Itä-Savon sairaanhoitopiirin kuntayhtymän KYS erityisvastuualue-tasoinen Tietosuoja- ja tietoturvapolitiikka

Transkriptio

1 Itä-Savon sairaanhoitopiirin kuntayhtymän KYS erityisvastuualue-tasoinen Tietosuoja- ja tietoturvapolitiikka Sisällys KÄSITTEITÄ JOHDANTO Tavoite Vaatimuksenmukaisuus Tarkoitus Suojattavat kohteet TIETOTURVALLISUUDEN PERUSTASON MÄÄRITTELY Tärkeimmät hallinnolliset tietosuoja- ja tietoturvatoimet Tärkeimmät teknisluontoiset tietoturvatoimet... 5 LIITE 1 TIETOTURVALLISUUDEN OSA-ALUEET 1. Hallinnollinen turvallisuus 2. Ohjelmistoturvallisuus 3. Tietoaineistoturvallisuus 4. Käyttöturvallisuus 5. Laitteistoturvallisuus 6. Fyysinen turvallisuus 7. Tietoliikenneturvallisuus 8. Henkilöstöturvallisuus LIITE 2 LAINSÄÄDÄNTÖ Tietoturvan lainsäädännöllinen perusta LIITE 3 MALLI TIETOTURVALLISUUDEN ORGANISOINTI JA VASTUUT OSION LAATIMISEKSI Voimassaolo / Versiohistoria Itä-Savon sairaanhoitopiirin kuntayhtymähallitus: ; Seuraava arviointi: mennessä; mennessä Versio: 1.0; 2.0 1

2 KÄSITTEITÄ Tietosuojalla tarkoitetaan toimenpiteitä, joiden tarkoituksena on suojata henkilön yksityisyys henkilötietojen käsittelyssä. Tietojen valtuudettoman saannin estäminen Tietojen luottamuksellisuuden säilyttäminen Henkilötietojen suojaaminen valtuudettomalta tai henkilöä vahingoittavalta käytöltä Tietoturvalla tarkoitetaan niitä hallinnollisia ja teknisiä toimenpiteitä, joilla varmistetaan tiedon luottamuksellisuus ja eheys, järjestelmien käytettävyys sekä rekisteröidyn oikeuksien toteutuminen. Tietojen luottamuksellisuutta, eheyttä ja käytettävyyttä turvataan laitteisto- ja ohjelmistovikojen, luonnontapahtumien sekä tahallisten, tuottamuksellisten tai tapaturmaisten tekojen aiheuttamilta uhilta ja vahingoilta. 1 JOHDANTO Tietoturvataso on organisaatiossa toteutettavan tietoturvallisuuden hallinnan kypsyystaso. Valtiovarainministeriön mukaan sosiaali- ja terveydenhuollon organisaation tulee täyttää vähintään perustaso. Palvelujen tuottajilta edellytetään myös tietoturvallisuuden perustaso esimerkiksi sopimuksissa. Kyberturvallisuus on tietoturvallisuuden alalaji, jolla pyritään sähköisen ja verkotetun yhteiskunnan turvallisuuteen. Sosiaali- ja terveydenhuollon kyberturvallisuuteen varautuminen tarkoittaa sitä, että keskeisten toimintojen osalta on tehty varautumis- ja riskienhallintasuunnitelma. Tietojen turvaaminen on olennainen osa sairaanhoitopiirien toiminnan turvallisuutta. Tällä dokumentilla on yhdenmukaistettu KYS erityisvastuualueen ylätason tietosuoja- ja tietoturvaperiaatteet. KYS ervaan kuuluvat Etelä-Savon sosiaali- ja terveyspalvelut (ESSOTE) sekä Itä-Savon sairaanhoitopiirin, Keski-Suomen sairaanhoitopiirin, Pohjois-Savon sairaanhoitopiirin ja Pohjois- Karjalan sairaanhoito- ja sosiaalipalveluiden kuntayhtymät. Tietojärjestelmät tukevat merkittävässä määrin sairaanhoitopiirien toimintaa sen tuottaessa toiminta-ajatuksensa mukaisia palveluja. KYS ervan tietosuoja- ja tietoturvapolitiikan tarkoituksena on yhdenmukaistaa tietosuoja- ja tietoturvakäytäntöjä alueellisesti sekä vahvistaa tietojenkäsittelyn tietoturvan perustaso, organisointi, vastuut ja seurantamenetelmät. Sairaanhoitopiireille on erityisen tärkeää, että potilas/asiakas voi luottaa siihen, että hänen tietonsa ovat turvassa, oikeita ja vain hoitoon/asiakassuhteeseen