Tietoturvallisuus ja varautuminen kunta- ja palvelurakennemuutoksessa. Valtiovarainministeriö Puh tai v
|
|
- Aku Elstelä
- 8 vuotta sitten
- Katselukertoja:
Transkriptio
1 Tietoturvallisuus ja varautuminen kunta- ja palvelurakennemuutoksessa v Valtiovarainministeriö Puh tai (vaihde) Snellmaninkatu 1 A, Helsinki Faksi PL 28, Valtioneuvosto valtiovarainministerio@vm.fi Y-tunnus SUOMEN VALTIO Valtiovarainministeriö Puh tai
2 2 (13) Sisällysluettelo 1 Johdanto Selvitysvaihe Tietoturvallisuus ja selvitysvaihe Varautuminen selvitysvaiheessa Toteutusvaihe Tietoturvallisuus ja toteutusvaihe Varautuminen toteutusvaiheessa Arviointivaihe BSC tietoturvan arvioinnin viitekehyksenä ja mittaristona Tietoturvan taloudelliset mittarit Tietoturvallisuus osana organisaation julkisuuskuvaa EU- sääntely ja tietotilinpäätös Varautuminen arviointivaiheessa Lähdeluettelo... 13
3 3 (13) Johdanto Tietoturvallisuuden hallinta on prosessi, joka on sidottu strategiseen johtamiseen, operatiiviseen johtamiseen, kokonaisarkkitehtuuriin ja suunnittelun vuosikelloihin. Tietoturvallisuus tulee sisällyttää osaksi organisaation arjen toimintaa, jotta tiedon turvallinen ja asiallinen käsittely toteutuu. Tietoturvallisuus on syytä huomioida jo toiminnan suunnitteluvaiheessa, jotta varmistutaan tieturvallisuudesta toiminnan ja johtamisen kannalta. Toiminta- ja tuotantoympäristöön tehtävät tietoturvapoikkeamista syntyvät muutokset ovat aina kalliita ja yleensä budjetoimattomia kulueriä. Kuntaorganisaatioiden tietoaineistot ovat kasvaneet siihen mittasuhteeseen, ettei toimijoilla ole aina selkeää käsitystä, mitä aineistoa ne omistavat, missä sitä käsitellään, kuka aineistoa käsittelee, missä sitä säilytetään sekä mikä on relevantin aineiston elinkaari. Toimintaa tulee seurata ja arvioida tietoturvan näkökulmasta jatkuvasti ja organisaatiossa oltava kypsyys toteuttaa tarvittavat tietoturvallisuuspäivitykset. Tämä ohje liittyy kuntarakennemuutoksiin ja noudattaa niihin liittyvää vaihejakoa selvitys-, toteutus - sekä arviointivaiheisiin. Ohjeen tarkoituksena on auttaa rakennemuutoksiin osallistuvia kuntia huolehtimaan tietoturvan hallinnasta, varautumisesta ja kehittämään niitä. Selvitysvaihe Selvitysvaiheessa kootaan yhdistymisselvitykseen osallistuvien kuntien nykytilatiedot niiden palvelutoiminnasta, tietovarannoista, tietojenkäsittelyä hyödyntävistä toimintaprosesseista ja tietojärjestelmistä sekä teknologiasta. Lisäksi kootaan tiedot tietotekniikkapalveluihin liittyvistä sopimuksista ja toimittajasuhteista. Selvitysvaiheen toimenpiteet tulee projektoida eli aikatauluttaa, vastuuttaa ja määritellä niille tavoitteet. Projektointiin kuuluu myös itse projektin tietoturvakäytäntöjen määrittely ja projektin kohteena olevien tietojärjestelmien tietoturvallisuuden varmistamisen suunnittelu yhdistymisvaiheessa. Nykytilan selvittämistä kokonaisarkkitehtuurin ja sopimusten näkökulmasta ja projektointia on kuvattu ohjeissa: Selvitysvaiheen kuvaukset -ohje Sopimukset ja hankinnat -ohje Projektisalkun hallinta -ohje 1.1 Tietoturvallisuus ja selvitysvaihe Kuntien nykytilaselvitysten yhteydessä kootaan osallistuvien kuntien tietoturvaperiaatteet ja tiedot tietoturvallisuuden hallinnan prosesseista. Mahdollisuuksien mukaan tietoturvapolitiikan periaatteiden yhdistämistä tai uuden tietoturvapolitiikan suunnittelua käynnistetään jo selvitysvaiheessa. Tietoturvapolitiikka on organisaation johdon hyväksymä julkinen asiakirja, joka kuvaa organisaation tietoturvallisuustavoitteet ja päämäärät, joita organisaatio sitoutuu noudattamaan päivittäisissä toiminnoissaan. Selvitysvaiheessa ei vielä ole uutta kuntaa, joka päättäisi tietoturvapolitiikasta, mutta valmistelua on hyvä jo selvitysvaiheessa aloittaa erityisesti nykytila-analyysein. Tietoturvapolitiikka sisältää esimerkiksi seuraavat asiat: Tietoturvallisuuden hallinnan tavoitteet Vastuut Tietoturvatyön organisointi ja toteutuskeinot Tietoturvallisuuden tavoitteiden toteutumisen seuranta ja ongelmatilanteiden hallinta Tiedottaminen Tietoturvallisuutta toteutetaan ja ylläpidetään tietoturvallisuuden hallintamallin avulla, joka muodostuu seuraavista osakokonaisuuksista: Tietoturvapolitiikka, jossa määritellään tavoitteet tiedon käytölle Tiedon omistajuuden määrittely
4 4 (13) Tiedon käyttötarkoituksen määrittely Tiedon salassapitoluokittelu Tietoturvasuunnitelma, joka kuvaa tiedon luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi toteutettavat hallinnolliset ja tekniset suojaukset Tiedon elinkaarenhallinta Tiedon syntyminen Tiedon säilyttäminen, versionhallinta ja hakeminen Oikeudet käyttää ja editoida tietoa Tiedon arkistointiperiaatteet Tiedon tuhoamiskäytännöt Organisaatio voi halutessaan asettaa tavoitteeksi standardinmukaisen tietoturvallisuuden hallintajärjestelmän toteuttamisen. Tietoturvallisuuden ja tietoturvariskien hallintaan liittyvät standardit ISO/IEC 27001, ISO/IEC sekä ISO/IEC 27005, jotka kattavat tietoturvallisuuden hallinnan ja tietoturvariskien hallinnan osa-alueet. Standardeissa esitetyt yleiset vaatimukset ovat sovellettavissa erityyppisissä organisaatioissa. Standardinmukainen toiminta on mahdollista sertifioida. Tietoturvapolitiikan määrittely on osa kokonaisarkkitehtuurin suunnittelua. Kokonaisarkkitehtuurin nykytilan analyysin yhteydessä on koottu tiedot yhdistymisselvitykseen osallistuvien kuntien tietovarannoista sekä olemassa olevat kuntien tietoturvapolitiikat, joissa määritellään tavoitteet tiedon käytölle. Mikäli näin ei ole jo tehty, on ensimmäisenä toimenpiteenä määritellä tiedolle omistaja, jonka tehtävänä on luokitella tieto sen salassapitotarpeen mukaisesti. Kunnilla on keskenään samanlaisia lakisääteisiä tehtäviä, joiden hoitamiseksi tarvittavien tietojen salassapitotarpeiden tulisi olla yhdenmukaiset. Salassapitoluokittelu määritellään tunnistamalla ja arvioimalla tiedon käsittelyyn kohdistuvat tietoturvallisuuden uhat sekä riskit. Tiedon salassapidolle on aina määriteltävä lakisääteinen peruste, joka usein määräytyy julkisuuslain mukaan. Salassapidon peruste saattaa olla tarkistettavissa kunnan tiedonohjaussuunnitelmasta. Tiedon salassapitoluokittelun perusteella voidaan suunnitella ja toteuttaa tarvittavat tietoturvaratkaisut. Kuntasektorilla voidaan käyttää tukena valtionhallinnon tietoturvallisuusasetuksessa (681/2010) ja sen perusteella annetuissa Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmän VAHTI:n ohjeissa määriteltyjä tietoturvatasovaatimuksia eri suojaustasojen tiedon turvaamiseksi. Suojaustasojen määrittelyn perusteella luokitellaan organisaation toiminnan osa-alueet ja tietojenkäsittely-ympäristöt kolmeen tasoon: tietoturvallisuuden perustaso, korotettu taso ja korkea taso. Alin valtion viranomaisen tietojenkäsittely-ympäristöille sallittu taso on tietoturvallisuuden perustaso. Laki viranomaisten toiminnan julkisuudesta (621/1999, Julkisuuslaki) säätää viranomaisten asiakirjojen julkisuudesta ja hyvästä tiedonhallintatavasta. Valtiovarainministeriön julkaisemat tietoturvallisuutta koskevat ohjeet (Vahti-ohjeet) sisältävä paljon myös kunnille hyödyllistä aineistoa. Kuntien on kuitenkin tarkennettava vaatimuksia omassa ohjeistuksessaan toiminnan tarpeiden perusteella. Selvitysvaiheessa keskitytään nykytilan selvittämiseen sekä mahdollisen uuden kokonaisuuden suunnitteluun. Tietoaineiston luokittelu on tietoturvapolitiikan lisäksi tietoturvallisuuden keskeisimpiä toimenpiteitä. Ilman luokittelua ei synny käsitystä siitä, mitä tietoa on suojattava ja keneltä. Luokittelulle on kaksi keskeistä perustetta, joista tärkein on lainsäädäntö. Tietosuojaan liittyvät lain eri pykälät määräävät yhteiskunnassa syntyvän luottamuksellisen datan eriasteisesti suojattavaksi. Toinen peruste aineiston luokittelulle tulee organisaation sekä sidosryhmien tarpeista (esim. sopimuksista). Toimiva yhteistyö eri sidosryhmien välille vaatii sekä tehokasta informaation vaihtoa että tiedon luokittelua. Tämä voi olla erillinen dokumentti tai osa tietoturvapolitiikkaa tai sen implementointisuunnitelmaa. Valtionvarainministeriön (VAHTI 2/2010) julkaisema Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta kuvaa organisaatioiden hyvän tiedonhallintatavan mukaisten toimintaedellytykset kokonaisvaltaisen tietoturvallisuuden näkökulmasta. Se ohjeistaa luokittelemaan tietoaineistoja neljälle eri suojaustasolle asetettujen teknisten ja toiminnallisten vaatimusten mukaisesti. Ohje käsittelee erityisesti salassa pidettävän tiedon suojaamista ja sen käyttöä.
