Tietoturvapolitiikka

Transkriptio

1 Valtiokonttori Ohje 1 (6) Tietoturvapolitiikka Valtion IT -palvelukeskus

2 Valtiokonttori Ohje 2 (6) Sisällysluettelo 1 Johdanto Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa Tietoturvallisuuden tavoitteet ja periaatteet Tietoturvallisuutta ohjaavat tekijät ja täydentävät ohjeet Tietoturvallisuuden hallinta, kehittäminen ja ylläpito sekä raportointi Tietoturvatyön organisointi ja vastuut Tietoturvaohjeistus ja koulutus Politiikan ylläpito ja hyväksyntä... 6 Liitteet... 6

3 Valtiokonttori Ohje 3 (6) 1 Johdanto Valtiokonttorin (VIP) toteuttaa osaltaan valtion IT-strategiaa valtion ITtoiminnan johtamisyksikön ohjauksessa sekä vastaa valtion IT-strategian mukaisten yhteisten tai yhtenäistettyjen IT-palvelujen tuotannon järjestämisestä. VIP hoitaa myös Valtioneuvoston tietohallintopalveluja ja toimii Valtioneuvoston ja yksittäisten ministeriöiden tietohallintopalvelujen organisoijana, toimittajana ja asiantuntijana. VIPin tehtävät on määrätty Valtioneuvoston asetuksessa valtiokonttorista (1155/2002) ja asetuksen muutoksessa (844/2008). Tietoturvallisuudella tarkoitetaan tietojen ja palveluiden, järjestelmien ja tietoliikenteen suojaamista ja varmistamista niihin kohdistuvien riskien hallitsemiseksi normaalioloissa ja normaaliolojen häiriötilanteissa hallinnollisilla, teknisillä ja muilla toimenpiteillä. 2 Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa Tämä politiikka linjaa VIPin tietoturvallisuuden hallintaan liittyvät tavoitteet, periaatteet, organisoinnin ja vastuut. Tietoturvapolitiikan linjauksia noudatetaan VIPin omassa toiminnassa ja VIPin asiakkaiden, palvelutoimittajien ja muiden kumppaneitten kanssa tehtävissä sopimuksissa sekä yhteistyössä. Kaikkiin sopimuksiin määritetään tietoturvavaatimukset joita VIP edellyttää noudatettavaksi. Vaatimusten täyttämistä avustetaan julkaisemalla tietoturvallisuuden sekä jatkuvuuden edistämiseen soveltuvia menetelmiä, ohjeita ja työkaluja. Tietoturvatyön tavoitteiden saavuttamista tukee VIPin tietoturvallisuuden hallintajärjestelmä. Hallintajärjestelmä kattaa VIPin toimialan omat prosessit ja prosesseista tunnistetut suojattavat kohteet. VIPin toiminnassa suojattavia kohteita ovat ydinprosesseissa ja tietojärjestelmissä käsiteltävät tiedot, tiedot toimittaja-, yhteistyö- ja alihankintasopimuksista sekä tiedot yhteistyöstä muiden viranomaisten ja yhteistyötahojen kanssa

4 Valtiokonttori Ohje 4 (6) 3 Tietoturvallisuuden tavoitteet ja periaatteet VIPin visio on olla tehokkain turvallisia ja helppokäyttöisiä IT -palveluja julkishallinnolle tarjoava palvelukeskus. Tietoturvallisuuden tavoitteena on mahdollistaa vision saavuttaminen luomalla menettelyt ja hallintaprosessit palveluiden turvalliseen ylläpitoon, kehittämiseen sekä hankintaan. Menettelyt ja prosessit varmistavat myös VIPin toiminnan jatkuvuuden. Tavoitteen saavuttamiseksi tietoturvatyö koostuu seuraavista osa-alueista: Suojattavien kohteiden turvallisuuden ja niiden toiminnan jatkumisen varmistaminen Toiminnan jatkuva parantaminen riskienhallinnan ja koulutuksen keinoin Vuosikelloon perustuvan tietoturvatilannekuvan ylläpitäminen ja raportointi Nopea reagointi poikkeaviin tilanteisiin ja vaikutusten minimointi Tietoturvatyön vaikuttavuuden arviointi ja kehittäminen Tietoturvatyön onnistumisen takaamiseksi, työn periaatteina noudatetaan seuraavaa: Tietojen suojaaminen perustuu luottamuksellisuuden, eheyden ja saatavuuden turvaamiseen Suojaaminen toteutetaan osana normaalia VIPin henkilöstön työtä Suojaaminen ja jatkuvuuden hallinta perustuu tunnistettujen riskien pohjalta luotaviin toimenpide- ja jatkuvuussuunnitelmiin Varataan riittävät resurssit ja osaaminen tietoturvatyön toteuttamiseen ja kehittämiseen Henkilöstöllä on oman työn turvalliseen toteuttamiseen vaadittava osaaminen Palvelutoimittajat velvoitetaan noudattamaan VIPin sopimuksilla määrittelemiä tietoturvavaatimuksia ja vaatimusten toteutumista seurataan säännöllisesti 4 Tietoturvallisuutta ohjaavat tekijät ja täydentävät ohjeet Tietoturvapolitiikka, tietoturvaohjeistus ja VIPin toiminnassa sovellettavat tietoturvakäytännöt perustuvat Valtiokonttorin tietoturvapolitiikkaan, säädöksiin ja määräyksiin, kansainväliseen ISO standardiin, toiminnan riskiarviointeihin, Valtiovarainministeriön tietoturvaohjeistoihin, julkishallinnon JHS-suosituksiin ja VIPin toimintastrategiaan. Liitteessä 1 on lueteltu politiikan sisältöön vaikuttavat lait ja asetukset sekä standardit. Tätä tietoturvapolitiikkaa täydentävät erikseen laaditut tietoturvaohjeet ja käytännöt sekä suunnitelmat, jotka tulee huomioida kaikessa VIPin toiminnassa ja toiminnan suunnittelussa.

