TIETOTURVAN TILA SUOMESSA CASE MALMIN SEUDUN YRITYKSET

Koko: px
Aloita esitys sivulta:

Download "TIETOTURVAN TILA SUOMESSA CASE MALMIN SEUDUN YRITYKSET"

Transkriptio

1 HAAGA Raportteja 7 Niina Kinnunen TIETOTURVAN TILA SUOMESSA CASE MALMIN SEUDUN YRITYKSET ISBN-10: (pdf) ISBN-13: (pdf) ISSN:

2 HAAGA Raportteja 7 TIETOTURVAN TILA SUOMESSA CASE MALMIN SEUDUN YRITYKSET NIINA KINNUNEN Haaga Instituutin ammattikorkeakoulu Helsinki 2006

3 Copyright: Niina Kinnunen + Haaga Instituutin ammattikorkeakoulu Kansi: Tarja Leponiemi ISBN-10: (pdf) ISBN-13: (pdf) ISSN: Haaga Instituutin ammattikorkeakoulun julkaisuja. HAAGA Raportteja

4 SISÄLLYS TIIVISTELMÄ JOHDANTO Tutkimuksen tausta Tutkimusongelma, tavoitteet ja aiheen rajaus Keskeiset käsitteet TIETOTURVA OSANA YRITYSTÄ JA YHTEISKUNTAA Yleistä tietoturvasta Tietoturva yhteiskunnassa Tietoturva yrityksessä Tietoturvasuunnittelu Tietojen ja riskien merkitys tietoturvalle Laitteet, ohjelmistot ja tietoverkko EMPIIRINEN OSA Tutkimusaineisto Tutkimusmenetelmän esittely TUTKIMUSTULOSTEN ESITTÄMINEN JOHTOPÄÄTÖKSET JA PARANNUSEHDOTUKSET Johtopäätökset Johtopäätöksistä muodostettavat tärkeimmät ehdotukset LOPPUPOHDINTA LÄHDELUETTELO Painetut lähteet Painamattomat lähteet LIITE 1. Kyselylomake... 25

5 TIIVISTELMÄ Tutkimus paneutuu tietoturvaan sekä pienyritysten tietoturvan tilan selvittämiseen. Yritysten tietoturvan tilasta pyritään tekemään johtopäätöksiä valtakunnan tasolla. Tutkimusongelmana on selvittää onko tietoturvasta huolehdittu riittävällä tasolla. Tutkimuksen tavoitteena on selvittää niitä tietoturvan osa-alueita, joissa on parannettavaa. Tutkimuksessa pyritään selvittämään myös tietoturvaan liittyvää koulutustarvetta. Tutkimusaineisto on kerätty kyselyllä. Kysely suoritettiin pääsääntöisesti sähköisesti Internetissä toteutetulla kyselylomakkeella. Kyselylomakkeen URL-osoite lähetettiin 129 Malminseudun yritysyhdistykseen kuuluvalle yritykselle. Vastauksia saapui 16 kappaletta (12,4 %). Tutkimuksessa käytetään ensisijaisesti kvantitatiivista tutkimusmenetelmää. Saaduista vastauksista lasketaan kysymyksittäin saatujen kyllä- ja ei-vastausten määrä. Myös mahdollisten tyhjien vastausten määrä huomioidaan. Tutkimuksessa käytetään jossain määrin myös vertailevaa menetelmää. Yritysten vastauksista haetaan kysymys kysymykseltä yhtäläisyyksiä ja eroja. Kysymyksille pyritään muodostamaan yhteyksiä muihin kysymyksiin eli haetaan toisiinsa liittyviä tai toisistaan riippuvia kysymyksiä ja vertaillaan niistä saatujen vastauksien yhtäläisyyksiä ja eroja eri yritysten välillä. Näin vertailemalla vastauksista pyritään selvittämään onko esimerkiksi toimialalla tai vakinaisten työntekijöiden määrällä vaikutusta saatujen vastausten luonteeseen. Tutkimustulosten mukaan yritykset ovat tietoisia mikä on yrityksen tärkeää tietoa. Tietoturvapolitiikan merkitys yritykselle on myös pääsääntöisesti ymmärretty. Kaikilla yrityksillä ei kuitenkaan ole tietoturvapolitiikkaa. Riskien kartoittaminen on tekemättä useissa yrityksissä. Yritykset eivät ymmärrä varautua sellaiseen mitä ei ole tapahtunut. Tietojen varmennuksesta huolehditaan, mutta varmenteiden säilytyspaikassa on parannettavaa puolessa yrityksistä. Saatujen tutkimustulosten mukaan yritykset eivät ole tiedostaneet yrityksen sisältä tulevien tietoturvauhkien määrää. Yrityksillä on huomattavasti parannettavaa sisäisten tietoturvauhkien huomioimisessa. Yritykset eivät pyri tietoisesti tekemään tietoturvasta kaikkien työntekijöiden tehtävää. Tämä näkyy tutkimustuloksissa esimerkiksi perehdyttämisen ja tietoturvaraportoinnin puuttumisena noin puolessa yrityksistä. Myöskään tietoturvavastuita ei ole jaettu kaikissa yrityksissä. Sisäisen uhkan näkökulmasta tarkasteltuna yrityksiltä puuttuu myös ohjeistus miten toimia, jos epäilee jotakin yrityksen työntekijää tietoturvaväärinkäytöksestä. AVAINSANAT: tietoturva, tietoturvallisuus, tietoturvapolitiikka, tieto, riski, yritys 1

6 1 JOHDANTO 1.1 TUTKIMUKSEN TAUSTA Keväällä 2006 Haaga Instituutin ammattikorkeakoulussa Malmin liiketalousinstituutissa toteutetulla Verkon tietoturva -kurssilla 29 iltaopiskelijaa kävi pienryhmissä selvittämässä yhteensä 12 pääkaupunkiseudulla sijaitsevan pk-yrityksen tietoturvan tilaa. Selvitys tehtiin haastatteluna. Ainoa rajoite selvitykselle oli, että sen piti kohdistua pk-yritykseen. Selvityksessä ilmeni, että tietoturvalla ymmärrettiin pääsääntöisesti virukset ja niiden torjuntaohjelmistot, palomuurit sekä käyttäjätunnukset ja salasanat. Tietoturvaan suhtautumisessa oli havaittavissa huolestuttavaa välinpitämättömyyttä. Huolettomuuteen oli löydettävissä syy siitä, että millekään haastatelluista yrityksistä ei ollut ikinä sattunut mitään suurta tietoturvaan liittyvää vahinkoa tai ongelmaa. Yleinen käsitys oli, että kun virustorjuntaohjelmisto ja palomuuri on asennettu, tietoturva on kunnossa. Näiden ohjelmistojen päivittäminen oli satunnaista suurimmassa osassa yrityksiä. Työntekijöiden Internetin käyttöä oli rajoitettu vain parissa yrityksessä. Missään yrityksessä ei kyseenalaistettu yrityksen työntekijöiden tietoturvaosaamista. Toisaalta sitä ei ollut myöskään tietoisesti selvitetty missään yrityksessä. Haastatellut yritykset eivät osanneet arvioida tietoturvaan käytettävien resurssien määrää. Selvitykseen vastanneet yrityksen edustajat, jotka olivat pääasiassa yrityksen omistajia tai toimitusjohtajia, eivät nähneet yrityksen tietoturvasta huolehtimista osana omaa toimenkuvaa. Tietoturva nähtiin sen sijaan työtehtävänä, jonka hoitaa yksi tai pari työntekijää. Usein näiden henkilöiden nimeäminen oli vaikeaa. Myöskään tietoturvasta vastaavan henkilön asemaa yrityksessä ei osattu pääsääntöisesti kertoa. Joissakin yrityksissä tietoturvasta huolehtiminen oli ulkoistettu. Näissä yrityksissä luotettiin melko sokeasti palvelun tarjoavaan yritykseen, eikä oman yrityksen tietoturvan tilasta ja hoidosta osattu kertoa oikeastaan mitään. Tietoturvapolitiikka tai muu tietoturvaan liittyvä dokumentaatio löytyi vain parista yrityksestä. Useimmissa yrityksissä uusille työntekijöille ei kerrottu perehdytyksessä yrityksen tietoturvakäytäntöjä. Työntekijät eivät selvittäneet niitä myöskään omatoimisesti. Selvityksestä kävi ilmi, että varmuuskopioinnista huolehdittiin säännöllisesti vain harvoissa yrityksissä. Useimmissa yrityksissä työntekijät vastasivat itse varmuuskopioiden ottamisesta. Varmuuskopioiden säilytyspaikassa oli kaikissa yrityksissä parannettavaa. Erittäin pienten yritysten ongelmana oli se, että yrityksen asioidenhoidossa käytettävää tietokonetta käytti perheen muutkin jäsenet. Erityisesti se, että myös lapset saivat käyttää samaa konetta pelatessa ja Internetin käytössä oli huolestuttavaa siitäkin huolimatta, että lapset käyttivät tietokonetta omalla profiililla. Haastatelluista yrityksistä lähes kaikki yritykset arvioivat, että tietoturva on heidän yrityksessään hallinnassa. Epävirallisesti tehdyn selvityksen yhteenvetona voidaan todeta, että yritysten omasta mielestä heidän tietoturvasta oli huolehdittu riittävällä tasolla. Kaikkien yritysten vastauksista oli kuitenkin havaittavissa, että yritysten tietoturvassa on paljon parannettavaa. Myös yritysten työntekijät tarvitsisivat tietoturvakoulutusta. Yritykset eivät kuitenkaan itse välttämättä ymmärrä tietoturvasta huolehtimisensa riittämättömyyttä. Tästä selvitystuloksesta kiinnostuneena lähdettiin tässä julkaisussa tekemään tutkimuksellisempaa selvitystä yritysten tietoturvan tilasta. 1.2 TUTKIMUSONGELMA, TAVOITTEET JA AIHEEN RAJAUS Tässä tutkimuksessa paneudutaan tietoturvaan sekä pienyritysten tietoturvan tilan selvittämiseen. Yritysten tietoturvan tilasta pyritään tekemään johtopäätöksiä valtakunnan tasolla. Tutkimusongelmana on selvittää onko tietoturvasta huolehdittu riittävällä tasolla. Tutkimuksen tavoitteena on selvittää niitä tietoturvan osa-alueita, joissa on parannettavaa. Tutkimuksessa pyritään selvittämään myös tietoturvaan liittyvää koulutustarvetta. Tutkimuksen lähtökohtana on, että yritysten tietoturvan tilassa on parannettavaa ja yrityksille pitäisi tarjota tietoturvatietoutta erityisesti erilaisissa koulutustilaisuuksissa. Tutkimusta varten suoritettiin eikokeellinen empiirinen tutkimus, jossa tutkimusaineisto kerättiin kyselyllä. Tutkittavat yritykset rajattiin Malminseudun yritysyhdistykseen kuuluviin yrityksiin. Tutkimustuloksia pyrittiin saamaan nimenomaan 2

7 pienistä ja keskisuurista yrityksistä. Tutkimusmenetelmästä kerrotaan alaluvussa 3.2 Tutkimusmenetelmän esittely. Myöhemmin esitettävästä tietoturvan viitekehyksestä on havaittavissa, että tietoturva kattaa erittäin laajan kokonaisuuden. Tietoturvakeskustelu julkisuudessa käsittelee usein roskapostia, Internetistä tulevia hyökkäyksiä ja niiden estämistä palomuurilla sekä viruksia. Nämä tietoturvan osa-alueet ovat yleisesti jollain tasolla tiedossa. Keinot niiden huomioimiseen ja niiden aiheuttamien riskien estämiseen ovat myös tietoturvan näkökulmasta yleisesti melko hyviä. Tässä tutkimuksessa tietoturvan tilaa tarkastellaan erityisesti hallinnollisesta näkökulmasta teknisen tietoturvan sijaan. Näiden seikkojen takia roskaposti, Internet-hyökkäykset, palomuurit ja virukset rajataan pois tässä tutkimuksessa käsiteltävistä tietoturva-aiheista. Myöskään langattomien yhteyksien tietoturvaa ja salauksella luotavaa tietoturvaa ei käsitellä tässä tutkimuksessa. Teknistä tietoturvaa käsitellään kuitenkin hallinnollista tietoturvaa tukevilta osin. 1.3 KESKEISET KÄSITTEET Tietoturvallisuudella (information security) tarkoitetaan tavoitetilaa, jossa tiedot, tietojärjestelmät ja palvelut suojataan asianmukaisesti niin, että uhat, jotka kohdistuvat niiden luottamuksellisuuteen, käytettävyyteen ja eheyteen, eivät aiheuta yhteiskunnalle ja sen jäsenille merkittävää vahinkoa. Toisaalta tietoturvallisuudella tarkoitetaan lainsäädäntöä ja muita normeja sekä toimenpiteitä, joilla pyritään varmistamaan tietoturvallisuus normaali- ja poikkeusoloissa. (Valtiovarainministeriö 2003, 51) Tietoturvallisuus ja tietoturva tarkoittavat käytännössä samaa. Tekniikan sanastokeskuksen (Tietotekniikan termitalkoot 2002) määritelmän mukaan tietoturvalla tarkoitetaan niitä järjestelyjä, joilla yritetään varmistaa tiedon luottamuksellisuus, eheys ja käytettävyys. Tällöin käytettävyydellä tarkoitetaan, että tieto on hyödynnettävissä sillä hetkellä, kun sitä halutaan käyttää. Eheydellä tarkoitetaan, että käytettävissä oleva tieto ei poikkea alkuperäisestä tiedosta. Tiedon luottamuksellisuus toteutuu, jos tieto ei ole sivullisten saatavilla. Liikenne- ja viestintäministeriön (2006) tietoturvan määritelmässä korostetaan, että tiedon luottamuksellisuuden, eheyden ja käytettävyyden varmistamiseksi tehtävät toimenpiteet ovat hallinnollisia ja teknisiä. Tietoturvapolitiikka muodostuu yrityksen ylimmän johdon hyväksymistä käytännöistä, joilla saavutetaan haluttu tietoturvallisuuden taso. Tietoturvapolitiikka on julkinen dokumentti, joka on tarkoitettu koko henkilöstölle. Tietoturvapolitiikka on tärkein yrityksen tietoturvakäytäntöjä ja tietoturvallisuusprosessia ohjaava dokumentti. Siinä kuvataan yleisellä tasolla mikä on yrityksen eri liiketoimintaprosessien vaatima tietojen turvaamisaste, millä menetelmillä haluttuun tietoturvatasoon pyritään ja miten tietoturvallisuutta hallinnoidaan ja kehitetään. (Hakala, Vainio & Vuorinen 2006, 7) Tietoturvapolitiikassa asetettujen suuntaviivojen ja reunaehtojen pohjalta laaditaan tietoturvasuunnitelma, joka on luottamuksellinen tai salainen. Se sisältää käytänteet, joilla pyritään haluttuun tietoturvallisuuden tasoon. Tietoturvasuunnitelmassa määritellään kirjallisesti ja yksityiskohtaisesti kussakin tietojärjestelmässä käytettävät työmenetelmät ja tekniset ratkaisut. Tietoturvasuunnitelman pohjalta voidaan laatia tietoturvaohje, joka on käyttäjälle laadittu yksittäistä tietojärjestelmää tai liiketoimintaprosessia käsittelevä erillinen ohje. Myös tämä dokumentti on luottamuksellinen tai salainen. (Hakala ym. 2006, 7, 9 10) Tietoturvan määrittelyä varten on luotu yleisluonteiset tietoturvastandardit, jotka ovat ISO ja ISO ISO on keskeisin tietoturvallisuuden suunnittelua ohjaava standardi, jossa määritetään yrityksen tietoturvallisuuden suunnitteluissa, ylläpidossa ja kehittämisessä huomioitavat osaalueet. Se sisältää yleisperiaatteet ja suuntaviivat tietoturvallisuuden hallitsemiselle. Siinä kuvataan turvallisuuden parantamistoimien käynnistämis- ja toteutustapoja. Lisäksi siinä kerrotaan turvallisuushallinnon ylläpito- ja kehitystapoja. Standardin nimestä on tehty muutosehdotus, jonka myötä standardin nimi muuttuisi tulevaisuudessa ISO 27002:ksi. ISO koskee tietoturvallisuuden hallintajärjestelmää, jonka lyhenne on ISMS. Standardin seuraaminen edellyttää ISO standardia. (Hakala ym. 2006, 46 47, 49) 3

