko/luku

6 Esipuhe ESIPUHE Valtiovarainministeriö (VM) vastaa valtion tietoturvallisuuden ohjauksesta ja kehittämisestä. Ministeriö on asettanut Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) hallinnon tietoturvallisuuden yhteistyön, ohjauksen ja kehittämisen elimeksi. VAHTIssa ovat edustettuina eri hallinnonalat ja -tasot. VAHTIn tavoitteena on tietoturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta ja jatkuvuutta sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi valtionhallinnon kaikkea toimintaa. VAHTI käsittelee valtionhallinnon tietoturvallisuutta koskevat määräykset, ohjeet, suositukset ja tavoitteet sekä muut tietoturvallisuuden linjaukset ja toimenpiteet. Valtionhallinnon lisäksi VAHTIn toiminnan tuloksia hyödynnetään laajasti myös kunnallishallinnossa, yksityisellä sektorilla, kansalaistoiminnassa ja kansainvälisessä yhteistyössä. VAHTI on tunnettu muun muassa tietoturvajulkaisuista ja ohjeista sekä tietoturvahankkeistaan ( Valtion tietoturvallisuuden kehitysohjelma on julkaistu VAHTI-julkaisusarjassa nimellä Valtionhallinnon tietoturvallisuuden kehitysohjelma , VAHTI 1/2004. Kehitysohjelmalla kehitetään tietoturvallisuutta laajasti osana kaikkea toimintaa. Kehitysohjelmaan sisältyy kaikkiaan 29 laajaa kehittämiskohdetta, joista osaa toimeenpannaan työryhmien tai jaostojen valmistelussa ja osaa muilla toimenpiteillä. Kehitysohjelmaan osallistuvat laajasti kaikki hallinnonalat ja lisäksi osassa hankkeita on mukana kuntien ja elinkeinoelämän edustajia sekä ulkopuolisia asiantuntijoita. Hankkeissa on vuonna 2005 ollut mukana valtionhallintotasolla nimettyinä noin 300 osallistujaa. Osa kehitysohjelman kehitystyöstä toteutetaan hanketyöllä ja osa muulla ohjaus-, kehitys- ja yhteistyöllä. Virallisesti asetetut hankkeet löytyvät valtioneuvoston hankerekisteristä ( VAHTIn (VM166:00/2003) alahankkeina. Seuraavassa kuvassa on esitettyinä kehitysohjelman osa-alueet.

7 Pääotsikko/luku Kaavio kehitysohjelmasta ja sen hankealueista 2. Valtionhallinnon tietoturvatyön yleinen tukeminen 3. Tietoturvallinen viestintä ja asianhallinta 4. Tietoturvavastaavien tukeminen 5. Palvelujen kehittäjien tukeminen 1. Tietoturvakulttuurin luominen 6. Peruskäyttäjien tukeminen Tämä asiakirjan on laatinut VAHTIn alainen tietoturva-arvioinnit - työryhmä. Työryhmän työ on ollut osa kehitysohjelman tietoturvakulttuurin luominen- ja valtionhallinnon tietoturvatyön yleinen tukeminen hankealueita. 6

8 Sisällys Sisällysluettelo YHTEEVETO JOHDOLLE JOHDANTO Arvioinnin tausta, tietoturvallisuuden kehitysohjelma Tietoturvallisuuden arvioinnin tavoitteet Johdon rooli arvioinnissa Tulosohjauksen ohjaava vaikutus Arviointeja suorittavia viranomaisia Ohjeen lukuohje kohderyhmittäin Ohjeen laatiminen OHJEITA JA MALLEJA TIETOTURVALLISUUDEN ARVIOINTIIN Prosessiajattelumalli ITIL ISO ja ISO SSE CMM CoBIT Common Criteria ARVIOINTIA KOSKEVAT LAINSÄÄDÄNNÖN VELVOITTEET TIETOTURVA-ARVIOINNIN PERIAATTEITA Tietoturva-arvioinnin vaiheet Arviointityöryhmä Arvioinnin suunnittelu ja arviointimenetelmän valinta Tarkistuslistat Arviointikriteerit ja SSE-CMM kypsyysmalli Arvioinnin näkökulmat Laadullinen arviointi Määrällinen arviointi Vaikuttavuus Taloudellisuus Palvelusopimuksiin perustuva asiakkuus Prosessit Osaaminen ARVIOINTIALUEET Johtamisen ja tulosohjauksen arviointi Riskikartoituksen arviointi Ulkoistamisen arviointi Prosessien arviointi Asiakirjaturvallisuuden ja tietosuojan arviointi... 41

9 Sisällys 5.6 Ohjeistuksen arviointi Koulutuksen arviointi Tietojärjestelmien arviointi Tietoliikenteen arviointi Laitteistojen arviointi Käytön arviointi Henkilöstön ja heidän toimintansa arviointi Toiminnan jatkuvuuden arviointi Tietojenkäsittelyn valmiussuunnittelun arviointi Toimitilaturvallisuuden arviointi Projektityöskentelyn arviointi ARVIOINNIN SUORITTAMINEN Hallinnollisen tietoturvallisuuden arviointi Henkilöstöturvallisuuden arviointi Fyysisen turvallisuuden arviointi Tietoliikenneturvallisuuden arviointi Laitteistoturvallisuuden arviointi Ohjelmistoturvallisuuden arviointi Tietoaineistoturvallisuuden arviointi Käyttöturvallisuuden arviointi Ulkoistamisen ja sopimuksien arviointi Etäkäytön ja etätyön arviointi Järjestelmäkehityksen arviointi Tietoturvapoikkeamien käsittelyn arviointi Ostopalveluna hankittavan tietojärjestelmän arviointi TULOSTEN ANALYSOINTI Havaittujen puutteiden analyysi ARVIOINTITULOKSIEN RAPORTOINTI Arviointiraportti Liite 1, Lähteet ja viitteet Liite 2, VAHTI-ohjeet arvioinnin perustana Liite 3, Tietoturvallisuuden hallintajärjestelmä ja siihen kuuluvat tietoturvaohjeet Liite 4 Arvioijalle asetettavat vaatimukset Liite 5 Arviointiin liittyvä esimerkki Liite 6 Tietoturvallisuuden osa-alueiden arvioinnissa käytettäviä lomakkeita Hallinnollinen turvallisuus Henkilöstöturvallisuus Fyysinen turvallisuus Tietoliikenneturvallisuus

10 Sisällys Laitteistoturvallisuus Ohjelmistoturvallisuus Tietoaineistoturvallisuus Käyttöturvallisuus Jatkuvuussuunnittelu Valmiussuunnittelu Ulkoistaminen Liite 7, Voimassa oleva VAHTI-ohjeistus ja -julkaisut

11

12 Yhteenveto johdolle YHTEENVETO JOHDOLLE Organisaatioiden ja palvelutoimittajien tietoverkkojen yhteydet sekä palveluiden ulkoistaminen ovat heikentäneet virastojen omia mahdollisuuksia tehokkaaseen tietoturvallisuuden arviointiin. Samoin monilla organisaatioilla ei ole riittävästi arviointiin perehtynyttä henkilöstöä. Tietoturvallisuuden arviointi on normaalia päätöksentekotoimintaa, josta organisaation johto vastaa. Tavoitteena on taata toiminnan luotettavuus. Tässä ohjeessa tarkastellaan arviointia tietoturvallisuuden näkökulmasta normaalioloissa. Arviointia voidaan suorittaa myös muista näkökulmista (esim. COSO-ERM) osana riskien kokonaishallintaa. Toisaalta tietoturvallisuuden arviointi ja mittaaminen on vielä kehittymätön ala. Tämä johtuu siitä, että tietoturvallisuuden hallinta on nuori omana alanaan. Arvioinneissa on panostettu peruslinjan muodostamiseen tietoturvastandardin vaatimuksien mukaisesti. Yksityiskohtiin paneutuminen siten, että osa-alueiden riippuvuudet olisi paremmin ymmärretty, on usein jäänyt tekemättä. Arvioinnin oikean tason löytäminen on tärkeää, koska arvioinnilla on merkitystä myös muiden organisaatioiden toiminnalle verkottuvassa hallinnossa. Huolellinen tai huolimaton tapa käsitellä tietoa, suunnitella järjestelmiä tai hankkia niitä, kuvaa organisaation kulttuuria ja tapaa toimia. Tietoturvallisuuden arvioinnin tavoitteena on löytää tekijät, joiden muodostaman uhan kautta organisaation tietoturvallisuus voi vaarantua. Arviointi tuottaa välillisesti kehittämissuunnitelman puutteiden poistamiseksi. Ohjeen liitteenä olevien kysymysten avulla organisaatio voi arvioida omaa tietoturvallisuuden tasoaan. Arvioijien tulee luotettavan lopputuloksen varmistamiseksi olla kokeneita tietoturvallisuuden ammattilaisia. Tämän ohjeen lisäksi on annettu erillinen esitys valtionhallinnon tietoturvallisuuden arviointipoolin muodostamisesta. Poolin asettaminen jätetään valtiovarainministeriön tehtäväksi. JulkIT:n linjausten mukaisesti yhteistyö kuntien kanssa kannattaa huomioida poolia perustettaessa. 11

13 Yhteenveto johdolle Arviointipoolin henkilöstön kouluttamisesta vastaa valtiovarainministeriö tai jokainen siihen sitoutunut organisaatio VAHTI:ssa sovitun koulutusohjelman mukaisesti. Tämän lisäksi valtiovarainministeriö järjestää hallinnon tietoturvahenkilöstölle yhteisiä seminaareja. Organisaation arviointikohteita ovat mm. tietoturvaohjeistus, tietoturvallisuuden johtaminen, työasemien ja palvelimien asetukset, tietoliikenneverkon rakenne ja suojaus, palveluiden ulkoistamiseen liittyvät sopimukset, etäyhteydet ja -käyttö, mobiililaitteet, www-sovellukset, turvaluokitellun aineiston käsittely, varautuminen poikkeusoloihin ja jatkuvuudesta huolehtiminen, tietoturvallisuuden tietämyksen taso organisaatiossa ja tietoturvakoulutus. 12

14 1. Johdanto 1. Johdanto Vuosisuunnitelma Toimeksianto Arvioinnin suunnittelu Valittu kohde Arvioinnin suoritus Nimetty ryhmä -vetäjä -jäsenet Yhteenveto ja palaute kohteelle Arvioijan työkalut Arvioinnin raportti Vuosisuunnitelma Arviointiperusteet Arviointisuunnitelma Korjaavat toimenpiteet ja seuranta Tarkastuslistat Haastattelut Muut lomakkeet Raportit Kuva 1. Arviointiprosessi 13

15 1. Johdanto 1.1 Arvioinnin tausta, tietoturvallisuuden kehitysohjelma Valtioneuvoston tietoturvallisuutta koskevassa periaatepäätöksessä (VNp ) todetaan, että viranomaisilla tulee olla tietoturvallisuuden hallintaa ja ohjausta varten ajantasainen tiedonkäsittelyn turvaamissuunnitelma, vahinkojen varalta toipumissuunnitelma ja poikkeusolojen varalta tiedonkäsittelyn valmiussuunnitelma. Suunnitelmiin sisältyy organisaation tiedonkäsittelyriippuvuuden ja tietotekniikan käyttöön liittyvien uhkatekijöiden ja riskien arviointi sekä niiden hallinnan edellyttämien turvaamis-, toipumis- ja varautumistoimenpiteiden määrittely ja toteuttamissuunnitelmat. Tietoturva-arviointien tavoitteena on todeta, miten tiedon luottamuksellisuudesta, eheydestä ja käytettävyydestä on käytännössä huolehdittu. Tässä ohjeessa on esitetty työkaluja, joiden avulla tietoturvallisuuden tasoa voidaan arvioida. 1.2 Tietoturvallisuuden arvioinnin tavoitteet Tietoturvallisuuden tason arviointi on osa johtamistoimintaa ja vaikuttaa toiminnan laadukkuuteen. Tietoturvallisuuden arvioinnin ensisijaisena tavoitteena on kaikissa oloissa varmistaa tarjottavien palvelujen perustana olevat tietoturvallisuuden johtamis- ja hallintajärjestelmät, tietoaineistot ja käytössä olevan tietotekniikan turvallisuus, prosessit sekä palveluiden toimintakyky ja käytettävyys. Arvioinnin taustalla on säädösten toteutuminen. Ennen arvioinnin aloitusta tulee kartoittaa organisaation perustehtävät ja suojattavat tiedot. Arvioinnin pohjalta voidaan tehdä päätökset siitä, mitä toimenpiteitä tulee toteuttaa, sekä laatia niille toteuttamissuunnitelma. Johdolla tulee olla ajantasainen kuva organisaation tietoturvallisuuden tasosta. Toimintaan ja palvelujen tietoturvallisuuteen kohdistuvien riskien arviointiin tarvitaan järjestelmällinen riskianalyysimenettely (Valtion viranomaisen tietoturvallisuustyön yleisohje, VAHTI). 1.3 Johdon rooli arvioinnissa Tietoturvallisuus ja sen säännöllinen arviointi on osa organisaation johtamistoimintaa. Jokaisen organisaatiotason tehtävänä on huolehtia oman organisaationsa toiminnan ja hankkimiensa palvelujen tietoturvallisuudesta, määritellä tarvittavat periaatteet sekä laatia ja antaa tarvittavat ohjeet (Valtion viranomaisen tietoturvallisuustyön yleisohje). Johto vastaa arviointiprosessista osana normaalia johtamistoimintaa ja tulosohjausta. Tähän liittyvät johdon vahvistamat tietoturvallisuuden mittarit. 14

