SIILINJÄRVEN KUNTA Tietosuoja- ja tietoturvapolitiikka Versio:
|
|
- Sanna-Kaisa Kähkönen
- 7 vuotta sitten
- Katselukertoja:
Transkriptio
1 SIILINJÄRVEN KUNTA Tietosuoja- ja tietoturvapolitiikka Versio: menossa kunnanhallitukseen
2
3 Sisältö 1 KÄSITTEITÄ JOHDANTO Kohderyhmä Tavoitteet ja vaatimukset toiminnalle SUOJATTAVAT KOHTEET TIETOTURVALLISUUDEN ORGANISOINTI TIETOTURVALLISUUDEN PERUSTASON MÄÄRITTELY Tärkeimmät hallinnolliset tietosuoja- ja tietoturvatoimet Tärkeimmät teknisluonteiset tietoturvatoimet Tietoturvallisuuden osa-alueet Hyväksytyn ICT-käytön periaatteet LAINSÄÄDÄNTÖ... 6 LIITE 1 TIETOTURVALLISUUDEN ORGANISOINTI JA VASTUUT LIITE 2 TIETOTURVALLISUUDEN OSA-ALUEET LIITE 3 HYVÄKSYTYN ICT-KÄYTÖN PERIAATTEET LIITE 4 LAINSÄÄDÄNTÖ
4
5 1 (24) 1 KÄSITTEITÄ Tietosuojalla tarkoitetaan toimenpiteitä, joiden tarkoituksena on suojata henkilön yksityisyys henkilötietojen käsittelyssä. - Tietojen valtuudettoman saannin ja käytön estäminen. - Tietojen luottamuksellisuuden säilyttäminen. Tietoturvalla tarkoitetaan niitä hallinnollisia ja teknisiä toimenpiteitä, joilla varmistetaan tiedon luottamuksellisuus, kiistämättömyys ja eheys, järjestelmien käytettävyys sekä rekisteröidyn oikeuksien toteutuminen. Tietojen luottamuksellisuutta, kiistämättömyyttä, eheyttä ja käytettävyyttä turvataan laitteisto- ja ohjelmistovikojen, luonnontapahtumien sekä tahallisten, tuottamuksellisten tai tapaturmaisten tekojen aiheuttamilta uhilta ja vahingoilta. Tietoturvataso on organisaatiossa toteutettavan tietoturvallisuuden hallinnan kypsyystaso. Valtiovarainministeriön mukaan kuntaorganisaation tulee täyttää vähintään perustaso. Palvelujen tuottajilta edellytetään myös vähintään tietoturvallisuuden perustaso esimerkiksi sopimuksissa. Korotetun tietoturvan tasoa edellytetään mm. sosiaali- ja terveydenhuollon tietojärjestelmissä. Tämän asiakirjan eri osa-alueissa on linjattu, mitä kuuluu tietoturvan perustasolle. Kyberturvallisuus on tietoturvallisuuden alalaji, jolla pyritään sähköisen ja verkotetun yhteiskunnan turvallisuuteen. Kyberturvallisuuteen varautuminen tarkoittaa mm. sitä, että kriittisten toimintojen ja tietojärjestelmien osalta on tehty varautumis- ja riskienhallintasuunnitelma. Kriittisiä tietojärjestelmiä ovat asiakas- ja potilastietojärjestelmät, talous- ja henkilöstöhallinnon tietojärjestelmät sekä kuntalaisten päivittäiseen hyvinvointiin keskeisesti vaikuttavat järjestelmät kuten vesi- ja energiahuollon järjestelmät. Tietojen turvaamisen kannalta erityisen tärkeitä tietovarantoja ovat väestörekisteri, potilastietorekisterit, sosiaalitoimen rekisterit, asiakastietorekisterit sekä muut sosiaali- ja terveydenhuollon valtakunnalliset rekisterit. Tietojärjestelmällä tarkoitetaan koneiden, laitteiden, ohjelmistojen, tiedonsiirtojärjestelmien, tietovarantojen/ -rekistereiden, fyysisten tilojen, ihmisten, ohjeiden ja sääntöjen muodostamaa kokonaisuutta, joka on suunniteltu ja rakennettu toteuttamaan tai palvelemaan ennalta suunniteltua tehtävää/prosessia/tavoitetta. Tietojärjestelmä ei siis ole pelkästään yksi yksittäinen tietokoneohjelma. Lyhenteellä ICT, Information and Communication Technology, tarkoitetaan tieto- ja viestintäteknikkaa, mukaan lukien langattomat matkapuhelinverkot ja lähiverkot ja niissä tarjotut palvelut.
6 2 (24) 2 JOHDANTO Tietoturvalla estetään tietojen luvaton käyttö ja haltuunotto. Tietojen ja tietojenkäsittelyn turvaaminen on olennainen osa Siilinjärven kunnan toimintaa. Tällä asiakirjalla ohjeistetaan ja yhdenmukaistetaan Siilinjärven kunnan vastuualueen tietosuoja- ja tietoturvakäytännöt. Siilinjärven kunnalle on erityisen tärkeää, että asiakas voi luottaa siihen, että hänen tietonsa ovat turvassa, oikeita ja vain asiakassuhteen hoitoon osallistuvien saatavissa ja että tietoja käsitellään kaikissa vaiheissa asianmukaisesti. Tietojenkäsittely perustuu asiakas- tai hoitosuhteeseen tai muuhun asialliseen yhteyteen, jonka perusteena on virkatai työtehtävien hoito. Luottamuksellisuus ja yksityisyyden suoja painottuvat myös henkilöstöasioiden käsittelyssä. Tämä asiakirja on Siilinjärven kunnan tietosuojaan ja tietoturvaan liittyvä kaikista ylimmän tason asiakirja, jolla ohjataan Siilinjärven kunnan tietosuoja- ja tietoturvakäytäntöjä. Siilinjärven kunnan tietosuoja- ja tietoturvapolitiikkaa täydentävät yksikkökohtaiset määräykset ja ohjeet sekä tietoturvaan liittyvät muut mahdolliset politiikat, esimerkiksi sähköpostin tai internetin käyttöpolitiikka. Nämä muut politiikat täydentävät tätä ylimmän tason politiikkaa aina joltakin rajatummalta alueelta. 2.1 Kohderyhmä Siilinjärven kunnan jokaisen viranhaltijan, työntekijän ja luottamushenkilön sekä toimintayksikön tietojen ja tietojärjestelmien käyttäjän on tunnettava tämä tietosuoja- ja tietoturvapolitiikka ja noudatettava sitä tai sen perusteella annettuja muita ohjeita ja määräyksiä. Tämä politiikka koskee lisäksi myös Siilinjärven kunnan palveluksessa ei-työsuhteessa olevia henkilöitä, kuten esimerkiksi ammatillisiin opintoihin liittyviä työharjoittelijoita tai muita vastaavia, muun kuin työsopimuksen perusteella Siilinjärven kunnan hyväksi työskenteleviä henkilöitä. Lisäksi tämä politiikka koskee soveltuvin osin myös Siilinjärven kunnan antaman tilauksen tai muun toimeksiannon nojalla muita ulkopuolisija toimijoita, alihankkijoita, kumppaneita ja yhteistyötahoja, jotka suorittava tehtäviä Siilinjärven kunnan puolesta tai Siilinjärven kunnan lukuun. 2.2 Tavoitteet ja vaatimukset toiminnalle Tietoturva rakentuu tiedon luottamuksellisuudesta, eheydestä, saatavuudesta, käytettävyydestä ja kiistämättömyydestä sekä tietojen käsittelyn valvonnasta. Näiden päämäärien saavuttamiseksi asetetaan seuraavat tavoitteet ja toiminnalliset vaatimukset:
7 3 (24) - Siilinjärven kunnan organisaatiossa tietoja käsitellään yhdenmukaisten tietosuoja- ja tietoturvaohjeiden ja käytäntöjen mukaisesti. - Kunnan ylläpitovastuulla oleviin tietovarantoihin (rekistereihin) tallennetut tiedot ovat luottamuksellisia, ehyitä ja käytettävissä. - Kunnan ylläpitovastuulla olevien tietovarantojen käyttäjät ovat tunnettuja, todennettuja ja valtuutettuja. - Kunnan henkilökunta ymmärtää tietojen käsittelyn periaatteet; missä tarkoituksessa ja milloin tietoa saa käsitellä sekä ymmärtää ja hyväksyy asiakkaan halun ja oikeuden kieltää tietojensa käsittely tietyissä tilanteissa. - Kunnan henkilökunta ymmärtää tietoturvan merkityksen sekä tehtävänsä ja velvollisuutensa tietoturvallisuuden ylläpidossa. - Kunnassa on vahvistettu tietojenkäsittelyn tietoturvan tasot, organisointi, vastuut ja seurantamenetelmät. - Kriittisten tietojärjestelmien varautumis- ja riskienhallintasuunnitelmat on tehty, ajantasaiset ja testatut. - Kunnan tietojenkäsittelyn ja sen turvaamisen periaatteet noudattavat kansallisia ja kansainvälisiä tietoturvallisuutta koskevia lakeja, säädöksiä, standardeja sekä auditointivaatimuksia ja suosituksia. - Kaikessa toiminnassa ja sen kehittämisessä lähdetään kansallisten ja kansainvälisten tietoturvallisuutta koskevien lakien ja asetusten pohjalta sekä noudatetaan hyvää tietojenkäsittelytapaa, velvoitteita ja sopimuksia. - Tietoturvaratkaisujen tulee noudattaa myös taloudellisia realiteetteja, eivätkä valitut tietoturvaratkaisut saa vaikeuttaa merkittävästi tietojärjestelmien hyötykäyttöä ja asiakaspalvelua. 3 SUOJATTAVAT KOHTEET Tämä tietosuoja- ja tietoturvapolitiikka kattaa kaikki Siilinjärven kunnan tietojenkäsittelytehtävät. Politiikka kattaa myös vaitiolovelvollisuuden piiriin kuuluvan ja muunkin puhutun sekä manuaalisen ja sähköisen tiedon käsittelyn. Erityistä huomiota kiinnitetään organisaation toiminnan kannalta kriittisiin tietojärjestelmiin ja niiden sisältämiin tietoihin. Tässä politiikassa mainitut tietosuojaa ja tietoturvallisuutta koskevat määräykset ovat keskeisiä ja velvoittavia. Velvoitteissa korostetaan salassapidon, vaitiolovelvollisuuden ja yksityisyyden suojan toteutumista sekä tietoturvallisuuden, tietosuojan, hyvän tietojenkäsittelytavan ja laadun merkitystä. 4 TIETOTURVALLISUUDEN ORGANISOINTI Siilinjärven kunnassa tietosuojaan ja tietoturvaan liittyvät tehtävät ja vastuut organisoidaan siten, kuin liitteessä 1 on tarkemmin kuvattu.
