SIILINJÄRVEN KUNTA Tietosuoja- ja tietoturvapolitiikka Versio:

Transkriptio

1 SIILINJÄRVEN KUNTA Tietosuoja- ja tietoturvapolitiikka Versio: menossa kunnanhallitukseen

2

3 Sisältö 1 KÄSITTEITÄ JOHDANTO Kohderyhmä Tavoitteet ja vaatimukset toiminnalle SUOJATTAVAT KOHTEET TIETOTURVALLISUUDEN ORGANISOINTI TIETOTURVALLISUUDEN PERUSTASON MÄÄRITTELY Tärkeimmät hallinnolliset tietosuoja- ja tietoturvatoimet Tärkeimmät teknisluonteiset tietoturvatoimet Tietoturvallisuuden osa-alueet Hyväksytyn ICT-käytön periaatteet LAINSÄÄDÄNTÖ... 6 LIITE 1 TIETOTURVALLISUUDEN ORGANISOINTI JA VASTUUT LIITE 2 TIETOTURVALLISUUDEN OSA-ALUEET LIITE 3 HYVÄKSYTYN ICT-KÄYTÖN PERIAATTEET LIITE 4 LAINSÄÄDÄNTÖ

4

5 1 (24) 1 KÄSITTEITÄ Tietosuojalla tarkoitetaan toimenpiteitä, joiden tarkoituksena on suojata henkilön yksityisyys henkilötietojen käsittelyssä. - Tietojen valtuudettoman saannin ja käytön estäminen. - Tietojen luottamuksellisuuden säilyttäminen. Tietoturvalla tarkoitetaan niitä hallinnollisia ja teknisiä toimenpiteitä, joilla varmistetaan tiedon luottamuksellisuus, kiistämättömyys ja eheys, järjestelmien käytettävyys sekä rekisteröidyn oikeuksien toteutuminen. Tietojen luottamuksellisuutta, kiistämättömyyttä, eheyttä ja käytettävyyttä turvataan laitteisto- ja ohjelmistovikojen, luonnontapahtumien sekä tahallisten, tuottamuksellisten tai tapaturmaisten tekojen aiheuttamilta uhilta ja vahingoilta. Tietoturvataso on organisaatiossa toteutettavan tietoturvallisuuden hallinnan kypsyystaso. Valtiovarainministeriön mukaan kuntaorganisaation tulee täyttää vähintään perustaso. Palvelujen tuottajilta edellytetään myös vähintään tietoturvallisuuden perustaso esimerkiksi sopimuksissa. Korotetun tietoturvan tasoa edellytetään mm. sosiaali- ja terveydenhuollon tietojärjestelmissä. Tämän asiakirjan eri osa-alueissa on linjattu, mitä kuuluu tietoturvan perustasolle. Kyberturvallisuus on tietoturvallisuuden alalaji, jolla pyritään sähköisen ja verkotetun yhteiskunnan turvallisuuteen. Kyberturvallisuuteen varautuminen tarkoittaa mm. sitä, että kriittisten toimintojen ja tietojärjestelmien osalta on tehty varautumis- ja riskienhallintasuunnitelma. Kriittisiä tietojärjestelmiä ovat asiakas- ja potilastietojärjestelmät, talous- ja henkilöstöhallinnon tietojärjestelmät sekä kuntalaisten päivittäiseen hyvinvointiin keskeisesti vaikuttavat järjestelmät kuten vesi- ja energiahuollon järjestelmät. Tietojen turvaamisen kannalta erityisen tärkeitä tietovarantoja ovat väestörekisteri, potilastietorekisterit, sosiaalitoimen rekisterit, asiakastietorekisterit sekä muut sosiaali- ja terveydenhuollon valtakunnalliset rekisterit. Tietojärjestelmällä tarkoitetaan koneiden, laitteiden, ohjelmistojen, tiedonsiirtojärjestelmien, tietovarantojen/ -rekistereiden, fyysisten tilojen, ihmisten, ohjeiden ja sääntöjen muodostamaa kokonaisuutta, joka on suunniteltu ja rakennettu toteuttamaan tai palvelemaan ennalta suunniteltua tehtävää/prosessia/tavoitetta. Tietojärjestelmä ei siis ole pelkästään yksi yksittäinen tietokoneohjelma. Lyhenteellä ICT, Information and Communication Technology, tarkoitetaan tieto- ja viestintäteknikkaa, mukaan lukien langattomat matkapuhelinverkot ja lähiverkot ja niissä tarjotut palvelut.

6 2 (24) 2 JOHDANTO Tietoturvalla estetään tietojen luvaton käyttö ja haltuunotto. Tietojen ja tietojenkäsittelyn turvaaminen on olennainen osa Siilinjärven kunnan toimintaa. Tällä asiakirjalla ohjeistetaan ja yhdenmukaistetaan Siilinjärven kunnan vastuualueen tietosuoja- ja tietoturvakäytännöt. Siilinjärven kunnalle on erityisen tärkeää, että asiakas voi luottaa siihen, että hänen tietonsa ovat turvassa, oikeita ja vain asiakassuhteen hoitoon osallistuvien saatavissa ja että tietoja käsitellään kaikissa vaiheissa asianmukaisesti. Tietojenkäsittely perustuu asiakas- tai hoitosuhteeseen tai muuhun asialliseen yhteyteen, jonka perusteena on virkatai työtehtävien hoito. Luottamuksellisuus ja yksityisyyden suoja painottuvat myös henkilöstöasioiden käsittelyssä. Tämä asiakirja on Siilinjärven kunnan tietosuojaan ja tietoturvaan liittyvä kaikista ylimmän tason asiakirja, jolla ohjataan Siilinjärven kunnan tietosuoja- ja tietoturvakäytäntöjä. Siilinjärven kunnan tietosuoja- ja tietoturvapolitiikkaa täydentävät yksikkökohtaiset määräykset ja ohjeet sekä tietoturvaan liittyvät muut mahdolliset politiikat, esimerkiksi sähköpostin tai internetin käyttöpolitiikka. Nämä muut politiikat täydentävät tätä ylimmän tason politiikkaa aina joltakin rajatummalta alueelta. 2.1 Kohderyhmä Siilinjärven kunnan jokaisen viranhaltijan, työntekijän ja luottamushenkilön sekä toimintayksikön tietojen ja tietojärjestelmien käyttäjän on tunnettava tämä tietosuoja- ja tietoturvapolitiikka ja noudatettava sitä tai sen perusteella annettuja muita ohjeita ja määräyksiä. Tämä politiikka koskee lisäksi myös Siilinjärven kunnan palveluksessa ei-työsuhteessa olevia henkilöitä, kuten esimerkiksi ammatillisiin opintoihin liittyviä työharjoittelijoita tai muita vastaavia, muun kuin työsopimuksen perusteella Siilinjärven kunnan hyväksi työskenteleviä henkilöitä. Lisäksi tämä politiikka koskee soveltuvin osin myös Siilinjärven kunnan antaman tilauksen tai muun toimeksiannon nojalla muita ulkopuolisija toimijoita, alihankkijoita, kumppaneita ja yhteistyötahoja, jotka suorittava tehtäviä Siilinjärven kunnan puolesta tai Siilinjärven kunnan lukuun. 2.2 Tavoitteet ja vaatimukset toiminnalle Tietoturva rakentuu tiedon luottamuksellisuudesta, eheydestä, saatavuudesta, käytettävyydestä ja kiistämättömyydestä sekä tietojen käsittelyn valvonnasta. Näiden päämäärien saavuttamiseksi asetetaan seuraavat tavoitteet ja toiminnalliset vaatimukset:

7 3 (24) - Siilinjärven kunnan organisaatiossa tietoja käsitellään yhdenmukaisten tietosuoja- ja tietoturvaohjeiden ja käytäntöjen mukaisesti. - Kunnan ylläpitovastuulla oleviin tietovarantoihin (rekistereihin) tallennetut tiedot ovat luottamuksellisia, ehyitä ja käytettävissä. - Kunnan ylläpitovastuulla olevien tietovarantojen käyttäjät ovat tunnettuja, todennettuja ja valtuutettuja. - Kunnan henkilökunta ymmärtää tietojen käsittelyn periaatteet; missä tarkoituksessa ja milloin tietoa saa käsitellä sekä ymmärtää ja hyväksyy asiakkaan halun ja oikeuden kieltää tietojensa käsittely tietyissä tilanteissa. - Kunnan henkilökunta ymmärtää tietoturvan merkityksen sekä tehtävänsä ja velvollisuutensa tietoturvallisuuden ylläpidossa. - Kunnassa on vahvistettu tietojenkäsittelyn tietoturvan tasot, organisointi, vastuut ja seurantamenetelmät. - Kriittisten tietojärjestelmien varautumis- ja riskienhallintasuunnitelmat on tehty, ajantasaiset ja testatut. - Kunnan tietojenkäsittelyn ja sen turvaamisen periaatteet noudattavat kansallisia ja kansainvälisiä tietoturvallisuutta koskevia lakeja, säädöksiä, standardeja sekä auditointivaatimuksia ja suosituksia. - Kaikessa toiminnassa ja sen kehittämisessä lähdetään kansallisten ja kansainvälisten tietoturvallisuutta koskevien lakien ja asetusten pohjalta sekä noudatetaan hyvää tietojenkäsittelytapaa, velvoitteita ja sopimuksia. - Tietoturvaratkaisujen tulee noudattaa myös taloudellisia realiteetteja, eivätkä valitut tietoturvaratkaisut saa vaikeuttaa merkittävästi tietojärjestelmien hyötykäyttöä ja asiakaspalvelua. 3 SUOJATTAVAT KOHTEET Tämä tietosuoja- ja tietoturvapolitiikka kattaa kaikki Siilinjärven kunnan tietojenkäsittelytehtävät. Politiikka kattaa myös vaitiolovelvollisuuden piiriin kuuluvan ja muunkin puhutun sekä manuaalisen ja sähköisen tiedon käsittelyn. Erityistä huomiota kiinnitetään organisaation toiminnan kannalta kriittisiin tietojärjestelmiin ja niiden sisältämiin tietoihin. Tässä politiikassa mainitut tietosuojaa ja tietoturvallisuutta koskevat määräykset ovat keskeisiä ja velvoittavia. Velvoitteissa korostetaan salassapidon, vaitiolovelvollisuuden ja yksityisyyden suojan toteutumista sekä tietoturvallisuuden, tietosuojan, hyvän tietojenkäsittelytavan ja laadun merkitystä. 4 TIETOTURVALLISUUDEN ORGANISOINTI Siilinjärven kunnassa tietosuojaan ja tietoturvaan liittyvät tehtävät ja vastuut organisoidaan siten, kuin liitteessä 1 on tarkemmin kuvattu.

8 4 (24) 5 TIETOTURVALLISUUDEN PERUSTASON MÄÄRITTELY Tietoturvallisuus on laaja toiminnallinen kokonaisuus, jonka keskeisimmät turvallisuustekijät liittyvät ihmisten toimintaan. Tietoturvallisuuden vaikutukset ulottuvat koko organisaatioon ja sen ylläpitäminen on jatkuva prosessi, jota toteutetaan hallinnollisten, fyysisten ja teknisten ratkaisujen avulla. Käyttäjien tueksi julkaistaan ohjeita ja tarjotaan tietoturvakoulutusta. 5.1 Tärkeimmät hallinnolliset tietosuoja- ja tietoturvatoimet Hyväksytyn tietosuoja ja -turvapolitiikan mukaiset tietoturvatoimet tulee sisällyttää luonnollisena osana kaikkeen toimintaan. Tietoturvan kehittäminen ja ylläpito ovat osa Siilinjärven kunnan yleistä turvallisuustoimintaa, riskien hallintaa ja sisäistä valvontaa. Tietoturva on kriittinen tekijä, koska asiakkaan/potilaan on luotettava ehdottomasti tietojensa tietosuojaan. Tämä luottamus on onnistuneen palvelun kulmakivi. Siilinjärven kunnan toiminnalle tärkeiden tai kriittisten tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta turvataan ja estetään tietojen ja tietojärjestelmien joutuminen ulkopuolisten haltuun tai tutkittavaksi. Tietojen ja tietojärjestelmien valtuudeton käyttö ja tahaton tai tahallinen tiedon tuhoutuminen tai vääristyminen estetään sekä minimoidaan aiheutuvat vahingot. Normaaliajan toiminnan tietojenkäsittelyn turvaamisen lisäksi varaudutaan toiminnan keskeyttäviin uhkatilanteisiin ja jatkuvuudenhallintaan. Voimassa olevat velvoittavat säädökset on luetteloitu ja niiden vaikutukset tietoturvajärjestelyihin on selvitetty. Lainsäädäntöä ja ohjeistusta tulee seurata jatkuvasti. Muutosten vaikutus on otettava huomioon organisaation tietoturvallisuuden kehittämisessä. Siilinjärven kunnan tiedot, tietojenkäsittelyjärjestelmät ja -palvelut pidetään asianmukaisesti suojattuina sekä normaali- että poikkeusoloissa hallinnollisten, teknisten ja muiden mahdollisten toimenpiteiden avulla. Siilinjärven kunnan tietosuoja- ja tietoturvariskejä tunnistetaan, hallitaan ja valvotaan samojen ohjeiden ja periaatteiden mukaan kuin muitakin kunnan riskejä. Organisaatiossa on käytössä tietojen ja tietojärjestelmien turvallisuusluokitus. Jokaisella tietorekisterillä ja tietojärjestelmällä, ICT-laitteella tai -palvelulla on oltava yksikäsitteinen omistaja/haltija. 5.2 Tärkeimmät teknisluonteiset tietoturvatoimet Toiminnan jatkuvuuden hallintaprosessi tulee toteuttaa onnettomuuksien ja turvallisuushäiriöiden (joita voivat aiheuttaa esim. luonnonmullistukset, onnettomuudet, laiteviat ja ilkivalta) aiheuttamien keskeytysten vähentämiseksi hyväksyttävälle tasolle yhdistämällä ehkäiseviä ja palautumista edistäviä turvamekanismeja. Jatkuvuussuunnitelmia tulee kehittää ja toteuttaa käytännössä varmistamaan, että toimintaprosessit saadaan

9 5 (24) palautettua toimintaan vaaditussa ajassa. Suunnitelmia tulee pitää yllä ja harjoitella, jotta niistä tulee muiden hallinnollisten prosessien rinnalla integroitunut osa toimintaa. Toiminnan jatkuvuuden hallintaan tulee sisältyä turvamekanismit riskien havaitsemiseen ja vähentämiseen. Turvamekanismeilla rajoitetaan uhkan mahdollisen toteutumisen aiheuttamia seurauksia ja varmistetaan olennaisesti tärkeiden toimintojen nopea palautuminen. Toiminnan jatkuvuussuunnitelmia tulee pitää yllä säännöllisin arvioinnein ja päivityksin tehokkuuden säilymisen varmistamiseksi. Kriittisten komponenttien, palvelinten, työasemien, käyttöjärjestelmien sekä ohjelmistojen turvapäivityksiä varten on vakioitu toimintasuunnitelma. Päivitystarvetta seurataan säännöllisesti ja päivitysten kriittisyys arvioidaan ennakolta, jos mahdollista. Kriittiset päivitykset asennetaan viivytyksettä. Turvapäivitysten asennukset keskitetään ja automatisoidaan mahdollisuuksien mukaan. Käyttöturvallisuudella luodaan ja ylläpidetään tietotekniikan turvallisen käytön vaatimat toimintaolosuhteet huolehtimalla tekniikan toimivuuden valvonnasta, käyttöoikeuksista, käytön- ja lokien valvonnasta, ohjelmistotuesta, ylläpito-, kehittämis- ja huoltotoimintoihin liittyvistä turvallisuustoimenpiteistä, varmuus- ja suojakopioinnista sekä häiriöraportoinnista. Lokien muuttumattomuus ja kiistämättömyys tulee taata vaatimusten mukaisesti niille määritellyn säilytysajan. Kansalaisen tiedonsaanti lokitiedoista toteutetaan kansallisten määritysten mukaisesti. Käyttölokin osalta julkisuuslain mukaisen valitusprosessin ollessa kesken, lokitietoja ei saa tuhota talletusajan mahdollisesti päättyessä. vastaa järjestelmien tietoturvasta ja laadusta yhdessä toimittajien ja palveluntuottajien kanssa sopimusten mukaisesti. Organisaatiossa on yksiselitteisesti määritelty käyttövaltuushallintaprosessi vastuineen ja poikkeusmenettelyineen. Palveluiden saatavuus, käytettävyys, luotettavuus, hallinnointi ja valvonta on määritelty yhdessä palveluntuottajien kanssa. Tietojärjestelmien käyttövaltuushallinta sekä menettelyprosessi on määritelty erillisessä asiakirjassa. Tietojärjestelmien poikkeustilanteiden hallinnan edellyttämien toimien suunnitelmat, joilla käyttöoikeus voidaan tilapäisesti ohittaa, sisällytetään toipumissuunnitelmaan. Ohitustilanteet merkitään erilliseen luetteloon ja hätäkorjaustilanteiden jälkeen toimitaan takautuvasti käyttöoikeusprosessin mukaisesti. Tietoturvapoikkeamista, haitallisista ja toimintaa vaarantavista tapahtumista raportoidaan kaikilla tasoilla viivytyksettä poikkeamien hallintaprosessin mukaisesti ja prosessi on kuvattu tarkemmin erillisessä asiakirjassa.

