Raportti Liikenne- ja viestintäministeriö Kansallisen tietopääoman suoja hanke

Koko: px
Aloita esitys sivulta:

Download "Raportti Liikenne- ja viestintäministeriö Kansallisen tietopääoman suoja hanke"

Transkriptio

1 1 (28) Raportti Liikenne- ja viestintäministeriö Kansallisen tietopääoman suoja hanke

2 2 (28) Sisällys 1 Johdanto Selvityksen tavoitteet ja työtapa Raportin rakenteesta ja erityispiirteistä Tietopääoman määrittely Yhteenveto haastattelun tuloksista Tietopääoma käsitteenä ja tiedon elinkaari Riskien arviointi ja hallinta Tietopääoman kansallinen merkitys Keskeiset ongelmat ja kehitysehdotukset Tietoturvallisuusriskien hallinnan kehittäminen Organisaation sisältä tulevien uhkien tunnistaminen ja ehkäiseminen Tekijänoikeudet Viestintäviraston CERT-FI yksikön toimintaedellytysten turvaaminen Yksityisyyden suojaamisen vaikutukset tietoturvan valvontaan Muita ongelmia ja kehitysideoita LIITE 1 Haastattelutulokset kysymyksittäin... 14

3 3 (28) 1 Johdanto Kansallisen tietopääoman suoja hanke on osa valtioneuvoston 4. syyskuuta 2003 periaatepäätöksellä antaman kansallisen tietoturvallisuusstrategian toimeenpanoa. Hankkeen tavoitteena on arvioida kansallisen tietopääoman suoja kokonaisuudessaan huomioiden sekä yksityisen että julkisen sektorin tilanne ja kehitystarpeet. Hankkeeseen liittyy selvitys, jonka tarkoituksena on tukea kansallisen tietoturvallisuusstrategian tietopääoman suojan arviointiryhmän työtä. Selvityksen on Liikenne- ja viestintäministeriön tilauksesta tuottanut PricewaterhouseCoopersin riskienhallinnan asiantuntijat Vesa Tupala ja Jan Bäckström. Tässä raportissa on esitetty selvityksen tulokset. 1.1 Selvityksen tavoitteet ja työtapa Selvitys on tehty haastattelututkimuksena. Haastatteluiden kohteina oli 12 organisaatiota niin julkiselta kuin yksityiseltäkin sektorilta ja organisaatiot edustivat eri toimialoja, kuten vakuutustoiminta, teleoperaattorit, yliopistot ja tutkimus, terveydenhuolto, energian tuotanto, tukku- ja vähittäiskauppa, media ja viestintä, metsäteollisuus, tukku- ja vähittäiskauppa, ilmailuhallinto, huoltovarmuustoiminta, patentti- ja rekisterihallinto, ilmailuhallinto sekä pankki- ja rahoitus. Kustakin haastateltavasta yhteisöstä pyrittiin mahdollisuuksien mukaan pyritty saamaan näkemyksiä kolmelta taholta: liikkeen johto, oikeudellinen asiantuntemus ja tietoturvan tekninen asiantuntemus. Tässä onnistuttiin melko hyvin, sillä ainoastaan metsäsektorin osalta jouduttiin poikkeamaan alkuperäisestä haastattelusuunnitelmasta. Metsäsektorilta ei saatu kerättyä tietopääoman suojaamiseen liittyviä teknisiä näkemyksiä. Haastatteluiden tarkoituksena oli hakea selvyyttä siihen millaista tietopääomaa pidetään kansallisesti tärkeänä, onko panostettu tietopääoman suojaan riittävästi ja mitä tulevaisuudessa voitaisiin tehdä tietopääoman suojaamiseksi. Lisäksi selvitettiin ja arvioitiin sitä, mitkä ovat tulevaisuudessa Suomen kannalta erityisen merkittäviä tietoturvariskejä tietopääoman kannalta, miten tilannetta voitaisiin parantaa ja pyrkiä tätä kautta vähentämään tietoturvariskejä. 1.2 Raportin rakenteesta ja erityispiirteistä Kukin haastatelluista organisaatioista edustaa selvityksessä omaa toimialaansa. Asioita on tarkasteltu tässä raportissa yksityisen sektorin organisaatioihin liittyen toimialanäkökulmasta sekä julkisiin organisaatioihin liittyen ko. hallinnonalan näkökulmasta. Vastausten analysoinnissa on viitattu ko. toimi- tai hallinnonalaan eikä suoraan kyseiseen yhteisöön.

4 4 (28) Joidenkin kysymysten kohdalla vastaukset ovat hyvin samansuuntaisia kaikkien vastaajien osalta; tällöin vastauksista on muodostettu yleinen käsitys kysymykseen liittyen ja mahdolliset erot vastaajien välillä on kerrottu. Luvussa kolme on esitetty keskeisimpiä ongelmia ja kehitysideoita, joita selvitystutkimuksen aikana tuli ilmi. Vastauksiin liittyvät kysymyskohtaiset yhteenvedot löytyvät liitteestä Tietopääoman määrittely Tässä nimenomaisessa hankkeessa on tietopääomaksi ymmärretty aineeton tietopääoma, mikä muodostuu datasta, informaatiosta, immateriaalioikeuksista ja itse organisaatiosta. Tällainen tietopääoma koostuu systemaattisesti luoduista käsitteellisistä tiedoista, jotka ovat organisaation toiminnan ja perustehtävien kannalta oleellisia. Esimerkkejä tällaisista ovat mm. keksinnöt, tekniset kuvaukset ja piirustukset, metodologiat, ohjelmistot, sovellukset, dokumentit ja muut tieto-objektit. Yksityisellä sektorilla toiminnan kannalta välttämätöntä tietopääomaa ovat edellisten lisäksi esimerkiksi yrityssalaisuudet, asiakastiedot ja tuotekehitystiedot. Valtionhallinnon puolella aineettomana pääomana voitaisiin pitää esimerkiksi viranomaisten pitämiä perusrekistereitä, jotka sisältävät tietoja yhteiskunnan kannalta merkittävistä asioista. Merkittävän osan tietopääomasta muodostaa myös yksityisten kansalaisten yksityisyyden suojan piiriin lukeutuva tietopääoma.

5 5 (28) 2 Yhteenveto haastattelun tuloksista 2.1 Tietopääoma käsitteenä ja tiedon elinkaari Tietopääomaa ei organisaatioissa mielletä samalla tavoin, kuin mitä sillä on tässä hankkeessa ymmärretty. Sitä ei myöskään ole käsitelty organisaatioissa erikseen. Määrittelyn mukaista tietopääomaa tunnistettiin organisaatioissa olevan ja suojattavankin mutta paremmin nimenomaiseen tieto-objektiin liittyvien muiden ominaisuuksien ja suojausvaatimusten vuoksi, kuin siksi, että se on luokiteltu tietopääomaan kuuluvaksi. Sen osalta ei ole tehty erillistä riskianalyysia ja vain harvoissa organisaatioissa se on osa yhteisön muuta riskienhallintaa. Jos tiedon elinkaareen ajatellaan kuuluviksi vaiheet: tiedon jalostaminen/synnyttäminen tietopääoman käsittely tietopääoman säilytys ja tallennus tietopääoman siirtäminen tietopääoman arkistointi tietopääoman luonnollinen tuhoaminen, niin jalostusvaiheessa käsiteltävää tietoa ei ymmärretä osana tietopääomaa. Tiedon eheyteen koettiin liittyvän uhkia ainoastaan viestintä- ja mediasektorilla sekä yliopisto ja tutkimustoiminnassa. Tukku- ja vähittäiskaupan alalla eheyden menettäminen koettiin pienemmäksi haitaksi, kuin tiedon joutuminen vääriin käsiin tai sen menettäminen kokonaan. Vastauksista voidaan päätellä, että muissa organisaatioissa tietopääoman luottamuksellisuus koettiin eheyttä tärkeämmäksi. Yleisesti useissa organisaatioissa myös tiedon tarkoituksellinen tuhoaminen koettiin merkittäväksi uhkaksi. Yliopistojen yhteydessä tehtävän tutkimuksen osalta nähtiin, että tiedon jalostamisen alkuvaiheissa tieto saattaa olla niin hajautunutta, että vaikka jotain osia saattaisi joutua ulkopuolisten haltuun, niin sillä ei ole niin suurta merkitystä kuin tiedon vääristymisellä (tiedon eheys) tai tuhoutumisella. Organisaatioissa ei myöskään mainittu sattuneen sellaisia tilanteita, joissa tieto olisi vääristynyt tai, että sillä olisi ollut merkittäviä seurauksia. Eheyteen liittyy kuitenkin uhkia esim. pitkäaikaissäilyttämisen osalta; kuinka varmistetaan tiedon yhteensopivuus järjestelmäuudistusten ja tallennusteknologioiden kehittymisen myötä. Tähän, kuten myöskään tietopääoman arkistointiin ei otettu kantaa haastatteluissa. 2.2 Riskien arviointi ja hallinta Riskienarviointia ja hallintaa voitaisiinkin selkiyttää ja formalisoida sekä tukea valtionhallinnon taholta herättelemällä yhteisöjä miettimään tietoturvallisuutta osana riskienhallinnan kokonaisuutta ja esim. seuraavista näkökulmista:

