TIETOTURVA Hoiva- ja hoitoalan asettamat vaatimukset yrityksen tietoturvalle

Koko: px
Aloita esitys sivulta:

Download "TIETOTURVA Hoiva- ja hoitoalan asettamat vaatimukset yrityksen tietoturvalle"

Transkriptio

1 Laura Niiranen, Elsa Väistö TIETOTURVA Hoiva- ja hoitoalan asettamat vaatimukset yrityksen tietoturvalle Opinnäytetyö Tietojenkäsittelyn koulutusohjelma Toukokuu 2007

2 KUVAILULEHTI Opinnäytetyön päivämäärä Tekijä(t) Laura Niiranen Elsa Väistö Koulutusohjelma ja suuntautuminen Tietojenkäsittelyn koulutusohjelma, Ohjelmistotuotanto Nimeke Tietoturva Hoiva- ja hoitoalan asettamat vaatimukset yrityksen tietoturvalle Tiivistelmä Opinnäytetyön aiheena on tietoturva. Työssä kerrotaan ensin tietoturvasta yleisesti, minkä jälkeen tutustutaan tarkemmin vaatimuksiin, joita laki asettaa hoiva- ja hoitoalalle. Lopuksi työssä on esitelty pienelle hoiva-alan yritykselle toteutettu yleinen tietoriskikartoitus ja ohjeistus. Yleisen tietoturva osuuden alussa on selvitetty, mitä yleisesti tarkoitetaan tiedolla ja tietoturvalla. Tämän jälkeen tutustutaan tietoturvasuunnitteluun sekä niihin toimenpiteisiin, joilla yritykset voivat vaikuttaa tietoturvatasoonsa. Tämä osa sisältää esimerkiksi henkilö- ja toimitilaturvallisuuteen liittyviä huomioitavia asioita ja suojauskeinoja. Kun tietoturva on tullut yleisellä tasolla tutuksi, siirrytään käsittelemään hoiva- ja hoitoalan tietoturvaa. Tämän osuuden pääasiallinen sisältö on tarkastella, mitä vaatimuksia Suomen lait asettavat hoiva- tai hoitoalan tietoturvalle. Osuudessa tutustutaan esimerkiksi potilas- ja asiakastietojen käsittelyyn sekä potilas- ja asiakasrekistereihin. Teoriaosuuden jälkeen työssä esitellään pienelle hoiva-alan yritykselle toteutettu yleinen tietoriskikartoitus ja tietoriskien arviointi. Lopuksi on ohjeistus, jonka avulla yritys voi poistaa kartoituksessa esiin tulleita tietoriskejä. Asiasanat (avainsanat) Tietoturva, suunnittelu, hoitoala, hoivatyö, potilasasiakirjat Sivumäärä Kieli URN 51 s. + 2 liitettä Suomi URN:NBN:fi:mamkopinn Huomautus (huomautukset liitteistä) Ohjaavan opettajan nimi Opinnäytetyön toimeksiantaja Olavi Liukkonen

3 DESCRIPTION Date of the bachelor's thesis May 9, 2007 Author(s) Laura Niiranen Elsa Väistö Degree programme and option Business Information Technology Software engineering Name of the bachelor's thesis Data security in health care and nursing Abstract The subject of this bachelor s thesis is data security. The work can be divided in three parts. The first part handles data security in general. The Second part tells about data security in health care and nursing. The third part is a data security risk survey which is made for a small company. At the beginning of the data security part it is told what data and data security mean. Then the thesis discusses information security policies and data security planning. In this part it is also told how companies can improve their protection level against data security risks. The second part of this thesis studies the Finnish law and looks at what kind of demands it sets to the data security on health care and nursing. The third part contains a data security risk survey which is made for a small company in the nursing industry. After the survey there are instructions which help the company to remove most of the data security risks that came up during the survey. Subject headings, (keywords) Data security, planning, caring industry, nursing, patient documents Pages Language URN 51 p + 2 app Finnish URN:NBN:fi:mamkopinn Remarks, notes on appendices Tutor Bachelor s thesis assigned by Olavi Liukkonen

4 SISÄLTÖ 1 JOHDANTO MITÄ ON TIETO? TIETOTURVALLISUUS TIETOTURVASUUNNITTELU Systeemityön vaihejakomalli tietoturvasuunnittelussa Miellekarttatekniikan käyttö tietoturvasuunnittelussa Kustannusten arviointi TIEDON SUOJAAMINEN Hallinnollinen turvallisuus Henkilöturvallisuus Kiinteistö- ja toimitilaturvallisuus Tietoaineistoturvallisuus Tietojen luokittelu Tietoaineiston käytön lopettaminen ja aineiston hävittäminen Tietojenkäsittelyn turvallisuus Tietokoneiden fyysinen suojaaminen Käytettävät ohjelmistot Tietoliikenteen suojaaminen Käyttöturvallisuus Käyttöoikeuksien hallinta Varmuuskopiointi Toipumissuunnitelmat HOIVA- JA HOITOALAN TIETOTURVAN ERITYISPIIRTEITÄ Asiakas- ja potilasrekisterit Asiakas- ja potilasasiakirjat Yksityisyyden suoja ja tietojen luovuttaminen HOIVA- JA HOITOALAN KOULUTUS JA TIETOTURVA ESIMERKKITAPAUS: HOIVA-ALAN YRITYKSEN YLEINEN TIETORISKIKARTOITUS JA -ARVIOINTI Yrityksen esittely... 40

5 9 YRITYKSEN NYKYINEN TIETOTURVATILANNE Henkilöturvallisuus Toimitilojen turvallisuus Tietoaineistoturvallisuus Tietotekninen turvallisuus UHKATEKIJÖIDEN ARVIOINTI JA KORJAAVAT TOIMENPITEET TIETOTURVAOHJEISTUS Henkilöturvallisuus Toimitilojen turvallisuus Tietoaineistoturvallisuus Tietokoneiden käyttö JATKOTOIMENPITEET PÄÄTÄNTÖ LÄHTEET LIITTEET

6 1 JOHDANTO 1 Tämä opinnäytetyö käsittelee yrityksen tietoturvaa hoiva- ja hoitoalan näkökulmasta. Määrittelimme työtä aloittaessamme tutkimusongelmaksi kysymyksen: Mitä erityisvaatimuksia tietoturvalle asettaa se, että yritys toimii hoiva- tai hoitoalalla. Työssä on aluksi selvitetty, mitä yleisesti tarkoitetaan tiedolla ja tietoturvalla. Tämän jälkeen tutustutaan tietoturvasuunnitteluun. Työssä on esitelty kaksi erilaista suunnittelumenetelmää: systeemityön vaihejakomalli ja miellekarttatekniikka. Suunnitteluvaiheen jälkeen esitellään varsinaiseen tiedon suojaamiseen liittyvät asiat. Tämä osa sisältää esimerkiksi henkilö- ja toimitilaturvallisuuteen liittyviä huomioitavia asioita ja suojauskeinoja. Kun tietoturva on tullut yleisellä tasolla tutuksi, selvitetään, mitä tietoturvan erityisvaatimuksia on hoiva- ja hoitoalalla. Tässä osassa selvitetään lähinnä, mitä vaatimuksia laki asettaa hoiva- ja hoitoalan tietoturvalle. Jotta hoiva- ja hoitoalan tietoturva ei jäisi vain lakimääräyksiin, on työssä mukana haastattelu, jonka avulla selvitettiin, mitä tietoturva asioita lähihoitaja -opiskelijoille on opetettu heidän koulutuksensa aikana ja millä menetelmillä opetus tapahtui. Teoriaosuuden jälkeen työssä esitellään pienelle hoiva-alan yritykselle toteutettu yleinen tietoturvakartoitus ja sen perusteella tehty tietoriskien arviointi. Yrityksen nimeä ei mainita opinnäytetyössä tehdyn kartoituksen luonteen vuoksi. Tämä osuus on alun perin tehty tietoturvakurssin harjoitustyöksi ja tämän jälkeen laajennettu aina opinnäytetyöksi asti perehtymällä tarkemmin hoiva- ja hoitoalan tietoturvan asettamiin vaatimuksiin. Arvioinnin jälkeen työssä on ohjeistus, jolla yrityksen tietoturvaa voidaan parantaa.

7 2 MITÄ ON TIETO? 2 Usein tieto, data ja informaatio sekoitetaan keskenään. Arkikielessä tieto ja informaatio tarkoittavat yleensä samaa asiaa. Data on raakatietoa, jolla saattaa olla informatiivista arvoa. (Paavilainen 1998, 1.) Data käsitetään yleensä koodatuksi merkkijonoksi, käytännössä jonoksi ykkösiä ja nollia, joka sijaitsee esimerkiksi tietokoneen kovalevyllä. Dataa voi olla myös esimerkiksi salakirjoitus ilman purkua. Informaatiolla tarkoitetaan mahdollista tietoa. Kyseessä voi olla datan tai muun merkkijonon sisältämä viesti. Tietona voidaan pitää tulkittua ja sisäistettyä informaatiota. Informaatio muuttuu tiedoksi siinä vaiheessa, kun vastaanottaja tajuaa informaation sisällön ja osaa käyttää sitä hyväksi. (Pirkko 2007.) Kyrölän (2001) mukaan Tieto on käsite, joka tarkoittaa kaikkea sitä tietoa, jota yrityksen toiminnassa syntyy ja käsitellään. Tietoturvan kannalta vaikeita ongelmia aiheuttavat tiedon abstraktisuus ja fyysinen olemattomuus, sillä turvatoimet koskevat melkein aina fyysisesti olemassa olevia asioita, esimerkiksi tiedon tallennusvälinettä. Toisen ongelmakohdan aiheuttaa tiedon rahallisen arvon määrittely. Tulisiko tiedon arvo määritellä sen median mukaan, jossa tieto on, vai pitäisikö käyttää määrittelyn perustana tiedon käyttöarvoa? Mikäli tiedon rahallista arvoa määritellään käyttöarvon perusteella, tulee huomioida se, että käyttöarvo on erittäin riippuvainen tiedon käyttäjästä ja haltijasta. Mikäli tiedon saaja ei ymmärrä sen sisältöä, on se pelkkää dataa, jolla ei ole merkitystä. Jos tiedolla on suuri informatiivinen uutuusarvo, nousee sen rahallinen arvo nopeasti korkeaksi. (Paavilainen 1998, 4-5.) Suojeltavan tiedon määrittely riippuu paljon yrityksen toimialasta, laajuudesta sekä asiakaskunnasta. Yrityksen omistajat ja työntekijät tuottavat ja käsittelevät liiketoimintaan liittyviä, yrityksen omistuksessa olevia tietoja, mutta yleensä näiden lisäksi käsitellään myös asiakkaiden ja sidosryhmien tietoja (Kyrölä 2001, 24). Yleisesti voidaankin todeta, että suojeltavaa tietoa on kaikki, mikä vaikuttaa yrityksen toimintaan suoraan tai välillisesti. Yrityksen kannalta tieto on kaikista tärkeimpiä suojattavia kohteita. Toiminnassa käytettävät koneet ja toimitilat voidaan yleensä korvata, mutta kadotettua tietoa ei välttämättä koskaan saada takaisin.

8 3 Kaikella tiedolla on elinkaari eli kyseisen tiedon aikaan sidottu elinaika, jonka alussa tieto luodaan ja lopussa hävitetään. Tiedon luottamuksellisuus ja näin ollen myös käsittelytapa monesti muuttuu tiedon elinkaaren aikana. (Kyrölä 2001, 68.) Pyrittäessä turvalliseen tietojenkäsittelyyn on varmistuttava tiedon koko elinkaaren ajan tiedon oikeanlaisesta käsittelystä. Tietoa saa käsitellä vain ne henkilöt, joilla on tietoon oikeus. Tietoja ei myöskään saa viedä sellaiseen tilaan tai järjestelmään, joka ei vastaa tiedon turvaluokitusta. (Paavilainen 1998, 39.) Elinkaaren ääripäät ovat kaikista ongelmallisimpia tietoturvallisuuden kannalta. Tiedon syntyvaiheessa saatetaan tehdä monia luonnoksia tai kokeiluja, joita kaikkia tulisi käsitellä asianmukaisesti. Elinkaaren päättyessä tulisi huolehtia tietoja sisältävän tallenteen asianmukaisesta tuhoamisesta. (Paavilainen 1998, 44.) 3 TIETOTURVALLISUUS Tietoturvallisuus ymmärretään yleensä tietokoneisiin ja tietoliikenteeseen liittyvänä käsitteenä, vaikka todellisuudessa kyseessä on paljon laajempi asia, joka koskettaa jollain tavalla kaikkia. Törmäämme jokapäiväisissä toimissamme tietoturvaan liittyviin asioihin, vaikka emme sitä välttämättä aina tiedostakaan. Pankkiautomaatilla asioidessa tai sähköpostia lukiessa käytetään turvalukuja ja salasanoja, jotka ovat osa tietoturvaa. Tässä työssä käsitellään tietoturvaa lähinnä yrityksen näkökulmasta ja lisäksi tarkastellaan, mitä lisävaatimuksia tietoturvalle asettaa se, että yritys toimii hoito- tai hoiva-alalla. Tietoturvallisuudella tarkoitetaan tietojen, järjestelmien ja palveluiden suojaamista sekä normaali- että poikkeusoloissa lainsäädännön ja muiden toimenpiteiden avulla. Tietoturvallisuus on tietoriskejä käsittelevä turvallisuuden osa-alue, jonka tarkoituksena on taata tietojen luottamuksellisuus, käytettävyys sekä eheys suojaamalla niitä laitteisto- ja ohjelmistovioilta, luonnonkatastrofeilta sekä tahallisilta ja vahingosta aiheutuneilta uhilta ja vahingoilta. (Paananen 2001, 354.) Luottamuksellisuudella tarkoitetaan, että tieto on vain niiden saatavilla, joilla on sen käyttöön oikeus. Mikäli tiedot paljastuvat ulkopuolisille, menetetään niiden luottamuksellisuus. (Paavilainen 1998, 7-8.) Luottamuksellisuutta voidaan ylläpitää suojaa-

