Johtokunta Tietoturva- ja tietosuojapolitiikka

Transkriptio

1 Johtokunta Tietoturva- ja tietosuojapolitiikka

2 Sisällys: 1. Johdanto 3 2. Tietoturvapolitiikan tavoitteet ja toteutuksen periaatteet 4 3. Tietosuojapolitiikan tavoitteet ja toteutuksen periaatteet 5 4. Organisaatio ja vastuut 6 5. Tietoturvallisuuden seuranta ja ongelmatilanteiden käsittely 7

3 1. JOHDANTO Tietoturva- ja tietosuojapolitiikka asiakirjana sisältää Suupohjan peruspalveluliikelaitoskuntayhtymän mainitun alueen toimintaperiaatteet. Yksityiskohtaisemmat ohjeet sisältyvät Henkilöstön tietoturvaohjeisiin. Lisäksi kussakin yksikössä voi olla toiminnan erityisluonteesta johtuen yleisiä tietoturvaohjeita koskevia lisäyksiä ja täsmennyksiä, joita tulee noudattaa esimiehen ohjeiden mukaisesti. Tätä politiikkaa ja sen pohjalta laadittuja tietoturvaohjeita sovelletaan Suupohjan peruspalveluliikelaitoskuntayhtymän kaikissa toiminnoissa ja toimipaikoissa. Liikelaitoskuntayhtymän johto ja koko henkilöstö ovat sitoutuneet tietoturvalliseen toimintaan ja toimii tässä asiakirjassa julkaistujen periaatteiden mukaisesti. Tietoturva- ja tietosuojapolitiikka on voimassa toistaiseksi ja voimassaolo jatkuu, ellei sitä nimenomaisesti kumota. Tietoturva- ja tietosuojapolitiikasta voidaan tarvittaessa julkaista uusi versio, joka korvaa tämän asiakirjan julkaisuhetkellä. Tietoturva- ja tietosuojapolitiikka sekä Henkilöstön tietoturvaohjeet ovat asiakirjoina julkisia ja saatavissa sekä liikelaitoskuntayhtymän ulkoisilta että sisäisiltä verkkosivuilta. 3

4 2. TIETOTURVAPOLITIIKAN TAVOITTEET JA TOTEUTUK- SEN PERIAATTEET Tietoturvatoimenpiteiden tavoitteena on turvata ja suojata tietoa, tietojärjestelmiä ja tiedonvälitystä sekä niitä käyttäviä palveluita tietojen olemassaolon, oikeellisuuden, käytettävyyden, luottamuksellisuuden ja palveluiden jatkuvuuden vaarantumiselta. Turvaaminen ja suojaaminen tapahtuvat erilaisten hallinnollisten, fyysisten ja teknisten ratkaisujen avulla. Hallinnollisten ja teknisten päätösten, periaatteiden, menettelytapojen ja toimenpiteiden avulla varaudutaan tietoihin kohdistuviin uhkiin, pyritään vähentämään tietoturvariskejä ja vähennetään niiden vaikutuksia. Suojaamistoimet koskevat kaikkien sähköisessä, kirjallisessa tai muussa muodossa olevien tietojen käsittelyä, siirtoa ja säilytystä riippumatta siitä, onko tietoihin kohdistuva uhka tahallista tai tahatonta, esimerkiksi järjestelmän vikaantuminen, tapaturma tai luonnonkatastrofi. Tietoturvallisuuden toteutuksen keskeiset periaatteet ovat Organisaation asiakirjat, tietovälineet, tekniset laitteet ja suullinen informaatio ovat organisaation omaisuutta ja niiden käsittely saa tapahtua vain erikseen määritellyn ohjeen mukaisesti. Liikelaitoskuntayhtymällä on erilliset, kirjalliset henkilöstön tietoturvaohjeet, jotka esimies antaa tiedoksi ja sovellettavaksi jokaiselle työntekijälle työsopimuksen solmimisen tai toimeksiannon yhteydessä. Jokainen työntekijä noudattaa tietoturvallisuudesta annettuja ohjeita ja vastaa omalta osaltaan tietoturvallisuudesta liikelaitoskuntayhtymässä. Tietoturvallisuustyö on tietoturvallisuuden saavuttamiseksi tehtävien toimenpiteiden suunnittelua ja toteuttamista, jonka päämääränä on turvata liikelaitoskuntayhtymän toiminnalle tärkeiden tietojärjestelmien ja tietoverkkojen oikeanlainen ja keskeytymätön toiminta, estää tietojen ja tietojärjestelmien joutuminen ulkopuolisille, estää niiden luvaton käyttö, tahaton tai tahallinen tietojen tuhoutuminen tai vääristyminen sekä vähentää tietoturvariskejä ja minimoida niistä aiheutuvat vahingot. Tietoturvallisuustyöhön kuuluu oleellisena osana turvattavien tietojen ja tietojärjestelmien määrittely ja luokittelu, näihin kohdistuvien uhkien ja riskien kartoitus sekä niiltä suojautuminen. Tietoturvallisuusriskit tulee tunnistaa ja kartoittaa sekä ryhtyä tarvittaviin kustannustehokkaisiin toimenpiteisiin riskien pienentämiseksi. Suojautuminen kattaa sekä riskien toteutumista ehkäisevät toimenpiteet, toiminnan jatkuvuutta suojaavat toimet että poikkeustilanteita varten laadittujen valmiussuunnitelmien mukaiset toimet. Tietoturvan hallintamenettelyjä ja tietoturvariskejä arvioidaan sisäisillä tarkastuksilla ja tarvittaessa ulkoista tarkastusta käyttäen. Havaitut puutteet analysoidaan ja tarvittavat kehittämistoimet toteutetaan. 4

