Tietoturvapolitiikka
|
|
- Hanna-Mari Järvinen
- 6 vuotta sitten
- Katselukertoja:
Transkriptio
1 Tietoturvapolitiikka 1(17) Tietoturvapolitiikka KH 403 Tietoturvallisuus on koko Kotka-konsernin yhteinen asia
2 Tietoturvapolitiikka 2(17) Sisällys Johdanto... 3 Tietoturvallisuuden merkitys organisaatiolle... 3 Tietoturvallisuuden määritelmä ja tavoitteet... 4 Tietoturvatoimintaa ohjaavat tekijät... 5 Tietoturvallisuuden organisointi ja vastuut... 5 Tiedon ja tietojärjestelmien käyttö... 5 Tietojen luokittelu... 6 Tietoturvaosaamisen ja -tietoisuuden ylläpito... 6 Tietoturvallisuudesta tiedottaminen... 6 Tietoriskien hallinta... 7 Toiminta poikkeustilanteissa ja -oloissa... 8 Turvatoimien priorisointi... 8 Tietoturvallisuuden seuranta, ylläpito ja kehittäminen... 9 Liite 1 Lakiluettelo Liite 2 Tietoturvavastuut.. 12 Liite 3 Keskeiset käsitteet.15 Liite 4 Tietoturvallisuuden osa -alueet 16
3 Tietoturvapolitiikka 3(17) Johdanto Kotkan kaupungin palveluiden perustana ovat kuntalaisten tarpeet. Palveluiden tuottaminen perustuu tietoon ja sen käsittelyyn Kotkan kaupungin ja sen konsernin toimintaympäristöissä. Kaupungin palvelutuotanto on riippuvainen ICT-teknologiasta ja -palveluiden keskeytyksettömästä ja turvallisesta toiminnasta. Kotkan kaupungin tietohallintostrategia tähtää kaupunkistrategian mukaisesti laajaan digitalisaatioon vuoteen 2020 mennessä. Kustannustehokas digitalisointi edellyttää tietoturvallisuuden kaikkien osa-alueiden, kokonaisarkkitehtuurin ja yhteentoimivuuden laajaa huomioimista jo suunnitteluvaiheessa. Kotkan kaupungin johto määrittelee tässä politiikassa Kotkan kaupungin johtamista, palveluita ja toimintoja koskevat tietoturvallisuuden periaatteet, vastuut ja tavoitteet. Politiikka toimii perustana Kotkan kaupungin tietoturvallisuutta koskeville alapolitiikoille ja ohjeille, joiden tehtävänä on tarkentaa politiikassa annettuja määräyksiä ja ohjeistaa niiden soveltamista käytäntöön. Tietoturvapolitiikka koskee koko kaupunkiorganisaatiota sen työntekijää ja luottamushenkilöä mukaan lukien kaupunkikonsernin sekä niitä Kotkan kaupungin sidosryhmien edustajia, jotka työnsä tai toimeksiantojensa puitteissa käsittelevät Kotkan kaupungin omistamaa tai hallinnoimaa tietoa. Politiikka kattaa Kotkan kaupungin omistaman tiedon riippumatta sen esitystavasta, muodosta, suojaustasosta tai elinkaaren vaiheesta. Tämä politiikka on saatavissa asianhallintajärjestelmä Hallissa ja Intranetin Tietoturva- ja Tietosuoja sivulla. Politiikka liitetään tarvittaessa Kotkan kaupungin toimeksiantosopimuksiin ja huomioidaan hankinnoissa. Tietoturvallisuuden merkitys organisaatiolle Lainsäädäntömuutokset, esimerkiksi EU:n yleinen tietosuoja - asetus, tietosuojalaki ja EU:n saavutettavuusdirektiivi tähtäävät tietoturvan, tietosuojan, riskienarvioinnin, kokonaisarkkitehtuurin ja yhteentoimivuuden huomioimiseen suunnittelun aikaisessa vaiheessa, sekä suunnittelun kautta saatavaan kustannustehokkuuteen, tietojen käytettävyyteen ja tietoturvallisuuden tilintekokykyisyyteen. Tietoturvallisuuden toteutumiseksi organisaation tulee tunnistaan sen toiminnan kannalta elintärkeät palvelutehtävät ja määritellä sekä kuvata näiden turvaamiseksi riittävät tietoturvaperiaatteet. Tietoturvallisuuden toteutumista tukevat periaatteista johdetut käytännöt joita ovat mm.; hanke ja projektisuunnittelun tietoturvan ja tietosuojan tarkastuslistat, puite-, palvelu- ja toimitussopimukset sekä niihin liittyvät turvallisuus- tai tietoturvasopimukset, kuvaukset organisaation toimintaympäristön tietokriittisyydestä sekä keskeisistä palveluista, prosesseista ja toiminnoista sekä näiden jatkuvuuden ja toimintavarmuuden hallintamekanismeista. Suunniteltujen ja kuvattujen käytäntöjen toteutumista valvotaan säännöllisesti.
