JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Transkriptio

1 JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA 2014

2 SISÄLLYSLUETTELO 1 JOHDANTO KATTAVUUS MITÄ TIETOTURVA ON MIKSI TIETOTURVAA TIETOTURVA JA LAATU TIETOTURVAN KEHITTÄMINEN FYYSINEN TURVALLISUUS TIETOJEN LUOTTAMUKSELLISUUS TIETOJÄRJESTELMÄT, SÄHKÖPOSTI JA INTERNETIN KÄYTTÖ TIETOTURVAOHJEET TIETOTURVA JA VASTUUT TIETOTURVAN VALVONTA TIETOTURVA JA YHTEISTYÖ POIKKEUSMENETTELY HYVÄKSYMISMENETTELY... 5 LIITE 1. TIETOTURVAAN LIITTYVÄÄ LAINSÄÄDÄNTÖÄ JA OHJEITA

3 1 1 JOHDANTO Tässä dokumentissa määritellään Jyväskylän kaupunkikonsernin tietoturvapolitiikka. Tietoturvapolitiikassa määritellään ne periaatteet ja vastuut, joita Jyväskylän kaupunkikonsernissa noudatetaan tietoturvan kehittämisessä, ylläpidossa sekä valvonnassa. Tietoturvapolitiikkaa täydentävät yksityiskohtaisemmat tietoturvastandardit ja ohjeet määritellään erikseen. 2 KATTAVUUS Jokaisen Jyväskylän kaupunkikonsernin viranhaltijan, työntekijän ja luottamushenkilön sekä muun kaupunkikonsernin tietojen ja tietojärjestelmien käyttäjän on tunnettava tämä tietoturvapolitiikka ja noudatettava sen perusteella annettuja ohjeita ja määräyksiä. 3 MITÄ TIETOTURVA ON Tietoturvan tarkoituksena on osaltaan varmistaa Jyväskylän kaupunkikonsernin kyky tarjota palveluita kaupunkilaisille sekä sidosryhmille, vähentää toiminnalle aiheutuvat vahingot estämällä ja minimoimalla tietoturvaan liittyvien tapahtumien vaikutus sekä suojata asianmukaisesti tiedot, tietojärjestelmät ja palvelut. Jyväskylän kaupunkikonsernin tietoturvaperiaatteet perustuvat tietoturvan kolmeen osatekijään: Luottamuksellisuus eli arkaluontoisen informaation suojaaminen luvattomalta paljastumiselta ja salakuuntelulta Eheys eli informaation ja tietokoneohjelmien oikeellisuuden, täydellisyyden ja muuttumattomuuden suojaaminen Käytettävyys eli informaation ja oleellisten tärkeiden palveluiden käytettävyyden varmistaminen. Tietoturvaperiaatteet ovat osa kokonaisarkkitehtuuria. Kokonaisarkkitehtuurin tietoturvaperiaatteet tarkentuvat tietoturvadokumentissa. 4 MIKSI TIETOTURVAA Tieto ja tietojärjestelmät ovat tärkeitä Jyväskylän kaupunkikonsernin voimavaroja. Tietoturvan avulla Jyväskylän kaupunkikonserni ylläpitää ja tarjoaa kaupunkilaisille ja muille sidosryhmille entistä parempaa palvelua ja varmistaa lakien, asetuksien ja säädöksien mukaisen toiminnan. Tietoturvan tavoitteena on Jyväskylän kaupunkikonsernin toimintaan liittyvien tärkeiden tietojen turvaaminen ja niiden luottamuksellisuuden, oikeellisuuden sekä

