TIETOTURVA Hoiva- ja hoitoalan asettamat vaatimukset yrityksen tietoturvalle

Koko: px
Aloita esitys sivulta:

Download "TIETOTURVA Hoiva- ja hoitoalan asettamat vaatimukset yrityksen tietoturvalle"

Transkriptio

1 Laura Niiranen, Elsa Väistö TIETOTURVA Hoiva- ja hoitoalan asettamat vaatimukset yrityksen tietoturvalle Opinnäytetyö Tietojenkäsittelyn koulutusohjelma Toukokuu 2007

2 KUVAILULEHTI Opinnäytetyön päivämäärä Tekijä(t) Laura Niiranen Elsa Väistö Koulutusohjelma ja suuntautuminen Tietojenkäsittelyn koulutusohjelma, Ohjelmistotuotanto Nimeke Tietoturva Hoiva- ja hoitoalan asettamat vaatimukset yrityksen tietoturvalle Tiivistelmä Opinnäytetyön aiheena on tietoturva. Työssä kerrotaan ensin tietoturvasta yleisesti, minkä jälkeen tutustutaan tarkemmin vaatimuksiin, joita laki asettaa hoiva- ja hoitoalalle. Lopuksi työssä on esitelty pienelle hoiva-alan yritykselle toteutettu yleinen tietoriskikartoitus ja ohjeistus. Yleisen tietoturva osuuden alussa on selvitetty, mitä yleisesti tarkoitetaan tiedolla ja tietoturvalla. Tämän jälkeen tutustutaan tietoturvasuunnitteluun sekä niihin toimenpiteisiin, joilla yritykset voivat vaikuttaa tietoturvatasoonsa. Tämä osa sisältää esimerkiksi henkilö- ja toimitilaturvallisuuteen liittyviä huomioitavia asioita ja suojauskeinoja. Kun tietoturva on tullut yleisellä tasolla tutuksi, siirrytään käsittelemään hoiva- ja hoitoalan tietoturvaa. Tämän osuuden pääasiallinen sisältö on tarkastella, mitä vaatimuksia Suomen lait asettavat hoiva- tai hoitoalan tietoturvalle. Osuudessa tutustutaan esimerkiksi potilas- ja asiakastietojen käsittelyyn sekä potilas- ja asiakasrekistereihin. Teoriaosuuden jälkeen työssä esitellään pienelle hoiva-alan yritykselle toteutettu yleinen tietoriskikartoitus ja tietoriskien arviointi. Lopuksi on ohjeistus, jonka avulla yritys voi poistaa kartoituksessa esiin tulleita tietoriskejä. Asiasanat (avainsanat) Tietoturva, suunnittelu, hoitoala, hoivatyö, potilasasiakirjat Sivumäärä Kieli URN 51 s. + 2 liitettä Suomi URN:NBN:fi:mamkopinn Huomautus (huomautukset liitteistä) Ohjaavan opettajan nimi Opinnäytetyön toimeksiantaja Olavi Liukkonen

3 DESCRIPTION Date of the bachelor's thesis May 9, 2007 Author(s) Laura Niiranen Elsa Väistö Degree programme and option Business Information Technology Software engineering Name of the bachelor's thesis Data security in health care and nursing Abstract The subject of this bachelor s thesis is data security. The work can be divided in three parts. The first part handles data security in general. The Second part tells about data security in health care and nursing. The third part is a data security risk survey which is made for a small company. At the beginning of the data security part it is told what data and data security mean. Then the thesis discusses information security policies and data security planning. In this part it is also told how companies can improve their protection level against data security risks. The second part of this thesis studies the Finnish law and looks at what kind of demands it sets to the data security on health care and nursing. The third part contains a data security risk survey which is made for a small company in the nursing industry. After the survey there are instructions which help the company to remove most of the data security risks that came up during the survey. Subject headings, (keywords) Data security, planning, caring industry, nursing, patient documents Pages Language URN 51 p + 2 app Finnish URN:NBN:fi:mamkopinn Remarks, notes on appendices Tutor Bachelor s thesis assigned by Olavi Liukkonen

4 SISÄLTÖ 1 JOHDANTO MITÄ ON TIETO? TIETOTURVALLISUUS TIETOTURVASUUNNITTELU Systeemityön vaihejakomalli tietoturvasuunnittelussa Miellekarttatekniikan käyttö tietoturvasuunnittelussa Kustannusten arviointi TIEDON SUOJAAMINEN Hallinnollinen turvallisuus Henkilöturvallisuus Kiinteistö- ja toimitilaturvallisuus Tietoaineistoturvallisuus Tietojen luokittelu Tietoaineiston käytön lopettaminen ja aineiston hävittäminen Tietojenkäsittelyn turvallisuus Tietokoneiden fyysinen suojaaminen Käytettävät ohjelmistot Tietoliikenteen suojaaminen Käyttöturvallisuus Käyttöoikeuksien hallinta Varmuuskopiointi Toipumissuunnitelmat HOIVA- JA HOITOALAN TIETOTURVAN ERITYISPIIRTEITÄ Asiakas- ja potilasrekisterit Asiakas- ja potilasasiakirjat Yksityisyyden suoja ja tietojen luovuttaminen HOIVA- JA HOITOALAN KOULUTUS JA TIETOTURVA ESIMERKKITAPAUS: HOIVA-ALAN YRITYKSEN YLEINEN TIETORISKIKARTOITUS JA -ARVIOINTI Yrityksen esittely... 40

5 9 YRITYKSEN NYKYINEN TIETOTURVATILANNE Henkilöturvallisuus Toimitilojen turvallisuus Tietoaineistoturvallisuus Tietotekninen turvallisuus UHKATEKIJÖIDEN ARVIOINTI JA KORJAAVAT TOIMENPITEET TIETOTURVAOHJEISTUS Henkilöturvallisuus Toimitilojen turvallisuus Tietoaineistoturvallisuus Tietokoneiden käyttö JATKOTOIMENPITEET PÄÄTÄNTÖ LÄHTEET LIITTEET

6 1 JOHDANTO 1 Tämä opinnäytetyö käsittelee yrityksen tietoturvaa hoiva- ja hoitoalan näkökulmasta. Määrittelimme työtä aloittaessamme tutkimusongelmaksi kysymyksen: Mitä erityisvaatimuksia tietoturvalle asettaa se, että yritys toimii hoiva- tai hoitoalalla. Työssä on aluksi selvitetty, mitä yleisesti tarkoitetaan tiedolla ja tietoturvalla. Tämän jälkeen tutustutaan tietoturvasuunnitteluun. Työssä on esitelty kaksi erilaista suunnittelumenetelmää: systeemityön vaihejakomalli ja miellekarttatekniikka. Suunnitteluvaiheen jälkeen esitellään varsinaiseen tiedon suojaamiseen liittyvät asiat. Tämä osa sisältää esimerkiksi henkilö- ja toimitilaturvallisuuteen liittyviä huomioitavia asioita ja suojauskeinoja. Kun tietoturva on tullut yleisellä tasolla tutuksi, selvitetään, mitä tietoturvan erityisvaatimuksia on hoiva- ja hoitoalalla. Tässä osassa selvitetään lähinnä, mitä vaatimuksia laki asettaa hoiva- ja hoitoalan tietoturvalle. Jotta hoiva- ja hoitoalan tietoturva ei jäisi vain lakimääräyksiin, on työssä mukana haastattelu, jonka avulla selvitettiin, mitä tietoturva asioita lähihoitaja -opiskelijoille on opetettu heidän koulutuksensa aikana ja millä menetelmillä opetus tapahtui. Teoriaosuuden jälkeen työssä esitellään pienelle hoiva-alan yritykselle toteutettu yleinen tietoturvakartoitus ja sen perusteella tehty tietoriskien arviointi. Yrityksen nimeä ei mainita opinnäytetyössä tehdyn kartoituksen luonteen vuoksi. Tämä osuus on alun perin tehty tietoturvakurssin harjoitustyöksi ja tämän jälkeen laajennettu aina opinnäytetyöksi asti perehtymällä tarkemmin hoiva- ja hoitoalan tietoturvan asettamiin vaatimuksiin. Arvioinnin jälkeen työssä on ohjeistus, jolla yrityksen tietoturvaa voidaan parantaa.

7 2 MITÄ ON TIETO? 2 Usein tieto, data ja informaatio sekoitetaan keskenään. Arkikielessä tieto ja informaatio tarkoittavat yleensä samaa asiaa. Data on raakatietoa, jolla saattaa olla informatiivista arvoa. (Paavilainen 1998, 1.) Data käsitetään yleensä koodatuksi merkkijonoksi, käytännössä jonoksi ykkösiä ja nollia, joka sijaitsee esimerkiksi tietokoneen kovalevyllä. Dataa voi olla myös esimerkiksi salakirjoitus ilman purkua. Informaatiolla tarkoitetaan mahdollista tietoa. Kyseessä voi olla datan tai muun merkkijonon sisältämä viesti. Tietona voidaan pitää tulkittua ja sisäistettyä informaatiota. Informaatio muuttuu tiedoksi siinä vaiheessa, kun vastaanottaja tajuaa informaation sisällön ja osaa käyttää sitä hyväksi. (Pirkko 2007.) Kyrölän (2001) mukaan Tieto on käsite, joka tarkoittaa kaikkea sitä tietoa, jota yrityksen toiminnassa syntyy ja käsitellään. Tietoturvan kannalta vaikeita ongelmia aiheuttavat tiedon abstraktisuus ja fyysinen olemattomuus, sillä turvatoimet koskevat melkein aina fyysisesti olemassa olevia asioita, esimerkiksi tiedon tallennusvälinettä. Toisen ongelmakohdan aiheuttaa tiedon rahallisen arvon määrittely. Tulisiko tiedon arvo määritellä sen median mukaan, jossa tieto on, vai pitäisikö käyttää määrittelyn perustana tiedon käyttöarvoa? Mikäli tiedon rahallista arvoa määritellään käyttöarvon perusteella, tulee huomioida se, että käyttöarvo on erittäin riippuvainen tiedon käyttäjästä ja haltijasta. Mikäli tiedon saaja ei ymmärrä sen sisältöä, on se pelkkää dataa, jolla ei ole merkitystä. Jos tiedolla on suuri informatiivinen uutuusarvo, nousee sen rahallinen arvo nopeasti korkeaksi. (Paavilainen 1998, 4-5.) Suojeltavan tiedon määrittely riippuu paljon yrityksen toimialasta, laajuudesta sekä asiakaskunnasta. Yrityksen omistajat ja työntekijät tuottavat ja käsittelevät liiketoimintaan liittyviä, yrityksen omistuksessa olevia tietoja, mutta yleensä näiden lisäksi käsitellään myös asiakkaiden ja sidosryhmien tietoja (Kyrölä 2001, 24). Yleisesti voidaankin todeta, että suojeltavaa tietoa on kaikki, mikä vaikuttaa yrityksen toimintaan suoraan tai välillisesti. Yrityksen kannalta tieto on kaikista tärkeimpiä suojattavia kohteita. Toiminnassa käytettävät koneet ja toimitilat voidaan yleensä korvata, mutta kadotettua tietoa ei välttämättä koskaan saada takaisin.