4 Tietoturvapolitiikka 4(17) Tietoturvallisuuden määritelmä ja tavoitteet Tietoturvallisuus koostuu tietoturvaan ja tietosuojaan liittyvistä vastuista ja käytännöistä, joilla pyritään varmistamaan tietojen, tietojärjestelmien ja liiketoiminnan palvelujen turvaaminen siten, että niiden luottamuksellisuus, eheys ja käytettävyys voidaan taata ja osoittaa toteutuneen. Luottamuksellisuus: Tieto on vain siihen oikeutettujen saatavilla. Eheys: Tieto on oikeaa ja eheää, eikä muuttunut tahallisen tai tahattoman teknisen tai inhimillisen toiminnan seurauksena. Käytettävyys: Tieto on saatavilla aina sitä tarvittaessa. Kiistämättömyys: Tietoon tehdyt muutokset sen käsittelyn eri vaiheissa pystytään tarvittaessa todentamaan. Tietosuojaa käsitellään tarkemmin Kotkan kaupungin tietosuojapolitiikassa. Kuva 1. Tietoturvallisuus integroituu kuvan mukaisesti kaikkiin kokonaisuuden osa-alueisiin: turvallisuus, riskienhallinta sekä jatkuvuudenhallinta ja varautuminen. Kaupungin johdon vastuulla on huolehtia tietoturvallisuuden integroimisesta kaupungin operatiiviseen toimintaan.
5 Tietoturvapolitiikka 5(17) Tietoturvatoimintaa ohjaavat tekijät Kotkan kaupungin tietoturvallisuutta velvoittavat ja ohjaavat kansalliset ja kansainväliset yleiset lainsäädäntövelvoitteet sekä toimialakohtaiset erityislainsäädäntövelvoitteet. Lisäksi muut tietoturvallisuutta ohjaavat velvoitteet, määräykset ja ohjeet kuten esimerkiksi toimittajien kanssa tehdyt turvallisuussopimukset. Kotkan kaupungin johdon tehtävänä on ohjata tietoturvallisuuden kehittämistä strategisella tasolla yhdessä tietoturvasta vastaavan kanssa. Kotkan kaupungin tietoturvan hallinnan prosessi on kuvattu tarkemmin toiminnanohjausjärjestelmän (IMS) prosessikuvauksessa ja Kotkan kaupunkia koskeva lainsäädäntö Liitteessä 1. Tietoturvallisuuden organisointi ja vastuut Kotkan kaupungin tietoturvavastuut on kuvattu Liitteessä 2. Tietoturvavastuut ja niiden jakautuminen Kotkan kaupungin ja keskeisten sidosryhmien ja yhteistyökumppaneiden osalta tulee kuvata ja sopia kirjallisesti. Tästä vastaavat palveluista vastaavat henkilöt. Poikkeusluvan Kotkan kaupunkikonsernin tietoturvapolitiikassa, standardeissa ja ohjeissa kuvattuihin menettelytapoihin myöntää Kotkan kaupunginhallitus. Kotka-konsernin tietoturvaa koskevan politiikan sekä siihen kohdistuvat muutokset hyväksyy kaupunginhallitus. Tietoturvastandardit sekä tietoturvaohjeet ja niitä koskevat muutokset hyväksyy tietosuojatyöryhmä. Tiedon ja tietojärjestelmien käyttö Kotkan kaupungin henkilöstönsä käyttöön luovuttamat laitteet, ohjelmistot, tietojärjestelmät sekä tieto on tarkoitettu työtehtävien hoitamiseen. Kotkan kaupungin tietojärjestelmäympäristössä saa käyttää