9 4 malla tietojärjestelmien laitteet ja tietovarastot käyttäjätunnuksin ja salasanoin. Arkaluontoisten tai erityisen arvokkaiden tietojen suojaamiseen voidaan käyttää myös erilaisia salakirjoitusmenetelmiä. (Hakala ym. 2006, 4.) Käytettävyys tarkoittaa, että tieto on niihin oikeutettujen henkilöiden tai järjestelmien käytettävissä tai saatavilla (Paavilainen 1998, 8). Käytettävyyttä voidaan ylläpitää huolehtimalla, että tietoliikennejärjestelmien laitteet ovat riittävän tehokkaita. Käytettävien ohjelmistojen tulee myös soveltua mahdollisimman hyvin järjestelmään tallennettujen tietojen käsittelyyn. (Hakala ym. 2006, 4.) Eheys tarkoittaa sitä, että tieto pysyy alkuperäisessä muodossaan ja virheettömänä koko sen elinkaaren ajan (Miettinen 1999, 26). Tiedon eheyden vaatimukset kuulostavat melko vaatimattomalta, mutta käytännössä ne aiheuttavat ongelmia tietotekniikalle. Tästä syystä tiedon eheyden varmistaminen tulisi ottaa huomioon jo tietojärjestelmiä suunniteltaessa. (Paavilainen 1998, 10.) Edellä mainittujen luottamuksellisuuden, käytettävyyden ja eheyden lisäksi tietoturvallisuuden perustekijöihin voidaan lukea myös kiistämättömyys, tarkastettavuus sekä todentaminen. Kiistämättömyys tarkoittaa eri menetelmien avulla saatavaa varmuutta siitä, että tietty henkilö on lähettänyt tietyn viestin (alkuperän kiistämättömyys) tai että viesti on jätetty käsiteltäväksi. Tarkastettavuus tarkoittaa, että muodostuneen aineiston perusteella voidaan tutkia, esiintyykö tiedossa virheitä tai epäsäännöllisyyttä. Tässä käytetään monesti hyödyksi kirjausketjua (tositteiden, syöttötietojen ja tulosteiden aukoton ketju, jonka avulla voidaan jäljittää yksittäisen tiedon käsittelyvaiheet). Todentamisella tarkoitetaan viestinnässä toisen osapuolen tunnistamista. (Paananen 2001, 355.) Kyrölän (2001) mukaan Tietoturvallisuus on yrityksessä ja sen jokaisessa toimintayksikössä vallitseva olotila, joka voidaan tunnistaa ja arvioida ja joka muuttuu. Monesti ajatellaan, että tietoturva on vain alan asiantuntijoiden vastuulla. Tehokas tietoturva on ryhmätyöskentelyä, jossa kokonaisuus riippuu kaikkien osapuolten osallistumisesta. Jokaisen yksittäisen työntekijän sitoutuminen hyvän tietoturvallisuustason ylläpitämiseksi on tärkeää. (Paavilainen 1998, 56.) Tietoturvallisuuden voidaankin

10 sanoa olevan mukana yrityksen ja sen sidosryhmien kaikissa päivittäisissä toiminnoissa (Miettinen 1999, 23 24). 5 4 TIETOTURVASUUNNITTELU Tietoturvasuunnittelu perustuu yrityksen tai organisaation liiketoimintaturvallisuuteen ja siihen liittyvään kokonaisturvallisuuspolitiikkaan, joka määrittelee tietoturvallisuuden tavoitteet osana suurempaa kokonaisuutta (Hakala ym. 2006, 17). Tietoturvasuunnittelu ja ohjeistus on pohjana yrityksen kaikelle tietoturvaan liittyvälle toiminnalle. Suunnittelun rakennetta voidaan kuvata esimerkiksi seuraavanlaisesti. Politiikat Yrityksen johdon kannanottoja, joiden avulla määritellään toiminnan puitteet sekä linjaukset. Standardit Periaatetason kuvaus asian käytännön toteutuksesta Toimintaohjeet Yksityiskohtainen soveltamisohje asian käytännön toteutuksesta KUVA 1. Tietoturvasuunnittelun ja ohjeistuksen rakenne (Miettinen 1999, 104) Tietoturvasuunnittelun avulla yritykselle tai organisaatiolle luodaan toimiva tietoturvapolitiikka. Se muodostuu ylimmän johdon hyväksymistä käytännöistä, joiden avulla haluttu tietoturvallisuuden taso saavutetaan. Tietoturvapolitiikka kuvaa yleisellä tasolla mikä on organisaation eri liiketoimintaprosessien edellyttämä tietojen turvaamisaste, sekä millä menetelmillä haluttuun turvatasoon pyritään. Tietoturvapolitiikassa kerrotaan myös miten tietoturvallisuutta hallinnoidaan ja kehitetään jatkossa. Tietoturva-

11 6 politiikka laaditaan kirjalliseen muotoon ja se toimii ohjeena tietojärjestelmien suunnittelijoille ja eri liiketoimintaprosessien vastuullisille esimiehille. Vaikka politiikka laaditaan useammalle vuodelle kerrallaan (5-10 vuotta), se tarkistetaan vähintään kerran vuodessa vastaamaan organisaation nykyistä toimintaa ja turvallisuustarpeita. (Hakala ym. 2006, 7.) Tietoturvapolitiikkaan tulevien tietojen pitää olla luonteeltaan sellaisia, että ne voidaan julkistaa eli politiikka ei saa sisältää tietoa, joka mahdollistaisi hyökkäyksen tai tietomurron suunnittelun yritystä vastaan. Politiikka tulisi aina kirjoittaa sellaiseen muotoon, että kaikki yrityksen työntekijät voivat ymmärtää sen sisällön. Tietoturvapolitiikkaa voidaan myös jakaa asiakkaille ja yhteistyökumppaneille osoittamaan yrityksen vakavasta pyrkimyksestä suojata omat ja sidosryhmiensä tiedot. (Hakala ym. 2006, 9.) Tietoturvapolitiikka asettaa lähtökohdat tietoturvasuunnitelmalle. Tietoturvasuunnitelma sisältää käytännössä ne toimenpiteet, joiden avulla haluttuun tietoturvallisuuden tasoon pyritään. Siinä määritellään kirjallisesti ne työmenetelmät ja tekniset ratkaisut, joita kussakin tietojärjestelmässä käytetään. Vaikka tietoturvasuunnitelma laaditaan yleensä 2-5 vuodelle, toimintaprosesseissa tapahtuvat muutokset ja uuden teknologian käyttöönotto edellyttävät kuitenkin tietoturvasuunnitelman jatkuvaa päivittämistä. Tietoturvasuunnitelman laatimisesta vastaavat yrityksen tai organisaation turvallisuudesta huolehtivat henkilöt yhdessä tietohallinnon, tietojenkäsittelyn ja tietotekniikan ammattilaisten kanssa. Koska suunnitelmassa kuvataan yksityiskohtaisesti käytettäviä menetelmiä ja teknisiä ratkaisuja, tulisi se luokitella joko luottamukselliseksi tai salaiseksi. (Hakala ym. 2006, 9.) Tietoturvallisuuden organisoimista varten on kehitetty kansallisia ja kansainvälisiä standardeja, joita kutsutaan yleisesti tietoturvastandardeiksi vaikka ne eivät asetakkaan vaatimuksia itse tietoturvalle vaan tietoturvasuunnittelun menettelytavoille. Tietoturvastandardien hyödyllisyys ilmenee erityisesti tietoturvasuunnittelun dokumentoinnissa sillä ne tarjoavat selkeän ja vertailukelpoisen rakenteen suunnittelussa syntyneille dokumenteille. Standardien noudattaminen ei yksin kuitenkaan takaa riittävää turvallisuutta vaan niiden tehtävänä on määritellä ainoastaan, mitä suunnittelutyöhön sisältyy ja missä muodossa sen tulokset esitetään. Suomessa ei vielä ole käytössä kansallisia

12 standardeja ja sen vuoksi suomalaisten organisaatioiden kannattaa toiminnassaan noudattaa kansainvälisiä ja eurooppalaisia standardeja. (Hakala ym. 2006, 46.) 7 Tietoturvasuunnitelmalla määritellään ja toteutetaan myös perusturvallisuuteen liittyvät asiat. Tämä on erittäin tärkeä osa turvallisuutta, koska suurin osa vahingoista tapahtuu perusturvallisuuden laiminlyönneistä. (Paavilainen 1998, 49.) Tietoturvasuunnitelma monesti muodostuu pelkäksi ohjesäännön kaltaiseksi asiakirjaksi. Hyvin laadittu tietoturvasuunnitelma voidaan kuitenkin helposti muuttaa poistamalla teknisiä yksityiskohtia ja korvaamalla ne käyttäjien työhön liittyvillä esimerkeillä, jonka jälkeen se voi toimia peruskäyttäjän ohjeena. (Hakala ym. 2006, 10.) Tietoturvasuunnittelun organisointi riippuu suunnittelutehtävän laajuudesta. Mikäli ollaan laatimassa täysin uuttaa tietoturvasuunnitelmaa tai olemassa olevaa suunnittelua muutetaan olennaisesti, päädytään yleensä suunnittelutiimin tai suunnitteluprojektin perustamiseen. Vuosittain toteutettava suunnitelmien ja ohjeistuksen tarkastus tapahtuu yleensä tietoturvallisuudesta vastaavan yksikön ja tietohallinnon yhteistyönä. (Hakala ym. 2006, 19.) Tietoturvallisuuden suunnittelu on suuritöinen projekti, joka edellyttää kaikkien tietojärjestelmien ja toimintojen kartoittamista. Uuden tietoturvasuunnitelman ja siihen liittyvän seurantajärjestelmän luominen edellyttävät, että suunnitteluprojekti jaetaan helpommin hallittaviin kokonaisuuksiin. Tietoturvasuunnitelman valmistumisen jälkeen projektimuotoinen työskentely päättyy, mutta turvallisuuden ylläpito ja kehittäminen jatkuvat. Suunnitteluprojektista pitäisi päästä joustavasti jatkuvaan tietojärjestelmän kehittämisprosessiin. (Hakala ym. 2006, 22.) Tietoturvallisuuden suunnittelussa voidaan käyttää apuna useita eri lähestymistapoja, joista tässä esitellään kaksi. Systeemityön vaihejakomallin ideana on järjestelmällinen eteneminen alusta loppuun, kun taas miellekarttatekniikassa edetään isommasta kokonaisuudesta pienempään.

