Microsoftin pilvi infrastruktuurin turvaaminen

Koko: px
Aloita esitys sivulta:

Download "Microsoftin pilvi infrastruktuurin turvaaminen"

Transkriptio

1 Microsoftin pilvi infrastruktuurin turvaaminen Tässä asiakirjassa lukijalle esitellään verkkopalveluiden tietoturva ja vaatimustenmukaisuusryhmä, joka on osa Palvelujen globaali perusta osastoa, joka hallinnoi Microsoftin pilvi infrastruktuurin tietoturvaa. Lukijat saavat käsityksen siitä, mitä pilvipalvelut tarkoittavat Microsoftilla nyt ja miten yhtiö tarjoaa luotettavan pilvitekniikkainfrastruktuurin. Julkaistu: toukokuu

2 Sisällysluettelo Yhteenveto... 3 Pilvipalveluiden tietoturvahaasteet... 4 Miten Microsoft vastaa näihin haasteisiin... 5 Mikä on Microsoftin pilvipalveluympäristö?... 6 Verkkopalveluiden tietoturva ja vaatimustenmukaisuusryhmä... 6 Luotettava tietojenkäsittely Microsoftilla... 7 Tietosuoja... 8 Tietoturva... 9 Tietoturvaohjelma... 9 Riskihallintaprosessit Liiketoiminnan jatkuvuuden hallinta Tietoturvahäiriöiden hallinta Maailmanlaajuinen rikoslainsäädännön noudattaminen Toiminnan vaatimustenmukaisuus Monikerroksinen suojausjärjestelmä Fyysinen suojaus Verkon tietoturva Tietojen suojaus Identiteetin ja käytön hallinta...18 Sovellusten tietoturva Isäntäpalvelimen tietoturvan tarkastus ja raportointi Loppusanat Lisätietoja

3 Yhteenveto Viimeaikaisissa pilvi, pilvipalvelut ja pilviympäristö käsitteiden uusia määritelmiä koskevissa tutkimuksissa on yritetty selvittää, mitä asiakkaat odottavat pilvipalveluiden toimittajilta ja löytää keinoja luokitella palveluita, joita tällaiset palveluntarjoajat sanovat tarjoavansa. Ajatus, että ostamalla palveluita pilviympäristöstä teknologiayritysten päätöksentekijät voivat säästää rahaa ja yritykset voivat keskittyä ydinliiketoimintaansa, on houkutteleva ehdotus nykyisessä taloudellisessa ilmastossa. Useiden analysoijien mielestä uudet verkon kautta toimitettavien palveluiden hinnoittelu ja toimitusmahdollisuudet ovat vahingoittavia markkinaolosuhteille. Nämä markkinatutkimukset ja niitä seuranneet keskustelut mahdollisten asiakkaiden ja palveluntarjoajien välillä osoittavat, että tiettyjä teemoja on noussut esiin mahdollisina esteinä pilvipalveluiden nopealle käyttöönotolle. Huolenaiheet tietoturvasta, tietosuojasta, luotettavuudesta ja toiminnan valvonnasta ovat mahdollisten esteiden luettelon kärjessä. Microsoft myöntää, että yritysten päätöksentekijöillä on paljon kysymyksiä näistä asioista. Heidän täytyy muun muassa saada tietää, miten heitä käsitellään Microsoftin pilviympäristössä ja miten se vaikuttaa heidän omiin riskeihinsä ja toimintaa koskeviin päätöksiin. Tämä asiakirja osoittaa, miten ihmisten, prosessien, tekniikoiden ja kokemusten koordinoitu ja strateginen soveltaminen parantaa jatkuvasti Microsoftin pilviympäristön tietoturvaa. Global Foundation Services (GFS, Palvelujen globaali perusta) osastoon kuuluva Online Services Security and Compliance (OSSC, Verkkopalveluiden tietoturva ja vaatimustenmukaisuusryhmä) pohjaa samoihin tietoturvan periaatteisiin ja prosesseihin, jotka Microsoft on kehittänyt niiden kokemusten perusteella, jotka se on saanut perinteisten kehitys ja toimintaympäristöjen tietoturvariskien hallinnan yhteydessä. 3

4 Pilvipalveluiden tietoturvahaasteet Tietotekniikka ala joutuu kohtaamaan haasteita, joita pilvipalveluiden tarjoamat mahdollisuudet tuovat mukanaan. Microsoft on jo yli 15 vuoden ajan pyrkinyt ratkaisemaan seuraavat verkkopalveluiden toimittamiseen liittyvät haasteet: Uudet pilviliiketoimintamallit luovat yhä enemmän keskinäistä riippuvuutta julkisen ja yksityisen sektorin yksiköiden ja sellaisten ihmisten kesken, joita ne palvelevat Pilvipalveluiden käytön myötä tällaisista organisaatioista ja niiden asiakkaista tulee yhä enemmän riippuvaisia toisistaan. Nämä uudet riippuvuudet tuovat mukanaan molemminpuolisia odotuksia siitä, että käyttöympäristöpalvelut ja isännöidyt sovellukset ovat turvallisia ja käytettävissä. Microsoft tarjoaa luotettavan infrastruktuurin, perustan, jolle julkisen ja yksityisen sektorin yksiköt ja niiden kumppanit voivat rakentaa luotettavan kokemuksen käyttäjilleen. Microsoft tekee aktiivisesti töitä näiden ryhmien kanssa ja kehitysyhteisön kanssa yleisesti, ja rohkaisee ottamaan käyttöön tietoturvakeskeisiä riskinhallintaprosesseja. Pilvipalveluiden, myös tekniikoiden ja liiketoimintamallien jatkuvan evoluution, kiihdyttäminen luo dynaamisen isännöintiympäristön, joka itsessään on haaste tietoturvan kannalta Kasvun vauhdissa pysyminen ja tulevaisuuden tarpeiden ennakoiminen on erittäin tärkeää tehokkaan tietoturvaohjelman kannalta. Viimeisin muutoksen aalto on jo alkanut nopealla siirtymisellä virtualisointiin ja kasvavaan Microsoftin Ohjelmisto ja palvelut strategian käyttöönottoon, jossa yhdistyvät tietokoneiden, kannettavien laitteiden, verkkopalveluiden ja yritysohjelmiston teho ja toiminnot. Pilvipalveluiden yleistyminen mahdollistaa kolmansien osapuolten kehittämät, mukautetut sovellukset ja niiden isännöinnin Microsoftin pilvipalvelussa. Jäljempänä tässä asiakirjassa kuvailtavan verkkopalveluiden tietoturvaohjelman kautta Microsoft ylläpitää vahvoja sisäisiä kumppanuuksia tietoturvasta, tuotteista ja palveluiden toimittamisesta vastaavien ryhmien kanssa voidakseen tarjota luotettavan Microsoft pilviympäristön samalla, kun näitä muutoksia tapahtuu. Yritykset tunkeutua verkkopalveluihin tai häiritä niitä ovat yhä taitavampia samalla, kun tällä areenalla on saatavissa yhä enemmän kaupallista toimintaa ja liiketoimintamahdollisuuksia Pilailijat hakevat edelleen huomiota erilaisilla tekniikoilla, kuten verkkotunnuksia valtaamalla tai välikäsihyökkäyksillä, mutta esiin on noussut kehittyneempiä ilkivaltaisia hyökkäysyrityksiä, joilla yritetään hankkia identiteettitietoja tai estää pääsy arkaluontoisiin liiketoimintatietoihin. Lisäksi esiin on noussut organisoidummat rikolliset markkinat varastetuille tiedoille. Microsoft tekee tiiviisti yhteistyötä lainsäätäjien, alan kumppaneiden ja vertaistahojen sekä tutkimusryhmien kanssa, jotta tästä kehittyvästä uhasta saataisiin selkeä kuva ja jotta siihen voitaisiin vastata. Jäljempänä tässä asiakirjassa kuvailtu Microsoft Security Development Lifecycle prosessi tuo tietoturvan ja tietosuojan mukaan kehitysprosessiin jo hyvin varhaisessa vaiheessa ja kattaa koko kehitysprosessin. Monimutkaiset vaatimustenmukaisuusvaatimukset täytyy ratkaista, kun uusia ja olemassa olevia palveluita tuotetaan maailmanlaajuisesti Säännösten, lainsäädännön ja alan käytäntöjen (joista käytetään jäljempänä tässä asiakirjassa yhteistä nimitystä "säännökset") noudattaminen on erittäin monimutkainen osa alue, koska eri puolilla maailmaa jokaisessa maassa voidaan säätää ja säädetään omia lakeja, jotka voivat säädellä verkkoympäristöjen tarjoamista ja käyttöä. Microsoftin täytyy voida noudattaa lukemattomia säännöksiä, koska sillä on tietokeskuksia useissa maissa ja se tarjoaa verkkopalveluita maailmanlaajuiselle asiakaskannalle. Lisäksi useilla aloilla on määrätty erilaisia vaatimuksia. Microsoft on ottanut käyttöön vaatimustenmukaisuusjärjestelmän (kuvaillaan jäljempänä tässä asiakirjassa), jonka avulla se hallinnoi tehokkaasti sen eri vaatimustenmukaisuusvaatimuksia luomatta tarpeetonta taakkaa liiketoiminnalle. 4

5 Miten Microsoft vastaa näihin haasteisiin MSN portaalin perustamisesta lähtien vuonna 1994 Microsoft on rakentanut ja tuottanut verkkopalveluita. GFS osasto hallinnoi pilvi infrastruktuuria ja ympäristöä Microsoftin verkkopalveluita varten ja muun muassa varmistaa niiden käytettävyyden sadoille miljoonille asiakkaille kaikkialla maailmassa ympäri vuorokauden vuoden jokaisena päivänä. Yli 200:aa yrityksen verkkopalvelua ja verkkoportaalia isännöidään tässä pilvi infrastruktuuria, kuten sellaisia tuttuja, kuluttajille suunnattuja palveluita kuin Windows Live Hotmail ja Live Search, sekä yrityksille suunnattuja palveluita kuin Microsoft Dynamics CRM Online ja Microsoft Business Productivity Online Standard Suite Microsoftin verkkopalveluista. Riippumatta siitä, säilytetäänkö kuluttajan henkilötietoja tämän omalla tietokoneella tai verkkoympäristössä, tai säilytetäänkö yrityksen liiketoiminnan kannalta kriittisiä tietoja sisäisesti tai isännöidyllä palvelimella ja lähetetään Internetin kautta, Microsoft tunnustaa, että kaikkien näiden ympäristöjen täytyy tarjota luotettava tietojen käsittelykokemus. Yrityksenä Microsoft on ainutlaatuisessa asemassa tuottaakseen sekä ohjeita että teknisiä ratkaisuja, jotka voivat tarjota turvallisemman verkkokokemuksen. Microsoft auttaa asiakkaita välttämään taloudellisia menetyksiä ja muita opportunististen ja kohdennettujen verkkohyökkäysten aiheuttamia seurauksia ja osana vakaata sitoutumista luotettavaan tietojen käsittelyyn varmistamalla, että yhtiön käyttämät ihmiset, prosessit ja tekniikat tuottavat turvallisempia ja tietosuojaa vahvistavia kokemuksia, tuotteita ja palveluita. Microsoft tuottaa luotettavia pilvipalveluita keskittymällä seuraaviin kolmeen osa alueeseen: käyttämällä riskipohjaista tietoturvaohjelmaa, joka arvioi ja priorisoi yritykselle koituvia tietoturvaan ja toimintaan kohdistuvia uhkia ylläpitämällä ja päivittämällä erilaisia riskiä hillitseviä tietoturvan valvontatoimia käyttämällä vaatimustenmukaisuusjärjestelmää, joka takaa, että valvontatoimet on suunniteltu asianmukaisesti ja että ne toimivat tehokkaasti. Tässä asiakirjassa kuvaillaan, miten Microsoft suojelee asiakkaiden tietoja ja liiketoimia kaikilla palvelutasoilla kattavan tietoturvaohjelman ja kehittyneen käytäntöjen ja vaatimustenmukaisuuden hallintamenetelmän, käytäntöjen ja toimintojen usein toteutettavan sisäisen ja ulkoisen arvioinnin sekä kattavien tietoturvan valvontatoimien kautta. Näiden prosessien ja mekanismien avulla Microsoft noudattaa alan standardeja ja kaikkien sovellettavien lakien, direktiivien, määräysten ja säännösten vaatimuksia tuottaessaan palveluita verkossa maailmanlaajuiselle asiakaskunnalle. Tässä asiakirjassa mainitaan tietosuojakäytäntöjä, mutta tarkoitus ei ole käsitellä niitä syvällisesti, eikä tätä asiakirjaa ole tarkoitettu tietosuojatoimintoja käsitteleväksi oppaaksi. Tietoja siitä, miten Microsoft ratkaisee tietosuojatarpeita, on Microsoftin luotettava tietojenkäsittelyn tietosuoja sivulla. 5