16 1. Johdanto Tietoturvallisuuden arviointia tulee organisaatiossa suorittaa osana suunnittelurytmin mukaista riskienhallintaa. Arviointi edellyttää riittävien resurssien varaamista ja voi jakaantua eri osa-alueille ja usealle vuodelle. Johdon rooliin kuuluu vuosisuunnitelmaa hyväksyessään varmistaa, että aiemmissa arvioinneissa havaitut puutteet korjataan ennen uutta arviointia. Linjajohdon on tarpeen omaksua arviointien toimintamallit ja viedä tietoturva-ajattelua eteenpäin kaikilla organisaatiotasoilla. Ylin johto Sisäinen tarkastus Valmiusasiat Turvallisuus ja valmiusasiat Tietoturvallisuus Tilaturvallisuus Toimiala Toimiala Toimiala Tietohallinto Kuva 2. Turvallisuuden organisointi Turvallisuus on yksi ylimmän johdon esikuntatoiminnoista ja tietoturvallisuus on yksi sen osa-alueista. Toimialat ml tietohallinto vastaa oman toimialansa tietoturvallisuuden toteutumisesta ja seurannasta tulosohjauksen osana. 1.4 Tulosohjauksen ohjaava vaikutus Tulosohjausta käsitellään dokumentissa Tietoturvallisuus ja tulosohjaus (VAHTI 2/2004). Se sisältää talousarviolainsäädännön ja asetuksen sisältämät normatiiviset lähtökohdat tietoturvallisuutta koskevalle tulosraportoinnille osana viraston tilinpäätösmenettelyä (esim. ylimmän johdon arviointi- ja vahvistuslausuma sisäisestä valvonnasta ja siihen kuuluvasta riskienhallinnasta, talousarvio-asetus 65 :n 1 mom. 7 kohta). Asiakoko- 15

17 1. Johdanto naisuuteen sisältyvät myös tietoturvallisuutta koskevat tulostavoitteet ja niiden toteutumisen raportointi. Tulosohjauksen yksi osa-alue on tietoturvallisuuden toteutuminen. Arviointi antaa mm. luvun 4.4. kohdista perusteluja tietoturvallisuustoimien onnistumisesta. 1.5 Arviointeja suorittavia viranomaisia Valtiontalouden tarkastusviraston (VTV) tehtävänä on tarkastaa valtion talouden hoitoa ja valtion talousarvion noudattamista. Joissakin tapauksissa tarkastukset sivuavat myös tietoturvallisuutta. Tarkastushavainnoista raportoidaan tarkastusviraston raportointikäytäntöjä noudattaen. Tietosuojavaltuutettu (TSV) antaa lausuntoja ja ohjeita henkilötietojen käsittelystä. Lausunnot tarkastelevat henkilötietojen käsittelyn lainmukaisuutta ja velvoittavat epäkohtien korjaamiseen. Tietosuojavaltuutettu tekee eri laajuisia ja muotoisia tarkastuksia ja arvioi rekisteritoimintaa. Molempien edellä mainittujen toimijoiden tavoite on tietoturvallisuuden edistäminen hallinnossa. Luokituslaitokset sertifioivat organisaatioita eri standardien mukaisesti. Euroopan Unionin toimijoiden suorittamat tietojärjestelmien arvioinnit ja tarkastukset liittyvät annettujen direktiivien noudattamisen toteamiseen. Erityisesti kohteena ovat järjestelmät, joiden avulla maksetaan erilaisia EU-tukia. 1.6 Ohjeen lukuohje kohderyhmittäin Tietohallinnon ja tietoturvallisuuden johdon sekä arviointia suorittavan henkilöstön ja sisäisen tarkastuksen henkilöstön on syytä perehtyä koko ohjeeseen. Muiden kohderyhmien osalta oheisessa taulukossa on kerrottu, mihin lukuihin heidän tulisi ainakin perehtyä. Kohderyhmät on nimetty toiminnoittain, ei niinkään nimikkeittäin. 16

18 1. Johdanto Kuka Ylin johto Arkistotoimi Tietojärjestelmän Luku omistaja Mikrotuki Tietoverkon ylläpitäjä 1 x x x x x 2 x 3 x x x 4 x x , , , , , , , , 7 x x x x x 8 x x Liite 1 Liite 2 Liite 3 Liite 4 Liite 5 Liite 6 x x x 1.7 Ohjeen laatiminen Ohjeen ensisijainen kohderyhmä on asetuskirjeen mukaisesti valtionhallinto. Ohjetta voidaan hyödyntää pääosin myös elinkeinoelämässä ja kunnallisessa hallinnossa. Ohje laadittiin valtionhallinnon tietoturvallisuuden johtoryhmän VAHTI alaisuudessa ja ohjauksessa virkatyönä. Tehtävään nimetyn työryhmän kokoonpano oli seuraava: Puheenjohtaja: Seppo Sundberg, Valtiokonttori Sihteeri: Minna Manninen, Teknillinen korkeakoulu Jäsenet: Harry Haapanen, Tullihallitus Aaro Hallikainen, Poliisin tietohallintokeskus 17

19 1. Johdanto Juha Koivisto, Tampereen kaupunki Sami Koskinen, Teknillinen korkeakoulu Usko Moilanen, Keskusrikospoliisi Seppo Perkiö, Elinkeinoelämän keskusliitto Raimo Porttikivi, kauppa- ja teollisuusministeriö Matti Salminen, valtiovarainministeriö Juhani Sillanpää, valtiovarainministeriö Heikki Toivonen, Puolustusvoimat Jukka Yli-Koivisto, Maa- ja metsätalousministeriön tietopalvelukeskus Ohjeen luonnoksesta pyydettiin lausuntoja valtionhallinnon virastoilta ja laitoksilta sekä yrityksiltä ja kuntaliitosta. Lausuntoja saatiin 27 kappaletta. Osa lausunnoissa esitetyistä laajemmista kehitysesityksistä päätettiin huomioida ohjeen seuraavassa versiossa. Poliisin tietohallintokeskus testasi arviointilomakkeiden käytön elokuussa 2005 ja alihankkijan tietoturva-arvioinnissa. Testipalaute oli myönteinen. Ohjeen viimeistelystä ja julkaisemisesta päätettiin VAHTIssa ja ohjeeseen liittyvä arviointipooliesitys käsiteltiin VAHTIssa

20 2. Ohjeita ja malleja Ohjeita ja malleja tietoturvallisuuden arviointiin 2.1 Prosessiajattelumalli Tietoturvallisuuden arviointi aloitetaan aina arvioimalla ensin tietoturvallisuuden hallintajärjestelmä ja sen kattavuus (Tietoturvallisuuden hallintajärjestelmän arviointi, VAHTI 3/2003). Tämän lisäksi tietojärjestelmien arvioinnilla on tärkeä osa organisaation tuloksellisuuden, tietoturvallisuuden ja laadun kehittämisessä sekä toimintavarmuuden takaamisessa. Arvioinnin tulee perustua reagointiin muuttuvassa tilanteessa, jolloin arviointi on prosessimuotoista. Tietoturvallisuutta ei voida kehittää vain irrallisina projekteina, vaan se on jatkuva prosessi (A Code of Practice for Information Security Management, vol 2, 1999), jonka kohteena ovat organisaation sovittujen, määrättyjen tai säädöksistä johtuvien tietoturvatoimien systemaattinen noudattaminen. Organisaatiotasolla tietoturvallisuutta ei siten voi rajoittaa esimerkiksi vain haittaohjelmien torjuntaan. Prosessimallin sisältämät tehtävät voidaan jakaa neljään osaan: Suunnitteluvaiheessa prosessi käynnistetään, tehdään liiketoimintavaikutus- ja riskianalyysit sekä muodostetaan näiden pohjalta jatkuvuusstrategia. Toteutusvaiheessa suunnitellut ratkaisut toteutetaan ja aloitetaan koulutus. Tarkistusvaiheessa prosessin tilasta tuotetaan tietoa valvonnan, testauksen, katselmointien ja auditointien sekä raportoinnin avulla. Kehitysvaiheessa ratkaisuja parannetaan kerättyjen tietojen perusteella. Prosessimuotoisuuden etu ovat ennalta määritellyt toimintatavat, koska ne lisäävät toimintojen tulosten luotettavuutta ja helpottavat käyttöönotettujen parannuskeinojen vaikutusten arviointia. Prosessi on joukko yhteenkuuluvia jatkuvia toimia, joiden tarkoituksena on saavuttaa tietty päämäärä laadukkaasti. Riskianalyysi on prosessimuotoinen tietoturvallisuuden mittaus ja tason arviointi. Ha- 19

21 2. Ohjeita ja malleja... vaittuihin riskeihin kytketään riskienhallintasuunnitelma, jolla riskit poistetaan, siirretään, vähennetään tai niiden toteutumisesta johtuvat menetykset minimoidaan. Riskianalyysin kautta voidaan jatkuvasti arvioida organisaation tietoturvallisuuden tilannetta. (Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi valtionhallinnossa, VAHTI 7/2003, kuva 1). Seuraavassa kuvassa on esitetty eri menetelmien näkökulmien välisiä suhteita. X-akselilla on kuvattu toiminto tai prosessi, jota arvioidaan. Prosessiksi voidaan valita jokin organisaation toiminto tahi ITIL:n (luku 2.2) tai CMM:n (luku 4.3.2) määrittelemä prosessi. Y- akselilla kuvataan prosessin tasoa CMM:n mallin mukaan. Z-akseli sijoittaa prosessin tietoturvallisuuden osa-aluejakoon. Y, kypsyys Kyp- syys- Kyp- syys- Kyp- syys- ITIL tai CMM prosessi PA 1 CMM 3 CMM 2 Z, osaalueet ITIL tai CMM prosessi PA 2 ITIL tai CMM prosessi PA 2 CMM 1 CMM 1 CMM 1 ITIL tai CMM prosessi PA 3 tietoliikenne ulkoistaminen CMM 1 CMM 1 CMM 1 hallinnollinen X, prosessit Kuva 3. Kolmiulotteisessa näkymässä on kuvattu osa-alueiden ja kypsyysmallin välisiä suhteita. Kuvassa ei ole kuvattuna kaikkia osa-alueita, prosesseja eikä kypsyystasoja. 2.2 ITIL ITIL (Information Technology Infrastructure Library) on joukko hyvistä toimintatavoista (best practises) kertovia standardeja tietotekniikkapalveluiden hallintaan. Iso-Britannian Central Computer and Telecommunications Agency (CCTA), nykyinen Office of Government Commerce kehitti ITIL:n 1980-luvun lopulla, koska liiketoiminta oli tulossa yhä enemmän riippuvaiseksi informaatioteknologiasta. 20

