ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Transkriptio

1 1 (6) ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA Hyväksytty kaupunginhallituksessa Tietoturvapolitiikan avulla vaikutetaan omalta osaltaan siihen, että Espoon kaupungin strategiassa määritelty Espoon visio, kaupungin toiminta-ajatus, arvot ja palvelut toteutetaan laadukkaasti ja turvallisesti Tietoturvapolitiikka ja tietoturvalinjaukset Tietoturvapolitiikka määrittelee yleisellä tasolla pitkäjänteisesti kaupungin tietoturvallisuuden tavoitteet, resurssit, vastuut ja toteutuskeinot. Tietoturvapolitiikka on kaikkia toimialoja sitova ja sitä tarkennetaan kaupunkitason ja toimialojen omilla tietoturvamääräyksillä. Tietoturvapolitiikkaa toteuttavassa tietoturvalinjauksissa määritellään yksityiskohtaisemmin tietoturvallisuuden taso. Tietoturvalinjaukset tarkistetaan vuosittain, jolloin niihin lisätään voimassa olevat tietoturvamääräykset. Koko kaupungin toimintoja käsittävä riskienhallintaohjelma ja tietohallintolinjaukset tarkentavat ja täydentävät omalta osaltaan tietoturvapolitiikkaa ja tietoturvallisuuden osa - alueita. Kaupungin yhteistyö- ja sopimuskumppaneiden edellytetään noudattavan Espoon kaupungin tietoturvalinjauksia. Mikäli yhteistyön puitteissa käsitellään luottamuksellisia tietoja, tietoturva on kirjattava yhteistyökumppanin kanssa tehtäviin sopimuksiin. Tietoturvatyö Tietoturvatyö on jatkuvaa toimintaa päivittäisessä työssä ja se on tärkeä osa kaupungin toiminnan ja palveluiden laatua. Jokaisen kaupungin henkilökuntaan kuuluvan velvollisuus on noudattaa tietoturvasta annettuja määräyksiä ja raportoitava esimiehelleen havaitsemistaan ongelmista. Tietoturvatyö tarkoittaa tietoturvallisuuden saavuttamiseksi tehtävien toimenpiteiden suunnittelua ja toteuttamista. Tämä kattaa tietojen turvaamisen menetelmät, välineet, toimenpiteet, määräykset, ohjeistuksen, koulutuksen, viestinnän, varautumista erilaisiin uhkatilanteisiin sekä sovittujen toimintatapojen noudattamista. Kaupunki osoittaa tarvittavat resurssit tietoturvatyöhön. Tietoturvallisuus tarkoittaa tietojenkäsittelyn turvaamista sekä tietojen turvallista käsittelyä. Tietoturvallisuuden tehtävänä on varmistaa palvelutoiminnassa ja päätöksenteossa tarvittavien tietojen eheys sekä estää luottamuksellisten tietojen pääsy ulkopuolisten käsiin.

2 2 (6) Tietoturvatyön päämääränä on: 1. turvata kaupungin toiminnalle tärkeiden tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta sekä tietojen ja palveluiden saatavuus (toiminta normaalioloissa) 2. varautuminen, toiminnan keskeyttäviin uhkatilanteisiin, kriiseihin ja niistä toipumiseen (toiminta poikkeustilanteissa) 3. estää tietojen ja tietojärjestelmien oikeudeton käyttö 4. estää tiedon tahaton tuhoutuminen 5. estää tiedon tahallinen tuhoaminen 6. estää tiedon vääristyminen 7. minimoida aiheutuvat vahingot 8. turvata kunnan jäsenten yksityisyyden suoja. Tietoturvallisuuden osa-alueita ovat: hallinnollinen, henkilöstö-, fyysinen, tietoliikenne, laitteisto-, ohjelmisto-, käyttö- ja tietoaineistoturvallisuus. Osa - alueet on määritelty liitteessä 1. Tietoturvallisuus kattaa kaikki kaupungin tietojenkäsittelytehtävät sisältäen myös asiakirjahallinnon sekä arkistoinnin ottaen huomioon toimialojen ja tulosyksikköjen perusluonteen ja tietoturvatarpeet. Tietoturvallisuustoimet koskevat sähköisessä, puhutussa ja kirjallisessa muodossa olevan tiedon käsittelyä, luovutusta, säilyttämistä ja siirtämistä. Kaupungin tiedot sekä tietojenkäsittelyjärjestelmät ja -palvelut on pidettävä asianmukaisesti suojattuna sekä normaalioloissa että poikkeusoloissa hallinnollisten, teknisten, rakenteellisten ja muiden toimenpiteiden avulla. Tietoturvallisuus rakentuu tiedon luottamuksellisuudesta tiedon eheydestä ja käytettävyydestä pääsynvalvonnasta ja kiistämättömyydestä henkilöstön toimintatavoista ja asenteesta Luottamuksellisuus tarkoittaa, että luottamukselliset tiedot (ei - julkiset ja salassa pidettävät) ovat vain niiden käyttöön oikeutettujen saatavissa sovituilla tavoilla ja sovittuun aikaan eikä niitä paljasteta tai muutoin saateta sivullisten tietoon. Niiden käsittelyssä