6 Mikä on Microsoftin pilvipalveluympäristö? Microsoftin pilvipalveluympäristö on fyysinen ja looginen infrastruktuuri sekä isännöityjä sovelluksia ja käyttöympäristöpalveluita. GFS osasto tuottaa fyysisen ja loogisen pilvi infrastruktuurin Microsoftilla useita käyttöympäristöpalveluita mukaan lukien. Fyysinen infrastruktuuri sisältää itse tietokeskustilat sekä laitteistot ja komponentit, jotka tukevat palveluita ja verkkoja. Microsoftin looginen infrastruktuuri koostuu käyttöjärjestelmistä, reititetyistä verkoista ja vapaamuotoisista tietojen tallennustiloista, sekä virtuaalisissa että fyysisissä kohteissa. Käyttöympäristöpalvelut käsittävät tietojenkäsittelyn suorituksenaikaisia palveluita (esimerkiksi Internet Information Services,.NET Framework ja Microsoft SQL Server ), identiteetti ja hakemistomuisteja (esimerkiksi Active Directory ja Windows Live ID), nimipalveluja (DNS) ja muita kehittyneitä toimintoja, joita käytetään verkkopalveluissa. Microsoftin pilviympäristöpalvelut, kuten infrastruktuuripalvelut, voivat olla virtualisoituja tai todellisia. Microsoftin pilvipalvelussa käytetään verkkosovelluksina muun muassa yksinkertaisia ja monimutkaisia tuotteita, joita on suunniteltu joukolle erilaisia asiakkaita. Nämä verkkopalvelut ja vastaavat tietoturva ja tietosuojavaatimukset voidaan ryhmitellä väljästi seuraaviin luokkiin: kuluttaja ja pienyrityspalvelut esimerkkejä ovat muun muassa Windows Live Messenger, Windows Live Hotmail, Live Search, Xbox LIVE ja Microsoft Office Live yrityspalvelut esimerkiksi Microsoft Dynamics CRM Online ja Microsoft Business Productivity Online Standard Suite, mukaan lukien Exchange Online, SharePoint Online ja Office Live Meeting kolmannen osapuolen isännöidyt palvelut sisältää verkkopohjaisia sovelluksia ja ratkaisuja, jotka ovat kolmansien osapuolten Microsoftin pilvipalveluympäristön kautta, käyttöympäristöpalveluita käyttäen kehittämiä ja tuottamia. Verkkopalveluiden tietoturva ja vaatimustenmukaisuusryhmä GFS osastoon kuuluva OSSC ryhmä vastaa Microsoftin pilvi infrastruktuurin tietoturvaohjelmasta, verkon tietoturvariskien hallintaan käytettävät käytännöt ja ohjelmat mukaan lukien. OSSC ryhmän tehtävä on toteuttaa luotettavia verkkopalveluita, jotka luovat kilpailuedun Microsoftille ja sen asiakkaille. Sijoittamalla tämän toiminnon pilvi infrastruktuuritasolle, kaikissa Microsoftin pilvipalveluissa voidaan hyödyntää skaalautuvuuden ja vähäisemmän monimutkaisuuden mukanaan tuomia taloudellisia etuja jaettujen tietoturvaratkaisujen ansiosta. Tämän vakioratkaisun ansiosta myös jokainen Microsoftin palveluryhmä voi keskittyä asiakkaidensa yksilöllisiin tietoturvatarpeisiin. OSSC ryhmä johtaa pyrkimystä tuottaa luotettavan kokemuksen Microsoftin pilvipalveluissa Microsoftin tietoturvaohjelman kautta käyttäen riskipohjaista toimintamallia ja monikerroksista valvontatoimien järjestelmää. Tämä sisältää säännöllisiä riskinhallinnan tarkastuksia, tietoturvan valvontajärjestelmän kehittämisen ja ylläpidon sekä jatkuvat pyrkimykset varmistaa vaatimustenmukaisuus toiminnoissa tietokeskuksen kehittämisestä eri maiden 6

7 lainsäätäjien kysymyksiin vastaamiseen. Ryhmä käyttää parhaan käytännön prosesseja, mukaan lukien erilaisia sisäisiä ja ulkoisia tarkastuksia, verkkopalveluiden koko elinkaaren ajan ja infrastruktuurin jokaisessa osassa. Läheiset työsuhteet Microsoftin muiden ryhmien kanssa tuottaa kattavan lähestymistavan sovellusten suojaamiselle Microsoftin pilvipalveluissa. Maailmanlaajuisen pilvi infrastruktuurin tuottaminen useissa yrityksissä seuraa velvollisuudesta noudattaa vaatimuksia ja täyttää ulkopuolisten tarkastajien valvonnan vaatimukset. Valvottavat vaatimukset perustuvat hallitusten ja alan mandaatteihin, sisäisiin käytäntöihin ja alan parhaisiin käytäntöihin. OSSC ohjelma takaa, että vaatimustenmukaisuusodotuksia arvioidaan ja integroidaan jatkuvasti. Tietoturvaohjelman ansiosta Microsoft voi saada esimerkiksi kansainvälisen standardisointiorganisaation / International Society of Electrochemistry järjestön tärkeitä sertifikaatteja, kuten 27001:2005 (ISO/IEC 27001:2005), ja Statement of Auditing Standard (SAS) 70 tyypin I ja tyypin II todistuksia sekä läpäistä tehokkaammin riippumattomien kolmansien osapuolten säännöllisiä tarkastuksia. Luotettava tietojenkäsittely Microsoftilla Tärkein tehokkaan tietoturvaohjelman luomiseen tarvittava tekijä on kulttuuri, jossa ollaan tietoisia tietoturvasta ja arvostetaan se erittäin korkealle. Microsoft tunnustaa, että yritysten johtajien täytyy valtuuttaa tällainen kulttuuri ja tukea sitä. Microsoftin johtoryhmä on ollut pitkään sitoutunut tekemään asianmukaiset investoinnit ja luomaan kannusteita turvalliselle käyttäytymiselle. Vuonna 2002 Microsoft käynnisti Trustworthy Computing (luotettavan tietojenkäsittelyn) aloitteen, jossa Bill Gates sitoutti Microsoftin muuttamaan sen tehtäviä ja strategiaa tärkeillä osaalueilla. Nyt Trustworthy Computing on yksi Microsoftin ydinarvoista, joka ohjaa lähes kaikkea, mitä Microsoft tekee. Tämän aloitteen perustana on neljä pilaria: tietosuoja, tietoturva, luotettavuus ja yrityskäytännöt. Lisätietoja Trustworthy Computing aloitteesta on Microsoftin Trustworthy Computing aloite sivulla. Microsoft ymmärtää, että menestyminen verkkopalveluiden muuttuvilla markkinoilla riippuu asiakkaiden tietojen tietoturvasta ja tietosuojasta sekä Microsoftin tarjoamien palveluiden joustavuudesta. Microsoft suunnittelee ja testaa sovelluksia ja infrastruktuuria jatkuvasti kansainvälisesti tunnustettujen standardien mukaan osoittaakseen niiden kapasiteetin ja sen, että ne täyttävät lainsäädännön sekä sisäisten turvallisuus ja tietosuojakäytäntöjen vaatimukset. Näin ollen Microsoftin asiakkaat hyötyvät keskitetymmästä testaamisesta ja valvonnasta, automatisoidusta korjausten toimituksesta, skaalautuvuuden tuottamista kustannussäästöistä ja jatkuvista turvallisuuden parannuksista. 7

8 Tietosuoja Microsoft pyrkii suojelemaan asiakkaiden tietosuojaa ja tietoturvaa. Tähän sisältyy myös kaikkien sovellettavien tietosuojaa koskevien lakien noudattaminen sekä Microsoftin tietosuojalausunnoissa eriteltyjen, tiukkojen tietosuojakäytäntöjen noudattaminen. Luodakseen asiakkaille luotettavan ympäristön Microsoft kehittää ohjelmistoja, palveluita ja prosesseja tietosuojaa ajatellen. Microsoftin ryhmät noudattavat maailmanlaajuisten tietosuojalakien vaatimuksia tarkasti, ja Microsoftin tietosuojakäytäntöjen perustana on osittain eri maiden tietosuojalainsäädäntö. Microsoft noudattaa näistä tietosuojalainsäädännöistä tiukimpia ja soveltaa näitä standardeja maailmanlaajuisesti. Microsoft on sitoutunut suojelemaan henkilötietoja koskevaa tietosuojaa. Verkkopalveluiden toimittamisesta vastaavat ryhmät käyttävät useita eri tietoturvatekniikoita ja menetelmiä, joiden avulla henkilötiedot voidaan suojata luvattomalta tarkastelulta, käytöltä tai julkaisulta. Microsoftin ohjelmistojen kehitysryhmät käyttävät PD3+C periaatteita, jotka on määritelty Security Development Lifecycle (SDL) prosessissa, kaikissa Microsoftin kehitys ja toimintakäytännöissä: Tietosuoja suunnittelussa Microsoft käyttää tätä periaatetta monella tavalla sovellusten kehittämisen, julkaisun ja ylläpidon aikana sen varmistamiseksi, että asiakkailta kerättyjä tietoja käytetään tiettyyn tarkoitukseen ja että asiakkaille ilmoitetaan asianmukaisesti, jotta asiakkaat voivat tehdä riittäviin tietoihin perustuvia päätöksiä. Kun kerättävät tiedot luokitellaan erittäin arkaluontoisiksi, voidaan soveltaa myös muita tietoturvamenetelmiä, kuten salausta siirron tai säilytyksen tai molempien aikana. Tietosuoja oletuksena Microsoftin tuotteissa asiakkailta pyydetään lupa ennen kuin arkaluontoisia tietoja kerätään tai siirretään. Kun lupa on annettu, tällaiset tiedot suojataan esimerkiksi käyttöoikeusluetteloilla (ACL) yhdistelmänä identiteetin todentamismekanismien kanssa. Tietosuoja käyttöönototssa Microsoft tarjoaa yritysasiakkaille tietosuojamekanismeja, jotta asiakkaat voivat perustaa asianmukaisia tietosuoja ja tietoturvakäytäntöjä käyttäjilleen. Viestintä Microsoft sitouttaa yleisöä aktiivisesti julkaisemalla tietosuojakäytäntöjä, valkoisia kirjoja ja muita tietosuojaan liittyviä asiakirjoja. Lisätietoja Microsoftin sitoutumisesta tietosuojaan on Microsoftin luotettava tietojenkäsittelyn tietosuoja sivulla. 8

9 Tietoturva Microsoft on jatkanut yhtiön pilvi infrastruktuurin soveltamista voidakseen hyödyntää uusia tekniikoita, kuten virtualisointia. Näiden edistysaskelten ansiosta tietovarannot voidaan erottaa yhteisestä fyysisestä infrastruktuurista monenlaisiin asiakkaiden käyttötarkoituksiin. Kun tähän yhdistetään vielä se tosiasia, että verkkosovellusten kehitysprosessi on usein joustavampi ja niitä julkaistaan enemmän, on käynyt selväksi, että tietoturvan riskinhallintaa on täytynyt mukauttaa, jotta tietojenkäsittely voi olla luotettavaa. Tämän asiakirjan seuraavissa osissa paneudutaan tarkemmin siihen, miten Microsoftin OSSC ryhmä soveltaa tietoturvan perusteita, ja toimenpiteisiin, joita koko yhtiössä on toteutettu riskien hallitsemista varten Microsoftin pilviinfrastruktuurissa. Jäljempänä esitellään myös, mitä monikerrossuojaus tarkoittaa verkkopalveluiden tietoturvassa ja miten pilvipohjainen tietojenkäsittely ympäristö tuottaa uusia lähestymistapoja tietoturvamenetelmissä. Tietoturvaohjelma Microsoftin verkon tietoturvaohjelma määrittelee, miten OSSC toimii. Ohjelman on sertifioinut riippumattomasti Britannian standardisointilaitoksen (BSI, British Standards Institute) Management Systems America osasto ISO/IEC 27001:2005 normin mukaisesti. Lisätietoja ISO/IEC 27001:2005 sertifikaateista on Sertifikaatti /asiakashakemiston hakutulokset sivulla. Tietoturvaohjelma järjestää tietoturvavaatimukset kolmeen huipputason verkkoalueeseen: hallinta, tekninen ja fyysinen. Näiden verkkoalueiden kriteerit muodostavat perustan, jonka pohjalta riskejä hallitaan. Tietoturvaohjelma noudattaa verkkoalueissa ja niiden alaluokissa tunnistetuista puskureista ja valvontatoimista alkaen ISO/IEC27001:2005 normin mukaista kehystä "suunnittele, tee, tarkista, toimi". 9

10 Lisäksi OSSC määrittelee neljä vaihetta ISO tietoturvaohjelman perinteisessä "suunnittele, tee, tarkista, toimi" rakenteessa seuraavasti: Suunnittele Tee a. Riskiperusteinen päätöksenteko OSSC johtaa tärkeimpien toimintojen priorisointia ja resurssien kohdentamista ja luo tietoturvan toimintasuunnitelman riskien arviointien perusteella. Tähän suunnitelmaan kootut organisaatiotason ja yksittäiset tavoitteet määrittelevät käytäntöjen, toimintastandardien ja tietoturvan valvontatoimien päivitykset GFS:ssä ja useissa tuoteryhmissä. b. Asiakirjavaatimukset OSSC määrittelee selkeät odotukset, jotka määrittelevät perustan kolmannen osapuolen hyväksyntöjen ja sertifiointien saamiselle dokumentoidun valvontajärjestelmän kautta. Tämä järjestelmä sisältää selkeän, johdonmukaisen ja suppean kuvauksen vaatimuksista. a. Asianmukaisten valvontatoimien toteutus Toiminta, tuote ja palveluiden toimittamisesta vastaavat ryhmät määrittelevät valvontatoimet tietoturvasuunnitelman perusteella. b. Käytä valvontatoimia OSSC toteuttaa ja käyttää useita valvontatoimia suoraan, esimerkiksi sellaisia valvontatoimia, joiden avulla varmistetaan rikoslainsäädännön noudattaminen maailmanlaajuisesti, hallitaan infrastruktuuriin kohdistuva uhka ja suojataan tietokeskukset fyysisesti. Muita toimenpiteitä toteuttavat ja ylläpitävät toiminta ja tuoteryhmät sekä palveluiden toimittamisesta vastaava ryhmä. Tarkista a. Mittaa ja paranna OSSC arvioi valvontatoimintaa jatkuvasti. Lisävalvontatoimia voidaan lisätä tai käytössä olevia voidaan muokata, jotta tietoturvakäytännössä ja valvontajärjestelmässä eritellyt tavoitteet toteutuvat varmasti. Toimi a. Vahvista ohjelman tehokkuus Sekä sisäiset ryhmät että ulkoiset tarkastajat tarkastavat tietoturvaohjelman säännöllisesti osana jatkuvia pyrkimyksiä vahvistaa ohjelman tehokkuus. b. Säädä tarpeen mukaan OSSC arvioi tietoturvaohjelman ja sen valvontajärjestelmän sovellettavia lainsäädännön, säännösten, liiketoiminnan ja alan vaatimuksia ja standardeja vastaan, jotta voidaan tunnistaa osa alueet, joilla parannuksia tarvitaan, ja vahvistaa, että tavoitteet täyttyvät. Tämän vuoksi Microsoftin tekniikka ja liiketoimintasuunnitelmia päivitetään jatkuvasti, jotta toiminnan muutosten vaikutuksiin pystytään vastaamaan. Mikään tietoturvaohjelma ei ole täydellinen, ellei siinä oteta huomioon henkilöstön koulutustarvetta. Microsoft tuottaa ja tarjoaa tietoturvakoulutusta varmistaakseen, että kaikki pilvi infrastruktuurissa isännöitävien verkkopalveluiden luomiseen, käyttöönottamiseen, käyttämiseen ja tukemiseen osallistuvat ryhmät ymmärtävät velvollisuutensa suhteessa Microsoftin verkkopalveluiden tietoturvakäytäntöön. Tässä koulutusohjelmassa opetetaan tärkeimmät perusperiaatteet, joita tulee soveltaa käsiteltäessä jokaista Microsoftin verkkopalveluiden tietosuojaan liittyvän monikerrossuojauksen tasoa. Microsoft kannustaa myös yritysasiakkaita ja kolmannen osapuolen ohjelmistokehittäjiä soveltamaan näitä samoja periaatteita kehittäessään sovelluksia ja toimittaessaan palveluita Microsoftin pilvi infrastruktuurin kautta. 10