10 6 (24) Viestit ja dokumentit välitetään luokitusten vaatimin salausmenettelyin. Viestinvälityksen tietosuojaa koskevat vaatimukset ja vastuut on määritelty organisaation ja viestinvälitysoperaattorin välisissä sopimuksissa sekä erillisessä asiakirjassa (sähköpostipolitiikka). Palveluja ulkoistettaessa huolehditaan Suomen lainsäädännön ja muun mahdollisen velvoittavan ohjeistuksen mukaisesta luottamuksellisen aineiston käsittelystä siten, että tiedot eivät voi joutua sivullisten käsiin. Tietoturvallisuusmääritykset tarkistetaan ja arvioidaan vähintään vuosittain tai merkittävien muutosten yhteydessä. 5.3 Tietoturvallisuuden osa-alueet Suomessa vallitsevan nykykäytännön mukaan tietoturvallisuus jaetaan usein kahdeksaan eri osa-alueeseen. Liitteessä 2 on kuvattu miten nuo tietoturvallisuuden eri osa-alueet ja niiden tietosuoja ja tietoturva on järjestetty Siilinjärven kunnassa. 5.4 Hyväksytyn ICT-käytön periaatteet Siilinjärven kunnan henkilöstön perehdyttämiseksi ja tietoturvallisuuden perusteiden jalkauttamiseksi tämän asiakirjan liitteenä (Liite 3) on yhteenveto kaikista keskeisimmistä tietosuoja- ja tietoturvaperiaatteista, joita jokaisen Siilinjärven kunnan työntekijän tulee noudattaa palvelussuhteen tai muun toimeksiannon ensimmäisestä päivästä alkaen. 6 LAINSÄÄDÄNTÖ Tietosuoja ja -turva perustuu viranomaisten toiminnan julkisuudesta annetun lain ja asetuksen lisäksi useisiin muihin eri lakeihin. Näistä laeista muutama kaikista keskeisin on lueteltu tämän asiakirjan liitteessä (Liite 4).

11 Liite 1 Tietoturvallisuuden organisointi ja vastuut 1 (5) LIITE 1 TIETOTURVALLISUUDEN ORGANISOINTI JA VASTUUT 1 JOHDANTO Siilinjärven kunnalla ei ole erillistä tietoturvaorganisaatiota, vaan tietoturvatehtävät ja tietoturvan organisointi ja vastuut on määritelty siten, että kunnan tietosuoja- ja tietoturvapolitiikka toimii kunnan tietoturvatoiminnan ohjeena. Siilinjärven kunnan tietosuoja- ja tietoturvapolitiikka perustuu yhteisesti sovittuihin tietoturvatehtäviin, periaatteisiin ja tietoturvan organisointimalliin. Tietoturvan käytännön organisoinnissa ja tehtävissä esiintyy palvelualueittain (työyksiköittäin) organisaatiokohtaista vaihtelua. Tärkeää on kuitenkin huomioida, että yhteisesti sovituille tietoturvaan liittyville tehtäville määritellään vastuut ja velvollisuudet riippuen kunkin organisaation ammattinimikkeistä. Huomiota on kiinnitettävä myös siihen, että ns. vaaralliset työyhdistelmät eliminoidaan. Siilinjärven kunnan tietosuoja- ja tietoturvapolitiikka hyväksytetään kunnanhallituksessa. Siilinjärven kunnan tietoturvatehtävistä vastaavat henkilöt huolehtivat, ylläpitävät ja valvovat koko organisaation tietoaineiston tietoturvaa omien vastuualueidensa mukaisesti. Siilinjärven kunnan tietorekistereiden ja tietojärjestelmien sekä ICT-laitteiden ja -palveluiden omistajat tai muut vastuuhenkilöt on nimetty ja määritelty. 2 TIETOTURVATEHTÄVÄT JA VASTUUT Siilinjärven kunnassa tulee olla 2.1 Tietoturvasta vastaava henkilö, joka - Valmistelee tietoturvallisuuteen liittyviä kehittämishankkeita yhdessä muiden tietoturvaorganisaatioon kuuluvien henkilöiden kanssa. - Ohjeistaa tietoturvallisuusasiat ja huolehtii, että niistä tiedotetaan ja koulutetaan. - Vastaa tietoturvapoikkeamien seurannasta ja tilastoinnista. - Tiedottaa tietoturvallisuusasioista ja -ongelmista. - Valmistelee tietoturvaan liittyvän kommunikoinnin koko organisaation, sidosryhmien ja erityisesti esimiesten kanssa. - Vastaa tietoturvatietoisuuden ja osaamistason seurannan toteuttamisesta. - Osallistuu kunnan turvallisuus-, tietosuoja- ja tietoturva-asioiden kokonaisuuden koordinointiin tietoturvatyöryhmän jäsenenä. - Tiedottaa tietoturvallisuusasioista ja -ongelmista. - Raportoi tietoturvallisuudesta kunnan johdolle. - Osallistuu tietoturvapoikkeamista ilmoitettujen sanktioiden määrittelytyöhön.