5 5 (13) Tietojen luokittelu tietoturvallisuusasetuksen mukaisesti ja turvatasojen vaatimusten noudattaminen edesauttaa yhdenmukaisten tiedon suojauskäytäntöjen syntymistä julkishallintoon, mikä helpottaa salassa pidettävien tietojen vaihtoa kunnan ja valtion viranomaisten välillä. Aineiston omistajuus Selvitysvaiheen ajan kukin kunta toimii itsenäisenä toimijana ja rekisterinpitäjänä. Mikään ei kuitenkaan estä yhteistä suunnittelua ja mahdollista asioiden yhdenmukaistamista eri kuntien välillä kuntien itsenäisin päätöksin. Aineiston omistajuus ja rekisterinpitovastuut ovat kuntakohtaisia valtuuksia ja vastuita kunnes mahdollinen uusi kuntarakenne on voimassa. Omistajuus merkitsee oikeutta myöntää muille oikeuksia tiedon käytölle. Kuntien johdon tehtävänä on vastata siitä, että kaikille tietoaineistoille ja järjestelmille on määritelty omistajat. Lisäksi on syytä määritellä miten, kuinka kauan ja missä tietoa säilytetään sekä milloin ja miten se aikanaan tuhotaan. Kunnan eri toimintasektoreille on omia erityislainsäädännöstä tulevia vaatimuksia tietojen hallinnalle. Lisäksi tulee huomioida eri projektien ja prosessin aikana syntyvän uuden aineiston omistajuuden määrittely (vrt. VAHTI 9/2006). Tietojenkäsittelyprosesseissa on määriteltävä rekisterinpitäjä, joka vastuulla on tiedon asiallinen käsittely koko tiedon elinkaaren ajan. Tietojenkäsittely voidaan ulkoistaa erillisellä toimeksiannolla, jolloin rekisterinpitäjästä tulee toimeksiantaja ja siitä, jolle toimenpide ulkoistetaan, tulee toimeksisaaja. Rekisterinpitäjä eli toimeksiantaja on velvollinen jättämään rekisteri-ilmoituksen ja toimeksisaaja on velvollinen jättämään toimintailmoituksen toiminnasta tietosuojavaltuutetun toimistolle (Tietosuojavaltuutetun toimisto, 2010). Hyvin dokumentoidun tiedonohjaussuunnitelman tulisi kuvata kattavasti tiedon elinkaarenhallinnan kaikki vaiheet. Tietoturvallisuutta sekä tietojenkäsittelyä koskevia säädöksiä on mm. seuraavissa erityislaeissa: Henkilötietolaki (523/1999), jossa keskeisimmät säännökset hyvän tietojenkäsittelytavan näkökulmasta ovat lain 2 luvun periaatteet: huolellisuus- ja laillisuusvelvoite (5 ) henkilötietojen käsittelyn etukäteissuunnittelu (6 ) henkilötietojen käyttötarkoitussidonnaisuus ja käsittelyn rajoitukset (7-8 ) henkilötietojen laatua koskevat periaatteet (9 ) Laki julkisen hallinnon tietohallinnon ohjauksesta (634/2011) Laki turvallisuusselvityksistä (177/2002) Sähköisen viestinnän tietosuojalaki (516/2004) Laki yksityisyyden suojasta työelämässä (759/2004) Arkistolaki (831/1994) Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010) Laki viranomaisten toiminnan julkisuudesta (621/1999) Tietoturvallisuuden riittävä taso on määriteltävä suunnitelmaa laadittaessa, sillä se on välttämätön edellytys toiminnan jatkuvuudelle. Toimintaympäristön ja tietoturvallisuuden kypsyyden arviointiin on olemassa useita eri mittareita, joista yleisimmin käytetyt tukeutuvat VAHTI dokumentteihin ja Kansalliseen auditointikriteeristöön (KATAKRI II, 2011). Kypsyysarvioinnin perusteella voidaan selvittää kunnan tietoturvallisuuden kypsyystaso ja tunnistaa kehittämiskohteet. 1.2 Varautuminen selvitysvaiheessa Valmiuslain (1552/2011) mukaan julkisen sektorin organisaatioiden, ml. kuntien, on huolehdittava valmiussuunnitelmista. Varautumisella tavoitellaan toiminnan jatkuvuuden hallintaa häiriötilanteiden aikana useista eri näkökulmista. Tietoturvallisuuden näkökulmasta varautumisen tavoitteena on tietojenkäsittelypalvelujen saatavuuden turvaaminen, tietoturvapoikkeamista johtuvien haitallisten vaikutusten pienentäminen sekä niistä toipumisen nopeuttaminen.
6 6 (13) Selvitysvaiheessa valmistelu tähtää sopimukseen, jolla sovitaan uudesta kuntarakenteesta ja siihen liittyvistä periaatteista. Toiminnan jatkuvuuden varmistaminen on tärkeää ottaa mukaan suunnitteluun jo selvitysvaiheessa. Epävarmuus mahdollisesti kuntarakenteesta usein estää kuitenkin tarkan suunnittelun, joka pitää kuitenkin aloittaa välittömästi päätöksenteon jälkeen. Varautumisen liittyvät keskeiset dokumentit ovat valmius-, jatkuvuus- ja toipumissuunnitelmat. Näiden dokumenttien laatimista varten on hyödynnettävissä mm. VAHTI 3/2007 raportti, johon on kuvattu suunnitelmien keskeiset sisällöt. Jatkuvuussuunnitelmaan on kirjattu suunnitelmat toiminnan varmistamiseksi häiriötilanteissa niin toimintaprosessien kuin laajempien palvelukokonaisuuksienkin näkökulmasta. Toipumissuunnitelma on yksittäisen palvelun tai järjestelmän eri häiriötilanteista palautumisen ohjeet sisältävä dokumentti, jossa kuvataan palvelun tai järjestelmän keskeiset tehtävät ja ongelman rajoittamisen, varamenettelyyn siirtymisen, ongelman selvityksen ja normaalitilaan palauttamisen menettelyt häiriötilanteen yllättäessä. Kuntasektorin ICT-varautumisen esiselvitysraportissa on esitetty ehdotuksia varautumisen toteuttamiseksi. Ollakseen kustannustehokasta, ICT-varautumisen tulee olla koordinoitu osa kunkin kunnan jokapäiväistä toimintaa siten, että kunnan tuottamien palvelujen jatkuvuus kyetään takaamaan toiminnan vaatimusten mukaisesti normaaliolojen häiriötilanteissa, yhteiskunnan laajoissa häiriöissä ja poikkeusoloissa. ICT-varautuminen ei ole erillinen toiminto, vaan osa tietohallinnon ja yleisen varautumisen kokonaisuutta. Keskeisiä raportissa esiin nostettuja kehittämisalueita ovat ICT-varautumisen vaatimusten ohjauksen ja resursoinnin tehostaminen, tilannetietojen saatavuuden parantaminen, uhka- ja riskianalyysimenetelmien yhtenäistäminen, osaamisen varmistaminen sekä palveluverkoston hallinta ja hyödyntäminen. Raporttia voidaan käyttää tukena selvitysvaiheessa. Selvitysvaiheessa voidaan toteuttaa ICT-varautumisen vaatimusten (VAHTI 2/2012) itsearviointi nykytilan selvittämiseksi ja kehittämiskohteiden tunnistamiseksi. Varautumisen perustana on riskienarviointi ja hallinta, joka perustuu ennaltaehkäisevään toimintaan. Kuntien on pyrittävä tunnistamaan ja arvioimaan riskit mahdollisimman aikaisessa vaiheessa riskien vaikutusten ja seurausten minimoimiseksi. Kuntarakennemuutoksen selvitysvaiheessa on vähintään koottava kuntien olemassa olevat jatkuvuus-, toipumis- ja varautumissuunnitelmat sekä valmistauduttava tuleviin muutoksiin. Selvitysvaiheen suositukset: Kokoa kuntien olemassa olevat jatkuvuus-, toipumis- ja varautumissuunnitelmat Määrittele kuntien kriittiset palvelut ja suunnittele tietoturvan ja varautumisen toimenpiteet jatkuvuuden varmistamiseksi Selvitä tietoturvallisuuden nykytila esim. liitteen 2 kyselylomaketta hyödyntäen ja määrittele tietoturvapolitiikan tavoitetila. Arvioi kuntien toimintaympäristöjen tietoturvallisuuden kypsyys Suunnittele yhdistyville kunnille tietoturvapolitiikka, joka vastaa yhdistyvien kuntien tavoitteita Määrittele tiedoille omistajat, jotka luokittelevat tiedon tietoturvatasot Kartoita ja analysoi mahdolliset tulevat riskit (ks. Riskienhallinta ohje) Toteutusvaihe 1.3 Tietoturvallisuus ja toteutusvaihe Kun kuntien yhdistymistä ryhdytään toteuttamaan valtuustojen tekemän yhdistymispäätöksen jälkeen, ohjaa valmistelua yhdistymishallitus. Selvitysvaiheessa koottu suunnittelumateriaali ja mahdollisesti valmistellut tietoturvapolitiikka, -periaatteet ja suunnitelma päivitetään yhdistymishallituksen ohjauk-