8 3 Kaikella tiedolla on elinkaari eli kyseisen tiedon aikaan sidottu elinaika, jonka alussa tieto luodaan ja lopussa hävitetään. Tiedon luottamuksellisuus ja näin ollen myös käsittelytapa monesti muuttuu tiedon elinkaaren aikana. (Kyrölä 2001, 68.) Pyrittäessä turvalliseen tietojenkäsittelyyn on varmistuttava tiedon koko elinkaaren ajan tiedon oikeanlaisesta käsittelystä. Tietoa saa käsitellä vain ne henkilöt, joilla on tietoon oikeus. Tietoja ei myöskään saa viedä sellaiseen tilaan tai järjestelmään, joka ei vastaa tiedon turvaluokitusta. (Paavilainen 1998, 39.) Elinkaaren ääripäät ovat kaikista ongelmallisimpia tietoturvallisuuden kannalta. Tiedon syntyvaiheessa saatetaan tehdä monia luonnoksia tai kokeiluja, joita kaikkia tulisi käsitellä asianmukaisesti. Elinkaaren päättyessä tulisi huolehtia tietoja sisältävän tallenteen asianmukaisesta tuhoamisesta. (Paavilainen 1998, 44.) 3 TIETOTURVALLISUUS Tietoturvallisuus ymmärretään yleensä tietokoneisiin ja tietoliikenteeseen liittyvänä käsitteenä, vaikka todellisuudessa kyseessä on paljon laajempi asia, joka koskettaa jollain tavalla kaikkia. Törmäämme jokapäiväisissä toimissamme tietoturvaan liittyviin asioihin, vaikka emme sitä välttämättä aina tiedostakaan. Pankkiautomaatilla asioidessa tai sähköpostia lukiessa käytetään turvalukuja ja salasanoja, jotka ovat osa tietoturvaa. Tässä työssä käsitellään tietoturvaa lähinnä yrityksen näkökulmasta ja lisäksi tarkastellaan, mitä lisävaatimuksia tietoturvalle asettaa se, että yritys toimii hoito- tai hoiva-alalla. Tietoturvallisuudella tarkoitetaan tietojen, järjestelmien ja palveluiden suojaamista sekä normaali- että poikkeusoloissa lainsäädännön ja muiden toimenpiteiden avulla. Tietoturvallisuus on tietoriskejä käsittelevä turvallisuuden osa-alue, jonka tarkoituksena on taata tietojen luottamuksellisuus, käytettävyys sekä eheys suojaamalla niitä laitteisto- ja ohjelmistovioilta, luonnonkatastrofeilta sekä tahallisilta ja vahingosta aiheutuneilta uhilta ja vahingoilta. (Paananen 2001, 354.) Luottamuksellisuudella tarkoitetaan, että tieto on vain niiden saatavilla, joilla on sen käyttöön oikeus. Mikäli tiedot paljastuvat ulkopuolisille, menetetään niiden luottamuksellisuus. (Paavilainen 1998, 7-8.) Luottamuksellisuutta voidaan ylläpitää suojaa-

9 4 malla tietojärjestelmien laitteet ja tietovarastot käyttäjätunnuksin ja salasanoin. Arkaluontoisten tai erityisen arvokkaiden tietojen suojaamiseen voidaan käyttää myös erilaisia salakirjoitusmenetelmiä. (Hakala ym. 2006, 4.) Käytettävyys tarkoittaa, että tieto on niihin oikeutettujen henkilöiden tai järjestelmien käytettävissä tai saatavilla (Paavilainen 1998, 8). Käytettävyyttä voidaan ylläpitää huolehtimalla, että tietoliikennejärjestelmien laitteet ovat riittävän tehokkaita. Käytettävien ohjelmistojen tulee myös soveltua mahdollisimman hyvin järjestelmään tallennettujen tietojen käsittelyyn. (Hakala ym. 2006, 4.) Eheys tarkoittaa sitä, että tieto pysyy alkuperäisessä muodossaan ja virheettömänä koko sen elinkaaren ajan (Miettinen 1999, 26). Tiedon eheyden vaatimukset kuulostavat melko vaatimattomalta, mutta käytännössä ne aiheuttavat ongelmia tietotekniikalle. Tästä syystä tiedon eheyden varmistaminen tulisi ottaa huomioon jo tietojärjestelmiä suunniteltaessa. (Paavilainen 1998, 10.) Edellä mainittujen luottamuksellisuuden, käytettävyyden ja eheyden lisäksi tietoturvallisuuden perustekijöihin voidaan lukea myös kiistämättömyys, tarkastettavuus sekä todentaminen. Kiistämättömyys tarkoittaa eri menetelmien avulla saatavaa varmuutta siitä, että tietty henkilö on lähettänyt tietyn viestin (alkuperän kiistämättömyys) tai että viesti on jätetty käsiteltäväksi. Tarkastettavuus tarkoittaa, että muodostuneen aineiston perusteella voidaan tutkia, esiintyykö tiedossa virheitä tai epäsäännöllisyyttä. Tässä käytetään monesti hyödyksi kirjausketjua (tositteiden, syöttötietojen ja tulosteiden aukoton ketju, jonka avulla voidaan jäljittää yksittäisen tiedon käsittelyvaiheet). Todentamisella tarkoitetaan viestinnässä toisen osapuolen tunnistamista. (Paananen 2001, 355.) Kyrölän (2001) mukaan Tietoturvallisuus on yrityksessä ja sen jokaisessa toimintayksikössä vallitseva olotila, joka voidaan tunnistaa ja arvioida ja joka muuttuu. Monesti ajatellaan, että tietoturva on vain alan asiantuntijoiden vastuulla. Tehokas tietoturva on ryhmätyöskentelyä, jossa kokonaisuus riippuu kaikkien osapuolten osallistumisesta. Jokaisen yksittäisen työntekijän sitoutuminen hyvän tietoturvallisuustason ylläpitämiseksi on tärkeää. (Paavilainen 1998, 56.) Tietoturvallisuuden voidaankin

10 sanoa olevan mukana yrityksen ja sen sidosryhmien kaikissa päivittäisissä toiminnoissa (Miettinen 1999, 23 24). 5 4 TIETOTURVASUUNNITTELU Tietoturvasuunnittelu perustuu yrityksen tai organisaation liiketoimintaturvallisuuteen ja siihen liittyvään kokonaisturvallisuuspolitiikkaan, joka määrittelee tietoturvallisuuden tavoitteet osana suurempaa kokonaisuutta (Hakala ym. 2006, 17). Tietoturvasuunnittelu ja ohjeistus on pohjana yrityksen kaikelle tietoturvaan liittyvälle toiminnalle. Suunnittelun rakennetta voidaan kuvata esimerkiksi seuraavanlaisesti. Politiikat Yrityksen johdon kannanottoja, joiden avulla määritellään toiminnan puitteet sekä linjaukset. Standardit Periaatetason kuvaus asian käytännön toteutuksesta Toimintaohjeet Yksityiskohtainen soveltamisohje asian käytännön toteutuksesta KUVA 1. Tietoturvasuunnittelun ja ohjeistuksen rakenne (Miettinen 1999, 104) Tietoturvasuunnittelun avulla yritykselle tai organisaatiolle luodaan toimiva tietoturvapolitiikka. Se muodostuu ylimmän johdon hyväksymistä käytännöistä, joiden avulla haluttu tietoturvallisuuden taso saavutetaan. Tietoturvapolitiikka kuvaa yleisellä tasolla mikä on organisaation eri liiketoimintaprosessien edellyttämä tietojen turvaamisaste, sekä millä menetelmillä haluttuun turvatasoon pyritään. Tietoturvapolitiikassa kerrotaan myös miten tietoturvallisuutta hallinnoidaan ja kehitetään jatkossa. Tietoturva-

11 6 politiikka laaditaan kirjalliseen muotoon ja se toimii ohjeena tietojärjestelmien suunnittelijoille ja eri liiketoimintaprosessien vastuullisille esimiehille. Vaikka politiikka laaditaan useammalle vuodelle kerrallaan (5-10 vuotta), se tarkistetaan vähintään kerran vuodessa vastaamaan organisaation nykyistä toimintaa ja turvallisuustarpeita. (Hakala ym. 2006, 7.) Tietoturvapolitiikkaan tulevien tietojen pitää olla luonteeltaan sellaisia, että ne voidaan julkistaa eli politiikka ei saa sisältää tietoa, joka mahdollistaisi hyökkäyksen tai tietomurron suunnittelun yritystä vastaan. Politiikka tulisi aina kirjoittaa sellaiseen muotoon, että kaikki yrityksen työntekijät voivat ymmärtää sen sisällön. Tietoturvapolitiikkaa voidaan myös jakaa asiakkaille ja yhteistyökumppaneille osoittamaan yrityksen vakavasta pyrkimyksestä suojata omat ja sidosryhmiensä tiedot. (Hakala ym. 2006, 9.) Tietoturvapolitiikka asettaa lähtökohdat tietoturvasuunnitelmalle. Tietoturvasuunnitelma sisältää käytännössä ne toimenpiteet, joiden avulla haluttuun tietoturvallisuuden tasoon pyritään. Siinä määritellään kirjallisesti ne työmenetelmät ja tekniset ratkaisut, joita kussakin tietojärjestelmässä käytetään. Vaikka tietoturvasuunnitelma laaditaan yleensä 2-5 vuodelle, toimintaprosesseissa tapahtuvat muutokset ja uuden teknologian käyttöönotto edellyttävät kuitenkin tietoturvasuunnitelman jatkuvaa päivittämistä. Tietoturvasuunnitelman laatimisesta vastaavat yrityksen tai organisaation turvallisuudesta huolehtivat henkilöt yhdessä tietohallinnon, tietojenkäsittelyn ja tietotekniikan ammattilaisten kanssa. Koska suunnitelmassa kuvataan yksityiskohtaisesti käytettäviä menetelmiä ja teknisiä ratkaisuja, tulisi se luokitella joko luottamukselliseksi tai salaiseksi. (Hakala ym. 2006, 9.) Tietoturvallisuuden organisoimista varten on kehitetty kansallisia ja kansainvälisiä standardeja, joita kutsutaan yleisesti tietoturvastandardeiksi vaikka ne eivät asetakkaan vaatimuksia itse tietoturvalle vaan tietoturvasuunnittelun menettelytavoille. Tietoturvastandardien hyödyllisyys ilmenee erityisesti tietoturvasuunnittelun dokumentoinnissa sillä ne tarjoavat selkeän ja vertailukelpoisen rakenteen suunnittelussa syntyneille dokumenteille. Standardien noudattaminen ei yksin kuitenkaan takaa riittävää turvallisuutta vaan niiden tehtävänä on määritellä ainoastaan, mitä suunnittelutyöhön sisältyy ja missä muodossa sen tulokset esitetään. Suomessa ei vielä ole käytössä kansallisia

12 standardeja ja sen vuoksi suomalaisten organisaatioiden kannattaa toiminnassaan noudattaa kansainvälisiä ja eurooppalaisia standardeja. (Hakala ym. 2006, 46.) 7 Tietoturvasuunnitelmalla määritellään ja toteutetaan myös perusturvallisuuteen liittyvät asiat. Tämä on erittäin tärkeä osa turvallisuutta, koska suurin osa vahingoista tapahtuu perusturvallisuuden laiminlyönneistä. (Paavilainen 1998, 49.) Tietoturvasuunnitelma monesti muodostuu pelkäksi ohjesäännön kaltaiseksi asiakirjaksi. Hyvin laadittu tietoturvasuunnitelma voidaan kuitenkin helposti muuttaa poistamalla teknisiä yksityiskohtia ja korvaamalla ne käyttäjien työhön liittyvillä esimerkeillä, jonka jälkeen se voi toimia peruskäyttäjän ohjeena. (Hakala ym. 2006, 10.) Tietoturvasuunnittelun organisointi riippuu suunnittelutehtävän laajuudesta. Mikäli ollaan laatimassa täysin uuttaa tietoturvasuunnitelmaa tai olemassa olevaa suunnittelua muutetaan olennaisesti, päädytään yleensä suunnittelutiimin tai suunnitteluprojektin perustamiseen. Vuosittain toteutettava suunnitelmien ja ohjeistuksen tarkastus tapahtuu yleensä tietoturvallisuudesta vastaavan yksikön ja tietohallinnon yhteistyönä. (Hakala ym. 2006, 19.) Tietoturvallisuuden suunnittelu on suuritöinen projekti, joka edellyttää kaikkien tietojärjestelmien ja toimintojen kartoittamista. Uuden tietoturvasuunnitelman ja siihen liittyvän seurantajärjestelmän luominen edellyttävät, että suunnitteluprojekti jaetaan helpommin hallittaviin kokonaisuuksiin. Tietoturvasuunnitelman valmistumisen jälkeen projektimuotoinen työskentely päättyy, mutta turvallisuuden ylläpito ja kehittäminen jatkuvat. Suunnitteluprojektista pitäisi päästä joustavasti jatkuvaan tietojärjestelmän kehittämisprosessiin. (Hakala ym. 2006, 22.) Tietoturvallisuuden suunnittelussa voidaan käyttää apuna useita eri lähestymistapoja, joista tässä esitellään kaksi. Systeemityön vaihejakomallin ideana on järjestelmällinen eteneminen alusta loppuun, kun taas miellekarttatekniikassa edetään isommasta kokonaisuudesta pienempään.