12 Liite 1 Tietoturvallisuuden organisointi ja vastuut 2 (5) - Toimii tietoturvallisuuden asiantuntijana kunnan toiminta-alueella, tarvittaessa hankkii lisää asiantuntijapalveluita. - Valvoo, että tietoturvallisuusasiat on organisoitu kunnan toimipaikoissa ja yksiköissä. 2.2 Tietosuojavastaava (per määritelty toiminta-alue) - Huolehtii vastuulleen määritellyllä toiminta-alueella tietoturva- ja tietosuojaohjeiden olemassaolosta, saatavuudesta ja jakelusta. - Vastaa vastuulleen määritellyllä toiminta-alueella mahdollisesti tarvittavien tarkempien työyksikkökohtaisten tietosuoja- tai tietoturvaohjeiden laatimisesta, ajan tasalle saattamisesta ja hyväksyttämisestä. - Huolehtii tietoturvallisuusasioiden tiedottamisesta ja koulutuksesta hänelle määritellyllä toiminta-alueella. - Osallistuu koko henkilöstölle annettavan tietosuojakoulutuksen toteuttamiseen. - Toimii tietoturvallisuuden ja tietosuojan erityisasiantuntijana hänelle määritellyllä toiminta-alueella. - Tukee, ohjaa ja opastaa henkilökuntaa ja rekisteröityjä tietosuoja-asioissa. - Kehittää ja edistää tietoturvallisuutta organisaatiossa. - Osallistuu turvallisuus-, tietosuoja- ja tietoturva-asioiden kokonaisuuden koordinointiin tietoturvatyöryhmän jäsenenä. - Ylläpitää tilannetietoa vastuulleen määritellyllä toiminta-alueella käytettävistä henkilörekistereistä ja niiden keskeisimmistä suojausmenetelmistä. - Ylläpitää tilannetietoa vastuulleen määritellyllä toiminta-alueella käytettävien tietojärjestelmien lokien olemassaolosta, säilytyksestä, seurannasta ja käsittelystä. - Osallistuu organisaation henkilötietojen käsittelyä koskevaan suunnittelutoimintaan. - Toimii yhdyssiteenä valvontaviranomaisiin. - Raportoi määritellyn toiminta-alueen toimivalle johdolle ja tietoturvasta vastaavalle henkilölle oman näkemyksensä henkilötietojen suojausmenetelmien toimivuudesta, tietosuojan tilasta ja niiden kehittämistarpeista sekä tietosuojavastaavan toiminnasta. - Toteuttaa organisaation ja tietoturvaorganisaation johdon osoittamia muita tietosuojaa tukevia tehtäviä. - Seuraa ja valvoo tietosuojan yleistä toimivuutta ja rekisteriselosteiden (HetiL 10) laatimis- ja ylläpitovelvollisuuden toteutumista. 2.3 Tietoturvatyöryhmä - Koordinoi kunnan turvallisuus-, tietosuoja- ja tietoturva-asioiden kokonaisuutta. - Varmistaa, että tietoturvallisuusasiat on organisoitu kunnan eri yksiköissä. - Valvoo kunnan tietosuoja- ja tietoturvapolitiikan, tietoturvakäytäntöjen ja -periaatteiden sekä -suunnitelmien ja -ohjeiden laatimista, toteuttamista ja ajan tasalla pitämistä sekä myös osallistuu näiden asiakirjojen laatimiseen. - Ehdottaa tietoturvallisuuden kehittämishankkeita. - Jakaa tarpeen mukaan tietoturvatehtäviä muille organisaation henkilöille. - Koordinoi tietoturvallisuustoimenpiteitä ja mahdollistaa tarvittaessa yksiköille tietoturvallisuuden erityisasiantuntijuutta.

13 Liite 1 Tietoturvallisuuden organisointi ja vastuut 3 (5) - Ohjeistaa tietoturvallisuusasiat ja huolehtii, että niistä tiedotetaan ja koulutetaan. - Huolehtii tietoturvatietoisuuden ja osaamistason seurannan toteuttamisesta. - Seuraa tietoturvallisuustilannetta ja reagoi tarvittaessa havaittuihin ongelmiin ja uhkiin. - Valvoo, että yksiköt ovat tehneet jatkuvuussuunnitelmat infrastruktuurin ja keskeisten tietojärjestelmien osalta poikkeustilanteita varten. - Valvoo havaittujen tietoturvapoikkeamien kirjaamisen, raportoinnin ja käsittelyn toimivuutta. - Seuraa ja valvoo henkilötietojen käsittelyä, suojaamista ja suojausmenetelmiä. - Valvoo, että tietorekisterit ja tietojärjestelmät on luetteloitu ja luokiteltu. - Raportoi toiminnastaan ja tietoturvallisuudesta kunnan tietohallinnon ohjausryhmälle. 2.4 Arkistosta vastaava Arkistoinnista vastaavan henkilön johdolla toimivan arkiston vastuulla on varmistaa asiakirjojen käytettävyys, säilyminen ja lainmukainen säilyttäminen. Asiakirja- ja tiedonhallinnan suunnittelu ja toteutus tapahtuvat arkiston ja Tietotekniikkapalvelut -tulosalueen henkilöstön yhteistyönä huomioon ottaen sekä arkistotoimeen että tietoturvaan kohdistuvat vaatimukset. - Vastaa asiakirjojen käytettävyydestä ja lainmukaisesta säilyttämisestä. - Asiakirja- ja tiedonhallinnan suunnittelu ja toteutus yhdessä tietotekniikkapalvelut -tulosalueen henkilöstön kanssa. - Osallistuu organisaation tietoturvaan ja -suojaan liittyvien asioiden suunnitteluun ja kehittämiseen sekä ohjeiden laatimiseen ja ylläpitoon. - On tarvittaessa yhteydessä valvontaviranomaisiin. - Tietosuoja-asioiden ohjaus ja neuvonta (henkilökunta, asiakkaat). 2.5 Organisaation johto - Varmistaa ja vastaa siitä, että Siilinjärven kunnassa tunnistetaan, luetteloidaan ja tiedotetaan kunnan eri toimialojen keskeinen tietosuojaa ja tietoturvallisuutta koskeva lainsäädäntö. - Määrittelee tietoturvallisuusperiaatteet. - Varmistaa, että tietoturvallisuustavoitteet asetetaan ja tarvittavat tarkentavat suunnitelmat laaditaan kaikissa kunnan eri toimialojen organisaatioyksiköissä. - Määrittelee tietoturvallisuuteen liittyvät roolit ja vastuut sekä tietoturvallisuuden tarvitsemat resurssit. - Varmistaa, että organisaatiolla on edellytykset toimia poikkeus- ja kriisitilanteissa. - Viestii organisaatiolle tietoturvallisuustavoitteiden ja tietoturvapolitiikan lakisääteisten velvoitteiden noudattamisen ja jatkuvan parantamisen tärkeydestä. - Huolehtii riittävistä resursseista tietoturvallisuuden toteuttamiseen, ylläpitoon ja kehittämiseen. - Valvoo, että tietoturvallisuusasiat on organisoitu kunnan toimipaikoissa ja yksiköissä. - Päättää hyväksyttävästä riskitasosta. - Raportoi tietoturvallisuudesta osana kunnan sisäistä valvontaa. - Ryhtyy toimenpiteisiin väärinkäytöstapauksissa.

14 Liite 1 Tietoturvallisuuden organisointi ja vastuut 4 (5) 2.6 Yksiköiden esimiehet - Vastaavat yksiköidensä tietoturvallisuudesta ja siitä, että henkilöstö tuntee tietoturvallisuuden perusasiat. - Tukevat tietoturvan jatkuvaa ylläpitämistä ja kehittämistä. - Toteuttavat ja organisoivat tietoturvaorganisaation määrittelemät tietoturvallisuus- ja tietosuojatoimenpiteet yksikössään. - Suunnittelevat, budjetoivat ja organisoivat yksikkönsä tietoturvallisuustoimenpiteet. - Huolehtivat, että tietojärjestelmille on nimetty vastuuhenkilöt (pääkäyttäjät ja varapääkäyttäjät). - Hoitavat yksikkönsä yleiset tietoturvallisuusasiat. - Raportoivat tietoturvallisuusongelmista ja tietoturva- ja tietosuojarikkomuksista yksikkönsä johdolle. 2.7 Jokainen työntekijä Jokainen työntekijä vastaa omalta osaltaan tietoturvallisuuden toteutumisesta voimassaolevan lainsäädännön ja tietojenkäsittelystä annettujen ohjeiden mukaisesti. Jokaisen työntekijän tulee raportoida heti havaitsemistaan tahattomista tai tahallisista tietosuoja- tai tietoturvarikkomuksista turvallisuudesta linjavastuussa olevalle esimiehelle ja/tai kirjata havaintonsa tätä tarkoitusta varten suunniteltuun ja tiedotettuun raportointijärjestelmään. 2.8 Tietorekistereiden, tietojärjestelmien, laitteistojen ja palveluiden omistajat Kaikille tietorekistereille, tietojärjestelmille, ICT-laitteistoille ja kunnan omille ja ulkoistetuille ICT-palveluille on määritelty omistajat/vastuuhenkilöt, jotka määrittelevät ja vastaavat tietorekistereiden/tietojärjestelmien/laitteistojen/palvelujen palvelutasosta, käyttöoikeuksista, varmistamisesta, kehittämisestä ja hyväksikäytöstä. Tietojärjestelmän omistaja vastaa tietojärjestelmän tietoturvasta mm. tietojärjestelmän käyttämien eri rekistereiden oikeellisuudesta ja lainmukaisuudesta, kuten henkilötietolaissa mainitun rekisterinpitäjän velvollisuuksista. Omistaja vastaa tietoturvallisuudesta myös yksittäisen tietojärjestelmän toiminnan ja käytön osalta. an on laadittu jatkuvuussuunnitelma/ toipumissuunnitelma toiminnan jatkuvuuden turvaamiseksi normaaliolosuhteiden poikkeustilanteiden sekä eriasteisten poikkeusolojen varalle. Lisäksi kunkin kriittisen tietorekisterin/tietojärjestelmän/ laitteen/palvelun omistaja/vastuuhenkilö on velvollinen laatimaan ja ylläpitämään poikkeusolojen varautumissuunnitelmaa vastuullaan olevasta rekisteristä/tietojärjestelmästä/laitteesta/palvelusta.