6 6 (28) kriittisyys kuinka merkittävää tietopääoma on toiminnan kannalta riippuvuussuhteet mitä ovat tietopääoman osien väliset keskinäiset riippuvuudet ja vaikutussuhteet korvattavuus voidaanko tietopääoma johtaa/jalostaa uudelleen muista olemassa olevista tiedoista tietopääomaan liittyvät muut virrat (tietovirtojen lisäksi), esim. tulovirta, jota tiedolla ohjataan onko kyse tehtävä- vai liiketoimintakriittisestä tietopääomasta. Haastattelujen tuloksista heijastuu vahvasti tietopääomaan liittyvän suojaamisen mitä suojataan-miten suojataan ajattelu vaikka tehokkaampaa ja tarkoituksenmukaisempaa olisi miettiä miksi suojataan ja vasta sen jälkeen käytännön keinoja suojaamiseksi. Tämä lienee seurausta siitä, että tietopääomaan käsittelyyn liittyy hyvin vahvasti teknologian kehitys, ja teknologia kehittyy edellä, prosessit ja menettelyt sitä vastoin hiukan jälkijunassa. Tietopääoma on kuitenkin monen yhteisön tärkein resurssi tänä päivänä ja siihen liittyviä riskejä tulisi tarkastella myös muista kuin teknisistä näkökulmista ja asiaan kuuluvalla painoarvolla. Tietopääomaan liittyvien riskien hallinnassa tulisi huomioida muitakin riskejä, kuin taloudelliset ja imagoon liittyvät riskit. Virusepidemioilla ja sisäisillä väärinkäytöksillä on pahimmillaan laajoja operatiivisia vaikutuksia. Tiukasti säännellyillä aloilla luottamuksellisuuden menetys voi johtaa pahimmillaan siihen, että koko organisaation olemassaolo asetetaan kyseenalaiseksi, esim. tilintarkastuksessa suurimmat riskit liittyvät nimenomaan julkiseen luottamuskuvaan organisaatioiden toiminnasta. Tietopääoma on myös resursseista se, jota kaikkein huonoimmin voi suojata vakuutuksin. Silti vakuutukset ovat hyvin yleinen vastaus kysyttäessä suojautumiskeinoja operatiivisen toiminnan riskejä vastaan näin myös tietojärjestelmiin liittyvien häiriöiden osalta. Järjestelmien suojaamiseen käytetyt vakuutukset eivät useinkaan korvaa menetettyä tietoa. Tietopääomaan liittyvän riskiajattelun puute näkyy myös ulkoistuksissa. Liian usein ulkoistetaan jotain toimintoja ymmärtämättä sitä tosiseikkaa, että prosessin ulkoistamisen yhteydessä ulkoistetaan myös tähän liittyvä tietopääoma. 2.3 Tietopääoman kansallinen merkitys Haastatteluissa tuli esille mielenkiintoinen näkemys liittyen tietopääoman kansalliseen ominaisuuteen. Erityisesti metsäsektorilla ja telealalla todettiin, että kansalliset rajat ovat hämärtyneet myös tietopääoman osalta. Metsäsektorilla todettiin, että heillä ei ole hallussaan minkäänlaista kansallista tietopääomaa. Tietopääoma on organisaation omaisuutta eikä sillä ole merkitystä tietyn alueen tai maan kannalta. Merkitystä nähtiin olevan lähinnä, sillä valuuko tietopääoma ulos itse organisaatiosta, kuin jos se joutuisi vieraiden kansakuntien haltuun. Lisäksi tiedon liikkuvuus organisaation sisällä ja sen toimintaympäristössä on kilpailukyvyn ja toimialan kehityksen kannalta tärkeämpää, kuin tiedon suojaaminen. Huolimatta mainitunkaltaisesta näkemyksestä näidenkään organisaatioiden kohdalla ei voitane kiistää sitä to-

7 7 (28) siseikkaa, että organisaatioiden käsittelemällä tietopääomalla on merkitystä myös kansallisen kilpailukyvyn kannalta. Onhan näiden yritysten kotipaikka ja osa toimintaakin Suomessa. Suojaamisessa tulisi myös tehdä laajaa yhteistyötä niin kansallisesti kuin kansainvälisestikin; siitäkin syystä, ettei asetettaisi ristiriitaisia vaatimuksia yhteisöille. Monissa yrityksissä, etenkin pörssiyhtiöissä (listattu pörssissä ulkomailla tai ovat osa kansainvälistä listattua konsernia) ja tietyillä toimialoilla eriasteisia vaatimuksia tietopääoman suojaamiselle tulee nykyisin hyvin paljon ulkomaisten säädösten kautta, näistä esimerkkinä rahoitus- ja pankkitoimintaa säätelevä G10 maiden ja parin muun maan pankkivalvontaviranomaisten muodostaman Baselin pankkivalvontakomitean laatima Basel II ja USA:n pörssivalvoja SEC:n vaatimuksia ilmentävä Sarbanes-Oxley Act Kansallisen tason ohjaamisen tulisi olla linjassa näiden säännösten kanssa tai muuten aiheutetaan kohtuutonta haittaa yritystoiminnalle.

8 8 (28) 3 Keskeiset ongelmat ja kehitysehdotukset 3.1 Tietoturvallisuusriskien hallinnan kehittäminen Ongelma: Kaikissa haastatelluissa organisaatioissa on tehty riskianalyysia mutta erikseen tietopääomaan liittyen ei yhdessäkään. Suurimmassa osassa yhteisöjä tietohallintotoimintoon liittyvien riskien hallinta on selkeästi erillään organisaatioiden muusta riskien hallinnasta, ja sielläkin riskien analysointia on tehty liittyen lähinnä tietojen käytettävyyteen ja luottamuksellisuuteen. Näiden rinnalla vähintäänkin yhtä tärkeä usein tärkeämpikin ominaisuus on tiedon eheys. Siinä missä tietohallinto perinteisesti pyrkii varmistamaan tiedon käytettävyyttä ja luottamuksellisuutta tiedon eheydestä huolehtiminen on viime kädessä ao. liiketoimintaprosessin vastuulla. Liian usein esim. tietoliikenneverkkojen turvallisuutta arvioidaan pelkästään teknisestä suojaus näkökulmasta (käytettävyys ja luottamuksellisuus) eikä ymmärretä esim. edi-liikenteeseen liittyvää eheyden näkökulmaa. Lisäksi useissa organisaatioissa mainittiin huomattavasti kasvanut tietotekniikkariippuvuus ja toimintojen ulkoistaminen. Osassa organisaatioita ei ymmärretty täysin tietotekniikkariippuvuuden mukanaan tuomaa riskiä. Ulkoistamisen yhteydessä ei täysin tunnuta ymmärtävän mitä jonkin toiminnon ulkoistamisesta seuraa. Olipa kyse vain infran ylläpidosta, niin kyse on prosessin ulkoistamisesta ja siihen kuuluu muitakin, kuin teknologian käyttöön liittyviä riskejä. Usein ei myöskään oteta vastuuta palveluntoimittajien toiminnasta, vaan ajatellaan eihän se ole meidän vastuulla. Kovasti lisääntyneiden ulkoistusten ja toiminnanohjausjärjestelmien integraation myötä on nähtävissä selkeä kehitys korkean integraation suuntaan eri organisaatioiden järjestelmien välillä. Tätä kautta yritystoimintaan liittyvät riskit kasvavat; virusepidemiat, luvaton järjestelmien käyttö ja laitehäiriöt sekä riittämättömät suojaukset liiketoimintakriittisten sisäisten järjestelmien osalta vaarantavat tiedon eheyden, käytettävyyden ja luottamuksellisuuden ei ainoastaan yhdessä organisaatiossa vaan koko toimintaketjussa. Yhtä lailla tämä kehitys, järjestelmien ja prosessien ketjuuntuminen sekä riippuvuus toisen organisaation tietojärjestelmistä, on nähtävissä myös julkishallinnon puolella (esim. tulli ja poliisi käyttävät Patenttija rekisterihallinnon järjestelmiä). Kehitysehdotus: Etenkin yritysten johto pitäisi saada ymmärtämään, että tietopääomaan ja sen suojaamiseen liittyvä riskienhallinta on sisällytettävä kokonaisriskien hallintaan. Sitä ei tule tarkastella esim. pelkästään liiketoiminnallisista tai teknisistä näkökulmista koska liiketoiminnan prosessit ja teknologia ovat yhä useammin samaa integroitua toimintakokonaisuutta.

9 9 (28) KTM:ssä voitaisiin käynnistää hanke riskienhallintaportaaliin perustamisesta. Portaalin kautta olisi saatavilla mm. tietoa sekä julkisella että yksityisellä sektorilla toimivista riskienhallinnan työryhmistä, riskienhallinnan ohjeista sekä laista ja säädöksistä. Tietoa tulisi voida hakea perustuen toimi- tai hallinnonalaan sekä riskienhallinnan eri alueisiin: esim. ympäristöriskit, tietoriskit, rahoitusriskit, henkilöriskit jne. VTT on kehittänyt pk-yrityksille vastaavan riskienhallintaportaalin (http://www.pk-rh.com). 3.2 Organisaation sisältä tulevien uhkien tunnistaminen ja ehkäiseminen Eräässä haastatelluista organisaatioista todettiin, että organisaation sisältä on helpompi vahingoittaa, mutta ulkoa se on todennäköisempää. Tämä näkemys oli jollain tapaa nähtävissä myös useissa muissa organisaatioissa. Ulkoa tulevia uhkia vastaan on puolustauduttava aktiivisesti, mutta sisältäpäin tulevien uhkien suhteen ollaan pikemmin passiivisia ja toimitaan vasta siinä vaiheessa, kun riski on realisoitumassa. Ongelma: Voitaisiin ajatella, että totta kai vahingoittaminen on helpompaa sisältäpäin mutta miksi näin on? Yhteiskunnassamme vallitsee hyvin turvallinen henki ja yrityksissä luottamus työntekijöiden korkeaan moraaliin. Yhteiskunnassa vallitsevien moraalikäsityksien rapautumiseen liittyy uhka pidemmällä tähtäyksellä. Vaikutukset ovat nähtävissä jo nyt. Teinit pitävät internetin haittaohjelmien rakentamista kivana leikkinä useinkaan seurauksia miettimättä. Nuorisolla on aiempia sukupolvia paremmat tietotekniset valmiudet, mutta toimiakseen tietoyhteiskunta edellyttää, että järjestelmiin voidaan luottaa. Kehitysehdotus: Sekä yksityisen että julkisen sektorin yhteisöjä tulisi valistaa sisäisten järjestelmien suojaamisen tärkeydestä. Tietopääoman suojaamista ei tulisi miettiä ainoastaan lainsäädännöllisistä ja tietoteknisistä näkökulmista, vaan tulisi huomioida lisäksi ainakin seuraavia keinoja: tietoturvakulttuurin luominen tietoyhteiskunnan rakentamisen yhteydessä sekä yleisesti hyväksyttyjen moraalikäsitysten vahvistaminen: mitä saa ja mitä ei saa tehdä (jokamiehen oikeudet eivät koske tietopääomaa ja tietojärjestelmiä) valistaminen ja kouluttaminen peruskoulusta lähtien: järjestetään tietoiskuja tietopääomaan liittyvistä oikeuksista, velvollisuuksista ja käsittelyn vastuista sekä mitataan aika-ajoin valistuneisuuden tasoa esim. kyselyin.