8 2 TIETOTURVA OSANA YRITYSTÄ JA YHTEISKUNTAA 2.1 YLEISTÄ TIETOTURVASTA Tietoturvallisuus muodostuu luottamuksellisuudesta, käytettävyydestä, eheydestä, kiistämättömyydestä ja pääsynvalvonnasta. Luottamuksellisuus (confidentality) toteutuu, kun tietojärjestelmän tietoja pystyy käyttämään vain sellainen henkilö, joka on oikeutettu tietoihin. Käytettävyydellä (availability) tarkoitetaan, että tiedot on mahdollista saada tietojärjestelmästä oikeassa muodossa ja riittävän nopeasti. Eheydellä (integrity) tarkoitetaan, että tietojärjestelmän tiedot ovat paikkansapitäviä ja ne eivät sisällä tahallisesti tai tahattomasti tehtyjä virheitä. Kiistämättömyydellä (non-repudiation) tarkoitetaan sitä, että tietojärjestelmä pystyy tunnistamaan ja tallentamaan järjestelmän käyttäjän tiedot luotettavasti. Pääsynvalvonnalla (access control) tarkoitetaan menetelmiä, joilla rajoitetaan tietojenkäsittelyinfrastruktuurin käyttöä. Määritelmään voidaan sisällyttää myös autenttisuus, joka tarkoittaa tietojärjestelmää käyttävien henkilöiden ja laitteiden luotettavaa tunnistusta. (Hakala ym. 2006, 4 6.) Hakala ym. (2006, 10 12) jakaa tietoturvallisuuden osa-alueisiin seuraavasti: - hallinnollinen turvallisuus - fyysinen turvallisuus - henkilöturvallisuus - tietoaineistoturvallisuus - ohjelmistoturvallisuus - laitteistoturvallisuus - tietoliikenneturvallisuus Hallinnollisella turvallisuudella varmistetaan tietoturvan kehittäminen ja johtaminen. Siinä ovat merkittävässä asemassa lainsäädäntö, lisenssisopimukset ja palvelusopimukset. Fyysisellä turvallisuudella suojataan rakennuksen tiloja ja niihin sijoitettuja laitteita fyysisiltä uhilta sekä ympäristöuhilta. Henkilöturvallisuus käsittää toimet, joilla varmistetaan tietojärjestelmän käyttäjien toimintakyky. Lisäksi rajataan käyttäjien mahdollisuuksia käyttää yrityksen tietoja ja tietojärjestelmiä. Tietoaineistoturvallisuus käsittää toimet, jotka liittyvät tietojen säilyttämiseen, varmentamiseen, palauttamiseen ja tuhoamiseen. Ohjelmistoturvallisuus liittyy ohjelmistoihin ja käsittää esimerkiksi ohjelmistotestauksen sekä ohjelmistoversioiden ja lisenssien hallinnan. Laitteistoturvallisuuden tavoitteena on mitoittaa tietokoneet ja muut tietojärjestelmään kytketyt laitteet tarkoituksenmukaisesti, testata niiden toiminta, järjestää huolto, varautua laitteiden kulumiseen ja vanhenemiseen sekä arvioida ja minimoida laitteiden käytöstä aiheutuvat vaaratekijät. Tietoliikenneturvallisuudessa huolehditaan tiedonsiirtoratkaisujen turvallisuudesta. (Hakala ym. 2006, ) Elinkeinoelämän keskusliitto (2005b) kuvaa tietoturvapolitiikan kehittämistä seuraavassa kuvassa esitetyllä tavalla. 4

9 KUVA 1 Tietoturvapolitiikan kehittäminen (Elinkeinoelämän keskusliitto 2005b) Kuvasta nähdään, että prosessi lähtee liikkeelle hyödykkeiden tuotantoon ja tarjontaan kohdistuvien tiedostettujen ja tiedostamattomien uhkien analysoimisella. Löydetyistä uhkista muodostetaan tietoturvapolitiikan turvallisuusvaatimukset eli tietoturvallisuuden tavoitetila, johon pyritään. Turvallisuustarpeet muodostuvat nykytilan ja turvallisuusvaatimuksissa asetettujen tavoitteiden välisistä eroista. Löydetyt erot parannetaan turvallisuusvaatimuksissa asetettujen tavoitteiden tasolle siirtymäaikana, jonka jälkeen aletaan toimia tietoturvapolitiikan mukaisesti. (Elinkeinoelämän keskusliitto 2005b.) 2.2 TIETOTURVA YHTEISKUNNASSA Helmikuussa 2006 vietettiin kolmatta kertaa kansallista tietoturvapäivää, joka on elinkeinoelämän, julkishallinnon ja järjestöjen yhteinen hanke. Tietoturvapäivän tarkoituksena on lisätä tietoisuutta Internetin mahdollisuuksista ja tietoturvauhista. Tavoitteena on myös kertoa keinoista, joilla tietoturvauhilta voidaan suojautua ja välttyä. Tämän vuoden erityisteeman oli pienten ja keskisuurten yritysten tietoturva. (Tulonen 2006.) Valtiovarainministeriön (2006) mukaan puutteellinen tietoturva aiheuttaa lisätyötä ja -kustannuksia sekä vaarantaa valtion, kansalaisten, yhteisöjen ja asiakkaiden etuja. Valtioneuvosto on linjannut valtion tietoturvallisuuden kehittämisen, tietoturvallisuuden laajaa käsitettä ja valtion organisaatioiden tietoturvatehtävät. Nämä muodostavat periaatepäätöksen valtion tietoturvallisuudesta. Tietoturvallisuutta käsittelevällä Valtiovarainministeriön (2006) www-sivulla todetaan, että tietoyhteiskunnan kehitys, verkottuminen, sähköinen asiointi, toimintojen ja palvelujen siirtyminen tietoverkkoihin, kansainvälistyminen, nopea tekninen kehitys sekä tietoturvahyökkäysten ja muiden uhkien lisääntyminen lisäävät tietoturvallisuuden merkitystä. Tampereen yliopisto tukee Valtiovarainministeriön ajatusta todetessaan, että tietoturvallisuuden merkitys kasvaa yhteiskunnassa, jossa käytetään tietokoneita sekä sähköisen kaupankäynnin suosio kasvaa ja langattomat tietojärjestelmät yleistyvät. Tietoturvallisuutta ei ole huomioitu tietojärjestelmien suunnittelussa, mistä on aiheutunut ongelmia. (Tampereen yliopisto.) Tietoyhteiskunnan kehittämiskeskuksen (2004) mielestä tietoturva on tietojen, tietoja käsittelevien tietojärjestelmien ja tietoja siirtävän tietoliikenteen suojaamista. Tavoitteena on estää niiden vahingoittuminen ja turmeltuminen. Myös luvaton käyttö ja urkinta sekä häirintä ovat suojautumisen tavoitteena muiden uhkien joukossa. Tietokoneiden hyväksikäytöstä aiheutuvat vakavat tietojenkäsittelyhäiriöt ovat iso ongelma yrityksen toiminnassa. 5

10 Kansallinen tietoturva ja sen valvonta kuuluu vuonna 2002 vahvistetun lain mukaan Liikenne- ja viestintäministeriön Viestintäviraston vastuulle. Toimiminen CERT-vastuuviranomaisena (Computer Emergency Response Team) velvoittaa Viestintäviraston keräämään tietoa tietoturvauhkista ja - loukkauksista. Viraston tehtävänä on myös ratkaista ja torjua tietoturvaloukkauksia sekä tiedottaa tietoturvallisuusasioista. Viestintävirasto on muodostanut tietoturvan valvontatehtäviä varten tietoturvallisuusyksikön. Suomessa tätä CERT-toimijaa kutsutaan nimellä CERT.FI. (Liikenne- ja viestintäministeriö 2002.) Viestintävirasto (2005) huomioi, että Suomen perustuslaissa ei ole yhtenäistä tietoturvallisuutta koskevaa lainsäädäntöä. Tietoturvallisuutta käsittelevät säännökset on sisällytetty moniin lakeihin ja asetuksiin. Suomen Rikoslaista löytyy enenevässä määrin pykäliä erilaisia tietoturvaan liittyviä rikoksia varten. Rikosnimikkeet yritysvakoilu ja yrityssalaisuuden väärinkäyttö löytyvät Rikoslain (30:4, 6 ) 30 luvun pykälistä 4 ja 6. Viestintäsalaisuuden loukkaus, törkeä viestintäsalaisuuden loukkaus ja tietomurto löytyvät Rikoslain (38:3, 4, 8 ) 38 luvun pykälistä 3, 4 ja 8. Edellä luetellut rikosnimikkeet liittyvät tietoturvallisuudessa tehtyihin rikosilmoituksiin. Vuonna poliisille tehtiin näitä rikosnimikkeitä sisältäviä rikosilmoituksia 391 kappaletta. Rikoksen tekijä on hyvin usein yrityksen oma tai entinen työntekijä. (Elinkeinoelämän keskusliitto 2001, 9.) Suomen lainsäädännöstä löytyy kuitenkin useita tietoturvallisuusvelvoitteita. VAHTI on Valtiovarainministeriön asettama Valtionhallinnon tietoturvallisuuden johtoryhmä, jonka tehtävänä on ohjata ja kehittää hallinnon tietoturvallisuutta sekä huolehtia sen yhteistyöstä. Valtiovarainministeriön (2006) tietoturvallisuutta käsittelevällä www-sivulla todetaan, että VAHTIn tavoitteena on parantaa valtionhallinnon toimintojen luotettavuutta ja jatkuvuutta kehittämällä tietoturvallisuutta. VAHTI pyrkii myös saamaan tietoturvallisuuden kiinteäksi osaksi valtionhallinnon kaikkea toimintaa. VAHTIn toiminnan tuloksia pystytään hyödyntämään kunnallishallinnossa, yksityisellä sektorilla, kansalaistoiminnassa ja kansainvälisessä yhteistyössä. (Valtiovarainministeriö 2006.) Tampereen yliopistossa on kehitetty erityinen tietoturvakonsortio, jonka perustavoitteet ovat tietoturvallisuuden parantaminen ja yhteistyöverkoston muodostaminen sekä tietoturvallisuuden tutkimuksen ja opetuksen laadun parantaminen. Konsortion kehittäminen on aloitettu syksyllä Konsortion mukaan tietoturvallisuutta tarvitaan luomaan tietojärjestelmien toiminta luotettavaksi. (Tampereen yliopisto.) 2.3 TIETOTURVA YRITYKSESSÄ Aiemmin todettiin, että puutteellinen tietoturva aiheuttaa sekä lisätyötä että -kustannuksia. Toimiva tietoturva säästää aikaa ja rahaa. Kaikilla yrityksen työntekijöillä on vastuu tietoturvasta. Henkilöstön toimintaohjeiden tuntemuksen taso on suoraan verrannollinen tietoturvan toteutumisen tasoon. Panostaminen työntekijöiden perehdyttämiseen on kannattavampaa kuin paksujen ohjekirjojen laatiminen. Välinpitämätön henkilöstö ei tue hyvinkään toteutettuja teknisiä tietoturvaratkaisuja. (Yrityksen tietoturvaopas 2006c; Yrityksen tietoturvaopas, 2006d.) Elinkeinoelämän keskusliiton (2005a) mielestä tietoturvallisuus on osa yritysturvallisuutta. Yritysturvallisuudella tarkoitetaan johdon vastuulla olevaa päivittäistä yritystoimintaa, jossa yrityksen turvallisuusasioita toteutetaan kokonaisvaltaisesti. Yritysturvallisuus nähdään koko henkilöstön asiana. Elinkeinoelämän keskusliiton (2001, 10) mukaan huolimattomuus, ymmärtämättömyys ja osaamattomuus aiheuttavat suurimpia tietoturvallisuuden ongelmia. Myös muut tietojärjestelmien teknisen toteutuksen ja käytön laadulliset tekijät aiheuttavat ongelmia tietoturvallisuuteen. Hakala ym. (2006, ) tukee tätä ajatusta. Kirjassa todetaan, että inhimillinen toiminta, huolimattomuus, kiirehtiminen ja erehdykset vaarantavat eniten yrityksen tietoturvallisuutta. Tällaisia yrityksen tietoturvallisuuteen vaikuttavia tapahtumia täytyy seurata ja tallettaa tietoturvallisuuden ylläpitämiseksi. Tietoturvallisuutta suunnitellaan ja kehitetään keräämällä tietoa aikaisemmin tapahtuneista tietoturvallisuuteen vaikuttaneista tapahtumista. (Hakala ym. 2006, ) Myös Valtiovarainministeriö (2006) näkee tietoturvallisuuden kiinteänä ja keskeisenä osana yrityksen toimintaa ja laatutyötä sekä sen varmistamista. Koko henkilöstön pitää huolehtia tietoturvallisuudesta. Valtiovarainministeriön (2006) mukaan tietoturvallisuuden varmistaminen ja kehittäminen vaatii jatkuvaa ohjeistuksen, toimeenpanon ja henkilöstön osaamisen kehitystyötä. Tietoturvallisuuden käsikirja (Hakala ym. 2006, 20) tukee edellisiä ajatuksia. Kirjassa todetaan, että tietoturvallisuuden arviointi, kehittäminen ja ylläpito muodostavat yhden yrityksen liiketoimintaprosesseista, joka täytyy nähdä jatkuvana toimintana. 6