osallistuvien saatavissa ja että niitä käsitellään kaikissa vaiheissa asianmukaisesti. Tietojen käsittely perustuu hoitosuhteeseen tai muuhun asialliseen yhteyteen, jonka perusteena on virka- tai työtehtävien hoito. Luottamuksellisuus ja yksityisyyden suoja painottuvat myös henkilöstöasioiden käsittelyssä. Kyberturvallisuuden varautumisen toimilla on tarkoitus varmistaa organisaatioiden sisäistä turvallisuutta sekä sitä, että esimerkiksi sairaanhoitopiirien tietojärjestelmiä/ -verkkoja ei käytetä kyberiskujen / hakkerointien suunnittelussa. Tietoturvallisuuden näkökulmasta kyberturvallisuus noudattaa organisaatioiden varautumis- ja riskienhallintasuunnitelmia, eikä muuta sen toimivaltuuksia. 2

3 Dokumentin tarkoituksena on luoda KYS ervalle luotettava ja yhdenmukainen perusta tietosuojan ja tietoturvallisuuden kehittämistoimille. Yhteistyönsä kautta KYS erityisvastuualueella saadaan erinomaiset edellytykset nostaa kyberturvallisuutta. KYS erva tietosuoja- ja tietoturvapolitiikkaa täydentävät organisaatiokohtaiset erilliset dokumentit. 1.1 Tavoite Tietoja käsitellään KYS erva alueen sairaanhoitopiireissä yhdenmukaisten tietosuoja- ja tietoturvaperiaatteiden mukaisesti. Tällä turvataan potilas- ja asiakastyön mahdollisimman sujuva ja häiriötön toiminta. KYS ervan sairaanhoitopiirit muodostavat omalle alueelleen tietoturvallisen sosiaali- ja terveydenhuollon toimikentän, johon eri osapuolet voivat luottaa ja joka mahdollistaa tiedon turvallisen hallinnan ja välityksen kaikille osapuolille. Tietoturvallista organisaatiota rakennetaan eri toimijoiden yhteistyössä muodostaman jatkuvan riskienhallintaprosessin avulla. Tavoitteena on turvata perustehtävän häiriötön ja laadukas toteuttaminen. Tämän päämäärän saavuttamiseksi: Kaikkien tietoja käsittelevien henkilöiden on ymmärrettävä tietojen käsittelyn periaatteet: mitä, missä tarkoituksessa ja milloin tietoa saa käsitellä sekä ymmärtää ja hyväksyä potilaan halu ja oikeudet kieltää tietojensa käsittely tietyissä tilanteissa Johdon sitoutuminen ja organisaation koko henkilöstön tietoturvatietoisuus on oltava hyvä. Kaikki ymmärtävät tietosuojan ja tietoturvan merkityksen sekä tehtävänsä ja velvollisuutensa niiden ylläpidossa ylläpidossa. Tietosuoja- ja tietoturvaperiaatteita toteutetaan sairaanhoitopiirien kaikessa toiminnassa Tietojen luottamuksellisuuden, eheyden ja saatavuuden vaatimus toteutuu kaikessa tietojenkäsittelyssä ja se mahdollistaa tietoturvallisen asioinnin ja tietojen käytön. 1.2 Vaatimuksenmukaisuus KYS ervassa tietojenkäsittelyn ja sen turvaamisen periaatteet noudattavat kansallisia ja kansainvälisiä tietoturvallisuutta koskevia säädöksiä, standardeja sekä terveydenhuollon auditointivaatimuksia ja suosituksia (LIITE 2). Kaikessa toiminnassa ja sen kehittämisessä lähdetään kansallisten ja kansainvälisten tietoturvallisuutta koskevien lakien ja asetusten pohjalta sekä noudatetaan hyvää tietojenkäsittelytapaa, velvoitteita ja sopimuksia. Tietoturvaratkaisujen tulee noudattaa myös taloudellisia realiteetteja, eivätkä ne saa vaikeuttaa merkittävästi tietojärjestelmien hyötykäyttöä ja asiakaspalvelua. Tietoturvallisuutta koskevat määräykset ovat keskeisiä ja velvoittavia. Velvoitteissa korostetaan salassapidon, vaitiolovelvollisuuden ja yksityisyyden suojan toteutumista sekä