8 4 (24) 5 TIETOTURVALLISUUDEN PERUSTASON MÄÄRITTELY Tietoturvallisuus on laaja toiminnallinen kokonaisuus, jonka keskeisimmät turvallisuustekijät liittyvät ihmisten toimintaan. Tietoturvallisuuden vaikutukset ulottuvat koko organisaatioon ja sen ylläpitäminen on jatkuva prosessi, jota toteutetaan hallinnollisten, fyysisten ja teknisten ratkaisujen avulla. Käyttäjien tueksi julkaistaan ohjeita ja tarjotaan tietoturvakoulutusta. 5.1 Tärkeimmät hallinnolliset tietosuoja- ja tietoturvatoimet Hyväksytyn tietosuoja ja -turvapolitiikan mukaiset tietoturvatoimet tulee sisällyttää luonnollisena osana kaikkeen toimintaan. Tietoturvan kehittäminen ja ylläpito ovat osa Siilinjärven kunnan yleistä turvallisuustoimintaa, riskien hallintaa ja sisäistä valvontaa. Tietoturva on kriittinen tekijä, koska asiakkaan/potilaan on luotettava ehdottomasti tietojensa tietosuojaan. Tämä luottamus on onnistuneen palvelun kulmakivi. Siilinjärven kunnan toiminnalle tärkeiden tai kriittisten tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta turvataan ja estetään tietojen ja tietojärjestelmien joutuminen ulkopuolisten haltuun tai tutkittavaksi. Tietojen ja tietojärjestelmien valtuudeton käyttö ja tahaton tai tahallinen tiedon tuhoutuminen tai vääristyminen estetään sekä minimoidaan aiheutuvat vahingot. Normaaliajan toiminnan tietojenkäsittelyn turvaamisen lisäksi varaudutaan toiminnan keskeyttäviin uhkatilanteisiin ja jatkuvuudenhallintaan. Voimassa olevat velvoittavat säädökset on luetteloitu ja niiden vaikutukset tietoturvajärjestelyihin on selvitetty. Lainsäädäntöä ja ohjeistusta tulee seurata jatkuvasti. Muutosten vaikutus on otettava huomioon organisaation tietoturvallisuuden kehittämisessä. Siilinjärven kunnan tiedot, tietojenkäsittelyjärjestelmät ja -palvelut pidetään asianmukaisesti suojattuina sekä normaali- että poikkeusoloissa hallinnollisten, teknisten ja muiden mahdollisten toimenpiteiden avulla. Siilinjärven kunnan tietosuoja- ja tietoturvariskejä tunnistetaan, hallitaan ja valvotaan samojen ohjeiden ja periaatteiden mukaan kuin muitakin kunnan riskejä. Organisaatiossa on käytössä tietojen ja tietojärjestelmien turvallisuusluokitus. Jokaisella tietorekisterillä ja tietojärjestelmällä, ICT-laitteella tai -palvelulla on oltava yksikäsitteinen omistaja/haltija. 5.2 Tärkeimmät teknisluonteiset tietoturvatoimet Toiminnan jatkuvuuden hallintaprosessi tulee toteuttaa onnettomuuksien ja turvallisuushäiriöiden (joita voivat aiheuttaa esim. luonnonmullistukset, onnettomuudet, laiteviat ja ilkivalta) aiheuttamien keskeytysten vähentämiseksi hyväksyttävälle tasolle yhdistämällä ehkäiseviä ja palautumista edistäviä turvamekanismeja. Jatkuvuussuunnitelmia tulee kehittää ja toteuttaa käytännössä varmistamaan, että toimintaprosessit saadaan
9 5 (24) palautettua toimintaan vaaditussa ajassa. Suunnitelmia tulee pitää yllä ja harjoitella, jotta niistä tulee muiden hallinnollisten prosessien rinnalla integroitunut osa toimintaa. Toiminnan jatkuvuuden hallintaan tulee sisältyä turvamekanismit riskien havaitsemiseen ja vähentämiseen. Turvamekanismeilla rajoitetaan uhkan mahdollisen toteutumisen aiheuttamia seurauksia ja varmistetaan olennaisesti tärkeiden toimintojen nopea palautuminen. Toiminnan jatkuvuussuunnitelmia tulee pitää yllä säännöllisin arvioinnein ja päivityksin tehokkuuden säilymisen varmistamiseksi. Kriittisten komponenttien, palvelinten, työasemien, käyttöjärjestelmien sekä ohjelmistojen turvapäivityksiä varten on vakioitu toimintasuunnitelma. Päivitystarvetta seurataan säännöllisesti ja päivitysten kriittisyys arvioidaan ennakolta, jos mahdollista. Kriittiset päivitykset asennetaan viivytyksettä. Turvapäivitysten asennukset keskitetään ja automatisoidaan mahdollisuuksien mukaan. Käyttöturvallisuudella luodaan ja ylläpidetään tietotekniikan turvallisen käytön vaatimat toimintaolosuhteet huolehtimalla tekniikan toimivuuden valvonnasta, käyttöoikeuksista, käytön- ja lokien valvonnasta, ohjelmistotuesta, ylläpito-, kehittämis- ja huoltotoimintoihin liittyvistä turvallisuustoimenpiteistä, varmuus- ja suojakopioinnista sekä häiriöraportoinnista. Lokien muuttumattomuus ja kiistämättömyys tulee taata vaatimusten mukaisesti niille määritellyn säilytysajan. Kansalaisen tiedonsaanti lokitiedoista toteutetaan kansallisten määritysten mukaisesti. Käyttölokin osalta julkisuuslain mukaisen valitusprosessin ollessa kesken, lokitietoja ei saa tuhota talletusajan mahdollisesti päättyessä. vastaa järjestelmien tietoturvasta ja laadusta yhdessä toimittajien ja palveluntuottajien kanssa sopimusten mukaisesti. Organisaatiossa on yksiselitteisesti määritelty käyttövaltuushallintaprosessi vastuineen ja poikkeusmenettelyineen. Palveluiden saatavuus, käytettävyys, luotettavuus, hallinnointi ja valvonta on määritelty yhdessä palveluntuottajien kanssa. Tietojärjestelmien käyttövaltuushallinta sekä menettelyprosessi on määritelty erillisessä asiakirjassa. Tietojärjestelmien poikkeustilanteiden hallinnan edellyttämien toimien suunnitelmat, joilla käyttöoikeus voidaan tilapäisesti ohittaa, sisällytetään toipumissuunnitelmaan. Ohitustilanteet merkitään erilliseen luetteloon ja hätäkorjaustilanteiden jälkeen toimitaan takautuvasti käyttöoikeusprosessin mukaisesti. Tietoturvapoikkeamista, haitallisista ja toimintaa vaarantavista tapahtumista raportoidaan kaikilla tasoilla viivytyksettä poikkeamien hallintaprosessin mukaisesti ja prosessi on kuvattu tarkemmin erillisessä asiakirjassa.
10 6 (24) Viestit ja dokumentit välitetään luokitusten vaatimin salausmenettelyin. Viestinvälityksen tietosuojaa koskevat vaatimukset ja vastuut on määritelty organisaation ja viestinvälitysoperaattorin välisissä sopimuksissa sekä erillisessä asiakirjassa (sähköpostipolitiikka). Palveluja ulkoistettaessa huolehditaan Suomen lainsäädännön ja muun mahdollisen velvoittavan ohjeistuksen mukaisesta luottamuksellisen aineiston käsittelystä siten, että tiedot eivät voi joutua sivullisten käsiin. Tietoturvallisuusmääritykset tarkistetaan ja arvioidaan vähintään vuosittain tai merkittävien muutosten yhteydessä. 5.3 Tietoturvallisuuden osa-alueet Suomessa vallitsevan nykykäytännön mukaan tietoturvallisuus jaetaan usein kahdeksaan eri osa-alueeseen. Liitteessä 2 on kuvattu miten nuo tietoturvallisuuden eri osa-alueet ja niiden tietosuoja ja tietoturva on järjestetty Siilinjärven kunnassa. 5.4 Hyväksytyn ICT-käytön periaatteet Siilinjärven kunnan henkilöstön perehdyttämiseksi ja tietoturvallisuuden perusteiden jalkauttamiseksi tämän asiakirjan liitteenä (Liite 3) on yhteenveto kaikista keskeisimmistä tietosuoja- ja tietoturvaperiaatteista, joita jokaisen Siilinjärven kunnan työntekijän tulee noudattaa palvelussuhteen tai muun toimeksiannon ensimmäisestä päivästä alkaen. 6 LAINSÄÄDÄNTÖ Tietosuoja ja -turva perustuu viranomaisten toiminnan julkisuudesta annetun lain ja asetuksen lisäksi useisiin muihin eri lakeihin. Näistä laeista muutama kaikista keskeisin on lueteltu tämän asiakirjan liitteessä (Liite 4).
11 Liite 1 Tietoturvallisuuden organisointi ja vastuut 1 (5) LIITE 1 TIETOTURVALLISUUDEN ORGANISOINTI JA VASTUUT 1 JOHDANTO Siilinjärven kunnalla ei ole erillistä tietoturvaorganisaatiota, vaan tietoturvatehtävät ja tietoturvan organisointi ja vastuut on määritelty siten, että kunnan tietosuoja- ja tietoturvapolitiikka toimii kunnan tietoturvatoiminnan ohjeena. Siilinjärven kunnan tietosuoja- ja tietoturvapolitiikka perustuu yhteisesti sovittuihin tietoturvatehtäviin, periaatteisiin ja tietoturvan organisointimalliin. Tietoturvan käytännön organisoinnissa ja tehtävissä esiintyy palvelualueittain (työyksiköittäin) organisaatiokohtaista vaihtelua. Tärkeää on kuitenkin huomioida, että yhteisesti sovituille tietoturvaan liittyville tehtäville määritellään vastuut ja velvollisuudet riippuen kunkin organisaation ammattinimikkeistä. Huomiota on kiinnitettävä myös siihen, että ns. vaaralliset työyhdistelmät eliminoidaan. Siilinjärven kunnan tietosuoja- ja tietoturvapolitiikka hyväksytetään kunnanhallituksessa. Siilinjärven kunnan tietoturvatehtävistä vastaavat henkilöt huolehtivat, ylläpitävät ja valvovat koko organisaation tietoaineiston tietoturvaa omien vastuualueidensa mukaisesti. Siilinjärven kunnan tietorekistereiden ja tietojärjestelmien sekä ICT-laitteiden ja -palveluiden omistajat tai muut vastuuhenkilöt on nimetty ja määritelty. 2 TIETOTURVATEHTÄVÄT JA VASTUUT Siilinjärven kunnassa tulee olla 2.1 Tietoturvasta vastaava henkilö, joka - Valmistelee tietoturvallisuuteen liittyviä kehittämishankkeita yhdessä muiden tietoturvaorganisaatioon kuuluvien henkilöiden kanssa. - Ohjeistaa tietoturvallisuusasiat ja huolehtii, että niistä tiedotetaan ja koulutetaan. - Vastaa tietoturvapoikkeamien seurannasta ja tilastoinnista. - Tiedottaa tietoturvallisuusasioista ja -ongelmista. - Valmistelee tietoturvaan liittyvän kommunikoinnin koko organisaation, sidosryhmien ja erityisesti esimiesten kanssa. - Vastaa tietoturvatietoisuuden ja osaamistason seurannan toteuttamisesta. - Osallistuu kunnan turvallisuus-, tietosuoja- ja tietoturva-asioiden kokonaisuuden koordinointiin tietoturvatyöryhmän jäsenenä. - Tiedottaa tietoturvallisuusasioista ja -ongelmista. - Raportoi tietoturvallisuudesta kunnan johdolle. - Osallistuu tietoturvapoikkeamista ilmoitettujen sanktioiden määrittelytyöhön.
12 Liite 1 Tietoturvallisuuden organisointi ja vastuut 2 (5) - Toimii tietoturvallisuuden asiantuntijana kunnan toiminta-alueella, tarvittaessa hankkii lisää asiantuntijapalveluita. - Valvoo, että tietoturvallisuusasiat on organisoitu kunnan toimipaikoissa ja yksiköissä. 2.2 Tietosuojavastaava (per määritelty toiminta-alue) - Huolehtii vastuulleen määritellyllä toiminta-alueella tietoturva- ja tietosuojaohjeiden olemassaolosta, saatavuudesta ja jakelusta. - Vastaa vastuulleen määritellyllä toiminta-alueella mahdollisesti tarvittavien tarkempien työyksikkökohtaisten tietosuoja- tai tietoturvaohjeiden laatimisesta, ajan tasalle saattamisesta ja hyväksyttämisestä. - Huolehtii tietoturvallisuusasioiden tiedottamisesta ja koulutuksesta hänelle määritellyllä toiminta-alueella. - Osallistuu koko henkilöstölle annettavan tietosuojakoulutuksen toteuttamiseen. - Toimii tietoturvallisuuden ja tietosuojan erityisasiantuntijana hänelle määritellyllä toiminta-alueella. - Tukee, ohjaa ja opastaa henkilökuntaa ja rekisteröityjä tietosuoja-asioissa. - Kehittää ja edistää tietoturvallisuutta organisaatiossa. - Osallistuu turvallisuus-, tietosuoja- ja tietoturva-asioiden kokonaisuuden koordinointiin tietoturvatyöryhmän jäsenenä. - Ylläpitää tilannetietoa vastuulleen määritellyllä toiminta-alueella käytettävistä henkilörekistereistä ja niiden keskeisimmistä suojausmenetelmistä. - Ylläpitää tilannetietoa vastuulleen määritellyllä toiminta-alueella käytettävien tietojärjestelmien lokien olemassaolosta, säilytyksestä, seurannasta ja käsittelystä. - Osallistuu organisaation henkilötietojen käsittelyä koskevaan suunnittelutoimintaan. - Toimii yhdyssiteenä valvontaviranomaisiin. - Raportoi määritellyn toiminta-alueen toimivalle johdolle ja tietoturvasta vastaavalle henkilölle oman näkemyksensä henkilötietojen suojausmenetelmien toimivuudesta, tietosuojan tilasta ja niiden kehittämistarpeista sekä tietosuojavastaavan toiminnasta. - Toteuttaa organisaation ja tietoturvaorganisaation johdon osoittamia muita tietosuojaa tukevia tehtäviä. - Seuraa ja valvoo tietosuojan yleistä toimivuutta ja rekisteriselosteiden (HetiL 10) laatimis- ja ylläpitovelvollisuuden toteutumista. 2.3 Tietoturvatyöryhmä - Koordinoi kunnan turvallisuus-, tietosuoja- ja tietoturva-asioiden kokonaisuutta. - Varmistaa, että tietoturvallisuusasiat on organisoitu kunnan eri yksiköissä. - Valvoo kunnan tietosuoja- ja tietoturvapolitiikan, tietoturvakäytäntöjen ja -periaatteiden sekä -suunnitelmien ja -ohjeiden laatimista, toteuttamista ja ajan tasalla pitämistä sekä myös osallistuu näiden asiakirjojen laatimiseen. - Ehdottaa tietoturvallisuuden kehittämishankkeita. - Jakaa tarpeen mukaan tietoturvatehtäviä muille organisaation henkilöille. - Koordinoi tietoturvallisuustoimenpiteitä ja mahdollistaa tarvittaessa yksiköille tietoturvallisuuden erityisasiantuntijuutta.