22 2. Ohjeita ja malleja... ITIL tarjoaa viitekehyksen, jolla voidaan hankkia laadukkaita palveluja tai päästä eroon tietojärjestelmien kasvuun liittyvistä ongelmista. Kehyksen avulla voidaan myös arvioida palveluiden tai toiminnan tietoturvallisuutta. ITIL on tarkoitettu kaikille, jotka työskentelevät joko palveluiden tuottamisen tai palveluiden tukiprosessien kanssa. Viitekehystä voi soveltaa kuka tahansa, joka tekee töitä palveluiden hallinnan johtamisen tai käytännön suoritustason parissa. ITIL mallin mukaisia arviointikohteita ovat tietoturvapolitiikka, kuvattujen prosessien mukainen toiminta, tietoturvallisuuden tekninen toteutus, tietoturvallisuuden soveltamisen aste sen eri osa-alueilla ja henkilöstön käytännön tietoturvaosaaminen. ITIL on selkeästi liiketoimintalähtökohtainen. 2.3 ISO ja ISO Standardissa on kaksi osaa: vaatimusstandardina käytetään ISO ja menetelmäohjeena ISO Standardi tarjoaa mallin tietoturvallisuuden hallintajärjestelmän rakentamiseen ja hallintaan sekä aihekokonaisuudet, joiden avulla tietoturvallisuutta voidaan arvioida. Arviointiin perustuen organisaation johto voi määritellä asianmukaiset tietoturvallisuuden hallintatoimenpiteet, niiden tärkeysjärjestyksen sekä valvontamekanismien käyttöönoton. Standardi on muodoltaan opastava ja ohjeellinen. Standardin mukainen sertifiointi kertoo, että organisaatiolla on tietoturvallisuuden hallintajärjestelmä ja hallintajärjestelmän tasoa arvioidaan säännöllisesti. 2.4 SSE CMM ISO standardi (Information technology - Systems Security Engineering - Capability Maturity Model) arvioi tuotteiden ja operatiivisten järjestelmien sijaan organisaation kykyä (kypsyyttä) toteuttaa tietoturvallisuuden hallintajärjestelmän prosesseja. Standardi jakautuu viiteen kypsyystasoon (Taponen, 2003). Tasolla 1 (epämuodollinen taso) tarkastellaan organisaatiota tai projekteja ja sitä, suorittavatko ne tiettyjä toimintoja, jotka katsotaan mallin mukaisesti kuuluvaksi ns. peruskäytäntöihin. Tasolla 2 (suunniteltu ja seurattu) keskitytään projektityöskentelyn määrittely-, suunnittelu- ja suorituskykyasioihin. Tasolla 3 (hyvin määritelty) määritetään (liike)toimintaprosessit organisaation laajuisesti. Määrittelyn seurauksena erilaisia projekteja voidaan alkaa räätälöidä hallitusti. Tasolla 4 (kvantitatiivisesti hallittu) toiminnan mittarit pyritään sitomaan organisaation (liike)toiminnallisiin tavoitteisiin. 21

23 2. Ohjeita ja malleja... Tasolla 5 (jatkuvasti kehittyvä) hyödynnetään kaikkia alemmilla tasoilla tehtyjä parannuskeinoja. Painopiste on siirretty toimintakulttuurin muutoksiin, joilla ylläpidetään aikaisempien tasojen saavutuksia. Arvioinnin kehyksen muodostavat johdon tietoturvallisuuden merkityksen tiedostaminen, johdon sitoutuminen jatkuvaan kehittämiseen, tietoturvallisuuden liittäminen prosesseihin, sen näkyminen osana toimintakulttuuria ja sitä kautta muodostuminen kilpailutekijäksi. SSE-CMM -arkkitehtuurissa turvallisuusprosessin perustoimenpiteet erotetaan niiden hallinnasta ja soveltamisesta organisaatiossa. Mallissa on kaksi ulottuvuutta, toimialue ja kyky. Tietoturvallisuus ei ole erillään arvioitava asia, vaan se on kytkettävä kiinteästi organisaation toimintaan. Paperilla tietoturvallisin prosessi ei toimi jos prosessin inhimillinen puoli, ihminen, ei toimi oikein. Tietoturvallisuus on mukana jokaisessa prosessissa, jossa käsitellään tietoa. Oleellista on tunnistaa prosessin kriittiset vaiheet. 2.5 CoBIT CoBIT-malli (Control Objectives for Information and Related Technology) on tietohallinnon, tietotekniikan ja tietojärjestelmien valvontamalli, jonka ovat kehittäneet Information Systems Audit and Control Foundation (ISACF) ja IT Governance Institute. Mallissa tarkastellaan kohdetta kaikista valvonnan näkökulmista mukaan lukien tietoturvallisuus, mutta toisaalta se ei käsittele kaikkia tietoturvallisuuteen liittyviä osa-alueita, kuten asiakirjaturvallisuutta tai tietosuojaa. Mallin keskeisiä osia ovat kohdealueen määritellyt valvontatavoitteet, arviointiohjeet ja kypsyystasomalli. Se on suunnattu johdolle, tietohallintohenkilöstölle, tietotekniikkapalvelujen hankkijoille ja arvioijille. CoBIT:n taustalta löytyvät esimerkiksi BS 7799, ITIL, COSO ja Common Criteria. 2.6 Common Criteria Common Criteria for Information Technology Security Evaluation (ISO 15408) on tietojärjestelmien ja tietoteknisten tuotteiden tietoturvallisuuden vahvuuden arviointiin ja luokitteluun kehitetty arviointikriteeristö. Järjestelmille ja tuotteille voidaan laatia tietoturvaprofiili, joka kuvaa järjestelmän tietoturvallisuuden toiminnalliset vaatimukset. Kriteeristöä voidaan myös käyttää apuna omia järjestelmiä arvioitaessa. 22

24 3. Arviointia koskevat Arviointia koskevat lainsäädännön velvoitteet Seuraavien säädösten lisäksi tulee arvioinnissa ottaa huomioon kutakin organisaatiota koskeva erityislainsäädäntö. Sähköisen viestinnän tietosuojalaki (516/2004) Lailla kumottiin yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta annettu laki (565/1999). Lain tarkoituksena on turvata sähköisen viestinnän luottamuksellisuuden ja yksityisyyden suojan toteutuminen sekä edistää sähköisen viestinnän tietoturvallisuutta ja sähköisen viestinnän palvelujen kehittymistä. Lailla pyritään selkeyttämään luottamuksellisten tunnistamistietojen käsittelysääntöjä ja ne ulotetaan yhteisötilaajaan. Lain tavoitteena on myös selkeyttää tietoturvallisuuden toteuttamismahdollisuuksia ja antaa pelisäännöt evästeiden käytölle sekä paikkatietojen käsittelylle. Laki sisältää suoramarkkinointisäännöksiä ja säännökset käyttäjän ja poliisin tiedonsaantioikeuksista. Lakia sovelletaan pääsääntöisesti yleisissä viestintäverkoissa tarjottaviin verkkopalveluihin, viestintäpalveluihin, lisäarvopalveluihin (pääasiassa paikkatietoihin perustuvat palvelut) ja palveluihin, joissa käsitellään palvelun käyttöä kuvaavia tietoja. Lisäksi lakia sovelletaan suoramarkkinointiin yleisissä viestintäverkoissa sekä tilaajaluettelopalveluihin ja numerotiedotuspalveluihin. Laki yksityisyyden suojasta työelämässä (759/2004) Laki yksityisyyden suojasta työelämässä (759/2004, myöhemmin työelämän tietosuojalaki) tuli voimaan Sillä korvattiin laki yksityisyyden suojasta työelämässä (477/2001). 23

25 3. Arviointia koskevat... Aikaisemman lain säännökset ovat asiasisällöltään entiset, mutta rakenne on muuttunut huumausainetestausta, kameravalvontaa ja sähköpostin suojaa koskevien säännösten johdosta. Henkilötietolaissa ja sähköisen viestinnän tietosuojalaissa on yleisiä tietosuojaan liittyviä säännöksiä, joita sovelletaan sellaisenaan myös työelämässä tämän erityislain ohella. Työelämän tietosuojalain tarkoituksena on vastata yksityiselämän suojaa koskeviin kysymyksiin nimenomaan työelämän alueella. Laki koskee vain työntekijän ja työnantajan välistä suhdetta ja on pidettävä työntekijöiden nähtävänä työpaikoilla. Sen noudattamista tehostavat 24 :n rangaistussäännökset ja lain noudattamista valvovat työsuojeluviranomaiset yhdessä tietosuojavaltuutetun kanssa. Lakia sovelletaan kaikkiin työsuhteisiin sekä virkasuhteisiin ja niihin verrattaviin palvelussuhteisiin. Lakia sovelletaan myös soveltuvin osin työnhakijoihin ja virkaa hakeviin. Virkamiehiä koskevat myös tietyt erityissäännökset, joita on mm. viranomaisten toiminnan julkisuudesta annetussa laissa, nimikirjalaissa, valtion virkamieslaissa, kirkkolaissa jne. Laki turvallisuusselvityksistä (177/2002) Lain tavoitteena on tarjota organisaatiolle entistä paremmat mahdollisuudet suojautua luvatonta tiedustelua, vakoilua ja tietoturvarikoksia vastaan. Sen on tarkoitus suojata myös sellaiselta rikollisuudelta, joka vahingoittaa julkista taloutta tai aiheuttaa yksityisille organisaatioille merkittäviä taloudellisia haittoja. Turvallisuusselvityksiä pyydetään työnhakijoista yleensä rekrytointivaiheessa. Selvityksiä tehdään joko valtion viranomaisten, kuntien ja kuntayhtymien tai yksityisten tahojen hakemuksesta. Lailla korvataan entiset luotettavuuslausunnot. Turvallisuusselvityksiä on kolme eri muotoa: perusmuotoinen, suppea ja laaja selvitys. Perusmuotoinen turvallisuusselvitys vastaa lähinnä entistä luotettavuuslausunnon antamista. Suppea turvallisuusselvitys vastaa lausuntoa, joka aiemmin on annettu henkilön oikeudesta työtehtävässään päästä tiettyyn paikkaan tai tilaan. Laaja turvallisuusselvitys liittyy turvallisuusluokituksiin, ja uuden lain mukaan se voidaan tehdä vain valtion viranomaisessa työskentelevistä. Perusmuotoisen sekä laajan turvallisuusselvityksen tekemisestä päättää suojelupoliisi. Suppean turvallisuusselvityksen tekemisestä päättää ja sen tekee paikallispoliisi. Puolustushallinnon alaan liittyvissä tapauksissa turvallisuusselvitykset hoitaa edelleen aina pääesikunta. 24

26 3. Arviointia koskevat... Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) Laki säädettiin osana ESA:n (European Space Agency) tietoturvallisuussopimuksen ja Suomen ja Saksan välisen tietoturvallisuussopimuksen voimaansaattamista. Laki katsottiin tarpeelliseksi muun ohella sen vuoksi, että kansainvälisten sopimusten täytäntöönpanemiseksi on tarve poiketa asiakirjajulkisuuteen ja turvallisuuteen perustuvista kansallisista järjestelyistä, jotka perustuvat pääosin viranomaisten toiminnan julkisudesta annettuun lakiin (621/1999, jäljempänä julkisuuslaki). Lakia kansainvälisistä tietoturvallisuusvelvoitteista sovelletaan erityissuojattaviin tietoaineistoihin. Näillä tarkoitetaan salassa pidettäviä asiakirjoja ja materiaaleja, jotka on toimitettu Suomen viranomaiselle ja johon aineiston lähettäjä on kansainvälisen, Suomea sitovan sopimuksen tai muun velvoitteen mukaisesti tehnyt turvallisuusluokkaa koskevan merkinnän. Talousarvioasetus (254/2004) Asetus valtion talousarviosta edellyttää johdon huolehtivan siitä, että virastossa toteutetaan sen talouden ja toiminnan laajuuteen ja sisältöön sekä niihin liittyviin riskeihin nähden asianmukaiset sisäisen valvonnan menettelyt. Nämä menettelyt varmistavat talouden ja toiminnan laillisuuden ja tuloksellisuuden, varojen ja omaisuuden turvaamisen sekä johtamisen ja ulkoisen ohjauksen edellyttämät oikeat ja riittävät tiedot viraston taloudesta ja toiminnasta. Asetus edellyttää lisäksi, että sisäisen valvonnan menettelyissä otetaan huomioon sitä koskevat yleiset standardit ja suositukset. Asetukseen perustuvassa Valtiokonttorin ohjeessa näiksi standardeiksi on mainittu COSO ja INTOSAI. Näissä standardeissa on keskeistä se, että valvontatoimet ovat riskeihin suhteutettuja. Tieto-omaisuuden turvaaminen ja tietojen oikeellisuuden valvontamenettelyiden ohjaaminen sekä tietosuojan turvaaminen, tietojen luottamuksellisuuden säilyttäminen ja kiistämättömyyden varmistaminen edellyttävät tietoturvallisuuden tason arviointia. Laki viranomaisen toiminnan julkisuudesta (621/1999) Viranomaisen on hyvän tiedonhallintatavan luomiseksi ja toteuttamiseksi huolehdittava asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muusta tietojen laatuun vaikuttavista tekijöistä. 25