tietoturvallisuuden, tietosuojan, hyvän tietojenkäsittelytavan ja laadun merkitystä. Hallinnollisten dokumenttien ja niiden tuottamiseen liittyvien prosessien osalta noudatetaan Sähke2-normia sähköisten asiakirjojen tietojen käsittelyn, hallinnan ja säilyttämisen osalta siinä vaiheessa, kun se on otettu käyttöön organisaatiossa. Lisäksi noudatetaan Sähke2-vaatimusten mukaista hävitysesitystä ja sen tietosisältöä. Arkistolaitoksen SÄHKE normit ohjaavat julkishallinnon asiakirjahallintaa sähköisessä toimintaympäristössä. SÄHKE normit määräävät niistä vaatimuksista ja ominaisuuksista, jotka ovat edellytyksenä tietojärjestelmiin sisältyvien tietojen säilyttämiselle yksinomaan sähköisessä muodossa. SÄHKE1 normi koskee ainoastaan asiankäsittelyjärjestelmiä, mutta SÄHKE2 normi on tietojärjestelmäriippumaton. 3

4 1.3 Tarkoitus Tietoturvatoimilla estetään tietojen luvaton käyttö ja haltuunotto. Suuri osa sairaanhoitopiireissä käsiteltävästä tiedosta on luottamuksellista, arkaluonteista sekä salassa pidettävää ja voi paljastuttuaan rikkoa yksityisyyden suojaa. Tietoturvatoiminnan tavoitteena on vastata siitä, että tieto on oikeaan aikaan, oikeassa paikassa ja oikean muotoisena niiden henkilöiden käytettävissä, joilla on siihen laillinen tai työtehtävänsä vaatima valtuutus. Tietoturvatoimilla vähennetään ja ennaltaehkäistään tietoturvariskien syntyminen. Sillä taataan tietojen saatavuus ja toiminnan jatkuvuus poikkeuksellisissa olosuhteissa. Tietoturvatoimilla varmistetaan potilaiden ja asiakkaiden oikeusturva ja yksityisyyden suoja lainsäädännön ja muiden määräysten edellyttämällä tavalla sekä tietojen oikeellisuus ja luotettavuus siten, että asianosaiset ovat tiedostaneet tietoturvan merkityksen. Tiedon käytettävyydellä ja saatavuudella tarkoitetaan, että tieto on tallennettu siten ja sellaisessa muodossa, että se on luettavissa, ymmärrettävissä ja tulkittavissa oikein. Lisäksi tiedon tulee olla kattava, ajantasainen, oikeellinen ja muuten käyttökelpoinen ilman tulkinta- ja väärinkäyttömahdollisuutta. Tiedon, tietojärjestelmän ja palvelun on oltava saatavilla ja hyödynnettävissä siihen oikeutetuille riittävän esteettömästi, vaivattomasti ja nopeasti vaaditulla tavalla ja vaadittuna aikana siten, että edellytykset potilaan ja asiakkaan turvalliseen hoitoon ja asiointiin säilyvät. 1.4 Suojattavat kohteet Tietosuoja- ja tietoturvapolitiikka kattaa sairaanhoitopiirien ja sen mahdollisten liikelaitosten kaiken toiminnan ja niihin liittyvät tietojenkäsittelytehtävät. Politiikka kattaa myös vaitiolovelvollisuuden piiriin kuuluvan ja muunkin puhutun sekä manuaalisen ja sähköisen tiedon. Tietojen suojelu- ja tietoturvaluokitukset on esitetty organisaation asiakirjahallinnan ja tietoturvasuunnitelmissa. Erityistä huomiota kiinnitetään organisaation toiminnan kannalta kriittisiin tietojärjestelmiin ja niiden sisältämiin tietoihin. Kriittisiä tietojärjestelmiä ovat asiakas- /potilastietojärjestelmät sekä talous- ja henkilöstöhallinnon ohjelmat. Tietojen turvaamisen kannalta erityisen tärkeitä ovat väestörekisteri, potilastietorekisterit, asiakastietorekisterit, hoitoilmoitusrekisteri sekä muut terveydenhuollon ja sosiaalihuollon valtakunnalliset rekisterit. Suojattavat kohteet luetteloidaan ja priorisoidaan kriittisten kohteiden tunnistamisen perustaksi. 