11 Riskihallintaprosessit Keskinäisessä riippuvuussuhteessa olevien verkkojärjestelmien tietoturvan heikkouksien analysoiminen ja ratkaiseminen on monimutkaisempaa ja voi olla enemmä aikaa vaativaa kuin perinteisissä IT järjestelmissä. Riskinhallinta ja vastaavat tarkastukset on mukautettava tämän dynaamisen ympäristön mukaan. Microsoft käyttää kehittyneitä prosesseja, jotka perustuvat pitkältä aikaväliltä saatuihin kokemukseen palveluiden tuottamisesta verkossa tällaisten uusien riskien hallitsemista varten. OSSC ryhmän henkilöstö työskentelee yhteistyössä käyttöryhmien ja yritysten omistajien kanssa useissa tuoteryhmissä ja palveluiden toimittamisesta vastaavissa ryhmissä Microsoftin sisällä, jotta näitä riskejä voidaan hallita. Tietoturvaohjelmassa määritellään jatkuvaa riskipohjaisen päätöksenteon toteuttamista koskevat vakioprosessit ja dokumentaatiovaatimukset. Riskejä arvioidaan tietoturvan riskinhallintaohjelman (SRMP, Risk Management Program) kautta useilla eri tasoilla ja riskien arviointien kautta tietotetaan priorisoinnista eri osa alueilla, kuten tuotteiden julkaisusuunnitelmat, käytäntöjen ylläpito ja resurssien kohdentaminen. Joka vuosi toteutetaan kattava Microsoftin pilvi infrastruktuuriin kohdistuvien uhkien arviointi, jonka perusteella toteutetaan lisätarkastuksia pitkin vuotta. Tässä jatkuvassa työssä keskitytään sellaisiin uhkiin, jotka voisivat olla hyvin vahingollisia. Tämän prosessin kautta Microsoft priorisoi tietoturvan valvontatoimia ja niihin liittyviä toimintoja ja ohjaa niiden kehitystä. SRMP menetelmä arvioi valvontatoimien tehokkuutta uhkia vastaan tunnistamalla ympäristön kohdistuvat uhat ja sen haavoittuvuuden arvioimalla riskit raportoimalla riskeistä Microsoftin koko pilviympäristössä käsittelemällä riskit vaikutusten arvioinnin ja asiaan liittyvän yritystapauksen perusteella testaamalla korjaustoimien tehokkuutta ja jäljelle jäävät riskit toteuttamalla riskinhallintaa jatkuvasti. Liiketoiminnan jatkuvuuden hallinta Monet pilvisovellusten käyttöä harkitsevat organisaatiot kysyvät kysymyksiä palvelun käytettävyydestä ja joustavuudesta. Sovellusten isännöiminen ja tietojen säilyttäminen pilviympäristössä tarjoaa uusia palvelun käytettävyys ja joustavuusmahdollisuuksia sekä tietojen varmuuskopiointi ja palautusmahdollisuuksia. Microsoftin liiketoiminnan jatkuvuusohjelmassa käytetään alan parhaita käytäntöjä, joiden avulla luodaan ja mukautetaan toimintoja uusien sovellusten käyttöönottoa varten, kun niitä tulee saataville Microsoftin pilviympäristössä. Microsoft varmistaa jatkuvan hallinta ja hallinnointiprosessin kautta, että käytössä on riittävät toimet, jotta mahdollisten menetysten vaikutus voidaan tunnistaa, käyttökelpoisia palautusstrategioita ja suunnitelmia ylläpidetään ja tuotteiden ja palveluiden jatkuvuus varmistetaan. Tehtävän toteuttamiseen ja prosessin suorittamiseen tarvittavien resurssien ihmisten, laitteistojen ja järjestelmien tunteminen on ratkaisevan tärkeää, jotta voidaan luoda asianmukainen suunnitelma tilanteessa, jossa järjestelmä täytyy palauttaa. Suunnitelman tarkastamisen, ylläpitämisen ja testaamisen laiminlyöminen on yksi suurimmista riskeistä vahingollisen menetyksen tapahtuessa. Tämän vuoksi ohjelma sisältää paljon muutakin kuin vain kuvauksen palautustoimenpiteistä. Microsoft luo ja ylläpitää liiketoiminnan jatkuvuuden hallintasuunnitelman kehittämisen elinkaaren (Business Continuity Management Plan Development Lifecycle) avulla järjestelmänpalautussuunnitelmia soveltamalla kuutta vaihetta, jotka on esitetty seuraavassa kuvassa: 11

12 Microsoft puuttuu palvelun ja tietojen palautukseen toteutettuaan riippuvuusanalyysin tunnistamalla kaksi resurssien palauttamiseen liittyvää tavoitetta: Palautusaikatavoite (RTO) Pisin aika, jonka ajan liiketoiminnan kannalta kriittisen prosessin, toiminnon tai resurssin menetystä voidaan sietää, ennen kuin se aiheuttaa vakavaa haittaa liiketoiminnalle. Palautuspistetavoite (RPO) Menetettyjen tietojen enimmäismäärä, joka voidaan sietää tapahtuman aikana, määritellään yleensä aikana viimeisimmän tietojen varmuuskopioinnin ja toimintakatkoksen välillä. Resursseja tunnistetaan ja luokitellaan jatkuvasti osana Microsoftin pilvipohjaisen tietojenkäsittelyn infrastruktuuria. Näin ollen palautussuunnitelma tarkoittaa, että näitä tavoitteita voidaan soveltaa helpommin arvioitaessa, onko palautusstrategiat syytä toteuttaa toimintakatkon yhteydessä. Lisäksi Microsoft varmentaa nämä strategiat toteuttamalla harjoitus, testi, koulutus ja ylläpitoharjoituksia. 12

13 Tietoturvahäiriöiden hallinta Tietoturvan valvontatoimet ja riskinhallintaprosessit, joita Microsoft käyttää pilvi infrastruktuurin turvaamiseen, vähentävät tietoturvahäiriöiden riskiä. Silti olisi naiivia ajatella, ettei vahingollisia hyökkäyksiä voisi tapahtua tulevaisuudessa. OSSC:n tietoturvahäiriöiden hallinta (SIM) ryhmä vastaa näihin ongelmiin niiden tapahtuessa ja toimii ympäri vuorokauden, vuoden jokaisena päivänä. SIM ryhmän tehtävä on arvioida ja hillitä nopeasti ja asianmukaisesti tietoturvallisuushäiriöt, jotka liittyvät Microsoftin verkkopalveluihin. Lisäksi sen tehtäviin kuuluu asiaankuuluvien tietojen ilmoittaminen Microsoftin ylimmälle johdolle ja muille asianosaisille osapuolille. SIM häiriöiden vasteprosessiin kuuluu kuusi vaihetta: Valmistelu SIM ryhmän henkilöstö saa jatkuvasti koulutusta, jotta se on valmis toimimaan, kun tietoturvahäiriö tapahtuu. Tunnistaminen Häiriön syyn etsiminen, riippumatta siitä, onko häiriö tahallaan aiheutettu vai tahaton, tarkoittaa usein ongelman jäljittämistä useilla Microsoftin pilviympäristön tasoilla. SIM ryhmä tekee yhteistyötä Microsoftin muiden sisäisten ryhmien jäsenten kanssa tietyn tietoturvahäiriön alkuperän selvittämiseksi. Rajaaminen Kun häiriön syy on löydetty, SIM pyrkii rajaamaan häiriön tekemällä yhteistyötä kaikkien tarvittavien ryhmien kanssa. Rajaamisen toteutus määräytyy häiriön liiketoimintaan kohdistuvan vaikutuksen mukaan. Hillitseminen SIM pyrkii hillitsemään häiriön uusiutumisen riskiä koordinoimalla tarvittavat toimenpiteet asiaankuuluvien tuoteryhmille ja palveluiden toimittamisesta vastaaville ryhmille. Palautus SIM jatkaa työskentelyä muiden ryhmien kanssa tarpeen mukaan ja auttaa palvelun palautusprosessissa. Opitut asiat Tietoturvahäiriön ratkaisemisen jälkeen SIM kutsuu koolle yhteiskokouksen, johon osallistuvat kaikki häiriön käsittelyyn osallistuneet henkilökunnan jäsenet. Kokouksessa arvioidaan tapahtunut ja kirjataan häiriön vasteprosessin aikana opitut asiat. SIM pystyy havaitsemaan ongelmat varhaisessa vaiheessa ja hillitsemään palveluiden käyttökatkosta ryhmien välisen yhteistyön ansiosta. SIM toimii tiiviissä yhteistyössä esimerkiksi toiminnoista vastaavien ryhmien kanssa, kuten Microsoft Security Response Centerin kanssa (lisätietoja on Microsoft Security Response Center sivulla). Tämän yhteistyösuhteen ansiosta SIM saa nopeasti toiminnan kannalta merkittävän kokonaiskuvan häiriöstä sen tapahtuessa. SIM ryhmän häiriöihin vastaavat jäsenet konsultoivat myös resurssien omistajia määrittääkseen häiriön vakavuuden useiden eri tekijöiden perusteella, joita ovat muun muassa palveluun kohdistuvat mahdolliset tai lisähäiriöt ja toistuvan vahingon riski. Maailmanlaajuinen rikoslainsäädännön noudattaminen OSSC:n maailmanlaajuinen rikoslainsäädännön noudattamista koskeva (GCC, Global Criminal Compliance) ohjelma koskee käytännön määrittämistä ja koulutuksen tarjoamista Microsoftin vasteprosessista. GCC käsittelee myös asianmukaisia, laillisia tietojen luovutuspyyntöjä. GCC ohjelmaan kuuluu useissa maissa toimivia lakiasiamiehiä, jotka vahvistavat ja tarvittaessa kääntävät pyynnön. Monet kansainväliset viranomaiset katsovat GCC:n olevan "paras vasteohjelma" muun muassa siksi, että GCC tarjoaa lainvalvontaportaalin, jossa on saatavilla usealla kielellä toimivaltaisille lainvalvojille tarkoitettuja ohjeita siitä, miten tietojen luovutuspyyntöjä voi toimittaa Microsoftille. 13

14 GCC:n koulutustehtävä kattaa myös lainvalvonnan ammattilaisille tarkoitettua koulutusta. GCC tarjoaa myös Microsoftin kaikille henkilöstötasoille koulutusta tietojen säilyttämistä ja tietosuojaa koskevista velvollisuuksista. Sisäinen koulutus ja käytäntöjen kehittämistyö kehittyy jatkuvasti, kun Microsoft avaa uusia tietokeskuksia eri puolilla maailmaa ja laajentaa siten kansainvälisen lainsäädännön noudattamista koskevia vaatimuksia. GCC:llä on ratkaisevan tärkeä rooli niiden prosessien ymmärtämisessä ja toteuttamisessa, joissa otetaan huomioon erilaiset kansainväliset lait, ja niiden soveltamisessa yksityis tai yritysasiakkaisiin, jotka turvautuvat Microsoftin verkkopalveluihin. Toiminnan vaatimustenmukaisuus Microsoftin verkkopalveluympäristön täytyy täyttää useita valtioiden hyväksymiä ja alakohtaisia tietoturvavaatimuksia Microsoftin omien liiketoimintaperusteisten vaatimusten lisäksi. Sitä mukaa, kuin Microsoftin verkkoliiketoiminta kasvaa ja muuttuu edelleen ja uusia verkkopalveluita lisätään Microsoftin pilviympäristöön, odotettavissa on lisää vaatimuksia, joihin voi sisältyä alue ja maakohtaisia tietoturvastandardeja. Toiminnan vaatimustenmukaisuusryhmä (Operational Compliance) tekee töitä toiminta ja tuoteryhmissä sekä palveluiden toimittamisesta vastaavassa ryhmässä yhteistyössä sisäisten ja ulkoisten tarkastajien kanssa ja varmistaa, että Microsoft täyttää kaikki asianmukaiset standardien ja säännösten vaatimukset. Seuraavassa luettelossa on yleiskatsaus joistakin tarkastuksista ja arvioinneista, joita Microsoftin pilviympäristössä tehdään säännöllisesti: Maksukorttialan tietoturvastandardi Vaatii vuosittaisen luottokorttitapahtumiin liittyvien tietoturvan valvontatoimien tarkastuksen ja vahvistuksen. Media Ratings Council Neuvosto, jonka toiminta liittyy mainonnassa käytettävien tietojen ja niiden esittämisen rehellisyyteen. Sarbanes Oxley Valikoitujen järjestelmien vuosittain tapahtuvat tarkastukset, joiden tarkoituksena on vahvistaa, että tärkeimpiä taloudellisten tietojen raportoinnin rehellisyyteen liittyviä prosesseja noudatetaan. Health Insurance Portability and Accountability Act Yhdysvaltalainen laki, jossa määritellään terveystietojen sähköisessä muodossa säilyttämistä koskevat tietosuojaan, tietoturvaan ja palauttamiseen liittyvät ohjeet. Sisäinen tarkastus ja tietosuojan arvioinnit Arviointeja tehdään ympäri vuoden. Kaikkien näiden tarkastusvaatimusten täyttämisestä on muodostunut merkittävä haaste Microsoftissa. Vaatimuksia tutkittaessa Microsoftilla todettiin, että useat tarkastukset ja arvioinnit vaativat samojen toiminnan valvontatoimien ja prosessien arviointia. OSSC havaitsi loistavan mahdollisuuden poistaa tarpeettomia toimintoja, tehostaa prosesseja ja hallita vaatimustenmukaisuutta koskevia odotuksia ennakoivasti, ja kehitti kattavan vaatimustenmukaisuusjärjestelmän. Tämä järjestelmä ja siihen liittyvät prosessit perustuvat viisivaiheiseen menetelmään, joka on esitetty seuraavassa kuvassa: 14