4 ajantasaisuuden varmistaminen. Lisäksi tietoturvalla varmistetaan toiminnan jatkuvuus kaikissa olosuhteissa. 2 Jyväskylän kaupunkikonsernin tietoturvapolitiikan avulla osoitetaan kaupunkilaisille, yhteistyökumppaneille sekä sidosryhmille, että kaupunkikonsernin hallussa olevia tietoja käsitellään kaikissa vaiheissa asianmukaisesti. 5 TIETOTURVA JA LAATU Jyväskylän kaupunkikonsernin kaikissa toiminnoissa kiinnitetään huomiota siihen, että palvelut ja päivittäinen toiminta täyttävät myös tietoturvan osalta riittävät laatukriteerit. Tietoturvan huomioon ottaminen kaikissa tilanteissa vähentää häiriöiden ja virheiden määrää. Näin vaikutetaan myönteisesti sisäiseen työympäristöön, asiakassuhteisiin ja työn tuottavuuteen. 6 TIETOTURVAN KEHITTÄMINEN Jyväskylän kaupunkikonsernin tietojärjestelmien kehittämisen tavoitteena on hyvän tietojenkäsittelytavan ja turvallisuustason luominen ja ylläpito sekä tietojen turvaaminen niihin kohdistuvilta uhkilta ja riskeiltä. Jyväskylän kaupunkikonserni ylläpitää ja kehittää järjestelmällisesti koko henkilöstön tietoturvan tietämystä ja osaamista tiedottamalla ja kouluttamalla. Tietoturvan ylläpitoon ja kehittämiseen osallistuu koko henkilöstö. Kaikki tietoturvaan liittyvät väärinkäytökset ja epäkohdat raportoidaan Jyväskylän kaupunkikonsernin tietoturvasta vastaavalle henkilölle. Tietoturva on osa Jyväskylän kaupunkikonsernin riskienhallintaa, jonka avulla toimintaan kohdistuvia tietoturvariskejä kartoitetaan sekä analysoidaan järjestelmällisesti. Näin määritellään ne periaatteet ja toimintamallit, joilla tietoturvan korkea taso saadaan varmistettua. Jyväskylän kaupunkikonserni ylläpitää ja kehittää yhteistyötä sidosryhmien kanssa tietoturvan osalta sekä seuraa tietoturvaan liittyvää alan kehitystä sekä hyödyntää uutta tietoa toiminnan kehittämiseksi. 7 FYYSINEN TURVALLISUUS Fyysinen turvallisuus ja toimitilojen kulunvalvonnasta huolehtiminen ovat merkittäviä tekijöitä tietoturvan kannalta. Jyväskylän kaupunkikonsernissa huolehditaan isännänvelvollisuuksista vierailujen yhteydessä ja estetään asiattomien henkilöiden liikkuminen konsernin tiloissa. Jyväskylän kaupunkikonserni on valmistautunut myös ympäristötekijöiden aiheuttamiin häiriötekijöihin. Jyväskylän kaupunkikonsernissa käytetään fyysisen turvallisuuden takaamiseksi automaattisia, tietoteknisiä turvallisuus- ja valvontaratkaisuja.

5 3 8 TIETOJEN LUOTTAMUKSELLISUUS Tietojärjestelmissä olevan tiedon käytettävyyden perusajatuksena on, että tiedot ovat oikeita ja ajantasaisia, ja ne ovat niiden käytettävissä, joilla on niihin oikeudet. Tämän vuoksi tiedot luokitellaan, käsitellään sovittujen sääntöjen mukaisesti ja varmistetaan säännöllisesti. Toiminnan jatkuvuus varmistetaan huolellisella suunnittelulla. Lisäksi kaupunkikonsernin sisällä on tietojen käyttöoikeus rajattu tiukasti kunkin henkilön tehtävän mukaisesti. Jokaisen Jyväskylän kaupunkikonsernin viranhaltijan, työntekijän ja luottamushenkilön on muistettava, että hänellä voi olla hallussaan tietoa, jonka joutuminen ulkopuolisten käsiin voi olla vahingollista. Tämän takia jokaisen tulee käsitellä hallussaan olevia tietoja niin, ettei vahinkoa pääse sattumaan. Jokaisen on myös muistettava, ettei työhön tai Jyväskylän kaupunkikonserniin liittyvistä luottamuksellisista asioista pidä keskustella ulkopuolisten kuullen. Jokainen Jyväskylän kaupunkikonsernin viranhaltija, työntekijä ja luottamushenkilö sitoutuu luottamuksellisuuteen sovellettavan lainsäädännön mukaisesti. 9 TIETOJÄRJESTELMÄT, SÄHKÖPOSTI JA INTERNETIN KÄYTTÖ Jyväskylän kaupunkikonsernin tietojärjestelmät, tietoverkko ja sähköpostijärjestelmä on tarkoitettu työtehtävien hoitamiseen. Konsernin tietojärjestelmiä, tietoverkkoa tai sähköpostijärjestelmää ei saa käyttää yksityisten liikeasioiden hoitamiseen. Jokainen Jyväskylän kaupunkikonsernin sähköpostijärjestelmän käyttäjä on vastuussa siitä, miten ja mihin hän sähköpostia käyttää. Sähköpostin avulla luottamuksellisten tietojen lähettäminen ilman Jyväskylän kaupunkikonsernin standardin mukaista salausta on kielletty. Sähköpostin ja tietoverkon käsittelyyn sovelletaan teletoiminnan tietosuojalain mukaisia käsittelysääntöjä. Sähköpostia käsitellään kirjesalaisuuden perusperiaatteiden mukaisesti. Sähköpostin ja tietoverkon käyttöön liittyviä lokitietoja käytetään vain virhetilanteiden tai tietoturvaan liittyvien väärinkäytösten selvittämiseen. Sähköpostin ja tietoverkon käyttöön liittyvien lokitietojen käyttö muuhun tarkoitukseen edellyttää Jyväskylän kaupungin tietoturvan vastuuhenkilön kirjallisen hyväksynnän. 10 TIETOTURVAOHJEET Jyväskylän kaupunginhallituksen hyväksymässä tietoturvapolitiikassa sekä tietoturvan työryhmän hyväksymissä tietoturva-standardeissa ja ohjeissa kuvataan ne toimintaperiaatteet ja tavat, joita kaupunkikonsernissa noudatetaan tietoturvaan liittyvissä asioissa. Näitä tulee jokaisen Jyväskylän kaupunkikonsernin viranhaltijan, työntekijän ja luottamushenkilön tai Jyväskylän kaupunkikonsernissa työtä tekevän noudattaa. Korkeatasoisen tietoturvan takaamiseksi jokaisen on huolehdittava osaltaan tietoturvasta.