15 Liite 1 Tietoturvallisuuden organisointi ja vastuut 5 (5) 2.9 Erityistä osaamista vaativat tietohallintotehtävät Siilinjärven kunnassa tietojärjestelmäpäällikön johdolla toimivalle yksikölle (Tietotekniikkapalvelut -tulosalueelle) on keskitetty tietohallintolaissa (634/2011 Laki julkisen hallinnon tietohallinnon ohjauksesta) osoitettuja erityistä osaamista ja koordinaatiota vaativia tietohallintotehtäviä. Tietohallintolaissa tietohallinnolla tarkoitetaan tukitoimintoa, jolla turvataan julkisten hallintotehtävien hoitaminen tieto- ja viestintäteknisiä menetelmiä ja keinoja hyväksikäyttäen. Siilinjärven kunnan Tietotekniikkapalvelut tulosalueen henkilöstö - Koordinoi tietojärjestelmien ja niiden käytön tietoturvan teknisen toteutuksen suunnittelua, toteutumista ja raportointia. - Toimii teknisenä asiantuntijana sekä antaa ja järjestää teknistä asiantuntemusta tietoturvaa koskevissa kysymyksissä. - Arvioi teknologisen ympäristön muuttuessa mahdollisesti syntyneen tarpeen suojaamismenettelyiden, kontrollien ja testaamisen ajantasaisena pitämiseen sekä kehittämiseen ja tarvittavien muutosten suunnittelun toteutukseen. - Valvoo tietoturvatoimenpiteiden teknistä toteuttamista ja tietoturvakontrollien toteutusta (esim. Palomuurien ja virustorjunnan ylläpito, roskapostisuodatus, tietoturvatapahtumien seuranta). - Vastaa organisaation tietoteknisten toimenpiteiden toteutuksesta.

16 Liite 2 Tietoturvallisuuden osa-alueet 1 (7) LIITE 2 TIETOTURVALLISUUDEN OSA-ALUEET 1 JOHDANTO Liitteessä 2 määritellään Siilinjärven kunnan tietoturvallisuuden perustaso, jota kunnan kaikessa toiminnassa vähintään tavoitellaan. 2 TIETOTURVALLISUUDEN OSA-ALUEET 2.1 Hallinnollinen turvallisuus Hallinnollisella tietoturvallisuudella tarkoitetaan tietoturvallisuustoiminnan järjestelyjen, henkilöstön tehtävien ja vastuiden sekä ohjeistuksen, koulutuksen ja valvonnan muodostamaa kokonaisuutta. Sen tarkoituksena on luoda organisaatioon tietoturvastrategia ja tietoturvalliset toimintatavat luonnolliseksi osaksi kaikkea toimintaa. Toimintamallien pohjalta luodut henkilöstön koulutusjärjestelyt sekä ohjeistus-, valvonta- ja tarkastusmenettelyt ovat välttämättömiä tietoturvallisuuden kehittämiseksi ja ylläpitämiseksi. Tietoturvan kehittäminen ja ylläpito ovat puolestaan osa organisaation yleistä turvallisuustoimintaa, riskien hallintaa ja sisäistä valvontaa. Siilinjärven kunnan hallinnollisen turvallisuuden perustaso edellyttää, että - Organisaation tietoturvaperiaatteet on hyväksytty. - Tietoturva- ja toipumissuunnitelmat on laadittu. - Tietoturvakoulutus on organisaatiossa jatkuvaa ja systemaattista. - Tietoturvavastuut ja -tehtävät on määritelty. - Tietoturvatehtäviin on nimetty vastuuhenkilöt ja heille varahenkilöt. Hallinnollinen tietoturvallisuus on kaikkien muiden tietoturvallisuuden osa-alueiden toteutuksen ja määrittelyn perusta. Sen avulla määritellään tietoturvallisuuden suuntaviivat ja turvallisuutta parantavat toimenpiteet. Palveluja ulkoistettaessa palvelun toimittajia vaaditaan noudattamaan kunnan tietosuojaja tietoturvapolitiikkaa, tähän liittyviä käytäntöjä sekä ohjeita. Sopimuksissa turvataan jatkossa ulkoistettujen palvelujen auditointimahdollisuus. Hallinnollisessa tietoturvassa päämääränä on luoda organisaatioon toimintatapa, jolla pystytään välttämään tietoturvariskit. Riskejä tunnistetaan, hallitaan ja hyväksytään kunnassa erikseen määritellyn ja kuvatun ohjeen mukaisesti.

17 Liite 2 Tietoturvallisuuden osa-alueet 2 (7) 2.2 Ohjelmistoturvallisuus Ohjelmistoturvallisuudella tarkoitetaan käyttöjärjestelmien, varus- ja työkaluohjelmistojen sekä muiden ohjelmistojen ja sovellusten tunnistautumis- ja suojausominaisuuksia, valvonta- ja lokimenettelyjä sekä ohjelmistojen määrittelyyn, suunnitteluun, kehittämiseen ja hankintaan sekä ylläpitoon ja päivitykseen liittyviä turvallisuustoimenpiteitä (mm. versiointi, lisensointi ja muutoksenhallinta). an hankittaville ohjelmistoille ja tietojärjestelmille on asetettu tietoturvallisuuteen ja yhteensopivuuteen liittyvät vaatimukset. Nämä on kuvattu tietosuoja- ja tietoturvapolitiikassa ja muissa organisaation toiminnan vaatimuksia kuvaavissa dokumenteissa. Hankinnoissa on syytä asettaa etusijalle järjestelmät, jotka toteuttavat kansallisesti tai kansainvälisesti määriteltyjä standardoituja toiminnallisuuksia tai rajapintoja. Hankinnoissa tulee huomioida toiminnalle ja käsiteltävälle tiedolle asetetut lainsäädännölliset ja kansalliset vaatimukset. Ohjelmiston suunnittelijan, valmistajan ja myyjän vastuu ohjelmistotuotteista määräytyy hankinta- ja käyttöoikeussopimusten mukaan. Siilinjärven kunnan ohjelmistoturvallisuuden perustaso edellyttää, että - Kunnan tietojärjestelmien ylläpidosta huolehditaan ohjelmistotoimittajien kanssa tehtyjen ylläpitosopimusten mukaisesti. - Ohjelmistotoimittajilta vaaditaan tuotteeseen sisältyvien tietoturva- /tietosuojamekanismien selvitys/kuvaus sekä tarvittaessa poikkeusolojen ict -valmiussuunnitelma (toiminta ulkoistetun ict-palvelun toimivuudesta poikkeusoloissa/sopimukset). - Järjestelmämuutoksia varten järjestelmän omistaja kartoittaa käyttäjien toiveet, vie tulevat muutokset muutoksenhallinta käsittelyyn sekä tekee testaussuunnitelman ja -aikataulun. - Järjestelmän omistaja vastaa hankittavan ohjelmiston tai ohjelmistomuutoksen/- päivityksen testauksen suunnittelusta ja toteutuksesta sekä kriteereistä, joilla testaus katsotaan hyväksytyksi. - Tietoturvapäivityksien kriittisyys arvioidaan riskianalyysin mukaisesti ja päivitykset toteutetaan hätä-, standardi- tai normaalimuutoksena. Siilinjärven kunnassa on määritelty ohjelmistojen käyttöön liittyvät velvollisuudet: - Ohjelmiin kuuluvat alkuperäiset dokumentit ja/tai käsikirjat on talletettu huolellisesti ja niiden sijainti on tiedossa. - Kaikki ohjelmamuutokset/päivitykset käsitellään organisaation muutostenhallintaprosessin mukaisesti.

