Jämsän kaupungin tietoturvapolitiikka

Transkriptio

1 Jämsän kaupungin tietoturvapolitiikka Jämsän kaupunki Hallintopalvelut

2 SISÄLLYSLUETTELO 1 TIETOTURVAPOLITIIKKA TIETOTURVALLISUUS Tavoitteet ja tietoturvallisuuden merkitys TIETOTURVAN PERUSTASO Hallinnollinen turvallisuus Henkilöstöturvallisuus Fyysinen turvallisuus Tietoaineistoturvallisuus Tietoliikenneturvallisuus Laitteistoturvallisuus Ohjelmistoturvallisuus Käyttöturvallisuus Tietosuoja TIETOTURVATEHTÄVÄT JA TIETOTURVATYÖN ORGANISOINTI JOHTO TIETOJÄRJESTELMIEN JA LAITTEISTOJEN OMISTAJAT JA VASTUUHENKILÖT ARKISTO PÄÄKÄYTTÄJÄT HENKILÖSTÖ

3 1 TIETOTURVAPOLITIIKKA Tietoturvapolitiikan avulla kunnan johto määrittelee tietoturvatoiminnan tavoitteet, vastuut ja toimintalinjat. Tietoturvallisuuden merkityksen ja tietoturvatyön yleisperiaatteiden määrittely, dokumentointi ja viestintä jokaiselle kunnan työntekijälle on välttämätön perusta tietoturvakulttuurin luomiselle, sillä tietoturvallisuudesta huolehtiminen on jokaisen kunnan työllistämän, välittömän ja välillisen, henkilön vastuulla. Tietoturvapolitiikka on lähtökohtana tietoturvallisuuden ja valmiuden kehittämiselle kunnassa. Sen avulla määritellään tietoturvallisuuden periaatteet ja toimintatavat sekä ohjataan tietoturvallisuuden huomioonottamista, suunnittelua ja toimeenpanoa organisaation eri tasoilla. Tietoturvallisuutta koskevien riskien hallinta on osa kunnan kokonaisriskienhallintaa. Tietoturvapolitiikka on kunnan johdon virallinen kannanotto jonka avulla määritellään tietojen turvaamisen tavoitteet, vastuut ja toteutuskeinot. Se annetaan tiedoksi kunnan kaikille hallintokunnille ja heidän tulee toimia sen mukaisesti. Politiikkaa tarkennetaan ja syvennetään tietojenkäsittelyn säännöissä ja ohjeissa. Jämsän kaupungissa tietoturvasta vastaa hallintojohtaja. Tämä vastuuhenkilö on hyväksynyt ja vahvistanut noudatettavat turva- ja varautumisperiaatteet sekä määrittelee vastuut ja sisäisen toimintaorganisaation. Turvallisuus- ja varautumisperiaatteiden toteutumisesta ja seurannasta vastaavat yksiköiden esimiehet tulosohjauksen periaatteiden mukaisesti. Tietoturvapolitiikan valmistelu ja ylläpito sekä tietotekninen tietoturva on tietohallintopäällikön vastuulla. Hän varmistaa, että asiakirjaa tarkistetaan tai päivitetään säännöllisesti vähintään kolmen vuoden välein sekä toiminnan ja organisaation muuttuessa, esim. kun käyttöön otetaan uusia sähköisiä palveluja. 1

4 2 TIETOTURVALLISUUS Kunnan tietoturvallisuuden lähtökohtina ovat säädökset, valtiovarainministeriön VAHTI - ohjeet sekä organisaation toiminnan varmistaminen ja laatu. Kunnan ja koko yhteiskunnan toiminnan edellytyksenä on toimiva ja hyvin hoidettu tietoturvallisuus, jolla taataan mm. sähköisen asioinnin luotettavuus. Tietoturvallisuus on yksi hallinnon toiminnan ja riskien hallinnan kulmakivistä, sen edistäessä hallinnon ja palvelun luotettavuutta, laatua, jatkuvuutta ja asioiden sujuvuutta. 