ainoastaan tietohallinnon ja tietohallinnon johtoryhmän hyväksymiä tietojärjestelmiä, laitteita ja ohjelmistoja. Asennustyöt suorittavat Kotkan kaupungin kanssa sopimussuhteessa olevat toimijat, esimerkiksi ICT-palveluntuottajat, järjestelmä- ja laitetoimittajat. Kaupungin ja näiden toimijoiden välisissä sopimuksissa tulee huomioida tietoturvaan ja tietosuojaan liittyvät vastuut ja velvoitteet. Jokainen Kotkan kaupungin henkilöstöön kuuluva sitoutuu tietojen ja tietojärjestelmien tietoturvalliseen ja ohjeiden mukaiseen käyttöön allekirjoittamalla tätä koskevan sitoumuksen. Vastaavasti em. sitoumus edellytetään niiltä Kotkan kaupungin luottamushenkilöiltä, joille sallitaan oikeus käyttää Kotkan kaupungin omistamia tietojärjestelmiä. Kotkan kaupungin omistamat tietojärjestelmät tunnistetaan, luokitellaan kriittisyyden perusteella ja niille nimetään omistaja, jonka vastuulla on kuvata tietojärjestelmän käyttövaltuushallinta. Käyttövaltuushallintaa koskevat määräykset on kuvattu tarkemmin Käyttövaltuuspolitiikassa.
6 Tietoturvapolitiikka 6(17) Tietojen luokittelu Tietoturvallinen toimintatapa on kuvattu Loppukäyttäjän tietoturvaohjeessa ja muissa tietoturvaohjeissa. Laiminlyönteihin ja väärinkäytöksiin puututaan välittömästi Tietoturvarikkomusten tulkinta ja seuraamussäännöstön mukaisesti. Kotkan kaupungin omistamat tiedot luokitellaan tiedon omistajan toimesta. Tietojen luokittelu perustuu lakiin viranomaisten toiminnan julkisuudesta ja Asianhallintayksikön antamiin ohjeisiin lain soveltamisesta. Pilvipalveluiden käytössä tulee huomioida, että luokittelematonta ja omistajatonta tietoa ei saa viedä pilvipalveluun. Tietoturvaosaamisen ja -tietoisuuden ylläpito Jokainen Kotkan kaupungille tuleva uusi työntekijä suorittaa perehdytyskäytäntöjen mukaisen tietoturvan perusteet sisältävän verkkokoulutuksen sekä saa opastuksen tietoturvaohjeiden sijainnista sekä tietoturvan organisoinnista Kotkan kaupungissa. Tietoturvaohjeet ovat jokaisen henkilöstöön kuuluvan saatavissa asianhallintajärjestelmässä (Halli) ja Intrassa. Tietoturvallisuuden ylläpidosta, kehittämisestä ja johtamisesta vastaaville tulee tarjota mahdollisuus riittävän perus- ja jatkokoulutuksen hankkimiseen. Tietoturvallisuudesta tiedottaminen Tietoturvallisuuteen liittyvä henkilöstön tiedottaminen ajankohtaisasioista, ohjeista ja poikkeamatilanteista tehdään pääsääntöisesti Intrassa. Jokainen esimies on velvollinen seuraamaan ja varmistamaan, että henkilöstö seuraa tiedotteita. Teknistä tietoturvaa (esim. virustorjunta, palomuurit, roskapostisuodatus) toteuttavan ICTpalveluntuottajan / -tuottajien kanssa sovitaan kirjallisesti poikkeamatilanteiden tiedotusmenettelyistä ja yhteyshenkilöistä.