10 10 (28) 3.3 Tekijänoikeudet Digitalisoituminen on muuttanut tekijänoikeustilanteen kokonaan; oikeudenhaltijat eivät enää pysty kontrolloimaan aineistojen leviämistä. Enää ei kyetä valvomaan missä ja kuka teoksia käyttää. Tehdystä työstä ei saada enää korvausta samalla tavalla kuin aiemmin. Suurten tietovarantojen kopiointi on helppoa ja edullista; muutos on tapahtunut lyhyessä ajassa. Aineisto voi levitä eri muodoissa ja useita eri kanavia pitkin. Ongelma: Yliopistojen harjoittamassa tutkimustoiminnassa painitaan parinkin ongelman kanssa tekijänoikeuksiin liittyen. Yhtäältä, jos yliopistojen harjoittaman tutkimuksen tuotannossa käytetään hyväksi julkisen sektorin hallussa olevia tietovarantoja, tulee yksityisten yritysten saada sama raakadata käyttöönsä samoilla ehdoilla. Tämä vaikuttaa erityisesti yliopistojen kilpailukykyyn; resurssit ovat muutoinkin suhteellisen rajalliset yritysmaailmaan verrattuna. Toisaalta tutkimuksen jatkotuloksena perustetut yhtiöt aiheuttavat merkittävää haittaa yliopistoille lainsuojan ja viranomaistoiminnan riittämättömyyden vuoksi. Ensin mainittuun ongelmaan liittyen kilpailulainsäädäntö säätelee sekä julkisen että yksityisen sektorin tietotuotteiden levittämistä, jakelua. Tekijänoikeuslain mukaan tietovarannot voivat sisältää tekijänoikeudellisesti suojattuja tuotoksia, esim. kirjallisia teoksia, valokuvia, äänitteitä ja karttoja. Tällöin myös julkisen viranomaisen piirissä tuotettu tai sille luovutettu teos on suojattu. Lainsäädäntö ei kuitenkaan anna tukea niiden suojaamiseen eikä yliopistomaailmassa ole totuttu sellaisten sopimusten käyttöön, joilla rajoitettaisiin tiedon käyttöä muualla. Kun tieteellistä julkaisua tai ideoita yritetään viedä maailmalle, on vaarana, että näitä esiteltäessä muiden maiden laitoksille ne tekevät tutkimuksen tai toteuttavat idean omissa nimissään. Jälkimmäinen ongelma tutkimuksen jatkotuloksena perustetut yhtiöt on muodostunut ongelmaksi lähinnä siitä syystä, että yliopistojen osalta, organisaatioiden sisällä ei ole totuttu käyttämään organisaatioiden sisäisiä sopimuksia tutkimustoiminnassa. Tutkijat saattavat viedä mukanaan ideoita, joita yliopisto on rahoittanut ja muulla tavoin tukenut. Jos tutkija ei halua olla yliopistoa kohtaan oikeudenmukainen, niin hän voi lähteä ja alkaa tehdä tutkimusta omiin nimiinsä. Tästä aiheutuu taloudellista haittaa mutta tutkijan mukana saattaa lähteä useampiakin korkeasti koulutettuja henkilöitä. Tilanne on tältä osin erilainen kuin yksityisellä sektorilla missä sopimuksia on totuttu käyttämään tietopääomaa suojattaessa. Yliopistojen toiminta puolestaan rahoitetaan pääosin julkisista varoista ja siten tuotettava objektiivista kaikkien saatavilla olevaa tietoa. Ulkopuoliseen rahoitukseen perustuvat tutkimukset suojattu sopimuksin. Kehitysehdotus:

11 11 (28) Kun tutkimushankkeille myönnetään julkista tukea, niin tulisi selvittää rahoituksen kohteena olevaan asiaan liittyvät taustat sekä rahoituksen hakijan tosiasiallinen oikeus ideoihin ja asiakirjoihin. Käytännössä tämä edellyttänee selkeän yhteistoimintamallin kehittämistä yhteiskunnallisten rahoittajien kesken. Toisaalta yhteistyötä pitäisi kehittää myös tutkimuslaitosten kanssa yhteistyössä sen varmistamiseksi, että tiedon jäljitettävyyden osalta on mahdollisuus varmistua ainakin siitä kuka teki, mitä ja kenen toimesta. Myös kansainvälistä lainsäädäntöä voitaisiin kehittää, mutta ennen kaikkea yliopistoja tulisi valistaa tekemään keskinäisiä salassapitosopimuksia kaikissa niissä tilanteissa, joissa on riskinä tutkimustiedon ja ideoiden väärinkäyttö tai hallitsematon valuminen ulkopuolisten käsiin. 3.4 Viestintäviraston CERT-FI yksikön toimintaedellytysten turvaaminen Ongelma: Tietoturvallisuuden riskienhallintaan liittyen jatkuvan tilannekuvan ylläpitäminen on tärkeä toiminto. Yhtä tärkeää on verkostoituminen, yksin ei enää kyetä kaikkeen myöskään uhkissa tapahtuvan seurannan osalta. Tässä mielessä CERT-FI toiminto koettiin erittäin tärkeäksi ja toimivaksi toiminnoksi useissa haastatelluissa organisaatioissa. CERT-FI toiminnon resursointi ei kuitenkaan ole haastateltavien mielestä riittävällä tasolla. Kehitysehdotus: CERT-FI yksikön rahoitusta tulisi lisätä, jotta sillä olisi paremmat edellytykset vastata yhteisöjen tarpeisiin. Rahoituksessa olisi myös huomioitava se, että uuden tietosuojalain (ja yhteisötilaaja käsitteen) myötä valvonnan piiriin kuuluut teleyritysten lisäksi myös muita yrityksiä. Toisin sanoen teleyrityksiltä perittävät tietoturvamaksut eivät voi kattaa myös muiden yhteisöjen valvontaa tai ainakaan se ei ole oikeudenmukaista vaan rahoituksen on tultava myös esim. budjetista. Viestintävirastossa on menossa hanke liittyen CERT-FI palvelun kehittämiseen: Tutkimus yritysten ja yhteisöjen odotuksista ja tarpeista tietoturvallisuuden tilannekuvan osalta, Dnro: 1467/92/2004. Tässä kohdassa mainitut kehitysehdotukset olisi hyvä välittää tiedoksi ko. hankkeen työryhmälle. 3.5 Yksityisyyden suojaamisen vaikutukset tietoturvan valvontaan Ongelma:

12 12 (28) Liki kaikissa haastatelluista organisaatioista oltiin sitä mieltä, että uuden Sähköisen viestinnän tietosuojalain ja yhteisötilaajan käsitteen myötä suojaamismahdollisuuksia ja tietoturvan seurantaa on rajoitettu merkittävästi. Valvonta ja puuttuminen väärään toimintaan ja häiriötilanteisiin koetaan vaikeammaksi. Jos epäillään väärinkäytöstä on tehtävä poliisille tutkintapyyntö. Jotta tämä voitaisiin tehdä on kuitenkin mentävä viestinnän sisältöön, koska poliisi vaatii näyttöä ennen kuin ryhtyy asiaa tutkimaan. Viestinnän sisältöön puuttumista ei kuitenkaan nähdä Sähköisen viestinnän tietosuojalain perusteella mahdolliseksi. Mikäli lakia tulkitaan pitkän aikaa väärin on riskinä se, että yhteisöjen toimintatavat ohjautuvat tehottomampaan tai tietoturvattomampaan suuntaan. Esimerkkinä nykylainsäädännön (Laki viranomaisten toiminnan julkisuudesta /621) aiheuttamasta toimintatapojen muutoksesta on asioiden poisjättäminen kokouspöytäkirjoista ja ministeriöille toimitettavista raporteista. Tästä oli esimerkkejä ainakin ilmailuhallinnossa, huoltovarmuustoiminnassa sekä terveydenhuollon sektorilla. Tietosuojalailla sekä lailla yksityisyyden suojasta työelämässä koetaan olevan vaikutusta myös julkisten tietovarantojen hyväksikäyttöön. Lisäksi lait vaikuttavat vastaajien mielestä oleellisesti asiakastietojen laajuuteen ja rajoittavat käyttökelpoisuutta. Perimmäisenä ongelmana on todennäköisesti enemmän organisaation sisältä ulospäin lähtevän viestinnän ja tietopääoman suojaaminen, kuin organisaatioiden sisällä tapahtuva. Kehitysehdotus: Sähköisen viestinnän tietosuojalain tulkintaan ja soveltamiseen liittyy merkittävässä määrin epävarmuutta kyse voi myös olla muutosvastarinnasta liittyen uuteen lakiin, joka pääasiassa rajoittaa tietoturvan valvontaa mutta ei anna eväitä sen kehittämiseen. Suosittelemmekin, että Viestintävirasto antaisi selkeämmät ohjeet lain tulkinnasta ja kiertäisi organisaatioissa kertomassa uuden lain vaikutuksista ja soveltamisesta käytännön työssä. Lain implementointiohjeita varten on perustettu case-portaali (www.ficora.fi). Portaaliin olisi hyvä sisällyttää yleisten soveltamisohjeiden lisäksi enemmän esimerkkitapauksia lain soveltamisesta erilaisissa tilanteissa ja eri organisaatioissa. 3.7 Muita ongelmia ja kehitysideoita Seuraavassa on listattu muita kehitysehdotuksia, joita haastatteluissa tuli esille: Ilmailuhallinnossa koettiin tarpeelliseksi perustaa suljettu dataverkko viranomaiskommunikointia varten Virve-verkon tapaan. Verkko ulotettaisiin kaikkiin yhteiskunnan toiminnan kannalta kriittisiin organisaatioihin. Edelleen ilmailuhallinnossa toivottiin, että toimintaa ohjattaisiin vahvemmin laeissa tarkoitettuun suuntaan sisällyttämällä sanktioita useampiin säädöksiin. Yliopistosektorilla oltiin sitä mieltä, että Viranomaisten taholta on varottava lietsomasta käsitystä, että yksityisyyden suoja on kaikkein pyhin oikeus. Kommentin taustalla on tulkinta uuden tietosuojalain rajoittavuudesta etenkin tietoturvan val-

13 13 (28) vonnan osalta ja uskomus siitä, että yksityisyyden suojan korostaminen lainsäädännössä Huoltovarmuustoiminnassa esitettiin sähköpostiliikennettä automaattisesti salattavaksi organisaation sisällä. Lisäksi esitettiin kehitettäväksi kansallisen tason autentikointijärjestelmä. Nykyisin on käytössä useita erilaisia autentikointijärjestelmiä julkisten palveluiden ja viranomaisten yhteisessä käytössä olevissa järjestelmissä, esim. patentti- ja rekisterihallinnolla, verottajalla ja Postilla on yhteinen yritystietojärjestelmä, jonka tunnistautumiseen käytetään netpostia, verottajan TYVI-tunnistusta, pankkien tunnuksia tai hst-korttia.