18 Liite 2 Tietoturvallisuuden osa-alueet 3 (7) - Ohjelmien kopioinnissa noudatetaan tekijänoikeuslakia ja lisensseistä pidetään kirjaa. - Keskuskoneilla varmuuskopiointi on sovittu järjestelmäkohtaisesti ja kopioinnista, säilytyksestä ja varmuuskopioiden palautuksen testaamisesta vastaa palvelun suorittava toimija/operaattori. Ohjeet ohjelmistojen käytöstä työasemilla: - Työasemien ja päätelaitteiden ns. vakioitujen ohjelmistojen (esimerkiksi päätelaitteen käyttöjärjestelmä, toimisto-ohjelmat, internet-selain, sähköposti, virustorjunta, laitteen etähallinta) elinkaaren hallinta ja hankintojen koordinointi on keskitetty kunnan tietotekniikkapalvelut -tulosalueelle. Tietotekniikkapalvelut -tulosalueen henkilöstö hyväksyy kaikki työasemille ja muihin päätelaitteisiin asennettavat vakioidut ohjelmat. - Työasemiin ja päätelaitteisiin asennettavien muiden kuin vakioitujen sovellusten hankinta, asennus ja käytön suunnittelu tulee tapahtua yhteistyössä kyseisen liiketoiminta-alueen (organisaatioyksikön) edustajien ja kunnan tietotekniikkapalveluttulosalueen henkilöstön edustajien kanssa. - Työasemiin ja päätelaitteisiin hankittavien sovellusten tulee olla yhteensopivia kunnassa valittujen, hyväksyttyjen ja käytössä olevien ICT-teknologioiden kanssa. - Ohjelmien asennusmediat, samoin kuin niiden kopiot, säilytetään tietoturvaohjeiden mukaisesti. - Työasemien käyttäjien tulee noudattaa tietojen käsittelyssä tietojen luonteelle ja sisällölle asetettuja vaatimuksia sekä organisaation omia ohjeistuksia tietojen tallentamisesta ja varmuuskopioinnista. - Internetin tallennuspalveluiden (pilvipalveluiden) käytöstä työhön liittyvien tietojen tallennuspaikkana päättää ja vastaa kyseisen tiedon tai rekisterin omistaja, sovittuaan asian ensin kunnan tietotekniikkapalvelut -tulosalueen edustajan kanssa. Sallitut (pilvi)tallennuspaikat dokumentoidaan sekä ohjeistetaan ja tiedotetaan käyttäjille sekä tietoturvasta vastaavalle henkilölle. Pilvipalvelun käyttö tallennuspaikkana ei saa olla ristiriidassa tietosuojaa, tietoturvaa tai tekijänoikeuksia määrittelevän lainsäädännön kanssa. Tavoitteena on varmistaa tietojärjestelmien jatkuva toiminta ja luotettavuus. 2.3 Tietoaineistoturvallisuus Tietoaineistoturvallisuudella tarkoitetaan eri tallennusmuodoissa olevien tietojen suojaamista. Se koskee sekä paperiasiakirjoja että digitaalisessa muodossa olevia tallenteita, optisia ja magneettisia muistivälineitä, mikrofilmiä, äänitteitä tai muita vastaavia teknisiä laitteita. Tietoaineistoturvallisuudella varmistetaan asiakirja- ja tietoaineistojen käytettävyys, oikeellisuus, eheys, luottamuksellisuus ja salassapito elinkaaren kaikissa vaiheissa. Tietoaineistoturvallisuuteen kuuluvat ne ulkoiset normit, jotka rajoittavat tai ohjaavat tietosisällön perusteella tehtävää tietojenkäsittelyä, kuten yleiset ja/tai erityisalan lait, asetukset, viranomaismääräykset ja kansallisarkiston ohjeet. Lisäksi tietoaineiston käsittelystä tarvitaan organisaatiokohtaiset ohjeet, johon kuuluvat tietojärjestelmien

19 Liite 2 Tietoturvallisuuden osa-alueet 4 (7) käsittelysäännöt sekä tietojen ja asiakirjojen luokittelu julkisuus- ja salassapitosäännösten mukaisesti. Siilinjärven kunnalla tulee olla ajantasainen, kaikki tietoaineistot kattava arkistonmuodostussuunnitelma, josta ilmenee tietoaineiston käsittelysäännöt tietojen synnystä niiden tuhoamiseen asti, turvaluokitus sekä eheyden ja käytettävyyden varmistaminen aineiston elinkaaren kaikissa vaiheissa. Luokitellun tiedon käsittelyssä huomioidaan eri turvaluokkien edellyttämät suojaustoimenpiteet. Siilinjärven kunnan johto vastaa henkilöstön perehdyttämisestä tietoaineistojen käsittelyohjeisiin. Tietoaineistojen tietoturvallisuuden varmistaminen koskee koko henkilöstöä ja tietoaineiston koko elinkaarta. Siilinjärven kunnan tietoaineistoturvallisuuden perustason edellytyksenä on, että henkilöstö tuntee ja noudattaa toiminnassaan - Henkilötietojen käsittelyä koskevia yleisiä periaatteita. - Yksikkönsä toimintaa ohjaavia ja/tai rajoittavia normeja. - Tietojärjestelmän sisältämän tietoaineiston käsittelyä koskevia turvasääntöjä. - Tietojen ja asiakirjojen luokittelusääntöjä. Kaikkia Siilinjärven kunnassa työskenteleviä koskee vaitiolovelvollisuus ja salassapitosäännökset. Luottamuksellisia tietoja voivat käsitellä vain henkilöt, jotka tarvitsevat niitä työssään. Tietoja säilytetään ja vanhentuneet tiedot hävitetään arkistonmuodostussuunnitelman mukaisesti. Huoltoon vietävästä, poistettavasta tai myyntiin luovutettavasta työasemasta poistetaan tai puhdistetaan kiintolevy tai muu vastaava muistiväline aina ohjeen mukaisesti. Kokeilukäytössä olleen teknisen laitteen palautuksen yhteydessä huolehditaan tietojen poistamisesta laitteelta ohjeen mukaisesti. 2.4 Käyttöturvallisuus Käyttöturvallisuus koostuu järjestelmien turvallisista käyttöperiaatteista, tiedonkäytön valvonnasta sekä jatkuvuuden turvaamisesta. Käyttöturvallisuuden avulla luodaan ja ylläpidetään tietotekniikan turvallisen käytön vaatimat olosuhteet huolehtimalla tekniikan toimivuuden valvonnasta, käyttöoikeuksista, käytön ja lokien valvonnasta, ohjelmistotuesta, ylläpito-, kehittämis- ja huoltotoimintoihin liittyvistä turvallisuustoimenpiteistä, varmuus- ja suojauskopioinnista sekä häiriöraportoinnista. Periaatteena on luoda sellaiset menettelytavat, joilla päivittäisessä toiminnassa säilytetään tietojärjestelmien käytössä tietoturvallisuuden taso mahdollisimman hyvänä sekä asiakkaan että työntekijän kannalta.