7 7 (13) sessa sen antamin valmistelu-valtuuksin. Dokumenttien tulee vastata yhdistymissopimuksen linjauksia ja ne valmistellaan uuden kunnan tarpeisiin. Suunniteltaessa tietoturvapolitiikkaan kirjoitettujen tavoitteiden toteuttamista, on syytä huomioida että tietoturvallisuus on laaja kokonaisuus. On todennäköistä, että jokainen kunta on tietoturvallisuuden suhteen eri tilanteessa, jolloin kunnille on erikseen räätälöitävä omat tietoturvallisuuden toteuttamissuunnitelmat (osana yhteistä suunnitelmaa) vertailemalla nykytilaa uusiin yhteisesti hyväksyttyihin tavoitteisiin. Kunnan eri toimintasektoreilla on usein erilaiset tarpeet tietoturvallisuuden hallinnalle. Toteuttamissuunnitelmissa on suositeltavaa tukeutua olemassa oleviin kansainvälisin standardeihin ja kriteeristöihin. Standardeista keskeisin on ISO 27001, jossa määritellään yleiset vaatimukset tietoturvallisuuden hallintajärjestelmän luomiselle, toteuttamiselle, käyttämiselle, valvonnalle, katselmoinnille, ylläpidolle ja parantamiselle. Standardissa esitetyt yleiset vaatimukset ovat sovellettavissa organisaation tyypistä, koosta tai luonteesta riippumatta. Toteutussuunnitelmat ovat aina kuntakohtaisia, joista tulee ilmetä konkreettisesti kaikki henkilöstöön kohdistuvat, hallinnolliset ja fyysiseen ympäristöön kohdistuvat toimenpiteet. On suositeltavaa, että toimenpiteet projektoidaan (suunnitellaan aikataulu, vastuut, tavoitteet, resurssit ja toimenpiteet). Suunnitelmat on hyvä tarkentaa kunnan toimintasektoreittain. Tietoturvallisuuteen liittyvät toimenpiteet jaetaan hallinnolliseen tietoturvallisuuteen ja tekniseen tietoturvallisuuteen (mm. laite-, ohjelmisto-, tietoaineisto- sekä tietoliikenneturvallisuuteen). Kunnan johdolla on kokonaisvastuu tietoturvallisuuden toteuttamisesta, mutta vastuut vodiaan jakaa osa-alueittain hallintojohtajalle, henkilöstöpäällikölle sekä tietohallintojohtajalle. Toteutusvaiheessa valmistelua voi tehdä myös yhteisesti nimetty henkilö (turvallisuuspäällikkö, tietoturvapäällikkö), mutta ennen uuden kunnan alkua päätösvalta asioiden toteuttamisesta on pääsääntöisesti vielä kunnissa. Tulevaisuuden kannalta on jo valmisteluvaiheessa hyödyllistä nimetä uuden kunnan tietoturvallisuuden vastuuhenkilö, joka vasta tietoturvallisuuteen liittyvistä käytännön järjestelyistä. 1.4 Varautuminen toteutusvaiheessa Toteutusvaiheessa kriittistä on turvata palveluiden ja tietojärjestelmien jatkuvuus. Tällä varmistetaan, että kuntalaiset saavat tarvittavat palvelut, tiedon käsittely uudessa kunnassa tapahtuu hallitusti ja että tarvittavat järjestelmät toimivat. Erityistä huomiota tulee kiinnittää jatkuvuudenhallintaan tietojärjestelmien yhdistämisprojekteissa. Uudelle kunnalle on toiminnan jatkuvuuden varmistamiseksi laadittava jatkuvuus-, toipumis- ja varautumissuunnitelmat. Lisäksi selvitysvaiheen riskienhallintakartoituksen pohjalta on tarkistettava uuden kunnan riskirekisteri ja riskienhallintastrategia (VAHTI 2/2012). Selvitysvaiheessa mahdollisesti laadittuja suunnitelmia ja kerätty tietoa käytetään hyväksi uuden kunnan suunnitelmia laadittaessa. Tietoturvan ja varautumisen toiminnalliset vastuut on nimettävä uuden kunnan organisaatiossa. Tietoturvan ja varautumisen hallinnan toimenpiteet on liitettävä kunnan yleiseen johtamisen ja suunnittelun vuosirytmiin ja vuosikelloon. Taulukko 1: Tietoturvan ja varautumisen vastuut sekä toimenpiteet Toimenpide Kokonaisvastuu Käytännön toteuttamisvastuu Tietoturvallisuuden vuosikellon suunnittelu Tietoturvapolitiikka Tiedon omistajuuden määrittely Tiedon luokittelu Tiedon omistaja Lainsäädännöllisten seikkojen huomioiminen Kunnan lakimies
8 8 (13) Nykytilan kartoitus Henkilöstöjohtaja Hallintojohtaja Turvallisuuspäällikkö Tietohallintopäällikkö Toteutussuunnitelmien määrittely. Nykytilan vertaaminen tietoturvapolitiikassa hyväksyttyyn tavoitetilaan Henkilöstöjohtaja Hallintojohtaja Turvallisuuspäällikkö Tietohallintopäällikkö Tiedon elinkaaren hallinta Tietosuojavastaava Henkilökunnan valmistaminen mahdollisiin toiminnallisiin muutoksiin EU tietosuojadirektiivi huomioiminen Tietoturvariskien arviointi suhteessa tietoturvainvestointiin Tietoturvapoikkeamien ennaltaehkäisy, varautuminen Tietoturvapoikkeamiin reagointi Tietoturvaastaava Henkilöstöjohtaja Hallintojohtaja Turvallisuuspäällikkö Tietohallintopäällikkö Kunnan lakimies Tietosuojavastaava Kunnan lakimies Henkilöstöjohtaja Hallintojohtaja Turvallisuuspäällikkö Tietohallintopäällikkö Henkilöstöjohtaja Hallintojohtaja Turvallisuuspäällikkö Tietohallintopäällikkö Monitorointi ja tietoturvallisuuden toteutumisen seuranta systemaattisella mittarilla Henkilöstöjohtaja Hallintojohtaja Turvapäällikkö Tietohallintopäällikkö Tietotilinpäätökset Tietosuojavastaava
9 9 (13) Toteutusvaiheen suositukset: Suunnittele kuntien kriittisten palveluiden, tietoturvan ja varautumisen toimenpiteet jatkuvuuden varmistamiseksi Kartoita ja analysoi mahdolliset tulevat keskeiset riskit (ks. Riskienhallinta ohje) Nimeä uuden kunnan tietoturvavastaava ja määrittele tietoturvavastuut Selvitä uuden kunnan strategiset tavoitteet ja niiden yhteys tietoturvallisuuteen Selvitä tietoturvallisuuden nykytila esim. liitteen 2 kyselylomaketta hyödyntäen ja määrittele tietoturvapolitiikan tavoitetila. Arvioi kuntien toimintaympäristöjen tietoturvallisuuden kypsyys (mikäli ei toteutunut jo selvitysvaiheessa) Laadi uuden kunnan tietoturvapolitiikka ja tietoturvasuunnitelma, ota huomioon eri toimintasektorien vaihtelevat tarpeet Laadi uudelle kunnalle jatkuvuus-, toipumis- ja varautumissuunnitelmat Varmista, että lainsäädäntö ja säädökset on otettu niissä huomioon. Ota huomioon tuleva EU tietosuojadirektiivi Varmista, että tietoturvaperiaatteet ja -vaatimukset sisällytetään kokonaisarkkitehtuuriperiaatteisiin Käynnistä tietoturvasuunnitelman toteutus Käynnistä jatkuvuus-, toipumis- ja varautumissuunnitelmissa määritellyt toimenpiteet Huolehdi viestinnästä ja valmistele henkilökunta muutoksiin Arviointivaihe Tietoturvallisuuden arvioinnilla hankitaan varmuus ja luottamus siihen, että uusi kunta täyttää tietoturvallisuudelle asetetut vaatimukset. Arvioinnin kohteena on joko tietojenkäsittely-ympäristö, sen toteutus, tietojärjestelmä, tietoliikennejärjestely, arkistot tai tietoturvallisuuden hallintajärjestelmä. Arviointia voidaan toteuttaa jatkuvana toimintana jo kuntarakennemuutoksen toteuttamisvaiheesta alkaen ja sen tulisi olla jatkossa organisaation pysyvänä toimintatapana. Tietoturvallisuuden hallinnan kokonaiskuvan arvioinnissa on suositeltavaa käyttää samaa arviointikehikkoa, jota käytettiin selvitysvaiheessa nykytilan itsearviointiin (esim. tietoturvatasot vaatimustaulukko). Arvioinnit tulee toteuttaa säännöllisesti (esim. vuosittain), jotta voidaan varmistua aiemmin saavutetun tason pysymisestä ja tavoitteiden mukaisesta kehittymisestä valituilla kohdealueilla. Tietoturvan arvioinnissa on syytä huomioida uuden kunnan strateginen suunnittelu, palveluiden suunnittelu sekä kunnassa käytössä oleva strategisen arvioinnin viitekehys ja arviointitapa. 1.5 BSC tietoturvan arvioinnin viitekehyksenä ja mittaristona Tietoturva-arvioinnin mittareina on mahdollista hyödyntää Balanced Scorecard- viitekehystä (BSC) editoituna tukemaan tietoturvallisuuden näkökulmaa. Näkökulmat ovat usein samat kuntien strategioissa, joten se antaa yhdenmukaisen pohjan strategiselle johtamiselle ja tietoturvan tarkastelulle. Tavoiteltavana voidaan pitää tilannetta, jossa tietoturvallisuuteen ja varautumiseen liittyvät vuosittaiset kehittämistavoitteet on kirjattu eri tasoilla käytettyihin tuloskortteihin (kunta, toimintasektori, toimintayksikkö, ryhmä, henkilö). BSC:n mukaiset näkökulmat mittareihin ovat: Talous Toimintaympäristön kypsyys Sisäiset Prosessit Ulkoiset tekijät Näihin liittyvät tavoitteiden mittarit arvioivat strategian toteutumista.