13 4.1 Systeemityön vaihejakomalli tietoturvasuunnittelussa 8 Suunnittelussa voidaan käyttää apuna systeemityön vaihejakomallia, jossa tietojärjestelmän rakentaminen jaetaan seitsemään työvaiheeseen, joihin jokaiseen kuuluu olennaisena osana tehdyn työn dokumentointi. Työvaiheet ovat: - esitutkimus - määrittely - suunnittelu - toteutus - testaus - käyttöönotto - ylläpito. (Hakala ym. 2006, 22.) Esitutkimuksessa kerätään projektissa tarvittavat tietolähteet, kuten aiempien tietojärjestelmien dokumentoinnit, noudatettavien standardien kuvaukset sekä erilaiset ohjelmisto- ja laitemanuaalit. Esitutkimuksen tarkoituksena on yleisellä tasolla kartoittaa aloitettavan projektin sisältö. Tutkimuksen perusteella laaditaan tarkempi projektisuunnitelma ja alustava aikataulu. Esitutkimuksen suorittaa yleensä projektin vastuuhenkilö yhdessä eri osa-alueiden asiantuntijoiden kanssa. (Hakala ym. 2006, 23.) Määrittelyvaiheen tarkoituksena on selvittää tietojärjestelmältä vaadittavat turva- ja palveluominaisuudet. Tähän vaiheeseen liittyvät olennaisesti erilaiset kartoitukset ja analyysit. Rakennettaessa täysin uutta tietojärjestelmää, tarvittavia analyysejä ovat esimerkiksi: - tietotarveanalyysi - tietovarastoanalyysi - tietovuoanalyysi. Tietotarveanalyysin avulla määritellään, mitä tietoja yrityksen tai organisaation sisällä tapahtuvat eri toiminnot tarvitsevat. Tiedot luokitellaan yleensä ensin karkeasti syöttöja tulostietoihin. Tietotarveanalyysiä jatketaan jakamalla tiedot tietoturvapolitiikan mukaisiin turvaluokkiin. Yritykseen laadittu tietoturvaluokitus määrittelee yleensä

14 tietojen luottamuksellisuuden ja saatavuuden. (Hakala ym. 2006, 24.) Tietojen luokittelua käsitellään tarkemmin kohdassa 5.4 Tietoaineistoturvallisuus. 9 Tietovarastoanalyysi käsittelee löydettyjen tietojen säilyttämistä. Tiedoille pyritään löytämään sopiva tallennusmuoto. Tiedon varastointitavan määrittelyn yhteydessä tarkistetaan sen soveltuvuus sekä tietojen saatavuuden että luottamuksellisuuden näkökulmasta. Tietovuoanalyysin avulla selvitetään tietojen kulku yrityksen tai organisaation sisällä. (Hakala ym. 2006, 24.) Mikäli kyseessä on vanhan tietojärjestelmän päivitys tai korvaaminen tehokkaammalla, voidaan tehdä myös ongelma-analyysi, jonka avulla pyritään selvittämään vanhan järjestelmän puutteita sekä syy-seuraus analyysi, joka selvittää, mistä esille tulleet ongelmat johtuvat (Hakala ym. 2006, 25). Määrittelyvaihetta seuraavassa suunnitteluvaiheessa pyritään löytämään ratkaisuja määrittelyssä asetettujen ominaisuuksien saavuttamiseksi. Olennainen osa suunnitteluvaihetta on erilaisten vaihtoehtojen vertailu. Tietojärjestelmät ovat nykyisin niin monimutkaisia, että kaikkia määrittelyssä esille tulleita vaatimuksia ei voida täyttää. Välillä joudutaan tekemään valinta kahden tai useamman halutun ominaisuuden välillä, sillä jonkin ominaisuuden toteuttaminen saattaa vaikuttaa epäsuotuisasti joihinkin toisiin tarpeellisiin ominaisuuksiin. Suunnitteluvaiheeseen kuuluvat myös kustannuskysymykset. Kustannus-hyöty-analyysin avulla päätetään, mitkä halutuista ominaisuuksista voidaan saavuttaa taloudellisesti järkevällä panostuksella. Suunnitteluvaiheen tavoitteena on selvittää, miten haluttuihin ominaisuuksiin ja tavoitteena olevaan turvallisuustasoon päästään. (Hakala ym. 2006, ) Toteutusvaiheessa alkaa tietojärjestelmän, ja siihen mahdollisesti liittyvän tietoverkon rakentaminen. Käytännössä tämä tarkoittaa, että suunnitteluvaiheessa valittuja vaihtoehtoja aletaan toteuttaa. Toteutusvaiheessa joudutaan usein vielä muuttamaan suunnitelmia joidenkin yksityiskohtien osalta. Tietoturvasuunnittelussa ei yleensä rakenneta täysin uusia järjestelmiä, vaan otetaan käyttöön tai liitetään tiedon luottamuksellisuutta, käytettävyyttä tai eheyttä parantavia ominaisuuksia jo olemassa oleviin tietojärjestelmiin. Puuttuvat ominaisuudet voidaan usein toteuttaa erillisillä laitteilla tai ohjelmistoilla. Usein myös käytettävien työrutiinien muutoksilla voidaan vaikuttaa turvalli-

15 10 suustasoon. Toteutusvaiheessa dokumentoinnin tärkeys korostuu, sillä tuotettuja dokumentteja käytetään järjestelmän ylläpidon ja jatkossa tehtävän kehittämisen pohjana. (Hakala ym. 2006, 27.) Testausvaiheessa varmistetaan tietojärjestelmien ja niihin liitettyjen laitteiden toiminta. Testauksessa voidaan jaotella seuraavasti: - toiminnallinen testaus (asennettujen laitteiden ja ohjelmistojen yleisen toiminnan testausta) - määritystenmukaisuustestaus (selvitetään, täyttääkö toteutus järjestelmälle asetetut vaatimukset) - standardinmukaisuustestaus (asennettua järjestelmää verrataan siihen liittyviin standardeihin) Testien toteuttaminen edellyttää testiaineiston luomista. Testiaineisto sisältää tietojärjestelmän testaamista varten syöttötiedot ja valmiiksi lasketut tulostiedot. Käytännössä testaus tapahtuu niin, että syöttötiedot syötetään tietojärjestelmään ja verrataan sen laskemia tietoja aineiston valmiiksi laskettuihin tietoihin. Testauksen jälkeen laaditaan testausdokumentit, joista tulee minimissään käydä ilmi testin lopputulos: hyväksyminen tai hylkäys. (Hakala ym. 2006, ) Käyttöönottovaiheessa tietojärjestelmä ja siihen kuuluvat laitteistot otetaan käyttöön. Tähän vaiheeseen tulisi aina liittyä tarkkailujakso, jonka aikana järjestelmän toimintaa seurataan ja käyttäjiä neuvotaan. Käyttöönottovaiheeseen kuuluvat myös luovutus- ja loppudokumenttien laatiminen. Dokumenteissa kuvataan ne muutokset, joita tietoturvakäytäntöihin on tehty suunnitteluvaiheen jälkeen. (Hakala ym. 2006, 28.) 4.2 Miellekarttatekniikan käyttö tietoturvasuunnittelussa Miellekarttatekniikassa (liite 1) ei heti alussa pyritä tarkasti jäsenneltyyn rakenteeseen, vaan ideana on luovasti käsitellä eri henkilöiden käytännön kokemuksia ja näkemyksiä tietoturvan tasosta. Miellekarttatekniikkaa voidaan hyödyntää tietoturvasuunnittelussa käyttämällä kolmivaiheista tarkastelua. Ensimmäiseksi pyritään tunnistamaan tietojärjestelmään liittyvät riskit, toisena vaiheen on ratkaisujen löytäminen havaittujen riski-

16 en välttämiseksi. Kolmantena pohditaan, miten toimitaan, jos riski toteutuu varotoimista huolimatta. (Hakala ym. 2006, 29.) 11 Miellekarttaa käytetään niin, että siihen kirjataan asioita sitä mukaan kun ne tulevat ilmi keskustelun edetessä. Lopuksi miellekartta voidaan piirtää selvemmin jaoteltuna uudelleen. Jotta miellekarttatekniikkaa voidaan käyttää, on ensin ymmärrettävä, mitä tarkoitetaan tietoriskillä. Tietoriskiksi voidaan määritellä liiketoiminnassa tapahtuva tilanne, jolloin tieto tai sen osa ei ole käytettävissä tai se on muuttunut, vääristynyt, hävinnyt tai joutunut asiattomalle taholle. Tilanne voi myös uhata tiedon oikeellisuutta, käyttöä tai luottamuksellisuutta. Käytännössä tämä voi tarkoittaa esimerkiksi sitä, että tärkeä asiakirja tai tiedosto joutuu sellaiselle taholle, jolla ei kyseisiin tietoihin ole oikeutta. Tietoriskiksi voidaan luokitella myös tilanne, jossa tietyn asian osaava tai tietävä henkilö ei ole tavoitettavissa. Tietoriski aiheuttaa toteutuessaan toiminnassa katkoksen, joka voi rajoittua pienelle alueelle tai pahimmassa tapauksessa vaikuttaa koko yrityksen tai yhteisön toimintaan. Toiminnan kannalta tulee ottaa teknisten ratkaisujen lisäksi huomioon myös inhimillisten virheiden, laiminlyöntien ja jopa tahallisen toiminnan vaikutukset. (Kyrölä 2001, ) Tietoriskejä voidaan luonnehtia kolmen elementin: uhan, epävarmuuden ja mahdollisuuden avulla (Miettinen 1999, 50). Yrityksen yleisen riskien hallinnan ja tietoturvallisuuden välillä on aina jonkinlainen riippuvuussuhde. Tämä ilmenee esimerkiksi siten, että riskit, uhat ja niiden tunnistamisessa käytettävät menetelmät ovat yleensä samanlaisia. (Miettinen 1999, ) Riskien tunnistaminen Riskien tunnistaminen toteutetaan riskianalyysin avulla. Riskianalyysi on tekninen tutkintaprosessi, jossa selvitetään tutkinnan kohteeseen kohdistuvat ei-toivotut tapahtumat. Riskianalyysi on teknisempi käsite kuin riskien arviointi tai -hallinta ja siihen kuuluu useita työvaiheita. (Miettinen 1999, 51.) Riskianalyysi voidaan jakaa karkeasti kahteen vaiheeseen: riskikartoitukseen, jossa haetaan systemaattisesti toimintaan liittyvät riskit ja uhkakuvat, ja riskien arviointiin, jossa löydettyjen riskien ja uhkakuvien vaikutusta organisaation toimintaan pyritään arvioimaan sopivilla mittareilla. (Hakala

17 ym. 2006, 80.) Riskikartoituksen avulla olemassa olevat uhat saadaan paikallistetuiksi mahdollisimman hyvin (Paavilainen 1998, 49). 12 Ennen tarkempien, tietojärjestelmäkohtaisten riskianalyysien laatimista kannattaa tehdä yleinen tietoturvariskien kartoitus. Sen avulla selvitetään yleisellä tasolla, mitä riskejä tietojenkäsittelyyn sisältyy missä tahansa tietojärjestelmässä. (Hakala ym. 2006, 80.) Yleisen riskikartoituksen tekijöiden valinnassa kannattaa pyrkiä mahdollisimman edustavaan poikkileikkaukseen yrityksen henkilöstöstä. (Hakala ym. 2006, 81). Mikäli tietoriskejä tarkastellaan vain tietohallinnon asiantuntijoiden kanssa, saadaan suppea käsitys siitä, mitä todella pitäisi tehdä. (Kyrölä 2001, 33). Riskikartoituksessa voidaan käyttää apuna miellekarttoja. Niiden avulla esille tulleet riskit ja uhkakuvat saadaan koottua samaan dokumenttiin ja ne voidaan nopeasti järjestää riskiluokitusten mukaisesti. (Hakala ym. 2006, 81.) Yleisen tietoturvariskien kartoituksen jälkeen voidaan lähteä hakemaan tietojärjestelmäkohtaisia riskejä ja uhkakuvia. Mikäli tietoturvasuunnittelu ei kata yrityksen kaikkia tietojärjestelmiä, on muita järjestelmiä kartoitettava ainakin siltä osin, kuin ne aiheuttavat riskejä tarkasteltaville järjestelmille. Jos muita järjestelmiä ei kartoiteta, voi tietojen siirto niihin aiheuttaa riskin tietojen luottamuksellisuudelle. Myös yhteyksiä yrityksen ulkopuolisten tahojen, kuten tavarantoimittajien ja palveluntarjoajien, tietojärjestelmiin on tarkasteltava. (Hakala ym. 2006, 81).

18 Riskien arviointi 13 Kun kaikki uhkakuvat ja riskit on kartoitettu, aloitetaan riskien arviointi. (Hakala ym. 2006, 81). Tietoriskien arvioinnissa voidaan käyttää apuna nelikenttämallin muunnosta, jossa verrataan riskin toteutumistodennäköisyyttä ja tapahtuman seurausvaikutuksia toisiinsa. SUURI Tapahtuman seurausvaikutus VAKAVAT SEURAUKSET PIENI TODENNÄKÖISYYS VÄHÄISET SEURAUKSET PIENI TODENNÄKÖISYYS VAKAVAT SEURAUKSET SUURI TODENNÄKÖISYYS VÄHÄISET SEURAUKSET SUURI TODENNÄKÖISYYS SUURI Riskin toteutumistodennäköisyys KUVA 2. Nelikenttämalli (Miettinen 1999, 58) Tavoitteena on päästä tilanteeseen, jossa riskin toteutumisen seuraukset ovat vähäiset ja toteutumisen todennäköisyys pieni. Mitä lähempänä kaavion oikeaa ylänurkkaa ollaan, sitä suurempi on todennäköisyys riskin toteutumiselle ja vakaville seurauksille. (Miettinen 1999, ) Vaikutusten arvioinnissa tietojärjestelmän tiedot tulisi sijoittaa tietojen luokitusjärjestelmään, sillä se toimii lähtökohtana pohdittaessa, kuinka vakavia vahinkoja eheys-, käytettävyys- ja luottamuksellisuusriskit voivat aiheuttaa yritykselle. (Hakala ym. 2006, 81).