14 14 (28) LIITE 1 Haastattelutulokset kysymyksittäin Kysymys 1. Millaisen tietopääoman koette olevan kansallisesti tärkeää? Kansallisesti tärkeäksi tietopääomaksi koettiin haastatelluissa organisaatioissa seuraavanlainen tietopääoma: Yliopistot ja tutkimustoiminta: Keksinnöt, täysin salassa pidettävät potilastiedot (liittyy lääketieteelliseen tutkimustoimintaan) ja henkilötiedot omasta henkilökunnasta. Kaikkein tiukin suoja oman henkilökunnan osalta; tässä tulee inhimillinen tekijä mukaan. Pankki- ja rahoitus: väestötiedot, taloustilastot, oikeusrekisterit (esim. lainhuuto, kiinnitysrekisteri), yksityisten ylläpitämät luottotietorekisterit, ulosottoviranomaisten rekisterit, varmennusjärjestelmät ja sertifikaatit (mm. VRK, PRH, VeriSign). Teletoimiala: erityisesti puolustusvoimien tiedot, asiakkaisiin liittyvät tiedot. Vakuutustoiminta: väestörekisteri, kansaneläkelaitoksen tiedot (päivärahat ja muut korvaukset). Arvopaperimarkkinajärjestelmien sisältämät tiedot. Tukku- ja vähittäiskauppa: kanta-asiakasjärjestelmissä olevat kuluttajien ostokäyttäytymiseen liittyvät tiedot. Tuotteiden jäljitystiedot, asiakastiedot ja toimittajatiedot (erityisesti kriisilanteita varten) tietojärjestelmissä. Media ja viestintätoimiala: viestintämateriaali, mediasisältö, luottotiedot sekä markkinatiedot ja tutkimukset. Huoltovarmuus: esimerkkeinä perusrekistereistä väestörekisteri, yritysrekisteri, kiinteistörekisteri, OM:n sovellukset rekistereistä, AKE:n rekisterit, turvallisuusviranomaisten rekisterit sekä verotukseen liittyvät rekisterit. Finanssisektorin järjestelmien sisältämä tieto, mm. arvopaperiosuusjärjestelmä ja vakuutusyhtiöiden tietokannat. Terveydenhuollon tietokannat. Terveydenhuolto ja sosiaalipalvelut: innovaatiot, keksinnöt. Mallisairaalahankkeessa muodostuva ohjelma, lääketutkimukseen liittyvät tiedot, ohjelmistot ja hoitoteknologiaan liittyvät tiedot ja tekniset kuvaukset, esim. säteilysuojaussysteemi. Lainsäädännössä kuvatut terveydenhuollon perustoimintaan liittyvät tiedot. Organisaation kehittämismallit ja hallinnolliset toimintatavat.

15 15 (28) Ilmailuhallinto: poliisin rekisterit (erit. Supo) eli henkilöturvallisuuteen liittyvät rekisterit, säätilahistoria. Luottokunnan rekisterit ja rikosrekisteri, väestötietorekisteri sekä kiinteistörekisteri. Patentti- ja rekisterihallinto: tieto yleensä salaista valmisteluvaiheessa mutta julkista patentin myöntämisen yhteydessä. Patentti- ja rekisterihallinto on kansainvälinen järjestelmä, joka ei tunnista kansallisia rajoja. Kysymys 2. Onko organisaatiollanne hallussa kansallisesti tärkeää tietopääomaa? Kansallisesti tärkeää tietopääomaa tunnistettiin eri organisaatioissa olevan seuraavasti Energiatoimiala: mm. suojautumismenettelyt ulkoisia uhkia vastaan sekä laitoksen tekninen dokumentaatio. Pankki- ja rahoitussektori: asiakastiedot (henkilöt, yritykset), luottotiedot, varmennusjärjestelmät Teletoimiala: kriisitilanteissa tärkeä rooli: toimitaan yhteistyössä kriisiorganisaatioiden kanssa, tähän verkostoon liittyvät tiedot, ohjelmistot ja varmistukset (se missä verkko fyysisesti sijaitsee), suojaus- ja lukitusjärjestelmät, telealan innovaatiot. Teknisen ympäristön tiedot ja sen kuvaus. Lisäksi kumppaneilta tuleva tieto; se ei saa karata liian aikaisin julkisuuteen (esim. Nokialta tuleva tieto tuotteiden julkistuksista). Vakuutustoiminta: sijoitussuunnitelmat, suurten asiakkaiden strategiset suunnitelmat. Asiakastiedot (arkaluonteiset taloudelliset ja terveystiedot, asiakkaat, eläkkeensaajat, velat). Media ja viestintätoimiala: asiakastiedot, markkinatiedot sekä yrityssalaisuudet. Huoltovarmuustoiminta: omaan suunnitteluun liittyvät rekisterit, toimipaikkojen tärkeysluokitus, hyötyajoneuvojen ohjausjärjestelmä, omat suunnittelumallit yritysmaailmalle liittyen riskienhallintaan poikkeustilanteissa (varasuunnitelmat). Tietokanta koskien kaikkia niiden alueiden tietoja, joissa valtiolla on intressejä (valmiusdokumentteja). Osaaminen paljonkin yksilöiden hallussa, vaikka organisaatioon onkin kumuloitunut tietoa. Terveydenhuolto ja sosiaalipalvelut: potilaiden seuranta-aineistot (1960-luvulta lähtien), potilas- ja tutkimusrekisterit. Ilmailuhallinto: ilmatilan datasetti (reittipisteet, koordinaattimääritykset), infrastruktuuri-informaatio: verkotukset, sähköt, viestiyhteydet, esterekisteri (lentoesteet eli

16 16 (28) esim. mastot), lentoasemien digitaalinen kartasto, kaikki toimintakäsikirjat, lennonjohtojärjestelmät. Lisäksi tutkatieto, liikennetieto (lentoliikenteeseen liittyvä tietokanta), ilmarekisteri, ilmailuviranomaisten määräykset. Lentoasematiedot, ilmailuun liittyvät rekisterit (lentoluvat, lennonjohtoluvat), turvallisuusrekisterit, Suomen AIP eli ilmailutiedotusjulkaisu (ilman tätä ei lennetä). Patentti- ja rekisterihallinto: patenttihakemukset, asiakasrekisterit. 3. Millä tavoin organisaatiossanne on organisoitu tietopääoman suojaamiseen liittyvät vastuut? Vastuut on organisoitu eri organisaatioissa ja toimialoilla hyvin samansuuntaisesti. Tietopääoman omistajuus sekä käyttöoikeudet on määritelty liiketoimintayksiköissä; tietopääoman suojaaminen on näiden vastuulla. Tietohallinto tarjoaa tekniikan ja metodit tietopääoman suojaamiseksi sekä tarpeen mukaan ohjeistusta. Metsäsektorilla tietohallinto vastaa tietopääoman suojaamisesta. Pankki- ja vakuutussektorilla sekä energiatoimialalla organisoinnissa näkyy kuitenkin muita tiukemmat vaatimukset ja roolitus tietoturvan suhteen. Terveydenhuolto- ja sosiaalipalveluissa sekä yliopistoissa ja tutkimustoiminnassa tietoturvallisuuden kehittäminen ja valvonta on sidottu laatujärjestelmiin. Kysymys 4. Millaisia uhkia koette organisaationne tietopääomaan liittyvän? Tietopääoman luottamuksellisuuden varmistaminen koetaan kaikissa haastatelluista organisaatioista tärkeäksi mutta monilla sektoreilla (Patentti- ja rekisterihallinto, media, pankkitoiminta, energia, ilmailuhallinto) korostettiin nimenomaan tietopääoman eheyden merkitystä. Tiedon sabotointi, ilman että sitä havaitaan ajoissa koetaan merkittäväksi uhkaksi. Yliopistosektorilla uhkia liitettiin myös langattomiin verkkoihin niiden salakuuntelun mahdollisuuden kautta. Periaatteellinen turvataso koettiin huonoksi; sähköpostia pitää käyttää salatun yhteyden yli mutta muutoin ei ole erityisvaatimuksia. Myös kiinteän verkon fyysistä pääsyä on helpompi valvoa. Myös social engineering koettiin uhkaksi. Pankkitoiminnassa uhkiksi koettiin erityisesti identiteettivarkaudet, teollinen vakoilu, hyvän tavan vastainen toiminta tai laiton hyväksikäyttö sekä palvelunestohyökkäykset, varusohjelmien aukot, verkkoon tunkeutuminen ja erilaiset haittaohjelmat. Ilmailuhallinnossa uhkia koettiin liittyvän tietoliikenneyhteyksiin, tiedon eheyteen ja tietokantoihin. Tietoliikenneyhteyksissä ajateltiin, että vaarana on tärkeään operaattoriin kohdistuva häiriö tai sabotaasi. Myös terrorismia, krakkerointia sekä tietokantojen tuhoutumista pidettiin merkittävinä uhkina.

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1 Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet

Lisätiedot

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.