7 Tietoturvapolitiikka 7(17) Tietoriskien hallinta Tietoriskien hallinnan perusta on uhkien tunnistus ja vaikutusanalyysin muodostaminen sekä tarvittavista toimenpiteistä päättäminen riskien hallitsemiseksi. Kuva 2. Kotkan kaupungin tietoriskien hallintaprosessi.
8 Tietoturvapolitiikka 8(17) Toiminta poikkeustilanteissa ja -oloissa Turvatoimien priorisointi Kaupungin toiminta kriisitilanteissa perustuu lakisääteiseen valmiussuunnitteluun. Kaupungin palveluista vastaavat palvelu- ja vastuualueet sekä yksiköt ja liikelaitokset, laativat kukin omat suunnitelmansa kriisien varalle. Suunnitelmat kootaan yhteen Kotkan kaupungin valmiussuunnitelman yleiseen osaan. Varautumistyötä johtaa kaupunginjohtaja yhdessä kaupunginhallituksen kanssa. Suunnittelussa tulee varautua pieneen, keskisuureen ja suureen toimintahäiriöön sekä soveltuvin osin poikkeusoloihin. Poikkeusoloissa toimintaa johtaa viranomainen (johtovastuu voi muuttua tilanteen edetessä) ja kaupungin valmiussuunnitelma / häiriötilanteiden suunnittelu ja organisaatio tukevat sen toimintaa. Poikkeusolojen ja vakavien häiriötilanteiden varalta päätökset käskyvaltasuhteiden muutoksista on valmisteltava huolellisesti ennakolta, jotta tilanteen niin vaatiessa siirtyminen toimimaan linjaorganisaationa on nopeasti toteutettavissa. Huolellista ennakkovalmistelua edellyttävät erityisesti sopimusohjaustilanteet. Kotkan kaupunginvaltuusto hyväksyy kaupunkikonsernia koskevat Sisäisen valvonnan ja riskienhallinnan periaatteet. Periaatteissa on kuvattu eri toimijoiden tehtävät ja vastuut sisäisen valvonnan ja riskienhallinnan jatkuvassa prosessissa. Kotkan kaupungissa on määritetty toimintaprosessi ja ohje liittyen toimintaan tietoturvaloukkausten tapahtuessa. Ohje on nimeltään Kotkan kaupungin tietoturva- ja tietosuojapoikkeamien ilmoittaminen ja hallinta ja se löytyy Intranetistä Tietoturva ja Tietosuoja-sivuilta sekä asianhallintajärjestelmä Hallista. Tämän prosessin mukaista toimintatapaa noudatetaan tietosuojapoikkeamien sattuessa. Henkilötietojen tietoturvaloukkauksen sattuessa Kotkan kaupungilla on rekisterinpitäjänä ilmoitusvelvollisuus valvontaviranomaisen sekä rekisteröidyn suuntaan. Valvontaviranomaiselle tehdään ilmoitus tietosuoja-asetuksen mukaisesti 72 tunnin kuluessa siitä, kun henkilötietojen tietoturvaloukkaus on tullut ilmi. Rekisteröidylle henkilötietojen tietoturvaloukkaus ilmoitetaan ilman aiheetonta viivytystä. Kotkan kaupungin käytössä olevista tietojärjestelmistä ja palveluista on määriteltävä ja kuvattava suojattavat kohteet. Näiden toipumis- ja jatkuvuussuunnitelmissa tulee huomioida tietoturvallisuuteen kohdistuvat uhat ja toiminta poikkeamatilanteissa (esim. palvelunestohyökkäysten vaikutus). Suojattavat kohteet on priorisoitava.