11 Tämän vuoden tietoturvapäivänä julkaistu Yrityksen tietoturvaopas (2006a) tukee Elinkeinoelämän keskusliiton ja Valtiovarainministeriön näkemyksiä tietoturvan merkityksestä yritystoiminnalle toteamalla, että tietoturva on osa yrityksen liiketoimintaa. Oppaan mukaan tietoturvassa on kyse tekniikasta ja ihmisten työskentelytavoista. Kun tietoturvaa lähdetään rakentamaan, täytyy kartoittaa suojattavat kohteet, tehdä riskianalyysi ja luokitella tiedot. Tietoturvaopas nimeää yhdeksi menestymisen edellytykseksi yritykselle tärkeän tiedon turvaamisen. Erityisesti yrityksen kannalta tärkeiden ja kriittisten tietojen tunnistaminen ja suojaaminen on tärkeää. Tietoturvan ylläpito on jatkuvaa ja suunnitelmallista toimintaa. Tietoturvaa ei saavuteta yksittäisellä toimenpiteellä. (Yrityksen tietoturvaopas 2006b.) Yrityksen tietoturvaopas on kenen tahansa luettavissa Internetissä URL-osoitteessa Tietoliikenteen ja tietotekniikan keskusliitto FiComin viestintäpäällikkö Kristiina Klemetin (Rotstén 2006) mukaan Yrityksen tietoturvaopas on tarkoitettu pk-yrityksille. Erityiseksi kohderyhmäksi Klemetti mainitsee toimitusjohtajat pienissä pkyrityksissä, joilla ei ole erityistä it-, tietotekniikka- tai tietoturvahenkilö vastaamassa yrityksen tietoturvasta. Hakala ym. (2006, 32, 103) mielestä tietoturvallisuuden ylläpito ja edistäminen edellyttää dokumentointia. Dokumentoinnin tulee olla tarpeeksi yksityiskohtaista ja käyttää ennalta sovittua rakennetta. Dokumentoinnissa kirjataan löydetyt ratkaisut ja perustelut käyttöönotettujen ratkaisujen valinnalle. Tietojärjestelmien käytössä voidaan haluttaessa tarjota hyvinkin paljon joustavuutta ja pitää palvelutaso korkealla. On kuitenkin huomattava, että näitä lisättäessä tietoturvallisuuden taso yleensä laskee. Tietoturvallisuus ei voi muodostua myöskään tärkeimmäksi tietojenkäsittelyä ja liiketoimintaprosesseja ohjaavaksi toiminnoksi. Liian kattaviksi ja jäykiksi asetetut turvallisuusmääritykset voivat vaikeuttaa yrityksen varsinaisen liiketoiminnan ydinprosesseja. Siksi yrityksessä tulisi löytää tietojärjestelmillä tarjottavan joustavuuden ja palvelutason sekä tietoturvallisuuden välille sopiva tasapaino. (Hakala ym. 2006, 17.) On oletettavaa, että tietoturvahyökkäykset muuttuvat aiempaa henkilökohtaisemmiksi myös yrityksissä. Näin todetaan IBM:n Global Business Security Index -tietoturvaraportissa, joka julkaistaan vuosittain. Käytännössä nämä hyökkäykset voisivat näkyä yrityksissä esimerkiksi puhelinsoittoina tietohallinnon nimissä tai lähestymisenä sähköpostilla. Yhteydenottojen tavoitteena olisi saada selville salasanoja. IBM:n palvelumyyntipäällikön Markus Hongiston (Kauppalehti 2006, 18 19) mukaan ulkoa tulevien tietoturvakysymysten selvittäminen on tärkeää, eikä omaa vastuuta tietoturvasta voida ulkoistaa. Hongisto näkee yrityksen tietoturvan kokonaisuutena, joka on toteutettava yrityksessä sen liiketoiminnan kautta, ei erillisenä tietotekniikkaa osana. (Kauppalehti 2006, ) Julkisuudessa käytävissä keskusteluissa ja tiedotusvälineissä verkon turvallisuus liitetään erityisesti Internetiin. Tällaisissa yhteyksissä mainitaan esimerkiksi roskaposti ja verkon kautta tulevat hyökkäykset. Jos asiaa tarkastellaan yrityksen tietohallinnon näkökulmasta, oman lähiverkon luottamuksellisuus, käytettävyys ja eheys aiheuttavat suurempia ongelmia kuin Internetistä tulevat uhat. Tietoturvarikkomukset tapahtuvat pääsääntöisesti yrityksen sisällä. 80 % yrityksen vakavista tietoturvarikoksista tapahtuu yrityksen sisällä. (Hakala ym. 2006, 181, 298.) Tätä ajatusta tukee jo aiemmin esitetty Elinkeinoelämän keskusliiton (2001, 9) toteamus siitä, että rikoksen tekijä on hyvin usein yrityksen oma tai entinen työntekijä. Tampereen yliopistossa tehdyn tutkimuksen mukaan valtaosa yritysten tietoturvauhista tulee yritysten sisältä. Samassa tutkimuksessa todetaan, että vain 20 prosenttia tietoturvallisuudesta syntyy teknisillä keinoilla, loppu muodostuu kehittämällä henkilöstön arkirutiineja. (Tulonen 2006) Hakalan ym. (2006, 114) mukaan yrityksen ylimmällä johdolla on kokonaisvastuu tietoturvallisuuden kehittämisestä ja ylläpidosta. Johto vastaa yrityksen yleisen tietoturvallisuustietouden levittämisestä. Johdon tehtävänä on myös tukea tietoturvallisuutta edistävää kouluttautumista. Symantec (2004, 31) jatkaa ajatusta toteamalla, että yritysjohto päättää tietoturvatoiminnan periaatteista. Symantecin mukaan pelkästään esimiesten ja tietotekniikkavastuuhenkilöiden vastuulle jätetyt tietoturvaratkaisut ja menettelytavat eivät voi tehdä yrityksen tietoturvasta tyydyttävää. Symantec näkee tietotekniikkavastuuhenkilöiden ja -päälliköiden aseman kuitenkin entistä myönteisempänä, koska työntekijät ovat halukkaita osallistumaan tietoturvatyöhön joutuessaan suorasti tai epäsuorasti ongelmiin tietoturvan kanssa suorittaessaan arkipäivän työrutiineissa. 7

12 2.4 TIETOTURVASUUNNITTELU Hyvän tietoturvasuunnittelun pohjana on näkemys yrityksen kokonaisturvallisuudesta. Siinä huomioidaan fyysinen turvallisuus, jossa suojataan yrityksen henkilöstöä ja omaisuutta erilaisilta riskeiltä, sekä tietoturvallisuus, jossa suojataan yrityksen tietopääoma sekä estetään tietojenkäsittelylaitteiden ja tietoverkkojen luvaton käyttö. Jotta tietoturvasuunnittelu pystytään tekemään, tulee kartoittaa yrityksen kaikki tietojärjestelmät ja toiminnot. Tietoturvasuunnittelussa voidaan käyttää perinteistä systeemityön vaihejakomallia: esitutkimus, määrittely, suunnittelu, toteutus, testaus, käyttöönotto ja ylläpito. Myös miellekarttatekniikkaa voidaan hyödyntää tietoturvallisuuden suunnittelussa. (Hakala ym. 2006, 14, 22.) Tietoturvasuunnittelun organisoimista, jäsentämistä ja kehittämistä ohjataan standardeilla, joita kutsutaan tietoturvastandardeiksi. Ne asettavat vaatimuksia tietoturvasuunnittelun menettelytavoille ei tietoturvan tasoille tai sisällölle. Standardit määrittelevät mitä tietoturvallisuuden suunnittelutyöhön sisältyy sekä sen tulosten esitysmuodon. Niissä määritetään myös tietoturvallisuuden vastuukysymyksiä. Suomessa käytetään tällä hetkellä kansainvälisiä tietoturvastandardeja, koska kansallisia ei ole vielä olemassa. (Hakala ym. 2006, 21, 46 47, 49.) Tietoturvan suunnittelussa tulee varautua omien työntekijöiden väärinkäytöksiin. Tietoturvariskejä pystytään vähentämään koulutuksella, huolellisella rekrytoinnilla, salassapitositoumuksilla ja sopivilla tietojen käyttöoikeuksilla sekä puuttumalla havaittuun turvallisuusriskejä aiheuttavaan toimintaan nopeasti. Myös asianmukaisesti hoidetuilla irtisanomisilla pystytään vähentämään tietoturvariskejä. Kehittämisellä työntekijöiden perusrutiineja luodaan suurin osa yrityksen liiketoiminnan tietojen turvallisuudesta. Vain viidesosa liiketoiminnan tietojen turvallisuudesta luodaan teknisillä suojaamiskeinoilla. (Yrityksen tietoturvaopas 2006d.) Tietoturvasuunnittelun määrittely-vaihe voidaan jakaa esitutkimukseen ja yleismäärittelyyn. Määrittelyvaiheen pohjana käytetään yrityksen ICT-politiikkaa sekä kokonaisturvallisuus- tai tietoturvapolitiikkaa. Määrittelyn taustatyönä tehdään esitutkimus, jossa kerätään yrityksen aikaisemmissa tietojärjestelmähankkeissa tuotetut dokumentit sekä noudatettaviksi aiotut standardit ja muut tietolähteet. Määrittely on vaativaa ja pitkäkestoista. Sen tavoitteena on selvittää yrityksen kaikki toimintaprosessit sekä niissä käytettävät tieto- ja tietoliikennejärjestelmät. Myös toimintojen vastuuhenkilöt on hyvä selvittää. Määrittelyssä asetetaan myös tavoitteet toimintaprosessien sekä tieto- ja tietoliikennejärjestelmien turvallisuudelle. (Hakala ym. 2006, 55 56, ) 2.5 TIETOJEN JA RISKIEN MERKITYS TIETOTURVALLE Yksi tärkeimmistä yrityksen tietoturvalle määriteltävistä asioista on luoda tietoturvallisuuden suunnittelutyössä käytettävät tietojen ja riskien luokittelut ja niiden pohjana olevat luokittelukriteerit. Kun tietoturvallisuutta määritellään ja suunnitellaan, tarvitaan yksinkertainen tietojen ja riskien luokittelujärjestelmä. Tietojen luokitusjärjestelmällä määritellään mitkä yrityksen tiedot suojataan ensisijaisesti. Riskien luokitusjärjestelmällä kuvataan millaisiin riskeihin varaudutaan ensisijaisesti. (Hakala ym. 2006, 62, 65.) Tietoturvasuunnittelun yleismäärittely-vaiheessa tehdään myös tietojärjestelmäkohtainen riskianalyysi, joka muodostuu riskikartoituksesta ja riskien arvioinnista. Riskikartoituksessa etsitään yrityksen toimintaan liittyvät nykyhetken riskit sekä etsitään tulevaisuuden uhkakuvia. Riskikartoitus tehdään yleisellä tasolla, jolloin etsitään yrityksen tietojärjestelmiin yleisluontoisesti liittyviä riskejä ja uhkakuvia sekä tietojärjestelmäkohtaisesti jokaiselle tietojärjestelmälle omansa. Riskien arvioinnissa arvioidaan millä todennäköisyydellä löydetyt riskit ja uhkakuvat realisoituvat. Lisäksi arvioidaan löydettyjen riskien ja uhkakuvien vaikutus yrityksen toimintaan. Arvioinnissa hyödynnetään tietojen luokitusjärjestelmää. (Hakala ym. 2006, ) Tietoturvallisuuden suunnittelussa varaudutaan löydettyihin riskeihin ja haetaan keinoja niiden välttämiseksi. Lisäksi pyritään pienentämään riskien vaikutusta. Tietoturvallisuuden suunnittelussa etsitään ja valitaan taloudellisimpia keinoja suojautua riskeiltä. Kustannus-hyöty-ajattelu näkyy myös siinä, että tietoisesti tehdyn ratkaisun pohjalta ei suojaudutakaan kaikilta riskeiltä. Yrityksen tietoturvallisuudessa on löydettävissä riskejä, joiden poistaminen kokonaan on joskus mahdotonta. Tällaisten riskien todennäköisyys realisoitua alennetaan mahdollisimman pieneksi sekä varaudutaan riskiin lieventämällä riskin vaikutuksia. Tietoisen päätöksen jälkeen voidaan myös olla varautumatta joihinkin riskeihin. Riskien hallinnassa luodaan kriteerit hyväksyttävälle riskille, joka on riskeiltä suojautumisen tavoitteena. 8

13 Suojautumiskeinojen käyttöönottamisen jälkeen olemassa olevaa riskiä nimitetään jäännösriskiksi, jonka täytyy olla pienempi kuin hyväksyttävä riski. (Hakala ym. 2006, ) Riskiltä suojautuminen aiheuttaa lähes aina kustannuksia. Tiedon suojaamiskustannukset ja tiedon arvo täytyy arvioida, minkä jälkeen suojaamiskustannukset suhteutetaan suojattavan tiedon arvoon. Suojaamiseen käytettävien kustannusten tulee pysyä pienempinä kuin mitä suojattavan tiedon todellinen arvo on. Vaikka riskeiltä suojautuminen olisi miten tehokasta, riskien realisoitumiseen täytyy varautua. Tämä toteutetaan tekemällä kaikille yrityksen tietojärjestelmille erillinen toipumissuunnitelma. Tarkka toipumissuunnitelma helpottaa oikeiden ja tehokkaiden toimenpiteiden tekemistä, kun riski on realisoitunut. (Hakala ym. 2006, 94, 98.) Normaalioloissa piilevien riskien lisäksi yrityksen on varauduttava toimintaan poikkeusoloissa. Suomalaisissa yrityksissä tämä tarkoittaa varautumista esimerkiksi lakkoihin ja työsulkuihin, tulviin ja muihin poikkeuksellisiin sääolosuhteiseen sekä sähkökatkoksiin ja tautiepidemioihin. Tällaisia kriisejä ja poikkeusoloja varten yrityksen tulisi tehdä valmiussuunnitelma, jossa yrityksen tulisi arvioida eri kriisien ja poikkeusolojen vaikutuksia yrityksen toimintaan sekä miettiä miten yrityksen toiminta jatkuu kriisioloissa. Lisäksi yrityksen toiminta pitäisi osata tarvittaessa keskeyttää hallitusti sekä käynnistää uudelleen kriisin jälkeen. (Hakala ym. 2006, ) 2.6 LAITTEET, OHJELMISTOT JA TIETOVERKKO Työasemien tietoturva jaetaan pöytäkoneiden ja kannettavien tietokoneiden tietoturvaan. Käyttäjien osaaminen ja motivaatio ovat keskeisiä käytettäessä työasemia tietoturvallisesti. Kaikille käyttäjille pitäisi antaa ohjeistus laitteiden ja verkkopalvelujen oikeaoppisesta käytöstä. Myös sovellusten oikeasta käytöstä pitäisi tarvittaessa antaa ohjeistusta ja koulutusta. (Hakala ym. 2006, ) Verkon turvallisuuden ja sen suojauksen perusperiaatteen mukaan käyttäjälle annetaan vain välttämättömät oikeudet niihin laitteisiin ja niissä oleviin tietoihin, jotka hän tarvitsee. Tietoturvasuunnitelmaa tehtäessä tulee huomioida, että se on tasapainottelua tietojärjestelmällä tarjottavien palveluiden tason ja niistä aiheutuvien uhkatekijöiden välillä. (Hakala ym. 2006, 183.) Myös käyttöjärjestelmissä jokaiselle käyttäjälle annetaan henkilökohtainen käyttäjätunnus, jonka perusteella tietokoneiden käyttäjille pystytään antamaan keskenään erilaisia käyttöoikeuksia. Käyttöoikeuksia annettaessa pitäisi pyrkiä varmistamaan käyttäjälle sujuva työskentely omien työtehtäviensä hoitamiseksi. Yleinen periaate on, että aluksi käyttäjälle annetaan peruskäyttöoikeudet, jonka jälkeen käyttäjän oikeuksia lisätään tarpeen mukaan. Käyttöjärjestelmän toimintaa ja käyttöoikeuksien käyttöä seurataan palvelinjärjestelmän valvonnassa eli auditoinnissa. (Hakala ym. 2006, , 156.) Työasemien vakiointi tehostaa yrityksen työskentelyä. Vakioinnilla tarkoitetaan, että käyttöjärjestelmien ja käyttäjäympäristöjen asetukset sekä sovellusohjelmien kokoonpanot määritellään samanlaisia työtehtäviä tekeville käyttäjille keskenään samanlaisiksi. Tällöin työasemia voidaan monistaa koneelta toiselle. (Hakala ym. 2006, 133.) Palvelintietokoneet jaetaan toiminnan mukaan yrityksen peruspalvelimiksi ja ulkoisia palveluita tuottaviksi palvelimiksi. Palvelimissa käytetään vikasietoisia tekniikoita, joiden tavoitteena on vähentää laiterikon aiheutuvia käyttökatkoja. Käytännössä palvelimessa on yhden komponentin sijaan useita samoja komponentteja, kuten kiintolevyjä, tuulettimia, muistipiirejä ja virtalähteitä. (Hakala ym. 2006, ) Palvelinten käyttö tiedon tallennuspaikkana helpottaa tiedon varmistusten hallintaa. Ohjelmistopuolella tulee huolehtia käyttöjärjestelmien ja ohjelmistojen tietoturvapäivityksistä ja muista korjauspäivityksistä. Yleisimmät tietoturvaohjelmistot ovat virustentorjuntaohjelmistoja ja palomuurisovelluksia. Virustorjuntaohjelmien virustietokanta pitää päivittää riittävän usein jopa päivittäin. (Hakala ym. 2006, 135, 170.) Kannettavien tietokoneiden tietoturvan haasteena on se, että tietokoneen järjestelmää käytetään yrityksen sisäjärjestelmässä ja ulkopuolisissa järjestelmissä. Myös tiedon tallennus ja varmennus sekä virustietokantojen päivitys ovat keskeisiä. Tietoliikenneyhteyksien rakentaminen ja tietoliikenteen salaus korostuvat turvallisessa etätyöskentelyssä. Kannettavassa tietokoneessa säilytettävä kriittinen tieto täytyy olla turvassa myös silloin, jos kannettava joutuu ulkopuolisen henkilön haltuun. (Hakala ym. 2006, 137.) 9