27 3. Arviointia koskevat... Viranomaisen on suunniteltava ja toteutettava asiakirja- ja tietohallintonsa samoin kuin ylläpitämänsä tietojärjestelmät ja tietojenkäsittelyt niin, että asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen suoja, eheys ja laatu turvataan asianmukaisin menettelytavoin ja tietoturvajärjestelyin ottaen huomioon tietojen merkitys ja käyttötarkoitus sekä asiakirjoihin ja tietojärjestelmiin kohdistuvat uhkatekijät ja tietoturvatoimenpiteistä aiheutuvat kustannukset. Lain osauudistus tuli voimaan Osauudistus täsmentää myös hyvän tiedonhallintatarpeen ja eräitä tietoturvallisuuteen liittyviä vaatimuksia. Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999) Hyvän tiedonhallintatavan toteuttamiseksi viranomaisen on selvitettävä ja arvioitava tietojen saatavuuteen, käytettävyyteen, laatuun ja suojaan sekä tietojärjestelmien turvallisuuteen vaikuttavat uhat sekä niiden vähentämiseksi ja poistamiseksi käytettävissä olevat keinot ja niiden kustannukset sekä muut vaikutukset. Viranomaisen on hyvän tiedonhallintatavan toteuttamiseksi arkistolaissa (831/1994) tarkoitettua arkistonmuodostussuunnitelmaa hyväksi käyttäen arvioitava riittävän usein asiakirjansa ja tietojärjestelmänsä sekä niihin talletettujen tietojen merkitys samoin kuin tietoaineistojen käsittelyprosessit. Lain (621/1999) 36 :n nojalla säädetään tietoturvallisuudesta ja hyvästä tiedonhallintatavasta valtionhallinnossa uudella Valtioneuvoston asetuksella, jota uusitaan tämän ohjeen laadintahetkellä. Henkilötietolaki (523/1999) Rekisterinpitäjän on toteutettava tarpeelliset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin sekä vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä tai muulta laittomalta käsittelyltä. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden aiheuttamat kustannukset, käsiteltävien tietojen laatu, määrä ja ikä sekä käsittelyn merkitys yksityisyyden suojan kannalta. Arkistolaki (831/1994) Arkistotoimen tehtävänä on varmistaa asiakirjojen käytettävyys ja säilyminen, huolehtia asiakirjoihin liittyvästä tietopalvelusta, määritellä asiakirjojen säilytysarvo ja hävittää tarpeeton aineisto. Arkistotoimen vaatimukset on otettava huomioon arkistonmuodostajan tieto- ja asiakirjahallinnossa. 26

28 3. Arviointia koskevat... Pysyvään säilytykseen määrätyt asiakirjat on laadittava ja tiedot tallennettava pitkäaikaista säilytystä kestäviä materiaaleja ja säilyvyyden turvaavia menetelmiä käyttäen siten kuin arkistolaitos erikseen määrää. Asiakirjoja on säilytettävä siten, että ne ovat turvassa tuhoutumiselta, vahingoittumiselta ja asiattomalta käytöltä. Valmiuslaki (1080/1991) Valtioneuvoston, valtion hallintoviranomaisten, valtion liikelaitosten ja muiden valtion viranomaisten sekä kuntien on valmiussuunnitelmin ja poikkeusoloissa tapahtuvan toiminnan etukäteisvalmisteluin sekä muin toimenpitein varmistettava tehtäviensä mahdollisimman häiriötön hoitaminen myös poikkeusoloissa. 27

29 5. Tietoturvapalvelun toteuttaminen... 28

30 4. Tietoturva-arvioinnin periaatteita 4. Tietoturva-arvioinnin periaatteita Tietoturvallisuuden arvioinnilla tarkoitetaan niitä järjestelmällisiä toimenpiteitä, joilla pyritään tunnistamaan tietoturvallisuuden uhkia ja haavoittuvuuksia. Arvioinnin kohde voi vaihdella yksittäisestä tietojärjestelmästä tai prosessista koko organisaation tietoturvallisuuden toteutukseen kulloisenkin tarpeen mukaan. Tässä luvussa arviointia käsitellään pääsääntöisesti laajan arviointikohteen mukaisesti. Suppeammille kohteille ohjetta noudatetaan soveltuvin osin. Tietoturvallisuuden arviointi kunkin tietoturvallisuuden osa-alueen sisällä voidaan jäsentää nelijakoiseksi, jolloin siinä tulee huomioida: tekninen tietoturvallisuus (järjestelmät, laitteet) tietoturvakulttuuri (prosessit, ihmiset) johtamisjärjestelmät ja menetelmät (toiminta) tietoturvapoikkeamat (häiriö, vaaratilanne, katkos). Tietoturvatoiminnan arviointi voi sisältää esimerkiksi: Kohde Rutiinitarkastus Sisäinen arviointi Ulkoinen arviointi Tekninen tietoturvallisuus Tietoturvakulttuuri Johtamisjärjestelmä ja menettelytavat Tietoturvapoikkeamat Tietoturvalaitteiden ja -tuotteiden testaus. Verkon, tietojärjestelmien yms. teknisen tietoturvallisuuden huomioiva tekninen toteutus Toimintatapojen havainnointi ja palaute Ohjeiden ja toimintatapojen noudattaminen, vastuut ja velvollisuudet, korjatut epäkohdat Raportointimenettelyn noudattaminen Lakisääteiset tarkastukset, riskiarvioinnit Asenne ja tietoturvailmapiirikyselyt Järjestelmän auditointi, benchmarking, tilannekatsaus Poikkeamatilanteiden johdosta havaittujen tietoturvapuutteiden korjaamisen seuranta Tilauksen tai suunnitelman mukainen tekninen tietoturvallisuuden selvitys Tilauksen tai suunnitelman mukainen tietoturvakulttuurin selvitys Tilauksen tai suunnitelman mukainen turvallisuuden ja tietoturvallisuuden johtamisjärjestelmän ja menettelytapojen selvitys Poikkeamatilanteita varten olevien toipumisja viestintäsuunnitelmien sekä tietoturvaharjoitusten katselmointi 29

31 4. Tietoturva-arvioinnin periaatteita Jos arvioinnin kohteeksi otetaan aluksi organisaatiosta vain yksi tietoturvallisuuden osa-alue, ensimmäiseksi arviointikohteeksi sopii hyvin hallinnollinen tietoturvallisuus (ks. luku 6). Sitä on syytä arvioida, kun tietoturvallisuuden hallintajärjestelmä on olemassa ja halutaan varmistua, että organisaation prosessit toimivat sen mukaisesti. Menetelmänä voidaan käyttää prosessiauditointia, jossa käydään läpi esimerkin kautta prosessin toimivuus. Hallinnollisen, henkilöstö- ja tietoaineistoturvallisuuden arvioinnit tuottavat johdolle tietoa hallintajärjestelmän toimivuudesta sekä kuinka hallintajärjestelmä tukee organisaation toimintaa. Käyttö-, tietoliikenne-, laitteisto- ja ohjelmistoturvallisuuden arvioinnit tuottavat tietoa organisaation teknisille asiantuntijoille mahdollisista puutteista toimintatavoissa, asennuksissa tai dokumentaatiossa. Fyysisen turvallisuuden arviointi tuottaa tietoa organisaation turvallisuushenkilöstölle rakenteellisen ja pelastusturvallisuuden tilasta. 4.1 Tietoturva-arvioinnin vaiheet Arvioinnilla on selkeät päävaiheet: arviointityöryhmän asettaminen arvioinnin suunnittelu ja arviointimenetelmän valinta toteutus mm. lomakkeiden ja haastattelujen avulla (ks. luku Arvioinnin suorittaminen) saadun materiaalin kokoaminen ja analysointi (ks. luku Arvioinnissa syntyvien tulosten analysointi) tulosten raportointi sisältäen perustelut ja toimenpide-ehdotukset (ks. luku Arviointituloksien raportointi). Välttämättömänä jatkona arviointiprosessiin kuuluu toimenpide-ehdotusten vastuutus ja aikataulutettu toteuttaminen. Arvioinnilla on myös koulutuksellinen merkitys ja se auttaa kohteena olevaa organisaatiota arvioimaan ja kehittämään omaa tietoturvallisuuden hallintajärjestelmäänsä. Täyden hyödyn saaminen arvioinnista edellyttää havaittujen puutteiden korjaamista ja arvioinnin toistamista suunnitelmallisesti määrävälein. Täten varmistutaan, että tietoturvallisuus kehittyy organisaatiossa halutulla tavalla. Esimerkiksi sertifioitu tietoturvallisuuden hallintajärjestelmä arvioidaan kokonaisuudessaan vähintään kolmen vuoden välein. Välivuosina suoritetaan rajattuja arviointeja etukäteissuunnitelman mukaisesti. Tarkastustoiminnassa tulee valvoa, että arvioinnissa havaitut puutteet korjataan. 30

32 4. Tietoturva-arvioinnin periaatteita 4.2 Arviointityöryhmä Arviointi kannattaa tehdä ryhmätyönä, johon osallistuu organisaation toiminnan tuntevia henkilöitä. Arviointityössä voidaan käyttää omien arvioijien lisäksi virastojen yhteistä arviointipoolia tai ulkopuolisia asiantuntijoita. Arvioinnin onnistumisen edellytyksenä on sitä varten nimetty vastuullinen vetäjä, jonka tehtävinä ovat mm. kohteesta tarvittavan tiedon hankkiminen työryhmän kokoaminen haastateltavien kohderyhmien ja henkilöiden valinta työryhmän perehdyttäminen analyysimenetelmään työryhmäkokousten vetäminen tulosten raportointi ja tiedottaminen. Arviointiryhmän vetäjälle asetettavia vaatimuksia on liitteessä neljä. Myös organisaation omien tietoturvavastaavien koulutukseen on syytä panostaa. Arviointityöryhmän suositeltava koko on vetäjän lisäksi 3-6 henkeä. Ryhmään valitaan henkilöitä, joilla on hyvä käsitys kohteen toiminnasta, valmius keskustella asioista rakentavassa hengessä ja joille on varattu riittävästi aikaa osallistua arviointiprojektiin. Samaa työryhmää voidaan käyttää myös arvioinnin tulosten analysointiin. Ryhmän kokoonpano riippuu arvioitavasta alueesta, esimerkiksi tehdäänkö arviointi koko organisaation tietoturvallisuudesta vai jostakin tietoturvallisuuden osa-alueesta. Tärkeää kuitenkin on, että ryhmässä ovat kattavasti mukana kaikki tarvittavat tahot ja riittävä kohdealueen osaaminen on varmistettu. Arviointityöryhmän kokoonnuttua ensimmäisen kerran tarkastellaan sen henkilöiden osaamisen vahvuusalueet huomioiden arvioitava kohde ja annettu arvioinnin rajaus ja tarkistetaan kokoonpano tarvittaessa. 4.3 Arvioinnin suunnittelu ja arviointimenetelmän valinta Huolellinen suunnittelu edesauttaa arvioinnin sujuvuutta sekä helpottaa ja nopeuttaa sen toteutusta. Arviointi kannattaa pyrkiä pitämään mahdollisimman yksinkertaisena. Mikäli kyseessä on ulkopuolinen arviointi, suunnittelevat arvioinnin vetäjä ja kohdeorganisaatio arvioinnin yhdessä. Lisäksi on sovittava menettelyt, joilla kohdeorganisaation tietoturvallisuus ei arvioinnin johdosta vaarannu. Käytännössä tämä tarkoittaa aina salassapitosopimusten tekoa. Arviointityöryhmässä käsitellään arvioinnin laajuus ja rajaus eri kohteissa, laaditaan toteutussuunnitelma ja kokousaikataulu, valitaan haastateltavat henkilöt sekä suunnitellaan jatkotoimenpiteiden organisointi. 31