15 Tunnista ja integroi vaatimukset Laajuus ja sovellettavat valvontatoimet määritellään. Vakioidut toimintaohjeet (Standard Operating Procedures, SOP) ja prosessiasiakirjat kootaan yhteen ja tarkastetaan. Arvioi ja korjaa kuilut Prosessin ja tekniikan valvontatoimien puutteet tunnistetaan ja korjataan. Testaa tehokkuus ja arvioi riskit Valvontatoimien tehokkuus mitataan ja raportoidaan. Hanki sertifiointi ja hyväksynnät Sitoutuminen kolmannen osapuolen sertifiointiviranomaisiin ja tarkastajiin. Paranna ja optimoi Jos vaatimuksista poikkeaminen havaitaan, sen perimmäinen syy dokumentoidaan ja sitä arvioidaan tarkemmin. Tällaisia havaintoja seurataan, kunnes ne on korjattu täysin. Tämä vaihe sisältää myös valvontatoimien jatkuvan optimoinnin kaikilla tietoturvan alueilla, jotta tulevat tarkastukset ja sertifiointikatsaukset voidaan läpäistä tehokkaammin. Yksi tämän ohjelman toteuttamisen menestystekijöistä on se, että Microsoftin pilvi infrastruktuurille on myönnetty sekä SAS 70 tyypin I ja Type II hyväksynnät että ISO/IEC 27001:2005 sertifikaatio. Tämä saavutus on osoitus Microsofin sitoutumisesta luotettavan pilvi infrastruktuurin tarjoamiseen, koska: ISO/IEC 27001:2005 sertifikaatti vahvistaa sen, että Microsoft on ottanut käyttöön tässä normissa määritetyt, kansainvälisesti tunnustetut tietoturvan valvontatoimet SAS 70 hyväksynnät ovat osoitus Microsoftin valmiudesta avata sisäisiä tietoturvaohjelmia ulkoiselle tarkastelulle. 15

16 Monikerroksinen suojausjärjestelmä Monikerroksinen suojausjärjestelmä on ensiarvoisen tärkeä osa menetelmää, jolla Microsoft tuottaa luotettavan pilviinfrastruktuurin. Valvontatoimien käyttäminen useilla tasoilla tarkoittaa suojausmekanismien käyttöä, riskejä vähentävien strategioiden kehittämistä ja kykyä vastata hyökkäyksiin, kun niitä tapahtuu. Useiden erivahvuisten tietoturvamenetelmien käyttäminen suojattavan resurssin herkkyyden mukaan parantaa kapasiteettia estää tunkeutumisyrityksiä tai vähentää tietoturvahäiriön vaikutusta. Pilvipohjaisen tietojenkäsittelyn yleistyminen ei muuta tätä periaatetta että valvontatoimien vahvuus tulee resurssin herkkyydestä tai sitä, kuinka tärkeää tietoturvariskien hallitseminen on. Mahdollisuus virtualisoida useimmat resurssit pilviympäristössä aiheuttaa muutoksia riskien analysoinnissa ja tietoturvan valvontatoimine soveltamisessa perinteisen monikerroksisen suojauksen eri kerroksissa (fyysinen, verkko, tiedot, identiteetin käyttö, käytön valtuutus ja todentaminen sekä isäntä). GFS:n verkkopalveluissa, infrastruktuuri ja käyttöympäristöpalvelut mukaan luettuina, hyödynnetään virtualisointia. Tämän seurauksena Microsoftin pilviympäristössä isännöitäviä palveluita käyttävillä asiakkailla voi olla resursseja, joita ei ole enää helppo yhdistää fyysisiin resursseihin. Tietoja voidaan tallentaa virtuaalisesti ja jakaa useisiin paikkoihin. Tämä perustavanlaatuinen seikka tarkoittaa, että kehitys on välttämätöntä tietoturvan valvontatoiminen tunnistamisessa ja sen määrittämisessä, miten niitä käytetään, jotta monikerrossuojaus voidaan ottaa käyttöön. Myös fyysisistä ja verkon tietoturvatoimenpiteistä täytyy tietenkin huolehtia edelleen. Riskinhallinnan keskipiste siirtyy kuitenkin lähemmäs objektitasoa, pilviympäristössä käytössä olevia elementtejä: esimerkiksi staattisia tai dynaamisia tietosäilöjä, virtuaalisia koneobjekteja ja ajonaikaisia ympäristöjä, joissa tietojenkäsittely tapahtuu. Lukuisissa käytössä olevissa valvontatoimissa hyödynnetään perinteisiä fyysisiä ja verkon tietoturvamenetelmiä ja laitteita sen varmistamiseksi, että yksikkö riippumatta siitä, onko se henkilö, joka haluaa muodostaa yhteyden tietokeskusrakennukseen, tai tietojenkäsittelyprosessi, joka pyytää pääsyä asiakastietoihin, jotka on tallennettu dynaamisesti Microsoftin pilviympäristöön on autenttinen ja omaa käyttöoikeudet pyydettyä käyttöä varten. Käytössä on myös toimenpiteitä, joiden avulla varmistetaan, että Microsoftin pilvi infrastruktuurissa käytössä olevat palvelimet ja käyttöjärjestelmäversiot on suojattu tehokkaasti hyökkäyksiltä. Tässä osassa on yleiskuvaus joistakin prosesseista ja valvontatoimista, joiden avulla Microsoft huolehtii tietokeskusten, verkkolaitteistojen ja verkkoviestinnän sekä palveluisäntien tietoturvasta. Fyysinen suojaus Tiettyjen suojatoimien käytön ja todentamisen automaattinen valtuuttaminen teknisten järjestelmien avulla on yksi tapa, jolla fyysinen tietoturva on muuttunut tietoturvateknologian kehityksen myötä. Siirtyminen perinteisten, fyysisesti yrityksen toimitiloissa olevissa tietokonelaitteistoissa ja ohjelmistoissa käytettyjen yrityssovellusten käytöstä ohjelmiston käyttöön palveluna ja ohjelmisto ja palvelut ratkaisujen käyttöön on toinen tällainen muutos. Näiden muutosten vuoksi organisaatioiden täytyy muuttaa yhä enemmän niitä menetelmiä, joiden avulla niiden resurssien tietoturva varmistetaan. OSSC hoitaa kaikkien Microsoftin tietokeskusten fyysisen tietoturvan, mikä on erittäin tärkeää tilojen toiminnassa pitämisen ja asiakastietojen suojaamisen kannalta. Kaikissa toimitiloissa käytetään vakiintuneita, tarkkoja tietoturvamalleja ja toimintoja. Microsoft varmistaa ulko ja sisärajojen muodostamisen yhä useammilla valvontatoimilla jokaisessa rajakerroksessa. 16

17 Tietoturvajärjestelmässä käytetään yhdistelmänä teknisiä ratkaisuja, kuten kameroita, biometriikaa, kortinlukijoita ja hälyttimiä sekä perinteisiä turvamenetelmiä, kuten lukkoja ja avaimia. Mukaan on liitetty toiminnan valvontatoimia, jotka helpottavat automaattista valvontaa ja nopeaa ilmoitusta, jos tunkeutuminen tai ongelma ilmenee. Ne mahdollistavat myös vastuullisuuden tehostamisen, koska niiden ansiosta saadaan tarkastettavissa olevaa dokumentaatiota tietokeskuksen fyysisen turvallisuuden ohjelmasta. Seuraavassa luettelossa on lisää esimerkkejä siitä, miten Microsoft soveltaa fyysisen turvallisuuden valvontatoimia: Tietokeskuksen henkilökunnan pääsyn rajoittaminen Microsoft laatii turvallisuusvaatimuksia, joiden perusteella tietokeskuksen työntekijät ja urakoitsijat tarkastetaan. Toimipaikan henkilöstöä koskevien sopimusehtojen lisäksi toimitilojen toiminnasta huolehtivaan henkilökuntaan sovelletaan toista turvatasoa. Pääsyä rajoitetaan soveltamalla pienimmän valtuuden periaatetta, jotta vain asianmukainen henkilökunta saa valtuudet asiakkaiden sovellusten ja palveluiden hallintaan. Merkittävästi liiketoimintaan vaikuttavia tietoja koskevien vaatimusten käsitteleminen Microsoft on kehittänyt verkkopalveluiden tuottamiseen käytettäviin tietokeskuksiin erittäin arkaluontoisiksi luokiteltuja resursseja varten vähimmäisvaatimukset, jotka ovat tiukemmat kuin vähäisessä määrin tai kohtuullisen arkaluontoisia resursseja koskevat vaatimukset. Tunnistamista, käyttöoikeuksia ja kirjautumista sekä toimipaikan kulunvalvontaa koskevat tavanomaiset turvallisuusprotokollat osoittavat selvästi, minkä tyyppistä todentamista tarvitaan. Erittäin arkaluontoisten resurssien käyttöoikeutta varten tarvitaan useaan tekijään perustuva todentaminen. Fyysisten resurssien käytön hallinnan keskittäminen Samalla, kun Microsoft on jatkanut verkkopalveluita tuottavien tietokeskusten määrän lisäystä, fyysisten resurssien käytön hallintaan kehitettiin työkalu, joka tuottaa myös tarkastettavissa olevia dokumentteja sen ansiosta, että tietokeskuksiin pääsyä koskevien pyyntöjen, lupien ja järjestelyjen käsittely on keskitetty. Tämä työkalu toimii soveltaen periaatetta antaa pienimmät tarvittavat valtuudet ja sisältää prosessin, jonka kautta voidaan hankkia lupia useilta lupia myöntäviltä osapuolilta. Työkalu voidaan määrittää toimipaikan olosuhteiden mukaan ja sen avulla historiatiedot ovat tehokkaammin käytettävissä raportointia ja tarkastusten vaatimuksa ajatellen. Verkon tietoturva Microsoft käyttää useita tietoturvan tasoja tarpeen mukaan tietokeskusten laitteistoissa ja verkkoliittymissä. Turvavalvontaa käytetään esimerkiksi sekä valvonta että hallintatasoilla. Käytössä on erikoislaitteistoa, kuten kuormantasaajia, palomuureja ja tunkeutumisen estolaitteita. Niiden avulla hallitaan määrään perustuvia palvelunestohyökkäyksiä (DoS). Verkonhallintaryhmät käyttävät tarpeen mukaan porrastettuja käyttöoikeusluetteloita (ACL) segmentoiduissa virtuaalisissa lähiverkoissa (VLAN) ja sovelluksissa. Verkkolaitteiston kautta Microsoft käyttää sovellusväylätoimintoja, joiden avulla voidaan tehdä syviä pakettitarkastuksia ja ryhtyä erilaisiin toimenpiteisiin, kuten lähettää varoituksia epäilyttävän verkkoliikenteen perusteella tai estää tällainen liikenne. Microsoftin pilviympäristössä on maailmanlaajuisesti redundanttia sisäistä ja ulkoista DNS infrastruktuuria. Redundanssi tarjoaa vikasietoisuutta ja saavutetaan klusteroimalla DNS palvelimia. Lisävalvontatoimet hillitsevät jaettuja palvelunestohyökkäyksiä (DDoS) sekä välimuistin saastuttamis tai tartuttamishyökkäyksiä. Esimerkiksi DNS palvelimien ja DNS vyöhykkeiden käyttöoikeusluettelot rajoittavat DNS tietueisiin kirjoitusoikeudet valtuutetulle henkilökunnalle. Kaikissa DNS palvelimissa käytetään uusia tietoturvaominaisuuksia, kuten kyselytunnisteiden satunnaistamista, uusimmista DNS ohjelmistoista. DNS klustereita valvotaan jatkuvasti valtuuttamattomien ohjelmistojen tai DNSvyöhykkeiden asetusten muutosten varalta sekä muiden häiritsevien palvelutapahtumien varalta. 17