2.1 Tavoitteet ja tietoturvallisuuden merkitys Tietoturvallisuus koostuu tiedon luottamuksellisuudesta, käytettävyydestä ja eheydestä. Jämsän kaupungin tavoitteena on turvata toiminnalleen tärkeiden tietojen, tietojärjestelmien, palveluiden ja tietoverkkojen toiminta, estää niiden valtuudeton käyttö sekä tahaton tai tahallinen tiedon tuhoutuminen. Kunnan kaikkien toimialojen perusluonne ja mahdolliset tarpeet turvallisuuden tehostamiseen tulee ottaa huomioon. Esimerkkinä sosiaali- ja terveyspalvelut, jossa käsitellään runsaasti luottamuksellista tai muuten turvaluokiteltua tietoa, kyseenomaisen yksikön erityisturvaohjeet tulee määritellä ja ottaa käyttöön. Tieto kaikissa muodoissaan, riippumatta siitä onko se tallennettua tai välitettyä, on tärkeä suojattava kohde koko sen elinkaaren ajan. 3 TIETOTURVAN PERUSTASO Tietoturvallisuuden merkityksen ja tietoturvatyön yleisperiaatteiden määrittely, dokumentointi ja viestintä jokaiselle kunnan työntekijälle on välttämätön perusta tietoturvakulttuurin luomiselle. Tietoturvapolitiikka toimii perustana, jonka varaan erilaiset tietoturvaohjeistukset rakentuvat. Tietojen turvaamisessa omina osa-alueinaan otetaan huomioon hallinnollinen, henkilöstö-, fyysinen, tietoaineisto-, tietoliikenne-, laitteisto-, ohjelmisto- ja käyttöturvallisuus, joihin asiakirjahallinnan tietoturvallisuudella on myös liittymäpintoja. 3.1 Hallinnollinen turvallisuus Hallinnollisella turvallisuudella tarkoitetaan tietoturvan yleistä organisointia, suunnittelua, tiedottamista ja valvontaa. Jämsän kaupungin hallinnollisen turvallisuuden perustaso edellyttää, että kunnassa on hyväksytty tietoturvaperiaatteet, laadittu tietoturvaohjeet ja toipumissuunnitelmat, järjestetty tietoturvakoulutusta, määritelty tietoturvavastuut ja -tehtävät, nimetty vastuuhenkilöt ja heille varamiehet. 3.2 Henkilöstöturvallisuus Henkilöstöturvallisuudella tarkoitetaan sekä oman henkilökunnan että ulkopuolisten henkilöiden virka- tai työsuhteen alkaessa, sen aikana ja sen päättyessä sopimuksilla ja valvonnalla huomioon otettavaa turvallisuuden hallintaa. Jämsän kaupungin henkilöstöturvallisuuden perustaso edellyttää, että: kaikkiin tarpeellisiin tietojenkäsittelytehtäviin on nimetty vastuu- ja varahenkilöt esimiesten ja työntekijöiden vastuista, velvollisuuksista ja oikeuksista on laadittu ohjeisto uusi työntekijä on perehdytettävä tietoturva-asioihin vastuuhenkilön toimesta 2

5 henkilökunta noudattaa annettuja tietoturvaohjeita ja -käytäntöjä tietohallintopäällikkö yleisluontoisesti muistuttaa tietoturvasta kaikkia säännöllisesti esimies seuraa, että henkilön oikeudet ovat sen hetken työtehtäviä vastaavat kaikki työntekijät allekirjoittavat salassapito-asiakirjan. 