13 4.1 Systeemityön vaihejakomalli tietoturvasuunnittelussa 8 Suunnittelussa voidaan käyttää apuna systeemityön vaihejakomallia, jossa tietojärjestelmän rakentaminen jaetaan seitsemään työvaiheeseen, joihin jokaiseen kuuluu olennaisena osana tehdyn työn dokumentointi. Työvaiheet ovat: - esitutkimus - määrittely - suunnittelu - toteutus - testaus - käyttöönotto - ylläpito. (Hakala ym. 2006, 22.) Esitutkimuksessa kerätään projektissa tarvittavat tietolähteet, kuten aiempien tietojärjestelmien dokumentoinnit, noudatettavien standardien kuvaukset sekä erilaiset ohjelmisto- ja laitemanuaalit. Esitutkimuksen tarkoituksena on yleisellä tasolla kartoittaa aloitettavan projektin sisältö. Tutkimuksen perusteella laaditaan tarkempi projektisuunnitelma ja alustava aikataulu. Esitutkimuksen suorittaa yleensä projektin vastuuhenkilö yhdessä eri osa-alueiden asiantuntijoiden kanssa. (Hakala ym. 2006, 23.) Määrittelyvaiheen tarkoituksena on selvittää tietojärjestelmältä vaadittavat turva- ja palveluominaisuudet. Tähän vaiheeseen liittyvät olennaisesti erilaiset kartoitukset ja analyysit. Rakennettaessa täysin uutta tietojärjestelmää, tarvittavia analyysejä ovat esimerkiksi: - tietotarveanalyysi - tietovarastoanalyysi - tietovuoanalyysi. Tietotarveanalyysin avulla määritellään, mitä tietoja yrityksen tai organisaation sisällä tapahtuvat eri toiminnot tarvitsevat. Tiedot luokitellaan yleensä ensin karkeasti syöttöja tulostietoihin. Tietotarveanalyysiä jatketaan jakamalla tiedot tietoturvapolitiikan mukaisiin turvaluokkiin. Yritykseen laadittu tietoturvaluokitus määrittelee yleensä

14 tietojen luottamuksellisuuden ja saatavuuden. (Hakala ym. 2006, 24.) Tietojen luokittelua käsitellään tarkemmin kohdassa 5.4 Tietoaineistoturvallisuus. 9 Tietovarastoanalyysi käsittelee löydettyjen tietojen säilyttämistä. Tiedoille pyritään löytämään sopiva tallennusmuoto. Tiedon varastointitavan määrittelyn yhteydessä tarkistetaan sen soveltuvuus sekä tietojen saatavuuden että luottamuksellisuuden näkökulmasta. Tietovuoanalyysin avulla selvitetään tietojen kulku yrityksen tai organisaation sisällä. (Hakala ym. 2006, 24.) Mikäli kyseessä on vanhan tietojärjestelmän päivitys tai korvaaminen tehokkaammalla, voidaan tehdä myös ongelma-analyysi, jonka avulla pyritään selvittämään vanhan järjestelmän puutteita sekä syy-seuraus analyysi, joka selvittää, mistä esille tulleet ongelmat johtuvat (Hakala ym. 2006, 25). Määrittelyvaihetta seuraavassa suunnitteluvaiheessa pyritään löytämään ratkaisuja määrittelyssä asetettujen ominaisuuksien saavuttamiseksi. Olennainen osa suunnitteluvaihetta on erilaisten vaihtoehtojen vertailu. Tietojärjestelmät ovat nykyisin niin monimutkaisia, että kaikkia määrittelyssä esille tulleita vaatimuksia ei voida täyttää. Välillä joudutaan tekemään valinta kahden tai useamman halutun ominaisuuden välillä, sillä jonkin ominaisuuden toteuttaminen saattaa vaikuttaa epäsuotuisasti joihinkin toisiin tarpeellisiin ominaisuuksiin. Suunnitteluvaiheeseen kuuluvat myös kustannuskysymykset. Kustannus-hyöty-analyysin avulla päätetään, mitkä halutuista ominaisuuksista voidaan saavuttaa taloudellisesti järkevällä panostuksella. Suunnitteluvaiheen tavoitteena on selvittää, miten haluttuihin ominaisuuksiin ja tavoitteena olevaan turvallisuustasoon päästään. (Hakala ym. 2006, ) Toteutusvaiheessa alkaa tietojärjestelmän, ja siihen mahdollisesti liittyvän tietoverkon rakentaminen. Käytännössä tämä tarkoittaa, että suunnitteluvaiheessa valittuja vaihtoehtoja aletaan toteuttaa. Toteutusvaiheessa joudutaan usein vielä muuttamaan suunnitelmia joidenkin yksityiskohtien osalta. Tietoturvasuunnittelussa ei yleensä rakenneta täysin uusia järjestelmiä, vaan otetaan käyttöön tai liitetään tiedon luottamuksellisuutta, käytettävyyttä tai eheyttä parantavia ominaisuuksia jo olemassa oleviin tietojärjestelmiin. Puuttuvat ominaisuudet voidaan usein toteuttaa erillisillä laitteilla tai ohjelmistoilla. Usein myös käytettävien työrutiinien muutoksilla voidaan vaikuttaa turvalli-

15 10 suustasoon. Toteutusvaiheessa dokumentoinnin tärkeys korostuu, sillä tuotettuja dokumentteja käytetään järjestelmän ylläpidon ja jatkossa tehtävän kehittämisen pohjana. (Hakala ym. 2006, 27.) Testausvaiheessa varmistetaan tietojärjestelmien ja niihin liitettyjen laitteiden toiminta. Testauksessa voidaan jaotella seuraavasti: - toiminnallinen testaus (asennettujen laitteiden ja ohjelmistojen yleisen toiminnan testausta) - määritystenmukaisuustestaus (selvitetään, täyttääkö toteutus järjestelmälle asetetut vaatimukset) - standardinmukaisuustestaus (asennettua järjestelmää verrataan siihen liittyviin standardeihin) Testien toteuttaminen edellyttää testiaineiston luomista. Testiaineisto sisältää tietojärjestelmän testaamista varten syöttötiedot ja valmiiksi lasketut tulostiedot. Käytännössä testaus tapahtuu niin, että syöttötiedot syötetään tietojärjestelmään ja verrataan sen laskemia tietoja aineiston valmiiksi laskettuihin tietoihin. Testauksen jälkeen laaditaan testausdokumentit, joista tulee minimissään käydä ilmi testin lopputulos: hyväksyminen tai hylkäys. (Hakala ym. 2006, ) Käyttöönottovaiheessa tietojärjestelmä ja siihen kuuluvat laitteistot otetaan käyttöön. Tähän vaiheeseen tulisi aina liittyä tarkkailujakso, jonka aikana järjestelmän toimintaa seurataan ja käyttäjiä neuvotaan. Käyttöönottovaiheeseen kuuluvat myös luovutus- ja loppudokumenttien laatiminen. Dokumenteissa kuvataan ne muutokset, joita tietoturvakäytäntöihin on tehty suunnitteluvaiheen jälkeen. (Hakala ym. 2006, 28.) 4.2 Miellekarttatekniikan käyttö tietoturvasuunnittelussa Miellekarttatekniikassa (liite 1) ei heti alussa pyritä tarkasti jäsenneltyyn rakenteeseen, vaan ideana on luovasti käsitellä eri henkilöiden käytännön kokemuksia ja näkemyksiä tietoturvan tasosta. Miellekarttatekniikkaa voidaan hyödyntää tietoturvasuunnittelussa käyttämällä kolmivaiheista tarkastelua. Ensimmäiseksi pyritään tunnistamaan tietojärjestelmään liittyvät riskit, toisena vaiheen on ratkaisujen löytäminen havaittujen riski-

16 en välttämiseksi. Kolmantena pohditaan, miten toimitaan, jos riski toteutuu varotoimista huolimatta. (Hakala ym. 2006, 29.) 11 Miellekarttaa käytetään niin, että siihen kirjataan asioita sitä mukaan kun ne tulevat ilmi keskustelun edetessä. Lopuksi miellekartta voidaan piirtää selvemmin jaoteltuna uudelleen. Jotta miellekarttatekniikkaa voidaan käyttää, on ensin ymmärrettävä, mitä tarkoitetaan tietoriskillä. Tietoriskiksi voidaan määritellä liiketoiminnassa tapahtuva tilanne, jolloin tieto tai sen osa ei ole käytettävissä tai se on muuttunut, vääristynyt, hävinnyt tai joutunut asiattomalle taholle. Tilanne voi myös uhata tiedon oikeellisuutta, käyttöä tai luottamuksellisuutta. Käytännössä tämä voi tarkoittaa esimerkiksi sitä, että tärkeä asiakirja tai tiedosto joutuu sellaiselle taholle, jolla ei kyseisiin tietoihin ole oikeutta. Tietoriskiksi voidaan luokitella myös tilanne, jossa tietyn asian osaava tai tietävä henkilö ei ole tavoitettavissa. Tietoriski aiheuttaa toteutuessaan toiminnassa katkoksen, joka voi rajoittua pienelle alueelle tai pahimmassa tapauksessa vaikuttaa koko yrityksen tai yhteisön toimintaan. Toiminnan kannalta tulee ottaa teknisten ratkaisujen lisäksi huomioon myös inhimillisten virheiden, laiminlyöntien ja jopa tahallisen toiminnan vaikutukset. (Kyrölä 2001, ) Tietoriskejä voidaan luonnehtia kolmen elementin: uhan, epävarmuuden ja mahdollisuuden avulla (Miettinen 1999, 50). Yrityksen yleisen riskien hallinnan ja tietoturvallisuuden välillä on aina jonkinlainen riippuvuussuhde. Tämä ilmenee esimerkiksi siten, että riskit, uhat ja niiden tunnistamisessa käytettävät menetelmät ovat yleensä samanlaisia. (Miettinen 1999, ) Riskien tunnistaminen Riskien tunnistaminen toteutetaan riskianalyysin avulla. Riskianalyysi on tekninen tutkintaprosessi, jossa selvitetään tutkinnan kohteeseen kohdistuvat ei-toivotut tapahtumat. Riskianalyysi on teknisempi käsite kuin riskien arviointi tai -hallinta ja siihen kuuluu useita työvaiheita. (Miettinen 1999, 51.) Riskianalyysi voidaan jakaa karkeasti kahteen vaiheeseen: riskikartoitukseen, jossa haetaan systemaattisesti toimintaan liittyvät riskit ja uhkakuvat, ja riskien arviointiin, jossa löydettyjen riskien ja uhkakuvien vaikutusta organisaation toimintaan pyritään arvioimaan sopivilla mittareilla. (Hakala

17 ym. 2006, 80.) Riskikartoituksen avulla olemassa olevat uhat saadaan paikallistetuiksi mahdollisimman hyvin (Paavilainen 1998, 49). 12 Ennen tarkempien, tietojärjestelmäkohtaisten riskianalyysien laatimista kannattaa tehdä yleinen tietoturvariskien kartoitus. Sen avulla selvitetään yleisellä tasolla, mitä riskejä tietojenkäsittelyyn sisältyy missä tahansa tietojärjestelmässä. (Hakala ym. 2006, 80.) Yleisen riskikartoituksen tekijöiden valinnassa kannattaa pyrkiä mahdollisimman edustavaan poikkileikkaukseen yrityksen henkilöstöstä. (Hakala ym. 2006, 81). Mikäli tietoriskejä tarkastellaan vain tietohallinnon asiantuntijoiden kanssa, saadaan suppea käsitys siitä, mitä todella pitäisi tehdä. (Kyrölä 2001, 33). Riskikartoituksessa voidaan käyttää apuna miellekarttoja. Niiden avulla esille tulleet riskit ja uhkakuvat saadaan koottua samaan dokumenttiin ja ne voidaan nopeasti järjestää riskiluokitusten mukaisesti. (Hakala ym. 2006, 81.) Yleisen tietoturvariskien kartoituksen jälkeen voidaan lähteä hakemaan tietojärjestelmäkohtaisia riskejä ja uhkakuvia. Mikäli tietoturvasuunnittelu ei kata yrityksen kaikkia tietojärjestelmiä, on muita järjestelmiä kartoitettava ainakin siltä osin, kuin ne aiheuttavat riskejä tarkasteltaville järjestelmille. Jos muita järjestelmiä ei kartoiteta, voi tietojen siirto niihin aiheuttaa riskin tietojen luottamuksellisuudelle. Myös yhteyksiä yrityksen ulkopuolisten tahojen, kuten tavarantoimittajien ja palveluntarjoajien, tietojärjestelmiin on tarkasteltava. (Hakala ym. 2006, 81).

18 Riskien arviointi 13 Kun kaikki uhkakuvat ja riskit on kartoitettu, aloitetaan riskien arviointi. (Hakala ym. 2006, 81). Tietoriskien arvioinnissa voidaan käyttää apuna nelikenttämallin muunnosta, jossa verrataan riskin toteutumistodennäköisyyttä ja tapahtuman seurausvaikutuksia toisiinsa. SUURI Tapahtuman seurausvaikutus VAKAVAT SEURAUKSET PIENI TODENNÄKÖISYYS VÄHÄISET SEURAUKSET PIENI TODENNÄKÖISYYS VAKAVAT SEURAUKSET SUURI TODENNÄKÖISYYS VÄHÄISET SEURAUKSET SUURI TODENNÄKÖISYYS SUURI Riskin toteutumistodennäköisyys KUVA 2. Nelikenttämalli (Miettinen 1999, 58) Tavoitteena on päästä tilanteeseen, jossa riskin toteutumisen seuraukset ovat vähäiset ja toteutumisen todennäköisyys pieni. Mitä lähempänä kaavion oikeaa ylänurkkaa ollaan, sitä suurempi on todennäköisyys riskin toteutumiselle ja vakaville seurauksille. (Miettinen 1999, ) Vaikutusten arvioinnissa tietojärjestelmän tiedot tulisi sijoittaa tietojen luokitusjärjestelmään, sillä se toimii lähtökohtana pohdittaessa, kuinka vakavia vahinkoja eheys-, käytettävyys- ja luottamuksellisuusriskit voivat aiheuttaa yritykselle. (Hakala ym. 2006, 81).