9 Tietoturvapolitiikka 9(17) Tietoturvallisuuden seuranta, ylläpito ja kehittäminen Kotkan kaupungin tietoturvallisuustyö perustuu toiminnan, teknologian ja osaamisen jatkuvaan kehittämiseen tietoturvan hallinnan prosessin kuvauksen mukaisesti noudattaen jatkuvan kehittämisen periaatteita: SUUNNITTELU - vaiheessa tuotetaan johdon ja tietoturvasta vastaavan toimesta analyysien ja arvioiden perusteella politiikkoja, periaatteita ja suunnitelmia. Tälle vaiheelle vaatimuksia asettavat mm. lainsäädäntö, riskienhallinnan tulokset, vaatimukset (sopimukset, asiakkaat ja sidosryhmät) sekä toimintaolosuhteet. TOTEUTUS - vaiheessa edellisen vaiheen päätökset ja suunnitelmat otetaan käyttöön, tiedotetaan ja jalkautetaan niin henkilökunnalle kuin myös kumppaneille ja asiakkaille. SEURANTA - vaiheessa suoritetaan tietoturvallisuuden teknistä valvontaa ja raportointia sekä arvioidaan ratkaisevatko toteutetut toimenpiteet tunnistettuja tietoturvariskejä ja vähenivätkö ne suunnitellulle tasolle. MUUTOSHALLINTA - vaiheessa toteutetaan muutoshallintaprosessin mukaista normaalia muutoshallintaa seurantavaiheen tuloksista opitun perusteella.
10 Tietoturvapolitiikka 10(17) Kuva 3. Kotkan kaupungin tietoturvallisuustyön jatkuva kehittäminen
11 Tietoturvapolitiikka 11(17) Liitteet Liite 1 Lakiluettelo Liite 2 Tietoturvavastuut Liite 3 Keskeiset käsitteet Liite 4 Tietoturvallisuuden osa-alueet
12 Liite 1 Lakiluettelo 12(17) Tietoturvaan liittyvää lainsäädäntöä Perustuslaki (731/1999) Kuntalaki (410/2015) Hallintolaki (434/2003) Arkistolaki (831/1994) Asetus viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999) Laki viranomaisen toiminnan julkisuudesta (621/1999) Henkilötietolaki (523/1999) Euroopan unionin yleinen tietosuoja-asetus luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (EU 679/2016) Euroopan parlamentin ja neuvoston direktiivi, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta (EU 680/2016) Laki yksityisyyden suojasta työelämässä (759/2004) Laki kunnallisesta viranhaltijasta (304/2003) Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) Laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista (661/2009) Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) Laki julkisista hankinnoista ja käyttöoikeussopimuksista (1397/2016) Rikoslaki (39/1889) Työsopimuslaki (55/2001) Valmiuslaki (1552/2011) Tietoyhteiskuntakaari (917/2014) Tekijänoikeuslaki (404/1961) Lukiolaki (629/1998) Perusopetuslaki (628/1998) Oppilas- ja opiskelijahuoltolaki (1287/2013) Kansanterveyslaki (66/1972) Laki potilaan asemasta ja oikeuksista (785/1992) Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000) Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) Laki sosiaali- ja terveydenhuollon palvelusetelistä (569/2009) Laki sähköisestä lääkemääräyksestä (61/2007) Laki terveydenhuollon ammattihenkilöstä (559/1994) Sosiaalihuoltolaki (1301/2014), sosiaalihuoltolain (710/1982) 2 luku, 25, 26, 26 a, 27 d, 27 e ja 40 sekä 5 ja 8 luku jäävät voimaan Sosiaali- ja terveysministeriön asetus potilasasiakirjoista (298/2009) Terveydenhuoltolaki (1326/2010)