20 Liite 2 Tietoturvallisuuden osa-alueet 5 (7) Siilinjärven kunnassa käyttöturvallisuuden perustaso edellyttää, että organisaatiossa: - On hyväksytyt asiakirjojen suojelusuunnitelmat sekä tietojenkäsittelyn toipumis- ja valmiussuunnitelmat. - On tietorekistereille ja -järjestelmille nimetyt omistajat ja vastuu- ja varahenkilöt. - On olemassa päivittäin hoidettavien rutiinitehtävien ohjeistukset. - On olemassa varasuunnitelmat käyttökatkoksia varten. - Noudatetaan turvallisuusohjeita ja käyttöoikeuskäytäntöjä. - Tietojärjestelmiä käyttävät henkilöt tunnistetaan ja todennetaan. - On käytössä käyttäjätunnus-, salasana-, toimikortti- ja pin-koodi -menettelyt. - On ohjeistus tietokonevirusten ja haittaohjelmien torjuntaan. - Varmistetaan ja valvotaan suojausten riittävyys väärinkäytösten ennaltaehkäisemiseksi ja paljastamiseksi. - Varmistetaan tiedostojen sisältöjen käyttökelpoisuus ja tietojen saatavuus. - Varmistetaan ICT-ohjelmien huollon ja ylläpidon saatavuus. - Varmistetaan kannettavien työasemien tietosisällön turvaaminen salausohjelmistolla. - Seurataan verkon tietoturvallisuustasoa säännöllisesti. - Suoritetaan tietoturvapäivitykset viivytyksettä. - Seurataan verkon liikennettä, komponenttien tilaa ja verkkoon tunkeutumista ympärivuorokautisesti sekä toteutetaan poikkeuksellisen liikenteen vaatimat toimenpiteet viivytyksettä. 2.5 Laitteistoturvallisuus Laitteistoturvallisuudella tarkoitetaan laitteistojen suojausta, asennusta, ylläpitoa ja poistoa sekä niihin liittyvää hallinnointia, jossa määritellään laitteiden omistaja ja turvaluokka sekä laitteiden valvonta ja niiden kapasiteettien suunnittelu. Ylipäätään laitteistoturvallisuudella turvataan laitteiston elinkaarta, johon myös kuuluvat asennuksen, takuun ja ylläpidon lisäksi erilaiset tukipalvelut ja -sopimukset sekä laitteiston turvallinen poisto elinkaaren lopussa. Siilinjärven kunnassa laitteistoturvallisuuden perustasossa edellytetään, että: - Tietoverkot, ICT-laitteistot ja terveydenhuollon tutkimuslaitteistot on dokumentoitu ja niistä on laadittu toipumissuunnitelmat riskianalyysin pohjalta. - Varajärjestelmien käytettävyys poikkeusoloissa on varmistettu. - Laitteistojen fyysisen kunnon varmistamiseksi laadittuja ohjeita noudatetaan. - Huolto- ja ylläpitosopimukset ovat ajan tasalla ja vastaavat käytettävyysvaatimuksia. - Jokaisella laitteella on omistaja, joka vastaa laitteesta. - Laitteet on soveltuvin osin turvamerkitty. - Laitteista on olemassa laiterekisteri. - Kaikki laitteet kuuluvat johonkin turvaluokkaan. - Tietojenkäsittelykapasiteettia seurataan, suunnitellaan ja ennakoidaan. - Laitteistojen poistamisesta on kirjalliset ohjeet ja ne vastaavat laitteistojen turvaluokitusta.

21 Liite 2 Tietoturvallisuuden osa-alueet 6 (7) - Laitteistoilla on ajantasainen suojaus haittaohjelmia varten. - Laitteiden tietoturvapäivityksille on olemassa dokumentoitu prosessi. 2.6 Fyysinen turvallisuus Fyysisin turvallisuustoimenpitein luodaan ja ylläpidetään tietotekniikan vaatiman käyttöympäristön toimintaolosuhteet ja suojataan ja valvotaan kiinteistö, sekä varmistetaan teknisten järjestelmien toiminta. Fyysinen turvallisuus käsittää kiinteistöjen rakenteellisen turvallisuuden, valvontatekniikan kuten kulunvalvonta-, rikosilmoitus- ja videovalvontajärjestelmät sekä valvonnan ja vartioinnin. Fyysisen turvallisuuden lähtökohta on organisaation laatima riskianalyysi. Siilinjärven kunnan fyysisen turvallisuuden perustaso edellyttää, että: - Kiinteistön toimitilat on luokiteltu turvallisuusvyöhykkeisiin. - Fyysisten tilojen suunnittelussa otetaan huomioon tietosuoja-, tietoturva- ja työturvallisuusnäkökohdat. - Tietoturvan kannalta oleelliset tilat pidetään lukittuna. - Toimitilojen turvallisuus on hoidettu vartioinnilla, teknisillä hälytysjärjestelmillä tai vastaavilla toimenpiteillä. - Korotetun suojaustason tiloissa tulee olla kulunvalvonta ja kulkuoikeudettomilla henkilöillä saattaja. - Palvelinlaitteistot on keskitetty erityisiin atk-tiloihin, joiden rakentamisessa on noudatettu em. Tiloja koskevia ohjeita. - Tutkimuslaitteistot, verkon komponentit, kytkentätilat, työasemat ja muut automaattista tietojenkäsittelyä suorittavat laitteen on sijoitettu ja suojattu luokituksensa mukaisesti. - Kriittisille laitteistoille on tehty toipumissuunnitelma ja toipumissuunnitelma on koestettu. - Varmuuskopiot on sijoitettu fyysisesti eri palotiloihin. - Kaapeloinnit suoritetaan voimassa olevan yleiskaapelointiohjeen mukaisesti. - Paikallisverkon käytönvalvonta on järjestetty. - Paikallisverkolle on tehty toipumis- ja valmiussuunnitelmat. 2.7 Tietoliikenneturvallisuus Tietoliikenneturvallisuus käsittää tiedonsiirtoyhteyksien käytettävyyteen, tiedonsiirron suojaamiseen ja salaamiseen, käyttäjän tunnistamiseen ja verkon varmistamiseen liittyvät turvallisuustoimenpiteet. Tietoliikenneturvallisuus voidaan jakaa kolmeen osa-alueeseen joita ovat; järjestelmänhallinta, verkonhallinta sekä siirtoteidenhallinta. Tavoitteena on estää luvaton tunkeutuminen järjestelmiin tietoverkon kautta, paljastaa tunkeutumisyritykset, estää siirrettävän tiedon joutuminen sivullisten haltuun ja tarvittaessa estää sen käyttö sekä estää väärän tiedon syöttö tietojärjestelmiin.

22 Liite 2 Tietoturvallisuuden osa-alueet 7 (7) Siilinjärven kunnan tietoliikenneturvallisuuden perustaso edellyttää, että: - Tietoverkot on dokumentoitu ja niiden muutokset tapahtuu muutoksenhallintamenettelyn mukaisesti. - Tietoihin ja tietojärjestelmiin pääsy on tarkoin määritelty. - Käyttöoikeudet tarkistetaan säännöllisesti ja käyttöoikeustasot on määritelty. - Luvaton käyttö on estetty teknisesti. - Tietoliikennelokia ja käyttöhäiriöitä seurataan säännöllisesti. - Noudatetaan työasemiin asennettavien varus-, sovellus- ja tietoliikenneohjelmien osalta annettuja ohjeita. - Varmistetaan tietoliikenneohjelmien ja -laitteiden turvallisuus ja luottamuksellisten tietoliikenneviestien sisällön muuttumattomuus. - Luottamuksellisten viestien lähettäjä ja vastaanottaja todennetaan. - Tietosuoja- ja vastuukysymykset omassa verkossa sekä eri tietoliikenneoperaattoreiden ja huollon välillä on sovittu kirjallisesti. - Langaton (Wlan/Wi-Fi) -tietoverkko suojataan käyttäen riittävän vahvaa salausta ja tukiasemien välistä kryptausta. - Verkon komponenttien tietoturvapäivitykset suoritetaan viivytyksettä. - Eri turvatasojen verkot on tunnistettu ja verkot eriytetty. - Verkon aktiivilaitteet on suojattu ja konfiguroitu suojaustason mukaisesti. - Kriittiset tietoliikenneyhteydet on kahdennettu. - Tietoverkoissa on mekanismi tunkeutumisen estoa ja havainnointia varten. - Etäkäyttöyhteyksien tietoturvan taso pitää olla käytettyjen järjestelmien luokituksen mukainen (esim. Sähköpostiin ei ehkä tarvita vahvaa tunnistautumista, potilastietojärjestelmiin tarvitaan). - Käyttöoikeuksien valtuuttamiseen, muutoksiin ja poistamisiin on dokumentoitu prosessi. 2.8 Henkilöstöturvallisuus Henkilöstöön liittyvien riskien hallintaa kutsutaan henkilöstöturvallisuudeksi. Sen tavoitteena on ehkäistä henkilökuntaan suuntautuvia ja henkilökunnasta tulevia uhkia. Näitä riskejä voidaan torjua turvakartoituksilla, vastuun ja velvollisuuden selkeällä määrittämisellä, selkeillä ohjeilla toimenpiteistä kun työsuhde päättyy ja sitouttamalla henkilö tietoturvalliseen toimintaan. Lain yhteistoimintamenettelystä yrityksissä (334/2007) tavoitteena on edistää yrityksen ja sen henkilöstön välistä vuorovaikutusta. Yhteistyötoimikunta muodostuu työntekijöiden ja työnantajan edustajista. Tietoturvaan liittyvät ohjeet, sopimukset ja sanktiosäännökset on hyvä saattaa yhteistyötoimikunnan tiedoksi ja myös hyväksyttää ne siellä.