19 Haettaessa sopivaa riskien arvioinnin lähestymistapaa pitää miettiä mitä lopputulokselta halutaan. Tärkeitä valintakriteereitä ovat esimerkiksi: Lähestymistapa (Toivotaanko lopputulokselta laadullista arviointia, kvalitatiivinen, vai tarkkoja numeroarvoja, kvantitatiivinen.) 2. Lopputuloksen luonne sekä saatujen tulosten esitystapa 3. Käytön helppous (Kvantitatiivisten tulosten arviointiin vaaditaan hyvää matemaattista tietämystä.) 4. Lähestymistavan raportointiominaisuudet (Paavilainen 1998, 65.) Valittiinpa mikä tahansa lähestymistapa, täytyy kuitenkin muistaa, että riskien arvioinnissa on aina myös omat riskinsä. Mikäli käytettävää menetelmää ei tunneta tai osata, voi lopputulos olla virheellinen ja johtaa vääriin toimenpiteisiin. (Paavilainen 1998, 65.) Kartoitusvaiheen jälkeen luodaan tarvittava ohjeistus ja toimintaohjeet. (Paavilainen 1998, 49.) Riskien hallinta Kun riskit ja niiden merkittävyys yrityksen tai organisaation toiminnan jatkuvuuden kannalta on selvitetty, voidaan siirtyä etsimään menetelmiä niiden välttämiseksi. Riskit sisältävästä miellekartasta valitaan ne riskit, jotka edellyttävät toimenpiteitä. Tämän jälkeen kuhunkin riskiin mietitään vaihtoehtoisia ratkaisuja, sekä teknisiä että toiminnallisia. (Hakala ym. 2006, 31.) Tietoriskien hallinnan pääasiallisena tehtävänä on kehittää toimintamenetelmiä ja ohjeita sekä teknisiä suojauskeinoja tietojen suojaamiseksi (Kyrölä 2001, 27). Riskien hallinnan tavoitteena on myös yrityksen toimintaan kohdistuvien riskien luonteen ja laajuuden ymmärtäminen, hyväksyttävän riskitason määrittely sekä olemassa olevan riskitason alentaminen määritellylle tasolle (Miettinen 1999, 50). Kun tietoriskit on tunnistettu ja asetettu tärkeysjärjestykseen, voidaan riskien hallinnan voimavarat keskittää olennaisten riskien hallintaan (Miettinen 1999, 59 60). Yritys voi yrittää hallita riskejä siirtämällä niitä ulkopuolisille tahoille. Tietoturvallisuusriskejä voidaan siirtää ulkoistamalla tietojenkäsittelytoimintoja niitä tuottaville

20 15 palveluyrityksille. Myös vakuutusten ottaminen on osa riskien ulkoistamista. Mikäli näin toimitaan, tulee muistaa, että ulkoistettu riski on hoitamattomana yhtä vakava kuin se olisi omassa yrityksessä. Palveluntarjoajan toimintaa tulee pystyä seuraamaan, jotta varmistutaan sen turvallisuuden riittävästä tasosta. (Hakala ym. 2006, 90.) Joskus yrityksessä päätetään hyväksyä ilmenneet riskit, eikä niiden hallitsemiseksi tehdä minkäänlaisia toimenpiteitä. Tällaiseen ratkaisuun voidaan päätyä silloin kuin riski on pieni tai vähän merkitsevä, sen toteutumisen todennäköisyys on pieni tai riski on luonteeltaan sellainen, että sille ei yksinkertaisesti voida tehdä mitään. (Miettinen 1999, 57.) Tietoturvaratkaisuihin turvaudutaan siinä vaiheessa kun riskejä ei haluta ottaa, eikä niitä voida siirtää yrityksen ulkopuolelle. Erilaisia ratkaisuvaihtoehtoja pohdittaessa on syytä pitää mielessä, että riskejä ei yleensä voida poistaa kokonaan. (Hakala ym. 2006, 91.) 4.3 Kustannusten arviointi Tietoriskien hallinta ja tietoturvan toteuttaminen on kallista. Periaatteena kustannuksia arvioitaessa voidaan pitää sitä, että riskienhallintaan käytettyjen toimenpiteiden kustannusten tulisi olla pienemmät kuin niillä suojattujen kohteiden ja tietojen arvo. (Paavilainen 1998, ) Vertailussa on hyvä käyttää apuna riskianalyysin tulosten lisäksi organisaation tietojen luokitusta ja varmistaa, että suojauskustannukset eivät ylitä tiedon todellista arvoa (Hakala ym. 2006, 94). Taloudellisesti parhaimman ratkaisun valintaan vaikuttaa oleellisesti yrityksen maksuvalmius (Hakala ym. 2006, 96). Kustannusten arvioinnissa voidaan käyttää apuna mallia, jonka avulla kustannukset on helppo eritellä. Kustannukset Ratkaisu Hankinta Kertakustannus Poisto Välittömät Välilliset Yhteensä KUVA 3. Kustannusten arviointi (Hakala ym. 2006, 94) Käyttö ( /vuosi)

21 16 Hankintakustannukset syntyvät tietoturvaratkaisun, esimerkiksi virustentorjuntaohjelmiston, käyttöönotosta, ja ne maksetaan vain kerran. Käyttökustannukset voivat olla kiinteitä (määrästä riippumattomia) tai muuttuvia (määrästä riippuvia). Välittömät kustannukset liittyvät suoraan itse tietoturvaratkaisuun (esimerkiksi ohjelmistolle tarvittavat lisenssit). Välillisiksi kustannuksiksi määritellään esimerkiksi ratkaisun käyttöön liittyvän koulutuksen järjestämiskustannukset tai käyttämisestä aiheutuva työajan menetys. (Hakala ym. 2006, 95.) Ratkaisujen lopullista, taloudellista vaikutusta arvioitaessa on usein syytä laskea kustannukset pidemmältä ajanjaksolta, esimerkiksi viideltä vuodelta. (Hakala ym. 2006, 96). 5 TIEDON SUOJAAMINEN Tiedon suojaamisen toimenpiteet voidaan jakaa osiin sen perusteella, mihin aiheeseen ne liittyvät. Tässä opinnäytetyössä suojaamisen käsittely on jaettu seuraavasti: - Hallinnollinen turvallisuus - Henkilöturvallisuus - Kiinteistö- ja toimitila- turvallisuus - Tietoaineistoturvallisuus - Tietojenkäsittelyn turvallisuus - Käyttöturvallisuus 5.1 Hallinnollinen turvallisuus Hallinnollinen turvallisuus on tietoturvallisuuden osa-alue, joka kokoaa muut tietoturvallisuuden osat yhtenäiseksi ja helpommin käsiteltäväksi kokonaisuudeksi. Hallinnollinen turvallisuus käsittelee esimerkiksi johtamista sekä organisointia. (Miettinen 2002, 131.) Hallinnollisen turvallisuuden pääasiallisena tarkoituksena on luoda yritykseen toimintatapa, jonka avulla pystytään välttämään tai estämään tietoturvaan liittyviä riskejä. Hallinnollisen turvallisuuden tehtävänä on myös määritellä vastuuhenkilöt turvalli-

22 suus-, toipumis-, ja valmiussuunnitteluun ja niihin kuuluviin toimenpiteisiin. (Paavilainen 1998, ) 17 Tietoturvallisuuteen liittyvien uhkien ja riskien tunnistaminen on myös yksi tärkeimmistä hallinnollisen turvallisuuden tehtävistä. Mikäli tunnistaminen on tehty puutteellisesti tai sitä ei ole tehty ollenkaan, saatetaan päätyä käyttämään vääriä suojausmenetelmiä, taikka suojaus osoitetaan vääriin kohteisiin väärässä laajuudessa. (Miettinen 1999, 40.) 5.2 Henkilöturvallisuus Henkilöturvallisuuden pääasiallisena tarkoituksena on estää inhimillisestä toiminnasta aiheutuvat tietoturvavahingot (Paavilainen 1998, 89). Henkilöturvallisuus on tärkeä osa tietoturvaa ja sen parantamiseksi on sekä organisaation rakenteen että henkilöstön koulutustason oltava turvallisuusvaatimusten mukainen (Paavilainen 1998, 94). Henkilöturvallisuus kohdistuu ihmisiin samalla tavalla kuin työsuojelu. Suurin ero näiden kahden välillä on se, mihin asioihin kiinnitetään huomiota. Työsuojelu keskittyy tapaturmien ehkäisemiseen, kun taas henkilöturvallisuuteen liittyviä asioita ovat esimerkiksi taustatietojen tarkistus, erilaiset salassapito- ja vaitiolositoumukset sekä yrityksen henkilöstön, vierailijoiden ja yhteistyökumppanien fyysisen koskemattomuuden suojaaminen. (Miettinen 2002, 15.) Henkilöturvallisuuteen liittyvä asia on myös yrityksen henkilöstöön liittyvien tietoturvariskien hallinta, jota voidaan toteuttaa esimerkiksi käyttöoikeuksien- ja toimenkuvien määrittelyn, sekä koulutuksen avulla (Paavilainen 1998, 87). Tietoturvakoulutus mahdollistaa opittujen asioiden säilymisen sekä uusien asioiden oppimisen. Yrityksen tietoturvallisuuden kehittämisohjelmassa määritellään millaista koulutusta tarjotaan, missä laajuudessa sekä mille kohderyhmälle. Käytännössä koulutusta on tarjottava koko henkilökunnalle, jotta kaikki ymmärtävät ainakin tietoturvallisuuden perusteet sekä sen merkityksen yrityksen liiketoiminnalle. (Miettinen 1999, 158.)

23 18 Yrityksen palkatessa uusia henkilöitä palvelukseensa, tarkastetaan yleensä myös hakijoiden taustatiedot ja luotettavuus (Paavilainen 1998, 92). Henkilön taustatietojen tarkistamisella pyritään varmistumaan siitä, henkilö on se kuka hän väittää olevansa. Samalla voidaan selvittää, että tarkistettavan antamat tiedot esimerkiksi aikaisemmasta työ- ja koulutushistoriasta pitävät paikkansa. Monesti tarkastetaan myös, että henkilöllä ei ole rikollista taustaa tai rikollisia yhteyksiä, jotka voisivat vaikuttaa hänen rekrytointiinsa. (Miettinen 2002, 104.) Luotettavuuden tarkastamiseen on useita erilaisia tapoja. Aikaisemmin yleisessä käytössä ollut tapa, luotettavuuslausunnon pyytäminen poliisilta, on korvattu voimaan tulleella lailla, jossa määritellään tarkasti, mitkä tahot voivat hakeutua turvallisuustarkastuksen piiriin. Turvallisuusselvitysmenettely on lakiin perustuva (Laki turvallisuusselvityksistä) hallintomenettely, jonka tavoitteena on tarjota yhteiskunnallisesti ja kansantaloudellisesti keskeisille toimijoille paremmat mahdollisuudet suojautua rikollista toimintaa vastaa. Turvallisuusselvityksen hakijalle on laissa määritelty useita velvollisuuksia ja selvityksen tekemiseen on aina saatava työntekijän suostumus. Turvallisuusselvityksiä on kolmea eri tyyppiä: suppea-, perusmuotoinen -, ja laaja turvallisuusselvitys. (Poliisi 2006.) Luotettavuuden tarkastamisen lisäksi lasten kanssa työskentelevien rikostausta tulee selvittää (Laki lasten kanssa työskentelevien rikostaustan selvittämisestä). Rikostaustaote annetaan vain sitä pyytävälle henkilölle ja se on tarkoitettu ainoastaan työnantajalle tai lupaviranomaiselle näytettäväksi. Otteeseen tulee merkintä lapseen kohdistuvista rikoksista sekä seksuaali-, väkivalta- ja huumausainerikoksista. (Oikeusrekisterikeskus 2006.) Uudesta työntekijästä saatetaan lisäksi tarkastaa verotustietoja verohallinnolta taikka sukulaistietoja esimerkiksi seurakuntien kautta (Miettinen 2002, 105). Usein yritykset käyttävät uusien henkilöiden palkkauksessa apuna myös psykologisia testejä, joissa henkilön henkisiä ominaisuuksia ja soveltuvuutta haettuun toimeen mitataan monella eri tavalla. (Paavilainen 1998, 92.) Henkilön poistuessa yrityksen palveluksesta menee hänen mukanaan aina jonkin verran yrityksen tietoja. Monesti avainhenkilöiden siirtyminen kilpailevaan yritykseen