13 Liite 2 Tietoturvavastuut 13(17) Tietoturvavastuut Kotkan kaupungissa Tämä dokumentti kuvaa tietoturvallisuuden vastuut ja velvollisuudet Kotkan kaupungissa. Tietoturvallisuuden vastuujärjestelyn tulee seurata kaupungin toiminnan mahdollisia muutoksia. Monet alla mainituista vastuista voivat kuulua samankin henkilön tehtäviin ja vastuisiin. Olennaista on, että näiden tehtävien hoito on järjestetty, myös varahenkilöiden osalta. Yleinen vastuu tietoturvallisuuden valvonnasta ja ylläpitämisestä Tietoturvallisuuden valvontaan ja ylläpitämiseen osallistuu jokainen kaupungin henkilöstöön ja järjestelmien ja palveluiden käyttäjiin kuuluva osana omaa yleistä toimintavastuutaan. Turvallisuus on osa työtehtäviä Suurin osa tietoturvallisuuden toteuttamiseksi tehdystä työstä sisältyy Kotkan kaupungissa työskentelevien normaaleihin tehtäviin. Tietoturvallisuuden ohjaustehtävissä ja kehittämisessä tarvitaan sen lisäksi erityisasiantuntemusta ja nimettyjä turvallisuusvastuuhenkilöitä. Tietoturvallisuuden erityisvastuut Rooli Vastuu valvontavastuu Kaupunginhallitus Tietoturvapolitiikan hyväksyminen Tietoturva- / tietosuojaryhmä Kaupunginjohtajan johtoryhmä Kansliapäällikkö Tietoturvaorganisaatio (riskienhallinnan johtoryh- Tietoturvapolitiikan käsittely Tietojen turvaluokittelujärjestelmä Tietojen omistajien määrittäminen - yksikkökohtaisten erityisvaatimusten määrittäminen Tiedon ja tietojärjestelmien omistajien nimeäminen tietoturvan tason ja niihin liittyvien mittarien määrittely sekä toteutumisen valvonta Tietoturvapolitiikan valmistelu Tietoturvapolitiikan ylläpitäminen Tietoturva/tietosuojaryhmän johtaminen Tietoturvan hallinnointi, ohjeistus ja koordinointi Organisaation järjestelmien tietoturvan toteutumisen valvonta Organisaation tietoturvaan liittyvä tiedottaminen Tietoturvakoulutuksen suunnittelu yhdessä HR:n kanssa Tietoturvatietämyksen hankkiminen ja ajan tasalla pitäminen sekä tietämyksen jakaminen Poikkeustilanteiden koordinointi Organisaation tietoturvaratkaisujen määrittäminen, kehittäminen ja muutoksien hyväksyminen Valmistelija vie kaupunginsihteerille johtoryhmäkäsittelyä varten. Tietoturva- / tietosuojaryhmä valvoo, että asia valmistellaan ja viedään päätöksentekoon. Kaupunginjohtaja Kansliapäällikkö
14 Liite 2 Tietoturvavastuut 14(17) mä) Henkilöstöyksikkö Vastata keskitettyjen tietoturvallisuuden kehittämishankkeiden valmistelusta ja toteutuksesta Viestiä tietoturva-asioista ja huolehtia tietoturvapuuteiden ja poikkeamien käsittelyn käynnistämisestä Osallistua tietoturvaperiaatteiden määrittelyyn Avustaa johtoa ja yksiköitä tietoturvallisuuden toimeenpanossa Valmistella tietoturvastrategia (tietoturvasuunnitelma) osana kaupungin riskienhallintasuunnitelmaa Valmistella tietoturvallisuuden mittaristo ja järjestää tietoturvallisuutta koskeva seuranta Raportoida ylimmälle johdolle tietoturvallisuudesta Yrityksen tietoturvaohjeiden- ja käytäntöjen kehittäminen, valmistelu ja muutosten hallinta Vastuu poikkeustilanteiden käsittelystä Tietoturvakoulutuksen suunnittelu, organisointi ja seuranta Henkilöstöjohtaja Isännöinti Tilaturvallisuus ja vartiointi Toimitilahallinto Esimies Tiedon omistaja Tiedon käsittelijä Tietojärjestelmien omistajat Vastuualueiden ja toimintayksiköiden johtajat Tietoturvan toteutumisen valvonta Tiedon omistajien määrittäminen johtamisjärjestelmän vastuiden mukaisesti Oman yksikkönsä tietoturvakoulutukseen osallistumisesta huolehtiminen Vastaa, että yksiköllä on sen oman toiminnan erityisvaatimukset huomioiden tarkennetut tietoturvatavoitteet ja periaatteet Nimeää tietoturvayhteyshenkilön, joka raportoi tietoturvaryhmälle yksikön aikaansaannoksista ja tekemistä Tietojen luottamuksellisuuden ja käytettävyyden varmistaminen lakien, asetusten, tietoturvapolitiikan ja ohjeiden mukaisesti. Pääkäyttäjien nimeäminen vastuullaan olevien järjestelmien osalta. Tiedon huolellinen käsitteleminen ja ohjeiden noudattaminen Käyttövaltuushallinnan määrittely, kuvaaminen ja ohjeistus Tietoturvallisuuden toteutuminen alaisessaan toiminnassa Yksikönjohtaja tai ao. esimies Ao. esimies Ao. esimies Ao. esimies Johtoryhmä