Lisätiedot

Laatua ja tehoa toimintaan

Laatua ja tehoa toimintaan Laatua ja tehoa toimintaan Tietoturvallisuus osana laatua Kuntamarkkinat 12.9.2013 Aapo Immonen, Senior Manager, FCG konsultointi Oy 5.9.2013 Page 1 Sisältö Tavoitteet Tietoturvallisuutta ohjaavat tekijät

Lisätiedot

Varmaa ja vaivatonta

Varmaa ja vaivatonta Varmaa ja vaivatonta viestintää kaikille Suomessa Tekninen valvonta sähköisissä palveluissa Päällikkö Jarkko Saarimäki Tähän joku aloituskuva, esim. ilmapallopoika jarkko.saarimaki@ficora.fi Ennakkokysymys

Lisätiedot

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA JYVÄSKYLÄN KAUPUNKI Tietohallinto JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA VERSIO 1.0 11.5.2009 SISÄLLYSLUETTELO 1 JOHDANTO... 1 2 KATTAVUUS... 1 3 MITÄ TIETOTURVA ON... 1 4 MIKSI TIETOTURVAA...

Lisätiedot

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41 Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät

Lisätiedot

Pilvipalveluiden arvioinnin haasteet

Pilvipalveluiden arvioinnin haasteet Pilvipalveluiden arvioinnin haasteet Tietoturvallisuus- ja jatkuvuuden hallinnan vaatimukset ICT-hankinnoissa, 12.5.2014 Laura Kiviharju Pilvipalvelut Pilvilaskenta (CloudComputing) tarkoittaa internetissä

Lisätiedot

TIETOTURVAPOLITIIKKA

TIETOTURVAPOLITIIKKA TIETOTURVAPOLITIIKKA Lapin ammattikorkeakoulun rehtori on hyväksynyt tietoturvapolitiikan 18.3.2014. Voimassa toistaiseksi. 2 Sisällysluettelo 1 Yleistä... 3 1.1 Tietoturvallisuuden kolme ulottuvuutta...

Lisätiedot

Suomen kulttuurilaitokset

Suomen kulttuurilaitokset Suomen kulttuurilaitokset Kurssi, kevät 2001 Moskovan yliopisto Leena Kononen Tiedonhaku Suomesta Julkisten viranomaisten, valtion ja kuntien keskeiset palvelut sekä keskeiset julkiset tiedot löytyvät

Lisätiedot

Liiketoiminnan ICT-riippuvuus kasvaa hallitaanko riskit?

Liiketoiminnan ICT-riippuvuus kasvaa hallitaanko riskit? Liiketoiminnan ICT-riippuvuus kasvaa hallitaanko riskit? Mika Ollikainen, Tutkimusjohtaja j Keskeisiä tuloksia 10.5.2010 2 Tutkimuksen sisältö Tutkimuksen kannalta keskeiset kysymykset jaettiin viiteen

Lisätiedot

Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011

Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011 Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011 A. YLEISTÄ 1. Vastaajaorganisaation nimi, vastaajan nimi ja asema organisaatiossa.

Lisätiedot

Julkaistu Helsingissä 15 päivänä kesäkuuta 2011. 634/2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta

Julkaistu Helsingissä 15 päivänä kesäkuuta 2011. 634/2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta SUOMEN SÄÄDÖSKOKOELMA Julkaistu Helsingissä 15 päivänä kesäkuuta 2011 634/2011 Laki julkisen hallinnon tietohallinnon ohjauksesta Annettu Helsingissä 10 päivänä kesäkuuta 2011 Eduskunnan päätöksen mukaisesti

Lisätiedot

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA TIETOTILINPÄÄTÖSSEMINAARI 31.1.2013 TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA Reijo Aarnio tietosuojavaltuutettu Tietosuojavaltuutetun toimisto KEHITYSKULKUJA TIETOYHTEISKUNTA TEKNOLOGIA

Lisätiedot

TYÖNTEKIJÖIDEN SÄHKÖPOSTIEN TUNNISTAMISTIETOJEN KÄSITTELYOIKEUS, KUN EPÄILLÄÄN YRITYSSALAISUUKSIEN VUOTAMISTA

TYÖNTEKIJÖIDEN SÄHKÖPOSTIEN TUNNISTAMISTIETOJEN KÄSITTELYOIKEUS, KUN EPÄILLÄÄN YRITYSSALAISUUKSIEN VUOTAMISTA TYÖNTEKIJÖIDEN SÄHKÖPOSTIEN TUNNISTAMISTIETOJEN KÄSITTELYOIKEUS, KUN EPÄILLÄÄN YRITYSSALAISUUKSIEN VUOTAMISTA Nice Tuesday 11.11.2008 asianajaja Klaus Nyblin 1 1. Nykyisin: työnantajilla ei oikeutta tunnistamistietojen

Lisätiedot

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat? Tietoturva ja tietosuoja Millaisia ovat tietoyhteiskunnan vaarat? Mitä on tietoturva? Miten määrittelisit tietoturvallisuuden? Entä tietosuojan? Mitä ylipäänsä on tieto siinä määrin, kuin se ihmisiä kiinnostaa?

Lisätiedot

Abuse-seminaari 12.9.2006

Abuse-seminaari 12.9.2006 Abuse-seminaari Abuse-seminaari 12.9.2006 9.30-10.00 Kahvi 10.00-10.15 Tervetuliaissanat ja seminaarin työjärjestyksen esittely Erka Koivunen, Viestintävirasto 10.15-11.00 Internet Abuse -toiminnot teleyrityksessä

Lisätiedot

IT-palvelujen ka yttö sa a nnö t

IT-palvelujen ka yttö sa a nnö t IT-palvelujen ka yttö sa a nnö t Tampereen yliopisto Yliopistopalvelut / tietohallinto Rehtorin päätös 28.8.2014. Sisällysluettelo 1 Soveltamisala... 2 2 Käyttövaltuudet ja käyttäjätunnus... 2 2.1 Käyttövaltuudet...

Lisätiedot

Data käyttöön! Ministeriön datapolitiikka osana työ- ja elinkeinopolitiikkaa 18.3.2014

Data käyttöön! Ministeriön datapolitiikka osana työ- ja elinkeinopolitiikkaa 18.3.2014 Data käyttöön! Ministeriön datapolitiikka osana työ- ja elinkeinopolitiikkaa 18.3.2014 Antti Eskola Kaupallinen neuvos Innovaatiopolitiikan ryhmä Työ- ja elinkeinoministeriö Data käyttöön mutta mikä data?

Lisätiedot

TIETOTURVA- JA TIETOSUOJARIKKOMUSTEN SEURAAMUSTAULUKKO

TIETOTURVA- JA TIETOSUOJARIKKOMUSTEN SEURAAMUSTAULUKKO TIETOTURVA- JA TIETOSUOJARIKKOMUSTEN SEURAAMUSTAULUKKO 3.4.2015 Taustaa Lainsäädäntö edellyttää (esim. sosiaali- ja terveydenhuollossa) palveluista vastuussa olevan valvomaan asiakas/potilastietojen käyttöä

Lisätiedot

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016

Lisätiedot

HUOVI-portaali. Huoltovarmuustoiminnan uusi painopiste: toiminnallinen huoltovarmuus

HUOVI-portaali. Huoltovarmuustoiminnan uusi painopiste: toiminnallinen huoltovarmuus Miten yrityksesi toiminta jatkuu, kun sähkönsaannissa on pitkäkestoinen katko tietoliikenneyhteydet ovat poikki myrskyn vuoksi tuotantokiinteistö tuhoutuu tulipalossa tärkeimmän raaka-ainetoimittajan tai

Lisätiedot

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt Turun ammattikorkeakoulu 13.09.2005 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT Sisällysluettelo: 1 Sääntöjen tarkoitus... 2 2 Käytön periaatteet... 2 3 Käyttöoikeus ja käyttäjätunnukset... 4 4 Käyttöoikeuden

Lisätiedot

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT YT-neuvosto hyväksynyt 21.11.2007 Vahvistanut: kuntayhtymän johtaja Pentti Leipälä 4.1.2008 1. SÄÄNTÖJEN TARKOITUS 1 2. KÄYTÖN PERIAATTEET

Lisätiedot

Kansallinen digitaalinen kirjasto - toiminnan säädöspohja. Tekijänoikeusneuvos Viveca Still

Kansallinen digitaalinen kirjasto - toiminnan säädöspohja. Tekijänoikeusneuvos Viveca Still Kansallinen digitaalinen kirjasto - toiminnan säädöspohja Tekijänoikeusneuvos Viveca Still Kansallisen digitaalisen kirjaston säädöspohjasta yleisesti Ei erillistä säädöspohjaa Tulevaisuuden tarve? Organisatoriset,

Lisätiedot

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA Turvallinen ohjelmistokehitys seminaari 30.9.2008 1 Turvallisuusvaatimukset ohjelmiston hankinnassa Tehtävä/toiminta liittyvä toiminnot/prosessit

Lisätiedot

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvapolitiikka Porvoon Kaupunki Tietoturvapolitiikka Porvoon Kaupunki 1 Sisältö 1 Johdanto... 3 2 Mitä tietoturvallisuus on?... 4 Tietoturvallisuuden hallinta... 4 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen... 5 3 Tietoturvallisuustavoitteet...

Lisätiedot

PK-yrityksen tietoturvasuunnitelman laatiminen www.turkuamk.fi

PK-yrityksen tietoturvasuunnitelman laatiminen www.turkuamk.fi Matti Laakso / Tietoturvapäivä 8.2.2011 PK-yrityksen tietoturvasuunnitelman laatiminen Tietoturvasuunnitelma 1/3 Toimenpiteiden ja dokumentoinnin lopputuloksena syntyvä kokonaisuus -- kirjallinen tietoturvasuunnitelma

Lisätiedot

SÄHKÖISET JA LAINSÄÄDÄNTÖ

SÄHKÖISET JA LAINSÄÄDÄNTÖ LIIKEARKISTOPÄIVÄT 12.-13.9.2007 ASIAKIRJAT SÄHKÖISET JA LAINSÄÄDÄNTÖ Jukka Tuomela Tampereen yliopisto Oikeustieteiden laitos Lainsäädännön lähtökohtia Lainsäädännössä pyritään siihen, että sähköisiä

Lisätiedot

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA 2014 SISÄLLYSLUETTELO 1 JOHDANTO... 1 2 KATTAVUUS... 1 3 MITÄ TIETOTURVA ON... 1 4 MIKSI TIETOTURVAA... 1 5 TIETOTURVA JA LAATU... 2 6 TIETOTURVAN KEHITTÄMINEN...