5 Liikelaitoskuntayhtymä sitouttaa henkilökunnan hyvän tietoturvatyön toteuttamiseen. Henkilökuntaan kohdistetun tietoturvaohjeistuksen, tiedottamisen ja tietoturvakoulutuksen avulla varmistetaan, että henkilökunta on sitoutunut noudattamaan liikelaitoskuntayhtymän tietoturvakäytäntöjä organisaation, asiakkaiden ja muiden sidosryhmien hyväksi ja että henkilökunnalla on riittävät valmiudet tietoturvariskien ja tietoturvaloukkausten tunnistamiseksi ja torjumiseksi. Kaikissa tietoturvallisuusasioissa voi kääntyä esimiehen, tietosuojavastaavan tai atk-henkilöstön puoleen. 3. TIETOSUOJAPOLITIIKAN TAVOITTEET JA TOTEUTUK- SEN PERIAATTEET Tietosuoja on oleellinen osa tietoturvallisuutta. Sillä tarkoitetaan henkilötietojen ja muiden henkilön luottamuksellisten tai arkaluonteisten tietojen suojaamista. Lähtökohtaisesti kaikki viranomaisen toiminta on julkista. Toisaalta laki myös edellyttää, että henkilön yksityisyydensuoja on turvattava. Tämän yksityisyydensuojan takaamiseksi kaikki liikelaitoskuntayhtymän hallussa olevat henkilöä koskevat tiedot on suojattu ja niiden käsittelyä koskevat keskeiset periaatteet ovat Tietoja säilytetään siten, että ulkopuolisilla ei ole mahdollisuutta päästä tietoihin käsiksi. Tietoihin ja tietojärjestelmiin pääsy on tarkoin määritelty käyttäjätunnus- ja salasanamenettelyllä. Henkilöä koskevia tietoja voidaan käsitellä ainoastaan valtuutettujen henkilöiden toimesta ja siinä käyttötarkoituksessa ja laajuudessa kuin on välttämätöntä. Tietoja voi luovuttaa ainoastaan henkilön itsensä suostumuksella tai erityislainsäädännön nojalla. Henkilökunnan toimintaa ohjaavat lain- ja määräysten mukaiset velvollisuudet ja oikeudet sekä näiden lisäksi ammattietiikka, johon sisältyy vastuu hyvästä toimintatavasta ja velvollisuus tietojen salassapidosta ja vaitiolosta. Tietosuojalainsäädännön mukaisesti liikelaitoskuntayhtymässä henkilötietojen käsittely on turvattava ja henkilötiedot on suojattava asiattomalta käsittelyltä. Tietojen ja tietojärjestelmien käyttöä seurataan ja kaikkiin väärinkäytöksiin on puututtava. Henkilötietojen oikeellisuus on varmistettava, ne on pidettävä salassa ulkopuolisilta, niitä ei saa tuhota tai käsitellä asiattomasti ja niiden on oltava tarpeen mukaan käytettävissä. Väärien, vanhentuneiden ja virheellisten tietojen käsittely on kielletty, ja näiden oikaiseminen on tehtävä tarpeen mukaan. Tietosuojalainsäädännössä säädetään lisäksi monista oikeuksista, joita henkilöllä on omiin tietoihinsa liittyen. 5