13 Liite 1 Tietoturvallisuuden organisointi ja vastuut 3 (5) - Ohjeistaa tietoturvallisuusasiat ja huolehtii, että niistä tiedotetaan ja koulutetaan. - Huolehtii tietoturvatietoisuuden ja osaamistason seurannan toteuttamisesta. - Seuraa tietoturvallisuustilannetta ja reagoi tarvittaessa havaittuihin ongelmiin ja uhkiin. - Valvoo, että yksiköt ovat tehneet jatkuvuussuunnitelmat infrastruktuurin ja keskeisten tietojärjestelmien osalta poikkeustilanteita varten. - Valvoo havaittujen tietoturvapoikkeamien kirjaamisen, raportoinnin ja käsittelyn toimivuutta. - Seuraa ja valvoo henkilötietojen käsittelyä, suojaamista ja suojausmenetelmiä. - Valvoo, että tietorekisterit ja tietojärjestelmät on luetteloitu ja luokiteltu. - Raportoi toiminnastaan ja tietoturvallisuudesta kunnan tietohallinnon ohjausryhmälle. 2.4 Arkistosta vastaava Arkistoinnista vastaavan henkilön johdolla toimivan arkiston vastuulla on varmistaa asiakirjojen käytettävyys, säilyminen ja lainmukainen säilyttäminen. Asiakirja- ja tiedonhallinnan suunnittelu ja toteutus tapahtuvat arkiston ja Tietotekniikkapalvelut -tulosalueen henkilöstön yhteistyönä huomioon ottaen sekä arkistotoimeen että tietoturvaan kohdistuvat vaatimukset. - Vastaa asiakirjojen käytettävyydestä ja lainmukaisesta säilyttämisestä. - Asiakirja- ja tiedonhallinnan suunnittelu ja toteutus yhdessä tietotekniikkapalvelut -tulosalueen henkilöstön kanssa. - Osallistuu organisaation tietoturvaan ja -suojaan liittyvien asioiden suunnitteluun ja kehittämiseen sekä ohjeiden laatimiseen ja ylläpitoon. - On tarvittaessa yhteydessä valvontaviranomaisiin. - Tietosuoja-asioiden ohjaus ja neuvonta (henkilökunta, asiakkaat). 2.5 Organisaation johto - Varmistaa ja vastaa siitä, että Siilinjärven kunnassa tunnistetaan, luetteloidaan ja tiedotetaan kunnan eri toimialojen keskeinen tietosuojaa ja tietoturvallisuutta koskeva lainsäädäntö. - Määrittelee tietoturvallisuusperiaatteet. - Varmistaa, että tietoturvallisuustavoitteet asetetaan ja tarvittavat tarkentavat suunnitelmat laaditaan kaikissa kunnan eri toimialojen organisaatioyksiköissä. - Määrittelee tietoturvallisuuteen liittyvät roolit ja vastuut sekä tietoturvallisuuden tarvitsemat resurssit. - Varmistaa, että organisaatiolla on edellytykset toimia poikkeus- ja kriisitilanteissa. - Viestii organisaatiolle tietoturvallisuustavoitteiden ja tietoturvapolitiikan lakisääteisten velvoitteiden noudattamisen ja jatkuvan parantamisen tärkeydestä. - Huolehtii riittävistä resursseista tietoturvallisuuden toteuttamiseen, ylläpitoon ja kehittämiseen. - Valvoo, että tietoturvallisuusasiat on organisoitu kunnan toimipaikoissa ja yksiköissä. - Päättää hyväksyttävästä riskitasosta. - Raportoi tietoturvallisuudesta osana kunnan sisäistä valvontaa. - Ryhtyy toimenpiteisiin väärinkäytöstapauksissa.
14 Liite 1 Tietoturvallisuuden organisointi ja vastuut 4 (5) 2.6 Yksiköiden esimiehet - Vastaavat yksiköidensä tietoturvallisuudesta ja siitä, että henkilöstö tuntee tietoturvallisuuden perusasiat. - Tukevat tietoturvan jatkuvaa ylläpitämistä ja kehittämistä. - Toteuttavat ja organisoivat tietoturvaorganisaation määrittelemät tietoturvallisuus- ja tietosuojatoimenpiteet yksikössään. - Suunnittelevat, budjetoivat ja organisoivat yksikkönsä tietoturvallisuustoimenpiteet. - Huolehtivat, että tietojärjestelmille on nimetty vastuuhenkilöt (pääkäyttäjät ja varapääkäyttäjät). - Hoitavat yksikkönsä yleiset tietoturvallisuusasiat. - Raportoivat tietoturvallisuusongelmista ja tietoturva- ja tietosuojarikkomuksista yksikkönsä johdolle. 2.7 Jokainen työntekijä Jokainen työntekijä vastaa omalta osaltaan tietoturvallisuuden toteutumisesta voimassaolevan lainsäädännön ja tietojenkäsittelystä annettujen ohjeiden mukaisesti. Jokaisen työntekijän tulee raportoida heti havaitsemistaan tahattomista tai tahallisista tietosuoja- tai tietoturvarikkomuksista turvallisuudesta linjavastuussa olevalle esimiehelle ja/tai kirjata havaintonsa tätä tarkoitusta varten suunniteltuun ja tiedotettuun raportointijärjestelmään. 2.8 Tietorekistereiden, tietojärjestelmien, laitteistojen ja palveluiden omistajat Kaikille tietorekistereille, tietojärjestelmille, ICT-laitteistoille ja kunnan omille ja ulkoistetuille ICT-palveluille on määritelty omistajat/vastuuhenkilöt, jotka määrittelevät ja vastaavat tietorekistereiden/tietojärjestelmien/laitteistojen/palvelujen palvelutasosta, käyttöoikeuksista, varmistamisesta, kehittämisestä ja hyväksikäytöstä. Tietojärjestelmän omistaja vastaa tietojärjestelmän tietoturvasta mm. tietojärjestelmän käyttämien eri rekistereiden oikeellisuudesta ja lainmukaisuudesta, kuten henkilötietolaissa mainitun rekisterinpitäjän velvollisuuksista. Omistaja vastaa tietoturvallisuudesta myös yksittäisen tietojärjestelmän toiminnan ja käytön osalta. an on laadittu jatkuvuussuunnitelma/ toipumissuunnitelma toiminnan jatkuvuuden turvaamiseksi normaaliolosuhteiden poikkeustilanteiden sekä eriasteisten poikkeusolojen varalle. Lisäksi kunkin kriittisen tietorekisterin/tietojärjestelmän/ laitteen/palvelun omistaja/vastuuhenkilö on velvollinen laatimaan ja ylläpitämään poikkeusolojen varautumissuunnitelmaa vastuullaan olevasta rekisteristä/tietojärjestelmästä/laitteesta/palvelusta.
15 Liite 1 Tietoturvallisuuden organisointi ja vastuut 5 (5) 2.9 Erityistä osaamista vaativat tietohallintotehtävät Siilinjärven kunnassa tietojärjestelmäpäällikön johdolla toimivalle yksikölle (Tietotekniikkapalvelut -tulosalueelle) on keskitetty tietohallintolaissa (634/2011 Laki julkisen hallinnon tietohallinnon ohjauksesta) osoitettuja erityistä osaamista ja koordinaatiota vaativia tietohallintotehtäviä. Tietohallintolaissa tietohallinnolla tarkoitetaan tukitoimintoa, jolla turvataan julkisten hallintotehtävien hoitaminen tieto- ja viestintäteknisiä menetelmiä ja keinoja hyväksikäyttäen. Siilinjärven kunnan Tietotekniikkapalvelut tulosalueen henkilöstö - Koordinoi tietojärjestelmien ja niiden käytön tietoturvan teknisen toteutuksen suunnittelua, toteutumista ja raportointia. - Toimii teknisenä asiantuntijana sekä antaa ja järjestää teknistä asiantuntemusta tietoturvaa koskevissa kysymyksissä. - Arvioi teknologisen ympäristön muuttuessa mahdollisesti syntyneen tarpeen suojaamismenettelyiden, kontrollien ja testaamisen ajantasaisena pitämiseen sekä kehittämiseen ja tarvittavien muutosten suunnittelun toteutukseen. - Valvoo tietoturvatoimenpiteiden teknistä toteuttamista ja tietoturvakontrollien toteutusta (esim. Palomuurien ja virustorjunnan ylläpito, roskapostisuodatus, tietoturvatapahtumien seuranta). - Vastaa organisaation tietoteknisten toimenpiteiden toteutuksesta.
16 Liite 2 Tietoturvallisuuden osa-alueet 1 (7) LIITE 2 TIETOTURVALLISUUDEN OSA-ALUEET 1 JOHDANTO Liitteessä 2 määritellään Siilinjärven kunnan tietoturvallisuuden perustaso, jota kunnan kaikessa toiminnassa vähintään tavoitellaan. 2 TIETOTURVALLISUUDEN OSA-ALUEET 2.1 Hallinnollinen turvallisuus Hallinnollisella tietoturvallisuudella tarkoitetaan tietoturvallisuustoiminnan järjestelyjen, henkilöstön tehtävien ja vastuiden sekä ohjeistuksen, koulutuksen ja valvonnan muodostamaa kokonaisuutta. Sen tarkoituksena on luoda organisaatioon tietoturvastrategia ja tietoturvalliset toimintatavat luonnolliseksi osaksi kaikkea toimintaa. Toimintamallien pohjalta luodut henkilöstön koulutusjärjestelyt sekä ohjeistus-, valvonta- ja tarkastusmenettelyt ovat välttämättömiä tietoturvallisuuden kehittämiseksi ja ylläpitämiseksi. Tietoturvan kehittäminen ja ylläpito ovat puolestaan osa organisaation yleistä turvallisuustoimintaa, riskien hallintaa ja sisäistä valvontaa. Siilinjärven kunnan hallinnollisen turvallisuuden perustaso edellyttää, että - Organisaation tietoturvaperiaatteet on hyväksytty. - Tietoturva- ja toipumissuunnitelmat on laadittu. - Tietoturvakoulutus on organisaatiossa jatkuvaa ja systemaattista. - Tietoturvavastuut ja -tehtävät on määritelty. - Tietoturvatehtäviin on nimetty vastuuhenkilöt ja heille varahenkilöt. Hallinnollinen tietoturvallisuus on kaikkien muiden tietoturvallisuuden osa-alueiden toteutuksen ja määrittelyn perusta. Sen avulla määritellään tietoturvallisuuden suuntaviivat ja turvallisuutta parantavat toimenpiteet. Palveluja ulkoistettaessa palvelun toimittajia vaaditaan noudattamaan kunnan tietosuojaja tietoturvapolitiikkaa, tähän liittyviä käytäntöjä sekä ohjeita. Sopimuksissa turvataan jatkossa ulkoistettujen palvelujen auditointimahdollisuus. Hallinnollisessa tietoturvassa päämääränä on luoda organisaatioon toimintatapa, jolla pystytään välttämään tietoturvariskit. Riskejä tunnistetaan, hallitaan ja hyväksytään kunnassa erikseen määritellyn ja kuvatun ohjeen mukaisesti.