18 DNS on osa maailmanlaajuista Internetiä ja vaatii useiden organisaatioiden osallistumisen, jotta tämä palvelu voidaan tarjota. Microsoft on mukana useissa tällaisissa hankkeissa, joista esimerkkinä DNS Operations Analysis and Research Consortium (DNS OARC), jossa on mukana DNS asiantuntijoita kaikkialta maailmasta. Tietojen suojaus Microsoft luokittelee resurssit, jotta sovellettavien tietoturvan valvontatoimien vahvuus voidaan määritellä. Luokittelussa otetaan huomioon taloudellisten vahinkojen ja yrityksen maineelle koituvien vahinkojen suhteellinen mahdollisuus, jos resurssiin kohdistuu tietoturvahäiriö. Luokittelun jälkeen määritellään tarvittavat suojaukset monikerroksisen suojausjärjestelmän avulla. Esimerkiksi kohtalaisen vaikutuksen luokkaan kuuluvat tietoresurssit täytyy salata, kun niitä säilytetään siirrettävällä tallennusvälineellä tai kun niitä käytetään ulkoisissa verkkosiirroissa. Suuren vaikutuksen tiedot on suojattava edellä mainittujen vaatimusten lisäksi tallennusta sekä sisäisiä järjestelmiä ja verkkosiirtoja koskevien vaatimusten mukaisesti. Kaikkien Microsoftin tuotteiden tulee täyttää SDL salausstandardien vaatimukset, joissa luetellaan hyväksyttävät ja hyväksymättömät salausalgoritmit. Esimerkiksi symmetrisessä salauksessa vaaditaan 128 bittiä pidempiä avaimia. Epäsymmetrisiä algoritmejä käytettäessä vaaditaan vähintään bittiä pitkä avain. Identiteetin ja käytön hallinta Microsoft käyttää resurssien käytön hallinnassa tiedonsaantitarve ja pienimmän valtuuden mallia. Silloin kun se on mahdollista, tiettyihin työtoimintoihin tai vastuualueille määritetään rooliin perustuvat käyttöoikeudet yksilökohtaisten käyttöoikeuksien sijaan, jotta käyttöoikeudet voidaan jakaa loogisesti. Nämä käytännöt määräävät, että sellaiset käyttöoikeudet, joita resurssin omistaja ei ole myöntänyt erikseen tunnistetun liiketoimintavaatimuksen perusteella, evätään oletusarvoisesti. Tiettyyn resurssiin käyttöoikeudet saaneet yksilöt voivat käyttää kyseistä resurssia vain käyttämällä asianmukaista menetelmää. Erittäin arkaluontoisia resursseja varten vaaditaan useaan tekijään perustuva todentaminen, johon sisältyy esimerkiksi sellaisia menetelmiä kuin salasana, laitteistoavain, älykortteja tai biometriikkaa. Käyttäjätilejä täsmäytetään jatkuvasti käyttöoikeuksia vastaan. Näin varmistetaan, että resurssien käyttö on asianmukaista ja että käyttöä tarvitaan tietyn toiminnon suorittamista varten. Sellaiset tilit, joista tiettyä resurssia ei enää tarvitse käyttää, poistetaan käytöstä. Sovellusten tietoturva Sovellusten tietoturva on merkittävä tekijä Microsoftin pilviympäristön suojaamisjärjestelmässä. Microsoftin kehitystyöryhmien käyttämät tiukat tietoturvakäytännöt muotoiltiin prosessiksi nimeltä Security Development Lifecycle (SDL) vuonna SDL prosessi on kehitysmenetelmän agnostiikka ja täysin integroitu sovelluksen kehittämisen elinkaareen suunnittelusta vasteeseen, eikä se korvaa ohjelmiston kehittämismenetelmiä, kuten vesiputousmallia tai Agile menetelmää. Useissa SDL prosessin vaiheessa painotetaan koulutusta ja siinä sallitaan tiettyjen toimintojen ja prosessien käyttäminen tarpeen mukaan ohjelmiston kehittämisen kussakin vaiheessa. Microsoftin ylin johto tukee edelleen valtuuksia käyttää SDL prosessia Microsoftin tuotteiden kehittämisprosessin aikana sekä myös verkkopalveluiden toimittamisen yhteydessä. OSSC:llä on merkittävä rooli sen varmistamisessa, että SDL prosessia käytetään myös tulevaisuudessa Microsoftin pilvi infrastruktuurissa isännöitävien sovellusten luomisessa. 18

19 SDL prosessi on havainnollistettu seuraavassa kuvassa: Vaatimusvaiheesta alkaen SDL prosessi sisältää useita erityisiä toimintoja, joissa otetaan huomioon Microsoftin pilviympäristössä isännnöitävien sovellusten kehittäminen: Vaatimukset Tämän vaiheen ensisijainen tavoite on tunnistaa tärkeimmät tietoturvatavoitteet ja muutoin maksimoida ohjelmiston tietoturva ja minimoida asiakkaalle koituva ohjelmiston käytettävyyden, suunnitelmien ja aikataulujen häiriöt. Tähän vaiheeseen voi sisältyä isännöitävien sovellusten osalta toimintaan liittyvää keskustelua, jossa keskitytään sen määrittelemiseen, miten palvelu käyttää verkkoyhteyksiä ja viestien siirtoa. Suunnittelu Tässä vaiheessa kriittisiä tietoturvavaiheita ovat muun muassa mahdollisen hyökkäysrajapinnan dokumentoiminen ja uhkien mallinnus. Aivan kuten vaatimusvaiheessa, myös tässä vaiheessa voidaan tunnistaa ympäristöön liittyviä kriteereitä, kun tätä prosessia käydään läpi isännöitävää sovellusta kehitettäessä. Toteutus Tähän vaiheeseen kuuluvat koodaus ja testaaminen. Toteutusvaiheen keskeisiä toimintoja ovat sellaisen koodin luomisen estäminen, joka sisältää tietoturvaongelmia, sekä tällaisten ongelmien poistaminen, jos niitä havaitaan. Vahvistaminen Vaihe, jossa uusien sovellusten katsotaan olevan toiminnan osalta valmiita, on beetavaihe. Tässä vaiheessa kiinnitetään erityistä huomiota sellaisten tietoturvariskien määrittelemiseen, joita liittyy sovelluksen käyttöönottoon todellisuudessa, ja sellaisten toimien määrittelemiseen, joiden avulla tietoturvariskit voidaan välttää tai niitä voidaan hillitä. Julkaisu Lopullinen suojaustarkistus (FSR) tapahtuu tässä vaiheessa. Tässä vaiheessa tehdään tarvittaessa myös toiminnan suojaustarkastus (OSR), ennen kuin uusi sovellus voidaan julkaista Microsoftin pilviympäristössä. Vastaus Microsoftin pilviympäristössä SIM ryhmä vastaa tietoturvahäiriöihin vastaamisesta ja tekee tiivistä yhteistyötä tuoteryhmän ja palveluiden toimittamisesta vastaavan ryhmän sekä Microsoft Security Response Centerin jäsenten kanssa raportoitujen häiriöiden luokittelua, tutkimista ja korjaamista varten. Lisätietoja SDL prosessista on Microsoft Security Development Lifecycle (SDL) sivulla. OSSC vastaa FSR prosessin hallinnasta, joka on pakollinen Microsoftin verkkopalveluille tehtävä SDL tarkastus, jonka avulla varmistetaan, että asianmukaiset tietoturvavaatimukset täyttyvät ennen kuin uusia sovelluksia otetaan käyttöön 19

20 Microsoftin pilvi infrastruktuurissa. FSR on tarkastus, jolla varmistetaan, että kehitysryhmä on noudattanut SDLprosessia koko kehitysprosessin ajan. OSSC vastaa seuraavien tehtävien hallinnasta FSR tarkastuksen aikana: Tuoteryhmän koordinointi Tuotekehitysryhmän on täytettävä kyselyitä ja muita asiakirjoja. OSSC varmistaa näiden tietojen perusteella, että SDL prosessia on noudatettu oikein kehitystyön aikana. Uhkamallien tarkastus Microsoft katsoo uhkamallien olevat kriittisen tärkeitä turvallisen ohjelmiston kehittämisessä. OSSC analysoi tuoteryhmien tuottamat uhkamallit ja varmistaa, että ne ovat täydelliset ja ajantasaiset. Tähän tarkastukseen sisältyy myös sen vahvistaminen, että kaikki tunnistetut riskit on käsitelty käyttämällä asianmukaisia riskejä vähentäviä valvontatoimia. Tietoturvavirheiden tarkastus Kaikki suunnittelun, kehittämistyön ja testaamisen aikana tunnistetut virheet tarkistetaan sen varmistamiseksi, että asiakkaiden tietojen tietoturvaan tai tietosuojaan vaikuttavat virheet on korjattu. Työkalujen käytön vahvistaminen Microsoftin kehitys ja testiryhmät käyttävät ohjelmiston tietoturvatyökaluja ja dokumentoituja koodimalleja ja käytäntöjä osana kehitysprosessia. Tämä voi parantaa huomattavasti ohjelmiston tietoturvaa, koska niiden avulla pystytään välttämään tunnetut tietoturvaongelmat. OSSC varmistaa, että tuoteryhmät ovat käyttäneet käytettävissään olevia työkaluja, dokumentoituja koodeja sekä malleja ja käytäntöjä oikein ja asianmukaisesti. FSR prosessin lisäksi OSSC vastaa myös toiminnan suojaustarkastuksen (OSR) toteutuksesta. OSR koostuu sovellukseen liittyvien verkkoviestintä, käyttöympäristö, järjestelmäkokoonpano ja valvontaominaisuuksien tarkastamisesta vakiintuneita tietoturvastandardeja ja perustaa vasten. OSR prosessi takaa, että asianmukaiset tietoturvan valvontatoimet ovat osa toimintasuunnitelmia, ennen kuin lupa ottaa sovellus käyttöön pilvi infrastruktuurissa myönnetään. Isäntäpalvelimen tietoturvan tarkastus ja raportointi Pilviympäristön koon kasvua ja monimutkaisuuden lisääntymistä täytyy hallita, jotta pilviympäristössä voidaan tarjota luotettavia, hyvin hallinnoituja, turvallisia ja parempia palveluita. Infrastruktuuriresurssien päivittäisellä skannauksella saadaan ajantasainen kuva isäntäjärjestelmän haavoittuvuudesta, ja sen avulla OSSC voi yhteistyössä tuoteryhmien ja palveluiden tuottamisesta vastaavien ryhmien kanssa hallita haavoittuvuuteen liittyviä riskejä aiheuttamatta tarpeettomia häiriöitä Microsoftin verkkopalveluiden toimintaan. Sisäisten ja ulkoisten osapuolten tunkeutumistesteistä saadaan tärkeää tietoa Microsoftin pilvi infrastruktuurin tietoturvan valvontatoimien tehokkuudesta. Näiden tarkastusten tulosten ja valvontatoimien jatkuvan arvioinnin avulla toteutetaan myöhempiä skannauksia, valvontaa ja riskien korjausta. Ottamalla käyttöön automatisoituja standardin mukaisia, vahvistettuja käyttöjärjestelmäkuvia ja käyttämällä aktiivisesti isäntäpalvelinkäytäntöjen (esimerkiksi ryhmäkäytännön) valvontatoimia Microsoft voi hallita palvelinten lisäämistä Microsoftin pilvi infrastruktuuriin. Kun Microsoftin toiminnan tarkastusprosessit ja parannusten hallintaohjelma on otettu käyttöön, ne vähentävät jatkuvasti isäntäjärjestelmiin kohdistuvia tietoturvariskejä. 20

Pilvipalveluiden arvioinnin haasteet

Pilvipalveluiden arvioinnin haasteet Pilvipalveluiden arvioinnin haasteet Tietoturvallisuus- ja jatkuvuuden hallinnan vaatimukset ICT-hankinnoissa, 12.5.2014 Laura Kiviharju Pilvipalvelut Pilvilaskenta (CloudComputing) tarkoittaa internetissä

Lisätiedot

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet Yleisesittely Julkaisutilaisuus 12.6.2014 Teknologiajohtaja Aki Siponen, Microsoft Oy SFS-ISO/IEC 27002:2013 tietoturvallisuuden

Lisätiedot

HELPPOUDEN VOIMA. Business Suite

HELPPOUDEN VOIMA. Business Suite HELPPOUDEN VOIMA Business Suite UHKA ON TODELLINEN Online-uhkat ovat todellinen yrityksiä haittaava ongelma yrityksen toimialasta riippumatta. Jos sinulla on tietoja tai rahaa, voit joutua kohteeksi. Tietoturvatapausten

Lisätiedot

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1 Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet

Lisätiedot

Hyödynnä DPS- ja SA-setelit Azure hybridipilvi-palveluiden suunnittelussa ja testauksessa!

Hyödynnä DPS- ja SA-setelit Azure hybridipilvi-palveluiden suunnittelussa ja testauksessa! Hyödynnä DPS- ja SA-setelit Azure hybridipilvi-palveluiden suunnittelussa ja testauksessa! Onregon DPS-työpajat ovat Microsoft Enterprise Agreement asiakkaille sopivia työpajoja, joiden maksamiseen voi

Lisätiedot

Standardien PCI DSS 3.0 ja Katakri II vertailu

Standardien PCI DSS 3.0 ja Katakri II vertailu Standardien PC DSS 3.0 ja Katakri vertailu Copyright Solinor Oy 2014 Solinor Oy, Teollisuuskatu 21 A, F-00510 HELSNK, FNLAND +358 10 279 2940 / www.solinor.com / Business D 17967170 Standardien PC DSS

Lisätiedot

Plus500CY Ltd. Eturistiriitoja koskevat toimintaperiaatteet

Plus500CY Ltd. Eturistiriitoja koskevat toimintaperiaatteet Plus500CY Ltd. Eturistiriitoja koskevat toimintaperiaatteet Eturistiriitoja koskevat toimintaperiaatteet 1. Johdanto 1.1. Tässä eturistiriitoja koskevassa käytännössä määritetään, kuinka Plus500CY Ltd.