14 Palvelinten varmistaminen on yksi yrityksen tietojärjestelmien perustoiminnoista. Laissa kuvataan miten vanhaa tietoa tulee säilyttää. Varmistusten käytännöt täytyy suunnitella ja toteuttaa huolellisesti. Myös varmistusten tapa, tiheys ja kohde täytyy suunnitella huolellisesti. Datan varmistaminen on yrityksen toiminnan kannalta tärkeintä. Datan tuhoutuminen on helpompi huomata kuin datan muuttuminen. Aika ajoin dataa joudutaan palauttamaan pitkänkin ajan kuluttua. Vanhaa dataa ei välttämättä pysty palauttamaan päivitettyyn ohjelmistoversioon. Siksi joskus on tärkeää varmistaa koko järjestelmä etenkin ennen suuria muutoksia. (Hakala ym. 2006, ) Tämän hetken tärkeimmät varmistusmediat ovat cd ja dvd, ulkoinen kiintolevy, varmistusnauha sekä nauharobotti. Varmistustietoja kannattaa säilyttää eri rakennuksessa kuin missä atk-tilat ovat. Säilytystilan on kestettävä tulipaloa ja vesivahinkoa sekä muita mahdollisia ongelmatilanteita. Varmistusten käytettävyys on hyvä testata. Tiedon muuttuminen tai tuhoutuminen aiheuttaa eniten tiedon eheyden ja saatavuuden ongelmia, minkä takia palautuksissa käsitellään useimmiten dataa. Palvelinjärjestelmän ongelmat johtuvat yleensä laiterikoista. Palvelinjärjestelmä tuhoutuu harvoin. Testaamalla ohjelmisto- ja käyttöjärjestelmäpäivitykset perusteellisesti ennen käyttöönottoa minimoidaan käyttöjärjestelmien ja ohjelmistojen tuhoutumista. (Hakala ym. 2006, 144, 146.) Tiedon eheys hoidetaan pääsääntöisesti ohjelmoinnilla ja sovellussuunnittelulla. Luottamuksellisuuden ja käytettävyyden ylläpito ovat keskeisiä tehtäviä verkon turvallisuuden varmistamisessa. Verkon luottamuksellisuutta ja käytettävyyttä ylläpidetään kontrolleilla. Näiden tietoliikenteen kontrollien tavoitteena on säilyttää verkossa liikkuvan tiedon luottamuksellisuus sekä varmistaa, että verkossa olevat palvelut ovat saatavilla. Tiedon saannin estyminen on uhka, joka kohdistuu tietoverkkoihin yleisimmin. Se myös realisoituu useimmiten. Käytännössä uhka realisoituu, kun jokin verkon laite vikaantuu tai tiedon saanti estetään tahallisella hyökkäyksellä, jolla tukitaan palvelun toiminta. Viime aikoina hyökkäykset ovat kohdistuneet yleisimmin postipalvelimiin. (Hakala ym. 2006, , 186.) Verkonhallinnan tärkein tehtävä on turvata verkossa tarjottavien palveluiden toimivuus. Verkonhaltijan on varmistettava myös palvelimen ja sitä käyttävien asiakkaiden välillä olevien yhteyksien ylläpito sekä yhteyksien luotettavuus ja turvallisuus. Lisäksi verkonhaltijan vastuulla on verkon siirtokapasiteetin riittävyys. (Hakala ym. 2006, 259.) Verkolla ja palvelimilla tarjottavan kapasiteetin on oltava riittävä. Verkon rakenne on suunniteltava ennen verkon suojaamiseen liittyvien päätösten tekemistä. Rakenteen suunnittelussa mietitään mihin verkon osaan palvelut sijoitetaan sekä millaisia aktiivilaitteita, kaapelijärjestelmiä ja laajaverkkoliittymiä käytetään. Tietoliikenteen pullonkaulojen määrä minimoidaan ja oma sisäverkko rakennetaan siten, että sinne pääsee ulkoa vain suojattuja yhteyksiä käyttämällä. Palomuuri on laite tai ohjelmisto, jolla estetään luvattoman henkilön pääsy verkkoon tai verkossa tarjottavaan yksittäiseen palveluun. (Hakala ym. 2006, 184, 187.) Aikaisemmin sisäverkoissa käytettiin reitittimiä. Nykyisissä sisäverkoissa reitittimet korvataan kytkimillä. Kytkimet mahdollistavat useimpien verkon arkkitehtuurista aiheutuvien ongelmien ratkaisemisen. Ne tekevät mahdolliseksi myös vikasietoisten verkkojen toteuttamisen ja virtuaalisten lähiverkkojen yhdistämisen. Virtuaalisilla lähiverkoilla pystytään keskeisesti parantamaan siirrettävien tietojen luottamuksellisuutta. Dynaaminen reititys mahdollistaa varareittien hyödyntämisen staattista reititystä tehokkaammin. Lisäksi dynaamisella reitityksellä pystytään käyttämään rinnakkaisia reittejä sekä tasaamaan verkon kuormitusta. (Hakala ym. 2006, 227, 230, 239.) 10

15 3 EMPIIRINEN OSA 3.1 TUTKIMUSAINEISTO Tämän tutkimuksen osana on suoritettu ei-kokeellinen empiirinen tutkimus. Tutkimusaineisto on kerätty kirjallisella kyselyllä. Kysely on toteutettu pääasiallisesti sähköisesti. Internetiin on laadittu wwwsivu, joka on ollut ASP-koodilla tehty kyselylomake. Www-sivu on siirretty Internetiin Malmin liiketalousinstituutin palvelimelle. Tämän jälkeen on lähetetty sähköposti kaikille sellaisille sähköpostitse tavoitettavissa oleville Malminseudun yritysyhdistykseen kuuluville yrityksille, joiden sähköpostiosoite on löytynyt Malminseudun yritysyhdistyksen www-sivustolta (http://www.malminseudunyritysyhdistys.fi). Yhteensä sähköposteja on lähetetty 136. Lähetettyihin sähköposteihin on tullut 7 vastausta, että vastaanottajan sähköpostiosoite ei ole käytössä. Näin ollen on oletettavaa, että sähköposti on mennyt perille 129 yritykselle. Sähköpostissa on kerrottu kyselylomakkeen URL-osoite ja yritystä on pyydetty vastaamaan kyselyyn eli täyttämään kyselylomakkeen Internetissä. Yritysten vastaustiedot on siirretty lomakkeelta tutkijan luomaan Microsoft Access -tietokantaan. Vastauksia saapui määräaikaan mennessä yhteensä 16 kappaletta eli kyselyyn vastasi 12,4 prosenttia niistä 129 yrityksestä, joille sähköposti meni oletettavasti perille. Näistä 16 vastauksesta 2 saatiin sähköpostilla, koska sähköisen kyselylomakkeen täyttämisessä oli yrityksellä ongelmia. Lisäksi yksi vastaus saatiin paperilla yritysvierailun yhteydessä. Kaikissa kolmessa yrityksessä vastattiin täsmälleen samoihin kysymyksiin kuin sähköisessä kyselylomakkeessa. Kaikki vastanneet yritykset sijaitsevat Helsingissä. Suurin osa yrityksistä eli 10 yritystä sijaitsee Helsingin Malmin kaupunginosassa. Kyselyyn vastasi yksi yritys myös Tapaninkylästä, Suutarilasta ja Puistolasta. Lisäksi yksi yritys ilmoittaa, että sen yrityksellä on toimipiste Oulunkylässä, Pukinmäellä ja Hakaniemessä. Kaksi yritystä ei ole määritellyt sijaintiansa Helsingin kaupunkia tarkemmaksi. Yrityksistä selvitettiin myös vakinaisten työntekijöiden määrä. Myöhemmin puhuttaessa työntekijöiden määrästä tarkoitetaan nimenomaan vakinaisten työntekijöiden määrää. Yritysten ilmoittamien työntekijöiden määrän keskiarvoksi saadaan 13,4 työntekijää. Tekesin (2006) määritelmän mukaan yritys on henkilöstömäärältään pk-yritys, jos sen työntekijämäärä on alle 250. Kaikki vastanneet yritykset täyttävät tämän ehdon, sillä työntekijämäärältään suurimman yrityksen vastauksessa ilmoitetaan työntekijöiden määräksi 100. Loput vastanneista yrityksistä ovat työntekijämäärältään pieniä. Laskettaessa näiden 15 pienimmän yrityksen työntekijämäärän keskiarvo, saadaan tulokseksi 7,6 työntekijää. Kaikkien 16 yrityksen työntekijämäärät on esitetty taulukossa 1. TAULUKKO 1 Kyselyyn vastanneiden yritysten vakinaisten työntekijöiden määrät Työntekijöitä Taulukosta 1 nähdään, että yritysten työntekijöiden määrä vaihtelee välillä Toiseksi suurimmassa yrityksessä on 19 työntekijää. Seuraavaksi suurimmissa yrityksissä on 15 ja 12 sekä kahdessa 11

16 yrityksessä 10 työntekijää. Vastanneista 16 yrityksestä kymmenessä on alle 10 työntekijää. Näistä yhdessä yrityksessä on 9 työntekijää, yhdessä 7 ja kahdessa 6 työntekijää. Loput kuusi yritystä on alle 5 työntekijän yrityksiä. Näistä kolmessa on 4 työntekijää, kahdessa 3 ja yhdessä 2 työntekijää. Myöhemmin tutkimustulosten esittelyssä, kun yrityksiä vertaillaan koon mukaan, vertailu tehdään yritysten työntekijöiden määrän mukaan. Toimialaa koskeneeseen kysymykseen tuli 15 vastausta eli yksi yritys ei ole ilmoittanut toimialaansa. Yrityksen toimiala -kysymyksen vastauskenttä oli vapaateksti-muotoinen, eli yritys sai itse kirjoittaa vapaasti toimialakuvauksensa. Tilastokeskuksen (2002) toimialaluokituksessa yritykset jaetaan toimialan mukaan 18 pääluokkaan. Taulukossa 2 on esitetty Tilastokeskuksen toimialaluokituksen mukainen yritysten jakautuminen eri toimialoille. TAULUKKO 2 Kyselyyn vastanneiden yritysten edustamat toimialat Toimiala Yritystä (kpl) Teollisuus 6 Sähkö-, kaasu- ja vesihuolto 1 Tukku- ja vähittäiskauppa 4 Majoitus- ja ravitsemistoiminta 1 Kuljetus, varastointi ja tietoliikenne 1 Koulutus 1 Terveydenhuolto- ja sosiaalipalvelut 1 Taulukosta 2 voidaan havaita, että vastanneet 15 yritystä edustavat yhteensä seitsemää toimialaa. Eniten kyselyyn vastasi teollisuuden sekä tukku- ja vähittäiskaupan toimialoihin kuuluvia yrityksiä. Teollisuuden toimialan yrityksiä vastasi kuusi yritystä sekä tukku- ja vähittäiskaupan toimialalta neljä yritystä. Kyselyyn osallistui yksi sähkö-, kaasu- ja vesihuollon yritys sekä yksi kuljetusyritys. Lisäksi vastaajien joukossa oli yksi koulutusta tarjoava yritys, yksi majoitus- ja ravitsemistoiminnan yritys sekä yksi terveydenhuolto- ja sosiaalipalveluja tuottava yritys. Kyselyssä pyydettiin kertomaan kyselyyn vastanneen henkilön asema yrityksessä. Tähän kysymykseen saatiin 14 vastausta eli kaksi vastaaja ei ilmoittanut asemaansa yrityksessä. Kyselyyn vastasi 10 yrityksessä toimitusjohtaja. Yhdessä yrityksessä kyselyyn vastasi vastuunalainen yhtiömies ja yhdessä hallituksen puheenjohtaja. Lisäksi yksi vastaaja ilmoitti olevansa hallinnollisista asioista vastaava henkilö ja yksi atk-päällikkö. Taulukossa 3 esitetään yhteenveto vastaajien asemasta. TAULUKKO 3 Kyselyyn vastanneiden henkilöiden asema yrityksessä Asema yrityksessä Vastaajia (kpl) Toimitusjohtaja 10 Vastuunalainen yhtiömies 1 Hallituksen puheenjohtaja 1 Atk-päällikkö 1 Hallinnollisista asioista vastaava 1 Ei ilmoita asemaansa 2 Yrityksistä voidaan antaa vain vähän tarkkoja tietoja, koska ainakin osassa yrityksiä yritysten toimialasta ja henkilöstömäärästä olisi helposti pääteltävissä mistä yrityksestä on kyse. Yrityksistä voidaan kuitenkin kertoa seuraavat asiat: YR1 malmilainen keskisuuri tukku- ja vähittäiskaupan alan yritys YR2 malmilainen pieni tukku- ja vähittäiskaupan alan yritys YR3 malmilainen pieni teollisuudenalan yritys YR4 pieni koulutusalan yritys, jolla on toimipiste kolmessa Helsingin kaupunginosassa YR5 malmilainen pieni teollisuudenalan yritys YR6 pieni helsinkiläinen kuljetusalan yritys YR7 pieni teollisuudenalan yritys, joka sijaitsee Helsingin Suutarilassa YR8 malmilainen pieni tukku- ja vähittäiskaupan alan yritys YR9 malmilainen pieni teollisuudenalan yritys YR10 malmilainen pieni teollisuudenalan yritys 12