10 10 (13) Kuva 1: Balanced Scorecard- mallin soveltaminen tietoturvallisuuden arvioinnin ja kehittämisen mallina. 1.6 Tietoturvan taloudelliset mittarit Valtiovarainministeriön Tietoturvallisuuden hallintajärjestelmän arviointisuositus dokumentin (VAHTI 3/ 2003) mukaan tietoturvallisuuden kriittiset tavoitteet voidaan määritellä tietoturvallisuuteen kustannusten perusteella. Tietoturvallisuuden taloudelliset reunaehdot liittyvät keskeisesti tiedon arvoon, jonka määrittelee tiedon omistaja. Lainsäädäntö määrittelee vaatimukset, joihin kunnan on varattava taloudelliset resurssit. Käyttöönotettavien mittareiden tulee taloudellisesta näkökulmasta mitata tietoa, jonka perusteella on mahdollista analysoida tietoturvallisuuspoikkeamien lukumäärä ja niiden kriittisyyden merkittävyys suhteutettuna muutosten toteuttamisen kustannuksiin. Lähtökohtaisesti on huomioitava, että lain tietoturvallisuudelle asettamat vaatimukset aiheuttavat väistämättä kustannuksia kunnalle, jotka voidaan nähdä investointina toiminnan kehittämiseen. Tietoturvallisuuden toteuttamisesta syntyvät kustannukset eivät ole kuntien budjeteissa merkittäviä, varsinkaan suhteessa mahdollisiin riskien realisoitumisesta aiheutuviin kustannuksiin. Edullisinta onkin huomioida tietoturvallisuus toimintaprosessien suunnitteluvaiheessa. Tietoturvallisuuden taloudelliseen näkökulmaan liitettävät mittarit ovat johtamisen kannalta merkityksellisiä. Tietoturvariskejä mittaamalla kunnilla on mahdollisuus muodostaa kokonaiskuva tietoturvallisuuden tilasta ja siitä, mihin tietoturvakustannukset allokoidaan. Taloudelliseen näkökulmaan liittyviä tietoturvamittareita ovat muun muassa: Tietojärjestelmän käyttökatkoista johtuvat kustannukset Tietoturvatapauksista aiheutuvat kustannukset Tietoturvallisuuden budjetti Toteutuneiden tietoriskien määrä tai jäännösriskien suuruus 1.7 Tietoturvallisuus osana organisaation julkisuuskuvaa Kunnan yksi keskeisimpiä vaatimuksia on ylläpitää kuntalaisten luottamus kaikkea kunnan toimintaa kohtaan. Luottamuksellisen tiedon asianmukainen käsittely sekä tiedon oikeellisuuden ja alkuperäisyyden tunnistaminen ovat tässä oleellisia. Kuntien siirtäessä palvelujaan entistä enemmän jaettavaksi
11 11 (13) informaatio ja kommunikaatioteknologiaa hyödyntäen, on kuntalaisten näkökulmasta tiedon luottamuksellisuuteen ja käytettävyyteen kiinnitettävä erityistä huomiota. Julkisuuskuvaan vaikuttaa merkittävästi kunnan edustajien viestintä erilaisissa tietoturvapoikkeamatilanteissa tai palvelukatkoissa. Tietoturvapoikkeamiin liittyvä häiriötiedottaminen eri sidosryhmille tulee valmistella ennakkoon, jotta toimintamallit ja koordinointi on selkeää ei-toivotun tapahtuman sattuessa. Hyvin hoidetulla, oikea-aikaisella ja asianmukaisella viestinnällä voidaan jopa parantaa julkisuuskuvaa, vaikka kuntalaiset joutuisivat kokemaan haittaa tai jopa vahinkoa esim. kunnan palvelujen saatavuusongelmien vuoksi. Erilaisilla palautemittareilla on mahdollista kerätä kuntalaisilta palautetta palveluiden laadun sekä käytetyn tiedon luotettavuuden ja hyödynnettävyyden tasosta. Kuntarakennemuutoksessa toiminnan normaali jatkuvuus ja tietojärjestelmien sekä tietoturvan luotettavuus vaikuttavat keskeisesti myös kuntarakennemuutoksen onnistumisen kokemuksiin. 1.8 EU- sääntely ja tietotilinpäätös EU:ssa on parhaillaan valmisteilla kaksi direktiiviä ja yksi asetus, joilla tulevaisuudessa lisätään myös kuntien velvoitteita tietoturvan järjestämisessä. Kiteytettynä direktiiveillä pyritään toiminnalliseen muutokseen, jossa kunnillekin tulee aktiivisempi rooli tietoturvakäytäntöjensä raportoinnissa. Tämä tarkoittaa, että organisaatiot joutuvat pyynnöstä raportoimaan viranomaisille tietojen käsittelystä ja tietoturvapoikkeamista. Viranomaisille on kaavailtu laiminlyönneistä sanktio-oikeutta, joka on merkittävä. Suomessa esitetään tietotilinpäätöskäytäntöä, joka on lähinnä hyvä käytännön työkalu raportointivelvollisuuden hoitamiselle. Suomessa raportoitaisiin todennäköisesti joko Tietosuojavaltuutetun toimistolle tai mahdollisesti Viestintävirastolle. Tietosuojavaltuutetun toimiston esittelemä tietotilinpäätösraportti nähdään tehokkaana menetelmänä vastata EU asettamiin tulevaisuuden haasteisiin. Tietotilinpäätös on suunniteltu dynaamiseksi työkaluksi, jonka tavoitteena on tukea organisaation tehokkuutta, vaikuttavuutta ja kilpailukykyä. Raportilla pyritään todentamaan organisaation vastuullista tietojenkäsittelyä, lakien noudattamista, hyvää tietojenkäsittelytapaa sekä hyvää tiedonhallintatapaa, jolla voidaan myös täydentää lakisääteistä tilinpäätöksiin ja toimintakertomuksiin kuuluva raportointia. Sen sisältö vaihtelee organisaation toimialasta ja toiminnan laadusta riippuen ja se tulee ottaa käyttöön siinä laajuudessa, kun sillä arvioidaan olevan positiivisia vaikutuksia organisaation toimintaan. Hyvin tuotettu tietotilinpäätös toimii organisaatiossa suunnittelun ja toiminnan ohjauksen, raportoinnin ja johtamisen tukena sekä kehittämistoimenpiteiden seurannan apuvälineenä. Tietotilinpäätösraportti on myös lisäarvoa tuottava dokumentti, jonka avulla voidaan raportoida organisaation sidosryhmille tietojen käsittelyä koskevia keskeisiä tavoitteita ja tunnuslukuja. Esimerkki tietotilinpäätösraportin sisällöstä (Tietosuojavaltuutetun toimisto, 2012): Mitä tietovarantoja organisaation hallussa on Mikä on organisaation tietoarkkitehtuuri Mikä on organisaation hallussa olevien tietojen laatu ja käytettävyys Mitä menettelytapoja ja periaatteita tietojen käsittelyssä noudatetaan Miten tiedot on suojattu Miten tietojen käyttöä valvotaan Miten rekisteröityjen oikeudet tietojen käsittelyssä toteutetaan 1.9 Varautuminen arviointivaiheessa Keskeisenä varautumiseen liittyvänä toimenpiteenä on systemaattinen seuranta ja raportointi, jossa monitoroidaan organisaatioiden tietoturvallisuuden tilaa tietoturvallisuuden eri osa-alueiden näkökulmista. Seurannan tavoitteena on saada tietoa tietoturvatason kehittymisestä sekä kiinnittää henkilöstön huomio tietoturvallisuuteen osana toiminnan arkea.