Lisätiedot

Tietoturvapolitiikka. Kunnanhallitus 27.2.2012 42 Tyrnävän kunta

Tietoturvapolitiikka. Kunnanhallitus 27.2.2012 42 Tyrnävän kunta Tietoturvapolitiikka Kunnanhallitus 27.2.2012 42 Tyrnävän kunta 2 SISÄLLYSLUETTELO 1. YLEISTÄ 3 2. POLITIIKAN SOVELTAMINEN JA LAAJUUS 3 3. TIETOTURVAPOLITIIKKA, TAVOITTEET JA PERIAATTEET 4 4. TIETOJEN

Lisätiedot

Sisällysluettelo. Esipuhe... 10. 1 Johdanto... 15. 2 Tietoturvallisuuden rooli yritystoiminnassa... 17

Sisällysluettelo. Esipuhe... 10. 1 Johdanto... 15. 2 Tietoturvallisuuden rooli yritystoiminnassa... 17 Esipuhe...................................................... 10 1 Johdanto............................................... 15 2 Tietoturvallisuuden rooli yritystoiminnassa.............. 17 2.1 Mitä on

Lisätiedot

Hämeenkyrön terveyskeskus. Yhteystiedot: Hämeenkyrön terveyskeskus Härkikuja 10 39100 Hämeenkyrö

Hämeenkyrön terveyskeskus. Yhteystiedot: Hämeenkyrön terveyskeskus Härkikuja 10 39100 Hämeenkyrö HÄMEENKYRÖN KUNTA REKISTERISELOSTE Henkilötietolaki (523/99) 10 Perusturva Terveyspalvelut 15.4.2014 1. Terveydenhuollon toimintayksikkö (rekisterinpitäjä) 2. Rekisteriasioista vastaava henkilö Rekisteriasioiden

Lisätiedot

Lokipolitiikka (v 1.0/2015)

Lokipolitiikka (v 1.0/2015) KYS erityisvastuualue Etelä-Savon sairaanhoitopiiri Lokipolitiikka (v 1.0/2015) Sisällys 1 JOHDANTO... 2 2 HENKILÖTIETOJEN KÄSITTELYYN LIITTYVÄ LAINSÄÄDÄNTÖ... 2 3 LOKI JA LOKITIETO... 3 4 LOKITIETOJEN

Lisätiedot

Sosiaali- ja terveydenhuollon ITratkaisujen

Sosiaali- ja terveydenhuollon ITratkaisujen 26.1.2014 Joulukuussa 2013 toteutetun kyselyn tulokset Sosiaali- ja terveydenhuollon ITratkaisujen hyödyntämistä ja tietohallintoa koskeva kysely Tomi Dahlberg Karri Vainio Sisältö 1. Kysely, sen toteutus,

Lisätiedot

TIETOSUOJA JA TIETEELLINEN TUTKIMUS

TIETOSUOJA JA TIETEELLINEN TUTKIMUS TIETOSUOJA JA TIETEELLINEN TUTKIMUS Tutkimuksen päätyttyä huomioitavat tietosuoja-asiat Ylitarkastaja Heljä-Tuulia Pihamaa Tietosuojavaltuutetun toimisto Tilastokeskus 6.5.2009, Helsinki LUENTOAIHEET Yleistä

Lisätiedot

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö Ulkoistamisen hallittu prosessi Veli-Pekka Kuparinen valmiuspäällikkö Muutos ja tietoturvallisuus -ohje Korvaa Vahti-ohjeen 2/1999 ja laajentaa sen tarkastelunäkökulmaa Työryhmänä jaosto, konsulttina WM-data

Lisätiedot

HELSINGIN KAUPUNKI MUISTIO Numero 1 TALOUS- JA SUUNNITTELUKESKUS Tietotekniikkaosasto 13.11.2012

HELSINGIN KAUPUNKI MUISTIO Numero 1 TALOUS- JA SUUNNITTELUKESKUS Tietotekniikkaosasto 13.11.2012 HELSINGIN KAUPUNKI MUISTIO Numero 1 13.11.2012 HELMI-EXTRANET-KÄYTTÖPOLITIIKKA SISÄLTÖ 1 Extranet-tunnuksen käyttöpolitiikka 2 Käyttäjätunnusten myöntöperusteet 3 Salasanat Käyttäjätunnuksen hyväksyttävä

Lisätiedot

Vihdin kunnan tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka Vihdin kunnan tietoturvapolitiikka Kunnanhallitus 2.3.2015 50, liite 2 Kunnan johtoryhmä 18.11.2014 Tietohallinnon ohjausryhmä (Thor) 24.9.2014 Sisällys 1 Johdanto... 2 2 Mitä tietoturvallisuus on?...

Lisätiedot

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö Verkkorikollisuus tietoturvauhkana Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö Verkkorikollisuuden erityispiirteet Verkkorikollisuus on ammattimaista ja tähtää

Lisätiedot

Auditointi. Teemupekka Virtanen 14.5.2010

Auditointi. Teemupekka Virtanen 14.5.2010 Auditointi Teemupekka Virtanen 14.5.2010 Lähtökohta Kaikki KANTAan liittyneet organisaatiot jakavat saman tietomassan Keskinäinen luottamus Yhteiset toimintaperiaatteet Yhteinen turvataso Minä uskallan

Lisätiedot

ISO/DIS 14001:2014. DNV Business Assurance. All rights reserved.

ISO/DIS 14001:2014. DNV Business Assurance. All rights reserved. ISO/DIS 14001:2014 Organisaation ja sen toimintaympäristön ymmärtäminen sekä Sidosryhmien tarpeiden ja odotusten ymmärtäminen Organisaation toimintaympäristö 4.1 Organisaation ja sen toimintaympäristön

Lisätiedot

Luottamusta lisäämässä

Luottamusta lisäämässä Luottamusta lisäämässä Kyberturvallisuuskeskus Kyberturvallisuuskeskus aloitti toimintansa osana Viestintävirastoa 1.1.2014. Se vahvistaa Viestintäviraston jo vuodesta 2001 lähtien hoitamia tietoturvatehtäviä.

Lisätiedot

Tietohallinnon uudistuksia ja haasteita sähköisen hallinnon näkökulma viranomaisten asiakirjojen pysyvään säilyttämiseen

Tietohallinnon uudistuksia ja haasteita sähköisen hallinnon näkökulma viranomaisten asiakirjojen pysyvään säilyttämiseen Tietohallinnon uudistuksia ja haasteita sähköisen hallinnon näkökulma viranomaisten asiakirjojen pysyvään säilyttämiseen Anne Kauhanen-Simanainen 11.6.2014 Mitä sähköisellä hallinnolla tavoitellaan? tehokkaampia

Lisätiedot

Tietoturvapolitiikka

Tietoturvapolitiikka Mäntsälä Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 0.9 2/8 Sisällys 1 Johdanto... 4 2 Mitä tietoturvallisuus on?... 4 2.1 Tietoturvallisuuden hallinta... 5 2.2 Riskienhallinta sekä jatkuvuuden

Lisätiedot

TIETOTURVAA TOTEUTTAMASSA

TIETOTURVAA TOTEUTTAMASSA TIETOTURVAA TOTEUTTAMASSA Ari Andreasson Juha Koivisto TIETOTURVAA TOTEUTTAMASSA TIETOSANOMA Tekijät ja Tietosanoma Oy ISBN 978-951-885-334-6 KL 61.7 Tietosanoma Oy Bulevardi 19 C 00120 Helsinki 09 694

Lisätiedot

Eurooppalainen yleishyödyllisten sosiaalipalvelujen laatukehys

Eurooppalainen yleishyödyllisten sosiaalipalvelujen laatukehys Eurooppalainen yleishyödyllisten sosiaalipalvelujen laatukehys Kansalliset edellytykset ja vaatimukset palvelun tarjoajalle 22.8.2014 Sirpa Granö ja Johanna Haaga (käännös) Kansalliset edellytykset ja

Lisätiedot

SÄHKÖPOSTIN KÄYTÖSTÄ SOSIAALIHUOLLOSSA

SÄHKÖPOSTIN KÄYTÖSTÄ SOSIAALIHUOLLOSSA TIETOSUOJAVALTUUTETUN TOIMISTO SÄHKÖPOSTIN KÄYTÖSTÄ SOSIAALIHUOLLOSSA Päivitetty 15.09.2010 www.tietosuoja.fi 2 SÄHKÖPOSTIN KÄYTÖSTÄ SOSIAALIHUOLLOSSA Tämän ohjeen tarkoituksena on antaa suosituksia sähköpostin

Lisätiedot

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty kunnanhallituksessa 20.01.2014 23 1. YLEISTÄ Tietoturva- ja tietosuojapolitiikka asiakirjana sisältää ne periaatteet, toimintatavat, vastuut, toimivallat,

Lisätiedot

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET Hall. 01.04.2014 Valt. 29.04.2014 1 Voimaantulo 01.07.2014 1 Lainsäädännöllinen perusta ja soveltamisala Kuntalain 13

Lisätiedot

Tutkittavan informointi ja suostumus

Tutkittavan informointi ja suostumus Tutkittavan informointi ja suostumus yhdistettäessä tutkittavilta kerättyjä tietoja rekisteritietoihin Ylitarkastaja Raisa Leivonen Tietosuojavaltuutetun toimisto 9.12.2010 Kysy rekisteritutkimuksen luvista

Lisätiedot

Kouvolan perusturvan ja Carean potilasturvallisuuspäivä 14.9.2011. Annikki Niiranen 1

Kouvolan perusturvan ja Carean potilasturvallisuuspäivä 14.9.2011. Annikki Niiranen 1 Kouvolan perusturvan ja Carean potilasturvallisuuspäivä 14.9.2011 Annikki Niiranen 1 Potilasturvallisuus ja laadunhallinta kehittämistyön keskiössä Johtaminen korostuu Johdon vastuu toiminnasta Henkilöstön