17 Liite 2 Tietoturvallisuuden osa-alueet 2 (7) 2.2 Ohjelmistoturvallisuus Ohjelmistoturvallisuudella tarkoitetaan käyttöjärjestelmien, varus- ja työkaluohjelmistojen sekä muiden ohjelmistojen ja sovellusten tunnistautumis- ja suojausominaisuuksia, valvonta- ja lokimenettelyjä sekä ohjelmistojen määrittelyyn, suunnitteluun, kehittämiseen ja hankintaan sekä ylläpitoon ja päivitykseen liittyviä turvallisuustoimenpiteitä (mm. versiointi, lisensointi ja muutoksenhallinta). an hankittaville ohjelmistoille ja tietojärjestelmille on asetettu tietoturvallisuuteen ja yhteensopivuuteen liittyvät vaatimukset. Nämä on kuvattu tietosuoja- ja tietoturvapolitiikassa ja muissa organisaation toiminnan vaatimuksia kuvaavissa dokumenteissa. Hankinnoissa on syytä asettaa etusijalle järjestelmät, jotka toteuttavat kansallisesti tai kansainvälisesti määriteltyjä standardoituja toiminnallisuuksia tai rajapintoja. Hankinnoissa tulee huomioida toiminnalle ja käsiteltävälle tiedolle asetetut lainsäädännölliset ja kansalliset vaatimukset. Ohjelmiston suunnittelijan, valmistajan ja myyjän vastuu ohjelmistotuotteista määräytyy hankinta- ja käyttöoikeussopimusten mukaan. Siilinjärven kunnan ohjelmistoturvallisuuden perustaso edellyttää, että - Kunnan tietojärjestelmien ylläpidosta huolehditaan ohjelmistotoimittajien kanssa tehtyjen ylläpitosopimusten mukaisesti. - Ohjelmistotoimittajilta vaaditaan tuotteeseen sisältyvien tietoturva- /tietosuojamekanismien selvitys/kuvaus sekä tarvittaessa poikkeusolojen ict -valmiussuunnitelma (toiminta ulkoistetun ict-palvelun toimivuudesta poikkeusoloissa/sopimukset). - Järjestelmämuutoksia varten järjestelmän omistaja kartoittaa käyttäjien toiveet, vie tulevat muutokset muutoksenhallinta käsittelyyn sekä tekee testaussuunnitelman ja -aikataulun. - Järjestelmän omistaja vastaa hankittavan ohjelmiston tai ohjelmistomuutoksen/- päivityksen testauksen suunnittelusta ja toteutuksesta sekä kriteereistä, joilla testaus katsotaan hyväksytyksi. - Tietoturvapäivityksien kriittisyys arvioidaan riskianalyysin mukaisesti ja päivitykset toteutetaan hätä-, standardi- tai normaalimuutoksena. Siilinjärven kunnassa on määritelty ohjelmistojen käyttöön liittyvät velvollisuudet: - Ohjelmiin kuuluvat alkuperäiset dokumentit ja/tai käsikirjat on talletettu huolellisesti ja niiden sijainti on tiedossa. - Kaikki ohjelmamuutokset/päivitykset käsitellään organisaation muutostenhallintaprosessin mukaisesti.
18 Liite 2 Tietoturvallisuuden osa-alueet 3 (7) - Ohjelmien kopioinnissa noudatetaan tekijänoikeuslakia ja lisensseistä pidetään kirjaa. - Keskuskoneilla varmuuskopiointi on sovittu järjestelmäkohtaisesti ja kopioinnista, säilytyksestä ja varmuuskopioiden palautuksen testaamisesta vastaa palvelun suorittava toimija/operaattori. Ohjeet ohjelmistojen käytöstä työasemilla: - Työasemien ja päätelaitteiden ns. vakioitujen ohjelmistojen (esimerkiksi päätelaitteen käyttöjärjestelmä, toimisto-ohjelmat, internet-selain, sähköposti, virustorjunta, laitteen etähallinta) elinkaaren hallinta ja hankintojen koordinointi on keskitetty kunnan tietotekniikkapalvelut -tulosalueelle. Tietotekniikkapalvelut -tulosalueen henkilöstö hyväksyy kaikki työasemille ja muihin päätelaitteisiin asennettavat vakioidut ohjelmat. - Työasemiin ja päätelaitteisiin asennettavien muiden kuin vakioitujen sovellusten hankinta, asennus ja käytön suunnittelu tulee tapahtua yhteistyössä kyseisen liiketoiminta-alueen (organisaatioyksikön) edustajien ja kunnan tietotekniikkapalveluttulosalueen henkilöstön edustajien kanssa. - Työasemiin ja päätelaitteisiin hankittavien sovellusten tulee olla yhteensopivia kunnassa valittujen, hyväksyttyjen ja käytössä olevien ICT-teknologioiden kanssa. - Ohjelmien asennusmediat, samoin kuin niiden kopiot, säilytetään tietoturvaohjeiden mukaisesti. - Työasemien käyttäjien tulee noudattaa tietojen käsittelyssä tietojen luonteelle ja sisällölle asetettuja vaatimuksia sekä organisaation omia ohjeistuksia tietojen tallentamisesta ja varmuuskopioinnista. - Internetin tallennuspalveluiden (pilvipalveluiden) käytöstä työhön liittyvien tietojen tallennuspaikkana päättää ja vastaa kyseisen tiedon tai rekisterin omistaja, sovittuaan asian ensin kunnan tietotekniikkapalvelut -tulosalueen edustajan kanssa. Sallitut (pilvi)tallennuspaikat dokumentoidaan sekä ohjeistetaan ja tiedotetaan käyttäjille sekä tietoturvasta vastaavalle henkilölle. Pilvipalvelun käyttö tallennuspaikkana ei saa olla ristiriidassa tietosuojaa, tietoturvaa tai tekijänoikeuksia määrittelevän lainsäädännön kanssa. Tavoitteena on varmistaa tietojärjestelmien jatkuva toiminta ja luotettavuus. 2.3 Tietoaineistoturvallisuus Tietoaineistoturvallisuudella tarkoitetaan eri tallennusmuodoissa olevien tietojen suojaamista. Se koskee sekä paperiasiakirjoja että digitaalisessa muodossa olevia tallenteita, optisia ja magneettisia muistivälineitä, mikrofilmiä, äänitteitä tai muita vastaavia teknisiä laitteita. Tietoaineistoturvallisuudella varmistetaan asiakirja- ja tietoaineistojen käytettävyys, oikeellisuus, eheys, luottamuksellisuus ja salassapito elinkaaren kaikissa vaiheissa. Tietoaineistoturvallisuuteen kuuluvat ne ulkoiset normit, jotka rajoittavat tai ohjaavat tietosisällön perusteella tehtävää tietojenkäsittelyä, kuten yleiset ja/tai erityisalan lait, asetukset, viranomaismääräykset ja kansallisarkiston ohjeet. Lisäksi tietoaineiston käsittelystä tarvitaan organisaatiokohtaiset ohjeet, johon kuuluvat tietojärjestelmien
19 Liite 2 Tietoturvallisuuden osa-alueet 4 (7) käsittelysäännöt sekä tietojen ja asiakirjojen luokittelu julkisuus- ja salassapitosäännösten mukaisesti. Siilinjärven kunnalla tulee olla ajantasainen, kaikki tietoaineistot kattava arkistonmuodostussuunnitelma, josta ilmenee tietoaineiston käsittelysäännöt tietojen synnystä niiden tuhoamiseen asti, turvaluokitus sekä eheyden ja käytettävyyden varmistaminen aineiston elinkaaren kaikissa vaiheissa. Luokitellun tiedon käsittelyssä huomioidaan eri turvaluokkien edellyttämät suojaustoimenpiteet. Siilinjärven kunnan johto vastaa henkilöstön perehdyttämisestä tietoaineistojen käsittelyohjeisiin. Tietoaineistojen tietoturvallisuuden varmistaminen koskee koko henkilöstöä ja tietoaineiston koko elinkaarta. Siilinjärven kunnan tietoaineistoturvallisuuden perustason edellytyksenä on, että henkilöstö tuntee ja noudattaa toiminnassaan - Henkilötietojen käsittelyä koskevia yleisiä periaatteita. - Yksikkönsä toimintaa ohjaavia ja/tai rajoittavia normeja. - Tietojärjestelmän sisältämän tietoaineiston käsittelyä koskevia turvasääntöjä. - Tietojen ja asiakirjojen luokittelusääntöjä. Kaikkia Siilinjärven kunnassa työskenteleviä koskee vaitiolovelvollisuus ja salassapitosäännökset. Luottamuksellisia tietoja voivat käsitellä vain henkilöt, jotka tarvitsevat niitä työssään. Tietoja säilytetään ja vanhentuneet tiedot hävitetään arkistonmuodostussuunnitelman mukaisesti. Huoltoon vietävästä, poistettavasta tai myyntiin luovutettavasta työasemasta poistetaan tai puhdistetaan kiintolevy tai muu vastaava muistiväline aina ohjeen mukaisesti. Kokeilukäytössä olleen teknisen laitteen palautuksen yhteydessä huolehditaan tietojen poistamisesta laitteelta ohjeen mukaisesti. 2.4 Käyttöturvallisuus Käyttöturvallisuus koostuu järjestelmien turvallisista käyttöperiaatteista, tiedonkäytön valvonnasta sekä jatkuvuuden turvaamisesta. Käyttöturvallisuuden avulla luodaan ja ylläpidetään tietotekniikan turvallisen käytön vaatimat olosuhteet huolehtimalla tekniikan toimivuuden valvonnasta, käyttöoikeuksista, käytön ja lokien valvonnasta, ohjelmistotuesta, ylläpito-, kehittämis- ja huoltotoimintoihin liittyvistä turvallisuustoimenpiteistä, varmuus- ja suojauskopioinnista sekä häiriöraportoinnista. Periaatteena on luoda sellaiset menettelytavat, joilla päivittäisessä toiminnassa säilytetään tietojärjestelmien käytössä tietoturvallisuuden taso mahdollisimman hyvänä sekä asiakkaan että työntekijän kannalta.
20 Liite 2 Tietoturvallisuuden osa-alueet 5 (7) Siilinjärven kunnassa käyttöturvallisuuden perustaso edellyttää, että organisaatiossa: - On hyväksytyt asiakirjojen suojelusuunnitelmat sekä tietojenkäsittelyn toipumis- ja valmiussuunnitelmat. - On tietorekistereille ja -järjestelmille nimetyt omistajat ja vastuu- ja varahenkilöt. - On olemassa päivittäin hoidettavien rutiinitehtävien ohjeistukset. - On olemassa varasuunnitelmat käyttökatkoksia varten. - Noudatetaan turvallisuusohjeita ja käyttöoikeuskäytäntöjä. - Tietojärjestelmiä käyttävät henkilöt tunnistetaan ja todennetaan. - On käytössä käyttäjätunnus-, salasana-, toimikortti- ja pin-koodi -menettelyt. - On ohjeistus tietokonevirusten ja haittaohjelmien torjuntaan. - Varmistetaan ja valvotaan suojausten riittävyys väärinkäytösten ennaltaehkäisemiseksi ja paljastamiseksi. - Varmistetaan tiedostojen sisältöjen käyttökelpoisuus ja tietojen saatavuus. - Varmistetaan ICT-ohjelmien huollon ja ylläpidon saatavuus. - Varmistetaan kannettavien työasemien tietosisällön turvaaminen salausohjelmistolla. - Seurataan verkon tietoturvallisuustasoa säännöllisesti. - Suoritetaan tietoturvapäivitykset viivytyksettä. - Seurataan verkon liikennettä, komponenttien tilaa ja verkkoon tunkeutumista ympärivuorokautisesti sekä toteutetaan poikkeuksellisen liikenteen vaatimat toimenpiteet viivytyksettä. 2.5 Laitteistoturvallisuus Laitteistoturvallisuudella tarkoitetaan laitteistojen suojausta, asennusta, ylläpitoa ja poistoa sekä niihin liittyvää hallinnointia, jossa määritellään laitteiden omistaja ja turvaluokka sekä laitteiden valvonta ja niiden kapasiteettien suunnittelu. Ylipäätään laitteistoturvallisuudella turvataan laitteiston elinkaarta, johon myös kuuluvat asennuksen, takuun ja ylläpidon lisäksi erilaiset tukipalvelut ja -sopimukset sekä laitteiston turvallinen poisto elinkaaren lopussa. Siilinjärven kunnassa laitteistoturvallisuuden perustasossa edellytetään, että: - Tietoverkot, ICT-laitteistot ja terveydenhuollon tutkimuslaitteistot on dokumentoitu ja niistä on laadittu toipumissuunnitelmat riskianalyysin pohjalta. - Varajärjestelmien käytettävyys poikkeusoloissa on varmistettu. - Laitteistojen fyysisen kunnon varmistamiseksi laadittuja ohjeita noudatetaan. - Huolto- ja ylläpitosopimukset ovat ajan tasalla ja vastaavat käytettävyysvaatimuksia. - Jokaisella laitteella on omistaja, joka vastaa laitteesta. - Laitteet on soveltuvin osin turvamerkitty. - Laitteista on olemassa laiterekisteri. - Kaikki laitteet kuuluvat johonkin turvaluokkaan. - Tietojenkäsittelykapasiteettia seurataan, suunnitellaan ja ennakoidaan. - Laitteistojen poistamisesta on kirjalliset ohjeet ja ne vastaavat laitteistojen turvaluokitusta.