3.3 Fyysinen turvallisuus Fyysisellä turvallisuudella tarkoitetaan Jämsän kaupungin tietoaineistojen, ICT-laitteiden sekä niitä tukevien lämpö-, vesi-, ilmastointi- ja sähkölaitteiden fyysisen kunnon ja tilaratkaisujen turvaamista. Fyysiseen turvallisuuteen liittyy myös erilaisten riskien ennaltaehkäisy, sattuneen vahingon haittojen minimointi, kulunvalvonta ja murtosuojaus. Fyysisen turvallisuuden perustaso edellyttää, että: tietojen luovuttaminen luvattomiin käsiin on kielletty tilojen suunnittelussa otetaan huomioon tietosuoja-, tietoturva- ja työturvallisuusnäkökohdat työtila lukitaan sen jäätyä tyhjäksi palvelimet on keskitetty niille soveltuviin omiin tiloihin palvelintilat on erikseen lukittu ja niihin määritellään kulkuoikeudet työasemat on sijoitettava valvottuihin tiloihin laitteistot on merkitty yksilöidysti kriittiset työasemat on nimetty ja varmennettu varmuuskopiot on sijoitettu fyysisesti erillisiin paloturvallisiin tiloihin kaapeloinnit suoritetaan voimassa olevan yleiskaapelointiohjeen mukaisesti lähiverkon käytönvalvonta on järjestetty lähiverkolle on tehty toipumis- ja valmiussuunnitelma. 3.4 Tietoaineistoturvallisuus Tietoaineistoturvallisuuteen kuuluvat ne ulkoiset normit, jotka rajoittavat tai ohjaavat tietosisällön perusteella tehtävää tietojen käsittelyä. Näitä normeja ovat lait, asetukset, viranomaismääräykset, tietojärjestelmien käsittelysäännöt, tietojen suojaamisluokitteluun liittyvät ohjeet ja arkistointiohjeet. Tietoaineistoturvallisuuden perustaso edellyttää, että henkilökunta tuntee ja noudattaa toiminnassaan: henkilötietojen käsittelyä koskevia yleisiä periaatteita, sääntöjä vaitiolovelvollisuudesta ja salassapidosta (salassapitosopimusmalli) yksikkönsä toimintaa ohjaavia ja rajoittavia normeja, luottamuksellisten tietojen käsittelyohjeita tietojärjestelmän sisältämän tietoaineiston käsittelyä koskevia turvasääntöjä tietojen ja asiakirjojen suojaamisluokitteluun liittyviä ohjeita. Suojaamatonta sähköpostia ja telefaxia käytettäessä varmistetaan, että tieto menee oikealle vastaanottajalle, tunnistettavaa henkilötietoa ei välitetä ja lähetyksen ja vastaanoton suorittaa siihen oikeutettu henkilö. Erityistä huomiota on kiinnitettävä asiakirjojen suojaamisvelvoitteeseen. Tiedot säilytetään ja hävitetään arkistonmuodostamissuunnitelman mukaisesti. Huollettavasta, poistettavasta tai myyntiin luovutettavasta laitteesta poistetaan tai 3

6 puhdistetaan aina kiintolevy. Salassa pidettävien tietojen osalta salassapitovelvollisuus säilyy palvelusuhteen jälkeenkin. 3.5 Tietoliikenneturvallisuus Tietoliikenneturvallisuudella tarkoitetaan Jämsän kaupungin tietoliikennelaitteiden, -ohjelmien ja tietoverkon turvallisuutta. Tietoliikenneturvallisuuden perustaso edellyttää, että: tietoverkot on dokumentoitu ja niiden asennus tapahtuu suunnitellusti tietoihin ja tietojärjestelmiin pääsy on tarkoin määritelty käyttöoikeudet tarkistetaan säännöllisesti luvaton käyttö on estetty tietoliikennelokia ja käyttöhäiriöitä seurataan säännöllisesti työasemiin asennettavien varus-, sovellus- ja tietoliikenneohjelmien osilta noudatetaan annettuja ohjeita varmistetaan tietoliikenneohjelmien ja -laitteiden turvallisuus, luottamuksellisten viestien lähettäjän ja vastaanottajan todentaminen (turvaposti) sovitaan viestien tietosuoja- ja vastuukysymykset omassa verkossa sekä eri tietoliikenneoperaattorien ja huollon välillä. 