23 Liite 3 Hyväksytyn ICT-käytön periaatteet 1 (1) Tietotekniikkapalvelut kh pp LIITE 3 HYVÄKSYTYN ICT-KÄYTÖN PERIAATTEET 1. En luovuta kenellekään henkilökohtaisia käyttäjätunnuksiani tai niiden salasanoja tai muita sähköisiä henkilötunnisteitani, henkilökortteja tai niiden tunnuslukuja. 2. Vastaan yksin henkilökohtaisilla tunnuksillani tehdyistä töistä. 3. Käytän yhteisiä käyttäjätunnuksia tai käyttöoikeuksia vain siten, kuin esimieheni on minua niiden käytöstä ohjeistanut (esim. Windows-työaseman kimppatunnus tai ryhmäsähköpostilaatikko). 4. Käytän minulle luovutettuja käyttöoikeuksia, tietojärjestelmiä ja laitteita vain työtehtävien hoitamiseen, työroolini mukaisesti, ellei siitä ole erikseen työnantajan kanssa muuta sovittu (ks. alla kohta 10 ja 11). 5. Käytän tietojärjestelmiä ja tietorekistereiden sisältämiä tietoja huolellisesti sekä noudatan niiden käytöstä annettuja lakeja, ohjeita tai muita määräyksiä. 6. En lähetä salassa pidettävää tietoa suojaamattoman sähköpostin kautta. En myöskään talleta salassa pidettävää tietoa internetin (pilvi)palveluihin ennen kuin palvelun käyttölupa on minulle annettu ja palvelun käyttö on minulle ohjeistettu. 7. Lähettäessäni luottamuksellisen sähköisen viestin suojatun palvelun avulla varmistan aina viestin vastaanottajan henkilöllisyyden (todennan vastaanottajan). 8. Suljen tai lukitsen henkilökohtaisilla tunnuksillani avatun tietokoneohjelman tai pääteistunnon aina, mikäli käyttämäni päätelaite ei ole koko ajan näköpiirissäni ja välittömässä valvonnassani. 9. Käytän ja säilytän käyttööni luovutettuja päätelaitteita ja muita sähköisiä muistivälineitä huolellisesti ja vastuullisesti, enkä koskaan luovuta niitä perusteettomasti muiden käyttöön, haltuun tai tutkittavaksi. En koskaan muuta käyttööni luovutetun päätelaitteen ominaisuuksia tai toiminnallisuuksia vastoin niiden käytöstä annettuja ohjeita. Päätelaite voi olla esimerkiksi työasema, kannettava tietokone, tablettietokone, älypuhelin, matkapuhelin tai muu internet-laite. Sähköinen muistiväline voi olla esimerkiksi USB-muistitikku, digitaalikamera, ulkoinen levyasema tai muu sähköinen tallennusmedia. 10. Työaikana voin käyttää työnantajan minulle luovuttamaa päätelaitetta ja/tai henkilökohtaisia käyttöoikeuksiani henkilökohtaisten asioitteni hoitamiseksi vain vähäisessä määrin. 11. Työajan ulkopuolella käytän työnantajan minulle luovuttamaa päätelaitetta tai henkilökohtaisia käyttöoikeuksiani vain siten, kuin niistä on erikseen ohjeistettu (esim. älypuhelin, kannettava tietokone, tablettietokone tai työpaikan sähköpostipalvelu). 12. Käytän omia tai muita kolmannen osapuolen päätelaitteita työasioiden hoitamiseksi vain niissä tilanteissa, missä se on erikseen ohjeistettu ja sallittu; esim. sähköpostin tai intranetin lukemiseen kotikoneellani. 13. En koskaan tallenna minulle luovutettujen käyttäjätunnusten salasanaa tai muuta saamaani tunnuslukua pysyvästi päätelaitteeseen, joka ei ole työnantajan omistama tai minulle luovuttama, kuten esimerkiksi kotikoneeni internet-selaimeen tai kotipuhelimeni sähköpostiohjelmaan. 14. Ymmärrän, että internetin käyttöön liittyy lukuisia uhkatekijöitä (kyberuhkia). Ennaltaehkäisen noita uhkatekijöitä parhaan kykyni mukaan. Uhkatekijöitä ovat esimerkiksi sosiaalinen hakkerointi tai muu tietojen kalastelu, sähköpostin liitetiedostot tai www-linkit (virukset, haittaohjelmat), roskapostit, virheellisen tai vääristyneen informaation levittäminen internetissä (trollaus) ja identiteettivarkaudet. 15. Raportoin viipymättä havaitsemastani tahattomasta tai tahallisesta näiden periaatteiden vastaisesta toiminnasta omalle esimiehelleni ja/tai raportointia varten tarjolla olevaan raportointipalveluun. 16. Ymmärrän ja hyväksyn sen, että näiden periaatteiden vastainen toiminta tutkitaan ja käsitellään siten kuin asiasta on erikseen säädetty ja ohjeistettu.

24 Liite 4 Lainsäädäntö 1 (1) Tietotekniikkapalvelut kh pp LIITE 4 LAINSÄÄDÄNTÖ Tietosuoja ja -turva perustuu viranomaisten toiminnan julkisuudesta annetun lain ja asetuksen lisäksi useisiin eri lakeihin. Yksityiselämän suoja ja julkisuusperiaate ovat jo perustuslaissa säädeltyjä perusoikeuksia. Tietoturvaa, tietosuojaa ja sähköistä viestintää käsittelevistä laeista kaikista tärkeimpiä ovat: - Arkistolaki (831/1994) (Asiakirjojen laatiminen, säilyttäminen ja käyttö) - Laki viranomaisten toiminnan julkisuudesta (621/1999) - Henkilötietolaki (523/1999) (Henkilötietojen käsittelyä koskevat yleiset periaatteet) - Laki yksityisyyden suojasta työelämässä (759/2004) - Sähköisen viestinnän tietosuojalaki (516/ Perustuslaki (731/1999) o 2:10 Yksityiselämän suoja (Luottamuksellisen viestin salaisuus). o 2:12 Sanavapaus ja julkisuus (Viranomaisten hallussa olevien asiakirjojen ja tallenteiden julkisuus) - Rikoslaki (39/1889, muutoksineen) o 34:9a (Vaaran aiheuttaminen tietojenkäsittelylle) o 38:1-2 (Salassapitorikos ja -rikkomus) o 38:8 (Tietomurto) o 38:9 1. kohta (Henkilötietorikos) o 40:5 (Virkasalaisuuden rikkominen) Edellä mainittujen lakien lisäksi on olemassa lukuisia muita erityislakeja, jotka koskevat aina jotakin viranomaistoiminnan erityisalaa, näistä muutamia keskeisimpiä ovat esimerkiksi: - Laki kunnallisesta viranhaltijasta (304/2003) - Työsopimuslaki (55/2001) - Vahingonkorvauslaki (41/1974) - Terveydenhuoltolaki (1326/2010) - Laki terveydenhuollon ammattihenkilöistä (559/1994) - Potilasasiakirja-asetus (298/2009) - Laki sähköisestä lääkemääräyksestä (61/2007) - Laki potilaan asemasta ja oikeuksista (785/1992) (Potilasasiakirjojen salassapito) - Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) - Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000) Yllä oleva luettelo ei ole kattava, vaan ainoastaan suuntaa antava.