6 4. ORGANISAATIO JA VASTUUT Tietoturvallisuus on koko liikelaitoskuntayhtymän yhteinen asia. Tietoturvallisuutta johtaa ja siitä ensisijaisesti vastaa ylin johto eli johtokunta ja liikelaitoskuntayhtymän johtaja. Vastuu on riippumatonta siitä, onko joitakin organisaation toimintoja ulkoistettu vai ei. Ylin johto päättää liikelaitoskuntayhtymän kokonaisturvallisuuden eri osa-alueiden kehittämistoiminnan tavoitteista, organisoinnista, resursseista ja toimintavalmiuksista. Tietosuojaa johtaa ja siitä vastaa kukin palvelujohtaja omalla palvelualueellaan. Tietosuojavastaavan/tietosuojavastaavien tehtävänä on organisaation erityisasiantuntijana auttaa ylintä johtoa velvoitteittensa toteuttamisessa, tukea ja ohjata henkilökuntaa ja rekisteröityjä tietosuoja-asioissa sekä seurata ja raportoida tietoturvallisuuden tilasta ja kehittämistarpeista. Tietosuojavastaavan/tietosuojavastaavien apuna toimii tietosuojatyöryhmä. Tietoturvallisuuden kehittämisestä vastaa atk-palvelujen organisaatio ja erikseen nimetyt tietojärjestelmien vastuuhenkilöt. He vastaavat tietojärjestelmien toiminnasta, hoidosta, turvallisuudesta ja käytön riittävästä ohjeistuksesta sekä rekisterinpitäjää koskevien velvoitteiden täyttymisestä ylimmän johdon päätösten ja ohjeistuksen mukaisesti. Atk-palveluiden organisaatio ja tietosuojatyöryhmä tekevät yhteistyötä. Tietoturvaohjeiden noudattamisesta omassa yksikössään vastaa yksikön esimies. Esimies antaa jokaiselle työntekijälle tiedoksi erilliset kirjalliset Henkilöstön tietoturvaohjeet työsopimuksen solmimisen tai toimeksiannon yhteydessä. Esimiehen tehtävänä on valvoa tietosuojan toteutumista omassa yksikössään. Jokaisella työntekijällä on henkilökohtainen vastuu huolehtia oman toimintansa turvallisuudesta ja noudattaa tehtäviensä hoidossa annettuja ohjeita ja määräyksiä. Henkilöstön tietoturvaosaamista ylläpidetään ja seurataan sähköisen koulutusympäristön avulla. 6

7 5. TIETOTURVALLISUUDEN SEURANTA JA ONGELMA- TILANTEIDEN KÄSITTELY Sisäisen tukipalvelun johtajalla on yhdessä atk-palveluiden henkilökunnan kanssa ja osaltaan tietosuojavastaavalla/tietosuojavastaavilla on liikelaitoskuntayhtymän ylimmän johdon antama valtuutus ja velvollisuus tehdä liikelaitoskuntayhtymän tietojärjestelmien tietoturvallisuuden ja tietosuojan kartoituksia ja ryhtyä toimenpiteisiin havaittujen tietoturvallisuuden ja tietosuojan heikkouksien parantamiseksi. Tietoturvalainsäädäntöä, Suupohjan peruspalveluliikelaitoskuntayhtymän tietoturva- ja tietosuojapolitiikkaa sekä henkilöstön tietoturvaohjeita vastaan havaitut rikkomukset raportoidaan organisaation johdolle ja tiedotetaan kyseistä esimiestä. Jos kyseessä on toistuva tai vakava rikkomus, ryhdytään tapauksen edellyttämiin jatkotoimiin. Jos rikkomuksesta aiheutuu välittömästi tai välillisesti taloudellisia menetyksiä, voidaan päätyä vahingonkorvausvaatimuksiin. Tietojen väärinkäyttö tai tahallinen ohjeiden vastainen toiminta voi johtaa muun ohella rikosoikeudellisiin seuraamuksiin. Seurauksena voi olla myös irtisanominen tai palvelussuhteen purkaminen. \tietoturva\ohjeet\tietoturva_ja_tietosuojapolitiikka.doc / A. Alavillamo 7