Lisätiedot

TURVAA LIIKETOIMINTASI KAIKKIALLA. Protection Service for Business

TURVAA LIIKETOIMINTASI KAIKKIALLA. Protection Service for Business TURVAA LIIKETOIMINTASI KAIKKIALLA Protection Service for Business MOBIILI MAAILMA Käytämme enemmän laitteita ja meillä on enemmän yhteyksiä kuin koskaan ennen. On kätevää ja myös erittäin tuottavaa kun

Lisätiedot

Pilvipalvelut ja henkilötiedot

Pilvipalvelut ja henkilötiedot Pilvipalvelut ja henkilötiedot Titta Penttilä Senior information security manager Group Security, TeliaSonera Muuttuva toimintaympäristö Alihankinta, pilvipalvelut Yleisen tietoisuuden ja kiinnostuksen

Lisätiedot

HP OpenView ratkaisut toiminnan jatkuvuuden turvaajina

HP OpenView ratkaisut toiminnan jatkuvuuden turvaajina HP OpenView ratkaisut toiminnan jatkuvuuden turvaajina - Käytännön esimerkkejä ITIL ja ITSM mukaisista IT palveluhallinnan toteutuksista ja mahdollisuuksista Ville Koskinen Sales Specialist, HP Software

Lisätiedot

Osoitteena O365. Toimisto ja yhteydet pilvestä

Osoitteena O365. Toimisto ja yhteydet pilvestä Osoitteena O365 Toimisto ja yhteydet pilvestä Mitä sisältää O365 Tutut toimistotyökalut käytössäsi missä vain Uusimmat versiot aina mukanasi Ei kiinteitä kustannuksia Korkea käytettävyysaste Ei päivityksistä

Lisätiedot

Quality Consulting M.Mikkola OY Mari.mikkola@qcmm.fi 050-3205088

Quality Consulting M.Mikkola OY Mari.mikkola@qcmm.fi 050-3205088 Quality Consulting M.Mikkola OY Mari.mikkola@qcmm.fi 050-3205088 Laadunhallintajärjestelmän tulisi olla organisaation strateginen päätös ISO9001 tarkoituksena ei ole edellyttää, että kaikilla laadunhallintajärjestelmillä

Lisätiedot

Kuntarekry.fi. case: pilvipalvelut 13.2.2014. KL-Kuntarekry Oy / Tuula Nurminen

Kuntarekry.fi. case: pilvipalvelut 13.2.2014. KL-Kuntarekry Oy / Tuula Nurminen case: pilvipalvelut 13.2.2014 KL-Kuntarekry Oy / Tuula Nurminen 1 11.2.2014 Pilvipalveluiden luokittelusta 1. Yksityinen pilvipalvelu, (Private cloud) Organisaation oma tai vuokrattu palvelu, jolloin resurssit

Lisätiedot

Meidän visiomme......sinun tulevaisuutesi

Meidän visiomme......sinun tulevaisuutesi Meidän visiomme... Asiakkaittemme akunvaihdon helpottaminen...sinun tulevaisuutesi Uusia asiakkaita, lisää kannattavuutta ja kehitystä markkinoiden tahdissa Synergy Battery Replacement Programme The Battery

Lisätiedot

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41 Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät

Lisätiedot

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.

Lisätiedot

VALVO JA VARAUDU PAHIMPAAN

VALVO JA VARAUDU PAHIMPAAN VALVO JA VARAUDU PAHIMPAAN Erkki Sivonen Senior Account Manager Nordic LAN&WAN Communication erkki.sivonen@lanwan.fi 5/13/2015 5/13/2015 5/13/2015 1.10.2013 UUSI SÄHKÖMARKKINALAKI JATKUVUUDENHALLINNAN

Lisätiedot

TeliaSonera. Marko Koukka. IT viikon seminaari 11.10. 2007 Identiteetin hallinta palveluna, Sonera Secure IDM

TeliaSonera. Marko Koukka. IT viikon seminaari 11.10. 2007 Identiteetin hallinta palveluna, Sonera Secure IDM TeliaSonera Marko Koukka IT viikon seminaari 11.10. 2007 Identiteetin hallinta palveluna, Sonera Secure IDM Sisällysluettelo Identiteetinhallinta operaattorin näkökulmasta Identiteetinhallinnan haasteet

Lisätiedot

LAADUNVALVONTAJÄRJESTELMÄ- JA TOIMEKSIANTOLOMAKE

LAADUNVALVONTAJÄRJESTELMÄ- JA TOIMEKSIANTOLOMAKE LAADUNVALVONTAJÄRJESTELMÄ- JA TOIMEKSIANTOLOMAKE Pyydämme palauttamaan täytetyn lomakkeen osoitteeseen laatu@chamber.fi. Tarkastettava tilintarkastaja Laaduntarkastaja Laadunvalvontajärjestelmän kartoitus

Lisätiedot

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure Kuinka moneen tietovuotoon teidän yrityksellänne on varaa? Palomuurit ja VPN ratkaisut suojelevat yritystä ulkopuolisia uhkia vastaan,

Lisätiedot

Tietosuojatyöryhmä. Työryhmän 23 päivänä helmikuuta 1999 hyväksymä. suositus 1/99

Tietosuojatyöryhmä. Työryhmän 23 päivänä helmikuuta 1999 hyväksymä. suositus 1/99 5093/98/FI/lopullinen WP 17 Tietosuojatyöryhmä Työryhmän 23 päivänä helmikuuta 1999 hyväksymä suositus 1/99 ohjelmistojen ja laitteistojen Internetissä suorittamasta ei-havaittavasta ja automaattisesta

Lisätiedot

Pilvee, pilvee, pilvee TERVETULOA! Toni Rantanen 15.11.2010

Pilvee, pilvee, pilvee TERVETULOA! Toni Rantanen 15.11.2010 Pilvee, pilvee, pilvee TERVETULOA! Toni Rantanen 15.11.2010 1 Agenda Triuvare lyhyesti Muutama käytännön esimerkki Microsoftin BPOS-palvelun käytöstä Palvelun käyttöönotto, ylläpito ja tuki mitä käytännössä

Lisätiedot

TIETOTURVA- POLITIIKKA

TIETOTURVA- POLITIIKKA TIETOTURVA- POLITIIKKA Kaupunginhallitus 3.9.2013 216 HAAPAJÄRVEN KAUPUNGIN TIETOTURVAPOLITIIKKA 1. JOHDANTO... 3 2. KATTAVUUS... 3 3. TIETOTURVA... 3 4. TIETOTURVATYÖ... 4 5. ORGANISOINTI JA VASTUUT...

Lisätiedot

Kattava tietoturva kerralla

Kattava tietoturva kerralla Kattava tietoturva kerralla PROTECTION SERVICE FOR BUSINESS Tietoturvan on oltava kunnossa Haittaohjelmahyökkäyksen tai tietoturvan vaarantumisen seuraukset voivat olla vakavia ja aiheuttaa merkittäviä

Lisätiedot

SMS ja vaatimustenmukaisuuden

SMS ja vaatimustenmukaisuuden SMS ja vaatimustenmukaisuuden valvonta Tiedotustilaisuus: Pienet hyväksytyt koulutusorganisaatiot non-complex ATO Vastuullinen liikenne. Yhteinen asia. Turvallisuuden hallintajärjestelmä, SMS ICAO Document

Lisätiedot

1 YLEISKUVAUS... 2. 1.1 Verkkoturvapalvelu... 2. 1.1.1 Verkkoturvapalvelun edut... 2. 1.2 Palvelun perusominaisuudet... 2

1 YLEISKUVAUS... 2. 1.1 Verkkoturvapalvelu... 2. 1.1.1 Verkkoturvapalvelun edut... 2. 1.2 Palvelun perusominaisuudet... 2 Palvelukuvaus 1 Sisällysluettelo 1 YLEISKUVAUS... 2 1.1 Verkkoturvapalvelu... 2 1.1.1 Verkkoturvapalvelun edut... 2 1.2 Palvelun perusominaisuudet... 2 1.2.1 Suodatettava liikenne... 3 1.3 Palvelun rajoitukset...

Lisätiedot

Yhteisöllinen tapa työskennellä

Yhteisöllinen tapa työskennellä Yhteisöllinen tapa työskennellä Pilvipalvelu mahdollistaa uudenlaisten työtapojen täysipainoisen hyödyntämisen yrityksissä Digitalisoituminen ei ainoastaan muuta tapaamme työskennellä. Se muuttaa meitä

Lisätiedot

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT TIETOTURVALLISUUDEN KEHITTÄMINEN Opettaja: Tuija Kyrölä 040-5455465 tuija.kyrola@kolumbus.fi Toimintaohjeistus Tietoturvallisuusohjeistus I-TASO II-TASO III-TASO Ylin johto hyväksyy Konsernihallinto valmistelee

Lisätiedot

Asianajajaliiton tietoturvaohjeet. Asianajosihteeripäivät 4.4.2014 Asianajaja Hanna Räihä-Mäntyharju Asianajotoimisto Tempo Oy

Asianajajaliiton tietoturvaohjeet. Asianajosihteeripäivät 4.4.2014 Asianajaja Hanna Räihä-Mäntyharju Asianajotoimisto Tempo Oy Asianajajaliiton tietoturvaohjeet Asianajosihteeripäivät 4.4.2014 Asianajaja Hanna Räihä-Mäntyharju Asianajotoimisto Tempo Oy SISÄLTÖ Yleiskatsaus tietoturvaohjeisiin Sähköpostin käyttö Pilvipalveluiden

Lisätiedot

Vaivattomasti parasta tietoturvaa

Vaivattomasti parasta tietoturvaa Vaivattomasti parasta tietoturvaa BUSINESS SUITE Tietoturvan valinta voi olla myös helppoa Yrityksen tietoturvan valinta voi olla vaikeaa loputtomien vaihtoehtojen suossa tarpomista. F-Secure Business

Lisätiedot

Vastausten ja tulosten luotettavuus. 241 vastausta noin 10 %:n vastausprosentti tyypillinen

Vastausten ja tulosten luotettavuus. 241 vastausta noin 10 %:n vastausprosentti tyypillinen Vastausten ja tulosten luotettavuus Vastaukset 241 vastausta noin 10 %:n vastausprosentti tyypillinen Kansainväliset IT:n hallinnan hyvät käytännöt. Luotettavuusnäkökohdat Kokemukset ja soveltamisesimerkit

Lisätiedot

Tietoturvavinkkejä pilvitallennuspalveluiden

Tietoturvavinkkejä pilvitallennuspalveluiden Tietoturvavinkkejä pilvitallennuspalveluiden turvallisempaan käyttöön 11/2014 Sisällysluettelo Johdanto... 3 1 Mikä on pilvipalvelu?... 3 2 Mikä on pilvitallennuspalvelu?... 3 3 Ovatko pilvipalvelut turvallisia?...

Lisätiedot

Elisa Toimisto 365. Toimisto ja yhteydet pilvestä

Elisa Toimisto 365. Toimisto ja yhteydet pilvestä Elisa Toimisto 365 Toimisto ja yhteydet pilvestä Elisa Toimisto 365 Tutut toimistotyökalut käytössäsi missä vain Uusimmat versiot aina mukanasi Ei kiinteitä kustannuksia Korkea käytettävyysaste Ei päivityksistä

Lisätiedot

Pertti Pennanen DOKUMENTTI 1 (5) EDUPOLI ICTPro1 29.10.2013

Pertti Pennanen DOKUMENTTI 1 (5) EDUPOLI ICTPro1 29.10.2013 Virtualisointi Pertti Pennanen DOKUMENTTI 1 (5) SISÄLLYSLUETTELO Virtualisointi... 2 Virtualisointiohjelmia... 2 Virtualisointitapoja... 2 Verkkovirtualisointi... 2 Pertti Pennanen DOKUMENTTI 2 (5) Virtualisointi

Lisätiedot

Code of Conduct - Toimintaohjeistus Toimittajille. Huhtikuu 2011

Code of Conduct - Toimintaohjeistus Toimittajille. Huhtikuu 2011 Code of Conduct - Toimintaohjeistus Toimittajille Huhtikuu 2011 JOHDANTO Sodexon periaatteisiin liiketoiminnassa kuuluu korkeat eettiset standardit. Tämän vuoksi olemme laatineet Code of Conduct, toimintaohjeistuksen

Lisätiedot

PILVIPALVELUT. Käyttäjän- ja pääsynhallinnan näkökantoja itsmf.fi aamiasseminaari 29.04.2015

PILVIPALVELUT. Käyttäjän- ja pääsynhallinnan näkökantoja itsmf.fi aamiasseminaari 29.04.2015 PILVIPALVELUT Käyttäjän- ja pääsynhallinnan näkökantoja itsmf.fi aamiasseminaari 29.04.2015 JOHDANTO Yritykset ja yhteisöt ottavat pilvipalveluja käyttöön yhä laajemmassa määrin, ja palveluvalikoima on

Lisätiedot

Lopullinen versio, syyskuu 2010 Paikallisen ja alueellisen tason kestävää kehitystä koskeva integroitu johtamisjärjestelmä

Lopullinen versio, syyskuu 2010 Paikallisen ja alueellisen tason kestävää kehitystä koskeva integroitu johtamisjärjestelmä Lopullinen versio, syyskuu 2010 Paikallisen ja alueellisen tason kestävää kehitystä koskeva integroitu johtamisjärjestelmä Laajuus Jatkuva laajeneminen sekä maantieteellisesti että sisällön kannalta: Yhdestä

Lisätiedot

Tietoturvapolitiikka

Tietoturvapolitiikka Mäntsälä Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 0.9 2/8 Sisällys 1 Johdanto... 4 2 Mitä tietoturvallisuus on?... 4 2.1 Tietoturvallisuuden hallinta... 5 2.2 Riskienhallinta sekä jatkuvuuden

Lisätiedot

ABB Drives and Controls, 26.05.2015 Koneenrakentajan ja laitetoimittajan yhteistoiminta toiminnallisen turvallisuuden varmistamisessa

ABB Drives and Controls, 26.05.2015 Koneenrakentajan ja laitetoimittajan yhteistoiminta toiminnallisen turvallisuuden varmistamisessa ABB Drives and Controls, 26.05.2015 Koneenrakentajan ja laitetoimittajan yhteistoiminta toiminnallisen turvallisuuden varmistamisessa Sisältö 1. Koneenrakentajan haasteita koneiden turvallistamisessa 2.