2 TIETOTURVALLISUUDEN PERUSTASON MÄÄRITTELY Tietoturvallisuus on laaja toiminnallinen kokonaisuus, jonka keskeisimmät turvallisuuden riskitekijät liittyvät ihmisten toimintaan. Tietoturvallisuuden vaikutukset ulottuvat koko organisaatioon ja sen ylläpitäminen on jatkuva prosessi, jota toteutetaan hallinnollisten, fyysisten ja teknisten ratkaisujen avulla. Ne kuvataan käyttöympäristöille ja tarvittaessa yksiköille laadituissa tietoturvallisuuden kehittämissuunnitelmissa. Käyttäjien tueksi julkaistaan ohjeita ja tarjotaan tietoturvakoulutusta. 2.1 Tärkeimmät hallinnolliset tietosuoja- ja tietoturvatoimet 4

5 Hyväksytyn tietosuoja ja -turvapolitiikan mukaiset tietoturvatoimet tulee sisällyttää luonnollisena osana kaikkeen toimintaan. Tietoturvan kehittäminen ja ylläpito ovat osa organisaation yleistä turvallisuustoimintaa, riskien hallintaa ja sisäistä valvontaa. Tietoturva on terveydenhuollon kriittinen tekijä, koska potilaan on voitava luottaa ehdottomasti tietojensa tietosuojaan. Tämä luottamus on hoidon kulmakivi. Organisaation toiminnalle tärkeiden tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta turvataan ja estetään tietojen ja tietojärjestelmien joutuminen ulkopuolisille. Tietojen ja tietojärjestelmien valtuudeton käyttö ja tahaton tai tahallinen tiedon tuhoutuminen tai vääristyminen estetään sekä minimoidaan aiheutuvat vahingot. Normaaliajan toiminnan tietojenkäsittelyn turvaamisen lisäksi varaudutaan toiminnan keskeyttäviin uhkatilanteisiin ja jatkuvuudenhallintaan. Voimassa olevat velvoittavat säädökset on luetteloitu ja niiden vaikutukset tietoturvajärjestelyihin on selvitetty. Lainsäädäntöä ja ohjeistusta tulee seurata jatkuvasti. Muutosten vaikutus on otettava huomioon organisaation tietoturvallisuuden kehittämisessä. Organisaation tiedot, tietojenkäsittelyjärjestelmät ja -palvelut pidetään asianmukaisesti suojattuina sekä normaali- että poikkeusoloissa hallinnollisten, teknisten ja muiden liitteissä kuvattujen toimenpiteiden avulla. Tietoturvariskejä hallitaan riskienhallintaprosessin avulla. Hyväksyttävän riskitason määrittelee johtoryhmä riskianalyysin tulosten perusteella ja yhteisesti valmisteltujen kriteeristöjen ja mittarien avulla. Organisaatiossa on käytössä tietojen ja tietojärjestelmien turvallisuusluokitus. Jokaisella tietojärjestelmällä tai sen osalla on oltava yksikäsitteinen omistaja/haltija. 2.2 Tärkeimmät tekniset tietoturvatoimet Toiminnan jatkuvuuden hallintaprosessi tulee toteuttaa onnettomuuksien ja turvallisuushäiriöiden (joita voivat aiheuttaa esim. luonnonmullistukset, onnettomuudet, laiteviat ja ilkivalta) aiheuttamien keskeytysten vähentämiseksi hyväksyttävälle tasolle yhdistämällä ehkäiseviä ja palautumista edistäviä turvamekanismeja. Jatkuvuussuunnitelmia tulee kehittää ja toteuttaa käytännössä varmistamaan, että toimintaprosessit saadaan palautettua toimintaan vaaditussa ajassa. Suunnitelmia tulee pitää yllä ja harjoitella, jotta niistä tulee muiden hallinnollisten prosessien rinnalla integroitunut osa toimintaa. Tämä muodostaa osan kyberturvallisuuteen varautumisesta. Toiminnan jatkuvuuden hallintaan tulee sisältyä turvamekanismit riskien havaitsemiseen ja hallintaan. Turvamekanismeilla rajoitetaan uhkan mahdollisen toteutumisen aiheuttamia seurauksia ja varmistetaan olennaisesti tärkeiden toimintojen