3.6 Laitteistoturvallisuus Laitteistoturvallisuudella tarkoitetaan ICT-laitteistoihin, tietoverkon rakenteeseen, varusohjelmiin, käyttöjärjestelmiin, laite- ja varusohjelmahuoltoon, varmistuksiin sekä pääsynsuojaukseen liittyvää turvallisuutta. Laitteistoturvallisuuden perustaso edellyttää: ICT-laitteistojen ja tietoverkkojen dokumentoimista toipumissuunnitelmaan varajärjestelmän käytettävyyden varmistamista poikkeusoloja varten laitteistojen fyysisen kunnon ylläpitämistä huolto- ja ylläpitosopimusten ylläpitämistä. 3.7 Ohjelmistoturvallisuus Ohjelmistoturvallisuudella tarkoitetaan tietojärjestelmien määrittelyyn, suunnitteluun, kehittämiseen ja hankintaan sekä ennen käyttöönottoa tapahtuvaan toimintaan liittyvää turvallisuutta. Keskeisiä vaatimuksia ovat: saatavuuden turvaaminen käytettävyys luottamuksellisuus yhteensopivuus eheys. Ohjelmiston suunnittelijan, valmistajan ja myyjän vastuut ohjelmistotuotteista määräytyvät hankinta- ja käyttösopimusten mukaan. Jämsän kaupungin ohjelmistoturvallisuuden perustaso edellyttää: 4

7 tietojärjestelmien ylläpidosta huolehtimista ohjelmistotoimittajien kanssa tehtyjen ylläpitosopimusten mukaisesti ohjelmistotoimittajilta vaaditaan tuotteille tietosuojaselvitys, tietoturvasuunnitelma sekä ICT-valmiussuunnitelma järjestelmämuutokset toteutetaan ohjelmistotoimittajien ja käyttäjien toimesta ja kaikki uudet ohjelmistot ja tarvittavat muutokset testataan toimittajien ja käyttäjien toimesta testaukset suoritetaan laaditun testaussuunnitelman mukaisesti. Jämsän kaupungissa määritellään ohjelmistojen käyttöön liittyvät velvollisuudet seuraavasti: paperiset asiakirjat, sähköiset tietovarannot, tietojärjestelmät, tietotekniset laitteet, tietoverkot ja niihin liittyvät palvelut on pidettävä asianmukaisesti suojattuina sekä normaali - että poikkeusoloissa kaikki ohjelmamuutokset ja päivitykset kirjataan asianmukaisesti ja tehdyistä muutoksista tiedotetaan kirjallisesti käyttäjille ohjelmien kopioinnissa noudatetaan tekijänoikeuslakia ohjelmien asentaminen ja hankinta on keskitetty tietohallintoon, joka hyväksyy kaikki työasemille asennettavat ohjelmat ohjelmien asennusmediat ja niiden kopiot säilytetään tilassa, joka täyttää arkistoinnin vaatimat vesi-, palo- ja tietoturvavaatimukset työasemien käyttäjät vastaavat omien työhön liittyvien tiedostojen varmistamisesta. Palvelimella on käyttäjäkohtaisesti suojattu kotihakemisto, joka varmistetaan palvelimen varmuuskopiointien yhteydessä automaattisesti. Muiden kuin työhön liittyvien tiedostojen tallentaminen tietoverkkoon on kielletty. Tavoitteena on varmistaa tietojärjestelmien jatkuva toiminta ja luotettavuus. 