17 YR11 pieni helsinkiläinen majoitus- ja ravitsemistoiminnan alan yritys YR12 malmilainen pieni yritys, jonka toimialaa ei ole kerrottu YR13 pieni tukku- ja vähittäiskaupan alan yritys Helsingin Puistolassa YR14 malmilainen pieni teollisuudenalan yritys YR15 pieni sähkö-, kaasu- ja vesihuoltoalan yritys Helsingin Tapaninkylässä YR16 malmilainen pieni terveydenhuolto- ja sosiaalipalvelualan yritys Kyselylomake jaetaan kahteen osaan. Kyselyn viisi ensimmäistä kysymystä kartoittavat yrityksen taustatietoja. Varsinaisesti tietoturvan tilaa selvitetään 26 kysymyksellä. Nämä kysymykset on aseteltu siten, että käyttäjä vastaa niihin kyllä tai ei. Kyselylomakkeeseen ei ole tehty tarkistuskoodia, joka pakottaisi käyttäjän vastaamaan jokaiseen kohtaan. Näin ollen jokainen yritys ei ole välttämättä vastannut kaikkiin kysymyksiin. Kyselyn tarkoituksena on selvittää millainen on yritysten tietoturvan tila eräillä tietoturvan osa-alueilla. Kysymyksillä tutkitaan tietoturvan hallinnollisen hoitamisen tasoa, esimerkiksi suunnitelmien ja vastuiden osalta. Yrityksiltä kysytään tietoturvan kehittämisestä ja raportoimisesta sekä selvitetään tiedon arvon merkitystä yritykselle. Kyselyssä kartoitetaan myös varmuuskopiointiin suhtautumista. 3.2 TUTKIMUSMENETELMÄN ESITTELY Tutkittavia yrityksiä on 16. Tutkimustulosten käsittelyssä käytetään ensisijaisesti kvantitatiivista tutkimusmenetelmää. Saadut vastaukset käydään kysymys kysymykseltä läpi ja lasketaan saatujen kyllävastausten ja ei-vastausten määrä. Myös mahdollisten tyhjien vastausten määrä lasketaan. Tutkimuksessa käytetään jossain määrin vertailevaa menetelmää. Yritysten vastauksista haetaan kysymys kysymykseltä yhtäläisyyksiä ja eroja. Kysymyksille pyritään muodostamaan yhteyksiä muihin kysymyksiin eli haetaan toisiinsa liittyviä tai toisistaan riippuvia kysymyksiä ja vertaillaan niistä saatujen vastauksien yhtäläisyyksiä ja eroja eri yritysten välillä. Näin vertailemalla vastauksista pyritään selvittämään onko esimerkiksi toimialalla tai vakinaisten työntekijöiden määrällä vaikutusta saatujen vastausten luonteeseen. Jos tällaisia yhteyksiä löydetään, verrataan kyseisten kysymysten vastauksia keskenään ja mietitään miten mainitut asiat ovat suhteessa toisiinsa. Samalla mietitään ovatko vastaukset yllättäviä vai voidaanko niiden katsoa olevan odotetunlaisia. Vastauksista pyritään löytämään niitä tietoturvan osa-alueita, joista yrityksissä on huolehdittu riittävällä tasolla. Toisaalta vastauksista pyritään nostamaan esiin ne tietoturvan osa-alueet, joihin yritysten tulisi kiinnittää enemmän huomiota ja parantaa niitä. Vastauksista pyritään selvittämään myös, mitkä tietoturvan osa-alueet yritykset kokevat tärkeinä ja vastaavasti epäoleellisina. Yksi yrityksistä on työntekijämäärältään selkeästi suurempi kuin muut yritykset. Saaduista vastauksista pyritään selvittämään poikkeavatko tämän yrityksen vastaukset muiden yritysten vastauksista jollakin tietoturvan osa-alueella. Vastanneista yrityksistä yli puolet eli 10 yritystä toimii teollisuuden tai tukku- ja vähittäiskaupan alalla. Erityisesti näillä toimialoilla toimivien yritysten vastauksista pyritään löytämään toimialaluokkakohtaisia yhtäläisyyksiä tietoturvan tilassa. Kaikki vastanneet yritykset sijaitsevat Helsingissä, pääasiassa Malmilla. Muutkin yritykset sijaitsevat Malmin lähettyvillä, joten yritysten sijainnista ei pyritä etsimään erityisiä piirteitä vastausten esittelyssä. 13

18 4 TUTKIMUSTULOSTEN ESITTÄMINEN Selkeä enemmistö vastanneista yrityksistä ilmoittaa, että yrityksellä on selkeä johdon hyväksymä tietoturvapolitiikka. Tietoturvapolitiikka löytyy 11 yritykseltä. Samalla vain 5 yritystä ilmoittaa, että yrityksestä ei löydy tällaista tietoturvapolitiikkaa. Sen sijaan tietoturvasuunnitelmaa ei löydy läheskään kaikista yrityksistä. Yhdeksän yritystä ilmoittaa, että yrityksellä ei ole tietoturvasuunnitelmaa. Tietoturvasuunnitelma on tehty seitsemässä yrityksessä. Kaikki yritykset, joille tietoturvasuunnitelma on tehty, ovat sellaisia, joista löytyy myös johdon hyväksymä tietoturvapolitiikka. Sen sijaan neljässä sellaisessa yrityksessä, joissa on yrityksen hyväksymä tietoturvapolitiikka, ei ole tehty tietoturvasuunnitelmaa. Vastauksista on nähtävissä, että työntekijöiden määrä vaikuttaa jossain määrin tietoturvapolitiikan olemassa oloon: kaikkiaan 11 tietoturvapolitiikan löytymisestä ilmoittavasta yrityksestä yhdeksän kuuluu kymmenen työntekijämäärältään suurimman yrityksen joukkoon. Tietoturvasuunnitelma sen sijaan löytyy kaiken kokoisista yrityksistä. Työntekijöiden määrä ei näyttäisi vaikuttavan myöskään siihen löytyykö yrityksestä sekä tietoturvapolitiikka että tietoturvasuunnitelma, sillä myös toisesta 3 työntekijän yrityksestä on löydettävissä molemmat. Kymmenestä suurimmasta yrityksestä ainoastaan yhdeltä yritykseltä ei löydy tietoturvapolitiikkaa eikä tietoturvasuunnitelmaa. Jos tarkastellaan kaikkia yrityksiä, viideltä yritykseltä ei löydy kumpaakaan edellä mainituista. Tarkasteltaessa yrityksiä toimialoittain huomataan, että kaikissa kuudessa teollisuuden alan yrityksessä on tehty tietoturvapolitiikka, mutta tietoturvasuunnitelma puuttuu kahdelta yritykseltä. Tukku- ja vähittäiskaupan alan yritysten vastauksista ei näiltä osin löydy keskinäisiä yhtäläisyyksiä. Tietoturvavastuut on määritelty yhdeksässä yrityksessä. Seitsemän yritystä ilmoittaa, että tietoturvavastuista ei ole tehty määrittelyä. Työntekijöiden määrä näyttäisi vaikuttavan jossain määrin tietoturvavastuiden määrittelyyn, sillä kyllä-vastanneista yhdeksästä yrityksestä kuusi kuuluu seitsemän työntekijämäärältään suurimman yrityksen joukkoon. Tietoturvavastuiden määrittelyitä on tehty kuitenkin myös pienimmissä yrityksissä, sillä molemmat kolmen työntekijän yritykset ilmoittavat, että tietoturvavastuut on määritelty. Molemmat näistä yrityksistä ovat siinä suhteessa edistyksellisiä, että niissä on olemassa myös johdon hyväksymä tietoturvapolitiikka. Tietoturvasuunnitelma löytyy kuitenkin vain toisesta yrityksestä. Toinen näistä yrityksistä kuuluu teollisuuden toimialaan ja toinen sähkö-, kaasu- ja vesihuollon alaan. Tietoturvallisuuden riskikartoitus on tehty vain viidessä yrityksessä. Nämä yritykset kuuluvat työntekijämäärältään 10 suurimman yrityksen joukkoon. 11 yritystä vastaa, että yrityksessä ei ole tehty tietoturvallisuuden riskikartoitusta. Kuudessa näistä yrityksistä on olemassa kuitenkin tietoturvapolitiikka. Kaikki kyllä-vastanneet yritykset ovat sellaisia, joissa on tehty tietoturvapolitiikka ja määritelty tietoturvavastuut. Tietoturvasuunnitelmakin on tehty neljässä yrityksessä viidestä. Kun tutkimustuloksia tarkastellaan työntekijämäärän suhteen, huomataan, että kuudesta suurimmasta yrityksestä riskikartoituksen on tehnyt neljä yritystä. Vastaavasti kuudesta pienimmästä yrityksestä yksikään ei ole tehnyt tietoturvallisuuden riskikartoitusta. Toimialalla ei näyttäisi vaikuttavan tuloksiin mitenkään, sillä sekä kyllä- että ei-vastauksia on tullut eri toimialoissa. Lähes kaikki yritykset eli 14 yritystä vastaa, että yrityksessä ei ole tehty tietoturvallisuuden kehittämissuunnitelmaa. Tietoturvallisuuden kehittämissuunnitelma on tehty ainoastaan kahdessa yrityksessä. Kaikki kymmenen toimitusjohtajaa vastaavat, että yrityksellä ei ole tietoturvallisuuden kehittämissuunnitelmaa. Molemmissa näistä yrityksistä on olemassa tietoturvapolitiikka ja tietoturvasuunnitelma. Kyseisissä yrityksissä on määritelty myös tietoturvavastuut ja tehty riskikartoitus. Toinen yrityksistä on teollisuuden ja toinen kuljetusalan yritys. Yritykset edustavat työntekijämäärältään vastanneiden yritysten keskiarvoa. Näin ollen työntekijämäärällä ei näyttäisi olevan vaikutusta kehittämissuunnitelman olemassaoloon. Ei-vastanneista yrityksistä kolmessa on kuitenkin tehty tietoturvallisuuden riskikartoitus. Kaikki 16 kyselyyn vastannutta yritystä ilmoittavat tietävänsä mikä on heidän yrityksessänsä arvokasta tietoa. Yritykset myös pääsääntöisesti tietävät miten yrityksen arvokasta tietoa valvotaan, sillä vain kaksi yritystä vastaa, että ei tiedä miten yrityksen arvokasta tietoa valvotaan. Näiden kahden yrityksen kesken ei ole löydettävissä mitään yhtäläisyyksiä työntekijämäärän tai toimialan suhteen. Vain kolme yritystä ilmoittaa, että yrityksessä katoaa tietoa. Yksi näistä yrityksistä on toinen niistä yrityksistä, jotka ilmoittavat, että eivät tiedä miten heidän yrityksessään valvotaan arvokasta tietoa. Työntekijämäärältään ja toimialaltaan näillä kolmella yrityksellä ei ole yhtäläisyyttä. 13 yrityksessä tietoa ei ilmoiteta katoavan. 14

19 11 yrityksen vastauksen mukaan, jos yrityksestä varastettaisiin tietokone, sen sisältämää tietoa voitaisiin hyödyntää. Viiden yrityksen vastauksissa tiedon hyödyntämistä ei pidetä mahdollisena. Kaikki kuusi kyselyyn vastannutta teollisuuden alan yritystä kuuluvat niihin 11 yritykseen, joissa tiedon hyödyntäminen varastetusta koneesta pidetään mahdollisena. Myös tukku- ja vähittäiskaupan yritykset yhtä lukuunottamatta pitävät tiedon hyödyntämistä varastetusta tietokoneesta mahdollisena. Puolessa eli 8 vastanneessa yrityksessä on tietojen suojaamisesta huolehdittu siten, että yrityksessä mahdollisesti syttyvä tulipalo ei voi tuhota yrityksen tärkeitä tietoja ja pysäyttää yrityksen liiketoimintaa. Kuitenkin vajaassa puolessa eli 7 yrityksessä tietojen tuhoutumista tulipalossa ja liiketoiminnan pysähtymistä pidetään mahdollisena. Yksi yritys vastaa kysymykseen kyllä ja ei, eli tulipalo voi tuhota osan yrityksen tiedoista. Vastauksista on nähtävissä, että työntekijöiden määrä ei vaikuta tietojen tulipalolta suojaamisen tasoon. Myöskään toimialoittain kohdistuvassa tarkastelussa ei ole nähtävissä mitään yhtäläisyyttä toimialojen välillä. Mainittakoon kuitenkin, että teollisuuden alojen yrityksistä kolme vastaa tähän kysymykseen kyllä, ja niistäkin yksi on se yritys, joka vastaa kysymykseen kyllä ja ei. Kymmenen yritystä vastaa, että yrityksestä irtisanottu työntekijä voi tuhota tärkeitä tietoja tai viedä ne eteenpäin ja hyötyä niistä. Kuudessa yrityksessä tällaista toimintaa ei pidetä mahdollisena. Työntekijämäärä ei näyttäisi vaikuttavan vastaukseen, sillä molempia vastauksia on kaiken kokoisissa yrityksissä. Teollisuuden toimialalla toimivista kuudesta yrityksestä vain yksi vastaa tähän kysymykseen kielteisesti. Näin ollen viidessä vastanneessa teollisuuden alan yrityksessä pidetään tietojen tuhoamista ja hyödyntämistä irtosanotun työntekijän toimesta mahdollisena. Yksi kysymys koskee ohjelmistojen salasanojen säilytyspaikkaa. Vastanneista henkilöistä neljä tietää yrityksessä jonkun henkilön, joka säilyttää ohjelmistosalasanaa tietokoneen lähettyvillä. Kyllävastanneet yritykset ovat kaiken suuruisia ja ne edustavat eri toimialoja. Kolmessa niistä löytyy tietoturvapolitiikka. Vain yhdessä kyllä-vastanneessa yrityksessä on tehty tietoturvallisuuden riskikartoitus. Ei-vastauksia tuli tähän kysymykseen 12 yritykseltä. Kuudessa yrityksessä käyttäjätunnus annetaan pyydettäessä toisen henkilön, esimerkiksi mikrotukihenkilön, tietoon. Viisi näistä yrityksistä kuuluu kahdeksan työntekijämäärältään suurimman yrityksen joukkoon. Lähes kaikki yritykset, joissa käyttäjätunnus annetaan pyydettäessä, ilmoittavat tietävänsä miten yrityksen tärkeää tietoa valvotaan. Ainoastaan yksi näistä kuudesta yrityksestä ei tiedä valvonnan periaatteita. Kymmenessä yrityksessä käyttäjätunnuksia ei anneta pyydettäessäkään muiden henkilöiden tietoisuuteen. Toimialan mukaisessa tarkastelussa ei ole nähtävissä keskinäistä yhteneväisyyttä eri toimialojen sisällä. Yli puolessa yrityksistä eli 9 yrityksessä on tunnistettu tietoturvallisuuden kehittämistarpeet. Seitsemän yritystä vastaa, että tietoturvallisuuden kehittämistarpeiden tunnistusta ei ole tehty. Työntekijämäärän mukaan tarkasteltuna ei ole löydettävissä mitään yhtäläisyyttä erikokoisten yritysten kesken. Sen sijaan toimialoittain tarkasteltaessa huomataan, että yhtä lukuunottamatta kaikissa muissa teollisuuden alan yrityksissä on tunnistettu tietoturvallisuuden kehittämistarpeet. Kehittämistarpeiden tunnistuksessa saatuja tuloksia ei ole kuitenkaan välttämättä hyödynnetä täydellisesti, sillä vain yhdessä niistä yhdeksästä yrityksestä, jossa tietoturvallisuuden kehittämistarpeet on tunnistettu, on tehty tietoturvallisuuden kehittämissuunnitelma. On kuitenkin huomioitava, että kehittämissuunnitelma on tehty kaiken kaikkiaankin vain kahdessa yrityksessä. Tietoturvallisuuden kehittämistarpeet tunnistaneista yhdeksästä yrityksestä kolmessa on tehty myös tietoturvallisuuden riskikartoitus. Viidellä kehittämistunnistuksen tehneistä yrityksistä on olemassa tietoturvasuunnitelma. Tietoturvaan liittyvistä tapahtumista ja heikkouksista raportoidaan kuudessa yrityksessä. Kuitenkin enemmistö yrityksistä eli 10 yritystä ilmoittaa, että tällaista raportointia ei tehdä. Työntekijämäärä ei näyttäisi vaikuttavan yritysten vastauksiin, sillä raportointia tehdään kaiken kokoisissa yrityksissä. Myöskään yrityksen toimialalla ei kyselyllä saatujen vastausten mukaan ole vaikutusta tietoturvaraportoinnin tekemiseen tai tekemättömyyteen. Henkilöstö perehdytetään tietoturvan käytäntöihin yhdeksässä yrityksessä. Näistä yrityksistä viisi kuuluu seitsemän työntekijämäärältään suurimman yrityksen joukkoon. Perehdytystä tehdään kuitenkin kaikkein pienimmissäkin yrityksissä. Tietoturvakäytäntöjen perehdytystä ei tehdä seitsemässä yrityksessä. Yhdessä yrityksessä, jossa perehdytystä annetaan, ei ole olemassa tietoturvapolitiikkaa. Vastaavasti kolmessa yrityksessä, joissa yritykselle on luotu tietoturvapolitiikka, työntekijöitä ei perehdytetä tietoturvan käytäntöihin. Yhdessä yrityksessä, jossa on määritelty tietoturvavastuut, työntekijöille ei anneta tietoturvaperehdytystä. Teollisuuden alan yrityksistä tietoturvaan perehdyttämistä tapahtuu viidessä yrityksessä. 15