19 Haettaessa sopivaa riskien arvioinnin lähestymistapaa pitää miettiä mitä lopputulokselta halutaan. Tärkeitä valintakriteereitä ovat esimerkiksi: Lähestymistapa (Toivotaanko lopputulokselta laadullista arviointia, kvalitatiivinen, vai tarkkoja numeroarvoja, kvantitatiivinen.) 2. Lopputuloksen luonne sekä saatujen tulosten esitystapa 3. Käytön helppous (Kvantitatiivisten tulosten arviointiin vaaditaan hyvää matemaattista tietämystä.) 4. Lähestymistavan raportointiominaisuudet (Paavilainen 1998, 65.) Valittiinpa mikä tahansa lähestymistapa, täytyy kuitenkin muistaa, että riskien arvioinnissa on aina myös omat riskinsä. Mikäli käytettävää menetelmää ei tunneta tai osata, voi lopputulos olla virheellinen ja johtaa vääriin toimenpiteisiin. (Paavilainen 1998, 65.) Kartoitusvaiheen jälkeen luodaan tarvittava ohjeistus ja toimintaohjeet. (Paavilainen 1998, 49.) Riskien hallinta Kun riskit ja niiden merkittävyys yrityksen tai organisaation toiminnan jatkuvuuden kannalta on selvitetty, voidaan siirtyä etsimään menetelmiä niiden välttämiseksi. Riskit sisältävästä miellekartasta valitaan ne riskit, jotka edellyttävät toimenpiteitä. Tämän jälkeen kuhunkin riskiin mietitään vaihtoehtoisia ratkaisuja, sekä teknisiä että toiminnallisia. (Hakala ym. 2006, 31.) Tietoriskien hallinnan pääasiallisena tehtävänä on kehittää toimintamenetelmiä ja ohjeita sekä teknisiä suojauskeinoja tietojen suojaamiseksi (Kyrölä 2001, 27). Riskien hallinnan tavoitteena on myös yrityksen toimintaan kohdistuvien riskien luonteen ja laajuuden ymmärtäminen, hyväksyttävän riskitason määrittely sekä olemassa olevan riskitason alentaminen määritellylle tasolle (Miettinen 1999, 50). Kun tietoriskit on tunnistettu ja asetettu tärkeysjärjestykseen, voidaan riskien hallinnan voimavarat keskittää olennaisten riskien hallintaan (Miettinen 1999, 59 60). Yritys voi yrittää hallita riskejä siirtämällä niitä ulkopuolisille tahoille. Tietoturvallisuusriskejä voidaan siirtää ulkoistamalla tietojenkäsittelytoimintoja niitä tuottaville

20 15 palveluyrityksille. Myös vakuutusten ottaminen on osa riskien ulkoistamista. Mikäli näin toimitaan, tulee muistaa, että ulkoistettu riski on hoitamattomana yhtä vakava kuin se olisi omassa yrityksessä. Palveluntarjoajan toimintaa tulee pystyä seuraamaan, jotta varmistutaan sen turvallisuuden riittävästä tasosta. (Hakala ym. 2006, 90.) Joskus yrityksessä päätetään hyväksyä ilmenneet riskit, eikä niiden hallitsemiseksi tehdä minkäänlaisia toimenpiteitä. Tällaiseen ratkaisuun voidaan päätyä silloin kuin riski on pieni tai vähän merkitsevä, sen toteutumisen todennäköisyys on pieni tai riski on luonteeltaan sellainen, että sille ei yksinkertaisesti voida tehdä mitään. (Miettinen 1999, 57.) Tietoturvaratkaisuihin turvaudutaan siinä vaiheessa kun riskejä ei haluta ottaa, eikä niitä voida siirtää yrityksen ulkopuolelle. Erilaisia ratkaisuvaihtoehtoja pohdittaessa on syytä pitää mielessä, että riskejä ei yleensä voida poistaa kokonaan. (Hakala ym. 2006, 91.) 4.3 Kustannusten arviointi Tietoriskien hallinta ja tietoturvan toteuttaminen on kallista. Periaatteena kustannuksia arvioitaessa voidaan pitää sitä, että riskienhallintaan käytettyjen toimenpiteiden kustannusten tulisi olla pienemmät kuin niillä suojattujen kohteiden ja tietojen arvo. (Paavilainen 1998, ) Vertailussa on hyvä käyttää apuna riskianalyysin tulosten lisäksi organisaation tietojen luokitusta ja varmistaa, että suojauskustannukset eivät ylitä tiedon todellista arvoa (Hakala ym. 2006, 94). Taloudellisesti parhaimman ratkaisun valintaan vaikuttaa oleellisesti yrityksen maksuvalmius (Hakala ym. 2006, 96). Kustannusten arvioinnissa voidaan käyttää apuna mallia, jonka avulla kustannukset on helppo eritellä. Kustannukset Ratkaisu Hankinta Kertakustannus Poisto Välittömät Välilliset Yhteensä KUVA 3. Kustannusten arviointi (Hakala ym. 2006, 94) Käyttö ( /vuosi)

21 16 Hankintakustannukset syntyvät tietoturvaratkaisun, esimerkiksi virustentorjuntaohjelmiston, käyttöönotosta, ja ne maksetaan vain kerran. Käyttökustannukset voivat olla kiinteitä (määrästä riippumattomia) tai muuttuvia (määrästä riippuvia). Välittömät kustannukset liittyvät suoraan itse tietoturvaratkaisuun (esimerkiksi ohjelmistolle tarvittavat lisenssit). Välillisiksi kustannuksiksi määritellään esimerkiksi ratkaisun käyttöön liittyvän koulutuksen järjestämiskustannukset tai käyttämisestä aiheutuva työajan menetys. (Hakala ym. 2006, 95.) Ratkaisujen lopullista, taloudellista vaikutusta arvioitaessa on usein syytä laskea kustannukset pidemmältä ajanjaksolta, esimerkiksi viideltä vuodelta. (Hakala ym. 2006, 96). 5 TIEDON SUOJAAMINEN Tiedon suojaamisen toimenpiteet voidaan jakaa osiin sen perusteella, mihin aiheeseen ne liittyvät. Tässä opinnäytetyössä suojaamisen käsittely on jaettu seuraavasti: - Hallinnollinen turvallisuus - Henkilöturvallisuus - Kiinteistö- ja toimitila- turvallisuus - Tietoaineistoturvallisuus - Tietojenkäsittelyn turvallisuus - Käyttöturvallisuus 5.1 Hallinnollinen turvallisuus Hallinnollinen turvallisuus on tietoturvallisuuden osa-alue, joka kokoaa muut tietoturvallisuuden osat yhtenäiseksi ja helpommin käsiteltäväksi kokonaisuudeksi. Hallinnollinen turvallisuus käsittelee esimerkiksi johtamista sekä organisointia. (Miettinen 2002, 131.) Hallinnollisen turvallisuuden pääasiallisena tarkoituksena on luoda yritykseen toimintatapa, jonka avulla pystytään välttämään tai estämään tietoturvaan liittyviä riskejä. Hallinnollisen turvallisuuden tehtävänä on myös määritellä vastuuhenkilöt turvalli-

22 suus-, toipumis-, ja valmiussuunnitteluun ja niihin kuuluviin toimenpiteisiin. (Paavilainen 1998, ) 17 Tietoturvallisuuteen liittyvien uhkien ja riskien tunnistaminen on myös yksi tärkeimmistä hallinnollisen turvallisuuden tehtävistä. Mikäli tunnistaminen on tehty puutteellisesti tai sitä ei ole tehty ollenkaan, saatetaan päätyä käyttämään vääriä suojausmenetelmiä, taikka suojaus osoitetaan vääriin kohteisiin väärässä laajuudessa. (Miettinen 1999, 40.) 5.2 Henkilöturvallisuus Henkilöturvallisuuden pääasiallisena tarkoituksena on estää inhimillisestä toiminnasta aiheutuvat tietoturvavahingot (Paavilainen 1998, 89). Henkilöturvallisuus on tärkeä osa tietoturvaa ja sen parantamiseksi on sekä organisaation rakenteen että henkilöstön koulutustason oltava turvallisuusvaatimusten mukainen (Paavilainen 1998, 94). Henkilöturvallisuus kohdistuu ihmisiin samalla tavalla kuin työsuojelu. Suurin ero näiden kahden välillä on se, mihin asioihin kiinnitetään huomiota. Työsuojelu keskittyy tapaturmien ehkäisemiseen, kun taas henkilöturvallisuuteen liittyviä asioita ovat esimerkiksi taustatietojen tarkistus, erilaiset salassapito- ja vaitiolositoumukset sekä yrityksen henkilöstön, vierailijoiden ja yhteistyökumppanien fyysisen koskemattomuuden suojaaminen. (Miettinen 2002, 15.) Henkilöturvallisuuteen liittyvä asia on myös yrityksen henkilöstöön liittyvien tietoturvariskien hallinta, jota voidaan toteuttaa esimerkiksi käyttöoikeuksien- ja toimenkuvien määrittelyn, sekä koulutuksen avulla (Paavilainen 1998, 87). Tietoturvakoulutus mahdollistaa opittujen asioiden säilymisen sekä uusien asioiden oppimisen. Yrityksen tietoturvallisuuden kehittämisohjelmassa määritellään millaista koulutusta tarjotaan, missä laajuudessa sekä mille kohderyhmälle. Käytännössä koulutusta on tarjottava koko henkilökunnalle, jotta kaikki ymmärtävät ainakin tietoturvallisuuden perusteet sekä sen merkityksen yrityksen liiketoiminnalle. (Miettinen 1999, 158.)

23 18 Yrityksen palkatessa uusia henkilöitä palvelukseensa, tarkastetaan yleensä myös hakijoiden taustatiedot ja luotettavuus (Paavilainen 1998, 92). Henkilön taustatietojen tarkistamisella pyritään varmistumaan siitä, henkilö on se kuka hän väittää olevansa. Samalla voidaan selvittää, että tarkistettavan antamat tiedot esimerkiksi aikaisemmasta työ- ja koulutushistoriasta pitävät paikkansa. Monesti tarkastetaan myös, että henkilöllä ei ole rikollista taustaa tai rikollisia yhteyksiä, jotka voisivat vaikuttaa hänen rekrytointiinsa. (Miettinen 2002, 104.) Luotettavuuden tarkastamiseen on useita erilaisia tapoja. Aikaisemmin yleisessä käytössä ollut tapa, luotettavuuslausunnon pyytäminen poliisilta, on korvattu voimaan tulleella lailla, jossa määritellään tarkasti, mitkä tahot voivat hakeutua turvallisuustarkastuksen piiriin. Turvallisuusselvitysmenettely on lakiin perustuva (Laki turvallisuusselvityksistä) hallintomenettely, jonka tavoitteena on tarjota yhteiskunnallisesti ja kansantaloudellisesti keskeisille toimijoille paremmat mahdollisuudet suojautua rikollista toimintaa vastaa. Turvallisuusselvityksen hakijalle on laissa määritelty useita velvollisuuksia ja selvityksen tekemiseen on aina saatava työntekijän suostumus. Turvallisuusselvityksiä on kolmea eri tyyppiä: suppea-, perusmuotoinen -, ja laaja turvallisuusselvitys. (Poliisi 2006.) Luotettavuuden tarkastamisen lisäksi lasten kanssa työskentelevien rikostausta tulee selvittää (Laki lasten kanssa työskentelevien rikostaustan selvittämisestä). Rikostaustaote annetaan vain sitä pyytävälle henkilölle ja se on tarkoitettu ainoastaan työnantajalle tai lupaviranomaiselle näytettäväksi. Otteeseen tulee merkintä lapseen kohdistuvista rikoksista sekä seksuaali-, väkivalta- ja huumausainerikoksista. (Oikeusrekisterikeskus 2006.) Uudesta työntekijästä saatetaan lisäksi tarkastaa verotustietoja verohallinnolta taikka sukulaistietoja esimerkiksi seurakuntien kautta (Miettinen 2002, 105). Usein yritykset käyttävät uusien henkilöiden palkkauksessa apuna myös psykologisia testejä, joissa henkilön henkisiä ominaisuuksia ja soveltuvuutta haettuun toimeen mitataan monella eri tavalla. (Paavilainen 1998, 92.) Henkilön poistuessa yrityksen palveluksesta menee hänen mukanaan aina jonkin verran yrityksen tietoja. Monesti avainhenkilöiden siirtyminen kilpailevaan yritykseen