21 Liite 2 Tietoturvallisuuden osa-alueet 6 (7) - Laitteistoilla on ajantasainen suojaus haittaohjelmia varten. - Laitteiden tietoturvapäivityksille on olemassa dokumentoitu prosessi. 2.6 Fyysinen turvallisuus Fyysisin turvallisuustoimenpitein luodaan ja ylläpidetään tietotekniikan vaatiman käyttöympäristön toimintaolosuhteet ja suojataan ja valvotaan kiinteistö, sekä varmistetaan teknisten järjestelmien toiminta. Fyysinen turvallisuus käsittää kiinteistöjen rakenteellisen turvallisuuden, valvontatekniikan kuten kulunvalvonta-, rikosilmoitus- ja videovalvontajärjestelmät sekä valvonnan ja vartioinnin. Fyysisen turvallisuuden lähtökohta on organisaation laatima riskianalyysi. Siilinjärven kunnan fyysisen turvallisuuden perustaso edellyttää, että: - Kiinteistön toimitilat on luokiteltu turvallisuusvyöhykkeisiin. - Fyysisten tilojen suunnittelussa otetaan huomioon tietosuoja-, tietoturva- ja työturvallisuusnäkökohdat. - Tietoturvan kannalta oleelliset tilat pidetään lukittuna. - Toimitilojen turvallisuus on hoidettu vartioinnilla, teknisillä hälytysjärjestelmillä tai vastaavilla toimenpiteillä. - Korotetun suojaustason tiloissa tulee olla kulunvalvonta ja kulkuoikeudettomilla henkilöillä saattaja. - Palvelinlaitteistot on keskitetty erityisiin atk-tiloihin, joiden rakentamisessa on noudatettu em. Tiloja koskevia ohjeita. - Tutkimuslaitteistot, verkon komponentit, kytkentätilat, työasemat ja muut automaattista tietojenkäsittelyä suorittavat laitteen on sijoitettu ja suojattu luokituksensa mukaisesti. - Kriittisille laitteistoille on tehty toipumissuunnitelma ja toipumissuunnitelma on koestettu. - Varmuuskopiot on sijoitettu fyysisesti eri palotiloihin. - Kaapeloinnit suoritetaan voimassa olevan yleiskaapelointiohjeen mukaisesti. - Paikallisverkon käytönvalvonta on järjestetty. - Paikallisverkolle on tehty toipumis- ja valmiussuunnitelmat. 2.7 Tietoliikenneturvallisuus Tietoliikenneturvallisuus käsittää tiedonsiirtoyhteyksien käytettävyyteen, tiedonsiirron suojaamiseen ja salaamiseen, käyttäjän tunnistamiseen ja verkon varmistamiseen liittyvät turvallisuustoimenpiteet. Tietoliikenneturvallisuus voidaan jakaa kolmeen osa-alueeseen joita ovat; järjestelmänhallinta, verkonhallinta sekä siirtoteidenhallinta. Tavoitteena on estää luvaton tunkeutuminen järjestelmiin tietoverkon kautta, paljastaa tunkeutumisyritykset, estää siirrettävän tiedon joutuminen sivullisten haltuun ja tarvittaessa estää sen käyttö sekä estää väärän tiedon syöttö tietojärjestelmiin.
22 Liite 2 Tietoturvallisuuden osa-alueet 7 (7) Siilinjärven kunnan tietoliikenneturvallisuuden perustaso edellyttää, että: - Tietoverkot on dokumentoitu ja niiden muutokset tapahtuu muutoksenhallintamenettelyn mukaisesti. - Tietoihin ja tietojärjestelmiin pääsy on tarkoin määritelty. - Käyttöoikeudet tarkistetaan säännöllisesti ja käyttöoikeustasot on määritelty. - Luvaton käyttö on estetty teknisesti. - Tietoliikennelokia ja käyttöhäiriöitä seurataan säännöllisesti. - Noudatetaan työasemiin asennettavien varus-, sovellus- ja tietoliikenneohjelmien osalta annettuja ohjeita. - Varmistetaan tietoliikenneohjelmien ja -laitteiden turvallisuus ja luottamuksellisten tietoliikenneviestien sisällön muuttumattomuus. - Luottamuksellisten viestien lähettäjä ja vastaanottaja todennetaan. - Tietosuoja- ja vastuukysymykset omassa verkossa sekä eri tietoliikenneoperaattoreiden ja huollon välillä on sovittu kirjallisesti. - Langaton (Wlan/Wi-Fi) -tietoverkko suojataan käyttäen riittävän vahvaa salausta ja tukiasemien välistä kryptausta. - Verkon komponenttien tietoturvapäivitykset suoritetaan viivytyksettä. - Eri turvatasojen verkot on tunnistettu ja verkot eriytetty. - Verkon aktiivilaitteet on suojattu ja konfiguroitu suojaustason mukaisesti. - Kriittiset tietoliikenneyhteydet on kahdennettu. - Tietoverkoissa on mekanismi tunkeutumisen estoa ja havainnointia varten. - Etäkäyttöyhteyksien tietoturvan taso pitää olla käytettyjen järjestelmien luokituksen mukainen (esim. Sähköpostiin ei ehkä tarvita vahvaa tunnistautumista, potilastietojärjestelmiin tarvitaan). - Käyttöoikeuksien valtuuttamiseen, muutoksiin ja poistamisiin on dokumentoitu prosessi. 2.8 Henkilöstöturvallisuus Henkilöstöön liittyvien riskien hallintaa kutsutaan henkilöstöturvallisuudeksi. Sen tavoitteena on ehkäistä henkilökuntaan suuntautuvia ja henkilökunnasta tulevia uhkia. Näitä riskejä voidaan torjua turvakartoituksilla, vastuun ja velvollisuuden selkeällä määrittämisellä, selkeillä ohjeilla toimenpiteistä kun työsuhde päättyy ja sitouttamalla henkilö tietoturvalliseen toimintaan. Lain yhteistoimintamenettelystä yrityksissä (334/2007) tavoitteena on edistää yrityksen ja sen henkilöstön välistä vuorovaikutusta. Yhteistyötoimikunta muodostuu työntekijöiden ja työnantajan edustajista. Tietoturvaan liittyvät ohjeet, sopimukset ja sanktiosäännökset on hyvä saattaa yhteistyötoimikunnan tiedoksi ja myös hyväksyttää ne siellä.
23 Liite 3 Hyväksytyn ICT-käytön periaatteet 1 (1) Tietotekniikkapalvelut kh pp LIITE 3 HYVÄKSYTYN ICT-KÄYTÖN PERIAATTEET 1. En luovuta kenellekään henkilökohtaisia käyttäjätunnuksiani tai niiden salasanoja tai muita sähköisiä henkilötunnisteitani, henkilökortteja tai niiden tunnuslukuja. 2. Vastaan yksin henkilökohtaisilla tunnuksillani tehdyistä töistä. 3. Käytän yhteisiä käyttäjätunnuksia tai käyttöoikeuksia vain siten, kuin esimieheni on minua niiden käytöstä ohjeistanut (esim. Windows-työaseman kimppatunnus tai ryhmäsähköpostilaatikko). 4. Käytän minulle luovutettuja käyttöoikeuksia, tietojärjestelmiä ja laitteita vain työtehtävien hoitamiseen, työroolini mukaisesti, ellei siitä ole erikseen työnantajan kanssa muuta sovittu (ks. alla kohta 10 ja 11). 5. Käytän tietojärjestelmiä ja tietorekistereiden sisältämiä tietoja huolellisesti sekä noudatan niiden käytöstä annettuja lakeja, ohjeita tai muita määräyksiä. 6. En lähetä salassa pidettävää tietoa suojaamattoman sähköpostin kautta. En myöskään talleta salassa pidettävää tietoa internetin (pilvi)palveluihin ennen kuin palvelun käyttölupa on minulle annettu ja palvelun käyttö on minulle ohjeistettu. 7. Lähettäessäni luottamuksellisen sähköisen viestin suojatun palvelun avulla varmistan aina viestin vastaanottajan henkilöllisyyden (todennan vastaanottajan). 8. Suljen tai lukitsen henkilökohtaisilla tunnuksillani avatun tietokoneohjelman tai pääteistunnon aina, mikäli käyttämäni päätelaite ei ole koko ajan näköpiirissäni ja välittömässä valvonnassani. 9. Käytän ja säilytän käyttööni luovutettuja päätelaitteita ja muita sähköisiä muistivälineitä huolellisesti ja vastuullisesti, enkä koskaan luovuta niitä perusteettomasti muiden käyttöön, haltuun tai tutkittavaksi. En koskaan muuta käyttööni luovutetun päätelaitteen ominaisuuksia tai toiminnallisuuksia vastoin niiden käytöstä annettuja ohjeita. Päätelaite voi olla esimerkiksi työasema, kannettava tietokone, tablettietokone, älypuhelin, matkapuhelin tai muu internet-laite. Sähköinen muistiväline voi olla esimerkiksi USB-muistitikku, digitaalikamera, ulkoinen levyasema tai muu sähköinen tallennusmedia. 10. Työaikana voin käyttää työnantajan minulle luovuttamaa päätelaitetta ja/tai henkilökohtaisia käyttöoikeuksiani henkilökohtaisten asioitteni hoitamiseksi vain vähäisessä määrin. 11. Työajan ulkopuolella käytän työnantajan minulle luovuttamaa päätelaitetta tai henkilökohtaisia käyttöoikeuksiani vain siten, kuin niistä on erikseen ohjeistettu (esim. älypuhelin, kannettava tietokone, tablettietokone tai työpaikan sähköpostipalvelu). 12. Käytän omia tai muita kolmannen osapuolen päätelaitteita työasioiden hoitamiseksi vain niissä tilanteissa, missä se on erikseen ohjeistettu ja sallittu; esim. sähköpostin tai intranetin lukemiseen kotikoneellani. 13. En koskaan tallenna minulle luovutettujen käyttäjätunnusten salasanaa tai muuta saamaani tunnuslukua pysyvästi päätelaitteeseen, joka ei ole työnantajan omistama tai minulle luovuttama, kuten esimerkiksi kotikoneeni internet-selaimeen tai kotipuhelimeni sähköpostiohjelmaan. 14. Ymmärrän, että internetin käyttöön liittyy lukuisia uhkatekijöitä (kyberuhkia). Ennaltaehkäisen noita uhkatekijöitä parhaan kykyni mukaan. Uhkatekijöitä ovat esimerkiksi sosiaalinen hakkerointi tai muu tietojen kalastelu, sähköpostin liitetiedostot tai www-linkit (virukset, haittaohjelmat), roskapostit, virheellisen tai vääristyneen informaation levittäminen internetissä (trollaus) ja identiteettivarkaudet. 15. Raportoin viipymättä havaitsemastani tahattomasta tai tahallisesta näiden periaatteiden vastaisesta toiminnasta omalle esimiehelleni ja/tai raportointia varten tarjolla olevaan raportointipalveluun. 16. Ymmärrän ja hyväksyn sen, että näiden periaatteiden vastainen toiminta tutkitaan ja käsitellään siten kuin asiasta on erikseen säädetty ja ohjeistettu.