20 Yhdessä yrityksessä, joissa työntekijöille ei anneta tietoturvaperehdytystä, työntekijän tiedetään säilyttävän ohjelmistosalasanaa tietokoneen lähettyvillä. Kyseisessä yrityksessä sekä yhdessä toisessa eivastanneessa yrityksessä annetaan käyttäjätunnukset pyydettäessä toisen työntekijän tietoisuuteen. Kummastakaan yrityksestä ei löydy tietoturvapolitiikkaa. Vastaavasti kolmessa tietoturvaperehdytystä antavassa yrityksessä joku työntekijä säilyttää ohjelmistosalasanaa tietokoneen lähettyvillä. Näissä yrityksissä on olemassa myös tietoturvapolitiikka. Samoissa yrityksissä annetaan myös käyttäjätunnukset pyydettäessä toisen työntekijän tietoisuuteen. Työntekijöiden pääsyä eri Internet-sivustoille on rajoitettu kuudessa yrityksessä. Suurimmassa osassa eli kymmenessä yrityksessä sivustojen käytön rajoittamista ei ole kuitenkaan tehty. Kyllä-vastanneet yritykset ovat kaiken kokoisia ja ne edustavat eri toimialoja. Neljässä niistä on tehty tietoturvallisuuden riskikartoitus. Yhdestä kyllä-vastanneesta yrityksestä ei löydy tietoturvapolitiikkaa. Viidessä yrityksessä, joissa Internet-sivustojen käyttöä ei ole rajoitettu, ei perehdytetä työntekijöitä tietoturvan käytäntöihin. Näistä kahdessa yrityksessä ei myöskään tiedetä, miten yrityksen arvokasta tietoa valvotaan. Vain kolmessa yrityksessä joku yrityksen työntekijöistä niin sanotusti etätyöskentelee tietokoneella. Tällä tarkoitetaan sitä, että työntekijä työskentelee verkon välityksellä esimerkiksi kotoa. 12 yritystä vastaa, että yrityksessä ei kukaan työskentele etänä. Yksi yritys ei ole vastannut lainkaan tähän kysymykseen. Kyllä-vastauksen antaneet yritykset ovat kaiken kokoisia, eivätkä ne edusta mitään yksittäistä toimialaa. Kysymykseen, onko etätyön tietoturvasta huolehdittu, pyydettiin vastaamaan vain, jos yrityksessä on etätyöskentelijöitä. Kysymykseen on saatu kolme vastausta, jotka ovat niiltä yrityksiltä, jotka ilmoittivat, että yrityksessä on etätyöskentelijöitä. Kaikki nämä kolme yritystä vastaavat kysymykseen kyllä eli heidän mielestänsä yrityksen etätyön tietoturvasta on huolehdittu. Yhdessä näistä yrityksistä ei ole määritelty tietoturvavastuita. Samassa yrityksessä ei myöskään perehdytetä työntekijöitä tietoturvan käytäntöihin. 11 yrityksessä on sovittu tärkeiden työtehtävien varahenkilöjärjestystä. Viidessä yrityksessä tällaista varahenkilöjärjestelyä ei ole tehty. Kyllä-vastanneet yritykset ovat pääsääntöisesti työntekijämäärältään suurimpia. Neljän pienimmän yrityksen joukossa vain yksi yritys ilmoittaa, että tärkeiden työtehtävien varahenkilöjärjestelystä on sovittu. Toimialakohtaisesti ei ole nähtävissä mitään yhteneväisyyttä eri alojen välillä. Esimerkiksi sekä teollisuuden että tukku- ja vähittäiskaupan alan yritykset antavat sekä kyllä- että ei-vastauksia. Kolmessa varahenkilöjärjestelyn tehneessä yrityksessä ei ole olemassa tietoturvapolitiikkaa. Kuudessa kyllä-vastanneessa yrityksessä työntekijät perehdytetään tietoturvakäytäntöihin. Ei-vastanneista yrityksistä tietoturvaperehdytystä annetaan kolmessa yrityksessä ja kahdessa ei anneta. Vain yhdessä ei-vastanneessa yrityksessä on tehty tietoturvallisuuden riskikartoitus. Ainoastaan kolmessa yrityksessä on olemassa ohjeet miten tulee toimia, jos työntekijä epäilee jotakin toista työntekijää tietoturvaväärinkäytöksestä. Loput 13 yritystä ilmoittavat, että yrityksellä ei ole tällaisia ohjeita. Toimialan mukaan tarkasteltuna ei ole nähtävissä yhteneväisyyttä eri aloilla. Kaksi väärinkäytösohjeistuksesta huolehtinutta yritystä on työntekijämäärältään suuria. Kolmas yritys on työntekijämäärältään keskiarvoa pienempi. Kaikissa kolmessa kyllä-vastanneessa yrityksessä oli olemassa tietoturvapolitiikka. Niissä on määritelty myös tietoturvavastuut ja tehty riskikartoitus. Yrityksistä vain 2 ilmoittaa, että yrityksessä raportoidaan tietoturvaan liittyvistä tapahtumista ja heikkouksista. Eivastanneista yrityksistä tietoturvaraportointia tehdään neljässä yrityksessä. Kahdeksasta eivastanneesta yrityksestä löytyy tietoturvapolitiikka ja tietoturvasuunnitelmakin löytyy viideltä. Lähes kaikissa eli 13 yrityksessä annetaan työntekijöille käyttöoikeudet vain niihin tietoihin, joita työtehtävät vaativat. Kaikki teollisuuden alan ja kolme tukku- ja vähittäiskaupan alan yritystä kuuluvat tähän joukkoon. Vain kolmen yrityksessä käyttäjäoikeudet annetaan jollakin toisella periaatteella. Eivastanneet yritykset ovat työntekijämäärältään keskiarvoa pienempiä yrityksiä. Näistä yksi yritys ei tiedä miten yrityksen arvokasta tietoa valvotaan. Kaikissa 16 yrityksessä otetaan tiedoista varmuuskopioita. Näistä kolme yritystä kuitenkin ilmoittaa, että yrityksessä katoaa tietoa. 11 yritystä ilmoittaa, että varmuuskopioiden toimivuus testataan riittävin väliajoin. Viidessä yrityksessä varmuuskopioiden testausta ei tehdä. Näistä yksi yritys ilmoittaa, että yrityksellä katoaa tietoa. Kyllä- ja ei-vastauksia tulee kaiken kokoisissa yrityksissä ja kaikilla toimialoilla. Kaksi yritystä, jotka epäilevät, että tulipalo voisi tuhota yrityksen tiedot ja pysäyttää yrityksen liiketoiminnan, eivät testaa varmuuskopioiden toimivuutta riittävin väliajoin. Neljässä yrityksessä, joissa irtisanottu työntekijä voi tuhota tärkeitä tietoja tai viedä niitä eteenpäin, ei myöskään testata varmuuskopioiden toimivuutta. Myöskään siinä yrityksessä, jossa työntekijöiden käyttöoikeuksia tietoihin ei an- 16

Tietoturvapolitiikka

Tietoturvapolitiikka Valtiokonttori Ohje 1 (6) Tietoturvapolitiikka Valtion IT -palvelukeskus Valtiokonttori Ohje 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa...

Lisätiedot

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Lappeenrannan kaupungin tietoturvaperiaatteet 2016 1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015

Lisätiedot

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 1 (6) 25.11.2015 Lappeenrannan kaupungin tietoturvapolitiikka 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0

Lisätiedot

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj Kyberturvallisuus toiminta Valtio Kyberturvallisuuden poliittinen ohjaus kuuluu valtioneuvostolle,

Lisätiedot

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.

Lisätiedot

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016

Lisätiedot

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy. Tietoturvallisuuden kokonaisvaltainen hallinta 3.12.2015 Heikki O. Penttinen Castilsec Oy Tietoturvallisuuden päätavoitteet organisaatioissa Tietoturvallisuuden oikean tason varmistaminen kokonaisvaltaisesti

Lisätiedot

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt Turun ammattikorkeakoulu 13.09.2005 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT Sisällysluettelo: 1 Sääntöjen tarkoitus... 2 2 Käytön periaatteet... 2 3 Käyttöoikeus ja käyttäjätunnukset... 4 4 Käyttöoikeuden

Lisätiedot

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA 1 (6) ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA Hyväksytty kaupunginhallituksessa 12.12.2006 Tietoturvapolitiikan avulla vaikutetaan omalta osaltaan siihen, että Espoon kaupungin strategiassa määritelty Espoon

Lisätiedot

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö Tietosisällön eheys Kimmo Janhunen kimmo.janhunen@om.fi Riskienhallintapäällikkö Oikeusrekisterikeskuski k 26.11.2014 Esityksen sisältö Tiedon merkitys - tiedon eheyden merkitys Määritelmät Lainsäädäntö

Lisätiedot

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan 1(7) TYÖSSÄOPPIMINEN JA AMMATTIOSAAMISEN NÄYTTÖ Tutkinnon osa: Palvelujen käyttöönotto ja tuki Tutkinnon osaan kuuluvat opinnot: Työasemaympäristön suunnittelu ja toteuttaminen Kouluttaminen ja asiakastuki

Lisätiedot

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT YT-neuvosto hyväksynyt 21.11.2007 Vahvistanut: kuntayhtymän johtaja Pentti Leipälä 4.1.2008 1. SÄÄNTÖJEN TARKOITUS 1 2. KÄYTÖN PERIAATTEET

Lisätiedot

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41 Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät

Lisätiedot

Lukio ja sähköiset ylioppilaskirjoitukset Tieto- ja viestintätekniikka selvitys 2014

Lukio ja sähköiset ylioppilaskirjoitukset Tieto- ja viestintätekniikka selvitys 2014 Lukio ja sähköiset ylioppilaskirjoitukset Tieto- ja viestintätekniikka selvitys 2014 Kurt Torsell Kartoituksen toteutus Suomen Kuntaliitto toteutti syksyllä 2013 ensimmäistä kertaa kouluille suunnatun

Lisätiedot

T Yritysturvallisuuden

T Yritysturvallisuuden T-110.260 Yritysturvallisuuden perusteet Henkilöstöturvallisuus 11.2.2004 Ronja Addams-Moring Teknillinen korkeakoulu Tietoliikenneohjelmistojen ja multimedialaboratorio http://www.tml.hut.fi/opinnot/t-110.260/

Lisätiedot

Utajärven kunta TIETOTURVAPOLITIIKKA

Utajärven kunta TIETOTURVAPOLITIIKKA Utajärven kunta TIETOTURVAPOLITIIKKA Johdanto Tiedon käsittely on oleellinen osa Utajärven kunnan toimintaa ja palveluiden tuottamista. Tietojenkäsittelyn tehokkuus ja virheettömyys ovat keskeisiä tekijöitä

Lisätiedot

Tietoturvavastuut Tampereen yliopistossa

Tietoturvavastuut Tampereen yliopistossa Tietoturvavastuut Tampereen yliopistossa Hyväksytty Tampereen yliopiston Yliopistopalvelujen johtoryhmässä 10.5.2016 Korvaa 18.10.2002 hyväksytyn vastaavan dokumentin. Tulee voimaan hyväksymispäivänä.

Lisätiedot

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Valtorin tietoturvaseminaari 2.4.2014 Pekka Ristimäki Johtava asiantuntija, CISM, CISSP, CRISC Valtori / Tietoturvapalvelut Mikä on hallintajärjestelmä?

Lisätiedot

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan Ammattitaidon osoittamistavat

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan Ammattitaidon osoittamistavat 1(6) TYÖSSÄOPPIMINEN JA AMMATTIOSAAMISEN NÄYTTÖ Tutkinnon osa: Tietoturvan ylläpito 15 osp Tietoturvan ylläpito Tutkinnon osan ammattitaitovaatimukset: työtehtävien suunnittelu ja valmistelu oman työn

Lisätiedot

OHJE 1 (5) 16.12.2011 VALMERI-KYSELYN KÄYTTÖOHJEET. Kyselyn sisältö ja tarkoitus

OHJE 1 (5) 16.12.2011 VALMERI-KYSELYN KÄYTTÖOHJEET. Kyselyn sisältö ja tarkoitus OHJE 1 (5) VALMERI-KYSELYN KÄYTTÖOHJEET Kyselyn sisältö ja tarkoitus Valmeri-kysely on työntekijöille suunnattu tiivis työolosuhdekysely, jolla saadaan yleiskuva henkilöstön käsityksistä työoloistaan kyselyn

Lisätiedot

AVOIN DATA AVAIN UUTEEN Seminaarin avaus Kansleri Ilkka Niiniluoto Helsingin yliopisto

AVOIN DATA AVAIN UUTEEN Seminaarin avaus Kansleri Ilkka Niiniluoto Helsingin yliopisto AVOIN DATA AVAIN UUTEEN Seminaarin avaus 1.11.11 Kansleri Ilkka Niiniluoto Helsingin yliopisto TIETEELLINEN TIETO tieteellinen tieto on julkista tieteen itseäänkorjaavuus ja edistyvyys tieto syntyy tutkimuksen

Lisätiedot

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA LIIKENNE- JA VIESTINTÄMINISTERIÖ Muistio Liite 1 Viestintäneuvos 27.10.2015 Kreetta Simola LUONNOS VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA Taustaa Vuoden

Lisätiedot

KESÄTYÖNTEKIJÄT JA LOMAT PK-YRITYKSISSÄ

KESÄTYÖNTEKIJÄT JA LOMAT PK-YRITYKSISSÄ tutkimus KESÄTYÖNTEKIJÄT JA LOMAT PK-YRITYKSISSÄ 2009 1 Tiivistelmä Yrittäjien lomat Suomen Yrittäjien maaliskuun 2009 lopussa tekemässä jäsenkyselyssä tiedusteltiin yrittäjiltä lomista ja lomatoiveista

Lisätiedot

SELVITYS TIETOJEN SUOJAUKSESTA

SELVITYS TIETOJEN SUOJAUKSESTA 1 (5) Väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) 44 :n mukainen selvitys tietojen SELVITYS TIETOJEN SUOJAUKSESTA Määritelmät Tämä selvitys koskee

Lisätiedot

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TOIMITILAPÄIVÄ 21.3.2013 Johtava asiantuntija Fyysinen turvallisuus ja varautuminen Marko Kalliokoski Verohallinto 020 612 5192 etunimi.sukunimi@vero.fi

Lisätiedot

MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA

MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA lukien toistaiseksi 1 (5) Sijoituspalveluyrityksille MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA Rahoitustarkastus antaa sijoituspalveluyrityksistä annetun lain

Lisätiedot

Lapin yliopiston tietoturvapolitiikka

Lapin yliopiston tietoturvapolitiikka Lapin yliopiston tietoturvapolitiikka 2016 1 Vahvistettu Lapin yliopiston rehtorin päätöksellä 16.5.2016 Lapin yliopiston tietoturvapolitiikka Sisällysluettelo: 1. Johdanto... 2 2. Tietoturvapolitiikan

Lisätiedot

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta. Itä-Suomen yliopiston tietoturvapolitiikan liitteet 1/6 ITÄ-SUOMEN YLIOPISTON TIETOTURVAPOLITIIKAN LIITTEET LIITE 1: Tietoturvallisuuden vastuut ja organisointi Tässä liitteessä kuvataan tietoturvallisuuteen

Lisätiedot

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1 Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin 12.12.2011 A-P Ollila 1 Taustaa Tiedon merkitys yhteiskunnassa ja viranomaisten toiminnassa korostuu kaiken aikaa. Viranomaisten

Lisätiedot

Yhteisöllinen tapa työskennellä

Yhteisöllinen tapa työskennellä Yhteisöllinen tapa työskennellä Pilvipalvelu mahdollistaa uudenlaisten työtapojen täysipainoisen hyödyntämisen yrityksissä Digitalisoituminen ei ainoastaan muuta tapaamme työskennellä. Se muuttaa meitä

Lisätiedot

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke TITAN-SEMINAARI 9.11.2010 Pasi Ahonen, VTT TITAN projektissa koottiin

Lisätiedot

Toteutuuko tietoturva?