24 19 estetään työehtosopimuksessa olevalla huomautuksella, joka kieltää henkilöä toimimasta samalla toimialalla seuraavien 3-5 vuoden aikana. (Paavilainen 1998, ) Riippumatta siitä, miten henkilön työsuhde on päättynyt, tulee aina huolehtia, että kaikki hänen käytössään olleet kulkuluvat, luottokortit ja tunnistuksessa käytetyt tunnukset takavarikoidaan ja niiden voimassaolo lopetetaan. Monesti varsinkin tilapäisille työntekijöille tehdyt tunnukset jäävät voimaan, vaikka henkilö poistuu yrityksen palveluksesta. Henkilöturvallisuuden toimenpiteet alkavatkin uuden työntekijän palkkauksesta ja päättyvät tämän työsuhteensa päättymisen jälkeen (Paavilainen 1998, 93 94). 5.3 Kiinteistö- ja toimitilaturvallisuus Kiinteistö- ja toimitilaturvallisuuden avulla pyritään varmistamaan, että tuotanto- ja toimitiloihin on pääsy vain niillä henkilöillä, joilla on siihen oikeus, varmistetaan tiloissa työskentelevien henkilöiden fyysinen turvallisuus sekä huolehditaan, että tiloissa sijaitseva omaisuus on asianmukaisesti suojattu. (Miettinen 2002, 91). Voidaan sanoa, että kiinteistö- ja toimitilaturvallisuus käsittää kaikki ne toimenpiteet, joilla pyritään estämään tiedolle aiheutuneet fyysiset vahingot. Kaikki yrityksen käytössä olevat tilat eivät ole suojaamisen kannalta samanarvoisia sillä tiloissa suoritettava toiminta asettaa omat vaatimuksensa suojaamiselle. Alhainen suojaustaso riittää yleensä asiakaspalvelu- ja neuvottelutiloille, jotka ovat yleisessä käytössä. Korkeaa suojaustasoa vaativia kohteita ovat esimerkiksi atk-laitetilat ja tuotekehittelytilat. Oleellisinta yrityksen tilojen luokittelussa on, että ymmärretään luokittelun merkitys ja osataan sen pohjalta laittaa käytössä olevat tilat tärkeysjärjestykseen. Valmiita tärkeysluokitusmalleja on olemassa ainakin pankkitoimialalla ja kaupanalalla. (Miettinen 2002, ) Kiinteistö- ja toimitilaturvallisuuden perussuojauskeinoja on tilojen murtosuojaus. Se toteutetaan yleensä joko mekaanisen lukituksen tai sähköisen murtosuojausjärjestelmän tai näiden yhdistelmän avulla. Murtosuojaukseen vaikuttaa myös fyysisten tilojen rakenteet. Sähköinen murtosuojausjärjestelmä muodostuu rikosilmoitinkeskuksesta sekä siihen kytketyistä ilmaisimista. Rikosilmoituskeskuksen ja ilmaisimien väliset yhteydet on toteutettu yleensä kaapeloinneilla tai vaihtoehtoisesti radiotekniikkaan

25 20 perustuvilla langattomilla yhteyksillä. Ilmaisimet voivat olla esimerkiksi liikeilmaisimia, lämpöilmaisimia, magneettikoskettimia, paineilmaisimia tai ääntä tunnistavia ilmaisimia. Järjestelmän ollessa aktivoituna, ilmaisimet reagoivat ympäristössään tapahtuviin muutoksiin ja lähettävät tiedon muutoksista rikosilmoitinkeskukselle. Keskus tulkitsee ilmaisimilta tulevan signaalin ja tekee tarvittaessa hälytyksen esimerkiksi vartiointiliikkeen hälytyskeskukseen. (Miettinen 1999, 182.) Kulunvalvonnan tarkoituksena on valvoa kaikkien ihmisten liikkumista yrityksen tiloissa ja piha-alueilla. Valvonta kattaa yrityksen oman henkilöstön lisäksi yrityksen tiloissa liikkuvat vierailijat sekä ulkopuoliset työntekijät. (Miettinen 2002, 98.) Paavilaisen (1998) mukaan: Kulunvalvonnan tärkein tehtävä on taata, että henkilöt, joilla on oikeus päästä kohteeseen voivat sinne mennä, mutta asiaankuulumattomat eivät sinne pääse. Kulunvalvontaa voidaan käyttää myös muihin tarkoituksiin. Esimerkiksi vyöhykelaskennan avulla voidaan määritellä kuinka paljon ihmisiä tietyssä rakennuksessa tai sen osassa on. Näillä tiedoilla voi olla ratkaiseva merkitys tulipalon tai jonkin muun onnettomuuden sattuessa. (Paavilainen 1998, 98.) Ammattimaisesti toteutettu kulunvalvonta perustuu yleensä sähköisten lukitusten- ja kulkukorttien käyttöön, joiden hallinta voidaan tehdä helposti tietokoneen avulla. (Miettinen 2002, 98.) Yrityksissä, joiden henkilöstön määrä on suuri tai joiden työntekijät työskentelevät asiakaspalvelutehtävissä, olisi hyvä olla käytössä kuvallinen henkilökortti, josta työntekijät voidaan luotettavasti tunnistaa. Henkilökorttiin, tyypistä riippuen, voidaan yhdistää yleensä myös avainkorttiominaisuudet. Palosuojelu on tärkeä osa toimitilaturvallisuutta. Sen avulla yritys huolehtii käytössään olevien toimi- sekä tuotantotilojen suojaamisesta palovahinkoja vastaan. Paloturvallisuudesta on pääsääntöisesti huolehdittu hyvin, sillä Suomessa kiinteistöjen tekniset rakennemääräykset ovat varsin tiukat erityisesti paloturvallisuusvaatimuksissa. Vakuutusyhtiöt ovat asettaneet myös tiukkoja vaatimuksia paloturvallisuudelle. (Miettinen 1999, 183.)

26 21 Halvimmillaan yritys voi huolehtia paloturvallisuudestaan hankkimalla asianmukaisia alkusammutusvälineitä kuten käsisammuttimia ja sammutuspeitteitä, sekä järjestämällä henkilöstölle koulutusta niiden käytöstä (Miettinen 1999, 184). Yksi yleisimmin käytetyistä, alkusammutusvälineitä kalliimmista palosuojelun menetelmistä on automaattinen paloilmoitinjärjestelmä joka löytyy useimmista toimistorakennuksista. Järjestelmä sisältää ympäröivää tilaa tarkkailevia ilmaisimia, sekä keskusyksikön, joka tekee tarvittaessa palohälytyksen. Ilmaisimet seuraavat joko savun muodostusta tai lähiympäristön lämpötilaa. Mikäli määrät ylittävät ennalta asetetut raja-arvot, lähettää ilmaisin tiedon keskusyksikölle, joka välittää hälytyksen eteenpäin joko palolaitokselle tai vartiointiliikkeeseen. Hankintahinnaltaan automaattinen paloilmoitinjärjestelmä on suhteellisen edullinen. (Miettinen 1999, 183.) Automaattinen sammutusjärjestelmä on toinen yleinen palosuojelun menetelmä. Sitä käytetään sammuttamaan alkanut tulipalo joko korkealla paineella ruiskutettavalla vesijohtovedellä, paloa tukahduttavalla kaasulla tai vaahdolla. Vettä sammutusaineena käyttävää sammutusjärjestelmää kutsutaan yleisesti Sprinkler -järjestelmäksi. Automaattiseen sammutusjärjestelmään kuuluu myös ilmaisimet tulipalon havaitsemiseksi, aivan kuten automaattiseen paloilmoitinjärjestelmäänkin ja se käynnistää sammutuksen ilmaisimien tietojen perusteella. Korkean hankintahintansa vuoksi automaattisten sammutusjärjestelmien käyttö on selvästi paloilmoitinjärjestelmiä harvinaisempaa. Yleensä niitä käytetään sellaisten kohteiden suojaamiseen, joissa palo pitää saada sammutettua tai rajattua mahdollisimman nopeasti (esimerkiksi tehtaiden tuotantolinjat ja materiaalivarastot). (Miettinen 1999, ) Mikäli yrityksen toiminnassa käytetään tulta, on näitä tehtäviä suorittavilla henkilöillä oltava tulityölupa (Miettinen 1999, 184). Tulitöiksi luokitellaan työt, joissa syntyy kipinöitä tai joissa käytetään liekkiä tai muuta lämpöä ja jotka voivat aiheuttavat palovaaran. Tulitöitä tekevällä henkilöllä on oltava Suomen Pelastusalan Keskusjärjestön (SPEK) myöntämä voimassa oleva tulityökortti. Suomessa myönnetty tulityökortti on voimassa myös muissa pohjoismaissa ja vastaavasti muissa pohjoismaissa myönnetty tulityökortti hyväksytään Suomessa. Tulityökoulutusta järjestävät esimerkiksi pelastusliitot, pelastuslaitokset, oppilaitokset ja koulutusalan yrittäjät. (Pelastustoimi 2006.)

27 22 Energian saannin varmistaminen on myös osa kiinteistö- ja toimitilaturvallisuutta. Varmistamisen avulla yritys pystyy sähkökatkoksen aikana turvaamaan tärkeimpien sähköllä toimivien laitteiden toiminnan tarvittaessa jopa useiden vuorokausien ajaksi. Yleensä energiansaannin varmistamisella pyritään turvaamaan atk-laitteiden sekä tietoverkkojen toiminta. (Miettinen 2002, 100.) 5.4 Tietoaineistoturvallisuus Tietoaineistoturvallisuuden tehtäviä ovat tietojen tunnistaminen ja turvaluokituskäytännöt (Miettinen 2002, 132). Käytännössä tämä tarkoittaa sitä, että tarkastellaan jokapäiväisessä toiminnassa tarvittavia tietoja sekä niiden suojaamista. Tieto voi ilmetä monessa eri olomuodossa ja näin ollen sen suojaamiseen joudutaan käyttämään monia erilaisia menetelmiä. Nykyään tietoa säilytetään paljon sähköisessä muodossa kuten tiedostoina ja tietokantoina. Tiedon säilytyspaikkana on monesti tietokone tai siirrettävä tietoväline kuten CD- tai DVD- levy, muistitikku tai kovalevy. Tietoa voi olla myös fyysisessä olomuodossa kuten asiakirjat, mallipiirustukset sekä valokuvat. Kaksi edellä mainittua ilmenemismuotoa ovat vielä suhteellisen helposti suojattavissa. Kolmas olomuoto, ihmisen muisti, onkin sitten hankalammin suojattavissa ja monesti sanotaan, että yrityksen tai työyhteisön suurin tietoturvariski löytyy sen työntekijöistä. (Kyrölä 2001, 25.) Tieto on suojattava asianmukaisesti sen kaikissa ilmenemismuodoissa niin, että sitä ei voida käyttää väärin ja se ei aiheuta vahinkoa yrityksen toiminnalle (Miettinen 1999, 24). Tietojen käsittelyn säännöt riippuvat tiedon arkaluonteisuudesta eivätkä siitä millaista tiedon tallennustapaa käytetään (Paavilainen 1998,31). Tietojen tunnistaminen on edellytys sille, että osataan suojata tärkeät tiedot oikein ja näin ehkäistä niiden muuttuminen, asiaton käsittely, häviäminen ja paljastuminen (Kyrölä 2001, 24). Tietoaineistoturvallisuuden toteutuksen perustana toimii tietojen turvaluokitusjärjestelmä, missä kuvataan minkä tyyppisiä ja miten tärkeitä tietoja yrityksen toimintaan liittyy sekä miten eri luokkien tiedot merkitään ja käsitellään tietojen elinkaaren eri vaiheissa (Miettinen 1999, 22).