33 4. Tietoturva-arvioinnin periaatteita Arviointiin on olemassa erilaisia menetelmiä, joita voidaan käyttää rinnakkain. Menetelmää valittaessa huomioon otettavia seikkoja ovat: tiedon keruu (kysymykset) menetelmän ominaisuudet ja sopivuus siihen ympäristöön, jossa sitä on tarkoitus käyttää tulosten esitystapa ja kattavuus tulosten selkeys ja yksiselitteisyys käytön helppous menetelmän omat tietoturvaominaisuudet arvioijaryhmän oma osaaminen raportointimahdollisuudet. Suunnitteluvaiheessa ryhmä arvioi tämän ohjeen liitteenä olevien kysymyslomakkeiden sopivuuden ja riittävyyden kyseisen kohteen arviointiin. Eri osa-alueilla esiintyvät samaa aihetta koskevat kysymykset kontrolloivat vastausten oikeellisuutta. Pelkät kyllä/ei vastaukset ilman tarkentavia kommentteja eivät anna kattavaa kuvaa tilanteesta. Arvioinnin ammattilainen osaa keskustelun avulla tarkastella asiaa laajemmin ja kerätä analyysiään varten riittävän määrän tietoa lisäkommentteina kullekin lomakkeelle. Kysymyslomakkeiden tueksi suositetaan käyttämään VAHTI-ohjeiden tarkastuslistoja sen mukaan kuin ryhmä katsoo tarpeelliseksi. Seuraavassa on esimerkkejä arviointimenetelmistä Tarkistuslistat Tarkistuslistojen avulla voidaan kohde kerrallaan miettiä, liittyykö tämä oman organisaation toimintaan. Tarkistuslista on hyvä väline karkeaan arviointikohteiden tunnistamiseen ja ongelmakohtien paikallistamiseen. Tarkistuslistoja voidaan käyttää muistilistoina, kun mietitään eri asioiden vaikutusta omassa organisaatiossa. Tarkistuslistat eivät ole koskaan täydellisiä, joten niitä käytettäessä on syytä miettiä, kattavatko ne organisaation toimintaan liittyvät keskeiset asiat. Useissa VAHTI-ohjeissa on julkaistu tarkistuslistoja, joita voidaan käyttää apuna omien arviointilomakkeiden laadinnassa tai valmiiden lomakkeiden täydentämisessä: VM:n kirje VM 1/01/99, Suositus toimitilaturvallisuuden huomioonottamisesta valtionhallinnossa, VAHTI 2/1999, Valtion tietohallintotoimintojen ulkoistamisen tietoturvallisuussuositus, VAHTI 2/2000, Valtion tietoaineistojen käsittelyn tietoturvaohje, VAHTI 3/2000, Valtionhallinnon tietojärjestelmäkehityksen tietoturvallisuussuositus, VAHTI 4/2001, Sähköisten palveluiden ja asioinnin tietoturvallisuuden yleisohje, VAHTI 6/2001, Valtion tietotekniikkahankintojen tietoturvallisuuden tarkistuslista, VAHTI 1/2002, Tietoteknisten laitetilojen turvallisuussuositus, 32

34 4. Tietoturva-arvioinnin periaatteita VAHTI 3/2002, Valtionhallinnon etätyön tietoturvallisuusohje, VAHTI 7/2003, Tietoriskien arviointi, VAHTI 2/2004, Tietoturvallisuus ja tulosohjaus, VAHTI 3/2005, Tietoturvapoikkeamatilanteiden hallinta, VAHTI 7 /2006, Muutos ja tietoturvallisuus hallittu prosessi, VAHTI 6 /2006, Tietoturvatavoitteiden asettaminen ja mittaaminen Arviointikriteerit ja SSE-CMM kypsyysmalli Tietoturvallisuuteen liittyvien prosessien toimintaa voidaan tarkastella vertaamalla prosessin tilannetta SSE-CMM vaatimiin toimenpiteisiin. Arvioitavan prosessin kypsyyden arvioinnissa lähtöoletuksena on 0, jolloin toimintaa ei ole olemassa. Jos ainoa vaatimus on vain organisaation asettamien peruskäytäntöjen olemassaolo, niin alin kypsyystaso on 1. Ylemmät tasot edellyttävät, että pohjataso on kunnossa. Tunnus Prosessialue Kypsyystasovaatimus PA 01 Tietoturvakontrollit ovat asianmukaiset ja niitä käytetään. 1 PA 02 Tietoturvapoikkeamien vaikutukset on arvioitu järjestelmille ja toiminnalle PA 03 Riskien arviointi on suoritettu 1 PA 04 Tietoturvauhat on arvioitu vaikutuksineen 1 PA 05 Tietoturvauhkien vaikutus kohteessa on arvioitu ja tunnistettu 1 PA 06 PA 07 PA 08 Työn kulut ja toiminta osoittavat, että tietoturvallisuudesta huolehditaan (luottamustaso) Tietoturvallisuutta johdetaan systemaattisesti ja kaikki tunnistavat sen tärkeyden Tietoturvallisuutta vaarantaviin sekä sisäisiin että ulkoisiin poikkeamiin reagoidaan ohjeiden mukaan PA 09 Tietoturvallisuus otetaan huomioon toiminnassa 1 PA 10 Tietoturvatoimien päämäärät on tiedostettu organisaatiossa 1 PA 11 Tietoturvallisuus toteutetaan vaatimusten mukaisesti SSE-CMM turvallisuusprosessialueiden peruskäytännöt. 33

35 4. Tietoturva-arvioinnin periaatteita 4.4 Arvioinnin näkökulmat Laaja arviointi alkaa tutustumalla organisaation riskienhallintapolitiikkaan ja riskienhallintasuunnitelmaan. Tämän jälkeen voidaan tietoturvallisuudessa ilmenevistä puutteista johtuvia seurauksia ja niiden todennäköisyyttä luokitella. Tässä luokittelussa voidaan käyttää apuna taulukkoja tai muita vastaavia apuvälineitä. Tietoturvallisuuden analyysia voidaan jatkaa merkittävimpien puutteiden seurausten ja tapahtumistaajuuden kvantitatiivisella arvioinnilla. Arviointi perustuu tällöin esimerkiksi laitteiden vioittumistietoihin sekä henkilökunnan toimintatapoihin, ohjeiden noudattamiseen ja prosessien mukaiseen toimintaan Laadullinen arviointi Arviointi tehdään sanallisesti ja tulos kuvataan taulukossa. Taulukon rakenne noudattaa valtionhallinnon tietoturvallisuuden kahdeksan osa-alueen jakoa. Tulokset ovat osa tietoturvallisuuden tilannekuvaa. Laadullinen arvio muodostuu sekä organisaation prosessien että kuhunkin lomakkeella kysyttävän asiakohtaan annetun vastuksen ja siihen liittyvien kommenttien perusteella. Pelkät kyllä / ei vastaukset eivät siis riitä laadullisessa arvioinnissa. Lisäksi tarvitaan arvioijan tekemiin haastatteluihin ja havaintoihin perustuva näyttö siitä, että toiminta on kuvatun prosessin mukaista ja dokumentoitu. Laadullisessa arvioinnissa tulee huomioida myös edellisten arviointien perusteella tapahtunut kehitys. Laadullisessa tulosten tarkastelussa voidaan arvioida kohteen kypsyysastetta asteikolla 0-5 seuraavasti. 0 annetaan, jos mitään havaintoa prosessien toiminnasta ei ole olemassa 1 annetaan Ad hoc prosesseista, toiminta ei ole organisoitua 2 annetaan toimivasta prosessista, joka voidaan toistaa 3 annetaan dokumentoidusta toiminnasta, joka on tiedotettu 4 annetaan toiminnasta, jota voidaan arvioida 5 annetaan optimoidusta hyvästä toiminnasta, joka on osin automaation asteella Määrällinen arviointi Tietoturvallisuutta mitataan kvantitatiivisissa kohteissa numeerisilla arvoilla. Saadut mittaustulokset voivat olla todennäköisyyksiä, suhdelukuja, kappalemääriä tai prosenttilukuja. Arvioinnissa kiinnitetään huomiota tietoturvapoikkeamien määrään sekä mihin toimiin niiden estämiseksi on ryhdytty. Jos samantyyppiset poikkeamat toistuvat, voidaan 34

36 4. Tietoturva-arvioinnin periaatteita olettaa, että organisaatio ei ole oppinut aiemmista poikkeamista eikä sille ole muodostunut tietoturvakulttuuria. Oheiset taulukot kuvaavat esimerkein mitattavia tietoturvallisuuden arviointiin liittyviä kohteita vaikuttavuuden, taloudellisuuden, asiakkuuden, prosessien ja osaamisen näkökulmasta. Tavoitetaso on päätettävä organisaatiokohtaisesti. Seuraavissa taulukoissa on mittausta käsitelty ITIL ajattelun mukaisesti. ITIL malli perustuu organisaation palvelusopimuksiin ja on liiketoimintalähtöinen Vaikuttavuus Mitattava kohde Mittauksen tulos Tavoitetaso (esim.) Tietokonevirus, haittaohjelma Varmuuskopion palautus Torjuntaohjelman havaitsemien virusten (haittaohjelmien) lukumäärä. Poistoon käytetty aika. Varmistusten palautusten lukumäärä 0 virusta Verkkoon tunkeutuminen Tunkeutumisten lukumäärä 0 tapausta Tietoturvarikkomus Taloudellisuus Sattuneet rikkomukset ja niiden estämiseksi tehdyt toimenpiteet 0 palautusta tai kaikki palautukset onnistuvat 0 rikkomusta Mitattava kohde Mittauksen tulos Tavoitetaso (esim.) Keskeytykset ja katkot palvelussa Tietoturvatuotteet Omaisuuden väärinkäyttö Tietoturvallisuuden ylläpito ja kehitys Keskeytyksien lukumäärät, pituudet ja niiden kriittisyys toiminnalle. Tietoturvallisuutta edistävän materiaalin hankintakustannukset Matkaviestimien tai kannettavien tietokoneiden tai muun tietoteknisen materiaalin tai tieto-omaisuuden joutuminen oikeudettomien haltuun. Toiminnasta aiheutuneet kustannukset, esimerkiksi koulutukseen käytetty raha tai aika; kuinka paljon teknistä henkilökuntaa on koulutettu % toimintavarmuus vuodessa suunnitelman mukainen toteutuma, +/- 10% 0 tapausta suunnitelman mukainen toiminta, +/- 10% 35

37 4. Tietoturva-arvioinnin periaatteita Palvelusopimuksiin perustuva asiakkuus Mitattava kohde Mittauksen tulos Tavoitetaso (esim.) Tietojärjestelmien tietoturvallisuus Asiakirjaturvallisuus Tietojärjestelmiä auditoidaan säännöllisesti suunnitelman mukaisesti. Auditointi tuottaa havaintomuistion. Tietojen käsittelyn eheys ja asiakirjojen luottamuksellisuus on varmistettu. Tietoturvaraportti Tietoturvaraportit on laadittu 100 % Tietoturvallisuuden auditointi ja arviointi Prosessit Auditointiraporttiin merkitään havainnot sekä auditoitu kohde. Tietoturvallisuuden tekniset ja hallinnolliset auditoinnit (arvioinnit) ovat osa organisaation sopimuksia. ei tietoturvallisuutta vaarantavia tuloksia ei tietovuotoja, ei asiatonta eikä oikeudetonta käyttöä ei poikkeamia Mitattava kohde Mittauksen tulos Tavoitetaso (esim.) Riskianalyysi (Kartoitus voi kohdistua järjestelmään, osastoon tai yhteen prosessiin) Valmiussuunnittelu Käyttöoikeudet Kulkukortit ja tunnisteet Tietoturvallisuuden ylläpito ja kehitys Turvallisuusselvitys Tietoturvasopimus Varmuuskopioiden palautuksen harjoittelu Muutosten hallinta Suoritettu tietoturvariskien kartoituksia. Suunnitelmat on laadittu ja toiminnan jatkuvuudesta poikkeusoloissa on varmistuttu. Tarpeettomien ja vanhentuneiden käyttöoikeuksien lukumäärä. Tarkastuksien säännöllisyys. Tarpeettomien ja vanhentuneiden tunnisteiden lukumäärä. Tarkastuksien säännöllisyys. Tietoturvallisuuden taso on arvioitu. Suojausten osalta voidaan käyttää esimerkiksi asteikkoa heikko taso, keskinkertainen taso tai hyvä taso. Sisäinen tarkastus varmistaa, että lausunnot on pyydetty niiden tehtävien osalta, jotka organisaatio on määritellyt. Tietoturvasopimusten olemassaolo Varmuuskopioiden palautusta harjoitellaan säännöllisesti ja palautus sekä sisällön tarkastus on ohjeistettu. Päätöksen teko ja dokumentaation aste Organisaation vuosisuunnitelman mukaisesti (PTS kausi) 100 % ei tarpeettomia tai vanhentuneita käyttöoikeuksia, tarkastukset x kertaa ajassa y ei tarpeettomia tai vanhentuneita kulkuoikeuksia, tarkastukset x kertaa ajassa y hallintajärjestelmän mukaiset asiakirjat 100 % kaikkien toimittajien kanssa on tehty sopimus kaksi kertaa vuodessa päätöksen teossa noudatettu työjärjestystä ja dokumentaatio ajantasainen 36

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Lappeenrannan kaupungin tietoturvaperiaatteet 2016 1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015

Lisätiedot

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.