Toteutuuko tietoturva? Toteutuuko tietoturva? Infomaatiohallinnon päivä 2010 21.9.2010 Rovaniemi Juha Lappi Email: juha.lappi@deltagon.fi Vt. toimitusjohtaja GSM: (044)5280892 Deltagon Group Oy Kehittää ja myy käyttäjäystävällisiä

Lisätiedot

Tietoturvallisuusliite

Tietoturvallisuusliite Tietoturvallisuusliite [Yhteistyökumppanin nimi] STATUS Laatinut: Tarkastanut ja hyväksynyt: Versio no: Tiedoston nimi: Tallennushakemisto: Pvm SISÄLLYSLUETTELO Sisällysluettelo... 2 1 Määritelmät... 3

Lisätiedot

sekä yksittäistä atk-laitetta tai -laitteistoa että niiden muodostamaa kokonaisuutta

sekä yksittäistä atk-laitetta tai -laitteistoa että niiden muodostamaa kokonaisuutta LIITE 2 Kotimaisten kielten tutkimuskeskuksen tietojärjestelmien ja tietoliikenneverkon käytön säännöt Sisältö 1. Yleistä 2. Käytön periaatteet 3. Käyttäjän asema 4. Käyttäjätunnukset ja salasanat 5. Asianmukainen

Lisätiedot

Tuotetta koskeva ilmoitus

Tuotetta koskeva ilmoitus Suojaus Käyttöopas Copyright 2009 Hewlett-Packard Development Company, L.P. Tässä olevat tiedot voivat muuttua ilman ennakkoilmoitusta. Ainoat HP:n tuotteita ja palveluja koskevat takuut mainitaan erikseen

Lisätiedot

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan 10.12.2015 Hannele Kerola Lainsäädäntöneuvos Pääministeri Juha Sipilän hallituksen strateginen

Lisätiedot

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Tietoturvapolitiikka NAANTALIN KAUPUNKI 2016 Tietoturvapolitiikka NAANTALIN KAUPUNKI 1 Sisällysluettelo Johdanto... 2 Tietoturvallisuus... 2 Riskienhallinta... 3 Varautuminen... 3 Vaatimustenmukaisuus ja tavoitteet... 3 Organisointi, roolit

Lisätiedot

Haastattelut e-kioskin käyttäjäkokemuksista. Mira Hänninen Haaga-Helia ammattikorkeakoulu

Haastattelut e-kioskin käyttäjäkokemuksista. Mira Hänninen Haaga-Helia ammattikorkeakoulu Haastattelut e-kioskin käyttäjäkokemuksista Mira Hänninen Haaga-Helia ammattikorkeakoulu Sukupuoli ja ikä Haastattelin Kirjasto 10:ssä 14 henkilöä, joista seitsemän oli naisia (iät 24, 25, 36, 36, 50,

Lisätiedot

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan. Ammattitaidon osoittamistavat

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan. Ammattitaidon osoittamistavat 1(6) TYÖSSÄOPPIMINEN JA AMMATTIOSAAMISEN NÄYTTÖ Tutkinnon osa: Palvelinohjelmistojen ja virtualisointi 15 osp Työssäoppimisen keskeinen sisältö: työtehtävien suunnittelu ja valmistelu oman työn ja työn

Lisätiedot

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat Tomi Hasu Kyberturvallisuuskeskus 6.10.2015 1 Kyberturvallisuutta vai tietoturvallisuutta? Tietoturvallisuus koskee tietojärjestelmien ja verkkojen

Lisätiedot

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn! 1(16) Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn! Arvoisa vastaaja, Tällä kyselyllä selvitetään Suomen kuntien tieto- ja kyberturvallisuuden

Lisätiedot

Tampereen kaupungin paikkatietostrategia 2013 2015. Tampereen kaupunki

Tampereen kaupungin paikkatietostrategia 2013 2015. Tampereen kaupunki Tampereen kaupungin paikkatietostrategia 2013 2015 Tampereen kaupunki 28.3.2013 TAMPERE Tampereen kaupungin paikkatietostrategia 1 PAIKKATIETO JA PAIKKATIETOINFRASTRUKTUURI KÄSITTEENÄ Paikkatiedolla tarkoitetaan

Lisätiedot

Kunnallishallinnon tietotekniikka 1997-1998

Kunnallishallinnon tietotekniikka 1997-1998 Sivu 1/7 Kunnallishallinnon tietotekniikka 1997-1998 Suomen Kuntaliitto 1998 1. Johdanto Kuntaliitto lähetti marraskuussa 1997 tietotekniikan käyttöä ja kehitystä koskevan kyselyn kaikille kunnille ja

Lisätiedot

VIRTU ja tietoturvatasot

VIRTU ja tietoturvatasot 1 VIRTU ja tietoturvatasot VIRTU/HAKA seminaari 3.2.2010 Erja Kinnunen VK/VIP VIPin palvelut Tietoturvallisuuden viitekehys valtionhallinnossa Ei tietoturvallisuutta koskevaa erillislakia Valtioneuvoston

Lisätiedot

Aseta kaupunginosanne identiteetin kannalta annetut vaihtoehdot tärkeysjärjestykseen 26 % 0 % 10 % 20 % 30 % 40 % 50 % 60 %

Aseta kaupunginosanne identiteetin kannalta annetut vaihtoehdot tärkeysjärjestykseen 26 % 0 % 10 % 20 % 30 % 40 % 50 % 60 % Kaupunginosakyselyn vastaukset: Kyselyjä lähetettiin 74 kpl ja vastauksia saatiin 44 kpl. Kyselyn vastausprosentiksi muodostui 59%. Kyselyt lähetettiin Tampereen asukas- ja omakotiyhdistysten puheenjohtajille.

Lisätiedot

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET Hall. 01.04.2014 Valt. 29.04.2014 1 Voimaantulo 01.07.2014 1 Lainsäädännöllinen perusta ja soveltamisala Kuntalain 13

Lisätiedot

IT-PÄÄTTÄJÄBAROMETRI 2016 ATEA FINLAND OY

IT-PÄÄTTÄJÄBAROMETRI 2016 ATEA FINLAND OY IT-PÄÄTTÄJÄBAROMETRI 2016 ATEA FINLAND OY It-päättäjäbarometri 2016 Atean it-päättäjäbarometri toteutettiin kuudetta kertaa huhtikuun 2016 aikana sähköisenä kyselylomakkeena. Kyselyyn vastasi määräaikaan

Lisätiedot

Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä?

Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä? Huoltovarmuuskeskuksen 10-vuotisjuhlaseminaari Helsinki, 26.2.2003 Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä? TkT Arto Karila Karila A. & E. Oy E-mail: arto.karila@karila.com HVK, 26.2.2003-1

Lisätiedot

KUUMA-ICT:n ja kuntien työnjako Palvelusopimuksen liite 6

KUUMA-ICT:n ja kuntien työnjako Palvelusopimuksen liite 6 :n ja kuntien työnjako Palvelusopimuksen liite 6 13.4.2016 Käytettyjen lyhennysten selvitykset: R = responsible (vastuullinen) - R-toimija suorittaa annetun tehtävän - jokaisella tehtävällä on ainakin

Lisätiedot

Kuntasektorin asianhallinnan viitearkkitehtuuri 1.0. Kuntamarkkinat Tuula Seppo, erityisasiantuntija

Kuntasektorin asianhallinnan viitearkkitehtuuri 1.0. Kuntamarkkinat Tuula Seppo, erityisasiantuntija Kuntasektorin asianhallinnan viitearkkitehtuuri 1.0 Kuntamarkkinat 14.9.2016 Tuula Seppo, erityisasiantuntija Kuntasektorin asianhallinnan viitearkkitehtuuri 1.0 Hallinnon toimintatapojen digitalisointi

Lisätiedot

Langattomien verkkojen tietosuojapalvelut

Langattomien verkkojen tietosuojapalvelut Langattomien verkkojen tietosuojapalvelut Sisältö Työn tausta & tavoitteet Käytetty metodiikka Työn lähtökohdat IEEE 802.11 verkkojen tietoturva Keskeiset tulokset Demonstraatiojärjestelmä Oman työn osuus

Lisätiedot

Maarit Pirttijärvi Pohjois-Suomen sosiaalialan osaamiskeskus Lapin toimintayksikkö

Maarit Pirttijärvi Pohjois-Suomen sosiaalialan osaamiskeskus Lapin toimintayksikkö Verkkokonsulttipäivä 28.11.2011 Maarit Pirttijärvi j Pohjois-Suomen sosiaalialan osaamiskeskus Lapin toimintayksikkö www.sosiaalijaterveyspalvelut.fi Virtuaalisen sosiaali- ja terveyspalvelukeskuksen käyttäjät

Lisätiedot

010627000 Tietoturvan Perusteet Yksittäisen tietokoneen turva

010627000 Tietoturvan Perusteet Yksittäisen tietokoneen turva 010627000 Tietoturvan Perusteet Yksittäisen tietokoneen turva Pekka Jäppinen 31. lokakuuta 2007 Pekka Jäppinen, Lappeenranta University of Technology: 31. lokakuuta 2007 Tietokone Koostuu raudasta ja ohjelmista

Lisätiedot

ARVIOINTISUUNNITELMA Sivu 1/6

ARVIOINTISUUNNITELMA Sivu 1/6 ARVIOINTISUUNNITELMA Sivu 1/6 Ammattitaidon osoittamistavat: Ammattiosaamisen työprosessin kokonaan työmenetelmien, -välineiden materiaalin kokonaan työn perustana olevan tiedon pois lukien toimialueen

Lisätiedot

Tietoturva ja viestintä

Tietoturva ja viestintä Tietoturva ja viestintä 3.11.2015 1 Uhkakuvat muuttuvat - mitä teemme? Ihmisestä tallentuu joka päivä tietoa mitä erilaisimpiin paikkoihin - valtion, kuntien ja yritysten ylläpitämiin rekistereihin. Joka

Lisätiedot

Varoitukset turvallisuusjohdon työkaluina

Varoitukset turvallisuusjohdon työkaluina Varoitukset johdon työkaluina Juuso Lehtinen jalehtin@cc.hut.fi Kirja - Warnings and Risk Communication Useita kirjoittajia Toimittanut Michael S. Wogalter David M. DeJoy Kenneth R. Laughery Julkaisija:

Lisätiedot

Kansallisarkiston koulutusohjelma 2017

Kansallisarkiston koulutusohjelma 2017 Kansallisarkiston koulutusohjelma 2017 Tenttipäivät Kansallisarkiston asiakirjahallinnon ja arkistotoimen perustutkinnon tenttipäivät 2017 Kansallisarkiston toimipaikoissa: Helsinki (Rauhankatu 17), Hämeenlinna,

Lisätiedot

Sähköisen viestinnän tietosuojalain muutos

Sähköisen viestinnän tietosuojalain muutos Sähköisen viestinnän tietosuojalain muutos 24.04.2008 Hallituksen esitys sähköisen viestinnän tietosuojalain muuttamisesta yrityssalaisuudet, luvaton käyttö ja tietoturva 2 Hallitusohjelma hallitus edistää

Lisätiedot

Industrial Fire Protection Handbook

Industrial Fire Protection Handbook Industrial Fire Protection Handbook Second Edition R. Craig Schroll T-110.5690 Yritysturvallisuuden seminaari 2. esitys Antti Nilsson 23.11.2005 Industrial Fire Protection Handbook kirjoittanut R. Craig

Lisätiedot

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 1.0 ESPOON KAUPUNKI 02070 ESPOON KAUPUNKI WWW.ESPOO.FI ESBO STAD 02070 ESBO STAD WWW.ESBO.FI Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuus...

Lisätiedot

Kokonaisarkkitehtuuri julkisessa hallinnossa. ICT muutostukiseminaari neuvotteleva virkamies Jari Kallela

Kokonaisarkkitehtuuri julkisessa hallinnossa. ICT muutostukiseminaari neuvotteleva virkamies Jari Kallela Kokonaisarkkitehtuuri julkisessa hallinnossa ICT muutostukiseminaari 8.10.2014 neuvotteleva virkamies Jari Kallela Sisältö Miksi kokonaisarkkitehtuuria tarvitaan julkisessa hallinnossa? Mitä tuloksia kokonaisarkkitehtuurista

Lisätiedot

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016 1 (9) Rauman kaupunki Tietoturvapolitiikka Kaupunginhallitus hyväksynyt 30.5.2016, KH 274, RAU/522/07.03.00/2016 2 (9) Sisällys 1. Johdanto... 3 2. Tietoturvapolitiikan tarkoitus... 3 3. Ketä tämä tietoturvapolitiikka

Lisätiedot

Projektin tilanne. Tavaraliikenteen telematiikka-arkkitehtuuri Liikenne- ja viestintäministeriö

Projektin tilanne. Tavaraliikenteen telematiikka-arkkitehtuuri Liikenne- ja viestintäministeriö Projektin tilanne Tavaraliikenteen telematiikka-arkkitehtuuri Liikenne- ja viestintäministeriö Tehtyä työtä Syksyn mittaan projektiryhmä on kuvannut tavaraliikenteen telematiikkaarkkitehtuurin tavoitetilan

Lisätiedot

Uusi toimintamalli henkilöturvallisuuden parantamiseen räjähdysvaarallisissa työympäristöissä. Tuija Luoma, VTT

Uusi toimintamalli henkilöturvallisuuden parantamiseen räjähdysvaarallisissa työympäristöissä. Tuija Luoma, VTT Uusi toimintamalli henkilöturvallisuuden parantamiseen räjähdysvaarallisissa työympäristöissä Tuija Luoma, VTT RÄJÄHDYSVAARALLISEN TYÖYMPÄRISTÖN HENKILÖTURVALLISUUTEEN VAIKUTTAVAT TEKIJÄT Tekijät määritetty

Lisätiedot

T Henkilöstöturvallisuus ja fyysinen turvallisuus, k-04

T Henkilöstöturvallisuus ja fyysinen turvallisuus, k-04 T-110.460 Henkilöstöturvallisuus ja fyysinen turvallisuus, k-04 Ilkka Kouri Henkilöstöturvallisuus 10.2. 2005: Henkilöstöturvallisuuden käsitteet, tavoitteet ja hallintakeinot Henkilöstöturvallisuus Henkilöstöturvallisuus

Lisätiedot

Laatukäsikirja - mikä se on ja miten sellainen laaditaan?