28 5.4.1 Tietojen luokittelu 23 Tietojen turvaluokitus tarkoittaa sitä, että yritys merkitsee käyttämänsä tiedot järjestelmällisesti ja näin osoittaa tietojen arvon itselleen ja ulkopuolisille. Turvaluokituskäytäntö muodostuu tärkeysluokista ja jokaista luokkaa koskevista käsittelysäännöistä. Käsittelysäännöt saattavat vaihdella tilanteen mukaan. Kaikkia yrityksen käyttämiä tietoja ei tarvitse luokitella, vaan ainoastaan ne joiden sisällöllinen arvo edellyttää sitä. Turvaluokituskäytäntö koskee kaikkia tietoja riippumatta niiden tallennusmuodosta. (Miettinen 2002, 133.) Mitä arkaluontoisempaa tieto on, sitä korkeampi on turvaluokka. Turvaluokan kasvaessa pienenee mahdollisuus tiedon julkistamiseen. (Paavilainen 1998, 33.) Normaalisti turvaluokituksessa käytetään kolmea tai neljää tärkeysluokkaa ja yksityiskohtaisia käsittelysääntöjä kunkin luokan tietojenkäsittelytehtäville. Tiedot voidaan luokitella esimerkiksi julkisiin, sisäisiin, luottamuksellisiin ja salaisiin seuraavasti: TURVALUOKKA KUVAUS Julkinen Tietoja voidaan luovuttaa vapaasti kaikille, myös yrityksen ulkopuolelle. Tietojen virheettömyydestä ja ajantasaisuudesta tulee huolehtia. Sisäinen Tiedot on tarkoitettu kaikkien työntekijöiden käyttöön eikä niiden joutumisesta yrityksen ulkopuolisille koidu vahinkoa. Tietojen luovutus yrityksen ulkopuolelle edellyttää kuitenkin tietojen haltijan lupaa. Luottamuksellinen Tietoja voivat käsitellä ne työntekijät, jotka tarvitsevat tietoja tehtäviensä hoitamiseen. Tietojen jakelu on rajoitettua ja tietojen omistaja päättää kuka tietoja voi käsitellä. Salainen Yrityksen toimintaan liittyviä arkaluonteisia tietoja, jotka ovat vain niiden työntekijöiden saatavilla, jotka tarvitsevat tietoja tehtäviensä hoitoon. Salaisia tietoja työssään käsittelevä joukko on paljon pienempi kuin luottamuksellisia tietoja käsittelevä joukko. KUVA 4. Tiedon turvaluokitus

PK-yrityksen tietoturvasuunnitelman laatiminen www.turkuamk.fi

PK-yrityksen tietoturvasuunnitelman laatiminen www.turkuamk.fi Matti Laakso / Tietoturvapäivä 8.2.2011 PK-yrityksen tietoturvasuunnitelman laatiminen Tietoturvasuunnitelma 1/3 Toimenpiteiden ja dokumentoinnin lopputuloksena syntyvä kokonaisuus -- kirjallinen tietoturvasuunnitelma

Lisätiedot

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1 Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet

Lisätiedot

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Lappeenrannan kaupungin tietoturvaperiaatteet 2016 1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015

Lisätiedot

TIETOTURVA- POLITIIKKA

TIETOTURVA- POLITIIKKA TIETOTURVA- POLITIIKKA Kaupunginhallitus 3.9.2013 216 HAAPAJÄRVEN KAUPUNGIN TIETOTURVAPOLITIIKKA 1. JOHDANTO... 3 2. KATTAVUUS... 3 3. TIETOTURVA... 3 4. TIETOTURVATYÖ... 4 5. ORGANISOINTI JA VASTUUT...

Lisätiedot

Tietoturvapolitiikka

Tietoturvapolitiikka Mäntsälä Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 0.9 2/8 Sisällys 1 Johdanto... 4 2 Mitä tietoturvallisuus on?... 4 2.1 Tietoturvallisuuden hallinta... 5 2.2 Riskienhallinta sekä jatkuvuuden

Lisätiedot

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA JYVÄSKYLÄN KAUPUNKI Tietohallinto JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA VERSIO 1.0 11.5.2009 SISÄLLYSLUETTELO 1 JOHDANTO... 1 2 KATTAVUUS... 1 3 MITÄ TIETOTURVA ON... 1 4 MIKSI TIETOTURVAA...

Lisätiedot

Pilvipalveluiden arvioinnin haasteet

Pilvipalveluiden arvioinnin haasteet Pilvipalveluiden arvioinnin haasteet Tietoturvallisuus- ja jatkuvuuden hallinnan vaatimukset ICT-hankinnoissa, 12.5.2014 Laura Kiviharju Pilvipalvelut Pilvilaskenta (CloudComputing) tarkoittaa internetissä

Lisätiedot

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT TIETOTURVALLISUUDEN KEHITTÄMINEN Opettaja: Tuija Kyrölä 040-5455465 tuija.kyrola@kolumbus.fi Toimintaohjeistus Tietoturvallisuusohjeistus I-TASO II-TASO III-TASO Ylin johto hyväksyy Konsernihallinto valmistelee

Lisätiedot

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvapolitiikka Porvoon Kaupunki Tietoturvapolitiikka Porvoon Kaupunki 1 Sisältö 1 Johdanto... 3 2 Mitä tietoturvallisuus on?... 4 Tietoturvallisuuden hallinta... 4 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen... 5 3 Tietoturvallisuustavoitteet...

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi Järjestelyihin liittyviä asioita Tilatkaa

Lisätiedot

Vihdin kunnan tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka Vihdin kunnan tietoturvapolitiikka Kunnanhallitus 2.3.2015 50, liite 2 Kunnan johtoryhmä 18.11.2014 Tietohallinnon ohjausryhmä (Thor) 24.9.2014 Sisällys 1 Johdanto... 2 2 Mitä tietoturvallisuus on?...

Lisätiedot

Sisällysluettelo. Esipuhe... 10. 1 Johdanto... 15. 2 Tietoturvallisuuden rooli yritystoiminnassa... 17

Sisällysluettelo. Esipuhe... 10. 1 Johdanto... 15. 2 Tietoturvallisuuden rooli yritystoiminnassa... 17 Esipuhe...................................................... 10 1 Johdanto............................................... 15 2 Tietoturvallisuuden rooli yritystoiminnassa.............. 17 2.1 Mitä on

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 9. Luento Tietoturvallisuus Tiedon ominaisuudet

Lisätiedot

Tietoturvapäivä 7.2.2012

Tietoturvapäivä 7.2.2012 Tietoturvapäivä 7.2.2012 Esko Vainikka, yliopettaja, CISSP Tietoturvapäivä Turun ammattikorkeakoulussa Lämpimästi tervetuloa 4. Tietoturvapäivä tapahtumaan Turun ammattikorkeakoulussa Kiitokset jo etukäteen

Lisätiedot

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet Yleisesittely Julkaisutilaisuus 12.6.2014 Teknologiajohtaja Aki Siponen, Microsoft Oy SFS-ISO/IEC 27002:2013 tietoturvallisuuden

Lisätiedot

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41 Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät

Lisätiedot

TIETOTURVAPOLITIIKKA

TIETOTURVAPOLITIIKKA TIETOTURVAPOLITIIKKA Lapin ammattikorkeakoulun rehtori on hyväksynyt tietoturvapolitiikan 18.3.2014. Voimassa toistaiseksi. 2 Sisällysluettelo 1 Yleistä... 3 1.1 Tietoturvallisuuden kolme ulottuvuutta...

Lisätiedot

Laatua ja tehoa toimintaan

Laatua ja tehoa toimintaan Laatua ja tehoa toimintaan Tietoturvallisuus osana laatua Kuntamarkkinat 12.9.2013 Aapo Immonen, Senior Manager, FCG konsultointi Oy 5.9.2013 Page 1 Sisältö Tavoitteet Tietoturvallisuutta ohjaavat tekijät

Lisätiedot

Tietoturvapolitiikka. Kunnanhallitus 27.2.2012 42 Tyrnävän kunta

Tietoturvapolitiikka. Kunnanhallitus 27.2.2012 42 Tyrnävän kunta Tietoturvapolitiikka Kunnanhallitus 27.2.2012 42 Tyrnävän kunta 2 SISÄLLYSLUETTELO 1. YLEISTÄ 3 2. POLITIIKAN SOVELTAMINEN JA LAAJUUS 3 3. TIETOTURVAPOLITIIKKA, TAVOITTEET JA PERIAATTEET 4 4. TIETOJEN

Lisätiedot

Varmaa ja vaivatonta

Varmaa ja vaivatonta Varmaa ja vaivatonta viestintää kaikille Suomessa Tekninen valvonta sähköisissä palveluissa Päällikkö Jarkko Saarimäki Tähän joku aloituskuva, esim. ilmapallopoika jarkko.saarimaki@ficora.fi Ennakkokysymys

Lisätiedot

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016

Lisätiedot

Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015

Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015 Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015 Espoon kaupunki 2015 Tietoturvapolitiikka 1 (7) Yhteenveto Tietoturvapolitiikka on kaupunginhallituksen ja kaupunginjohdon tahdonilmaisu tietoturvan

Lisätiedot

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT YT-neuvosto hyväksynyt 21.11.2007 Vahvistanut: kuntayhtymän johtaja Pentti Leipälä 4.1.2008 1. SÄÄNTÖJEN TARKOITUS 1 2. KÄYTÖN PERIAATTEET

Lisätiedot

Industrial Fire Protection Handbook

Industrial Fire Protection Handbook Industrial Fire Protection Handbook Second Edition R. Craig Schroll T-110.5690 Yritysturvallisuuden seminaari 2. esitys Antti Nilsson 23.11.2005 Industrial Fire Protection Handbook kirjoittanut R. Craig

Lisätiedot

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA Hyväksytty: Hämeenkyrön lautakunta 2.11.2011 Tarkastettu 29.4.2014 OK 1. JOHDANTO Tietojenkäsittely tukee Hämeenkyrön kunnan / n terveydenhuollon toimintayksikön

Lisätiedot

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.

Lisätiedot

Ohje riskien arvioinnin työkalun käyttämiseksi

Ohje riskien arvioinnin työkalun käyttämiseksi Riskien arvioinnin työkalu ohjelmapalveluiden tuottajille Ohje riskien arvioinnin työkalun käyttämiseksi Tämä riskien arvioinnin työkalu on tarkoitettu matkailualan ohjelmapalveluja tarjoaville yrityksille.

Lisätiedot

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty kunnanhallituksessa 20.01.2014 23 1. YLEISTÄ Tietoturva- ja tietosuojapolitiikka asiakirjana sisältää ne periaatteet, toimintatavat, vastuut, toimivallat,

Lisätiedot

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA 2014 SISÄLLYSLUETTELO 1 JOHDANTO... 1 2 KATTAVUUS... 1 3 MITÄ TIETOTURVA ON... 1 4 MIKSI TIETOTURVAA... 1 5 TIETOTURVA JA LAATU... 2 6 TIETOTURVAN KEHITTÄMINEN...

Lisätiedot

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä FINAS-päivä 22.1.2013 Helsingin Messukeskus Laura Kiviharju Viestintävirasto Viestintäviraston

Lisätiedot

Riskit hallintaan ISO 31000

Riskit hallintaan ISO 31000 Riskit hallintaan ISO 31000 Riskienhallinta ja turvallisuus forum 17.10.2012 Riskienhallintajohtaja Juha Pietarinen Tilaisuus, Esittäjä Mitä on riskienhallinta? 2 Strategisten riskienhallinta Tavoitteet

Lisätiedot

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari 2012. Jaakko Lindgren

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari 2012. Jaakko Lindgren Hostingpalvelujen oikeudelliset kysymykset Viestintäviraston Abuse-seminaari 2012 Jaakko Lindgren Legal Counsel Tieto, Legal jaakko.lindgren@tieto.com Esittely Jaakko Lindgren Legal Counsel, Tieto Oyj

Lisätiedot

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt Turun ammattikorkeakoulu 13.09.2005 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT Sisällysluettelo: 1 Sääntöjen tarkoitus... 2 2 Käytön periaatteet... 2 3 Käyttöoikeus ja käyttäjätunnukset... 4 4 Käyttöoikeuden

Lisätiedot

Riippumattomat arviointilaitokset

Riippumattomat arviointilaitokset Riippumattomat arviointilaitokset CSM Riskienhallinta -asetuksen mukainen riippumaton arviointi Komission asetus (352/2009/EY) yhteisestä turvallisuusmenetelmästä, CSM riskienhallinta-asetus, vaatii rautatiejärjestelmässä

Lisätiedot

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa 12.3.2013.

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa 12.3.2013. AEO-Toimijapäivä Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa 12.3.2013 Sami Hyytiäinen Johdanto Turvallisuus ja vaarattomuus toimitusketjussa Kuljetusketjun

Lisätiedot

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure Kuinka moneen tietovuotoon teidän yrityksellänne on varaa? Palomuurit ja VPN ratkaisut suojelevat yritystä ulkopuolisia uhkia vastaan,

Lisätiedot

IT-palvelujen ka yttö sa a nnö t

IT-palvelujen ka yttö sa a nnö t IT-palvelujen ka yttö sa a nnö t Tampereen yliopisto Yliopistopalvelut / tietohallinto Rehtorin päätös 28.8.2014. Sisällysluettelo 1 Soveltamisala... 2 2 Käyttövaltuudet ja käyttäjätunnus... 2 2.1 Käyttövaltuudet...

Lisätiedot

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa 13.05.2015 Terveydenhuollon ATK-päivät Tampere-talo Yleistä Riskienhallintaan löytyy viitekehyksiä/standardeja kuten ISO 31000

Lisätiedot

PILVIPALVELUT. Käyttäjän- ja pääsynhallinnan näkökantoja itsmf.fi aamiasseminaari 29.04.2015

PILVIPALVELUT. Käyttäjän- ja pääsynhallinnan näkökantoja itsmf.fi aamiasseminaari 29.04.2015 PILVIPALVELUT Käyttäjän- ja pääsynhallinnan näkökantoja itsmf.fi aamiasseminaari 29.04.2015 JOHDANTO Yritykset ja yhteisöt ottavat pilvipalveluja käyttöön yhä laajemmassa määrin, ja palveluvalikoima on

Lisätiedot

Vastuullisuusmallin tausta ja tavoitteet

Vastuullisuusmallin tausta ja tavoitteet Vastuullisuusmallin tausta ja tavoitteet Sanna Ström 3.4.2014 Vastuullinen liikenne. Yhteinen asia. Turvallisuusjohtaminen liikennejärjestelmässä Turvallisuusjohtamisjärjestelmä Järjestelmällinen tapa

Lisätiedot

Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset

Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 157/2009 Jussi Holmalahti, johtaja Lupaosasto Tietojärjestelmät

Lisätiedot

Ota kumppaniksi. A UTC Fire & Security Company

Ota kumppaniksi. A UTC Fire & Security Company Ota kumppaniksi paloturvallisuuden ammattilainen A UTC Fire & Security Company Paloturvallisuus yhteinen asiamme Onko kiinteistön paloturvallisuus varmasti kunnossa? Omistajan ja vuokralaisen asenteet

Lisätiedot

ABB Drives and Controls, 26.05.2015 Koneenrakentajan ja laitetoimittajan yhteistoiminta toiminnallisen turvallisuuden varmistamisessa

ABB Drives and Controls, 26.05.2015 Koneenrakentajan ja laitetoimittajan yhteistoiminta toiminnallisen turvallisuuden varmistamisessa ABB Drives and Controls, 26.05.2015 Koneenrakentajan ja laitetoimittajan yhteistoiminta toiminnallisen turvallisuuden varmistamisessa Sisältö 1. Koneenrakentajan haasteita koneiden turvallistamisessa 2.