Lisätiedot

Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat. Diplomityöesitelmä Juha Kalander

Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat. Diplomityöesitelmä Juha Kalander Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat Diplomityöesitelmä 29.1.2008 Juha Kalander Sisältö Esittely Tutkimusongelma Käytetyt metodit Työn sisällysluettelo Normiohjaus

Lisätiedot

Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa

Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa neuvotteleva virkamies Mikael Kiviniemi VAHTIn pj, DI Hallinnon kehittämisosasto Valtiovarainministeriön tehtäviä Hallinnon rakenteiden ja ohjausjärjestelmien

Lisätiedot

Tietoturvapolitiikka

Tietoturvapolitiikka Valtiokonttori Ohje 1 (6) Tietoturvapolitiikka Valtion IT -palvelukeskus Valtiokonttori Ohje 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa...

Lisätiedot

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41 Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät

Lisätiedot

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016

Lisätiedot

Julkaistu Helsingissä 15 päivänä kesäkuuta 2011. 634/2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta

Julkaistu Helsingissä 15 päivänä kesäkuuta 2011. 634/2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta SUOMEN SÄÄDÖSKOKOELMA Julkaistu Helsingissä 15 päivänä kesäkuuta 2011 634/2011 Laki julkisen hallinnon tietohallinnon ohjauksesta Annettu Helsingissä 10 päivänä kesäkuuta 2011 Eduskunnan päätöksen mukaisesti

Lisätiedot

Sisäisen tarkastuksen ohje

Sisäisen tarkastuksen ohje Sisäisen tarkastuksen ohje Kuntayhtymähallitus 17.3.2009 SISÄLLYSLUETTELO 1 TARKOITUS JA PERIAATTEET 3 2 TEHTÄVÄT JA ARVIOINTIPERUSTEET 3 3 ASEMA, TOIMIVALTA JA TIETOJENSAANTIOIKEUS 3 4 AMMATILLINEN OSAAMINEN

Lisätiedot

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019 Lieksan kaupungin tietoturva- ja 2019 2 (8) Sisällys Johdanto... 3 Käsitteet... 3 Tavoitteet... 5 Toteutus... 5 Organisointi ja vastuut... 6 Riskienhallinta... 7 Seuranta ja valvonta... 7 Dokumentit ja

Lisätiedot

Sisällysluettelo. Esipuhe... 10. 1 Johdanto... 15. 2 Tietoturvallisuuden rooli yritystoiminnassa... 17

Sisällysluettelo. Esipuhe... 10. 1 Johdanto... 15. 2 Tietoturvallisuuden rooli yritystoiminnassa... 17 Esipuhe...................................................... 10 1 Johdanto............................................... 15 2 Tietoturvallisuuden rooli yritystoiminnassa.............. 17 2.1 Mitä on

Lisätiedot

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA 1 S i v u Kokkolan kaupungin tietoturvapolitiikka 1. JOHDANTO Tietojenkäsittely tukee Kokkolan kaupungin palvelujen tuottamista ja palveluiden tehokkuus riippuu

Lisätiedot

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus 1 (6) VALTIMON KUNTA Tietoturva- ja tietosuojapolitiikka Kunnanhallitus 11.6.2018 86 2 (6) Sisällys Johdanto.. 3 Käsitteet.. 3 Tavoitteet 4 Toteutus.. 4 Organisointi ja vastuut.. 4 Riskienhallinta 5 Seuranta

Lisätiedot

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET KOKKOLAN KAUPUNKI Syyskuu 2014 Keskushallinto SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET SISÄLLYSLUETTELO 1. YLEISTÄ 2. SISÄISEN VALVONNAN JA RISKIENHALLINNAN TAVOITE JA TARKOITUS; KÄSITTEET 3. SISÄISEN

Lisätiedot

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka 1 (5) Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka Sisällys Johdanto... 2 Käsitteet... 2 Tavoitteet... 3 Toteutus... 3 Organisointi ja vastuut... 4 Riskienhallinta... 4 Seuranta ja valvonta...

Lisätiedot

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 1 (6) 25.11.2015 Lappeenrannan kaupungin tietoturvapolitiikka 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0

Lisätiedot

TIETOTURVA- POLITIIKKA

TIETOTURVA- POLITIIKKA TIETOTURVA- POLITIIKKA Kaupunginhallitus 3.9.2013 216 HAAPAJÄRVEN KAUPUNGIN TIETOTURVAPOLITIIKKA 1. JOHDANTO... 3 2. KATTAVUUS... 3 3. TIETOTURVA... 3 4. TIETOTURVATYÖ... 4 5. ORGANISOINTI JA VASTUUT...

Lisätiedot

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA JYVÄSKYLÄN KAUPUNKI Tietohallinto JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA VERSIO 1.0 11.5.2009 SISÄLLYSLUETTELO 1 JOHDANTO... 1 2 KATTAVUUS... 1 3 MITÄ TIETOTURVA ON... 1 4 MIKSI TIETOTURVAA...

Lisätiedot

Julkisen hallinnon kokonaisarkkitehtuurijaoston työsuunnitelma 2014

Julkisen hallinnon kokonaisarkkitehtuurijaoston työsuunnitelma 2014 Suunnitelma Valtiovarainministeriö/Julkisen hallinnon ICT - toiminto/vaatimukset ja suositukset JHKA-sihteeristö 22.1.2014 Julkisen hallinnon kokonaisarkkitehtuurijaoston työsuunnitelma 2014 Julkisen hallinnon

Lisätiedot

Laatua ja tehoa toimintaan

Laatua ja tehoa toimintaan Laatua ja tehoa toimintaan Tietoturvallisuus osana laatua Kuntamarkkinat 12.9.2013 Aapo Immonen, Senior Manager, FCG konsultointi Oy 5.9.2013 Page 1 Sisältö Tavoitteet Tietoturvallisuutta ohjaavat tekijät

Lisätiedot

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi Nimeämispyyntö 1 (2) VM/2155/00.01.00.01/2016 Liite 1 Liite 2 25.01.2017 Julkinen JulkICT Kimmo Rousku Nimeämispyyntö Julkisen hallinnon digitaalisen turvallisuuden johtoryhmän sihteeristöön (VAHTIsihteeristö)

Lisätiedot

Sovelto Oyj JULKINEN

Sovelto Oyj JULKINEN 1 (5) 21.3.2018 JULKINEN :n Vastuu :n toiminnasta on sen ylimmällä johdolla. Yrityksen toiminta ja palvelut ovat suuresti riippuvaisia tietotekniikkapalveluiden saatavuudesta ja niiden turvallisesta toiminnasta.

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi Järjestelyihin liittyviä asioita Tilatkaa

Lisätiedot

OHJE. Kumoaa 24.5.2004 annetun sisäisen tarkastuksen ohjesäännön O/8/2004 TM.

OHJE. Kumoaa 24.5.2004 annetun sisäisen tarkastuksen ohjesäännön O/8/2004 TM. OHJE Päivämäärä Nro 7.3.2005 O/7/2005 TM Jakelu: Työministeriön henkilöstö Ohjeen nimi: Työministeriön sisäisen tarkastuksen ohjesääntö Voimassaoloaika 15.3.2005 alkaen toistaiseksi Kumoaa/muuttaa ohjeen

Lisätiedot

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA 2016 Kh 111 31.5.2016 v1.0 19.5.2016, Seija Romo 1. JOHDANTO... 1 2. TIETOTURVAPOLITIIKAN TAVOITE... 1 3. TIETOTURVATOIMINTAA OHJAAVAT TEKIJÄT... 2 4. TIETORISKIEN

Lisätiedot

Vihdin kunnan tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka Vihdin kunnan tietoturvapolitiikka Kunnanhallitus 2.3.2015 50, liite 2 Kunnan johtoryhmä 18.11.2014 Tietohallinnon ohjausryhmä (Thor) 24.9.2014 Sisällys 1 Johdanto... 2 2 Mitä tietoturvallisuus on?...

Lisätiedot

Riski = epävarmuuden vaikutus tavoitteisiin. Valtionhallinnossa = epävarmuuden vaikutus lakisääteisten tehtävien suorittamiseen ja tavoitteisiin

Riski = epävarmuuden vaikutus tavoitteisiin. Valtionhallinnossa = epävarmuuden vaikutus lakisääteisten tehtävien suorittamiseen ja tavoitteisiin Juha Pietarinen Riski = epävarmuuden vaikutus tavoitteisiin Valtionhallinnossa = epävarmuuden vaikutus lakisääteisten tehtävien suorittamiseen ja tavoitteisiin - Voiko riski olla mahdollisuus myös lakisääteisten

Lisätiedot

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn! 1(16) Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn! Arvoisa vastaaja, Tällä kyselyllä selvitetään Suomen kuntien tieto- ja kyberturvallisuuden

Lisätiedot

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET Hall. 01.04.2014 Valt. 29.04.2014 1 Voimaantulo 01.07.2014 1 Lainsäädännöllinen perusta ja soveltamisala Kuntalain 13

Lisätiedot

Sähköi sen pal l tietototurvatason arviointi

Sähköi sen pal l tietototurvatason arviointi Sähköisen palvelun l tietototurvatason arviointi Kirsi Janhunen Arviointia tehdään monesta syystä Itsearviointi Sisäinen arviointi Sisäinen tarkastus Vertaisarviointi Ulkoinen arviointi Lähtökohtana usein

Lisätiedot

VIRTU ja tietoturvatasot

VIRTU ja tietoturvatasot 1 VIRTU ja tietoturvatasot VIRTU/HAKA seminaari 3.2.2010 Erja Kinnunen VK/VIP VIPin palvelut Tietoturvallisuuden viitekehys valtionhallinnossa Ei tietoturvallisuutta koskevaa erillislakia Valtioneuvoston

Lisätiedot

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille 15.3.2016 Kimmo Rousku VAHTI Tilaisuuden ohjelma 2 Tervetuloa! Yksikön päällikkö, VAHTIn puheenjohtaja Aku Hilve

Lisätiedot

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt Turun ammattikorkeakoulu 13.09.2005 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT Sisällysluettelo: 1 Sääntöjen tarkoitus... 2 2 Käytön periaatteet... 2 3 Käyttöoikeus ja käyttäjätunnukset... 4 4 Käyttöoikeuden

Lisätiedot

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020 Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020 Sisällys Valtiontalouden tarkastusviraston tietoturvapolitiikka... 2 1 Johdanto... 3 2 Vastuut... 3 2.1 Tarkastusviraston

Lisätiedot

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT TIETOTURVALLISUUDEN KEHITTÄMINEN Opettaja: Tuija Kyrölä 040-5455465 tuija.kyrola@kolumbus.fi Toimintaohjeistus Tietoturvallisuusohjeistus I-TASO II-TASO III-TASO Ylin johto hyväksyy Konsernihallinto valmistelee

Lisätiedot

Tietoturvapolitiikka

Tietoturvapolitiikka Mäntsälä Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 0.9 2/8 Sisällys 1 Johdanto... 4 2 Mitä tietoturvallisuus on?... 4 2.1 Tietoturvallisuuden hallinta... 5 2.2 Riskienhallinta sekä jatkuvuuden

Lisätiedot

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus Nykytila-arvio toiminnan osa-alueesta Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus Trust, Quality & Progress on tehokas tapa tietää enemmän Oletko tietoinen organisaationne tietohallinnon, tietoturvallisuuden,

Lisätiedot

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta. Itä-Suomen yliopiston tietoturvapolitiikan liitteet 1/6 ITÄ-SUOMEN YLIOPISTON TIETOTURVAPOLITIIKAN LIITTEET LIITE 1: Tietoturvallisuuden vastuut ja organisointi Tässä liitteessä kuvataan tietoturvallisuuteen

Lisätiedot

Tietoturvavastuut Tampereen yliopistossa

Tietoturvavastuut Tampereen yliopistossa Tietoturvavastuut Tampereen yliopistossa Hyväksytty Tampereen yliopiston Yliopistopalvelujen johtoryhmässä 10.5.2016 Korvaa 18.10.2002 hyväksytyn vastaavan dokumentin. Tulee voimaan hyväksymispäivänä.