Laatukäsikirja - mikä se on ja miten sellainen laaditaan? Laatukäsikirja - mikä se on ja miten sellainen laaditaan? Matkailun laatu laatukäsikirja osaksi yrityksen sähköistä liiketoimintaa Sähköinen aamuseminaari matkailualan toimijoille 24.8.2010 Riitta Haka

Lisätiedot

FiCom ry:n lausunto sisältöjen siirrettävyydestä

FiCom ry:n lausunto sisältöjen siirrettävyydestä Eduskunnan sivistysvaliokunnalle 29.2.2016/JM U-kirjelmä U 3/2016 vp FiCom ry:n lausunto sisältöjen siirrettävyydestä Tietoliikenteen ja tietotekniikan keskusliitto, FiCom ry kiittää mahdollisuudesta lausua

Lisätiedot

TIETOTURVATEKNOLOGIAN AMMATILLISET ERIKOISTUMISOPINNOT (30 op)

TIETOTURVATEKNOLOGIAN AMMATILLISET ERIKOISTUMISOPINNOT (30 op) 1 TIETOTURVATEKNOLOGIAN AMMATILLISET ERIKOISTUMISOPINNOT (30 op) 19.1. 16.12.2011 2 KAJAANIN AMMATTIKORKEAKOULU Tervetuloa päivittämään ja kehittämään osaamistasi Kajaanin ammattikorkeakoulun järjestämiin

Lisätiedot

Paikkatiedon kypsyysmalli, case Espoo ja Turku. Aalto-yliopisto Insinööritieteiden korkeakoulu

Paikkatiedon kypsyysmalli, case Espoo ja Turku. Aalto-yliopisto Insinööritieteiden korkeakoulu Paikkatiedon kypsyysmalli, case Espoo ja Turku Aalto-yliopisto Insinööritieteiden korkeakoulu seminaari 12.5.2011 Esityksen sisältö Mitä organisaation paikkatietokypsyys tarkoittaa? Miksi paikkatietokypsyyden

Lisätiedot

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA 2016 Kh 111 31.5.2016 v1.0 19.5.2016, Seija Romo 1. JOHDANTO... 1 2. TIETOTURVAPOLITIIKAN TAVOITE... 1 3. TIETOTURVATOIMINTAA OHJAAVAT TEKIJÄT... 2 4. TIETORISKIEN

Lisätiedot

Standardisarja IEC 62443. Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Standardisarja IEC 62443. Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus Standardisarja IEC 62443 Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus Matti Sundquist, Sundcon Oy Jukka Alve, SESKO ry 1 ASAFin tietoturvaseminaari 27.1.2004 Automaatioseuran

Lisätiedot

Lausuntopyyntö STM. 1. Vastaajatahon virallinen nimi. 2. Vastauksen kirjanneen henkilön nimi. 3. Vastauksen vastuuhenkilön yhteystiedot

Lausuntopyyntö STM. 1. Vastaajatahon virallinen nimi. 2. Vastauksen kirjanneen henkilön nimi. 3. Vastauksen vastuuhenkilön yhteystiedot Lausuntopyyntö STM Vastausaika 27.2.2014 13:05:09 1. Vastaajatahon virallinen nimi Nimi Kymenlaakson Liitto 2. Vastauksen kirjanneen henkilön nimi Nimi Ulla Silmäri 3. Vastauksen vastuuhenkilön yhteystiedot

Lisätiedot

SELVITYS PRO GRADUJEN KÄYTÖSTÄ TAIDEKIRJASTOSSA

SELVITYS PRO GRADUJEN KÄYTÖSTÄ TAIDEKIRJASTOSSA SELVITYS PRO GRADUJEN KÄYTÖSTÄ TAIDEKIRJASTOSSA Tapani Takalo Lapin korkeakoulukirjasto, yliopisto, taide 17.11.2011 1. Johdanto Lapin yliopiston taidekirjastossa on selvitetty taidekirjaston kokoelmiin

Lisätiedot

IISALMEN KAUPUNKI KIINTEISTÖJEN KAMERAVALVONTA 19.2.2016 1. Matti Rönkkö tekninen isännöitsijä Iisalmen kaupunki / tilapalvelu

IISALMEN KAUPUNKI KIINTEISTÖJEN KAMERAVALVONTA 19.2.2016 1. Matti Rönkkö tekninen isännöitsijä Iisalmen kaupunki / tilapalvelu IISALMEN KAUPUNKI KIINTEISTÖJEN KAMERAVALVONTA Matti Rönkkö tekninen isännöitsijä Iisalmen kaupunki / tilapalvelu 19.2.2016 1 Iisalmen kaupungin tekninen keskus / tilapalvelu on asentanut tallentavan kameravalvonnan

Lisätiedot

Harri Koskenranta 10.3. 2005

Harri Koskenranta 10.3. 2005 FYYSINEN TURVALLISUUS T-110.460 - Kalusteet Harri Koskenranta 10.3. 2005 Arvot Suojaustoimenpiteet Uhkat Tunnistetaan Luokitellaan Mitoitetaan Otetaan riski Analysoidaan 10.3. 2005 T-110.460 Koskenranta

Lisätiedot

Pienten vesihuoltolaitosten ostopalveluiden tarve ja saatavuus

Pienten vesihuoltolaitosten ostopalveluiden tarve ja saatavuus Pienten vesihuoltolaitosten ostopalveluiden tarve ja saatavuus Selvitys Keski-Suomen alueella Nina Pimiä Projektipäällikkö 21.5.2015 Mitä tutkittiin? Pienten vesihuoltolaitosten ostopalveluiden tarvetta

Lisätiedot

Sisällysluettelo LIIKENNEVIRASTO OHJE 2 (7) 31.10.2011 Dnro 4258/005/2011

Sisällysluettelo LIIKENNEVIRASTO OHJE 2 (7) 31.10.2011 Dnro 4258/005/2011 LIIKENNEVIRASTO OHJE 2 (7) Sisällysluettelo 1 VARAUTUMISSUUNNITTELU... 3 1.1 Säädösperusta... 3 1.2 Varautumistoiminnan tavoite... 3 2 VARAUTUMISSUUNNITELMIEN LAADINTA... 4 2.1 Varautumistoiminnan hierarkia...

Lisätiedot

MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto

MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto 3.5.2011 Laki julkisen hallinnon tietohallinnon ohjauksesta Lain tavoitteena on luoda toimivalta ja ohjausmalli,

Lisätiedot

Kieli osana avointa hallintoa & hyvän virkakielen toimintaohjelma

Kieli osana avointa hallintoa & hyvän virkakielen toimintaohjelma Kieli osana avointa hallintoa & hyvän virkakielen toimintaohjelma Julkisen alan tiedottajat ry Viestintäpäivät, Oulu Ulla Tiililä Kotimaisten kielten keskus 28.3.2014 Kotimaisten kielten keskus Avoin hallinto

Lisätiedot

Vastausten ja tulosten luotettavuus. 241 vastausta noin 10 %:n vastausprosentti tyypillinen

Vastausten ja tulosten luotettavuus. 241 vastausta noin 10 %:n vastausprosentti tyypillinen Vastausten ja tulosten luotettavuus Vastaukset 241 vastausta noin 10 %:n vastausprosentti tyypillinen Kansainväliset IT:n hallinnan hyvät käytännöt. Luotettavuusnäkökohdat Kokemukset ja soveltamisesimerkit

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi Järjestelyihin liittyviä asioita Tilatkaa

Lisätiedot

Jyväskylän seudun elinkeinorakenteen muutos 2000 2014 ja kehitysmahdollisuudet

Jyväskylän seudun elinkeinorakenteen muutos 2000 2014 ja kehitysmahdollisuudet Jyväskylän seudun elinkeinorakenteen muutos 2000 2014 ja kehitysmahdollisuudet Selvityksen tavoitteet ja toteutus Taustaa Keski- Suomen ja erityisesti Jyväskylän seudun elinkeinorakenne osoittautui laman

Lisätiedot

Palvelukuvaus LOUNEA VERKKOTURVA PALVELUKUVAUS.

Palvelukuvaus LOUNEA VERKKOTURVA PALVELUKUVAUS. Palvelukuvaus 1 LOUNEA VERKKOTURVA PALVELUKUVAUS 2 Sisällysluettelo 1 YLEISKUVAUS... 3 1.1 Verkkoturvapalvelu... 3 1.1.1 Verkkoturvapalvelun edut... 3 1.2 Palvelun perusominaisuudet... 3 1.2.1 Suodatettava

Lisätiedot

SPL Keski-Suomen piirin viestintäsuunnitelma

SPL Keski-Suomen piirin viestintäsuunnitelma SPL Keski-Suomen piirin viestintäsuunnitelma Piirihallituksen hyväksymä _16._2_.2004 Taustaa Tässä viestintäsuunnitelmassa kuvataan SPL Keski-Suomen piirin tiedottamisen menettelyt. Yhdistyksen säännöissä

Lisätiedot

KESKI-POHJANMAAN IT-ALUEKESKUS. KPA:n TIETOTURVAPOLITIIKKA 2012 ja tietoturvamääräykset

KESKI-POHJANMAAN IT-ALUEKESKUS. KPA:n TIETOTURVAPOLITIIKKA 2012 ja tietoturvamääräykset KESKI-POHJANMAAN IT-ALUEKESKUS KPA:n TIETOTURVAPOLITIIKKA 2012 ja tietoturvamääräykset Versio 1.2 Versio 2.0 20.3.2012 / MTU 26.3.2012 / MTU 1. TIETOTURVALLISUUS - MITÄ SE ON Tietoturvallisuuteen kuuluvat

Lisätiedot

T Henkilöturvallisuus ja fyysinen turvallisuus, k-04

T Henkilöturvallisuus ja fyysinen turvallisuus, k-04 T-110.460 Henkilöturvallisuus ja fyysinen turvallisuus, k-04 Ilkka Kouri Henkilöstöturvallisuus 28.1.2004: Henkilöstöturvallisuus yleisesti Henkilöstöturvallisuus Henkilöstöturvallisuus on osa yritysturvallisuutta

Lisätiedot

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto Tietoturvapolitiikka Tietoturvakäytännön toimintaperiaatteet ja ohjeisto 25.1.2011 Sisällysluettelo TIETOTURVAPOLITIIKKA... 3 1 Johdanto... 3 1.1 Yleistä... 3 1.2 Tavoite... 3 1.3 Vaatimuksenmukaisuus...

Lisätiedot

ARVIOINTISUUNNITELMA Sivu 1/6

ARVIOINTISUUNNITELMA Sivu 1/6 ARVIOINTISUUNNITELMA Sivu 1/6 Ammattitaidon osoittamistavat: Ammattiosaamisen työprosessin kokonaan työmenetelmien, -välineiden materiaalin pois lukien palvelinympäristön virtualisointi työn perustana

Lisätiedot

Järjestelmätoimitusprosessin tietoturva Mikko Jylhä

Järjestelmätoimitusprosessin tietoturva Mikko Jylhä Järjestelmätoimitusprosessin tietoturva 30.9.2009 Mikko Jylhä mikko.jylha@deloitte.fi Esityksen rakenne Puhujan esittäytyminen 3 min A) Toimitussisällöstä sopiminen tietoturvanäkökulmasta 15 min B) Toimitusprosessiin

Lisätiedot

KYSELY OPISKELIJOILLE, OPETTAJILLE/ OPETUKSEN TUKIHENKILÖILLE JA TYÖELÄMÄKUMPPANEILLE SYKSY 2016 YHTEENVETO

KYSELY OPISKELIJOILLE, OPETTAJILLE/ OPETUKSEN TUKIHENKILÖILLE JA TYÖELÄMÄKUMPPANEILLE SYKSY 2016 YHTEENVETO KYSELY OPISKELIJOILLE, OPETTAJILLE/ OPETUKSEN TUKIHENKILÖILLE JA TYÖELÄMÄKUMPPANEILLE SYKSY 2016 YHTEENVETO Shake-projektin Innosessio, Manu Rantanen 9.2.2017 Manu Rantanen/ Ruralia-instituutti 23.1.2017

Lisätiedot

Miksi ja miten siirtyä käyttämään nykyistä ERP-järjestelmää pilvessä?

Miksi ja miten siirtyä käyttämään nykyistä ERP-järjestelmää pilvessä? Miksi ja miten siirtyä käyttämään nykyistä ERP-järjestelmää pilvessä? Sisällys Lukijalle 3 Mitä pilvipalveluilla tarkoitetaan? 4 Toiminnanohjausjärjestelmä pilvessä 5 Miksi siirtyä pilvipalveluihin? 6

Lisätiedot

Esimiesinfo / Tietosuoja Tietosuojavastaava Marita Meriluoto

Esimiesinfo / Tietosuoja Tietosuojavastaava Marita Meriluoto Esimiesinfo 3.11.2015/ Tietosuoja 1 Tietosuojan määritelmä Tietosuoja on osa tietoturvaa Sen avulla pyritään turvaamaan rekisteröidyn yksityisyyden suojan toteutuminen Koskee sekä sähköistä tietojen käsittelyä

Lisätiedot

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy LAURA TM -rekrytointijärjestelmän tietoturva Markku Ekblom Teknologiajohtaja Uranus Oy 17.1.2014 Toimintaympäristö Uranus on Suomessa perustettu, Suomessa toimiva ja suomalaisessa omistuksessa oleva yritys.

Lisätiedot

Abuse-toiminnan ajankohtaiset ilmiöt

Abuse-toiminnan ajankohtaiset ilmiöt Abuse-toiminnan ajankohtaiset ilmiöt Viestintäviraston Abuse-seminaari Saku Tolvanen Tietoturvapäällikkö Elisa Oyj Mitä, miksi ja milloin Luotettavuus SVTSL Tietoturva Muuta Mennyt vuosi Ilmoitusten käsittely

Lisätiedot

Työelämäosaamisen tila ja kehittämistarpeet Etelä-Pohjanmaan pk-yrityksissä

Työelämäosaamisen tila ja kehittämistarpeet Etelä-Pohjanmaan pk-yrityksissä Työelämäosaamisen tila ja kehittämistarpeet Etelä-Pohjanmaan pk-yrityksissä Laura Bordi, FM, tutkija, suunnittelija Marja-Liisa Manka, FT, professori, tutkimusjohtaja Tampereen yliopisto Johtamiskorkeakoulu

Lisätiedot

Koulujen tietotekniikkapalveluiden (perusvarustus) arviointijärjestelmän aihio

Koulujen tietotekniikkapalveluiden (perusvarustus) arviointijärjestelmän aihio Liite artikkeliin: Hautala, R., Leviäkangas, P., Öörni, R. & Britschgi, V. 2011. Millaista on toimiva ja kustannustehokas opetuksen tietotekniikka? Teoksessa M. Kankaanranta & S. Vahtivuori-Hänninen (toim.)

Lisätiedot

Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet

Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet 1 Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet Valtuusto 23.3.2015 16 2 Vieremän kunnan sisäisen valvonnan ja riskienhallinnan perusteet Lainsäädäntöperusta ja soveltamisala Kuntalain

Lisätiedot

yrittäjän työterveyshuolto

yrittäjän työterveyshuolto yrittäjän työterveyshuolto Tiivistelmä 1 Yrittäjän oma hyvinvointi on tärkeää niin yrittäjän itsensä kuin koko liiketoiminnan kannalta. Hyvinvoinnin yksi osatekijä on toimiva työterveyshuolto. Työterveyshuollolla

Lisätiedot

Pohjois-Karjalan turvallisuuspäivä. Turvallisuus on yhteinen etumme

Pohjois-Karjalan turvallisuuspäivä. Turvallisuus on yhteinen etumme Pohjois-Karjalan turvallisuuspäivä Kontiolahti 7.5.2013 Turvallisuus on yhteinen etumme Elli Aaltonen ylijohtaja Itä-Suomen aluehallintovirasto Itä-Suomen aluehallintovirasto 7.5.2013 1 KAMU kaikki mukaan

Lisätiedot

Keskeiset teemat Kysymysten laatiminen vertaisarviointikäynnille ja kysymys- ja haastattelutekniikat Johdatus aiheeseen ennakkotehtävän pohjalta

Keskeiset teemat Kysymysten laatiminen vertaisarviointikäynnille ja kysymys- ja haastattelutekniikat Johdatus aiheeseen ennakkotehtävän pohjalta Koulutuspäivä: VERTAISARVIOINTI JA VERTAISARVIOIJANA TOIMIMINEN Koulutuspäivä 13.2.2012, klo 09.00 16.00 Keskeiset teemat Kysymysten laatiminen vertaisarviointikäynnille ja kysymys- ja haastattelutekniikat

Lisätiedot