12 12 (13) Arviointivaiheessa on hyvä käyttää samaa viitekehystä kuin selvitysvaiheessa, esim. VAHTI 2/2012 ICT-varautumisen vaatimustasot. Arvioinnissa tulisi kiinnittää erityistä huomiota siihen, että varautumiseen liittyvät suunnitelmat ovat ajan tasalla eli ne vastaavat nykyisen toiminnan tarpeita, ja että niiden jalkauttaminen on toteutettu riittävälle tasolle, esim. koulutettu avainhenkilöille ja viety häiriötilanteista toipumisen harjoitteluun saakka. Tietoturvallisuuden riskienarviointi ja varautuminen voidaan jakaa kahteen eri vaiheeseen, akuutteihin toimenpiteisiin kriittisten ja vakavien poikkeamien yhteydessä sekä ennaltaehkäiseviin toimenpiteisiin riskinarvion yhteydessä. Yksinkertaisimmillaan toimintaa voidaan seurata esimerkiksi taulukossa 1 kuvatun tietoturvamatriisin avulla, johon voidaan kerätä joko havaittuja poikkeamia tai mahdollisia uhkia mahdollisimman varhaisessa vaiheessa. Poikkeamien huomioimiseen on suositeltavaa kannustaa koko henkilökuntaa. Tietoturvallisuuden ominaisuuksia ovat tiedon luottamuksellisuus, eheys ja käytettävyys. Tiedon luottamuksellisuuden tavoitteena on, etteivät ulkopuoliset pääse lukemaan salaista tietoa. Tavoitteeseen päästään esimerkiksi salauksen, pääsynvalvonnan, todennuksen, valtuutuksen, fyysisen turvallisuuden ja koulutuksen avulla. Eheydellä taataan, ettei tietoon ei ole tehty luvattomia muutoksia eikä se ole muuttunut satunnaisten virheiden takia. Tiedon eheys varmistetaan varmuuskopioilla, tarkistussummilla ja tietoja korjaavilla koodeilla. Käytettävyydellä varmistetaan, että toimija saa juuri oikean tiedon käyttöönsä sillä hetkellä, kun hänen toimintansa sitä edellyttää. Käytettävyyden huomioiminen on keskeisessä asemassa onnistuneessa tietoturvallisuuden käyttöönotossa. Taulukko 2: Tietoturvamatriisin avulla tunnistetaan tietoturvariskejä Attribuutit Tietoturvallisuuden osa-alueet Tieto Luottamuksellisuus Henkilöstö Hallinnollinen Fyysinen Poikkeama A, Kriittinen. Esim. henkilöstö ei tunne tietoturvapolitiikkaa Käytettävyys Poikkeama B, vakava. Esim. Henkilö saa työpostia, joka ei kuulu hänelle perustuen ammatilliseen rooliin Eheys Poikkeama C, Lievä esim. tilaan, jossa ylläpidetään järjestelmä X käyttäjätunnuksia ja salasanoja, on lukon ovi rikki
13 13 (13) Arviointivaiheen suositukset: Toiminnan arviointi voidaan aloittaa jo toteutusvaiheessa, mutta pääsääntöisesti arviointivaihe tarkoittaa muutoksen jälkeistä tilannetta ja tietoturvan hallintaa nk. jatkuvana toimintatapana Määrittele miten tietoturvallisuuden toteutumista mitataan ja aloita mittareiden systemaattinen seuranta Vertaa saatuja tuloksia tietoturvapolitiikkaan, tietoturvan tavoitteisiin ja käytännön kokemukseen sekä raportoi tuloksista johdolle Reagoi tietoturvapoikkeamiin tietoturvasuunnitelman mukaisesti Arvioi tietoturvainvestointeja ja suhteuta ne tietoturvariskeihin Ennakoi tietoturvariskit jatkuvalla monitoroinnilla - hyödynnä ennakoinnissa sisäisiä tarkastuksia, johdon katselmuksia sekä muut olennaiset tiedot. Toteuta ehkäiseviä ja korjaavia toimenpiteitä Lähdeluettelo Lähteet: KATAKRI II, 2011: KANSALLINEN TURVALLISUUSAUDITOINTIKRITEERISTÖ Puolustusministeriö VAHTI 3/ 2003: Tietoturvallisuuden hallintajärjestelmän arviointisuositus VAHTI 9/ 2006: Käyttövaltuushallinnon periaatteet ja hyvät käytännöt VAHTI 3/ 2007: Tietoturvallisuudella tuloksia - Yleisohje tietoturvallisuuden johtamiseen ja hallintaan VAHTI 2/2010: Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta VAHTI 3/2010 Sisäverkko-ohje VAHTI 2/2011 Johdon tietoturvaopas VAHTI 3/2011 Valtion ICT-hankintojen tietoturvaohje VAHTI 2/2012: ICT-varautumisen vaatimukset VAHTI 3/2012 Teknisen ICT-ympäristön tietoturva-ohje VAHTI 1/2013 Sovelluskehityksen tietoturvaohje VAHTI 2/2013 Toimitilojen tietoturvaohje VAHTI 5/2013 Päätelaitteiden tietoturvaohje Kuntien ICT-varautuminen, esitutkimus. Valtiovarainministeriön julkaisuja 5/ HENKILÖTIETOJEN KÄSITTELYN ULKOISTAMINEN, YHTEISET TIETOJÄRJESTELMÄT, VERKOTTUMINEN JA NIIHIN LIITTYVÄT SOPIMUKSET Tietosuojavaltuutetun toimisto : LAADI TIETOTILINPÄÄTÖS Tietosuojavaltuutetun toimisto.
Laatua ja tehoa toimintaan
Laatua ja tehoa toimintaan Tietoturvallisuus osana laatua Kuntamarkkinat 12.9.2013 Aapo Immonen, Senior Manager, FCG konsultointi Oy 5.9.2013 Page 1 Sisältö Tavoitteet Tietoturvallisuutta ohjaavat tekijät
LisätiedotVihdin kunnan tietoturvapolitiikka
Vihdin kunnan tietoturvapolitiikka Kunnanhallitus 2.3.2015 50, liite 2 Kunnan johtoryhmä 18.11.2014 Tietohallinnon ohjausryhmä (Thor) 24.9.2014 Sisällys 1 Johdanto... 2 2 Mitä tietoturvallisuus on?...
LisätiedotTietoturvapolitiikka
Mäntsälä Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 0.9 2/8 Sisällys 1 Johdanto... 4 2 Mitä tietoturvallisuus on?... 4 2.1 Tietoturvallisuuden hallinta... 5 2.2 Riskienhallinta sekä jatkuvuuden
LisätiedotMuutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen
1 (6) 25.11.2015 Lappeenrannan kaupungin tietoturvapolitiikka 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0
LisätiedotTIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä
TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.
LisätiedotTIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103
TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI Hyväksytty:, asiakohta 28, asiakohta 103 Sisällysluettelo 1. Periaatteet... 3 1.1 Henkilötietojen käsittelyn lainmukaisuus... 3 2. Tietosuojan vastuut ja organisointi...
LisätiedotTietoturvapolitiikka Porvoon Kaupunki
Tietoturvapolitiikka Porvoon Kaupunki 1 Sisältö 1 Johdanto... 3 2 Mitä tietoturvallisuus on?... 4 Tietoturvallisuuden hallinta... 4 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen... 5 3 Tietoturvallisuustavoitteet...
LisätiedotTietoturvapolitiikka
Valtiokonttori Ohje 1 (6) Tietoturvapolitiikka Valtion IT -palvelukeskus Valtiokonttori Ohje 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa...
LisätiedotEspoon kaupunki Tietoturvapolitiikka
Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016
LisätiedotLieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019
Lieksan kaupungin tietoturva- ja 2019 2 (8) Sisällys Johdanto... 3 Käsitteet... 3 Tavoitteet... 5 Toteutus... 5 Organisointi ja vastuut... 6 Riskienhallinta... 7 Seuranta ja valvonta... 7 Dokumentit ja
LisätiedotJYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA
JYVÄSKYLÄN KAUPUNKI Tietohallinto JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA VERSIO 1.0 11.5.2009 SISÄLLYSLUETTELO 1 JOHDANTO... 1 2 KATTAVUUS... 1 3 MITÄ TIETOTURVA ON... 1 4 MIKSI TIETOTURVAA...