24 19 estetään työehtosopimuksessa olevalla huomautuksella, joka kieltää henkilöä toimimasta samalla toimialalla seuraavien 3-5 vuoden aikana. (Paavilainen 1998, ) Riippumatta siitä, miten henkilön työsuhde on päättynyt, tulee aina huolehtia, että kaikki hänen käytössään olleet kulkuluvat, luottokortit ja tunnistuksessa käytetyt tunnukset takavarikoidaan ja niiden voimassaolo lopetetaan. Monesti varsinkin tilapäisille työntekijöille tehdyt tunnukset jäävät voimaan, vaikka henkilö poistuu yrityksen palveluksesta. Henkilöturvallisuuden toimenpiteet alkavatkin uuden työntekijän palkkauksesta ja päättyvät tämän työsuhteensa päättymisen jälkeen (Paavilainen 1998, 93 94). 5.3 Kiinteistö- ja toimitilaturvallisuus Kiinteistö- ja toimitilaturvallisuuden avulla pyritään varmistamaan, että tuotanto- ja toimitiloihin on pääsy vain niillä henkilöillä, joilla on siihen oikeus, varmistetaan tiloissa työskentelevien henkilöiden fyysinen turvallisuus sekä huolehditaan, että tiloissa sijaitseva omaisuus on asianmukaisesti suojattu. (Miettinen 2002, 91). Voidaan sanoa, että kiinteistö- ja toimitilaturvallisuus käsittää kaikki ne toimenpiteet, joilla pyritään estämään tiedolle aiheutuneet fyysiset vahingot. Kaikki yrityksen käytössä olevat tilat eivät ole suojaamisen kannalta samanarvoisia sillä tiloissa suoritettava toiminta asettaa omat vaatimuksensa suojaamiselle. Alhainen suojaustaso riittää yleensä asiakaspalvelu- ja neuvottelutiloille, jotka ovat yleisessä käytössä. Korkeaa suojaustasoa vaativia kohteita ovat esimerkiksi atk-laitetilat ja tuotekehittelytilat. Oleellisinta yrityksen tilojen luokittelussa on, että ymmärretään luokittelun merkitys ja osataan sen pohjalta laittaa käytössä olevat tilat tärkeysjärjestykseen. Valmiita tärkeysluokitusmalleja on olemassa ainakin pankkitoimialalla ja kaupanalalla. (Miettinen 2002, ) Kiinteistö- ja toimitilaturvallisuuden perussuojauskeinoja on tilojen murtosuojaus. Se toteutetaan yleensä joko mekaanisen lukituksen tai sähköisen murtosuojausjärjestelmän tai näiden yhdistelmän avulla. Murtosuojaukseen vaikuttaa myös fyysisten tilojen rakenteet. Sähköinen murtosuojausjärjestelmä muodostuu rikosilmoitinkeskuksesta sekä siihen kytketyistä ilmaisimista. Rikosilmoituskeskuksen ja ilmaisimien väliset yhteydet on toteutettu yleensä kaapeloinneilla tai vaihtoehtoisesti radiotekniikkaan

25 20 perustuvilla langattomilla yhteyksillä. Ilmaisimet voivat olla esimerkiksi liikeilmaisimia, lämpöilmaisimia, magneettikoskettimia, paineilmaisimia tai ääntä tunnistavia ilmaisimia. Järjestelmän ollessa aktivoituna, ilmaisimet reagoivat ympäristössään tapahtuviin muutoksiin ja lähettävät tiedon muutoksista rikosilmoitinkeskukselle. Keskus tulkitsee ilmaisimilta tulevan signaalin ja tekee tarvittaessa hälytyksen esimerkiksi vartiointiliikkeen hälytyskeskukseen. (Miettinen 1999, 182.) Kulunvalvonnan tarkoituksena on valvoa kaikkien ihmisten liikkumista yrityksen tiloissa ja piha-alueilla. Valvonta kattaa yrityksen oman henkilöstön lisäksi yrityksen tiloissa liikkuvat vierailijat sekä ulkopuoliset työntekijät. (Miettinen 2002, 98.) Paavilaisen (1998) mukaan: Kulunvalvonnan tärkein tehtävä on taata, että henkilöt, joilla on oikeus päästä kohteeseen voivat sinne mennä, mutta asiaankuulumattomat eivät sinne pääse. Kulunvalvontaa voidaan käyttää myös muihin tarkoituksiin. Esimerkiksi vyöhykelaskennan avulla voidaan määritellä kuinka paljon ihmisiä tietyssä rakennuksessa tai sen osassa on. Näillä tiedoilla voi olla ratkaiseva merkitys tulipalon tai jonkin muun onnettomuuden sattuessa. (Paavilainen 1998, 98.) Ammattimaisesti toteutettu kulunvalvonta perustuu yleensä sähköisten lukitusten- ja kulkukorttien käyttöön, joiden hallinta voidaan tehdä helposti tietokoneen avulla. (Miettinen 2002, 98.) Yrityksissä, joiden henkilöstön määrä on suuri tai joiden työntekijät työskentelevät asiakaspalvelutehtävissä, olisi hyvä olla käytössä kuvallinen henkilökortti, josta työntekijät voidaan luotettavasti tunnistaa. Henkilökorttiin, tyypistä riippuen, voidaan yhdistää yleensä myös avainkorttiominaisuudet. Palosuojelu on tärkeä osa toimitilaturvallisuutta. Sen avulla yritys huolehtii käytössään olevien toimi- sekä tuotantotilojen suojaamisesta palovahinkoja vastaan. Paloturvallisuudesta on pääsääntöisesti huolehdittu hyvin, sillä Suomessa kiinteistöjen tekniset rakennemääräykset ovat varsin tiukat erityisesti paloturvallisuusvaatimuksissa. Vakuutusyhtiöt ovat asettaneet myös tiukkoja vaatimuksia paloturvallisuudelle. (Miettinen 1999, 183.)

26 21 Halvimmillaan yritys voi huolehtia paloturvallisuudestaan hankkimalla asianmukaisia alkusammutusvälineitä kuten käsisammuttimia ja sammutuspeitteitä, sekä järjestämällä henkilöstölle koulutusta niiden käytöstä (Miettinen 1999, 184). Yksi yleisimmin käytetyistä, alkusammutusvälineitä kalliimmista palosuojelun menetelmistä on automaattinen paloilmoitinjärjestelmä joka löytyy useimmista toimistorakennuksista. Järjestelmä sisältää ympäröivää tilaa tarkkailevia ilmaisimia, sekä keskusyksikön, joka tekee tarvittaessa palohälytyksen. Ilmaisimet seuraavat joko savun muodostusta tai lähiympäristön lämpötilaa. Mikäli määrät ylittävät ennalta asetetut raja-arvot, lähettää ilmaisin tiedon keskusyksikölle, joka välittää hälytyksen eteenpäin joko palolaitokselle tai vartiointiliikkeeseen. Hankintahinnaltaan automaattinen paloilmoitinjärjestelmä on suhteellisen edullinen. (Miettinen 1999, 183.) Automaattinen sammutusjärjestelmä on toinen yleinen palosuojelun menetelmä. Sitä käytetään sammuttamaan alkanut tulipalo joko korkealla paineella ruiskutettavalla vesijohtovedellä, paloa tukahduttavalla kaasulla tai vaahdolla. Vettä sammutusaineena käyttävää sammutusjärjestelmää kutsutaan yleisesti Sprinkler -järjestelmäksi. Automaattiseen sammutusjärjestelmään kuuluu myös ilmaisimet tulipalon havaitsemiseksi, aivan kuten automaattiseen paloilmoitinjärjestelmäänkin ja se käynnistää sammutuksen ilmaisimien tietojen perusteella. Korkean hankintahintansa vuoksi automaattisten sammutusjärjestelmien käyttö on selvästi paloilmoitinjärjestelmiä harvinaisempaa. Yleensä niitä käytetään sellaisten kohteiden suojaamiseen, joissa palo pitää saada sammutettua tai rajattua mahdollisimman nopeasti (esimerkiksi tehtaiden tuotantolinjat ja materiaalivarastot). (Miettinen 1999, ) Mikäli yrityksen toiminnassa käytetään tulta, on näitä tehtäviä suorittavilla henkilöillä oltava tulityölupa (Miettinen 1999, 184). Tulitöiksi luokitellaan työt, joissa syntyy kipinöitä tai joissa käytetään liekkiä tai muuta lämpöä ja jotka voivat aiheuttavat palovaaran. Tulitöitä tekevällä henkilöllä on oltava Suomen Pelastusalan Keskusjärjestön (SPEK) myöntämä voimassa oleva tulityökortti. Suomessa myönnetty tulityökortti on voimassa myös muissa pohjoismaissa ja vastaavasti muissa pohjoismaissa myönnetty tulityökortti hyväksytään Suomessa. Tulityökoulutusta järjestävät esimerkiksi pelastusliitot, pelastuslaitokset, oppilaitokset ja koulutusalan yrittäjät. (Pelastustoimi 2006.)

27 22 Energian saannin varmistaminen on myös osa kiinteistö- ja toimitilaturvallisuutta. Varmistamisen avulla yritys pystyy sähkökatkoksen aikana turvaamaan tärkeimpien sähköllä toimivien laitteiden toiminnan tarvittaessa jopa useiden vuorokausien ajaksi. Yleensä energiansaannin varmistamisella pyritään turvaamaan atk-laitteiden sekä tietoverkkojen toiminta. (Miettinen 2002, 100.) 5.4 Tietoaineistoturvallisuus Tietoaineistoturvallisuuden tehtäviä ovat tietojen tunnistaminen ja turvaluokituskäytännöt (Miettinen 2002, 132). Käytännössä tämä tarkoittaa sitä, että tarkastellaan jokapäiväisessä toiminnassa tarvittavia tietoja sekä niiden suojaamista. Tieto voi ilmetä monessa eri olomuodossa ja näin ollen sen suojaamiseen joudutaan käyttämään monia erilaisia menetelmiä. Nykyään tietoa säilytetään paljon sähköisessä muodossa kuten tiedostoina ja tietokantoina. Tiedon säilytyspaikkana on monesti tietokone tai siirrettävä tietoväline kuten CD- tai DVD- levy, muistitikku tai kovalevy. Tietoa voi olla myös fyysisessä olomuodossa kuten asiakirjat, mallipiirustukset sekä valokuvat. Kaksi edellä mainittua ilmenemismuotoa ovat vielä suhteellisen helposti suojattavissa. Kolmas olomuoto, ihmisen muisti, onkin sitten hankalammin suojattavissa ja monesti sanotaan, että yrityksen tai työyhteisön suurin tietoturvariski löytyy sen työntekijöistä. (Kyrölä 2001, 25.) Tieto on suojattava asianmukaisesti sen kaikissa ilmenemismuodoissa niin, että sitä ei voida käyttää väärin ja se ei aiheuta vahinkoa yrityksen toiminnalle (Miettinen 1999, 24). Tietojen käsittelyn säännöt riippuvat tiedon arkaluonteisuudesta eivätkä siitä millaista tiedon tallennustapaa käytetään (Paavilainen 1998,31). Tietojen tunnistaminen on edellytys sille, että osataan suojata tärkeät tiedot oikein ja näin ehkäistä niiden muuttuminen, asiaton käsittely, häviäminen ja paljastuminen (Kyrölä 2001, 24). Tietoaineistoturvallisuuden toteutuksen perustana toimii tietojen turvaluokitusjärjestelmä, missä kuvataan minkä tyyppisiä ja miten tärkeitä tietoja yrityksen toimintaan liittyy sekä miten eri luokkien tiedot merkitään ja käsitellään tietojen elinkaaren eri vaiheissa (Miettinen 1999, 22).

28 5.4.1 Tietojen luokittelu 23 Tietojen turvaluokitus tarkoittaa sitä, että yritys merkitsee käyttämänsä tiedot järjestelmällisesti ja näin osoittaa tietojen arvon itselleen ja ulkopuolisille. Turvaluokituskäytäntö muodostuu tärkeysluokista ja jokaista luokkaa koskevista käsittelysäännöistä. Käsittelysäännöt saattavat vaihdella tilanteen mukaan. Kaikkia yrityksen käyttämiä tietoja ei tarvitse luokitella, vaan ainoastaan ne joiden sisällöllinen arvo edellyttää sitä. Turvaluokituskäytäntö koskee kaikkia tietoja riippumatta niiden tallennusmuodosta. (Miettinen 2002, 133.) Mitä arkaluontoisempaa tieto on, sitä korkeampi on turvaluokka. Turvaluokan kasvaessa pienenee mahdollisuus tiedon julkistamiseen. (Paavilainen 1998, 33.) Normaalisti turvaluokituksessa käytetään kolmea tai neljää tärkeysluokkaa ja yksityiskohtaisia käsittelysääntöjä kunkin luokan tietojenkäsittelytehtäville. Tiedot voidaan luokitella esimerkiksi julkisiin, sisäisiin, luottamuksellisiin ja salaisiin seuraavasti: TURVALUOKKA KUVAUS Julkinen Tietoja voidaan luovuttaa vapaasti kaikille, myös yrityksen ulkopuolelle. Tietojen virheettömyydestä ja ajantasaisuudesta tulee huolehtia. Sisäinen Tiedot on tarkoitettu kaikkien työntekijöiden käyttöön eikä niiden joutumisesta yrityksen ulkopuolisille koidu vahinkoa. Tietojen luovutus yrityksen ulkopuolelle edellyttää kuitenkin tietojen haltijan lupaa. Luottamuksellinen Tietoja voivat käsitellä ne työntekijät, jotka tarvitsevat tietoja tehtäviensä hoitamiseen. Tietojen jakelu on rajoitettua ja tietojen omistaja päättää kuka tietoja voi käsitellä. Salainen Yrityksen toimintaan liittyviä arkaluonteisia tietoja, jotka ovat vain niiden työntekijöiden saatavilla, jotka tarvitsevat tietoja tehtäviensä hoitoon. Salaisia tietoja työssään käsittelevä joukko on paljon pienempi kuin luottamuksellisia tietoja käsittelevä joukko. KUVA 4. Tiedon turvaluokitus

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Lappeenrannan kaupungin tietoturvaperiaatteet 2016 1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi Järjestelyihin liittyviä asioita Tilatkaa

Lisätiedot

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 1 (6) 25.11.2015 Lappeenrannan kaupungin tietoturvapolitiikka 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0

Lisätiedot

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy. Tietoturvallisuuden kokonaisvaltainen hallinta 3.12.2015 Heikki O. Penttinen Castilsec Oy Tietoturvallisuuden päätavoitteet organisaatioissa Tietoturvallisuuden oikean tason varmistaminen kokonaisvaltaisesti

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 8. Luento Tietoturvallisuus Tiedon ominaisuudet

Lisätiedot

Tietoturvapolitiikka

Tietoturvapolitiikka Valtiokonttori Ohje 1 (6) Tietoturvapolitiikka Valtion IT -palvelukeskus Valtiokonttori Ohje 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa...