nopea palautuminen. Toiminnan jatkuvuussuunnitelmia tulee pitää yllä säännöllisin arvioinnein ja päivityksin tehokkuuden säilymisen varmistamiseksi. Kriittisten komponenttien, palvelinten, työasemien, käyttöjärjestelmien sekä ohjelmistojen turvapäivityksiä varten on toimintasuunnitelma. Päivitystarvetta seurataan säännöllisesti ja päivitysten kriittisyys arvioidaan ennakolta, jos mahdollista. Kriittiset päivitykset asennetaan viivytyksettä. Turvapäivitysten asennukset keskitetään ja automatisoidaan mahdollisuuksien mukaan. Hätäpäivitykset voidaan suorittaa muutoksenhallintaprosessin mukaisesti. 5

6 Käyttöturvallisuudella luodaan ja ylläpidetään tietotekniikan turvallisen käytön vaatimat toimintaolosuhteet huolehtimalla tekniikan toimivuuden valvonnasta, käyttöoikeuksista, käytön- ja lokien valvonnasta, ohjelmistotuesta, ylläpito-, kehittämis- ja huoltotoimintoihin liittyvistä turvallisuustoimenpiteistä, varmuus- ja suojakopioinnista sekä häiriöraportoinnista. Lokien muuttumattomuus ja kiistämättömyys tulee taata vaatimusten mukaisesti niille määritellyn säilytysajan. Kansalaisen tiedonsaanti lokitiedoista toteutetaan kansallisten määritysten mukaisesti. Käyttölokin osalta julkisuuslain mukaisen valitusprosessin ollessa kesken, lokitietoja ei saa tuhota talletusajan mahdollisesti päättyessä. Organisaatio vastaa järjestelmien tietoturvasta ja laadusta yhdessä toimittajien ja palveluntuottajien kanssa sopimusten mukaisesti. Organisaatiossa on yksiselitteisesti määritelty käyttövaltuushallintaprosessi vastuineen ja poikkeusmenettelyineen. Palveluiden saatavuus, käytettävyys, luotettavuus, hallinnointi ja valvonta on määritelty yhdessä palveluntuottajien kanssa. Tietojärjestelmien käyttövaltuushallinta sekä menettelyprosessi on määritelty omassa asiakirjassa. Käyttövaltuushallinnan teknisestä määrittelystä vastaavat nimetyt vastuuhenkilöt. Tietojärjestelmien poikkeustilanteiden hallinnan edellyttämien toimien suunnitelmat, joilla käyttöoikeus voidaan tilapäisesti ohittaa, sisällytetään toipumissuunnitelmaan. Ohitustilanteet merkitään erilliseen luetteloon ja hätäkorjaustilanteiden jälkeen toimitaan takautuvasti käyttöoikeusprosessin mukaisesti. Tietoturvapoikkeamista, haitallisista ja toimintaa vaarantavista tapahtumista raportoidaan kaikilla tasoilla viivytyksettä poikkeamien hallintaprosessin mukaisesti ja prosessi on kuvattu organisaation tietoturvallisuutta käsittelevässä asiakirjassa. Viestit ja dokumentit välitetään luokitusten vaatimin salausmenettelyin. Viestinvälityksen tietosuojaa koskevat vaatimukset ja vastuut on määritelty organisaation ja viestinvälitysoperaattorin välisissä sopimuksissa sekä tietoturvallisuutta käsittelevässä asiakirjassa. Palveluja ulkoistettaessa huolehditaan Suomen lainsäädännön ja terveydenhuollon vaatimustenmukaisesta luottamuksellisen aineiston käsittelystä siten, että tiedot eivät voi joutua sivullisten käsiin. Tietoturvallisuusmääritykset tarkistetaan ja arvioidaan vähintään vuosittain tai merkittävien muutosten yhteydessä. Tietoturvallisuuden hallintajärjestelmän ja kehittämissuunnitelman hyödyllisyys ja toimivuus käsitellään johdon katselmoinnissa ja johto päättää tarvittavista laajavaikutteisista muutoksista. Tietoturvallisuuskuvausten teknisen ylläpidon tietosuojasta vastaa tietoturvavastaava. 6