LisätiedotSähköi sen pal l tietototurvatason arviointi
Sähköisen palvelun l tietototurvatason arviointi Kirsi Janhunen Arviointia tehdään monesta syystä Itsearviointi Sisäinen arviointi Sisäinen tarkastus Vertaisarviointi Ulkoinen arviointi Lähtökohtana usein
LisätiedotKOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA
KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA 1 S i v u Kokkolan kaupungin tietoturvapolitiikka 1. JOHDANTO Tietojenkäsittely tukee Kokkolan kaupungin palvelujen tuottamista ja palveluiden tehokkuus riippuu
LisätiedotTIETOTURVAPOLITIIKKA
TUUSULAN KUNNANSÄÄDÖSKOKOELMA TIETOTURVAPOLITIIKKA Kunnanhallitus XX.X.2018 XXX Voimaantulopv. X.X.2018 Tuusulan kunta PL60 www.tuusula.fi 04301 Tuusula puh. (09) 87 181 Sisällys 1 Johdanto... 3 2 Mitä
LisätiedotTIETOTURVAPOLITIIKKA
TIETOTURVAPOLITIIKKA Lapin ammattikorkeakoulun rehtori on hyväksynyt tietoturvapolitiikan 18.3.2014. Voimassa toistaiseksi. 2 Sisällysluettelo 1 Yleistä... 3 1.1 Tietoturvallisuuden kolme ulottuvuutta...
LisätiedotVihdin kunnan tietosuoja- ja tietoturvapolitiikka
Vihdin kunnan tietosuoja- ja tietoturvapolitiikka Kunnanhallitus Kunnan johtoryhmä Sisällys 1 Johdanto... 2 2 Mitä tietosuoja ja tietoturvallisuus ovat?... 2 2.1 Tietosuoja on perustuslain suojaamaa yksityisyyden
LisätiedotNurmeksen kaupungin tietoturva- ja tietosuojapolitiikka
1 (5) Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka Sisällys Johdanto... 2 Käsitteet... 2 Tavoitteet... 3 Toteutus... 3 Organisointi ja vastuut... 4 Riskienhallinta... 4 Seuranta ja valvonta...
LisätiedotTietoturvapolitiikka NAANTALIN KAUPUNKI
2016 Tietoturvapolitiikka NAANTALIN KAUPUNKI 1 Sisällysluettelo Johdanto... 2 Tietoturvallisuus... 2 Riskienhallinta... 3 Varautuminen... 3 Vaatimustenmukaisuus ja tavoitteet... 3 Organisointi, roolit
LisätiedotTietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä
Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä FINAS-päivä 22.1.2013 Helsingin Messukeskus Laura Kiviharju Viestintävirasto Viestintäviraston
LisätiedotToimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT
TIETOTURVALLISUUDEN KEHITTÄMINEN Opettaja: Tuija Kyrölä 040-5455465 tuija.kyrola@kolumbus.fi Toimintaohjeistus Tietoturvallisuusohjeistus I-TASO II-TASO III-TASO Ylin johto hyväksyy Konsernihallinto valmistelee
LisätiedotEspoon kaupunki Tietoturvapolitiikka
Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 1.0 ESPOON KAUPUNKI 02070 ESPOON KAUPUNKI WWW.ESPOO.FI ESBO STAD 02070 ESBO STAD WWW.ESBO.FI Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuus...
LisätiedotSovelto Oyj JULKINEN
1 (5) 21.3.2018 JULKINEN :n Vastuu :n toiminnasta on sen ylimmällä johdolla. Yrityksen toiminta ja palvelut ovat suuresti riippuvaisia tietotekniikkapalveluiden saatavuudesta ja niiden turvallisesta toiminnasta.
LisätiedotPilvipalveluiden arvioinnin haasteet
Pilvipalveluiden arvioinnin haasteet Tietoturvallisuus- ja jatkuvuuden hallinnan vaatimukset ICT-hankinnoissa, 12.5.2014 Laura Kiviharju Pilvipalvelut Pilvilaskenta (CloudComputing) tarkoittaa internetissä
LisätiedotLapin yliopiston tietoturvapolitiikka
Lapin yliopiston tietoturvapolitiikka 2016 1 Vahvistettu Lapin yliopiston rehtorin päätöksellä 16.5.2016 Lapin yliopiston tietoturvapolitiikka Sisällysluettelo: 1. Johdanto... 2 2. Tietoturvapolitiikan
LisätiedotICT muutos kunta- ja palvelurakennemuutoksessa. Selvitysvaiheen tehtävät
ICT muutos kunta- ja palvelurakennemuutoksessa Selvitysvaiheen tehtävät Kunta- ja palvelurakennemuutos Selvitysvaiheen tehtävät 1.0. Selvitysvaiheen projektointi Suunnittelu 1.1. Nykytilan kuvaaminen 1.2.
Lisätiedot1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus
1 (6) VALTIMON KUNTA Tietoturva- ja tietosuojapolitiikka Kunnanhallitus 11.6.2018 86 2 (6) Sisällys Johdanto.. 3 Käsitteet.. 3 Tavoitteet 4 Toteutus.. 4 Organisointi ja vastuut.. 4 Riskienhallinta 5 Seuranta
LisätiedotTIETOTURVA- POLITIIKKA
TIETOTURVA- POLITIIKKA Kaupunginhallitus 3.9.2013 216 HAAPAJÄRVEN KAUPUNGIN TIETOTURVAPOLITIIKKA 1. JOHDANTO... 3 2. KATTAVUUS... 3 3. TIETOTURVA... 3 4. TIETOTURVATYÖ... 4 5. ORGANISOINTI JA VASTUUT...
LisätiedotTietoturvavastuut Tampereen yliopistossa
Tietoturvavastuut Tampereen yliopistossa Hyväksytty Tampereen yliopiston Yliopistopalvelujen johtoryhmässä 10.5.2016 Korvaa 18.10.2002 hyväksytyn vastaavan dokumentin. Tulee voimaan hyväksymispäivänä.
LisätiedotKarkkilan kaupungin tietoturvapolitiikka
Karkkilan kaupungin tietoturvapolitiikka Kaupunginhallitus 25.9.2017 Kaupungin johtoryhmä 18.4.2017 Yhteistyöryhmä 7.6.2017 Tietohallinnon ohjausryhmä (Kartio) 13.12.2016 Sisällys 1 Johdanto... 2 2 Mitä
LisätiedotTietoturvapolitiikka. Kunnanhallitus 27.2.2012 42 Tyrnävän kunta
Tietoturvapolitiikka Kunnanhallitus 27.2.2012 42 Tyrnävän kunta 2 SISÄLLYSLUETTELO 1. YLEISTÄ 3 2. POLITIIKAN SOVELTAMINEN JA LAAJUUS 3 3. TIETOTURVAPOLITIIKKA, TAVOITTEET JA PERIAATTEET 4 4. TIETOJEN
LisätiedotPeruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41
Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät
LisätiedotTIETOTURVA- JA TIETOSUOJAPOLITIIKKA
TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty kunnanhallituksessa 20.01.2014 23 1. YLEISTÄ Tietoturva- ja tietosuojapolitiikka asiakirjana sisältää ne periaatteet, toimintatavat, vastuut, toimivallat,
LisätiedotTietoturva- ja tietosuojapolitiikka
HYRYNSALMEN KUNTA Tietoturva- ja tietosuojapolitiikka voimassa 1.9.2018 alkaen luonnos 9.8.2018 Hyrynsalmen kunta Tietoturva- ja tietosuojapolitiikka Sisällysluettelo: 1. Johdanto... 2 2. Tietoturvallisuus...
LisätiedotJoroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta
Joroisten kunnan tietoturvapolitiikka Julkinen Tietoturvapolitiikka Joroisten kunta 8.5.2017 2 (8) Sisällysluettelo 1 Johdanto 3 2 Tietoturvapolitiikan tarkoitus ja tausta 3 3 Keitä tietoturvapolitiikka
LisätiedotEspoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015
Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015 Espoon kaupunki 2015 Tietoturvapolitiikka 1 (7) Yhteenveto Tietoturvapolitiikka on kaupunginhallituksen ja kaupunginjohdon tahdonilmaisu tietoturvan
LisätiedotYliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.
Itä-Suomen yliopiston tietoturvapolitiikan liitteet 1/6 ITÄ-SUOMEN YLIOPISTON TIETOTURVAPOLITIIKAN LIITTEET LIITE 1: Tietoturvallisuuden vastuut ja organisointi Tässä liitteessä kuvataan tietoturvallisuuteen
LisätiedotValtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta
Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta Kimmo Rousku, VAHTI-pääsihteeri, JulkICT-osasto Esitykseni - viisi
LisätiedotPeimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA
Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto 19.6.2018 12 TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Yhtymähallitus 15.5.2018 Yhtymävaltuusto 19.6.2018 SISÄLLYSLUETTELO 1 YLEISTÄ
LisätiedotVersio Rovaniemen koulutuskuntayhtymä Hyväksytty
Tietoturvapolitiikka 1 (6) 26.1.2017 Hyväksytty Vahvistettu hallituksen päätöksellä 26.1.2017 n tietoturvapolitiikka Sisällysluettelo: 1. Johdanto... 2 2. Tietoturvapolitiikan tavoite... 2 2.1. Tietoturvallisuuden
LisätiedotEläketurvakeskuksen tietosuojapolitiikka
Eläketurvakeskus Tietosuojapolitiikka 1 (5) Eläketurvakeskuksen tietosuojapolitiikka Eläketurvakeskus Tietosuojapolitiikka 2 (5) Sisällysluettelo 1 Yleistä... 3 2 Tietosuojatoimintaa ohjaavat tekijät...
LisätiedotPIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA
PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA 2016 Kh 111 31.5.2016 v1.0 19.5.2016, Seija Romo 1. JOHDANTO... 1 2. TIETOTURVAPOLITIIKAN TAVOITE... 1 3. TIETOTURVATOIMINTAA OHJAAVAT TEKIJÄT... 2 4. TIETORISKIEN
LisätiedotTietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.
Tietoturvallisuuden kokonaisvaltainen hallinta 3.12.2015 Heikki O. Penttinen Castilsec Oy Tietoturvallisuuden päätavoitteet organisaatioissa Tietoturvallisuuden oikean tason varmistaminen kokonaisvaltaisesti
LisätiedotRiihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka
Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, 11100 Riihimäki Puh. +358 19 758 5500 Tietoturvapolitiikka Yhtymähallitus 18.4.2018 Sisällysluettelo 1 JOHDANTO... 1 1.1 YLEISTÄ... 1 1.2
LisätiedotKIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA
1 KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA Kunnanhallitus 25.6.2018 2 KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA Sisällys Johdanto... 3 Tietoturvan ja -suojan tavoitteet... 3 Tietoturvan ja suojan periaatteet...
LisätiedotTietoturvapolitiikka
Tietoturvapolitiikka Toivakan kunta Tietoturvapolitiikan käsittely: Tarkastettu Hallintojohtaja 8.2.2018 Hyväksytty Kunnanhallitus 12.2.2018 Tietoturvapolitiikan muutokset: Tekijä / päiväys Kohta Muutoksen
LisätiedotVIRTU ja tietoturvatasot
1 VIRTU ja tietoturvatasot VIRTU/HAKA seminaari 3.2.2010 Erja Kinnunen VK/VIP VIPin palvelut Tietoturvallisuuden viitekehys valtionhallinnossa Ei tietoturvallisuutta koskevaa erillislakia Valtioneuvoston
LisätiedotTyöpaja 3: ICT-tuen jatkovaihe tavoitetila ja kehittämiskohteet
Työpaja 3: ICT-tuen jatkovaihe tavoitetila ja kehittämiskohteet Työpaja 3 : ICT tuen jatkovaihe tavoitetila ja kehittämiskohteet Ohjelma klo 13.30 15.15 Porin seudun ICT-ympäristön nykytilan tulosten esittely
LisätiedotToimitilojen tietoturva
Toimitilojen tietoturva Toimitilakonseptikoulutus Tuija Lehtinen 18.2.2014 Toimitilaturvallisuus Tarkoittaa toimitilojen fyysistä suojaamista, jonka avulla pyritään turvaamaan organisaation häiriötön toiminta
LisätiedotRÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx
1 RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty: Rääkkylä kunnanhallitus XXXxxx DOKUMENTIN VERSIOTIEDOT Versio Pvm Muutosten kuvaus Tekijä 1 21.3.2018 Tietosuojaryhmä käsitellyt Raita
LisätiedotPOLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA
POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty: DOKUMENTIN VERSIOTIEDOT Versio Pvm Muutosten kuvaus Tekijä 20.4.2018 Päivitetty Helena Kaasinen 03.05.2018 Tietosuojaryhmän käsittely
LisätiedotSuomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!
1(16) Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn! Arvoisa vastaaja, Tällä kyselyllä selvitetään Suomen kuntien tieto- ja kyberturvallisuuden
LisätiedotKokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana
Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana Terveydenhuollon Atk-päivät Tampere-talo 26.5.2010 Antti-Olli Taipale Tietohallintojohtaja Päijät-Hämeen sosiaali- ja terveysyhtymä
LisätiedotSISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE
SM050:00/2011 1 (6) Viite: SM:n tietoturvallisuuden ohjausryhmän asettamispäätös SISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE 2011-2013 Tausta Valtioneuvosto
LisätiedotVastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)
Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen 2012 2014 (pohjaehdotus) Arviointilomakkeiden tarkoitus Kunkin vastuualueen ja tulosyksikön sisäisen valvonnan
LisätiedotHELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa
HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1 Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet
LisätiedotPolitiikka: Tietosuoja Sivu 1/5
Politiikka: Tietosuoja Sivu 1/5 Tietosuojapolitiikka Sisällysluettelo 1. Tarkoitus... 2 2. Vastuut... 2 3. Tavoitteet ja määritelmät... 3 4. Luottamuksellisen tiedon käsittely... 4 4.1. Tiedon luokittelu...
LisätiedotTIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa
1 TAMPEREEN IT-YHTEISTYÖALUEEN SEURAKUNTIEN TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa 13.3.2013 2 Sisällys 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus IT-alueella...
LisätiedotJatkuvuuden varmistaminen
Jatkuvuuden varmistaminen kriittisessä ympäristössä SADe-ohjelman tietosuoja- ja tietoturvailtapäivä 26.11.2014 Aku Hilve http: ://www.capitolhillblue.com/node/47903/060413internet 2 Varautumisella ymmärretään
LisätiedotLuotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus
Nykytila-arvio toiminnan osa-alueesta Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus Trust, Quality & Progress on tehokas tapa tietää enemmän Oletko tietoinen organisaationne tietohallinnon, tietoturvallisuuden,
LisätiedotTIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA
TIETOTILINPÄÄTÖSSEMINAARI 31.1.2013 TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA Reijo Aarnio tietosuojavaltuutettu Tietosuojavaltuutetun toimisto KEHITYSKULKUJA TIETOYHTEISKUNTA TEKNOLOGIA
LisätiedotTERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA
TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA Hyväksytty: Hämeenkyrön lautakunta 2.11.2011 Tarkastettu 29.4.2014 OK 1. JOHDANTO Tietojenkäsittely tukee Hämeenkyrön kunnan / n terveydenhuollon toimintayksikön
LisätiedotTOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI
TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI SELONTEKO EU:N TIETOSUOJA-ASETUS GDPR:N VAATIMUSTEN TOTEUTTAMISTAVOISTA ITPOINT OY:SSA ITpoint Oy toimittaa asiakkaansa
LisätiedotJYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA
JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA 2014 SISÄLLYSLUETTELO 1 JOHDANTO... 1 2 KATTAVUUS... 1 3 MITÄ TIETOTURVA ON... 1 4 MIKSI TIETOTURVAA... 1 5 TIETOTURVA JA LAATU... 2 6 TIETOTURVAN KEHITTÄMINEN...
LisätiedotTiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa
Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa neuvotteleva virkamies Mikael Kiviniemi VAHTIn pj, DI Hallinnon kehittämisosasto Valtiovarainministeriön tehtäviä Hallinnon rakenteiden ja ohjausjärjestelmien
LisätiedotTIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA
TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TOIMITILAPÄIVÄ 21.3.2013 Johtava asiantuntija Fyysinen turvallisuus ja varautuminen Marko Kalliokoski Verohallinto 020 612 5192 etunimi.sukunimi@vero.fi
LisätiedotVirtu tietoturvallisuus. Virtu seminaari 18.3.2014
Virtu tietoturvallisuus Virtu seminaari 18.3.2014 Sisältö Virtu edistää tietoturvallisuutta Tietoturvallisuus Valtorin palveluissa Tietoturvavaatimukset luottamusverkostoon liityttäessä 2 Kertakirjautuminen
LisätiedotTietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto
Tietoturvapolitiikka Tietoturvakäytännön toimintaperiaatteet ja ohjeisto 25.1.2011 Sisällysluettelo TIETOTURVAPOLITIIKKA... 3 1 Johdanto... 3 1.1 Yleistä... 3 1.2 Tavoite... 3 1.3 Vaatimuksenmukaisuus...
LisätiedotValtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020
Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020 Sisällys Valtiontalouden tarkastusviraston tietoturvapolitiikka... 2 1 Johdanto... 3 2 Vastuut... 3 2.1 Tarkastusviraston
LisätiedotLappeenrannan kaupungin tietoturvaperiaatteet 2016
1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015
LisätiedotJohtokunta 7.12.2009 193. Tietoturva- ja tietosuojapolitiikka
Johtokunta 7.12.2009 193 Tietoturva- ja tietosuojapolitiikka Sisällys: 1. Johdanto 3 2. Tietoturvapolitiikan tavoitteet ja toteutuksen periaatteet 4 3. Tietosuojapolitiikan tavoitteet ja toteutuksen periaatteet
LisätiedotTietoturvapolitiikka. Hattulan kunta
Tietoturvapolitiikka Hattulan kunta Versio 1.0 Muutoshistoria: Versio Tekijä Sisältö Hyväksytty 1.0 Kuntien Tiera Oy Hattulan kunnan tietoturvapolitiikka 11.5.2015 Hattulan kunta Pappilanniementie 9 www.hattula.fi
LisätiedotTietosuoja henkilöstön rekrytoinnissa
Tietosuoja henkilöstön rekrytoinnissa 1 Tietosuoja ja hyvä tiedonhallintatapa 2 Henkilöstön palvelussuhdeasiat - viran-/toimenhakua koskevien tietojen käsittely ja säilytys Kuntarekrypäivä 9.10.2013, klo
LisätiedotJulkisen hallinnon kokonaisarkkitehtuurijaoston työsuunnitelma 2014
Suunnitelma Valtiovarainministeriö/Julkisen hallinnon ICT - toiminto/vaatimukset ja suositukset JHKA-sihteeristö 22.1.2014 Julkisen hallinnon kokonaisarkkitehtuurijaoston työsuunnitelma 2014 Julkisen hallinnon
LisätiedotViestintäviraston tietoturvapolitiikka
Ohje 1 (7) Juha Salpakari 13.09.2017 Riskienhallinta Viestintäviraston tietoturvapolitiikka 2017- 2 (7) Sisältö 1 Visio tietoturvallisuudesta Viestintävirastossa... 3 2 Tietoturvapolitiikka ja sen velvoittavuus...