Lisätiedot

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvapolitiikka Porvoon Kaupunki Tietoturvapolitiikka Porvoon Kaupunki 1 Sisältö 1 Johdanto... 3 2 Mitä tietoturvallisuus on?... 4 Tietoturvallisuuden hallinta... 4 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen... 5 3 Tietoturvallisuustavoitteet...

Lisätiedot

Eläketurvakeskuksen tietosuojapolitiikka

Eläketurvakeskuksen tietosuojapolitiikka Eläketurvakeskus Tietosuojapolitiikka 1 (5) Eläketurvakeskuksen tietosuojapolitiikka Eläketurvakeskus Tietosuojapolitiikka 2 (5) Sisällysluettelo 1 Yleistä... 3 2 Tietosuojatoimintaa ohjaavat tekijät...

Lisätiedot

Virtu tietoturvallisuus. Virtu seminaari 18.3.2014

Virtu tietoturvallisuus. Virtu seminaari 18.3.2014 Virtu tietoturvallisuus Virtu seminaari 18.3.2014 Sisältö Virtu edistää tietoturvallisuutta Tietoturvallisuus Valtorin palveluissa Tietoturvavaatimukset luottamusverkostoon liityttäessä 2 Kertakirjautuminen

Lisätiedot

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103 TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI Hyväksytty:, asiakohta 28, asiakohta 103 Sisällysluettelo 1. Periaatteet... 3 1.1 Henkilötietojen käsittelyn lainmukaisuus... 3 2. Tietosuojan vastuut ja organisointi...

Lisätiedot

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta Luo / Muokkaa Lähetä Lausunnonantajat Yhteenveto Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta Johdanto Kommentit ja huomiot - Johdanto Tiivistäisin alkuun jatkuvuuden määritelmän esim. seuraavasti:

Lisätiedot

Tietoturva Kehityksen este vai varmistaja?

Tietoturva Kehityksen este vai varmistaja? Tietoturva Kehityksen este vai varmistaja? Valtion IT-johtaja Yrjö Benson 11.2.2010 Tietoturvan rakenne VAHTI Ulkokerros Hallinnollinen tietoturva Henkilöstöturvallisuus Fyysinen turvallisuus Tietoliikenneturvallisuus

Lisätiedot

TIETOTILINPÄÄTÖS TILINTARKASTAJAN SILMIN. Ylijohtaja Marjatta Kimmonen VTV

TIETOTILINPÄÄTÖS TILINTARKASTAJAN SILMIN. Ylijohtaja Marjatta Kimmonen VTV TIETOTILINPÄÄTÖS TILINTARKASTAJAN SILMIN Ylijohtaja Marjatta Kimmonen VTV 28.1.2010 TILINPÄÄTÖS TIEDETÄÄN MUTTA MISTÄ TILAUS TIETOTILINPÄÄTÖKSELLE? Viraston ja laitoksen tulee antaa tilinpäätöksessä ja

Lisätiedot

HE 66/2007 vp. on tarkoitus siirtää vuoden 2008 alusta lukien arkistolaitoksen yhteyteen. Lakiin ehdotetaan tehtäväksi lisäksi tekninen muutos,

HE 66/2007 vp. on tarkoitus siirtää vuoden 2008 alusta lukien arkistolaitoksen yhteyteen. Lakiin ehdotetaan tehtäväksi lisäksi tekninen muutos, HE 66/2007 vp Hallituksen esitys Eduskunnalle laiksi arkistolain 1 ja :n muuttamisesta ESITYKSEN PÄÄASIALLINEN SISÄLTÖ Esityksessä ehdotetaan arkistolakia muutettavaksi siten, että siitä poistettaisiin

Lisätiedot

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA Hyväksytty: Hämeenkyrön lautakunta 2.11.2011 Tarkastettu 29.4.2014 OK 1. JOHDANTO Tietojenkäsittely tukee Hämeenkyrön kunnan / n terveydenhuollon toimintayksikön

Lisätiedot

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia OAMK / Luova 4.5. ja 11.5. Sisäinen auditointi osa Oamkin ympäristöohjelmatyötä Sisältö 1. päivä Johdanto Auditoinnin tavoitteet Ympäristöstandardin (ISO 14001) pääkohdat Alustava ympäristökatselmus Auditoinnin

Lisätiedot

Pilvipalveluiden arvioinnin haasteet

Pilvipalveluiden arvioinnin haasteet Pilvipalveluiden arvioinnin haasteet Tietoturvallisuus- ja jatkuvuuden hallinnan vaatimukset ICT-hankinnoissa, 12.5.2014 Laura Kiviharju Pilvipalvelut Pilvilaskenta (CloudComputing) tarkoittaa internetissä

Lisätiedot

Valtioneuvoston asetus

Valtioneuvoston asetus Valtioneuvoston asetus julkisen hallinnon turvallisuusverkkotoiminnasta Valtioneuvoston päätöksen mukaisesti säädetään julkisen hallinnon turvallisuusverkkotoiminnasta annetun lain (10/2015) nojalla: 1

Lisätiedot

Huippuyksiköiden taloudelliset vastuut ja velvollisuudet

Huippuyksiköiden taloudelliset vastuut ja velvollisuudet Huippuyksiköiden taloudelliset vastuut ja velvollisuudet Huippuyksikköseminaari 14.12.2011 Sisäinen tarkastaja Seija Henttinen Sisäinen valvonta tarkoittaa TOIMINTAPROSESSEIHIN SISÄÄN VIETYJÄ RAKENTEITA,

Lisätiedot

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman Turvallisuusselvityslaki ja käytännön toimijat Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman Supon ennalta estävä tehtävä Suojelupoliisin tulee lakisääteisen

Lisätiedot

Uudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet

Uudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet Uudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet Kh 12.8.2019 1 Sisällys 1. LAINSÄÄDÄNTÖ... 2 2. SOVELTAMISALA... 2 3. KÄSITEMÄÄRITTELYÄ... 3 4. SISÄISEN VALVONNAN TAVOITTEET...

Lisätiedot

JHS XXX ICT-palvelujen kehittäminen: Laadunvarmistus Liite 2: Tarkistuslistoja

JHS XXX ICT-palvelujen kehittäminen: Laadunvarmistus Liite 2: Tarkistuslistoja JHS XXX ICT-palvelujen kehittäminen: Laadunvarmistus Liite 2: Tarkistuslistoja Versio: 0.9 Julkaistu: n.n.2011 Voimassaoloaika: toistaiseksi 1 Yleistä Palvelun kehitys jakautuu vaiheisiin, joiden väleissä

Lisätiedot

Kertomusluonnoksesta annetut lausunnot 20/2018 Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus 263/54/2017

Kertomusluonnoksesta annetut lausunnot 20/2018 Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus 263/54/2017 Kertomusluonnoksesta annetut lausunnot 20/2018 Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus 263/54/2017 Valtioneuvoston kanslia, 12.11.2018. Valtiovarain controller -toiminto, 12.11.2018.

Lisätiedot

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT YT-neuvosto hyväksynyt 21.11.2007 Vahvistanut: kuntayhtymän johtaja Pentti Leipälä 4.1.2008 1. SÄÄNTÖJEN TARKOITUS 1 2. KÄYTÖN PERIAATTEET

Lisätiedot

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TOIMITILAPÄIVÄ 21.3.2013 Johtava asiantuntija Fyysinen turvallisuus ja varautuminen Marko Kalliokoski Verohallinto 020 612 5192 etunimi.sukunimi@vero.fi

Lisätiedot

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana Terveydenhuollon Atk-päivät Tampere-talo 26.5.2010 Antti-Olli Taipale Tietohallintojohtaja Päijät-Hämeen sosiaali- ja terveysyhtymä

Lisätiedot

Sisäinen valvonta ja riskienhallinta. Luottamushenkilöiden perehdytystilaisuus 4.4.2013

Sisäinen valvonta ja riskienhallinta. Luottamushenkilöiden perehdytystilaisuus 4.4.2013 Sisäinen valvonta ja riskienhallinta Luottamushenkilöiden perehdytystilaisuus Sisällys 1. Johdanto 2. Nykytilanne 3. Sisäinen valvonta 4. Riskienhallinta 5. Kuntalain muutos 1.7.2012 1. Johdanto Sisäinen

Lisätiedot

LAADUNVALVONTAJÄRJESTELMÄ- JA TOIMEKSIANTOLOMAKE

LAADUNVALVONTAJÄRJESTELMÄ- JA TOIMEKSIANTOLOMAKE LAADUNVALVONTAJÄRJESTELMÄ- JA TOIMEKSIANTOLOMAKE Pyydämme palauttamaan täytetyn lomakkeen osoitteeseen laatu@chamber.fi. Tarkastettava tilintarkastaja Laaduntarkastaja Laadunvalvontajärjestelmän kartoitus

Lisätiedot

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx 1 RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty: Rääkkylä kunnanhallitus XXXxxx DOKUMENTIN VERSIOTIEDOT Versio Pvm Muutosten kuvaus Tekijä 1 21.3.2018 Tietosuojaryhmä käsitellyt Raita

Lisätiedot

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty Tietoturvapolitiikka 1 (6) 26.1.2017 Hyväksytty Vahvistettu hallituksen päätöksellä 26.1.2017 n tietoturvapolitiikka Sisällysluettelo: 1. Johdanto... 2 2. Tietoturvapolitiikan tavoite... 2 2.1. Tietoturvallisuuden

Lisätiedot

Merkittävä merkillinen kysymys. Ylijohtaja Marjatta Kimmonen / VTV

Merkittävä merkillinen kysymys. Ylijohtaja Marjatta Kimmonen / VTV Merkittävä merkillinen kysymys Ylijohtaja Marjatta Kimmonen / VTV 6.5.2015 Valtion taloudenhoidossa aina kyse myös valtion taloudenhoidon laillisuudesta ja talousarvion noudattamisesta oikeiden ja riittävien

Lisätiedot

Lapin yliopiston tietoturvapolitiikka

Lapin yliopiston tietoturvapolitiikka Lapin yliopiston tietoturvapolitiikka 2016 1 Vahvistettu Lapin yliopiston rehtorin päätöksellä 16.5.2016 Lapin yliopiston tietoturvapolitiikka Sisällysluettelo: 1. Johdanto... 2 2. Tietoturvapolitiikan

Lisätiedot

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1 Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet

Lisätiedot

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty: DOKUMENTIN VERSIOTIEDOT Versio Pvm Muutosten kuvaus Tekijä 20.4.2018 Päivitetty Helena Kaasinen 03.05.2018 Tietosuojaryhmän käsittely

Lisätiedot

Aloite Onko asioiden esittämistapa riittävän selkeä ja kieleltään ymmärrettävä?

Aloite Onko asioiden esittämistapa riittävän selkeä ja kieleltään ymmärrettävä? Aloite 08.02.2017 1 (3) VVC VM036:00/2015 Lausunto luonnoksesta valtion riskienhallintopolitiikkamalliksi Yleistä Onko aineistokokonaisuus, jossa on riskienhallinnan järjestämistä koskevia ohjeita,

Lisätiedot

TIETOTURVAPOLITIIKKA

TIETOTURVAPOLITIIKKA TIETOTURVAPOLITIIKKA Lapin ammattikorkeakoulun rehtori on hyväksynyt tietoturvapolitiikan 18.3.2014. Voimassa toistaiseksi. 2 Sisällysluettelo 1 Yleistä... 3 1.1 Tietoturvallisuuden kolme ulottuvuutta...