6 4 11 TIETOTURVA JA VASTUUT Jyväskylän kaupunkikonsernin tietoturvaorganisaatio koostuu Jyväskylän kaupunkikonsernin tietoturvan vastuuhenkilöstä, tietoturvan työryhmästä sekä tytäryhtiöiden, liikelaitosten ja eri palvelukokonaisuuksien tietoturvan vastuuhenkilöistä. Jyväskylän kaupunkikonsernin tietoturvan toteutumisesta vastaa konserninlaajuisesti kaupunkikonsernin johto. Jyväskylän kaupunkikonsernin tietoturvan vastuuhenkilö vastaa konserninlaajuisesti tietoturvaan liittyvien asioiden kehittämisestä, ohjeistamisesta, tiedottamisesta, toteutuksen valvonnasta yhdessä tietoturvan työryhmän kanssa. Tietoturvan työryhmä koostuu tytäryhtiöiden, liikelaitosten ja eri palvelukokonaisuuksien tietoturvasta vastaavista henkilöistä ja sisäisen tarkastuksen edustajasta. Työryhmä valmistelee tietoturvallisuuden linjaukset, arvioi tietoturvaan liittyvät poikkeustilanteet ja niiden jatkotoimenpiteet sekä konsernin toimintaan liittyvät riskit. Tytäryhtiöiden, liikelaitosten ja palvelukokonaisuuksien johto yhteistyössä tietoturvan vastuuhenkilöiden kanssa vastaa tietoturvaan liittyvien asioiden kehittämisestä, ohjeistamisesta, tiedottamisesta ja valvonnasta omalla vastuualueella konsernin tietoturvapolitiikan mukaisesti. Johto ja tietoturvan vastuuhenkilöt vastaavat myös heidän tietoonsa tulleiden tietoturvaan liittyvien uhkien ja poikkeamien raportoinnista Jyväskylän kaupunkikonsernin tietoturvan vastuuhenkilölle. Jokaiselle tietojärjestelmälle määritellään omistaja sekä järjestelmävastuussa oleva palvelukokonaisuus/yksikkö. Tietohallinto vastaa Jyväskylän kaupunkikonsernin eri tietojärjestelmäympäristöissä teknisen turvallisuuden arvioinnista, ylläpidosta ja toteutumisesta. Jokainen Jyväskylän kaupunkikonsernin viranhaltija, työntekijä ja luottamushenkilö vastaa tietoturvan toteuttamisesta sekä tietoturvaohjeiden noudattamisesta. Edelleen jokainen henkilö on velvollinen tietoturvaan liittyvien uhkien ja poikkeamien raportoimisesta esimiehelleen, oman palvelukokonaisuuden tietoturvan vastuuhenkilölle tai Jyväskylän kaupunkikonsernin tietoturvan vastuuhenkilölle. Kaupunginjohtaja asettaa tietoturvan työryhmän ja samassa yhteydessä nimeää kaupunkikonsernin tietoturvan vastuuhenkilön. Lautakunnat, johtokunnat ja tytäryhtiöiden hallitukset nimeävät palvelukokonaisuuksien, liikelaitosten ja tytäryhtiöiden tietoturvan vastuuhenkilöt.