3 3 (6) noudatetaan julkisuuslakia sekä erikseen toiminnoittain/järjestelmittäin hyväksyttyjä tietojen turvaluokituksia. Eheys tarkoittaa, että tiedot ja tietojärjestelmät sekä paperiasiakirjojen arkistot ovat luotettavia, oikeellisia ja ajantasaisia, eivätkä ole laitteisto- tai ohjelmistovikojen, luonnontapahtumien tai oikeudettoman inhimillisen toiminnan seurauksena muuttuneet tai vahingoittuneet. Käytettävyys tarkoittaa, että tiedot ja tietojenkäsittelyjärjestelmät ovat käytettävissä ja käyttökelpoisia valtuutetuille käyttäjille, toiminnan kannalta hyväksyttävän ajan kuluessa. Pääsynvalvonta tarkoittaa, että tietoa tai tietojärjestelmää ei voi käyttää ilman lupaaja ettei arkistotiloihin tai vastaaviin pääse ilman valvontaa. Kiistämättömyys tarkoittaa todisteiden luomista sen varmistamiseksi, ettei yksikään tietojen käsittelyn tai siirron osapuoli voi jälkikäteen kiistää osuuttaan siihen. Asenteella tarkoitetaan sitä, että henkilöstö ymmärtää tietoturvan merkityksen ja on motivoinut noudattamaan tietoturvaohjeita ja tietoturvamääräyksiä. Vastuut ja valvonta A. Kaupunginhallitus hyväksyy tietoturvapolitiikan. B. Tietohallinnon johtoryhmä vastaa tietoturvallisuuden kaupunkitason tietoteknisistä linjauksista hyväksyy kaupungin yhteiset tietoteknisen tietoturvan toimintasuunnitelmat ja tietoturvaohjeet tarkistaa vuosittain tietoturvalinjaukset C. Tietoturvaryhmä valmistelee tietoturvajohtaja johdolla tietoturvapolitiikan huolehtii tietoturvapolitiikan kehittämisestä huolehtii tietoturvatietouden edistämisestä valmistelee kaupunkitason yhteiset tietoturvan toimintasuunnitelmat ja tietoturvamääräykset D. Tietohallinnon ohjausryhmä valmistelee tietoturvan kaupunkitason tietotekniset linjaukset tietohallinnon ja sähköisen asioinnin johtoryhmälle kokoaa henkilöstöltä ja kunnan jäseniltä tietoturvaa koskevan palautteen. E. Toimialojen johto

4 4 (6) vastaa organisaatioissaan tietoturvallisuuden toteuttamisesta (mm. resurssit, ohjeistus, koulutus, määrärahat) tietoturvapolitiikan ja yhteisten linjausten pohjalta toimialojenjohdon on otettava tietoturva - asiat huomioon eri hankkeissa. hyväksyy toimialan tietoturvalinjaukset ja määräykset valvoo tietoturvan toteutumista toimialalla. F. Kaupunginarkisto ohjaa ja osallistuu asiakirjallisen tietoaineiston käsittelyn kehittämiseen ja tietoturvallisuuden toteuttamiseen hyväksyy asiakirjallisten tietoaineistojen hallinnan edellyttämät arkistonmuodostussuunnitelmat vastaa kaupunginarkistolle luovutetusta pitkän ajan ja pysyvästi säilytettävästä tietoaineistosta ja niiden tietoturvallisuudesta G. Tiedon ja tietojärjestelmän omistaja vastaa tiedon tai tietojärjestelmän suojaamistarpeen määrittämisestä sekä toteuttamisesta. noudattaa asiakirjallisten tietoaineistojen käsittelyssä annettuja ohjeita H. Yleinen vastuu Jokainen tietoja käsittelevä (oma henkilökunta ja ulkopuoliset) on vastuussa tietoturvallisuuden toteutumisesta omissa työtehtävissään. Jokainen käyttäjä on velvollinen noudattamaan annettuja tietokoneiden ja tietoverkkojen käyttösääntöjä, tietoturvasitoumusta, tietoturvaohjeita sekä tietoturvamääräyksiä Jokaisen kaupungin palveluksessa olevan on raportoitava esimiehelleen havaitsemistaan ongelmista, uhkista tai ohjeiden vastaisesta menettelystä. Toimintasuunnitelmat ja tiedottaminen Tietoturvalinjauksissa ja niiden pohjalta laadittavissa vuosittain tarkistettavissa toimintasuunnitelmissa kuvataan asetettujen tietoturvallisuustavoitteiden edellyttämät hallinnolliset (päätöksenteko, sopimukset, henkilöstöhallinto) sekä fyysiset, rakenteelliset ja tekniset ratkaisut. Käyttäjien toimintaa ohjataan tietoturvamääräyksillä sekä tietoturvakoulutuksella Toimialojen tietohallintojohtajat huolehtivat siitä että tietoturvapolitiikasta, tietoturvalinjauksista ja tietoturvamääräyksiä tiedotetaan eri tavoin (Intranet, luennot, suunnatut koulutustilaisuudet) kaikille kaupungissa työskenteleville. Esimiehet ovat vastuussa siitä, että henkilökunta saa riittävää opastusta ja voi osallistua koulutukseen.