Lisätiedot

-Yhdistetty viestintä osana uutta tehokkuutta. Petri Palmén Järjestelmäarkkitehti

-Yhdistetty viestintä osana uutta tehokkuutta. Petri Palmén Järjestelmäarkkitehti Pilvi vai oma? -Yhdistetty viestintä osana uutta tehokkuutta Petri Palmén Järjestelmäarkkitehti Agenda Yhdistetty viestintä Palveluiden tuottaminen Palvelua pilvestä? BPOS tänään Online-palvelut tulevaisuudessa

Lisätiedot

KOMISSION SUOSITUS. annettu 13.1.2010,

KOMISSION SUOSITUS. annettu 13.1.2010, EUROOPAN KOMISSIO Bryssel 13.1.2010 K(2010)19 lopullinen KOMISSION SUOSITUS annettu 13.1.2010, jäsenvaltioiden välisestä suojatusta sähköisestä tiedonvaihdosta niiden myöntämien kuljettajakorttien ainutkertaisuuden

Lisätiedot

Pilvipalvelujen tietoturvasta

Pilvipalvelujen tietoturvasta Pilvipalvelujen tietoturvasta It-palveluiden tilaisuus 20.3.2015 Matti Levänen Mitä pilvipalvelut ovat? Pilvipalvelu on toimintamalli, jolla tarjotaan helposti käyttöön otettavaa ja skaalautuvaa tietotekniikkaresurssia.

Lisätiedot

UPM-KYMMENE OYJ HALLITUKSEN TARKASTUSVALIOKUNNAN TYÖJÄRJESTYS

UPM-KYMMENE OYJ HALLITUKSEN TARKASTUSVALIOKUNNAN TYÖJÄRJESTYS UPM-KYMMENE OYJ HALLITUKSEN TARKASTUSVALIOKUNNAN TYÖJÄRJESTYS UPM-KYMMENE OYJ TARKASTUSVALIOKUNNAN TYÖJÄRJESTYS UPM-Kymmene Oyj:n (jäljempänä yhtiö) hallitus on hyväksynyt tämän tarkastusvaliokunnan työjärjestyksen

Lisätiedot

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt Turun ammattikorkeakoulu 13.09.2005 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT Sisällysluettelo: 1 Sääntöjen tarkoitus... 2 2 Käytön periaatteet... 2 3 Käyttöoikeus ja käyttäjätunnukset... 4 4 Käyttöoikeuden

Lisätiedot

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvapolitiikka Porvoon Kaupunki Tietoturvapolitiikka Porvoon Kaupunki 1 Sisältö 1 Johdanto... 3 2 Mitä tietoturvallisuus on?... 4 Tietoturvallisuuden hallinta... 4 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen... 5 3 Tietoturvallisuustavoitteet...

Lisätiedot

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA TIETOTILINPÄÄTÖSSEMINAARI 31.1.2013 TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA Reijo Aarnio tietosuojavaltuutettu Tietosuojavaltuutetun toimisto KEHITYSKULKUJA TIETOYHTEISKUNTA TEKNOLOGIA

Lisätiedot

Miksi ja miten siirtyä käyttämään nykyistä ERP-järjestelmää pilvessä?

Miksi ja miten siirtyä käyttämään nykyistä ERP-järjestelmää pilvessä? Miksi ja miten siirtyä käyttämään nykyistä ERP-järjestelmää pilvessä? Sisällys Lukijalle 3 Mitä pilvipalveluilla tarkoitetaan? 4 Toiminnanohjausjärjestelmä pilvessä 5 Miksi siirtyä pilvipalveluihin? 6

Lisätiedot

Valtioneuvoston asetus

Valtioneuvoston asetus Valtioneuvoston asetus rautatiejärjestelmän turvallisuudesta ja yhteentoimivuudesta annetun valtioneuvoston asetuksen muuttamisesta Valtioneuvoston päätöksen mukaisesti muutetaan rautatiejärjestelmän turvallisuudesta

Lisätiedot

Alkuraportti. LAPPEENRANNAN TEKNILLINEN YLIOPISTO TIETOJENKÄSITTELYN LAITOS CT10A4000 - Kandidaatintyö ja seminaari

Alkuraportti. LAPPEENRANNAN TEKNILLINEN YLIOPISTO TIETOJENKÄSITTELYN LAITOS CT10A4000 - Kandidaatintyö ja seminaari LAPPEENRANNAN TEKNILLINEN YLIOPISTO TIETOJENKÄSITTELYN LAITOS CT10A4000 - Kandidaatintyö ja seminaari Alkuraportti Avoimen lähdekoodin käyttö WWW-sovelluspalvelujen toteutuksessa Lappeenranta, 30.3.2008,

Lisätiedot

Rakennustuotteiden -merkintä

Rakennustuotteiden -merkintä Rakennustuotteiden -merkintä Eurooppalainen käytäntö rakennustuotteiden kelpoisuuden osoittamiseen Rakennustuotteiden CE-merkintä perustuu rakennustuotedirektiiviin Euroopan komission rakennustuotedirektiivin

Lisätiedot

Toshiba EasyGuard käytännössä: Portégé M300

Toshiba EasyGuard käytännössä: Portégé M300 Erinomainen ja vankkatekoinen all-in-one-ultrakannettava. Toshiba EasyGuard sisältää monia ominaisuuksia, joiden avulla yritysasiakkaat voivat parantaa tietoturvaansa, tehostaa järjestelmän suojausta ja

Lisätiedot

Sisällysluettelo. Esipuhe... 10. 1 Johdanto... 15. 2 Tietoturvallisuuden rooli yritystoiminnassa... 17

Sisällysluettelo. Esipuhe... 10. 1 Johdanto... 15. 2 Tietoturvallisuuden rooli yritystoiminnassa... 17 Esipuhe...................................................... 10 1 Johdanto............................................... 15 2 Tietoturvallisuuden rooli yritystoiminnassa.............. 17 2.1 Mitä on

Lisätiedot

Tietoturvapolitiikka. Kunnanhallitus 27.2.2012 42 Tyrnävän kunta

Tietoturvapolitiikka. Kunnanhallitus 27.2.2012 42 Tyrnävän kunta Tietoturvapolitiikka Kunnanhallitus 27.2.2012 42 Tyrnävän kunta 2 SISÄLLYSLUETTELO 1. YLEISTÄ 3 2. POLITIIKAN SOVELTAMINEN JA LAAJUUS 3 3. TIETOTURVAPOLITIIKKA, TAVOITTEET JA PERIAATTEET 4 4. TIETOJEN

Lisätiedot

Hans Aalto/Neste Jacobs Oy

Hans Aalto/Neste Jacobs Oy 1 2 Automaation kehitystrendit - haasteita tietoturvallisuudelle Hans Aalto, Neste Jacobs Oy Osastonjohtaja/Automaatiosuunnittelu Suomen Automaatioseura, hallituksen puheenjohtaja 1.1.2005 alk. Neste Jacobs

Lisätiedot

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA seppo.heikkinen@nixu.com. 15.1.2014 Nixu 2014 1

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA seppo.heikkinen@nixu.com. 15.1.2014 Nixu 2014 1 PCI DSS 3.0 Merkittävimmät muutokset Seppo Heikkinen, QSA seppo.heikkinen@nixu.com 15.1.2014 Nixu 2014 1 Yleistä PCI DSS standardin kehittämisestä PCI SSC (Payment Card Industry Security Standards Council)

Lisätiedot

Microsoft Online Portal. Järjestelmänvalvojan perusopas

Microsoft Online Portal. Järjestelmänvalvojan perusopas Järjestelmänvalvojan perusopas Sisällysluettelo Johdanto... 3 Kohdeyleisö... 3 Dokumentin sijainti... 3 Erityiset tiedot... 3 1. Kirjautuminen... 4 2. Microsoft Office 365-tuotteiden asentaminen... 5 3.

Lisätiedot

Palvelukuvaus Datatalkkari 19.5.2016 LOUNEA DATATALKKARI PALVELUKUVAUS. www.lounea.fi

Palvelukuvaus Datatalkkari 19.5.2016 LOUNEA DATATALKKARI PALVELUKUVAUS. www.lounea.fi Palvelukuvaus Datatalkkari 19.5.2016 1 LOUNEA DATATALKKARI PALVELUKUVAUS 2 Sisällysluettelo 1. YLEISKUVAUS... 3 2. PALVELUKOMPONENTIT... 3 2.1. Käyttöönotto ja opastus... 3 2.2. Huolto ja asennus... 3

Lisätiedot

Fiksumpi käyttöliittymä kuntaan. Miten kuntien tietojärjestelmät saadaan palvelemaan kuntalaisia? LapIT-päivät 2015

Fiksumpi käyttöliittymä kuntaan. Miten kuntien tietojärjestelmät saadaan palvelemaan kuntalaisia? LapIT-päivät 2015 Fiksumpi käyttöliittymä kuntaan Miten kuntien tietojärjestelmät saadaan palvelemaan kuntalaisia? LapIT-päivät 2015 Otso Kivekäs 20.8.2015 Otso Kivekäs+ Codento Kehittämispäällikkö, kunta-alan projektit

Lisätiedot

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET Hall. 01.04.2014 Valt. 29.04.2014 1 Voimaantulo 01.07.2014 1 Lainsäädännöllinen perusta ja soveltamisala Kuntalain 13

Lisätiedot

LIITE 2: Jyväskylän Kankaan alueen palveluiden hallinta- ja toimintamallit

LIITE 2: Jyväskylän Kankaan alueen palveluiden hallinta- ja toimintamallit 1/7 LIITE 2: Jyväskylän Kankaan alueen palveluiden hallinta- ja toimintamallit 2/7 Sisällysluettelo Palveluiden hallinta- ja toimintamallit Aluepalveluyhtiö Jatkuva elinkaaren hallinta ja kehittäminen

Lisätiedot

Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä?

Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä? Huoltovarmuuskeskuksen 10-vuotisjuhlaseminaari Helsinki, 26.2.2003 Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä? TkT Arto Karila Karila A. & E. Oy E-mail: arto.karila@karila.com HVK, 26.2.2003-1

Lisätiedot

Kuntarekry.fi 21.5.2014. KL-Kuntarekry Oy / Tuula Nurminen

Kuntarekry.fi 21.5.2014. KL-Kuntarekry Oy / Tuula Nurminen Kuntarekry.fi 21.5.2014 KL-Kuntarekry Oy / Tuula Nurminen 1 19.5.2014 Kuntien eniten käyttämä sähköinen palvelu vuodesta 2010 740 000 työhakemusta 50 000 rekrytointia 310 000 lyhytaikaista sijaisuutta

Lisätiedot

Vihdin kunnan tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka Vihdin kunnan tietoturvapolitiikka Kunnanhallitus 2.3.2015 50, liite 2 Kunnan johtoryhmä 18.11.2014 Tietohallinnon ohjausryhmä (Thor) 24.9.2014 Sisällys 1 Johdanto... 2 2 Mitä tietoturvallisuus on?...

Lisätiedot

Tutkittavan informointi ja suostumus

Tutkittavan informointi ja suostumus Tutkittavan informointi ja suostumus yhdistettäessä tutkittavilta kerättyjä tietoja rekisteritietoihin Ylitarkastaja Raisa Leivonen Tietosuojavaltuutetun toimisto 9.12.2010 Kysy rekisteritutkimuksen luvista

Lisätiedot

Wiki korvaa intranetin. Olli Aro 3.6.2010

Wiki korvaa intranetin. Olli Aro 3.6.2010 Wiki korvaa intranetin Olli Aro 3.6.2010 Olli Aro Metsäteollisuuden myynti- ja markkinointitoimia 15 v B2B integraatioita 8 v Verkkopalveluita 7 kk Kehittämiskonsulttina Harrastuksina Talvella hiihto ja

Lisätiedot

ANVIA PILVI. kotimaisia pilvipalveluita yrityksille 24/7

ANVIA PILVI. kotimaisia pilvipalveluita yrityksille 24/7 ANVIA PILVI kotimaisia pilvipalveluita yrityksille 24/7 Anvia Pilvi TIESITKÖ, ETTÄ YLI PUOLET SUOMALAISYRITYKSISTÄ KÄYTTÄÄ PILVIPALVELUITA? Anvia Pilvi on suomalaisille yrityksille tarkoitettu palvelu,

Lisätiedot

HALLINNOINTIKOODI (CORPORATE GOVERNANCE)

HALLINNOINTIKOODI (CORPORATE GOVERNANCE) HALLINNOINTIKOODI (CORPORATE GOVERNANCE) 20.5.2010 1 / 5 Suomen Yliopistokiinteistöt Oy Finlands Universitetsfastigheter Ab:n (jäljempänä yhtiö ) päätöksenteossa ja hallinnossa noudatetaan osakeyhtiölakia

Lisätiedot

Riskit hallintaan ISO 31000

Riskit hallintaan ISO 31000 Riskit hallintaan ISO 31000 Riskienhallinta ja turvallisuus forum 17.10.2012 Riskienhallintajohtaja Juha Pietarinen Tilaisuus, Esittäjä Mitä on riskienhallinta? 2 Strategisten riskienhallinta Tavoitteet

Lisätiedot

1. Toimivan IT-ympäristön rakentaminen

1. Toimivan IT-ympäristön rakentaminen 1. Toimivan IT-ympäristön rakentaminen Tarjontaa paljon tarvitaan henkilö, joka kokoaa oikeat palikat yhteen Ensin hahmotetaan kokonaisuus sen jälkeen tarkastellaan pienempiä osa-alueita Koulutus/tiedon

Lisätiedot

Home Media Server. Home Media Server -sovelluksen asentaminen tietokoneeseen. Mediatiedostojen hallinta. Home Media Server

Home Media Server. Home Media Server -sovelluksen asentaminen tietokoneeseen. Mediatiedostojen hallinta. Home Media Server 2007 Nokia. Kaikki oikeudet pidätetään. Nokia, Nokia Connecting People ja Nseries ovat Nokia Oyj:n tavaramerkkejä tai rekisteröityjä tavaramerkkejä. Muut tässä asiakirjassa mainitut tuotteiden ja yritysten

Lisätiedot

Tehtävä, visio, arvot ja strategiset tavoitteet

Tehtävä, visio, arvot ja strategiset tavoitteet Tehtävä, visio, arvot ja strategiset tavoitteet Tehtävä Euroopan tilintarkastustuomioistuin on Euroopan unionin toimielin, joka perussopimuksen mukaan perustettiin huolehtimaan unionin varojen tarkastamisesta.

Lisätiedot

Onko sinun yritykselläsi jo tietotekniikka Palveluksessa? vtoasp -palvelun avulla siirrät tietojärjestelmäsi haasteet ammattilaisten hoidettaviksi.