Lisätiedot

VALTIONEUVOSTON PERIAATEPÄÄTÖKSEN PERUSTELUMUISTIO KANSALLISESTA TIETOTURVASTRATEGIASTA Turvallinen arki tietoyhteiskunnassa Ei tuurilla vaan taidolla

VALTIONEUVOSTON PERIAATEPÄÄTÖKSEN PERUSTELUMUISTIO KANSALLISESTA TIETOTURVASTRATEGIASTA Turvallinen arki tietoyhteiskunnassa Ei tuurilla vaan taidolla LIIKENNE- JA VIESTINTÄMINISTERIÖ VPO/VVE MUISTIO 1.12.2008 VALTIONEUVOSTON PERIAATEPÄÄTÖKSEN PERUSTELUMUISTIO KANSALLISESTA TIETOTURVASTRATEGIASTA Turvallinen arki tietoyhteiskunnassa Ei tuurilla vaan

Lisätiedot

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö Kyberturvallisuus Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö Kyberturvallisuuskeskuksen yhteiskunnallinen vaikuttavuuus Kansallinen CERT-toiminto; ohjeet, tiedotteet, haavoittuvuuskoordinaatio

Lisätiedot

Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen rekisteriseloste

Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen rekisteriseloste Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen rekisteriseloste Johtoryhmä 7.2.2012 SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERINPITÄJÄ 3. REKISTERIN VASTUUHENKILÖ 4. REKISTERIASIOITA

Lisätiedot

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET 1.1.2014

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET 1.1.2014 1 Parikkalan kunta SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET 1.1.2014 1. Lainsäädäntöperusta ja soveltamisala Kuntalain 13 :n mukaan valtuuston tulee päättää kunnan ja kuntakonsernin sisäisen valvonnan

Lisätiedot

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman Turvallisuusselvityslaki ja käytännön toimijat Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman Supon ennalta estävä tehtävä Suojelupoliisin tulee lakisääteisen

Lisätiedot

Käytettävyys julkishallinnon tietojärjestelmähankinnoissa tilaajan näkökulmasta

Käytettävyys julkishallinnon tietojärjestelmähankinnoissa tilaajan näkökulmasta Käytettävyys julkishallinnon tietojärjestelmähankinnoissa tilaajan näkökulmasta Sytyke/ käytettävyys OSY Anu Ylä-Pietilä Lyhyesti Trafista Trafi vastaa liikennejärjestelmän sääntely- ja valvontatehtävistä,

Lisätiedot

Espoon kaupunki Pöytäkirja 96. Valtuusto 08.06.2015 Sivu 1 / 1. 96 Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

Espoon kaupunki Pöytäkirja 96. Valtuusto 08.06.2015 Sivu 1 / 1. 96 Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta Valtuusto 08.06.2015 Sivu 1 / 1 1909/07.01.00/2015 Kaupunginhallitus 189 25.5.2015 96 Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta Valmistelijat / lisätiedot: Juha Kalander,

Lisätiedot

Kuka kantaa virkavastuuta? Tanja Mansikka, VT, OTL Kuntamarkkinat 9.9.2015

Kuka kantaa virkavastuuta? Tanja Mansikka, VT, OTL Kuntamarkkinat 9.9.2015 Kuka kantaa virkavastuuta? Tanja Mansikka, VT, OTL Kuntamarkkinat 9.9.2015 Väärinkäytösten ehkäisy kunnallishallinnossa Vaalikelpoisuusrajoitukset valtuuston ja toimielimiin Esteellisyyssäännökset Kuntalaki

Lisätiedot

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020 Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020 Sisällys Valtiontalouden tarkastusviraston tietoturvapolitiikka... 2 1 Johdanto... 3 2 Vastuut... 3 2.1 Tarkastusviraston

Lisätiedot

Sisällysluettelo. 1 JOHDANTO Irma Pahlman... 11

Sisällysluettelo. 1 JOHDANTO Irma Pahlman... 11 Sisällysluettelo 1 JOHDANTO Irma Pahlman... 11 2 KÄSITEMÄÄRITTELYT JA LÄHTEET Irma Pahlman... 13 2.1 Käsitemäärittelyt... 13 2.2 Oikeuslähteet... 16 2.2.1 Henkilötietodirektiivi (Euroopan parlamentin ja.

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 9. Luento Tietoturvallisuus Tiedon ominaisuudet

Lisätiedot

Arvoa tuottava IPR-salkku ei synny sattumalta

Arvoa tuottava IPR-salkku ei synny sattumalta Arvoa tuottava IPR-salkku ei synny sattumalta IPR-lakimies Ari-Pekka Launne Helsinki 3.6.2015 Oikeuksien varmistaminen Tuotekehitys Markkinoilletulo Brändi TUOTE ja sen SUOJAUS Kartoitus Seuranta Palaute

Lisätiedot

POTILASASIAKIRJASSA OLEVAN TIEDON ANTAMINEN POTILAALLE

POTILASASIAKIRJASSA OLEVAN TIEDON ANTAMINEN POTILAALLE 17.3.2016 Dnro 1669/2/15 Ratkaisija: Oikeusasiamies Petri Jääskeläinen Esittelijä: Vanhempi oikeusasiamiehensihteeri Håkan Stoor POTILASASIAKIRJASSA OLEVAN TIEDON ANTAMINEN POTILAALLE 1 ASIA Tutkittavani

Lisätiedot

PerustA - Perustietovarantojen viitearkkitehtuuri Liite 2: Loogiset tietovarannot

PerustA - Perustietovarantojen viitearkkitehtuuri Liite 2: Loogiset tietovarannot 1 (6) PerustA - Perustietovarantojen viitearkkitehtuuri Liite 2: Loogiset tietovarannot 2 (6) Sisältö 1 TIETOVARANTOJEN JÄSENNYS 3 2 PERUSTIETOVARANTOJEN VIITEARKKITEHTUURIN SUHDE LOOGISIIN TIETOVARANTOIHIN

Lisätiedot

Turvallisuus. Käytettävyys. Yhteistyö. Hallinnon turvallisuusverkkohanke Hankkeen esittely

Turvallisuus. Käytettävyys. Yhteistyö. Hallinnon turvallisuusverkkohanke Hankkeen esittely Turvallisuus. Käytettävyys. Yhteistyö. Hallinnon turvallisuusverkkohanke Hankkeen esittely Valtiovarainministeriö TUVE-hanke 03/2012 TUVE - esityksen sisältö 1. Mitä hallinnon turvallisuusverkolla tarkoitetaan

Lisätiedot

Kansallinen digitaalinen kirjasto

Kansallinen digitaalinen kirjasto Kansallinen digitaalinen kirjasto - käyttörajoitusten t huomioiminen i i Kansallisen digitaalisen it kirjaston säädöspohjasta yleisesti Ei erillistä säädöspohjaa Tulevaisuuden tarve? Organisatoriset, taloudelliset

Lisätiedot

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Lappeenrannan kaupungin tietoturvaperiaatteet 2016 1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015

Lisätiedot

Pohjois-Suomen aluehallintoviraston puheenvuoro Aira A. Uusimäki aluehallintoylilääkäri

Pohjois-Suomen aluehallintoviraston puheenvuoro Aira A. Uusimäki aluehallintoylilääkäri Pohjois-Suomen aluehallintoviraston puheenvuoro Aira A. Uusimäki aluehallintoylilääkäri Valtakunnalliset opiskeluterveyspäivät 14.-15.11.2011, Aira A. Uusimäki Aluehallintovirasto (6) Henkilöstöä n. 1350

Lisätiedot

Uusi kuntalaki: Miten sähköisiä toimintatapoja edistetään? Katariina Huikko, lakimies Kuntalaki uudistuu seminaari Kuntatalo 3.6.

Uusi kuntalaki: Miten sähköisiä toimintatapoja edistetään? Katariina Huikko, lakimies Kuntalaki uudistuu seminaari Kuntatalo 3.6. Uusi kuntalaki: Miten sähköisiä toimintatapoja edistetään? Katariina Huikko, lakimies Kuntalaki uudistuu seminaari Kuntatalo 3.6.2014 Tavoitteena Ajasta ja paikasta riippumattoman päätöksenteon mahdollistaminen

Lisätiedot

Potilasturvallisuuden johtaminen ja auditointi

Potilasturvallisuuden johtaminen ja auditointi 1 Potilasturvallisuuden johtaminen ja auditointi Pirjo Berg, Anna Maksimainen & Olli Tolkki 16.11.2010 Potilasturvallisuuden johtaminen ja auditointi Taustaa STM velvoittaa sairaanhoitopiirit laatimaan

Lisätiedot

-------- = LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

-------- = LV! 17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet -------- Seinäjoen kaupungin tietoturvapolitiikka 1. Johdanto Tietoturva nähdään julkishallinnon organisaatioissa oleellisena osana normaalia toimintaa ja palveluiden laatua, kokonaisturvallisuutta ja

Lisätiedot

Tietosuoja ja tietoturva

Tietosuoja ja tietoturva Tietosuoja ja tietoturva Tietosuoja ja tietoturva Tietosuoja turvaa tiedon kohteen yksityisyyden sekä edut ja oikeusturvan. Tietoturva on käytännön toimenpiteet joilla tietosuoja pyritään toteuttamaan.

Lisätiedot

Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015

Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015 Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015 Espoon kaupunki 2015 Tietoturvapolitiikka 1 (7) Yhteenveto Tietoturvapolitiikka on kaupunginhallituksen ja kaupunginjohdon tahdonilmaisu tietoturvan

Lisätiedot

Aktuaarina Suomessa tänään ja huomenna finanssiryhmittymän riskienhallinnassa. Aktuaariyhdistyksen vuosikokous 26.2.2009 Markku Miettinen

Aktuaarina Suomessa tänään ja huomenna finanssiryhmittymän riskienhallinnassa. Aktuaariyhdistyksen vuosikokous 26.2.2009 Markku Miettinen Aktuaarina Suomessa tänään ja huomenna finanssiryhmittymän riskienhallinnassa Aktuaariyhdistyksen vuosikokous 26.2.2009 Markku Miettinen 1 Tapiola-ryhmä ja konsernit 31.12.2008 VAKUUTUKSENOTTAJAT Alma

Lisätiedot

Tiedonjulkistamisneuvottelukunnan tilaisuus 21.4.2008 Tieteiden talolla Hallintojohtaja Anitta Hämäläinen Kansallisarkisto anitta.hamalainen@narc.