7 5 12 TIETOTURVAN VALVONTA Tietoturvan toteutuminen edellyttää myös tehokasta valvontaa ja ohjausta. Tietoturvaan liittyvästä valvonnasta vastaa konsernitasolla Jyväskylän kaupunkikonsernin johto yhteistyössä tietoturvan vastuuhenkilön kanssa. Tytäryhtiössä, liikelaitoksessa ja palvelukokonaisuudessa tietoturvan valvonnasta vastaa johto ja tietoturvan vastuuhenkilö. Tietohallinto vastaa tekniseen tietoturvaan liittyvästä tietoturvan valvonnasta konsernin tietojärjestelmäympäristöissä. Tietoturvan varmistaminen edellyttää myös jatkuvaa seurantaa ja kehittämistä. Tätä varten Jyväskylän kaupunkikonsernin tietoturvaohjeistus ja käytännöt arvioidaan säännöllisesti ja tarvittavat muutokset otetaan käyttöön välittömästi. 13 TIETOTURVA JA YHTEISTYÖ Jyväskylän kaupunkikonsernin tietoturva riippuu myös kaikista ulkopuolisista käyttäjistä. Kaikki sidosryhmät, toimittajat ja muut Jyväskylän kaupunkikonsernin ulkopuoliset tahot, joilla on pääsy konsernin tietojärjestelmiin ja niiden sisältämiin tietoihin, sitoutuvat noudattamaan Jyväskylän kaupunkikonsernin tietoturvapolitiikkaa, standardeja sekä ohjeita. 14 POIKKEUSMENETTELY Poikkeusluvan Jyväskylän kaupunkikonsernin tietoturvapolitiikassa, standardeissa ja ohjeissa kuvattuihin menettelytapoihin myöntää Jyväskylän kaupunginhallitus. 15 HYVÄKSYMISMENETTELY Jyväskylän kaupunkikonsernin tietoturvaa koskevan politiikan sekä siihen kohdistuvat muutokset hyväksyy Jyväskylän kaupunginhallitus. Tietoturvastandardit sekä tietoturvaohjeet ja niitä koskevat muutokset hyväksyy tietototurvan työryhmä.

8 6 LIITE 1 TIETOTURVAAN LIITTYVÄÄ LAINSÄÄDÄNTÖÄ JA OHJEITA Arkistolaki (831/1994) Asetus viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999) Hallintolaki (434/2003) Henkilötietolaki (523/1999) Julkisuus ja tietosuoja opetustoimessa (opas koulujen ja oppilaitosten käyttöön 2013:7) Kansanterveyslaki (66/1972) Kuntalaki (365/1995) Laki julkisista hankinnoista (348/2007) Laki kansainvälisistä tietoturvavelvoitteista (588/2004) Laki kunnallisesta viranhaltijasta (304/2003) Laki potilaan asemasta ja oikeuksista (785/1992) Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000) Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) Laki sosiaali- ja terveydenhuollon palvelusetelistä (569/2009) Laki sähköisistä allekirjoituksista (14/2003) Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003) Laki sähköisestä lääkemääräyksestä (61/2007) Laki terveydenhuollon ammattihenkilöstä (559/1994) Laki yksityisyyden suojasta työelämässä (759/2004) Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) Laki viranomaisen toiminnan julkisuudesta (621/1999) Laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista (661/2009) Lukiolaki (629/1998) Perustuslaki (731/1999) Perusopetuslaki (628/1998) Rikoslaki (39/1889) Sosiaalihuoltolaki(710/1982) Sosiaali- ja terveysministeriön asetus potilasasiakirjoista (298/2009) Sähköisen viestinnän tietosuojalaki (516/2004) Tekijänoikeuslaki (4040/1961) Terveydenhuoltolaki (1326/2010) Tietosuovaltuutetun toimiston ohjeet ja kannanotot Työsopimuslaki (55/2001) Valmiuslaki (1080/1991) Viestintämarkkinalaki (393/2003)