3.8 Käyttöturvallisuus Käyttöturvallisuudella tarkoitetaan kunnassa olevan aineiston, tietojärjestelmien ja niiden käytön turvallisuutta. Käyttöturvallisuuden perustaso edellyttää: hyväksyttyjä asiakirjojen suojaamisluokitteluun liittyviä ohjeita tietojenkäsittelyn toipumis- ja valmiussuunnitelmaa varasuunnitelmaa käyttökatkoihin vastuu- ja varahenkilöiden nimeämistä ohjeistoa päivittäin hoidettavista rutiineista turvallisuusohjeita ja käyttöoikeuskäytäntöjä tietojärjestelmiä käyttävien henkilöiden tunnistamista käyttäjätunnusten, salasanojen, toimikorttien ja PIN -koodimenettelyn käyttöä tietokonevirusten ja haittaohjelmien torjuntaohjeita suojausten riittävyyden varmistamista käytönvalvontaa väärinkäytösten ennaltaehkäisemiseksi tiedostojen sisällön käyttökelpoisuuden varmistamista, tietojen saatavuutta ohjelmien ylläpidon ja huollon saatavuutta. 3.9 Tietosuoja Tietosuojaan kuuluvat yksityiselämän suoja ja sitä turvaavat oikeudet henkilötietojen käsittelyssä ja ovat siten osa tietoturvallisuutta. Tietosuojan toteuttamiseksi mm. laaditaan henkilötietolain mukaiset rekisteriselosteet henkilörekistereistä sekä julkisuuslain mukainen tietojärjestelmäluettelo käytössä olevista tietojärjestelmistä ja tarvittavat tietojärjestelmäselosteet, jotka liitetään osaksi arkistonmuodostussuunnitelmaa ja pidetään jokaisen saatavilla. 5

8 Käyttöoikeuksista vastaa rekisterinpitäjä ja niitä hallinnoivat ohjelmien pääkäyttäjät. Käyttöoikeudet pyydetään aina kirjallisesti esimiehen toimesta. Esimiehen tehtävä on huolehtia, että käyttäjän käyttöoikeudet ovat työtehtävien mukaiset. Tietojärjestelmien käytöstä kertyy sormenjälkitietoa ja järjestelmien käyttöä seurataan. Kukin käyttäjä vastaa käyttäjätunnuksellaan tehdyistä merkinnöistä ja tapahtumista. Käyttöoikeudet tarkistetaan säännöllisesti. Esimies on velvollinen ilmoittamaan alaisen työsuhteen päättymisestä tunnusten ja oikeuksien ylläpitäjille. 4 TIETOTURVATEHTÄVÄT JA TIETOTURVATYÖN ORGANISOINTI Tietoturvallisuustyö on oleellinen ja kiinteä osa tietojärjestelmäkehittämisen tehtävistä. Kaikilla tietojärjestelmien käyttäjillä ja niiden kehittämiseen osallistuvilla tulee olla tietoturvallisuuden perustuntemus. Vastuunjakojen tarkka määrittely on organisaatiokohtainen. Tärkeää on, että organisaatiossa on jaettu selkeästi vastuut eri osapuolien kesken. 5 JOHTO Ylin johto määrittelee tietoturvallisuuden keskeiset periaatteet osana kunnan toiminta- ja tietohallintostrategiaa sekä päättää merkittävistä hankkeista ja hankinnoista sekä vastaa omalla hallinnonalallaan tietoturvan valvonnasta ja tapahtuvien rikkomusten raportoinnista tietohallinnolle. Johto osallistuu myös toiminnalle kriittisten järjestelmäkehityshankkeiden tavoitteenasetteluun ja valvontaan. Johdon sitoutuminen tietoturvallisuuskulttuurin ja tietoturvallisuus-hankkeiden edistämiseen on ensiarvoisen tärkeää. Jämsän kaupungin tietoturvaperiaatteet hyväksytään kaupunginhallituksessa, jonka pohjalta tietohuoltoa toteutetaan tietohallinnon toimesta. Tietohallinto on keskitetty hallintotoimen tehtäväalueeksi, jossa vastaavana viranhaltijana toimii hallintojohtaja, tietohallinnon tehtävät on keskitetty tietohallintopäällikölle. Tietohallinto ohjeistaa ja avustaa henkilöstöä tietoaineiston ja tietojärjestelmien käytössä sekä siihen liittyvässä tietoturvassa. Viime kädessä vastuu valmius- ja toipumissuunnitelmien toimivuudesta on ylimmällä johdolla. 