Lisätiedot

Valmiuspäällikkö Sakari Ahvenainen. Valmiusohje ja ajankohtaista varautumisesta. Helsingin TIVA ja joukkoviestintäpooli (JVP)

Valmiuspäällikkö Sakari Ahvenainen. Valmiusohje ja ajankohtaista varautumisesta. Helsingin TIVA ja joukkoviestintäpooli (JVP) Valmiuspäällikkö Sakari Ahvenainen Helsingin TIVA ja joukkoviestintäpooli (JVP) Valmiusohje ja ajankohtaista varautumisesta Lapin TIVA:n alueseminaari 24.9.2009 Rovaniemi JVP:n ohje valmius-suunnitelman

Lisätiedot

Valtiontalouden tarkastusviraston tietoturvapolitiikka

Valtiontalouden tarkastusviraston tietoturvapolitiikka Valtiontalouden tarkastusviraston tietoturvapolitiikka Valtiontalouden tarkastusvirasto on tänään vahvistanut oheisen tietoturvapolitiikan. Päätös on voimassa 1.5.2008 lukien toistaiseksi. Helsingissä

Lisätiedot

Ulkoiset auditoinnit osana auditointijärjestelmää. ELT, ympäristöterveydenhuollon erikoiseläinlääkäri Outi Lepistö EnviroVet

Ulkoiset auditoinnit osana auditointijärjestelmää. ELT, ympäristöterveydenhuollon erikoiseläinlääkäri Outi Lepistö EnviroVet Ulkoiset auditoinnit osana auditointijärjestelmää ELT, ympäristöterveydenhuollon erikoiseläinlääkäri Outi Lepistö EnviroVet Auditointihanke, taustaa Tarve kunnallisen elintarvikevalvonnan (ja koko ympäristöterveydenhuollon)

Lisätiedot

Lokipolitiikka (v 1.0/2015)

Lokipolitiikka (v 1.0/2015) KYS erityisvastuualue Etelä-Savon sairaanhoitopiiri Lokipolitiikka (v 1.0/2015) Sisällys 1 JOHDANTO... 2 2 HENKILÖTIETOJEN KÄSITTELYYN LIITTYVÄ LAINSÄÄDÄNTÖ... 2 3 LOKI JA LOKITIETO... 3 4 LOKITIETOJEN

Lisätiedot

Tietoturvapolitiikka

Tietoturvapolitiikka Tietoturvapolitiikka Toivakan kunta Tietoturvapolitiikan käsittely: Tarkastettu Hallintojohtaja 8.2.2018 Hyväksytty Kunnanhallitus 12.2.2018 Tietoturvapolitiikan muutokset: Tekijä / päiväys Kohta Muutoksen

Lisätiedot

TIETOSUOJASELOSTE Henkilötietolaki (523/1999) 10 ja 24 Rekisterinpitäjä Rekisterin nimi Henkilötietojen käsittelytarkoitus Rekisterin tietosisältö

TIETOSUOJASELOSTE Henkilötietolaki (523/1999) 10 ja 24 Rekisterinpitäjä Rekisterin nimi Henkilötietojen käsittelytarkoitus Rekisterin tietosisältö TIETOSUOJASELOSTE Henkilötietolaki (523/1999) 10 ja 24 Rekisterinpitäjä Valtiokonttori Sörnäisten rantatie 13 000054 VALTIOKONTTORI Rekisterin nimi Valtiolle.fi - Valtion rekrytointijärjestelmä Henkilötietojen

Lisätiedot

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö Ulkoistamisen hallittu prosessi Veli-Pekka Kuparinen valmiuspäällikkö Muutos ja tietoturvallisuus -ohje Korvaa Vahti-ohjeen 2/1999 ja laajentaa sen tarkastelunäkökulmaa Työryhmänä jaosto, konsulttina WM-data

Lisätiedot

Porvoon kaupungin sisäisen tarkastuksen toiminta- ja arviointisuunnitelma vuodelle 2015

Porvoon kaupungin sisäisen tarkastuksen toiminta- ja arviointisuunnitelma vuodelle 2015 1 (6) Porvoon kaupungin sisäisen tarkastuksen toiminta- ja arviointisuunnitelma vuodelle 2015 1. Toimintasuunnitelman tausta Kaupunkikonsernin sisäisen valvonnan tavoitteena on varmistaa strategisten tavoitteiden

Lisätiedot

Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015

Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015 Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015 Espoon kaupunki 2015 Tietoturvapolitiikka 1 (7) Yhteenveto Tietoturvapolitiikka on kaupunginhallituksen ja kaupunginjohdon tahdonilmaisu tietoturvan

Lisätiedot

KEMIJÄRVEN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

KEMIJÄRVEN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET KEMIJÄRVEN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET Kaupunginvaltuusto 4.3.2014 16 Voimaantulo 1.4.2014 2 1. LAINSÄÄDÄNTÖPERUSTA JA SOVELTAMISALA Kuntalain 13 :n

Lisätiedot

Standardit tietoturvan arviointimenetelmät

Standardit tietoturvan arviointimenetelmät Standardit tietoturvan arviointimenetelmät Tietoturvaa teollisuusautomaatioon (TITAN) VTT Auditorio, Vuorimiehentie 5, Espoo, 9.11.2010 Jarkko Holappa Tietoturvallisuuden arviointi osana tietoturvan hallintaa

Lisätiedot

SIILINJÄRVEN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

SIILINJÄRVEN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET SIILINJÄRVEN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET 1 Lainsäädännöllinen perusta ja soveltamisala Kuntalain 13 :n mukaan valtuuston tulee päättää kunnan ja kuntakonsernin

Lisätiedot

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa 1 TAMPEREEN IT-YHTEISTYÖALUEEN SEURAKUNTIEN TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa 13.3.2013 2 Sisällys 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus IT-alueella...

Lisätiedot

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

Tämän kyselyn määritelmät on kuvattu sopimuksessa. LIITE 1 (5) KUVAUS TIETOTURVASTA JA TIETOJEN SUOJAUKSESTA 1. Yleistä Tämä Kiinteistövaihdannan palvelun (KVP) rajapintojen käyttöä koskeva tietoturvakuvaus tulee täytettynä ja Maanmittauslaitoksen hyväksymänä

Lisätiedot

Valtion tietojärjestelmähankkeiden arviointitoiminnan kehittäminen. Arja Terho

Valtion tietojärjestelmähankkeiden arviointitoiminnan kehittäminen. Arja Terho Valtion tietojärjestelmähankkeiden arviointitoiminnan kehittäminen Arja Terho Tarve arviointitoiminnalle tuottavuuden kehittämishankkeissa tietojärjestelmillä merkittävä rooli varmistettava hankkeiden

Lisätiedot

Sisäisen valvonnan ja Riskienhallinnan perusteet

Sisäisen valvonnan ja Riskienhallinnan perusteet Sisäisen valvonnan ja Riskienhallinnan perusteet 9.5.2018 Sisällys 1. Lainsäädäntöperusta ja soveltamisala... 2 2. Sisäisen valvonnan ja riskienhallinnan tavoite ja tarkoitus... 2 3. Sisäisen valvonnan

Lisätiedot

SISÄISEN VALVONNAN PERUSTEET

SISÄISEN VALVONNAN PERUSTEET P A I M I O N K A U P U N K I SISÄISEN VALVONNAN PERUSTEET Hyväksytty kaupunginvaltuustossa 12.2.2015 11 Voimaan 1.3.2015 alkaen 1 Sisällysluettelo Lainsäädäntöperusta ja soveltamisala... 3 Sisäisen valvonnan

Lisätiedot

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke TITAN-SEMINAARI 9.11.2010 Pasi Ahonen, VTT TITAN projektissa koottiin

Lisätiedot

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty kunnanhallituksessa 20.01.2014 23 1. YLEISTÄ Tietoturva- ja tietosuojapolitiikka asiakirjana sisältää ne periaatteet, toimintatavat, vastuut, toimivallat,

Lisätiedot

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET 1.1.2014

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET 1.1.2014 1 Parikkalan kunta SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET 1.1.2014 1. Lainsäädäntöperusta ja soveltamisala Kuntalain 13 :n mukaan valtuuston tulee päättää kunnan ja kuntakonsernin sisäisen valvonnan

Lisätiedot

Sopimuksiin perustuva toiminnan jatkuvuuden hallinta

Sopimuksiin perustuva toiminnan jatkuvuuden hallinta Sopimuksiin perustuva toiminnan jatkuvuuden hallinta Haasteena verkoston toimintavarmuuden kehittäminen Ohjaus heikkenee Häiriö toimijan toiminnassa vaikuttaa verkoston toiminnan jatkuvuuteen 2 Vaatimuksia

Lisätiedot

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan 10.12.2015 Hannele Kerola Lainsäädäntöneuvos Pääministeri Juha Sipilän hallituksen strateginen

Lisätiedot

Tarkastustoimen viestintäsuunnitelma

Tarkastustoimen viestintäsuunnitelma Tarkastustoimen viestintäsuunnitelma Helsingin kaupungin tarkastuslautakunnan ja -viraston sisäisen ja ulkoisen viestinnän linjaukset. Suunnitelma on otettu käyttöön tarkastusjohtajan päätöksellä 28.12.2015

Lisätiedot

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet Yleisesittely Julkaisutilaisuus 12.6.2014 Teknologiajohtaja Aki Siponen, Microsoft Oy SFS-ISO/IEC 27002:2013 tietoturvallisuuden

Lisätiedot

Hyväksytyt asiantuntijat

Hyväksytyt asiantuntijat 1(4) Hyväksytyt asiantuntijat Pätevyysalue Pätevyysluokat Tarkastuskohteet Tässä muistiossa käsitellään ajoneuvolain 1090/2002 (muutettuna viimeksi 1042/2014) 48 2 momentin nojalla Liikenteen turvallisuusviraston

Lisätiedot

Asiakirjahallinnon ja arkistotoimen toimintaohje

Asiakirjahallinnon ja arkistotoimen toimintaohje Hyväksytty maakuntahallituksessa 23.3.2015. Kumoaa 18.4.1990 hyväksytyn arkistosäännön. Voimaantulo 1.1.2015. 1 Yleistä Arkistolain 8 :n mukaan arkistonmuodostajan on määrättävä miten sen arkistotoimen

Lisätiedot

Konsernijohdon vastuu tuloksellisesta johtamisesta ja riskienhallinnasta. Markus Kiviaho, Johtaja, sisäinen tarkastus JHTT, CGAP

Konsernijohdon vastuu tuloksellisesta johtamisesta ja riskienhallinnasta. Markus Kiviaho, Johtaja, sisäinen tarkastus JHTT, CGAP Konsernijohdon vastuu tuloksellisesta johtamisesta ja riskienhallinnasta Markus Kiviaho, Johtaja, sisäinen tarkastus JHTT, CGAP Konsernijohdon vastuu tuloksellisesta johtamisesta Konsernijohdon vastuulla

Lisätiedot

Riskienarvioinnin perusteet ja tavoitteet

Riskienarvioinnin perusteet ja tavoitteet Riskienarvioinnin perusteet ja tavoitteet Jukka Tamminen Yli-ins., DI TSP-Safetymedia Oy 1 Työsuojelun valvonnan vaikuttamisen kohteet TAUSTATEKIJÄT SEURAAMUKSET TYÖTURVALLISUUDEN HALLINTA Organisaatio

Lisätiedot

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto 19.6.2018 12 TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Yhtymähallitus 15.5.2018 Yhtymävaltuusto 19.6.2018 SISÄLLYSLUETTELO 1 YLEISTÄ

Lisätiedot

JULKISTEN VERKKOPALVELUJEN LAATUKRITEERISTÖN KONSEPTI

JULKISTEN VERKKOPALVELUJEN LAATUKRITEERISTÖN KONSEPTI JULKISTEN VERKKOPALVELUJEN LAATUKRITEERISTÖN KONSEPTI Onesta Solutions Oy Pasilanraitio 5 00240 HELSINKI www.onesta.fi 2/6 Versiohistoria Versio Pvm Selitys Muutokset Tekijät 0.1 26.3.2007 Alustava versio

Lisätiedot

1) Muistio 3.6.2004: PALVO I hankkeen toteuttaminen oikeusministeriössä, jonka liitteenä:

1) Muistio 3.6.2004: PALVO I hankkeen toteuttaminen oikeusministeriössä, jonka liitteenä: PÄÄTÖS 4.6.2004 dnro 4/011/2003 OM TALOUS- JA HENKILÖSTÖHALLINNON PALVELUKESKUSTA VALMISTELEVAN SUUNNITTELUHANKKEEN ASETTAMINEN Tausta ja tavoitteet Oikeusministeriö päätti asettaa hankkeen, jonka tehtävänä

Lisätiedot