Lisätiedot

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana Terveydenhuollon Atk-päivät Tampere-talo 26.5.2010 Antti-Olli Taipale Tietohallintojohtaja Päijät-Hämeen sosiaali- ja terveysyhtymä

Lisätiedot

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö Ulkoistamisen hallittu prosessi Veli-Pekka Kuparinen valmiuspäällikkö Muutos ja tietoturvallisuus -ohje Korvaa Vahti-ohjeen 2/1999 ja laajentaa sen tarkastelunäkökulmaa Työryhmänä jaosto, konsulttina WM-data

Lisätiedot

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ Liite E Salassapito- ja tietoturvasitoumus 1 (5) VERSIOHISTORIA Päivä Versio Kuvaus Tekijä 3.0 Tarjouspyynnön liitteeksi Hanketoimisto 2 (5) Salassapito-

Lisätiedot

KILPAILUTTAMO PALVELU

KILPAILUTTAMO PALVELU YLEISET KÄYTTÖEHDOT LAATIMALLA, ESIKATSELEMALLA, SELAAMALLA, LÄHETTÄMÄLLÄ, VASTAANOTTAMALLA TAI LUKEMALLA TARJOUSPYYNNÖN KILPAILUTTAMO:N WWW-SIVUILTA (MYÖHEMMIN PALVELU) SEN LAATIJA (MYÖHEMMIN ASIAKAS)

Lisätiedot

T-110.5690 Yritysturvallisuuden seminaari

T-110.5690 Yritysturvallisuuden seminaari T-110.5690 Yritysturvallisuuden seminaari 16.11.2005 2. esitys Mikko Hopeakivi Ross Anderson: Security Engineering Security Engineering: A Guide to Building Dependable Distributed Systems Ross Anderson

Lisätiedot

Sähköinen kulunvalvonta toimenpiteet yrityksissä. Paavo Mattila Talonrakennusteollisuus ry

Sähköinen kulunvalvonta toimenpiteet yrityksissä. Paavo Mattila Talonrakennusteollisuus ry Sähköinen kulunvalvonta toimenpiteet yrityksissä Paavo Mattila Talonrakennusteollisuus ry Sähköinen kulunvalvonta ja YT-laki YT-laki edellyttää sähköisen kulunvalvonnan käsittelemistä YTneuvotteluissa

Lisätiedot

1. Tietokonejärjestelmien turvauhat

1. Tietokonejärjestelmien turvauhat 1 1. Tietokonejärjestelmien turvauhat Kun yhteiskunta tulee riippuvaisemmaksi tietokoneista, tietokonerikollisuus ei tule ainoastaan vakavammaksi seurauksiltaan vaan myös houkuttelevammaksi rikollisille.

Lisätiedot

Paloturvallisuuden varmistaminen sosiaali- ja terveysalalla ja tuetussa asumisessa Tapaturmien ehkäisyn yksikkö

Paloturvallisuuden varmistaminen sosiaali- ja terveysalalla ja tuetussa asumisessa Tapaturmien ehkäisyn yksikkö 1 Paloturvallisuuden varmistaminen sosiaali- ja terveysalalla ja tuetussa asumisessa Tapaturmien ehkäisyn yksikkö 22.6.2015 STEP-hanke 2012-2016 1 Koulutusaineiston sisältö 1. Johdanto, tausta, tavoitteet

Lisätiedot

MUSEOT KULTTUURIPALVELUINA

MUSEOT KULTTUURIPALVELUINA Elina Arola MUSEOT KULTTUURIPALVELUINA Tutkimuskohteena Mikkelin museot Opinnäytetyö Kulttuuripalvelujen koulutusohjelma Marraskuu 2005 KUVAILULEHTI Opinnäytetyön päivämäärä 25.11.2005 Tekijä(t) Elina

Lisätiedot

Pilvipalvelut ja henkilötiedot

Pilvipalvelut ja henkilötiedot Pilvipalvelut ja henkilötiedot Titta Penttilä Senior information security manager Group Security, TeliaSonera Muuttuva toimintaympäristö Alihankinta, pilvipalvelut Yleisen tietoisuuden ja kiinnostuksen

Lisätiedot

TIETOTURVAA TOTEUTTAMASSA

TIETOTURVAA TOTEUTTAMASSA TIETOTURVAA TOTEUTTAMASSA Ari Andreasson Juha Koivisto TIETOTURVAA TOTEUTTAMASSA TIETOSANOMA Tekijät ja Tietosanoma Oy ISBN 978-951-885-334-6 KL 61.7 Tietosanoma Oy Bulevardi 19 C 00120 Helsinki 09 694

Lisätiedot

Tietoturvallisuuden ja tietoturvaammattilaisen

Tietoturvallisuuden ja tietoturvaammattilaisen Tietoturvallisuuden ja tietoturvaammattilaisen haasteet Turvallisuusjohtaminen 2006 25.10.2006 Jari Pirhonen puheenjohtaja Tietoturva ry Turvallisuusjohtaja, CISSP, CISA Oy Samlink Ab Tieto lisää turvaa

Lisätiedot

Lokipolitiikka (v 1.0/2015)

Lokipolitiikka (v 1.0/2015) KYS erityisvastuualue Etelä-Savon sairaanhoitopiiri Lokipolitiikka (v 1.0/2015) Sisällys 1 JOHDANTO... 2 2 HENKILÖTIETOJEN KÄSITTELYYN LIITTYVÄ LAINSÄÄDÄNTÖ... 2 3 LOKI JA LOKITIETO... 3 4 LOKITIETOJEN

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi Ajankohtaista 1. erä opetusmonisteita

Lisätiedot

AVAINTURVALLISUUSOHJE 2010

AVAINTURVALLISUUSOHJE 2010 AVAINTURVALLISUUSOHJE 2010 Avainturvallisuus on tärkeä osa lukituksella aikaansaatua suojausta. Avainturvallisuus muodostuu avainhallinnasta ja säilytyksestä, valitusta avainturvallisuustasosta sekä avaimen

Lisätiedot

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat? Tietoturva ja tietosuoja Millaisia ovat tietoyhteiskunnan vaarat? Mitä on tietoturva? Miten määrittelisit tietoturvallisuuden? Entä tietosuojan? Mitä ylipäänsä on tieto siinä määrin, kuin se ihmisiä kiinnostaa?

Lisätiedot

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman Turvallisuusselvityslaki ja käytännön toimijat Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman Supon ennalta estävä tehtävä Suojelupoliisin tulee lakisääteisen

Lisätiedot

Purku ja tuotannon ylläpito muutosta toteutettaessa. Vesa Pihlajamaa Hallituksen puheenjohtaja, SK Protect Oy http://www.protect.

Purku ja tuotannon ylläpito muutosta toteutettaessa. Vesa Pihlajamaa Hallituksen puheenjohtaja, SK Protect Oy http://www.protect. Purku ja tuotannon ylläpito muutosta toteutettaessa Vesa Pihlajamaa Hallituksen puheenjohtaja, SK Protect Oy http://www.protect.fi 1 Esitelmän sisältö Esittelyt Tuotantomuutokset ja turvallisuus riskit

Lisätiedot

LIIKETALOUDEN PERUSTUTKINTO, MERKONOMI 2013

LIIKETALOUDEN PERUSTUTKINTO, MERKONOMI 2013 LIIKETALOUDEN PERUSTUTKINTO, MERKONOMI 2013 Verkkopalvelujen tuottaminen ja ylläpito tutkion osa (VEPA) MÄÄRÄYS 20/011/2013 AMMATILLISEN PERUSTUTKINNON PERUSTEET mercuria.fi Verkkopalvelujen tuottaminen

Lisätiedot

SecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology ari-pekka.paananen@secgo.com

SecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology ari-pekka.paananen@secgo.com SecGo Sähköinen allekirjoitus ja sen käyttö Ari-Pekka Paananen, SecGo VE Oy Director,technology ari-pekka.paananen@secgo.com Turvallinen Sähköinen Tiedonkulku Tunnistetut käyttäjät tietojärjestelmiin Pääsyoikeudet

Lisätiedot

HELPPOUDEN VOIMA. Business Suite

HELPPOUDEN VOIMA. Business Suite HELPPOUDEN VOIMA Business Suite UHKA ON TODELLINEN Online-uhkat ovat todellinen yrityksiä haittaava ongelma yrityksen toimialasta riippumatta. Jos sinulla on tietoja tai rahaa, voit joutua kohteeksi. Tietoturvatapausten

Lisätiedot

IT-OSAAJA, TIETOJENKÄSITTELYN ERIKOISTUMISOPINNOT

IT-OSAAJA, TIETOJENKÄSITTELYN ERIKOISTUMISOPINNOT IT-OSAAJA, TIETOJENKÄSITTELYN ERIKOISTUMISOPINNOT KOULUTUKSEN KOHDERYHMÄ SISÄLTÖ Koulutuksen tavoitteena on antaa opiskelijalle valmiudet uusien tietoteknisten menetelmien ja välineiden hyödyntämiseen.

Lisätiedot

SÄHKÖISET JA LAINSÄÄDÄNTÖ

SÄHKÖISET JA LAINSÄÄDÄNTÖ LIIKEARKISTOPÄIVÄT 12.-13.9.2007 ASIAKIRJAT SÄHKÖISET JA LAINSÄÄDÄNTÖ Jukka Tuomela Tampereen yliopisto Oikeustieteiden laitos Lainsäädännön lähtökohtia Lainsäädännössä pyritään siihen, että sähköisiä

Lisätiedot

HAVAINTOJA PARHAISTA KÄYTÄNNÖISTÄ. Harri Vilander, Nixu Oy

HAVAINTOJA PARHAISTA KÄYTÄNNÖISTÄ. Harri Vilander, Nixu Oy HAVAINTOJA PARHAISTA KÄYTÄNNÖISTÄ Harri Vilander, Nixu Oy SISÄLTÖ Tietosuoja-analyysi Tietosuojaa koskeva vaikutustenarviointi (PIA) Kokemuksia matkan varrelta TIETOSUOJA-ANALYYSI Tietosuojan nykytilanteen

Lisätiedot

11.10.2013 Tekijän nimi

11.10.2013 Tekijän nimi 11.10.2013 Tekijän nimi Arkkitehtuuri kehittämisen välineenä Kokonaisarkkitehtuuri hallitun muutoksen avaimena Etelä-Savon maakuntaliitto 10.10.2013 Markku Nenonen Tutkijayliopettaja Mikkelin ammattikorkeakoulu

Lisätiedot

Tilapäisen tulityön suorittaminen. Ohje tilapäisten tulitöiden tekemiseen Technobothniassa

Tilapäisen tulityön suorittaminen. Ohje tilapäisten tulitöiden tekemiseen Technobothniassa 1 Tilapäisen tulityön suorittaminen Ohje tilapäisten tulitöiden tekemiseen Technobothniassa 2 Sisällys Tilapäisen tulityön suorittaminen... 1 Ohje tilapäisten tulitöiden tekemiseen Technobothniassa...

Lisätiedot

Tietojärjestelmän osat

Tietojärjestelmän osat Analyysi Yleistä analyysistä Mitä ohjelmiston on tehtävä? Analyysin ja suunnittelun raja on usein hämärä Ei-tekninen näkökulma asiakkaalle näkyvien pääkomponenttien tasolla Tietojärjestelmän osat Laitteisto

Lisätiedot

Ajoneuvolainsäädäntö 2011 Tuotannon vaatimustenmukaisuuden valvonta (HAP) Jarmo Hirvonen Trafi. Vastuullinen liikenne. Yhteinen asia.