Onko sinun yritykselläsi jo tietotekniikka Palveluksessa? vtoasp -palvelun avulla siirrät tietojärjestelmäsi haasteet ammattilaisten hoidettaviksi. Onko sinun yritykselläsi jo tietotekniikka Palveluksessa? vtoasp -palvelun avulla siirrät tietojärjestelmäsi haasteet ammattilaisten hoidettaviksi. vtoasp -palvelu 1) Huolehtii yrityksesi tietojärjestelmän

Lisätiedot

Palvelumuotoilu ja muotoiluajattelu bisneksessä

Palvelumuotoilu ja muotoiluajattelu bisneksessä Palvelumuotoilu ja muotoiluajattelu bisneksessä Hanna-Riina Vuontisjärvi Projektipäällikkö/ Palvelumuotoilija Lapin yliopisto, Taiteiden Tiedekunta hanna-riina.vuontisjarvi@ulapland.fi Mitä palvelumuotoilija

Lisätiedot

ArcGISSM. Online. Paikkatietoalusta organisaatiollesi

ArcGISSM. Online. Paikkatietoalusta organisaatiollesi ArcGISSM Online Paikkatietoalusta organisaatiollesi ArcGIS Online on yhteisöllinen, pilvipohjainen alusta karttojen, sovellusten ja paikkatietoaineistojen tekemiseen ja jakamiseen. ArcGIS Online on Esrin

Lisätiedot

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty kunnanhallituksessa 20.01.2014 23 1. YLEISTÄ Tietoturva- ja tietosuojapolitiikka asiakirjana sisältää ne periaatteet, toimintatavat, vastuut, toimivallat,

Lisätiedot

PALVELUKUVAUS järjestelmän nimi versio x.x

PALVELUKUVAUS järjestelmän nimi versio x.x JHS 171 ICT-palvelujen kehittäminen: Kehittämiskohteiden tunnistaminen Liite 4 Palvelukuvaus -pohja Versio: 1.0 Julkaistu: 11.9.2009 Voimassaoloaika: Toistaiseksi PALVELUKUVAUS järjestelmän nimi versio

Lisätiedot

IT-OSAAJA, TIETOJENKÄSITTELYN ERIKOISTUMISOPINNOT

IT-OSAAJA, TIETOJENKÄSITTELYN ERIKOISTUMISOPINNOT IT-OSAAJA, TIETOJENKÄSITTELYN ERIKOISTUMISOPINNOT KOULUTUKSEN KOHDERYHMÄ SISÄLTÖ Koulutuksen tavoitteena on antaa opiskelijalle valmiudet uusien tietoteknisten menetelmien ja välineiden hyödyntämiseen.

Lisätiedot

Lokipolitiikka (v 1.0/2015)

Lokipolitiikka (v 1.0/2015) KYS erityisvastuualue Etelä-Savon sairaanhoitopiiri Lokipolitiikka (v 1.0/2015) Sisällys 1 JOHDANTO... 2 2 HENKILÖTIETOJEN KÄSITTELYYN LIITTYVÄ LAINSÄÄDÄNTÖ... 2 3 LOKI JA LOKITIETO... 3 4 LOKITIETOJEN

Lisätiedot

IT-palvelujen ka yttö sa a nnö t

IT-palvelujen ka yttö sa a nnö t IT-palvelujen ka yttö sa a nnö t Tampereen yliopisto Yliopistopalvelut / tietohallinto Rehtorin päätös 28.8.2014. Sisällysluettelo 1 Soveltamisala... 2 2 Käyttövaltuudet ja käyttäjätunnus... 2 2.1 Käyttövaltuudet...

Lisätiedot

IT2015 EKT ERITYISEHTOJA OHJELMISTOJEN TOIMITUKSISTA KETTERIEN MENETELMIEN PROJEKTEILLA LUONNOS

IT2015 EKT ERITYISEHTOJA OHJELMISTOJEN TOIMITUKSISTA KETTERIEN MENETELMIEN PROJEKTEILLA LUONNOS 20.4.2015 IT2015 EKT ERITYISEHTOJA OHJELMISTOJEN TOIMITUKSISTA KETTERIEN MENETELMIEN PROJEKTEILLA 1 1.1 SOVELTAMINEN Näitä erityisehtoja sovelletaan ohjelmistojen tai niiden osien toimituksiin ketterien

Lisätiedot

Ohjelmiston kuvakkeiden kuvaus

Ohjelmiston kuvakkeiden kuvaus Ohjelmiston kuvakkeiden kuvaus Aliro-ohjelmiston kuvakkeiden esittely kattaa kaikki ohjelmistossa käytettävät kuvakkeet. Esittelyn avulla tunnistat helposti kuvakkeet ja niiden kautta käytettävät toiminnot.

Lisätiedot

EETTISET OHJEET MUNKSJÖ OYJ (YRITYSTUNNUS 2480661-5) Hyväksytty hallituksen kokouksessa 13. toukokuuta 2013

EETTISET OHJEET MUNKSJÖ OYJ (YRITYSTUNNUS 2480661-5) Hyväksytty hallituksen kokouksessa 13. toukokuuta 2013 EETTISET OHJEET MUNKSJÖ OYJ (YRITYSTUNNUS 2480661-5) Hyväksytty hallituksen kokouksessa 13. toukokuuta 2013 Tekijä: Åsa Fredriksson Laadittu: 24. helmikuuta 2013 Tarkistettu: 10. syyskuuta 2014 Versio:

Lisätiedot

Kymenlaakson Kyläportaali

Kymenlaakson Kyläportaali Kymenlaakson Kyläportaali Klamilan vertaistukiopastus Tietoturva Tietoturvan neljä peruspilaria 1. Luottamuksellisuus 2. Eheys 3. Saatavuus 4. (Luotettavuus) Luottamuksellisuus Käsiteltävää tietoa ei paljasteta

Lisätiedot

Verkkoestejärjestelmä joustava reunasuojausratkaisu rakennustyömaille

Verkkoestejärjestelmä joustava reunasuojausratkaisu rakennustyömaille Verkkoestejärjestelmä joustava reunasuojausratkaisu rakennustyömaille Säädökset ja standardit Verkkoestejärjestelmää on testattu huolellisesti, jotta on voitu varmistua sen toimivuudesta, käyttörajoituksista

Lisätiedot

Tietoturvan johtaminen suomalaisen liikkeenjohdon näkökulmasta

Tietoturvan johtaminen suomalaisen liikkeenjohdon näkökulmasta Tietoturvan johtaminen suomalaisen liikkeenjohdon näkökulmasta Suomalaisen tietoturvayhtiö Silverskin Information Securityn tilaamassa tutkimuksessa kysyttiin sadan yritysjohtajan näkemyksiä tietoturvan

Lisätiedot

Älykäs verkottuminen ja käyttäjänhallinta. Pekka Töytäri TeliaSonera Finland

Älykäs verkottuminen ja käyttäjänhallinta. Pekka Töytäri TeliaSonera Finland Älykäs verkottuminen ja käyttäjänhallinta Pekka Töytäri TeliaSonera Finland 1 Älykäs verkottuminen Tekniikka, organisaatio ja prosessit muodostavat yhtenäisesti toimivan palvelualustan Älykäs toiminnallisuus

Lisätiedot

Järjestelmäarkkitehtuuri (TK081702) Pilvipalvelut. Pilvipalvelut - lähtökohtia

Järjestelmäarkkitehtuuri (TK081702) Pilvipalvelut. Pilvipalvelut - lähtökohtia Järjestelmäarkkitehtuuri (TK081702) Pilvipalvelut Pilvipalvelut Nouseva toteutustekniikka ja trendi Kuluttajat edellä, yritykset perässä Paino sanalla Palvelu Yhtenäisyyksiä vuosikymmenten taakse, sovelletaan

Lisätiedot

Mobiililaitteiden tietoturva

Mobiililaitteiden tietoturva Mobiililaitteiden tietoturva 2009-02-23 Raahe Erka Erka Koivunen Koivunen Yksikön Yksikön päällikkö päällikkö CERT-FI CERT-FI CERT-FI:n esittely CERT-FI kansallinen CERT-viranomainen Coordinated CERT ==

Lisätiedot

TIETOPAKETTI EI -KYBERIHMISILLE

TIETOPAKETTI EI -KYBERIHMISILLE TIETOPAKETTI EI -KYBERIHMISILLE Miksi TIEDOLLA on tässä yhtälössä niin suuri merkitys? Mitä tarkoittaa KYBERTURVALLISUUS? Piileekö KYBERUHKIA kaikkialla? Kaunis KYBERYMPÄRISTÖ? Miten TIETOJÄRJESTELMÄ liittyy

Lisätiedot

Auditointi. Teemupekka Virtanen 14.5.2010

Auditointi. Teemupekka Virtanen 14.5.2010 Auditointi Teemupekka Virtanen 14.5.2010 Lähtökohta Kaikki KANTAan liittyneet organisaatiot jakavat saman tietomassan Keskinäinen luottamus Yhteiset toimintaperiaatteet Yhteinen turvataso Minä uskallan

Lisätiedot

Yhtiön yleisesittely

Yhtiön yleisesittely Yhtiön yleisesittely Muokkaa alaotsikon perustyyliä Asko Savolainen napsautt. Vergo Oy Tässä dokumentaatiossa esitettyjä tietoja ei saa hyödyntää, jäljentää tai muuten saattaa Vergo Oy l kolmansien osapuolten

Lisätiedot

OMAVALVONTA ISO 9001 ISO / FSSC 22000 ISO 14001 OHSAS 18001 SATAFOOD KEHITTÄMISYHDISTYS RY 24.9.2015. Marika Kilpivuori

OMAVALVONTA ISO 9001 ISO / FSSC 22000 ISO 14001 OHSAS 18001 SATAFOOD KEHITTÄMISYHDISTYS RY 24.9.2015. Marika Kilpivuori SATAFOOD KEHITTÄMISYHDISTYS RY Laatu- ja ympäristöjärjestelmät 24.9.2015 Marika Kilpivuori OMAVALVONTA ISO 9001 ISO / FSSC 22000 BRC ISO 14001 OHSAS 18001 IFS 1 MIKÄ JÄRJESTELMÄ MEILLÄ TARVITAAN? Yrityksen

Lisätiedot

OULUNKAAREN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

OULUNKAAREN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET OULUNKAAREN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET Sisällys SISÄISEN VALVONNAN PERUSTEET... 3 RISKIENHALLINNAN PERUSTEET... 4 1. Johdanto... 4 2. Riskienhallinnan määritelmä ja toteuttamisen

Lisätiedot

Partnerbook. Pohjois-Suomen koulutusverkoston digitaalinen työtila

Partnerbook. Pohjois-Suomen koulutusverkoston digitaalinen työtila Partnerbook Pohjois-Suomen koulutusverkoston digitaalinen työtila Pohjois-Suomen koulutusverkoston kokous Aika: keskiviikko 27.5.2015 klo 14-16 Paikka: Raahen ammattiopisto, Tervahovinkatu 2, Raahe Asiakkuusjohtaja

Lisätiedot

Julkishallinnon tietoturvatoimittaja 2013-2017

Julkishallinnon tietoturvatoimittaja 2013-2017 Julkishallinnon tietoturvatoimittaja 2013-2017 Decens - Sujuvaa yhteistyötä Decens on ICT palvelutoimittaja Perustettu vuonna 2008 Päätoimipaikka on Tampere Yrityksessä työskentelee n. 70 henkilöä Toimipisteet:

Lisätiedot

Määräykset ja ohjeet 14/2013

Määräykset ja ohjeet 14/2013 Määräykset ja ohjeet 14/2013 Kolmansien maiden kaupankäyntiosapuolet Dnro FIVA 15/01.00/2013 Antopäivä 10.6.2013 Voimaantulopäivä 1.7.2013 FINANSSIVALVONTA puh. 010 831 51 faksi 010 831 5328 etunimi.sukunimi@finanssivalvonta.fi

Lisätiedot

Toisen vuoden työssäoppiminen (10 ov)

Toisen vuoden työssäoppiminen (10 ov) Toisen vuoden työssäoppiminen (10 ov) 1. Toimintaympäristöjen (5 ov) Opintojakson sisältö Toimintaympäristöjen 5 ov ammattitaitovaatimus Mitä opiskelija osaa suoritettuaan tämän jakson Opiskelija osaa

Lisätiedot

SFS, 27.11 2014 STANDARDIEHDOTUKSEN ISO/DIS 14001 ESITTELY

SFS, 27.11 2014 STANDARDIEHDOTUKSEN ISO/DIS 14001 ESITTELY SFS, 27.11 2014 STANDARDIEHDOTUKSEN ISO/DIS 14001 ESITTELY Anna-Liisa Koskinen SISÄLTÖ Uusi rakenne Uusia määritelmiä Keskeisistä muutoksista 2 ISO 14001 ympäristöjohtamisjärjestelmä ISO 14001 on tunnettu

Lisätiedot

Kustannustehokkuutta tietoturvallisuutta vaarantamatta

Kustannustehokkuutta tietoturvallisuutta vaarantamatta Kustannustehokkuutta tietoturvallisuutta vaarantamatta IBM Internet Security Systems Kaisa Puusola, Security Sales Manager Kaisa.puusola@fi.ibm.com Agenda IBM Internet Security Systems Tietoturvallisuuden

Lisätiedot

Periaatteet standardien SFS-EN ISO/IEC 17025:2005 ja SFS-EN ISO 15189:2007 mukaisen näytteenottotoiminnan arvioimiseksi

Periaatteet standardien SFS-EN ISO/IEC 17025:2005 ja SFS-EN ISO 15189:2007 mukaisen näytteenottotoiminnan arvioimiseksi Periaatteet standardien SFS-EN ISO/IEC 17025:2005 ja SFS-EN ISO 15189:2007 mukaisen näytteenottotoiminnan arvioimiseksi FINAS - akkreditointipalvelu Espoo 2012 ISBN 978-952-5610-85-7 1(7) Periaatteet standardien

Lisätiedot