Lisätiedot

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41 Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät

Lisätiedot

Industrial Fire Protection Handbook

Industrial Fire Protection Handbook Industrial Fire Protection Handbook Second Edition R. Craig Schroll T-110.5690 Yritysturvallisuuden seminaari 2. esitys Antti Nilsson 23.11.2005 Industrial Fire Protection Handbook kirjoittanut R. Craig

Lisätiedot

Lapin yliopiston tietoturvapolitiikka

Lapin yliopiston tietoturvapolitiikka Lapin yliopiston tietoturvapolitiikka 2016 1 Vahvistettu Lapin yliopiston rehtorin päätöksellä 16.5.2016 Lapin yliopiston tietoturvapolitiikka Sisällysluettelo: 1. Johdanto... 2 2. Tietoturvapolitiikan

Lisätiedot

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT YT-neuvosto hyväksynyt 21.11.2007 Vahvistanut: kuntayhtymän johtaja Pentti Leipälä 4.1.2008 1. SÄÄNTÖJEN TARKOITUS 1 2. KÄYTÖN PERIAATTEET

Lisätiedot

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016

Lisätiedot

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TOIMITILAPÄIVÄ 21.3.2013 Johtava asiantuntija Fyysinen turvallisuus ja varautuminen Marko Kalliokoski Verohallinto 020 612 5192 etunimi.sukunimi@vero.fi

Lisätiedot

Tietoturvavastuut Tampereen yliopistossa

Tietoturvavastuut Tampereen yliopistossa Tietoturvavastuut Tampereen yliopistossa Hyväksytty Tampereen yliopiston Yliopistopalvelujen johtoryhmässä 10.5.2016 Korvaa 18.10.2002 hyväksytyn vastaavan dokumentin. Tulee voimaan hyväksymispäivänä.

Lisätiedot

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.

Lisätiedot

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1 Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin 12.12.2011 A-P Ollila 1 Taustaa Tiedon merkitys yhteiskunnassa ja viranomaisten toiminnassa korostuu kaiken aikaa. Viranomaisten

Lisätiedot

Julkaisun laji Opinnäytetyö. Sivumäärä 43

Julkaisun laji Opinnäytetyö. Sivumäärä 43 OPINNÄYTETYÖN KUVAILULEHTI Tekijä(t) SUKUNIMI, Etunimi ISOVIITA, Ilari LEHTONEN, Joni PELTOKANGAS, Johanna Työn nimi Julkaisun laji Opinnäytetyö Sivumäärä 43 Luottamuksellisuus ( ) saakka Päivämäärä 12.08.2010

Lisätiedot

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Valtorin tietoturvaseminaari 2.4.2014 Pekka Ristimäki Johtava asiantuntija, CISM, CISSP, CRISC Valtori / Tietoturvapalvelut Mikä on hallintajärjestelmä?

Lisätiedot

Riippumattomat arviointilaitokset

Riippumattomat arviointilaitokset Riippumattomat arviointilaitokset CSM Riskienhallinta -asetuksen mukainen riippumaton arviointi Komission asetus (352/2009/EY) yhteisestä turvallisuusmenetelmästä, CSM riskienhallinta-asetus, vaatii rautatiejärjestelmässä

Lisätiedot

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt Turun ammattikorkeakoulu 13.09.2005 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT Sisällysluettelo: 1 Sääntöjen tarkoitus... 2 2 Käytön periaatteet... 2 3 Käyttöoikeus ja käyttäjätunnukset... 4 4 Käyttöoikeuden

Lisätiedot

T Henkilöturvallisuus ja fyysinen turvallisuus, k-04

T Henkilöturvallisuus ja fyysinen turvallisuus, k-04 T-110.460 Henkilöturvallisuus ja fyysinen turvallisuus, k-04 Ilkka Kouri Henkilöstöturvallisuus 28.1.2004: Henkilöstöturvallisuus yleisesti Henkilöstöturvallisuus Henkilöstöturvallisuus on osa yritysturvallisuutta

Lisätiedot

Tietoturva ja viestintä

Tietoturva ja viestintä Tietoturva ja viestintä 3.11.2015 1 Uhkakuvat muuttuvat - mitä teemme? Ihmisestä tallentuu joka päivä tietoa mitä erilaisimpiin paikkoihin - valtion, kuntien ja yritysten ylläpitämiin rekistereihin. Joka

Lisätiedot

Rekisteriseloste. Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen asiakasrekisterin rekisteriseloste

Rekisteriseloste. Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen asiakasrekisterin rekisteriseloste Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen asiakasrekisterin rekisteriseloste Versiot Hyväksytty 1 Johtoryhmä 7.2.2012 2 Päivitetty 05.8.2016 SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERINPITÄJÄ

Lisätiedot

Rekisteriseloste. Kehitysvammaisten asumispalvelujen asiakasrekisterin rekisteriseloste

Rekisteriseloste. Kehitysvammaisten asumispalvelujen asiakasrekisterin rekisteriseloste Rekisteriseloste Kehitysvammaisten asumispalvelujen asiakasrekisterin rekisteriseloste Versiot Hyväksytty 1 Johtoryhmä 7.2.2012 2 Päivitetty 05.8.2016 Rekisteriseloste SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERINPITÄJÄ

Lisätiedot

HELIA 1 (8) Outi Virkki Tietokantasuunnittelu

HELIA 1 (8) Outi Virkki Tietokantasuunnittelu HELIA 1 (8) Luento 1 Johdatusta tietokannan suunnitteluun... 2 Tietokantasuunnittelu?... 2 Tietokanta?... 2 Tieto?... 2 Tietokantasuunnittelun tavoite, v.1... 2 Luotettavuus?... 3 Tietokantasuunnittelun

Lisätiedot

voimavaroja. Kehittämishankkeen koordinaattori tarvitsee aikaa hankkeen suunnitteluun ja kehittämistyön toteuttamiseen. Kehittämistyöhön osallistuvill

voimavaroja. Kehittämishankkeen koordinaattori tarvitsee aikaa hankkeen suunnitteluun ja kehittämistyön toteuttamiseen. Kehittämistyöhön osallistuvill Niemi, Petri. 2006. Kehittämishankkeen toteuttaminen peruskoulussa toimintatutkimuksellisen kehittämishankkeen kuvaus ja arviointi. Turun yliopiston kasvatustieteellisen tiedekunnan lisensiaatintutkimus.

Lisätiedot

Rekisteriseloste. Vanhusten ympärivuorokautisen hoidon ja hoivan asiakasrekisterin rekisteriseloste

Rekisteriseloste. Vanhusten ympärivuorokautisen hoidon ja hoivan asiakasrekisterin rekisteriseloste Vanhusten ympärivuorokautisen hoidon ja hoivan asiakasrekisterin rekisteriseloste Versiot Hyväksytty 1 Johtoryhmä 17.1.2012 2 Päivitetty 05.8.2016 SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERINPITÄJÄ 3. REKISTERIN

Lisätiedot

MUSEOT KULTTUURIPALVELUINA

MUSEOT KULTTUURIPALVELUINA Elina Arola MUSEOT KULTTUURIPALVELUINA Tutkimuskohteena Mikkelin museot Opinnäytetyö Kulttuuripalvelujen koulutusohjelma Marraskuu 2005 KUVAILULEHTI Opinnäytetyön päivämäärä 25.11.2005 Tekijä(t) Elina

Lisätiedot

Ohjelmiston testaus ja laatu. Ohjelmistotekniikka elinkaarimallit

Ohjelmiston testaus ja laatu. Ohjelmistotekniikka elinkaarimallit Ohjelmiston testaus ja laatu Ohjelmistotekniikka elinkaarimallit Vesiputousmalli - 1 Esitutkimus Määrittely mikä on ongelma, onko valmista ratkaisua, kustannukset, reunaehdot millainen järjestelmä täyttää

Lisätiedot

Turvallisuus prosessien suunnittelussa ja käyttöönotossa. 1. Luennon aiheesta yleistä 2. Putkisto- ja instrumentointikaavio 3. Poikkeamatarkastelu

Turvallisuus prosessien suunnittelussa ja käyttöönotossa. 1. Luennon aiheesta yleistä 2. Putkisto- ja instrumentointikaavio 3. Poikkeamatarkastelu Turvallisuus prosessien suunnittelussa ja käyttöönotossa Moduuli 2 Turvallisuus prosessilaitoksen suunnittelussa 1. Luennon aiheesta yleistä 2. Putkisto- ja instrumentointikaavio 3. Poikkeamatarkastelu

Lisätiedot

Rakennusteollisuuden työturvallisuuskannanotto. RATUKE-seminaari , Kansallismuseo Tarmo Pipatti

Rakennusteollisuuden työturvallisuuskannanotto. RATUKE-seminaari , Kansallismuseo Tarmo Pipatti Rakennusteollisuuden työturvallisuuskannanotto RATUKE-seminaari 11.11.2010, Kansallismuseo Tarmo Pipatti Työturvallisuuskannanotto 2010-2015 :n hallitus asetti vuoden 2010 alussa tavoitteen, jonka mukaan

Lisätiedot

Riskienarvioinnin perusteet ja tavoitteet

Riskienarvioinnin perusteet ja tavoitteet Riskienarvioinnin perusteet ja tavoitteet Jukka Tamminen Yli-ins., DI TSP-Safetymedia Oy 1 Työsuojelun valvonnan vaikuttamisen kohteet TAUSTATEKIJÄT SEURAAMUKSET TYÖTURVALLISUUDEN HALLINTA Organisaatio

Lisätiedot

T Yritysturvallisuuden

T Yritysturvallisuuden T-110.260 Yritysturvallisuuden perusteet Henkilöstöturvallisuus 11.2.2004 Ronja Addams-Moring Teknillinen korkeakoulu Tietoliikenneohjelmistojen ja multimedialaboratorio http://www.tml.hut.fi/opinnot/t-110.260/

Lisätiedot

MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA

MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA lukien toistaiseksi 1 (5) Sijoituspalveluyrityksille MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA Rahoitustarkastus antaa sijoituspalveluyrityksistä annetun lain

Lisätiedot

Mikko Hollmén Kiinteistöjohtaja, PSSHP Sairaalatekniikan päivät

Mikko Hollmén Kiinteistöjohtaja, PSSHP Sairaalatekniikan päivät Mikko Hollmén Kiinteistöjohtaja, PSSHP Sairaalatekniikan päivät 8.2.2017 Paljon on kysymyksiä, vähemmän vastauksia? SSTY Kyberturvallisuusseminaari 19.10.2016 Kyberturvallisuus on turvallisuuden osa- alue,

Lisätiedot

Kuntasektorin asianhallinnan viitearkkitehtuuri 1.0. Kuntamarkkinat Tuula Seppo, erityisasiantuntija

Kuntasektorin asianhallinnan viitearkkitehtuuri 1.0. Kuntamarkkinat Tuula Seppo, erityisasiantuntija Kuntasektorin asianhallinnan viitearkkitehtuuri 1.0 Kuntamarkkinat 14.9.2016 Tuula Seppo, erityisasiantuntija Kuntasektorin asianhallinnan viitearkkitehtuuri 1.0 Hallinnon toimintatapojen digitalisointi

Lisätiedot

Tietoturvallisuusliite

Tietoturvallisuusliite Tietoturvallisuusliite [Yhteistyökumppanin nimi] STATUS Laatinut: Tarkastanut ja hyväksynyt: Versio no: Tiedoston nimi: Tallennushakemisto: Pvm SISÄLLYSLUETTELO Sisällysluettelo... 2 1 Määritelmät... 3

Lisätiedot

julkinen ja yksityinen tila menevät sekaisin kulunrajoitusta ja -ohjausta ihmisille toiminta osin ympärivuorokautista asennusalustoja ja -reittejä

julkinen ja yksityinen tila menevät sekaisin kulunrajoitusta ja -ohjausta ihmisille toiminta osin ympärivuorokautista asennusalustoja ja -reittejä Mikko Hollmén Kiinteistöjohtaja, PSSHP SSTY Seminaari 19.10.2016 Kananmunan kuori suoja säätä (lämpö, kylmä, kosteus, tuuli) vastaan suoja ääntä vastaan suoja asiattomia (eläimet, ihmiset) vastaan suoja

Lisätiedot

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan 1(7) TYÖSSÄOPPIMINEN JA AMMATTIOSAAMISEN NÄYTTÖ Tutkinnon osa: Palvelujen käyttöönotto ja tuki Tutkinnon osaan kuuluvat opinnot: Työasemaympäristön suunnittelu ja toteuttaminen Kouluttaminen ja asiakastuki

Lisätiedot

KÄYTTÖOHJE (pikaohje) KUNNAN JOHTAMISEN VIITEARKKITEHTUURI

KÄYTTÖOHJE (pikaohje) KUNNAN JOHTAMISEN VIITEARKKITEHTUURI KÄYTTÖOHJE (pikaohje) KUNNAN JOHTAMISEN VIITEARKKITEHTUURI ASIAKKAAT SIDOSRYHMÄT TIETOJÄRJESTELMÄ- PALVELUT TEHTÄVÄT JA PALVELUT MITTARIT KÄSITTEET TIEDOT ROOLIT JA VASTUUT JOHTAMISEN PROSESSIT KYVYKKYYDET

Lisätiedot

Onnella vai osaamisella? Työturvallisuus on kaikkien yhteinen asia.