Tiedonjulkistamisneuvottelukunnan tilaisuus 21.4.2008 Tieteiden talolla Hallintojohtaja Anitta Hämäläinen Kansallisarkisto anitta.hamalainen@narc. Tutkimus, aineistot ja avoimuuden rajat Tiedonjulkistamisneuvottelukunnan tilaisuus 21.4.2008 Tieteiden talolla Hallintojohtaja Anitta Hämäläinen Kansallisarkisto anitta.hamalainen@narc.fi HYVÄ AINEISTON

Lisätiedot

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet Yleisesittely Julkaisutilaisuus 12.6.2014 Teknologiajohtaja Aki Siponen, Microsoft Oy SFS-ISO/IEC 27002:2013 tietoturvallisuuden

Lisätiedot

Kansallinen palveluarkkitehtuuri Mistä laissa on tarkoitus säätää?

Kansallinen palveluarkkitehtuuri Mistä laissa on tarkoitus säätää? Kansallinen palveluarkkitehtuuri Mistä laissa on tarkoitus säätää? 17.2.2016 Ohjelmapäällikkö Maria Nikkilä @VM_MariaNikkila Tiedon hallinnan ja tietohallinnon yleislainsäädäntö Hallinnon yhteisten ICT-palvelujen

Lisätiedot

IPR JA KEHITTYVÄT MARKKINAT Kansainvälistyvän pk-yrityksen näkökulma. IPR-lakimies, OTK, MBA Jani Kaulo

IPR JA KEHITTYVÄT MARKKINAT Kansainvälistyvän pk-yrityksen näkökulma. IPR-lakimies, OTK, MBA Jani Kaulo IPR JA KEHITTYVÄT MARKKINAT Kansainvälistyvän pk-yrityksen näkökulma IPR-lakimies, OTK, MBA Jani Kaulo Immateriaalioikeuksiin liittyvät ongelmat kaupan esteinä Noin 7 % kaikista suomalaisyritysten kohtaamista

Lisätiedot

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa 13.05.2015 Terveydenhuollon ATK-päivät Tampere-talo Yleistä Riskienhallintaan löytyy viitekehyksiä/standardeja kuten ISO 31000

Lisätiedot

Tietosuojaseloste. Nimi ja vastuualue Vastaanoton sairaanhoitaja Yhteystiedot Anttilantie 2, 37470 Vesilahti Puh. 03 565 27000

Tietosuojaseloste. Nimi ja vastuualue Vastaanoton sairaanhoitaja Yhteystiedot Anttilantie 2, 37470 Vesilahti Puh. 03 565 27000 1 28.1.2015 Selosteen laadinta-/ tarkastuspvm. 1. Rekisterinpitäjä Nimi Perusturvalautakunta Yhteystiedot (osoite, puhelin, sähköposti, fax) Suupantie 11, 33960 Pirkkala puh. 03 565 2400, fax 03 565 25072

Lisätiedot

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA Hyväksytty: Hämeenkyrön lautakunta 2.11.2011 Tarkastettu 29.4.2014 OK 1. JOHDANTO Tietojenkäsittely tukee Hämeenkyrön kunnan / n terveydenhuollon toimintayksikön

Lisätiedot

28.11.2013. Ammattikorkeakoulun IT-palvelujen säännöstö sitoo ja velvoittaa jokaista käyttäjää. Myös sinua.

28.11.2013. Ammattikorkeakoulun IT-palvelujen säännöstö sitoo ja velvoittaa jokaista käyttäjää. Myös sinua. 28.11.2013 IT-palvelujen väärinkäytön seuraamukset lyhyesti Ammattikorkeakoulun IT-palvelujen säännöstö sitoo ja velvoittaa jokaista käyttäjää. Myös sinua. IT-palvelujen väärinkäytöllä tarkoitetaan IT-palvelujen

Lisätiedot

Yrityksiin kohdistuvan ja niitä hyödyntävän rikollisuuden tilannekuva

Yrityksiin kohdistuvan ja niitä hyödyntävän rikollisuuden tilannekuva Yrityksiin kohdistuvan ja niitä hyödyntävän rikollisuuden tilannekuva Syksy 2007 Keskusrikospoliisi Tuija Hietaniemi 4.10.2007 2006 - Elinkeinoelämän ja viranomaisten yhteinen strategia yrityksiin kohdistuvien

Lisätiedot

tiedon ja ihmisten johtamisen, asiakirjahallinnon osaamisen, ja jokaisen työntekijän sitoutumisen avulla.

tiedon ja ihmisten johtamisen, asiakirjahallinnon osaamisen, ja jokaisen työntekijän sitoutumisen avulla. Hyvään tiedonhallintatapaan tiedon ja ihmisten johtamisen, asiakirjahallinnon osaamisen, ja jokaisen työntekijän sitoutumisen avulla. Hyvä tiedonhallintatapa avoin pääsy julkisiin tietoihin korkealaatuista

Lisätiedot

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI TIETOSUOJAVALTUUTETUN TOIMISTO MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI Päivitetty 27.07.2010 www.tietosuoja.fi 2 Malli henkilötietojen käsittelyn/henkilörekisterin

Lisätiedot

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari 2012. Jaakko Lindgren

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari 2012. Jaakko Lindgren Hostingpalvelujen oikeudelliset kysymykset Viestintäviraston Abuse-seminaari 2012 Jaakko Lindgren Legal Counsel Tieto, Legal jaakko.lindgren@tieto.com Esittely Jaakko Lindgren Legal Counsel, Tieto Oyj

Lisätiedot

Digipuntari 2015 tuloksia ja tulkintaa eteläsavolaisittain

Digipuntari 2015 tuloksia ja tulkintaa eteläsavolaisittain Digipuntari 2015 tuloksia ja tulkintaa eteläsavolaisittain Data liikkuu ja asiakas käy pyydykseen lisää liiketoimintaa verkosta 02.11.2015 Maija Korhonen Digipuntari yhteistyössä Etelä-Savon yrittäjien

Lisätiedot

Sisäisen valvonnan ja riskienhallinnan perusteet Hyväksytty: kaupunginvaltuusto xx.xx.2014 xx

Sisäisen valvonnan ja riskienhallinnan perusteet Hyväksytty: kaupunginvaltuusto xx.xx.2014 xx Sisäisen valvonnan ja riskienhallinnan perusteet Hyväksytty: kaupunginvaltuusto xx.xx.2014 xx 2 1. Lainsäädäntöperusta ja soveltamisala Kuntalain 13 :n mukaan valtuuston tulee päättää kunnan ja kuntakonsernin

Lisätiedot

Pitkäaikaissäilytys lainsäädännön näkökulma. Jorma Waldén 6.5.2013

Pitkäaikaissäilytys lainsäädännön näkökulma. Jorma Waldén 6.5.2013 Pitkäaikaissäilytys lainsäädännön näkökulma Jorma Waldén 6.5.2013 Yleiskuva Säilytysvelvollisuus laitoksen tehtävien ja toiminnan kautta sisältää pitkäaikaissäilytyksen kulttuuri- ja tiedepoliittiset linjaukset,

Lisätiedot

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA 2016 Kh 111 31.5.2016 v1.0 19.5.2016, Seija Romo 1. JOHDANTO... 1 2. TIETOTURVAPOLITIIKAN TAVOITE... 1 3. TIETOTURVATOIMINTAA OHJAAVAT TEKIJÄT... 2 4. TIETORISKIEN

Lisätiedot

Luottamusta lisäämässä. Toimintasuunnitelma 2014 2016

Luottamusta lisäämässä. Toimintasuunnitelma 2014 2016 Luottamusta lisäämässä Toimintasuunnitelma 2014 2016 Toimintasuunnitelma Viestintäviraston Kyberturvallisuuskeskuksen visio on, että Kyberturvallisuuskeskuksesta kehittyy entistä monipuolisempia tietoturvapalveluita

Lisätiedot

Lokitietojen käsittelystä

Lokitietojen käsittelystä Lokitietojen käsittelystä ylitarkastaja Sari Kajantie/KRP Esityksen lähtökohdista Tavoitteena lisätä ymmärrystä kriteereistä, joilla lokien käsittelytavat tulisi määritellä jotta pystytte soveltamaan käsittelytapoja

Lisätiedot

Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset

Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 157/2009 Jussi Holmalahti, johtaja Lupaosasto Tietojärjestelmät

Lisätiedot

Selvitys sosiaalihuollon tietosuoja- ja tietoturva-asioista 2011

Selvitys sosiaalihuollon tietosuoja- ja tietoturva-asioista 2011 Selvitys sosiaalihuollon tietosuoja- ja tietoturva-asioista 2011 Tulokset: Yksityiset sosiaalihuollon palvelun antajat A. YLEISTÄ 1. Vastaajaorganisaation nimi, vastaajan nimi ja asema organisaatiossa.

Lisätiedot

Henkilötietolaki 10 ja 24 Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista 11.3, 12-13, 20.2 ja 21.1. Ikäihmisten lautakunta

Henkilötietolaki 10 ja 24 Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista 11.3, 12-13, 20.2 ja 21.1. Ikäihmisten lautakunta REKISTERISELOSTE JA ASIAKKAAN INFORMOINTI Henkilötietolaki 10 ja 24 Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista 11.3, 12-13, 20.2 ja 21.1 Päivitetty: 19.1.2015 1. Toiminnasta vastaava rekisterinpitäjä

Lisätiedot

Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa

Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa neuvotteleva virkamies Mikael Kiviniemi VAHTIn pj, DI Hallinnon kehittämisosasto Valtiovarainministeriön tehtäviä Hallinnon rakenteiden ja ohjausjärjestelmien

Lisätiedot

MIKÄ ON TIETOSUOJAVASTAAVA?

MIKÄ ON TIETOSUOJAVASTAAVA? EU-tietosuoja-asetuksen vaikutukset koulutuskierros Yhteistyössä tietosuojavaltuutetun toimisto ja FCG / Maaliskuu 2015 MIKÄ ON TIETOSUOJAVASTAAVA? Reijo Aarnio tietosuojavaltuutettu Tietosuojavaltuutetun

Lisätiedot