24 Liite 4 Lainsäädäntö 1 (1) Tietotekniikkapalvelut kh pp LIITE 4 LAINSÄÄDÄNTÖ Tietosuoja ja -turva perustuu viranomaisten toiminnan julkisuudesta annetun lain ja asetuksen lisäksi useisiin eri lakeihin. Yksityiselämän suoja ja julkisuusperiaate ovat jo perustuslaissa säädeltyjä perusoikeuksia. Tietoturvaa, tietosuojaa ja sähköistä viestintää käsittelevistä laeista kaikista tärkeimpiä ovat: - Arkistolaki (831/1994) (Asiakirjojen laatiminen, säilyttäminen ja käyttö) - Laki viranomaisten toiminnan julkisuudesta (621/1999) - Henkilötietolaki (523/1999) (Henkilötietojen käsittelyä koskevat yleiset periaatteet) - Laki yksityisyyden suojasta työelämässä (759/2004) - Sähköisen viestinnän tietosuojalaki (516/ Perustuslaki (731/1999) o 2:10 Yksityiselämän suoja (Luottamuksellisen viestin salaisuus). o 2:12 Sanavapaus ja julkisuus (Viranomaisten hallussa olevien asiakirjojen ja tallenteiden julkisuus) - Rikoslaki (39/1889, muutoksineen) o 34:9a (Vaaran aiheuttaminen tietojenkäsittelylle) o 38:1-2 (Salassapitorikos ja -rikkomus) o 38:8 (Tietomurto) o 38:9 1. kohta (Henkilötietorikos) o 40:5 (Virkasalaisuuden rikkominen) Edellä mainittujen lakien lisäksi on olemassa lukuisia muita erityislakeja, jotka koskevat aina jotakin viranomaistoiminnan erityisalaa, näistä muutamia keskeisimpiä ovat esimerkiksi: - Laki kunnallisesta viranhaltijasta (304/2003) - Työsopimuslaki (55/2001) - Vahingonkorvauslaki (41/1974) - Terveydenhuoltolaki (1326/2010) - Laki terveydenhuollon ammattihenkilöistä (559/1994) - Potilasasiakirja-asetus (298/2009) - Laki sähköisestä lääkemääräyksestä (61/2007) - Laki potilaan asemasta ja oikeuksista (785/1992) (Potilasasiakirjojen salassapito) - Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) - Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000) Yllä oleva luettelo ei ole kattava, vaan ainoastaan suuntaa antava.
KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA
KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA 1 S i v u Kokkolan kaupungin tietoturvapolitiikka 1. JOHDANTO Tietojenkäsittely tukee Kokkolan kaupungin palvelujen tuottamista ja palveluiden tehokkuus riippuu
LisätiedotItä-Savon sairaanhoitopiirin kuntayhtymän KYS erityisvastuualue-tasoinen Tietosuoja- ja tietoturvapolitiikka
Itä-Savon sairaanhoitopiirin kuntayhtymän KYS erityisvastuualue-tasoinen Tietosuoja- ja tietoturvapolitiikka Sisällys KÄSITTEITÄ... 2 1 JOHDANTO... 2 1.1 Tavoite... 3 1.2 Vaatimuksenmukaisuus... 3 1.3
LisätiedotTIETOTURVA- POLITIIKKA
TIETOTURVA- POLITIIKKA Kaupunginhallitus 3.9.2013 216 HAAPAJÄRVEN KAUPUNGIN TIETOTURVAPOLITIIKKA 1. JOHDANTO... 3 2. KATTAVUUS... 3 3. TIETOTURVA... 3 4. TIETOTURVATYÖ... 4 5. ORGANISOINTI JA VASTUUT...
LisätiedotTietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto
Tietoturvapolitiikka Tietoturvakäytännön toimintaperiaatteet ja ohjeisto 25.1.2011 Sisällysluettelo TIETOTURVAPOLITIIKKA... 3 1 Johdanto... 3 1.1 Yleistä... 3 1.2 Tavoite... 3 1.3 Vaatimuksenmukaisuus...
LisätiedotItä-Savon sairaanhoitopiirin kuntayhtymän KYS erityisvastuualue-tasoinen Tietosuoja- ja tietoturvapolitiikka - Tietoturvallisuuden osa-alueet
Sivu 1 / 15 Itä-Savon sairaanhoitopiirin kuntayhtymän KYS erityisvastuualue-tasoinen Tietosuoja- ja tietoturvapolitiikka - Tietoturvallisuuden osa-alueet Sisällys LIITE 1 TIETOTURVALLISUUDEN OSA-ALUEET...
LisätiedotTERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA
TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA Hyväksytty: Hämeenkyrön lautakunta 2.11.2011 Tarkastettu 29.4.2014 OK 1. JOHDANTO Tietojenkäsittely tukee Hämeenkyrön kunnan / n terveydenhuollon toimintayksikön
Lisätiedot6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA
6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA Tietoturvallisuuspolitiikka on lähtökohta tietoturvallisuuden ja valmiuden kehittämiselle organisaatiossa. Sen avulla määritellään tietoturvallisuuden periaatteet
LisätiedotLappeenrannan kaupungin tietoturvaperiaatteet 2016
1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015
LisätiedotYliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.
Itä-Suomen yliopiston tietoturvapolitiikan liitteet 1/6 ITÄ-SUOMEN YLIOPISTON TIETOTURVAPOLITIIKAN LIITTEET LIITE 1: Tietoturvallisuuden vastuut ja organisointi Tässä liitteessä kuvataan tietoturvallisuuteen
LisätiedotPUUMALAN KUNNAN TIETOTURVAPOLITIIKKA
Kunnanhallitus 20.2.2017 37 LIITE NRO 1 PUUMALAN KUNNAN TIETOTURVAPOLITIIKKA 2 SISÄLLYSLUETTELO 1. Johdanto... 3 2. Tietoturvan tavoitteet... 3 3. Tietoturvan perustaso... 4 3.1. Hallinnollinen turvallisuus...
LisätiedotSovelto Oyj JULKINEN
1 (5) 21.3.2018 JULKINEN :n Vastuu :n toiminnasta on sen ylimmällä johdolla. Yrityksen toiminta ja palvelut ovat suuresti riippuvaisia tietotekniikkapalveluiden saatavuudesta ja niiden turvallisesta toiminnasta.
LisätiedotJämsän kaupungin tietoturvapolitiikka
4.11.2014 Jämsän kaupungin tietoturvapolitiikka Jämsän kaupunki Hallintopalvelut SISÄLLYSLUETTELO 1 TIETOTURVAPOLITIIKKA... 1 2 TIETOTURVALLISUUS... 2 2.1 Tavoitteet ja tietoturvallisuuden merkitys...
LisätiedotPeruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41
Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät
LisätiedotLieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019
Lieksan kaupungin tietoturva- ja 2019 2 (8) Sisällys Johdanto... 3 Käsitteet... 3 Tavoitteet... 5 Toteutus... 5 Organisointi ja vastuut... 6 Riskienhallinta... 7 Seuranta ja valvonta... 7 Dokumentit ja
Lisätiedot1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus
1 (6) VALTIMON KUNTA Tietoturva- ja tietosuojapolitiikka Kunnanhallitus 11.6.2018 86 2 (6) Sisällys Johdanto.. 3 Käsitteet.. 3 Tavoitteet 4 Toteutus.. 4 Organisointi ja vastuut.. 4 Riskienhallinta 5 Seuranta
LisätiedotTietoturvapolitiikka. Kunnanhallitus 27.2.2012 42 Tyrnävän kunta
Tietoturvapolitiikka Kunnanhallitus 27.2.2012 42 Tyrnävän kunta 2 SISÄLLYSLUETTELO 1. YLEISTÄ 3 2. POLITIIKAN SOVELTAMINEN JA LAAJUUS 3 3. TIETOTURVAPOLITIIKKA, TAVOITTEET JA PERIAATTEET 4 4. TIETOJEN
LisätiedotTIETOTURVA- JA TIETOSUOJAPOLITIIKKA
TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty kunnanhallituksessa 20.01.2014 23 1. YLEISTÄ Tietoturva- ja tietosuojapolitiikka asiakirjana sisältää ne periaatteet, toimintatavat, vastuut, toimivallat,
LisätiedotPeimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA
Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto 19.6.2018 12 TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Yhtymähallitus 15.5.2018 Yhtymävaltuusto 19.6.2018 SISÄLLYSLUETTELO 1 YLEISTÄ
LisätiedotUtajärven kunta TIETOTURVAPOLITIIKKA
Utajärven kunta TIETOTURVAPOLITIIKKA Johdanto Tiedon käsittely on oleellinen osa Utajärven kunnan toimintaa ja palveluiden tuottamista. Tietojenkäsittelyn tehokkuus ja virheettömyys ovat keskeisiä tekijöitä
LisätiedotNurmeksen kaupungin tietoturva- ja tietosuojapolitiikka
1 (5) Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka Sisällys Johdanto... 2 Käsitteet... 2 Tavoitteet... 3 Toteutus... 3 Organisointi ja vastuut... 4 Riskienhallinta... 4 Seuranta ja valvonta...
LisätiedotRiihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka
Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, 11100 Riihimäki Puh. +358 19 758 5500 Tietoturvapolitiikka Yhtymähallitus 18.4.2018 Sisällysluettelo 1 JOHDANTO... 1 1.1 YLEISTÄ... 1 1.2
Lisätiedot-------- = LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet
-------- Seinäjoen kaupungin tietoturvapolitiikka 1. Johdanto Tietoturva nähdään julkishallinnon organisaatioissa oleellisena osana normaalia toimintaa ja palveluiden laatua, kokonaisturvallisuutta ja
LisätiedotPOLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA
POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty: DOKUMENTIN VERSIOTIEDOT Versio Pvm Muutosten kuvaus Tekijä 20.4.2018 Päivitetty Helena Kaasinen 03.05.2018 Tietosuojaryhmän käsittely
LisätiedotJYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA
JYVÄSKYLÄN KAUPUNKI Tietohallinto JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA VERSIO 1.0 11.5.2009 SISÄLLYSLUETTELO 1 JOHDANTO... 1 2 KATTAVUUS... 1 3 MITÄ TIETOTURVA ON... 1 4 MIKSI TIETOTURVAA...
LisätiedotTietoturvapolitiikka
Valtiokonttori Ohje 1 (6) Tietoturvapolitiikka Valtion IT -palvelukeskus Valtiokonttori Ohje 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa...
LisätiedotYLÄ-SAVON SOTE KUNTAYHTYMÄN TIETOTURVAPOLITIIKKA
Tietoturvapolitiikka 15.5.2018 Asiakirjan julkisuus: Viranomaiskäyttö, JulkL 24.1 7 YLÄ-SAVON SOTE KUNTAYHTYMÄN TIETOTURVAPOLITIIKKA 15.05.2018 Kuntayhtymän hallitus 15.5.2018 Tietoturvapolitiikka 2 (23)
LisätiedotTOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI
TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI SELONTEKO EU:N TIETOSUOJA-ASETUS GDPR:N VAATIMUSTEN TOTEUTTAMISTAVOISTA ITPOINT OY:SSA ITpoint Oy toimittaa asiakkaansa
LisätiedotRÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx
1 RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty: Rääkkylä kunnanhallitus XXXxxx DOKUMENTIN VERSIOTIEDOT Versio Pvm Muutosten kuvaus Tekijä 1 21.3.2018 Tietosuojaryhmä käsitellyt Raita
LisätiedotESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA
1 (6) ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA Hyväksytty kaupunginhallituksessa 12.12.2006 Tietoturvapolitiikan avulla vaikutetaan omalta osaltaan siihen, että Espoon kaupungin strategiassa määritelty Espoon
LisätiedotTietoturvapolitiikka
Tietoturvapolitiikka Toivakan kunta Tietoturvapolitiikan käsittely: Tarkastettu Hallintojohtaja 8.2.2018 Hyväksytty Kunnanhallitus 12.2.2018 Tietoturvapolitiikan muutokset: Tekijä / päiväys Kohta Muutoksen
LisätiedotJYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA
JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA 2014 SISÄLLYSLUETTELO 1 JOHDANTO... 1 2 KATTAVUUS... 1 3 MITÄ TIETOTURVA ON... 1 4 MIKSI TIETOTURVAA... 1 5 TIETOTURVA JA LAATU... 2 6 TIETOTURVAN KEHITTÄMINEN...
LisätiedotMuutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen
1 (6) 25.11.2015 Lappeenrannan kaupungin tietoturvapolitiikka 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0
LisätiedotPolitiikka: Tietosuoja Sivu 1/5
Politiikka: Tietosuoja Sivu 1/5 Tietosuojapolitiikka Sisällysluettelo 1. Tarkoitus... 2 2. Vastuut... 2 3. Tavoitteet ja määritelmät... 3 4. Luottamuksellisen tiedon käsittely... 4 4.1. Tiedon luokittelu...
LisätiedotEläketurvakeskuksen tietosuojapolitiikka
Eläketurvakeskus Tietosuojapolitiikka 1 (5) Eläketurvakeskuksen tietosuojapolitiikka Eläketurvakeskus Tietosuojapolitiikka 2 (5) Sisällysluettelo 1 Yleistä... 3 2 Tietosuojatoimintaa ohjaavat tekijät...
LisätiedotKäytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.
TIETOSUOJAPOLITIIKKA Flowbox Oy 27.01.2017 / v2 YLEISTÄ Tietoturva- ja tietosuojapolitiikka määrittelee ne periaatteet, vastuut, toimintatavat sekä seurannan ja valvonnan, joita Flowbox Oy noudattaa tietoturvan
LisätiedotTietoturvapolitiikka
Mäntsälä Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 0.9 2/8 Sisällys 1 Johdanto... 4 2 Mitä tietoturvallisuus on?... 4 2.1 Tietoturvallisuuden hallinta... 5 2.2 Riskienhallinta sekä jatkuvuuden
LisätiedotTIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103
TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI Hyväksytty:, asiakohta 28, asiakohta 103 Sisällysluettelo 1. Periaatteet... 3 1.1 Henkilötietojen käsittelyn lainmukaisuus... 3 2. Tietosuojan vastuut ja organisointi...
LisätiedotOulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA
Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA Johdanto Tiedon käsittely on oleellinen osa Oulunkaaren kuntayhtymän toimintaa ja palveluiden tuottamista. Tietojenkäsittelyn tehokkuus ja virheettömyys ovat
LisätiedotLapin yliopiston tietoturvapolitiikka
Lapin yliopiston tietoturvapolitiikka 2016 1 Vahvistettu Lapin yliopiston rehtorin päätöksellä 16.5.2016 Lapin yliopiston tietoturvapolitiikka Sisällysluettelo: 1. Johdanto... 2 2. Tietoturvapolitiikan
LisätiedotPIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA
PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA 2016 Kh 111 31.5.2016 v1.0 19.5.2016, Seija Romo 1. JOHDANTO... 1 2. TIETOTURVAPOLITIIKAN TAVOITE... 1 3. TIETOTURVATOIMINTAA OHJAAVAT TEKIJÄT... 2 4. TIETORISKIEN
LisätiedotTietoturvapolitiikan käsittely / muutokset:
Tietoturvapolitiikan käsittely / muutokset: Versio Muutoksen kuvaus Tekijä Päiväys 0.7 Luonnoksen laadinta Tietoturvaryhmä 07.11.2016 0.8 Kommentointi Tulosalueiden johtoryhmät 14.11.2016 0.9 Tarkastus
LisätiedotVihdin kunnan tietosuoja- ja tietoturvapolitiikka
Vihdin kunnan tietosuoja- ja tietoturvapolitiikka Kunnanhallitus Kunnan johtoryhmä Sisällys 1 Johdanto... 2 2 Mitä tietosuoja ja tietoturvallisuus ovat?... 2 2.1 Tietosuoja on perustuslain suojaamaa yksityisyyden
LisätiedotTietoturvapolitiikka Porvoon Kaupunki
Tietoturvapolitiikka Porvoon Kaupunki 1 Sisältö 1 Johdanto... 3 2 Mitä tietoturvallisuus on?... 4 Tietoturvallisuuden hallinta... 4 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen... 5 3 Tietoturvallisuustavoitteet...
LisätiedotVersio Rovaniemen koulutuskuntayhtymä Hyväksytty
Tietoturvapolitiikka 1 (6) 26.1.2017 Hyväksytty Vahvistettu hallituksen päätöksellä 26.1.2017 n tietoturvapolitiikka Sisällysluettelo: 1. Johdanto... 2 2. Tietoturvapolitiikan tavoite... 2 2.1. Tietoturvallisuuden
LisätiedotTurun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt
Turun ammattikorkeakoulu 13.09.2005 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT Sisällysluettelo: 1 Sääntöjen tarkoitus... 2 2 Käytön periaatteet... 2 3 Käyttöoikeus ja käyttäjätunnukset... 4 4 Käyttöoikeuden
Lisätiedot1 Johdanto. Dokumentin käyttötarkoitus. 1.1 Yleistä TIETOTURVAPOLITIIKKA, ESIMERKKI MUISTIO 1(18) 2.7.2010
MUISTIO 1(18) 2.7.2010 TIETOTURVAPOLITIIKKA, ESIMERKKI 1 Johdanto Dokumentin käyttötarkoitus 1.1 Yleistä Tämä dokumentti on tarkoitettu tietoturvapolitiikan esimerkiksi terveydenhuollon toimintayksiköille,
LisätiedotPeruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus 10.4.2014 41
Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA 41 Johdanto Tiedon käsittely on oleellinen osa Peruspalvelukuntayhtymä Kallion toimintaa ja palveluiden tuottamista. Tietojenkäsittelyn tehokkuus, toimintakyky,
LisätiedotTIETOTURVA JA TIETOSUOJAPOLITIIKKA
TIETOTURVA JA TIETOSUOJAPOLITIIKKA Kunnanhallitus 24.4.2018 74 1. Johdanto... 1 2. Tietoturvapolitiikan tavoite... 1 2.1 Tietoturvallisuuden käsite ja merkitys... 1 2.2 Tietosuojan käsite ja merkitys...
LisätiedotVihdin kunnan tietoturvapolitiikka
Vihdin kunnan tietoturvapolitiikka Kunnanhallitus 2.3.2015 50, liite 2 Kunnan johtoryhmä 18.11.2014 Tietohallinnon ohjausryhmä (Thor) 24.9.2014 Sisällys 1 Johdanto... 2 2 Mitä tietoturvallisuus on?...
LisätiedotToimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT
TIETOTURVALLISUUDEN KEHITTÄMINEN Opettaja: Tuija Kyrölä 040-5455465 tuija.kyrola@kolumbus.fi Toimintaohjeistus Tietoturvallisuusohjeistus I-TASO II-TASO III-TASO Ylin johto hyväksyy Konsernihallinto valmistelee
LisätiedotLaatua ja tehoa toimintaan
Laatua ja tehoa toimintaan Tietoturvallisuus osana laatua Kuntamarkkinat 12.9.2013 Aapo Immonen, Senior Manager, FCG konsultointi Oy 5.9.2013 Page 1 Sisältö Tavoitteet Tietoturvallisuutta ohjaavat tekijät
LisätiedotTIETOTURVAPOLITIIKKA
TUUSULAN KUNNANSÄÄDÖSKOKOELMA TIETOTURVAPOLITIIKKA Kunnanhallitus XX.X.2018 XXX Voimaantulopv. X.X.2018 Tuusulan kunta PL60 www.tuusula.fi 04301 Tuusula puh. (09) 87 181 Sisällys 1 Johdanto... 3 2 Mitä
LisätiedotPilvipalveluiden arvioinnin haasteet
Pilvipalveluiden arvioinnin haasteet Tietoturvallisuus- ja jatkuvuuden hallinnan vaatimukset ICT-hankinnoissa, 12.5.2014 Laura Kiviharju Pilvipalvelut Pilvilaskenta (CloudComputing) tarkoittaa internetissä
LisätiedotTietoturvavastuut Tampereen yliopistossa
Tietoturvavastuut Tampereen yliopistossa Hyväksytty Tampereen yliopiston Yliopistopalvelujen johtoryhmässä 10.5.2016 Korvaa 18.10.2002 hyväksytyn vastaavan dokumentin. Tulee voimaan hyväksymispäivänä.
LisätiedotTämän kyselyn määritelmät on kuvattu sopimuksessa.
LIITE 1 (5) KUVAUS TIETOTURVASTA JA TIETOJEN SUOJAUKSESTA 1. Yleistä Tämä Kiinteistövaihdannan palvelun (KVP) rajapintojen käyttöä koskeva tietoturvakuvaus tulee täytettynä ja Maanmittauslaitoksen hyväksymänä
LisätiedotTietoturvapolitiikka. Hattulan kunta
Tietoturvapolitiikka Hattulan kunta Versio 1.0 Muutoshistoria: Versio Tekijä Sisältö Hyväksytty 1.0 Kuntien Tiera Oy Hattulan kunnan tietoturvapolitiikka 11.5.2015 Hattulan kunta Pappilanniementie 9 www.hattula.fi
LisätiedotHELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa
HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1 Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet
LisätiedotTIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT
TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT YT-neuvosto hyväksynyt 21.11.2007 Vahvistanut: kuntayhtymän johtaja Pentti Leipälä 4.1.2008 1. SÄÄNTÖJEN TARKOITUS 1 2. KÄYTÖN PERIAATTEET
LisätiedotTIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa
1 TAMPEREEN IT-YHTEISTYÖALUEEN SEURAKUNTIEN TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa 13.3.2013 2 Sisällys 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus IT-alueella...
LisätiedotJohtokunta 7.12.2009 193. Tietoturva- ja tietosuojapolitiikka
Johtokunta 7.12.2009 193 Tietoturva- ja tietosuojapolitiikka Sisällys: 1. Johdanto 3 2. Tietoturvapolitiikan tavoitteet ja toteutuksen periaatteet 4 3. Tietosuojapolitiikan tavoitteet ja toteutuksen periaatteet
LisätiedotEspoon kaupunki Tietoturvapolitiikka
Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016
LisätiedotKIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA
1 KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA Kunnanhallitus 25.6.2018 2 KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA Sisällys Johdanto... 3 Tietoturvan ja -suojan tavoitteet... 3 Tietoturvan ja suojan periaatteet...
LisätiedotTietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa
Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa 2.10.2017 Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Petri Puhakainen, valtioneuvoston tietoturvapäällikkö Tietoturvallisuuden
LisätiedotTietosuoja- ja tietoturvapolitiikka
Tietosuoja- ja tietoturvapolitiikka Johtoryhmä 13.3.2012 Johtoryhmä 10.4.2012 Yhtymähallitus 24.4.2012 2 (8) Versiohistoria: Versio Pvm: Laatija: Kommentit: 0.1 24.2.2011 Navicre Oy Katselmoitavaksi 0.2
LisätiedotPUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA
PUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty kunnanhallituksessa 04.09.2018 1 Sisällysluettelo 1. JOHDANTO... 3 2. KÄSITTEET... 3 Henkilörekisteri... 3 Henkilötieto... 3 Henkilötietojen
LisätiedotPäivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT
Päivitetty 11.5.2017 TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 2 (5) JOHDANTO Espoon seudun koulutuskuntayhtymä Omnian (myöhemmin Omnia) tietoverkon ja -järjestelmien sitovat Omnian opiskelijoita
LisätiedotTietoturvapolitiikka
Tietoturvapolitiikka 22.5.2018 2(8) Sisällys 1. Visio... 3 2. Yleistä... 3 3. Käytännöt... 4 4. Rikkomukset ja seuraamukset... 6 5. Vastuut ja organisointi... 6 6. Ohjehierarkia, päätöksenteko ja viestintä...