Ajoneuvolainsäädäntö 2011 Tuotannon vaatimustenmukaisuuden valvonta (HAP) Jarmo Hirvonen Trafi. Vastuullinen liikenne. Yhteinen asia. Ajoneuvolainsäädäntö 2011 Tuotannon vaatimustenmukaisuuden valvonta (HAP) Jarmo Hirvonen Trafi Vastuullinen liikenne. Yhteinen asia. Näkökulma Esityksen näkökulma lähes puhtaasti viranomaisnäkökulma, viranomaisvaatimukset

Lisätiedot

IT-palvelut ja tietoturvallisuus Tampereen yliopistossa

IT-palvelut ja tietoturvallisuus Tampereen yliopistossa IT-palvelut ja tietoturvallisuus Tampereen yliopistossa Tietotekniikkataidot 12.3.2014 Sisältö Tietohallinto julkisilla verkkosivuilla Yliopiston intranet Opiskelijan tietotekniikkaopas pääkohdat ja täydennyksiä

Lisätiedot

1(7) TYÖSSÄOPPIMINEN JA AMMATTIOSAAMISEN NÄYTTÖ. Tutkinnon osa: Verkkopalvelujen tuottaminen ja ylläpito 15 osp Tavoitteet:

1(7) TYÖSSÄOPPIMINEN JA AMMATTIOSAAMISEN NÄYTTÖ. Tutkinnon osa: Verkkopalvelujen tuottaminen ja ylläpito 15 osp Tavoitteet: 1(7) TYÖSSÄOPPIMINEN JA AMMATTIOSAAMISEN NÄYTTÖ Tutkinnon osa: Verkkopalvelujen tuottaminen ja ylläpito 15 osp Tavoitteet: Opiskelija tuottaa verkkopalvelujen sisältöä verkkopalvelusovellukseen. Hän osallistuu

Lisätiedot

Soodakattila ja kemikaalionnettomuusriskit. Kemikaalikuljetukset, rautatie/maantieliikenne. Tietoturva- auditoinnit ja SOX vaatimukset

Soodakattila ja kemikaalionnettomuusriskit. Kemikaalikuljetukset, rautatie/maantieliikenne. Tietoturva- auditoinnit ja SOX vaatimukset 1 VAAROJA JA RISKEJÄ VÄHENTÄVIÄ TEKIJÖITÄ vaarat ja riskit Tekniikan tuoma muutos Koulutus, yrityskulttuurin muutos Henkilökohtaisen ajatustavan muutos ja sitoutuminen turvallisiin työ- ja toimintatapoihin

Lisätiedot

Tuunix Oy Jukka Hautakorpi 30.10.2012

Tuunix Oy Jukka Hautakorpi 30.10.2012 Tuunix Oy Jukka Hautakorpi 30.10.2012 Yritysesittely lyhyesti Tuunix Oy:n palvelut Mikä on pilvipalvelu? Pilvipalveluiden edellytykset Tietoturva ipad ja pilvipalvelut Erilaiset pilvipalvelut lyhyesti

Lisätiedot

Sähköi sen pal l tietototurvatason arviointi

Sähköi sen pal l tietototurvatason arviointi Sähköisen palvelun l tietototurvatason arviointi Kirsi Janhunen Arviointia tehdään monesta syystä Itsearviointi Sisäinen arviointi Sisäinen tarkastus Vertaisarviointi Ulkoinen arviointi Lähtökohtana usein

Lisätiedot

Palveluseteli- ja ostopalvelujärjestelmä. 1. vaiheen toiminnallisuudet

Palveluseteli- ja ostopalvelujärjestelmä. 1. vaiheen toiminnallisuudet Palveluseteli- ja ostopalvelujärjestelmä 1. vaiheen toiminnallisuudet Järjestelmän käyttäjät Olen Palveluntuottaja Olen Palvelun järjestämisestä vastaava Olen Asiakas Olen Palvelun myöntäjä Copyright Kuntien

Lisätiedot

1. Toimivan IT-ympäristön rakentaminen

1. Toimivan IT-ympäristön rakentaminen 1. Toimivan IT-ympäristön rakentaminen Tarjontaa paljon tarvitaan henkilö, joka kokoaa oikeat palikat yhteen Ensin hahmotetaan kokonaisuus sen jälkeen tarkastellaan pienempiä osa-alueita Koulutus/tiedon

Lisätiedot

Riskienarvioinnin perusteet ja tavoitteet

Riskienarvioinnin perusteet ja tavoitteet Riskienarvioinnin perusteet ja tavoitteet Jukka Tamminen Yli-ins., DI TSP-Safetymedia Oy 1 Työsuojelun valvonnan vaikuttamisen kohteet TAUSTATEKIJÄT SEURAAMUKSET TYÖTURVALLISUUDEN HALLINTA Organisaatio

Lisätiedot

Harri Koskenranta 24.2. 2005

Harri Koskenranta 24.2. 2005 FYYSINEN TURVALLISUUS T-110.460 - lukitusturvallisuus Harri Koskenranta 24.2. 2005 SUOJAUKSET UHKAT VAHINGOT 24.2. 2005 T-110.460 Koskenranta 2 TURVALLISUUDEN KEHITTÄMINEN TAVOITETILA FYYSISET KEINOT MENETTELYTAVAT

Lisätiedot

Turvallisuus prosessien suunnittelussa ja käyttöönotossa. 1. Luennon aiheesta yleistä 2. Putkisto- ja instrumentointikaavio 3. Poikkeamatarkastelu

Turvallisuus prosessien suunnittelussa ja käyttöönotossa. 1. Luennon aiheesta yleistä 2. Putkisto- ja instrumentointikaavio 3. Poikkeamatarkastelu Turvallisuus prosessien suunnittelussa ja käyttöönotossa Moduuli 2 Turvallisuus prosessilaitoksen suunnittelussa 1. Luennon aiheesta yleistä 2. Putkisto- ja instrumentointikaavio 3. Poikkeamatarkastelu

Lisätiedot

Kymenlaakson Kyläportaali

Kymenlaakson Kyläportaali Kymenlaakson Kyläportaali Klamilan vertaistukiopastus Tietoturva Tietoturvan neljä peruspilaria 1. Luottamuksellisuus 2. Eheys 3. Saatavuus 4. (Luotettavuus) Luottamuksellisuus Käsiteltävää tietoa ei paljasteta

Lisätiedot

Miksi ja miten siirtyä käyttämään nykyistä ERP-järjestelmää pilvessä?

Miksi ja miten siirtyä käyttämään nykyistä ERP-järjestelmää pilvessä? Miksi ja miten siirtyä käyttämään nykyistä ERP-järjestelmää pilvessä? Sisällys Lukijalle 3 Mitä pilvipalveluilla tarkoitetaan? 4 Toiminnanohjausjärjestelmä pilvessä 5 Miksi siirtyä pilvipalveluihin? 6

Lisätiedot

Oamk Ammatillisen opettajakorkeakoulun turvallisuuskansio

Oamk Ammatillisen opettajakorkeakoulun turvallisuuskansio Oikarinen Pia Minustako rehtori -koulutus Yhteenveto kehittämistehtävän laatimisesta 1. KEHITTÄMISTEHTÄVÄN NIMI Oamk Ammatillisen opettajakorkeakoulun turvallisuuskansio 2. TEKIJÖIDEN NIMET Pia Oikarinen

Lisätiedot

Standardisarja IEC 62443. Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Standardisarja IEC 62443. Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus Standardisarja IEC 62443 Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus Matti Sundquist, Sundcon Oy Jukka Alve, SESKO ry 1 ASAFin tietoturvaseminaari 27.1.2004 Automaatioseuran

Lisätiedot

Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen rekisteriseloste

Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen rekisteriseloste Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen rekisteriseloste Johtoryhmä 7.2.2012 SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERINPITÄJÄ 3. REKISTERIN VASTUUHENKILÖ 4. REKISTERIASIOITA

Lisätiedot

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke TITAN-SEMINAARI 9.11.2010 Pasi Ahonen, VTT TITAN projektissa koottiin

Lisätiedot

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö Verkkorikollisuus tietoturvauhkana Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö Verkkorikollisuuden erityispiirteet Verkkorikollisuus on ammattimaista ja tähtää

Lisätiedot

TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET 1.4.2015 ALKAEN

TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET 1.4.2015 ALKAEN TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET 1.4.2015 ALKAEN Khall 9.3.2015 73 2 Sisältö 1. TIETOTURVAPOLITIIKKA... 3 1.1. Tietoturvatyö... 3 1.2. Tietoturvallisuuden osa alueet... 4 1.3. Vastuut ja valvonta...

Lisätiedot

Jussi Klemola 3D- KEITTIÖSUUNNITTELUOHJELMAN KÄYTTÖÖNOTTO

Jussi Klemola 3D- KEITTIÖSUUNNITTELUOHJELMAN KÄYTTÖÖNOTTO Jussi Klemola 3D- KEITTIÖSUUNNITTELUOHJELMAN KÄYTTÖÖNOTTO Opinnäytetyö KESKI-POHJANMAAN AMMATTIKORKEAKOULU Puutekniikan koulutusohjelma Toukokuu 2009 TIIVISTELMÄ OPINNÄYTETYÖSTÄ Yksikkö Aika Ylivieska

Lisätiedot

LIIKETALOUDEN PERUSTUTKINTO, Merkonomi

LIIKETALOUDEN PERUSTUTKINTO, Merkonomi LIIKETALOUDEN PERUSTUTKINTO, Merkonomi Tutkinnon osa Asiakaspalvelu Tarkastele työtehtävistä suoriutumista seuraavista näkökulmasta. Arvioi tutkinnon suorittajan ammattitaitoa / osaamista liiketalouden

Lisätiedot

Henkilötietolain (523/1999) 10 :n mukainen REKISTERISELOSTE

Henkilötietolain (523/1999) 10 :n mukainen REKISTERISELOSTE 1 Rekisterinpitäjä If Vahinkovakuutusyhtiö Oy Y-tunnus 1614120-3 Niittyportti 4, Espoo 00025 IF Yhteyshenkilö rekisteriä koskevissa asioissa If Vahinkovakuutusyhtiö Oy Mika Rintamäki, puh. 101 191515,

Lisätiedot

Periaatteet standardien SFS-EN ISO/IEC 17025:2005 ja SFS-EN ISO 15189:2007 mukaisen näytteenottotoiminnan arvioimiseksi

Periaatteet standardien SFS-EN ISO/IEC 17025:2005 ja SFS-EN ISO 15189:2007 mukaisen näytteenottotoiminnan arvioimiseksi Periaatteet standardien SFS-EN ISO/IEC 17025:2005 ja SFS-EN ISO 15189:2007 mukaisen näytteenottotoiminnan arvioimiseksi FINAS - akkreditointipalvelu Espoo 2012 ISBN 978-952-5610-85-7 1(7) Periaatteet standardien

Lisätiedot

Varautuva, turvallinen opiskelu- ja työpaikka -reaktiivisesta kohti proaktiivista koulua

Varautuva, turvallinen opiskelu- ja työpaikka -reaktiivisesta kohti proaktiivista koulua Varautuva, turvallinen opiskelu- ja työpaikka -reaktiivisesta kohti proaktiivista koulua Opetusalan turvallisuusfoorumi 2015 Turvallisuuspäällikkö Tiina Ranta ja lehtori Soili Martikainen 20.04.2015 www.laurea.fi

Lisätiedot

Turvallisuusvyöhykeperiaate T-110.5610/Koskenranta 4

Turvallisuusvyöhykeperiaate T-110.5610/Koskenranta 4 SUOJAUKSET TOIMITILATURVALLISUUS T-110.5610 - lukitusturvallisuus Harri Koskenranta 22.3.2007 UHKAT VAHINGOT T-110.5610/Koskenranta 2 Lähialue TURVALLISUUDEN KEHITTÄMINEN TAVOITETILA Asiakaspalvelu Työtilat

Lisätiedot

Hiljaisen tietämyksen johtaminen

Hiljaisen tietämyksen johtaminen Hiljaisen tietämyksen johtaminen Uudista ja uudistu 2009 Hiljainen tietämys on osa osaamista Hiljainen ja näkyvä tieto Hiljainen tieto Tiedämme enemmän kuin kykenemme ilmaisemaan *) kokemusperäistä, alitajuista

Lisätiedot

Ammattikorkeakoulu 108 Liite 1

Ammattikorkeakoulu 108 Liite 1 2 (7) Tietoturvapolitiikka Johdanto Tietoturvapolitiikka on ammattikorkeakoulun johdon kannanotto, joka määrittelee ammattikorkeakoulun tietoturvallisuuden tavoitteet, vastuut ja toteutuskeinot. Ammattikorkeakoululla

Lisätiedot

Tietoturvakartoitus yrityksen Internet-palveluja tuottavassa yksikössä

Tietoturvakartoitus yrityksen Internet-palveluja tuottavassa yksikössä Tietoturvakartoitus yrityksen Internet-palveluja tuottavassa yksikössä Antti Nilsson 9.1.2008 Valvoja Prof. Jukka Manner Esityksen sisältö Kohdeorganisaation esittely Työn tausta ja tavoitteet Kirjallisuus

Lisätiedot