6 TIETOJÄRJESTELMIEN JA LAITTEISTOJEN OMISTAJAT JA VASTUUHENKILÖT Kaikille tietojärjestelmille ja -laitteistoille sekä ulkoistetulle palvelulle on määritelty omistajat ja vastuuhenkilöt, jotka vastaavat niiden palvelutason varmistamisesta, kehittämisestä ja hyväksikäytöstä. Omistaja vastaa tietoturvallisuudesta myös yksittäisen tietojärjestelmän toiminnan ja käytön osalta. Toipumissuunnitelmassa määritelty tavoitteet poikkeustilanteiden toipumisajoille sekä yhteystiedot tahoihin, joiden kautta poikkeustilannejärjestelyt hoidetaan. Jämsän kaupungissa tietojärjestelmän vastuullinen omistaja on se hallintokunta, jonka toimintaa ja tietojenkäsittelyä varten järjestelmä on hankittu. Tietojärjestelmän omistajaa edustaa vastuualueen esimies. Omistajalla on velvollisuus huolehtia tietojensa ja 6

9 tietojärjestelmiensä suojaamisesta sekä lakien, hyvän ylläpitotavan ja kunnassa voimassaolevien sääntöjen ja ohjeiden noudattamisesta. Vastuu on riippumaton siitä, hoidetaanko tietojen käsittely tai tietojärjestelmien ylläpito yksikössä vai hankitaanko se palveluna. 7 ARKISTO Asiakirjallisten tietojen hallintaan ja laatuun liittyvät vaatimukset ovat myös osa tietoturvallisuutta. Arkistotoimea johtavan viranhaltijan johdolla toimivan arkiston vastuulla on varmistaa asiakirjojen käytettävyys, säilyminen ja lainmukainen säilyttäminen. Asiakirja- ja tietohallinnon suunnittelu ja toteutus tapahtuvat arkistonmuodostamissuunnitelman ja tietohallinnon yhteistyönä, jossa huomioidaan sekä arkistotoimeen että tietoturvaan kohdistuvat vaatimukset. 8 PÄÄKÄYTTÄJÄT Tietojärjestelmien pääkäyttäjien tietoturvallisuustehtäviä ovat sovellusten käytettävyydestä ja kehittämisestä, käyttöoikeuksista sekä järjestelmän tietoturvallisuudesta huolehtiminen. Pääkäyttäjä on myös mukana jatkuvuussuunnitteluun liittyvissä projekteissa. 9 HENKILÖSTÖ Henkilöstön on otettava huomioon järjestelmien ja tietojen käyttämisen yhteydessä niihin liittyvien salassapitovelvollisuuksien ja muiden tietoturvallisuusvelvoitteiden noudattaminen. Käyttöoikeuksien luovuttaminen eteenpäin on kielletty. Hallintokunnittain on huolehdittava siitä, että käyttäjät ovat saaneet työyhteisön ja tietojärjestelmän käytön edellyttämän tietoturvallisuusosaamisen koulutus- ja kehittämistarpeiden perusteella. Järjestelmän käyttäjä arvioi järjestelmän käytettävyyttä ja raportoi ongelmista välittömästi omalle esimiehelleen. Esimiehen vastuulla on saattaa kaikki tietosuojarikkomukset käyttöoikeuksista vastaavan henkilön tietoon. Teknisistä puutteista ja mahdollisista vääristä ja puutteellisista käyttöoikeuksista (työntekijän toimenkuva muuttunut, työntekijä siirtynyt osastolta toiselle tms.) esimies informoi pääkäyttäjiä ja tietohallintoa. 7