Onnella vai osaamisella? Työturvallisuus on kaikkien yhteinen asia. Onnella vai osaamisella? Työturvallisuus on kaikkien yhteinen asia. Mitä voin yrittäjänä hyötyä? Turvallisuus ei ole stabiili asia, joka voidaan käyttöönottaa tai saavuttaa. Se on luotava ja ansaittava

Lisätiedot

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan Ammattitaidon osoittamistavat

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan Ammattitaidon osoittamistavat 1(8) TYÖSSÄOPPIMINEN JA AMMATTIOSAAMISEN NÄYTTÖ Tutkinnon osa: Asiakaspalvelu 30 osp Tavoitteet: Opiskelija osaa toimia käytännön asiakaspalvelutehtävissä ja osoittaa ammattitaitonsa palvelutilanteessa,

Lisätiedot

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö Tietosisällön eheys Kimmo Janhunen kimmo.janhunen@om.fi Riskienhallintapäällikkö Oikeusrekisterikeskuski k 26.11.2014 Esityksen sisältö Tiedon merkitys - tiedon eheyden merkitys Määritelmät Lainsäädäntö

Lisätiedot

Lokipolitiikka (v 1.0/2015)

Lokipolitiikka (v 1.0/2015) KYS erityisvastuualue Etelä-Savon sairaanhoitopiiri Lokipolitiikka (v 1.0/2015) Sisällys 1 JOHDANTO... 2 2 HENKILÖTIETOJEN KÄSITTELYYN LIITTYVÄ LAINSÄÄDÄNTÖ... 2 3 LOKI JA LOKITIETO... 3 4 LOKITIETOJEN

Lisätiedot

1. Rekisterinpitäjä Rekisteriasioista vastaava henkilö Rekisterin nimi Rekisterin käyttötarkoitus... 2

1. Rekisterinpitäjä Rekisteriasioista vastaava henkilö Rekisterin nimi Rekisterin käyttötarkoitus... 2 Rekisteriseloste Sisällys 1. Rekisterinpitäjä... 2 2. Rekisteriasioista vastaava henkilö... 2 3. Rekisterin nimi... 2 4. Rekisterin käyttötarkoitus... 2 5. Rekisterin sisältämät tiedot... 2 6. Säännönmukaiset

Lisätiedot

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman Turvallisuusselvityslaki ja käytännön toimijat Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman Supon ennalta estävä tehtävä Suojelupoliisin tulee lakisääteisen

Lisätiedot

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET Hall. 01.04.2014 Valt. 29.04.2014 1 Voimaantulo 01.07.2014 1 Lainsäädännöllinen perusta ja soveltamisala Kuntalain 13

Lisätiedot

FINLANDIA-TALO Oy. REKISTERISELOSTE Kameravalvontajärjestelmä SISÄLTÖ

FINLANDIA-TALO Oy. REKISTERISELOSTE Kameravalvontajärjestelmä SISÄLTÖ FINLANDIA-TALO Oy REKISTERISELOSTE Kameravalvontajärjestelmä 19.11.2012 SISÄLTÖ 1 REKISTERIN NIMI 2 REKISTERINPITÄJÄ 3 REKISTERIN VASTUUHENKILÖ 4 REKISTERIASIOITA HOITAVA HENKILÖ 5 REKISTERIN KÄYTTÖTARKOITUS

Lisätiedot

Verkostokehittäjät-hanke Tietosuoja ja tietoturvallisuus

Verkostokehittäjät-hanke Tietosuoja ja tietoturvallisuus Verkostokehittäjät-hanke 22.9.2016 Tietosuoja ja tietoturvallisuus 1 2 Esityksen sisältö Käsitteitä Juridiikkaa Miksi? Rekisteröidyn oikeudet Rekisterinpitäjän velvollisuudet Rekisterinpitäjän tarkistuslista

Lisätiedot

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ Liite E Salassapito- ja tietoturvasitoumus 1 (5) VERSIOHISTORIA Päivä Versio Kuvaus Tekijä 3.0 Tarjouspyynnön liitteeksi Hanketoimisto 2 (5) Salassapito-

Lisätiedot

TIETOTURVATEKNOLOGIAN AMMATILLISET ERIKOISTUMISOPINNOT (30 op)

TIETOTURVATEKNOLOGIAN AMMATILLISET ERIKOISTUMISOPINNOT (30 op) 1 TIETOTURVATEKNOLOGIAN AMMATILLISET ERIKOISTUMISOPINNOT (30 op) 19.1. 16.12.2011 2 KAJAANIN AMMATTIKORKEAKOULU Tervetuloa päivittämään ja kehittämään osaamistasi Kajaanin ammattikorkeakoulun järjestämiin

Lisätiedot

SISÄLTÖ. 1 RISKIENHALLINTA... 3 1.1 Yleistä... 3 1.2 Riskienhallinta... 3 1.3 Riskienhallinnan tehtävät ja vastuut... 4 1.4 Riskienarviointi...

SISÄLTÖ. 1 RISKIENHALLINTA... 3 1.1 Yleistä... 3 1.2 Riskienhallinta... 3 1.3 Riskienhallinnan tehtävät ja vastuut... 4 1.4 Riskienarviointi... RHK Ohje riskienhallinnasta 2 SISÄLTÖ 1 RISKIENHALLINTA... 3 1.1 Yleistä... 3 1.2 Riskienhallinta... 3 1.3 Riskienhallinnan tehtävät ja vastuut... 4 1.4 Riskienarviointi... 5 RH Ohje riskienhallinnasta

Lisätiedot

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke TITAN-SEMINAARI 9.11.2010 Pasi Ahonen, VTT TITAN projektissa koottiin

Lisätiedot

Kieliaineistojen käyttöoikeuksien hallinnan tietojärjestelmä

Kieliaineistojen käyttöoikeuksien hallinnan tietojärjestelmä Kieliaineistojen käyttöoikeuksien hallinnan tietojärjestelmä Omistaja Tyyppi Tiedoston nimi Turvaluokitus Kohderyhmä Turvaluokituskäytäntö --- SE/Pekka Järveläinen Projektisuunnitelma projektisuunnitelma_kielihallinto.doc

Lisätiedot

Käyttöehdot, videokoulutukset

Käyttöehdot, videokoulutukset Käyttöehdot, videokoulutukset Edita Publishing Oy PL 700, 00043 NORDIC MORNING www.editapublishing.fi Asiakaspalvelu www.edilexpro.fi edilexpro@edita.fi puh. 020 450 2040 (arkisin klo 9 16) 1 Yleistä Tämä

Lisätiedot

REKISTERÖIDYN TIEDONSAANTIOIKEUDET HENKILÖTIETOLAIN MUKAAN

REKISTERÖIDYN TIEDONSAANTIOIKEUDET HENKILÖTIETOLAIN MUKAAN 27. 28.5.2002 Liite 5. REKISTERÖIDYN TIEDONSAANTIOIKEUDET HENKILÖTIETOLAIN MUKAAN YLEINEN TIEDONSAANTIOIKEUS : REKISTERISELOSTE HENKILÖKOHTAINEN TIEDONSAANTIOIKEUS: - Rekisteröityjen informointi henkilötietojensa

Lisätiedot

Miksi ja miten siirtyä käyttämään nykyistä ERP-järjestelmää pilvessä?

Miksi ja miten siirtyä käyttämään nykyistä ERP-järjestelmää pilvessä? Miksi ja miten siirtyä käyttämään nykyistä ERP-järjestelmää pilvessä? Sisällys Lukijalle 3 Mitä pilvipalveluilla tarkoitetaan? 4 Toiminnanohjausjärjestelmä pilvessä 5 Miksi siirtyä pilvipalveluihin? 6

Lisätiedot

T Henkilöstöturvallisuus ja fyysinen turvallisuus, k-04

T Henkilöstöturvallisuus ja fyysinen turvallisuus, k-04 T-110.460 Henkilöstöturvallisuus ja fyysinen turvallisuus, k-04 Ilkka Kouri Henkilöstöturvallisuus 10.2. 2005: Henkilöstöturvallisuuden käsitteet, tavoitteet ja hallintakeinot Henkilöstöturvallisuus Henkilöstöturvallisuus

Lisätiedot

! LAATUKÄSIKIRJA 2015

! LAATUKÄSIKIRJA 2015 LAATUKÄSIKIRJA Sisällys 1. Yritys 2 1.1. Organisaatio ja vastuualueet 3 1.2. Laatupolitiikka 4 2. Laadunhallintajärjestelmä 5 2.1. Laadunhallintajärjestelmän rakenne 5 2.2. Laadunhallintajärjestelmän käyttö

Lisätiedot

Yritysfiltteri Pro Käyttöehdot

Yritysfiltteri Pro Käyttöehdot Yritysfiltteri Pro Käyttöehdot Sisällys 1 Käyttöehtojen soveltaminen... 2 2 Salassapito ja turvamenettelyt... 2 3 Laskutuskäytäntö... 3 4 Asiakastiedon tehtävät ja vastuut... 3 5 Asiakkaan tehtävät...

Lisätiedot

Potilas -ja asiakastietojärjestelmien vaatimukset ja valvonta Ammattimainen käyttäjä laiteturvallisuuden varmistajana

Potilas -ja asiakastietojärjestelmien vaatimukset ja valvonta Ammattimainen käyttäjä laiteturvallisuuden varmistajana Potilas -ja asiakastietojärjestelmien vaatimukset ja valvonta Ammattimainen käyttäjä laiteturvallisuuden varmistajana 26.5.2016 Yli-insinööri Antti Härkönen, Valvira Tietojärjestelmien valvonta Terveysteknologia-ryhmä

Lisätiedot

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy LAURA TM -rekrytointijärjestelmän tietoturva Markku Ekblom Teknologiajohtaja Uranus Oy 17.1.2014 Toimintaympäristö Uranus on Suomessa perustettu, Suomessa toimiva ja suomalaisessa omistuksessa oleva yritys.

Lisätiedot

eresepti- ja KANTA-hankkeissa

eresepti- ja KANTA-hankkeissa Tietoturvallisuus ja yksityisyydensuoja 1 eresepti- ja KANTA-hankkeissa Teemupekka Virtanen Sosiaali- ja terveysministeriö teemupekka.virtanen@stm.fi 2 Käsitteitä Tietosuoja, yksityisyyden suoja Periaatteessa

Lisätiedot

Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana. Sami Laaksonen, Propentus Oy

Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana. Sami Laaksonen, Propentus Oy Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana Sami Laaksonen, Propentus Oy 3.12.2015 Propentus Oy Perustettu vuonna 2003 Toimipisteet Kouvolassa, Lahdessa ja Kotkassa

Lisätiedot

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI TIETOSUOJAVALTUUTETUN TOIMISTO MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI Päivitetty 27.07.2010 www.tietosuoja.fi 2 Malli henkilötietojen käsittelyn/henkilörekisterin

Lisätiedot

Sähköisen viestinnän tietosuojalain muutos

Sähköisen viestinnän tietosuojalain muutos Sähköisen viestinnän tietosuojalain muutos 24.04.2008 Hallituksen esitys sähköisen viestinnän tietosuojalain muuttamisesta yrityssalaisuudet, luvaton käyttö ja tietoturva 2 Hallitusohjelma hallitus edistää

Lisätiedot

LAADUNVALVONTAJÄRJESTELMÄ- JA TOIMEKSIANTOLOMAKE

LAADUNVALVONTAJÄRJESTELMÄ- JA TOIMEKSIANTOLOMAKE LAADUNVALVONTAJÄRJESTELMÄ- JA TOIMEKSIANTOLOMAKE Pyydämme palauttamaan täytetyn lomakkeen osoitteeseen laatu@chamber.fi. Tarkastettava tilintarkastaja Laaduntarkastaja Laadunvalvontajärjestelmän kartoitus

Lisätiedot

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa. Palvelupäälliköt ja esimiehet oman henkilöstönsä osalta

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa. Palvelupäälliköt ja esimiehet oman henkilöstönsä osalta Laatimispäivä: 10 /2015 Tämä on tietosuojaseloste, joka sisältää rekisteriselosteen ja asiakkaiden henkilötietojen käsittelyä koskevan informoinnin. 1. Toiminnasta vastaava rekisterinpitäjä Katuosoite:

Lisätiedot

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA 1 (6) ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA Hyväksytty kaupunginhallituksessa 12.12.2006 Tietoturvapolitiikan avulla vaikutetaan omalta osaltaan siihen, että Espoon kaupungin strategiassa määritelty Espoon