LisätiedotTIETOSUOJAPOLITIIKKA
TIETOSUOJAPOLITIIKKA 1 Sisällys 1 Johdanto... 3 2. Tietosuojatoimintaa ohjaavat tekijät... 4 3. Tietojen hankinta ja käsittely... 5 4. Rekisteröidyn oikeudet... 6 5. Rekisterinpitäjän oikeudet ja velvollisuudet...
LisätiedotTietotilinpäätös osoitusvelvollisuuden toteuttamisessa
Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa Esitys perustuu Kati Suojasen ja Minna Järvisen kehittämistyöhön Tietotilinpäätös sen prosessit, toimijat ja rakenne vuodelta 2018 Juhta/VAHTI työpaja
LisätiedotOulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA
Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA Johdanto Tiedon käsittely on oleellinen osa Oulunkaaren kuntayhtymän toimintaa ja palveluiden tuottamista. Tietojenkäsittelyn tehokkuus ja virheettömyys ovat
LisätiedotTietosuoja- ja tietoturvapolitiikka
Tietosuoja- ja tietoturvapolitiikka Johtoryhmä 13.3.2012 Johtoryhmä 10.4.2012 Yhtymähallitus 24.4.2012 2 (8) Versiohistoria: Versio Pvm: Laatija: Kommentit: 0.1 24.2.2011 Navicre Oy Katselmoitavaksi 0.2
LisätiedotLAADI TIETOTILINPÄÄTÖS
TIETOSUOJAVALTUUTETUN TOIMISTO LAADI TIETOTILINPÄÄTÖS 24.4.2012 www.tietosuoja.fi SISÄLTÖ 1. MIKÄ ON TIETOTILINPÄÄTÖS 2. MIKSI TIETOTILINPÄÄTÖS KANNATTAA TEHDÄ 2.1. Tietotilinpäätös luottamuksen rakentajana
Lisätiedot1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi
Nimeämispyyntö 1 (2) VM/2155/00.01.00.01/2016 Liite 1 Liite 2 25.01.2017 Julkinen JulkICT Kimmo Rousku Nimeämispyyntö Julkisen hallinnon digitaalisen turvallisuuden johtoryhmän sihteeristöön (VAHTIsihteeristö)
LisätiedotIF-INFO MEKLAREILLE
If IF-INFO MEKLAREILLE 20.3.2018 IF-INFO MEKLAREILLE Mitä If järjestää Skype-palavereja, joiden aiheisiin meklarit vaikuttavat Ifissä on paljon asiantuntemusta, joka saadaan näin tehokkaasti esille Toimii
LisätiedotTietoturva ja viestintä
Tietoturva ja viestintä 3.11.2015 1 Uhkakuvat muuttuvat - mitä teemme? Ihmisestä tallentuu joka päivä tietoa mitä erilaisimpiin paikkoihin - valtion, kuntien ja yritysten ylläpitämiin rekistereihin. Joka
LisätiedotTietoturvallisuuden hallintajärjestelmä pähkinänkuoressa
Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Valtorin tietoturvaseminaari 2.4.2014 Pekka Ristimäki Johtava asiantuntija, CISM, CISSP, CRISC Valtori / Tietoturvapalvelut Mikä on hallintajärjestelmä?
LisätiedotLuonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta
Luo / Muokkaa Lähetä Lausunnonantajat Yhteenveto Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta Johdanto Kommentit ja huomiot - Johdanto Tiivistäisin alkuun jatkuvuuden määritelmän esim. seuraavasti:
LisätiedotTietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1
Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin 12.12.2011 A-P Ollila 1 Taustaa Tiedon merkitys yhteiskunnassa ja viranomaisten toiminnassa korostuu kaiken aikaa. Viranomaisten
LisätiedotLiite 2 : RAFAELA -aineiston elinkaaren hallinta
RAFAELA-hoitoisuusluokitus-jär je 1 Liite 2 : RAFAELA -aineiston elinkaaren hallinta Ohje: Lomake täytetään Tilaajan toimesta ja palautetaan Toimittajalle käyttöoikeussopimuksen mukana. 1. Aineiston omistajuus
LisätiedotValtioneuvoston asetus
Valtioneuvoston asetus julkisen hallinnon turvallisuusverkkotoiminnasta Valtioneuvoston päätöksen mukaisesti säädetään julkisen hallinnon turvallisuusverkkotoiminnasta annetun lain (10/2015) nojalla: 1
LisätiedotTietoturvapolitiikka
Tietoturvapolitiikka Varkauden kaupunki 2 (9) Sisällysluettelo 1 Johdanto... 3 2 Tietoturvapolitiikan tarkoitus ja tausta... 3 3 Keitä tietoturvapolitiikka koskee... 3 4 Tietoturvallisuus... 3 5 Kokonaisturvallisuus...
LisätiedotUtajärven kunta TIETOTURVAPOLITIIKKA
Utajärven kunta TIETOTURVAPOLITIIKKA Johdanto Tiedon käsittely on oleellinen osa Utajärven kunnan toimintaa ja palveluiden tuottamista. Tietojenkäsittelyn tehokkuus ja virheettömyys ovat keskeisiä tekijöitä
LisätiedotKunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka
Kunnanvaltuusto: 17.12.2018 Kunnanhallitus: 10.12.2018 183 Pyhännän kunnan tietoturvapolitiikka SISÄLTÖ 1. Johdanto 2. Tietoturvapolitiikan tarkoitus ja tausta 3. Keitä tietoturvapolitiikka koskee 4. Tietoturvallisuus
Lisätiedot1.2 Mahdollista joustava muutos suojaustasolta toiselle tilanteen mukaan myös ylöspäin
VNK Lausunto 04.09.2018 VNK/1263/03/2018 Asia: VM/275/00.01.00.01/2018 Julkisen hallinnon tietoliikennepalvelulinjaukset Yhteenveto Linjausten tarkoitus ja kohdealue Tietoliikennepalvelulinjaukset Käytettävyys,
LisätiedotKäytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.
TIETOSUOJAPOLITIIKKA Flowbox Oy 27.01.2017 / v2 YLEISTÄ Tietoturva- ja tietosuojapolitiikka määrittelee ne periaatteet, vastuut, toimintatavat sekä seurannan ja valvonnan, joita Flowbox Oy noudattaa tietoturvan
LisätiedotTietoturvapolitiikka
Tietoturvapolitiikka 22.5.2018 2(8) Sisällys 1. Visio... 3 2. Yleistä... 3 3. Käytännöt... 4 4. Rikkomukset ja seuraamukset... 6 5. Vastuut ja organisointi... 6 6. Ohjehierarkia, päätöksenteko ja viestintä...
Lisätiedotmuutostuki Kuntauudistuksen muutostukiohjelma
Kunta- ja palvelurakennemuutosten ICT muutostuki Muutostuen sisältö ja toimintamalli 6.10.2013 Kuntauudistuksen muutostukiohjelma Hallituksen 5.6.2012 linjausten mukaisesti kunnille käynnistetään kuntauudistukseen
LisätiedotYritysturvallisuuden johtamisen arviointi
Yritysturvallisuuden johtamisen arviointi Kiwa Rima Kiwa Inspecta Trust, Quality & Progress Mitä hyvä yritysturvallisuuden johtaminen on? Turvallisuuden johtaminen on tavoitteellista ja liiketoimintaa
LisätiedotAloite Onko asioiden esittämistapa riittävän selkeä ja kieleltään ymmärrettävä?
Aloite 08.02.2017 1 (3) VVC VM036:00/2015 Lausunto luonnoksesta valtion riskienhallintopolitiikkamalliksi Yleistä Onko aineistokokonaisuus, jossa on riskienhallinnan järjestämistä koskevia ohjeita,
LisätiedotUudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan
Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan 10.12.2015 Hannele Kerola Lainsäädäntöneuvos Pääministeri Juha Sipilän hallituksen strateginen
Lisätiedot1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016
1 (9) Rauman kaupunki Tietoturvapolitiikka Kaupunginhallitus hyväksynyt 30.5.2016, KH 274, RAU/522/07.03.00/2016 2 (9) Sisällys 1. Johdanto... 3 2. Tietoturvapolitiikan tarkoitus... 3 3. Ketä tämä tietoturvapolitiikka
LisätiedotKuopion kaupunki Dnro 3720/2018 Elinvoima- ja konsernipalvelu Tietohallinto
13.8.2018 1 (10) Laatimispäivä 13.08.2018 Laatijat Tietoturva- ja tietosuojaryhmä Versio 1.0 Hyväksytty Kaupunginjohtajan johtoryhmä 25.09.2018 Kaupunginhallitus 19.11.2018 Postiosoite PL 228, 70101 KUOPIO
Lisätiedot