5 Valtiokonttori Ohje 5 (6) 5 Tietoturvallisuuden hallinta, kehittäminen ja ylläpito sekä raportointi Tietoturvallisuuden hallinta, kehittäminen ja ylläpito perustuvat riskien tunnistamisesta lähtevään tietoturvallisuuden jatkuvaan kehittämiseen prosessimaisella toiminnalla. Riskejä arvioidaan ja hallitaan VIPin ISO standardin mukaisen tietoturvallisuuden hallintajärjestelmän ohjaamana, osana palvelualueiden ja muiden ryhmien normaalia työtä. Työn tavoitteiden toteutumista ja järjestelyjen riittävyyttä sekä tehokkuutta seurataan, mitataan ja arvioidaan säännöllisesti. Lisäksi tietoturvallisuustyön vaikuttavuutta arvioidaan säännöllisillä tarkastuksilla, jotka toteutetaan VIP ja palvelukohtaisten auditointisuunnitelmien mukaisesti. Tietoturvallisuuden tilannekuva ja tietoturvatyön vaikuttavuuden arvioinnin tulokset raportoidaan säännöllisesti VIP johtoryhmälle. 5.1 Tietoturvatyön organisointi ja vastuut Tietoturvatoiminnassa noudatetaan VIPin työjärjestyksen mukaista organisointia ja vastuunjakoa. VIPin tietoturvallisuudesta vastaa kokonaisuudessaan VIPin johtaja. Johtajan ja häntä tukevan johtoryhmän tehtäviin kuuluvat tietoturvallisuuden tavoitteiden ja riskitason asettaminen sekä työn riittävä resursointi. VIP:n sisäisen tietoturvatoiminnan ja tietoturvallisuuden hallintajärjestelmän kehittämisestä ja vaikuttavuuden seurannasta vastaa tietoturvallisuuden ohjausryhmä tietoturvapalvelutpalvelualueen apulaisjohtajan johdolla. Esimiehet vastaavat siitä, että työntekijöillä on oikeudet tehtävän edellyttämässä laajuudessa tarvittaviin tietoihin. Esimiehet huolehtivat siitä, että alaiset saavat riittävän perehdytyksen ja koulutuksen tietoturvallisuuteen sekä voimassa oleviin ohjeisiin ja käytäntöihin. Jokainen VIPille töitä tekevä henkilö vastaa tietoturvallisuudesta omalla vastuualueellaan annettujen ohjeiden ja määräysten mukaisesti. Jokaisen velvollisuutena on perehtyä Valtiokonttorin ja VIPin tietoturvaohjeisiin. Velvollisuutena on myös ilmoittaa havaitsemistaan tietoturvallisuutta vaarantavista seikoista esimiehelleen tai tietoturvapalvelut-palvelualueen apulaisjohtajalle. Esimiesten ja apulaisjohtajan velvollisuutena on ryhtyä tarvittaviin toimenpiteisiin. Yksityiskohtaiset vastuut on kuvattu liitteessä Tietoturvaohjeistus ja koulutus Henkilöstölle julkaistaan tietoturvaohjeita avustamaan työtehtävien tekemisessä. Esimiesten vastuulla on perehdyttää alaiset tietoturvaohjeistukseen. Ajantasainen ohjeisto julkaistaan intranetissä.

6 Valtiokonttori Ohje 6 (6) VIPin henkilöstö ja VIPille töitä tekevät perehdytetään tietoturvallisuuskäytäntöihin palvelussuhteen sekä projektien tai toimeksiantojen alussa. Oma henkilöstö osallistuu palvelusuhteen aikana tietoturvakoulutuksiin säännöllisesti. Tietoturvakoulutuksia ja tietoiskuja järjestetään henkilöstölle koulutussuunnitelman mukaisesti. 6 Politiikan ylläpito ja hyväksyntä Liitteet Tämän politiikan ylläpidosta vastaa VIPin sisäisestä tietoturvasta vastaava tietoturva-asiantuntija, joka katselmoi politiikan säännöllisesti. Mahdolliset muutostarpeet esitellään VIPin johtoryhmälle. Politiikan tarkastaa ja muutokset hyväksyy VIPin johtaja. Tämä velvoittaa VIPin henkilöstön noudattamaan tietoturvapolitiikan ja täydentävän ohjeistuksen linjauksia. Tämä politiikka astuu voimaan hyväksymispäivämääränä ja on voimassa, kunnes päivitetty politiikka hyväksytään. Liite 1 Lait asetukset ja säädökset sekä standardit Lait, asetukset ja säädökset sekä standardit jotka ohjaavat tietoturvallisuutta on kuvattu dokumentissa Liite1_Lait_Asetukset_Säädökset_ja_standardit.docx Liite 2 Tietoturvatyön vastuut Tietoturvatyön vastuut on kuvattu dokumentissa Liite2_Tietoturvatyön_vastuut.docx