5 5 (6) Tietoturvan toteutumisen valvonta Toimialat ovat vastuussa tietoturvan toteutumisesta omalta osaltaan. Kriittisten järjestelmien turvajärjestelyjä testataan ajoittain harjoituksien tai muiden toimenpiteiden avulla. Toimialojen tietohallintojohtajat raportoivat kaikista oleellisista tietoturvahäiriöistä toimialanjohtajalle, tietoturvajohtajalle sekä niille henkilöille, jotka toimialanjohto on määritellyt. Tietoturvapäällikkö laatii raporteista vuosittaisen yhteenvedon kaupungin johdon käyttöön. Tietoturvaryhmä tekee kaupungin tietojärjestelmien tietoturvallisuuden kartoituksia ja informoi tietohallinnon johtoryhmää sekä ao. yksikköjä, jotta ne ryhtyvät toimenpiteisiin havaittujen puutteiden korjaamiseksi. Tietoturvapoikkeamiin reagoimisesta ja tietoturvarikkomusten seuraamuksista on omat erilliset sääntönsä. Liite1 Fyysinen turvallisuus Henkilöiden, laitteiden, aineistojen, postilähetysten, toimitilojen ja varastojen suojaaminen tuhoja ja vahinkoja vastaan. Fyysinen turvallisuus sisältää muun muassa kulun- ja tilojen valvonnan, vartioinnin, palo-, vesi-, sähkö-, ilmastointi- ja murtovahinkojen torjunnan sekä kuriirien ja tietoaineistoja sisältävien lähetysten turvallisuuden. Hallinnollinen tietoturvallisuus Tietoturvallisuuteen tähtäävät hallinnolliset keinot, kuten organisaatiojärjestelyt, tehtävien ja vastuiden määrittely sekä henkilöstön ohjeistus, koulutus ja valvonta. Henkilöstöturvallisuus Henkilöstöön liittyvien tietoturvariskien hallinta henkilöstön soveltuvuuden, toimenkuvien, sijaisuuksien, tiedonsaanti- ja käyttöoikeuksien, suojaamisen, turvallisuuskoulutuksen ja valvonnan osalta. Käyttöturvallisuus tietotekniikan käyttöön, käyttöympäristöön, tietojenkäsittelyyn ja sen jatkuvuuteen sekä tuki-, ylläpito-, kehittämis- ja huoltotoimintoihin liittyvät keinot tietoturvallisuuden parantamiseksi. Laitteistoturvallisuus tietojenkäsittely- ja tietoliikennelaitteiden ja tilojen käytettävyyteen, toimivuuteen, kokoonpanojen määrittelyyn ja pääsynvalvontaan sekä varaosien ja tarvikkeiden saatavuuteen liittyvät toimet tietoturvallisuuden toteuttamiseksi.

6 6 (6) Ohjelmistoturvallisuus käyttöjärjestelmiin ja muihin ohjelmistoihin kohdistuvat toimet, kuten ohjelmistojen tunnistamis-, eristämis-, pääsynvalvonta- ja varmistusmenettelyt, tarkkailu- ja paljastustoimet, lokimenettelyt ja laadunvarmistus sekä ohjelmistojen ylläpitoon ja päivitykseen liittyvät toimet tietoturvallisuuden parantamiseksi. Tietoaineistoturvallisuus tietoturvallisuuteen tähtäävät toimet asiakirjojen, tiedostojen ja muiden tietoaineistojen käytettävyyden, eheyden ja luottamuksellisuuden ylläpitämiseksi keinoina muun muassa tietoaineistojen hallinta arkistonmuodostussuunnitelmalla, luettelointi ja luokitus sekä tietovälineiden ohjeistettu hallinta, käsittely, säilytys ja hävittäminen. Tietoliikenneturvallisuus 1) tavoitetila, jossa tietoturvallisuus on toteutettu tietoliikenteen laitteiden, järjestelmien ja niissä kulkevien tietojen osalta 2) lainsäädäntö, normit ja toimet, joilla pyritään aikaansaamaan tietoliikenteen turvallisuus. Tietoliikenneturvallisuuteen tähtääviä keinoja ovat mm. laitteistojen ja siirtoyhteyksien ylläpito ja niiden kokoonpanojen hallinta, verkonhallinta, pääsynvalvonta, tietoliikenteen käytön valvonta ja tarkkailu, ongelmatilanteiden kirjaaminen ja selvittäminen, viestinnän salaus ja varmistaminen sekä tietoliikenneohjelmien testaus ja hyväksyminen.