Lisätiedot

Standardisarja IEC 62443. Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Standardisarja IEC 62443. Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus Standardisarja IEC 62443 Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus Matti Sundquist, Sundcon Oy Jukka Alve, SESKO ry 1 ASAFin tietoturvaseminaari 27.1.2004 Automaatioseuran

Lisätiedot

Ti5313500 Tietoturvan Perusteet : Politiikka

Ti5313500 Tietoturvan Perusteet : Politiikka Ti5313500 Tietoturvan Perusteet : Pekka Jäppinen 12. joulukuuta 2007 Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007 Ohjeistus/säännöt henkilöstölle kuinka toimia Kertoo mitä

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 14. Yritysturvallisuus 1 Turvallisuuden

Lisätiedot

SELVITYS TIETOJEN SUOJAUKSESTA

SELVITYS TIETOJEN SUOJAUKSESTA 1 (5) Väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) 44 :n mukainen selvitys tietojen SELVITYS TIETOJEN SUOJAUKSESTA Määritelmät Tämä selvitys koskee

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 2.Luento Turvallisuusjohtaminen ja turvallisuuden

Lisätiedot

dokumentin aihe Dokumentti: Testausraportti_I1.doc Päiväys: Projekti : AgileElephant

dokumentin aihe Dokumentti: Testausraportti_I1.doc Päiväys: Projekti : AgileElephant AgilElephant Testausraportti I1 Tekijä: Petri Kalsi Omistaja: ElectricSeven Aihe: Testausraportti Sivu 1 / 5 Dokumentti Historia Muutoshistoria Revision Numero Revision Päiväys Yhteenveto muutoksista Revision

Lisätiedot

Sopimusoikeus ja tietotekniikka. IT-sopimukset. Sopimuksesta yleistä. Mitä ovat IT-sopimukset. Suomessa yleiset sopimusehdot: IT2000

Sopimusoikeus ja tietotekniikka. IT-sopimukset. Sopimuksesta yleistä. Mitä ovat IT-sopimukset. Suomessa yleiset sopimusehdot: IT2000 IT-sopimukset Sopimusoikeus ja tietotekniikka Dosentti, OTT Tuomas Pöysti Helsingin yliopisto Neuvotteleva virkamies Valtiovarainministeriö IT-sopimukset Tietohallinnon sopimukset Tietoaineistoja koskevat

Lisätiedot

TOIMITUSSOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTELMÄSTÄ

TOIMITUSSOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTELMÄSTÄ TOIMITUSSOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTELMÄSTÄ Liite TS2.4 Migraatiovaatimukset 1/10 VERSIOHISTORIA Päivä Versio Kuvaus Tekijä 12.3.15 3.0 Tarjouspyynnön liitteeksi Hanketoimisto 2/10 SISÄLLYS

Lisätiedot

1. YMPÄRISTÖASIOIDEN SUUNNITTELU, ORGANISOINTI, ARVIOINTI JA KEHITTÄMINEN

1. YMPÄRISTÖASIOIDEN SUUNNITTELU, ORGANISOINTI, ARVIOINTI JA KEHITTÄMINEN 1. YMPÄRISTÖASIOIDEN SUUNNITTELU, ORGANISOINTI, ARVIOINTI JA KEHITTÄMINEN Oppilaitos: Yhteyshenkilö: Päivämäärä: 1.1 YMPÄRISTÖASIOIDEN HOIDON TILA KRITEERI 1: Oppilaitoksella on käsitys omaan toimintaansa

Lisätiedot

Ohjelmoinnin perusteet Y Python

Ohjelmoinnin perusteet Y Python Ohjelmoinnin perusteet Y Python T-106.1208 2.3.2009 T-106.1208 Ohjelmoinnin perusteet Y 2.3.2009 1 / 28 Puhelinluettelo, koodi def lue_puhelinnumerot(): print "Anna lisattavat nimet ja numerot." print

Lisätiedot

NELJÄ HELPPOA TAPAA TEHDÄ TYÖNTEKIJÖIDEN TYÖSTÄ JOUSTAVAMPAA

NELJÄ HELPPOA TAPAA TEHDÄ TYÖNTEKIJÖIDEN TYÖSTÄ JOUSTAVAMPAA NELJÄ HELPPOA TAPAA TEHDÄ TYÖNTEKIJÖIDEN TYÖSTÄ JOUSTAVAMPAA Vie yrityksesi pidemmälle Olitpa yrityksesi nykyisestä suorituskyvystä mitä mieltä tahansa, jokainen yritysorganisaatio pystyy parantamaan tuottavuuttaan

Lisätiedot

Henkilötiedot ja tietosuoja kotipalveluyrityksissä

Henkilötiedot ja tietosuoja kotipalveluyrityksissä Henkilötiedot ja tietosuoja kotipalveluyrityksissä Valtakunnalliset kotityöpalvelupäivät 18.1.2013 Otto Markkanen, lakimies Asianajotoimisto Castrén & Snellman 1 TIETOSUOJA? YKSITYISYYS JA HENKILÖTIEDOT

Lisätiedot

Järjestelmätoimitusprosessin tietoturva Mikko Jylhä

Järjestelmätoimitusprosessin tietoturva Mikko Jylhä Järjestelmätoimitusprosessin tietoturva 30.9.2009 Mikko Jylhä mikko.jylha@deloitte.fi Esityksen rakenne Puhujan esittäytyminen 3 min A) Toimitussisällöstä sopiminen tietoturvanäkökulmasta 15 min B) Toimitusprosessiin

Lisätiedot

T Henkilöturvallisuus ja fyysinen turvallisuus, k-04

T Henkilöturvallisuus ja fyysinen turvallisuus, k-04 T-110.460 Henkilöturvallisuus ja fyysinen turvallisuus, k-04 Ilkka Kouri Henkilöstöturvallisuus 25.2.2004: Osaaminen ja avainhenkilöt Rekrytoinnin tarkistuslista... lähde:www.pk-rh.com Onko uuden työntekijän

Lisätiedot

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn! 1(16) Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn! Arvoisa vastaaja, Tällä kyselyllä selvitetään Suomen kuntien tieto- ja kyberturvallisuuden

Lisätiedot

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA 2016 Kh 111 31.5.2016 v1.0 19.5.2016, Seija Romo 1. JOHDANTO... 1 2. TIETOTURVAPOLITIIKAN TAVOITE... 1 3. TIETOTURVATOIMINTAA OHJAAVAT TEKIJÄT... 2 4. TIETORISKIEN

Lisätiedot

Tutkimuslaitosseminaari

Tutkimuslaitosseminaari Tutkimuslaitosseminaari Rakennushankkeen suojaustason vaikutus hankkeeseen Case ST III Luottamuksellinen tasoisen hankkeen käynnistämis- ja suunnitteluvaihe. Tu o m m e t i l a l l e r a t k a i s u t

Lisätiedot

Tietosuoja sosiaali- ja terveyspalveluissa

Tietosuoja sosiaali- ja terveyspalveluissa Tietosuoja sosiaali- ja terveyspalveluissa Ari Andreasson tietosuojavastaava, Tampereen kaupunki Tampere-talo, Superin ammatilliset opintopäivät 17.2.2016 1 Mediasta lainattua Salakuvaaminen kännykkäkameroilla

Lisätiedot

Tuotetta koskeva ilmoitus

Tuotetta koskeva ilmoitus Suojaus Käyttöopas Copyright 2009 Hewlett-Packard Development Company, L.P. Tässä olevat tiedot voivat muuttua ilman ennakkoilmoitusta. Ainoat HP:n tuotteita ja palveluja koskevat takuut mainitaan erikseen

Lisätiedot

Laboratorioprosessin. koostuu Labquality-päivät PSHP Laboratoriokeskus

Laboratorioprosessin. koostuu Labquality-päivät PSHP Laboratoriokeskus Laboratorioprosessin i laatu; mistä elementeistä laatu koostuu Labquality-päivät 5.2.2010 Oili Liimatainen PSHP Laboratoriokeskus Laadussa huomioitava Preanalytiikka Analytiikka Postanalytiikka Kansainvälisiin

Lisätiedot

Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet

Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet 1 Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet Valtuusto 23.3.2015 16 2 Vieremän kunnan sisäisen valvonnan ja riskienhallinnan perusteet Lainsäädäntöperusta ja soveltamisala Kuntalain

Lisätiedot

Suostumusten hallinta kansallisessa tietojärjestelmäarkkitehtuurissa

Suostumusten hallinta kansallisessa tietojärjestelmäarkkitehtuurissa Suostumusten hallinta kansallisessa tietojärjestelmäarkkitehtuurissa 30.5.2007 Maritta Korhonen 24.03.2013 1 Taustaa Sosiaali- ja terveydenhuollossa hyödynnettävälle tietoteknologialle asettaa erityisvaatimuksia

Lisätiedot

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan. Ammattitaidon osoittamistavat

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan. Ammattitaidon osoittamistavat 1(6) TYÖSSÄOPPIMINEN JA AMMATTIOSAAMISEN NÄYTTÖ Tutkinnon osa: Palvelinohjelmistojen ja virtualisointi 15 osp Työssäoppimisen keskeinen sisältö: työtehtävien suunnittelu ja valmistelu oman työn ja työn

Lisätiedot

Projektisuunnitelma Vesiprosessin sekvenssiohjelmointi ja simulointiavusteinen testaus

Projektisuunnitelma Vesiprosessin sekvenssiohjelmointi ja simulointiavusteinen testaus Projektisuunnitelma Vesiprosessin sekvenssiohjelmointi ja simulointiavusteinen testaus Ville Toiviainen Tomi Tuovinen Lauri af Heurlin Tavoite Projektin tarkoituksena on luoda valmis sekvenssiohjelma säätötekniikan

Lisätiedot

OTM - Katsaus sisältöön. Sidosryhmäseminaari

OTM - Katsaus sisältöön. Sidosryhmäseminaari OTM - Katsaus sisältöön Sidosryhmäseminaari 24.10.2013 Projektiryhmän esittely Katja Arstio, Helsingin yliopisto Sami Hautakangas, Tampereen yliopisto Tuomas Naakka, Helsingin yliopisto Inka Paukku, Aalto

Lisätiedot

Kuvailulehti. Korkotuki, kannattavuus. Päivämäärä 03.08.2015. Tekijä(t) Rautiainen, Joonas. Julkaisun laji Opinnäytetyö. Julkaisun kieli Suomi

Kuvailulehti. Korkotuki, kannattavuus. Päivämäärä 03.08.2015. Tekijä(t) Rautiainen, Joonas. Julkaisun laji Opinnäytetyö. Julkaisun kieli Suomi Kuvailulehti Tekijä(t) Rautiainen, Joonas Työn nimi Korkotuetun vuokratalon kannattavuus Ammattilaisten mietteitä Julkaisun laji Opinnäytetyö Sivumäärä 52 Päivämäärä 03.08.2015 Julkaisun kieli Suomi Verkkojulkaisulupa

Lisätiedot

HE 23/2007 vp. Esityksessä ehdotetaan muutettavaksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä

HE 23/2007 vp. Esityksessä ehdotetaan muutettavaksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä HE 23/2007 vp Hallituksen esitys Eduskunnalle sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain 25 :n muuttamisesta ESITYKSEN PÄÄASIALLINEN SISÄLTÖ Esityksessä ehdotetaan

Lisätiedot

HYRYNSALMEN KUNNAN TYÖSUOJELUN TOIMINTAOHJELMA

HYRYNSALMEN KUNNAN TYÖSUOJELUN TOIMINTAOHJELMA HYRYNSALMEN KUNNAN TYÖSUOJELUN TOIMINTAOHJELMA 1 Sisällysluettelo 1. JOHDANTO... 2 2. TYÖSUOJELUN MÄÄRITELMÄ... 2 3. TYÖSUOJELUTOIMINNAN TAVOITTEET... 2 4. TYÖSUOJELUTOIMENPITEET JA SEURANTA... 2 4.1 Ennakoiva

Lisätiedot

KOULUTUSTARJOTIN 1 (11) Ryhmäkoko Hinta (alv 24 %) Koulutuskuvaukset Tavoite Kesto. Kokonaisvaltainen riskienhallinta

KOULUTUSTARJOTIN 1 (11) Ryhmäkoko Hinta (alv 24 %) Koulutuskuvaukset Tavoite Kesto. Kokonaisvaltainen riskienhallinta KOULUTUSTARJOTIN 1 (11) Kokonaisvaltainen riskienhallinta Osallistuja tiedostaa kokonaisvaltaisen riskienhallinnan periaatteet. Osallistuja ymmärtää eri tahojen laatimien riskianalyysien ja uhkamallien

Lisätiedot

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan 10.12.2015 Hannele Kerola Lainsäädäntöneuvos Pääministeri Juha Sipilän hallituksen strateginen

Lisätiedot

TeliaSonera CA Asiakkaan vastuut ja velvollisuudet (Subscriber Agreement)

TeliaSonera CA Asiakkaan vastuut ja velvollisuudet (Subscriber Agreement) TeliaSonera CA Asiakkaan vastuut v. 2.0 TeliaSonera CA Asiakkaan vastuut ja velvollisuudet (Subscriber Agreement) Luottavan osapuolen velvollisuudet Varmenteen hakijan ja haltijan velvollisuudet Rekisteröijän

Lisätiedot