LisätiedotAmmattikorkeakoulu 108 Liite 1
2 (7) Tietoturvapolitiikka Johdanto Tietoturvapolitiikka on ammattikorkeakoulun johdon kannanotto, joka määrittelee ammattikorkeakoulun tietoturvallisuuden tavoitteet, vastuut ja toteutuskeinot. Ammattikorkeakoululla
LisätiedotKokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana
Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana Terveydenhuollon Atk-päivät Tampere-talo 26.5.2010 Antti-Olli Taipale Tietohallintojohtaja Päijät-Hämeen sosiaali- ja terveysyhtymä
LisätiedotTEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET 1.4.2015 ALKAEN
TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET 1.4.2015 ALKAEN Khall 9.3.2015 73 2 Sisältö 1. TIETOTURVAPOLITIIKKA... 3 1.1. Tietoturvatyö... 3 1.2. Tietoturvallisuuden osa alueet... 4 1.3. Vastuut ja valvonta...
LisätiedotSisällysluettelo. Esipuhe... 10. 1 Johdanto... 15. 2 Tietoturvallisuuden rooli yritystoiminnassa... 17
Esipuhe...................................................... 10 1 Johdanto............................................... 15 2 Tietoturvallisuuden rooli yritystoiminnassa.............. 17 2.1 Mitä on
LisätiedotJoroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta
Joroisten kunnan tietoturvapolitiikka Julkinen Tietoturvapolitiikka Joroisten kunta 8.5.2017 2 (8) Sisällysluettelo 1 Johdanto 3 2 Tietoturvapolitiikan tarkoitus ja tausta 3 3 Keitä tietoturvapolitiikka
LisätiedotKymenlaakson Kyläportaali
Kymenlaakson Kyläportaali Klamilan vertaistukiopastus Tietoturva Tietoturvan neljä peruspilaria 1. Luottamuksellisuus 2. Eheys 3. Saatavuus 4. (Luotettavuus) Luottamuksellisuus Käsiteltävää tietoa ei paljasteta
LisätiedotTietorekisteriseloste. Fysioterapeutti Annukka Laukkanen 2019
Tietorekisteriseloste Fysioterapeutti Annukka Laukkanen 2019 REKISTERIN NIMI... 2 REKISTERINPITÄJÄ... 3 ASIAKASREKISTERIN VASTUUHENKILÖ... 3 REKISTERIASIOITA HOITAVA HENKILÖ... 3 HENKILÖTIETOJEN KÄSITTELYN
LisätiedotREKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:
REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh: 0505490789 Sp: mikko.lounela@hahmoterapia.com REKISTERIN NIMI Tmi
LisätiedotREKISTERINPITÄJÄN INFORMAATIO KUNTOUTUJILLE TOIMINTATERAPIA A KAARRETKOSKI OY
REKISTERINPITÄJÄN INFORMAATIO KUNTOUTUJILLE TOIMINTATERAPIA A KAARRETKOSKI OY SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERIN PITÄJÄ 3.POTILASREKISTERIN VASTUUHENKILÖT 4.REKISTERIASIOITA HOITAVAT HENKILÖT 5.REKISTERIN
LisätiedotPotilastietojärjestelmien käytön osaamisen turvaaminen organisaatioissa
Lappi earkistoon hanke 12.11.2014 1 Potilastietojärjestelmien käytön osaamisen turvaaminen organisaatioissa Potilastietojärjestelmä luokitellaan lääkintälaitteeksi, jonka käytön osaaminen on todennettava
LisätiedotEspoon kaupunki Tietoturvapolitiikka
Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 1.0 ESPOON KAUPUNKI 02070 ESPOON KAUPUNKI WWW.ESPOO.FI ESBO STAD 02070 ESBO STAD WWW.ESBO.FI Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuus...
LisätiedotTIETOSUOJAPOLITIIKKA
TIETOSUOJAPOLITIIKKA 1 Sisällys 1 Johdanto... 3 2. Tietosuojatoimintaa ohjaavat tekijät... 4 3. Tietojen hankinta ja käsittely... 5 4. Rekisteröidyn oikeudet... 6 5. Rekisterinpitäjän oikeudet ja velvollisuudet...
LisätiedotPeltolantie 2 D, Vantaa puh.(09) vastuuhenkilö (palveluntuottaja täyttää) yhteyshenkilö ja yhteystiedot: (palveluntuottaja täyttää)
Tietosuojaseloste 1/5 1. Rekisterinpitäjä Vantaan terveyskeskus Peltolantie 2 D, 01300 Vantaa puh.(09) 83911 2. Osarekisteriasioista vastaava henkilö ja yhteyshenkilö vastuuhenkilö yhteyshenkilö ja yhteystiedot:
Lisätiedot1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016
1 (9) Rauman kaupunki Tietoturvapolitiikka Kaupunginhallitus hyväksynyt 30.5.2016, KH 274, RAU/522/07.03.00/2016 2 (9) Sisällys 1. Johdanto... 3 2. Tietoturvapolitiikan tarkoitus... 3 3. Ketä tämä tietoturvapolitiikka
LisätiedotRekisteriseloste. Vanhusten ympärivuorokautisen hoidon ja hoivan asiakasrekisterin rekisteriseloste
Vanhusten ympärivuorokautisen hoidon ja hoivan asiakasrekisterin rekisteriseloste Versiot Hyväksytty 1 Johtoryhmä 17.1.2012 2 Päivitetty 05.8.2016 SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERINPITÄJÄ 3. REKISTERIN
LisätiedotTietosuojavastaavan rooli lokivalvonnassa
1 Tietosuojavastaavan rooli lokivalvonnassa Atk-päivät Jyväskylä 26. 27.5.2009 Helena Eronen arkistotoimen johtaja/tietosuojavastaava PPSHP Tietosuojavastaava 2 Laki sosiaali- ja terveydenhuollon asiakastietojen
LisätiedotRekisteriseloste. Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen asiakasrekisterin rekisteriseloste
Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen asiakasrekisterin rekisteriseloste Versiot Hyväksytty 1 Johtoryhmä 7.2.2012 2 Päivitetty 05.8.2016 SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERINPITÄJÄ
LisätiedotTietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö
Tietosisällön eheys Kimmo Janhunen kimmo.janhunen@om.fi Riskienhallintapäällikkö Oikeusrekisterikeskuski k 26.11.2014 Esityksen sisältö Tiedon merkitys - tiedon eheyden merkitys Määritelmät Lainsäädäntö
LisätiedotLokipolitiikka (v 1.0/2015)
KYS erityisvastuualue Etelä-Savon sairaanhoitopiiri Lokipolitiikka (v 1.0/2015) Sisällys 1 JOHDANTO... 2 2 HENKILÖTIETOJEN KÄSITTELYYN LIITTYVÄ LAINSÄÄDÄNTÖ... 2 3 LOKI JA LOKITIETO... 3 4 LOKITIETOJEN
LisätiedotKanTa. Kelan KanTa-palvelujen tietoturvapolitiikka. v. 1.1
1.1.2011 1/12 KanTa Kelan KanTa-palvelujen tietoturvapolitiikka v. 1.1 1.1.2011 2/12 Sisällys 1 Johdanto...3 2 Tietoturvallisuusperiaatteet...4 3 Vastuut...4 4 Menettelyt tietoturvallisuuden ja tietosuojan
LisätiedotTIETOTURVATASOVAATIMUKSET HANKINNOISSA
TIETOTURVATASOVAATIMUKSET HANKINNOISSA Mikäli muuta ei mainita, Toimittajan (ei Asiakkaan) tulee suorittaa tässä taulukossa kuvatut toimenpiteet, jotka kohdistuvat hankinnan kohteeseen eli palveluun. Tietoturvatasoj
LisätiedotSoTe kuntayhtymä/perusturvaliikelaitos Saarikka REKISTERISELOSTE Pro-Wellness-potilastietojärjestelmä -tietokanta 18.3.
Pro-Wellness-potilastietojärjestelmä -tietokanta 18.3.2015 Sivu 1/5 1 Rekisterin nimi 2 Rekisterinpitäjä ProWellness-potilastietojärjestelmä/ SoTe kuntayhtymä/perusturvaliikelaitos Saarikka SoTe kuntayhtymä/perusturvaliikelaitos
LisätiedotTietoturvallisuuden hallintajärjestelmä pähkinänkuoressa
Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Valtorin tietoturvaseminaari 2.4.2014 Pekka Ristimäki Johtava asiantuntija, CISM, CISSP, CRISC Valtori / Tietoturvapalvelut Mikä on hallintajärjestelmä?
LisätiedotKunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka
Kunnanvaltuusto: 17.12.2018 Kunnanhallitus: 10.12.2018 183 Pyhännän kunnan tietoturvapolitiikka SISÄLTÖ 1. Johdanto 2. Tietoturvapolitiikan tarkoitus ja tausta 3. Keitä tietoturvapolitiikka koskee 4. Tietoturvallisuus
LisätiedotTietosuojakysely 2018
Tietosuojakysely 2018 05/2018 Kela Tietosuojavaltuutetun toimisto Terveyden ja hyvinvoinnin laitos Sisällys Taustatiedot 1 Vastaajatiedot 1 Tulokset 1 Yleistä 1 Tietosuojavastaavat 2 Apteekkarin tai organisaation
LisätiedotTIETOTURVALLISUUSPOLITIIKKA
TIETOTURVALLISUUSPOLITIIKKA Yhtymähallitus 14.6.2017 Sisällys 1 Johdanto... 1 2 Tietoturvallisuustyö... 1 3 Tietoturvallisuuden osa-alueet ja periaatteet... 2 3.1 Tietoturvallisuuden osa-alueet... 2 3.2
LisätiedotHELSINGIN KAUPUNKI MUISTIO Numero 1 TALOUS- JA SUUNNITTELUKESKUS Tietotekniikkaosasto 13.11.2012
HELSINGIN KAUPUNKI MUISTIO Numero 1 13.11.2012 HELMI-EXTRANET-KÄYTTÖPOLITIIKKA SISÄLTÖ 1 Extranet-tunnuksen käyttöpolitiikka 2 Käyttäjätunnusten myöntöperusteet 3 Salasanat Käyttäjätunnuksen hyväksyttävä
LisätiedotTietoturva- ja tietosuojapolitiikka
HYRYNSALMEN KUNTA Tietoturva- ja tietosuojapolitiikka voimassa 1.9.2018 alkaen luonnos 9.8.2018 Hyrynsalmen kunta Tietoturva- ja tietosuojapolitiikka Sisällysluettelo: 1. Johdanto... 2 2. Tietoturvallisuus...
LisätiedotRekisteriseloste. Kehitysvammaisten asumispalvelujen asiakasrekisterin rekisteriseloste
Rekisteriseloste Kehitysvammaisten asumispalvelujen asiakasrekisterin rekisteriseloste Versiot Hyväksytty 1 Johtoryhmä 7.2.2012 2 Päivitetty 05.8.2016 Rekisteriseloste SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERINPITÄJÄ
LisätiedotValtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020
Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020 Sisällys Valtiontalouden tarkastusviraston tietoturvapolitiikka... 2 1 Johdanto... 3 2 Vastuut... 3 2.1 Tarkastusviraston
LisätiedotOMAVALVONTASUUNNITELMA
RÄÄKKYLÄN KUNTA Sosiaali- ja terveydenhuollon tietojärjestelmät TERVEYSKESKUS OMAVALVONTASUUNNITELMA Hyväksytty; Perusturvalautakunta _._.2015 Saila Tarkkonen Omavalvontasuunnitelmassa selvitetään miten
LisätiedotTietoturva ja viestintä
Tietoturva ja viestintä 3.11.2015 1 Uhkakuvat muuttuvat - mitä teemme? Ihmisestä tallentuu joka päivä tietoa mitä erilaisimpiin paikkoihin - valtion, kuntien ja yritysten ylläpitämiin rekistereihin. Joka
LisätiedotPeltolantie 2 D, Vantaa puh. (09) vastuuhenkilö (palveluntuottaja täyttää) yhteyshenkilö ja yhteystiedot: (palveluntuottaja täyttää)
Tietosuojaseloste 1/5 1. Rekisterinpitäjä Vantaan sosiaali- ja terveyslautakunta Peltolantie 2 D, 01300 Vantaa puh. (09) 83911 2. Osarekisteriasioista vastaava henkilö ja yhteyshenkilö vastuuhenkilö yhteyshenkilö
Lisätiedot