15 Liite 2 Tietoturvavastuut 15(17) Liikelaitosten johtajat Palveluyksikön johtaja tai päällikkö Alihankkijat ja konsultit Tietoturvallisuuden toteutuminen alaisessaan toiminnassa Ostopalvelut, joissa palvelun toteutus on sopimuspohjaisesti luovutettu, ICT palvelun operatiivisesta ja teknisestä tietoturvasta ja sen ohjeistamisesta vastaaminen Vastuualueiden tai toimintayksiköiden johtajat Sopimuksen vastuuhenkilö(t)
16 Liite 3 Keskeiset käsitteet 16(17) Tietoturva (information security) Järjestelyt, joilla pyritään varmistamaan tiedon käytettävyys, eheys ja luottamuksellisuus. Tietoturvallisuus on riskienhallintaa ja osa yritysturvallisuutta. Tietosuoja (privacy protection) Tietosuojalla tarkoitetaan toimenpiteitä, joiden tarkoituksena on suojata henkilön yksityisyys henkilötietojen käsittelyssä. Tietoturvapolitiikka (information security policy) Johdon hyväksymä näkemys tietoturvallisuuden päämääristä, periaatteista ja toteutuksesta. Tietoturvasuunnittelu (information security planning) Suunnitteluprosessi, johon kuuluu muun muassa uhka-analyysi, perusturvallisuuden määrittely sekä toipumisvalmiuden ja poikkeusolojen valmissuunnittelu, ja jonka tuloksena on tietoturvasuunnitelmia, -linjauksia ja - ohjeistoja. Tietoaineistoturvallisuus (data security) Tietoturvallisuuteen tähtäävät toimet asiakirjojen, tiedostojen ja muiden tietoaineistojen käytettävyyden, eheyden ja luottamuksellisuuden ylläpitämiseksi keinoina muun muassa tietoaineistojen luettelointi ja luokitus sekä tietovälineiden ohjeistettu hallinta, käsittely, säilytys ja hävittäminen. Eheys (integrity) Ominaisuus, että tietoa tai viestiä ei ole valtuudettomasti muutettu, ja että mahdolliset muutokset voidaan todentaa kirjausketjusta. Käytettävyys (availability) Ominaisuus, että tieto, tietojärjestelmä tai palvelu on siihen oikeutetuille saatavilla ja hyödynnettävissä haluttuna aikana ja vaaditulla tavalla. Luottamuksellisuus (confidential) Vain tietyn henkilön tai tiettyjen henkilöiden tietoon tarkoitettu. Fyysinen turvallisuus (physical security) Henkilöiden, laitteiden, aineistojen, postilähetysten, toimitilojen ja varastojen suojaaminen tuhoja ja vahinkoja vastaan. Fyysinen turvallisuus sisältää muun muassa kulun ja tilojen valvonnan, vartioinnin, palo-, vesi-, sähkö-, ilmastointi- ja murtovahinkojen torjunnan sekä kuriirien ja tietoaineistoja sisältävien lähetysten turvallisuuden. Hallinnollinen tietoturva (administrative and organizational information security) Tietoturvaan tähtäävät hallinnolliset keinot, kuten organisaatiojärjestelyt, tehtävien ja vastuiden määrittely sekä henkilöstön ohjeistus, koulutus ja valvonta. Henkilöstöturvallisuus (personnel security) Henkilöstön luotettavuuteen ja soveltuvuuteen, oikeuksien hallintaan, sijaisjärjestelyihin, henkilöstön suojaamiseen ja työsuhteen sekä työyhdistelmien järjestelyihin liittyvien turvallisuustekijöiden hoitamista.
17 Liite 4 Tietoturvallisuuden osa - alueet 17(17) Tietoturvallisuuden osa-alueet Hallinnollinen turvallisuus Hallinnollinen tietoturva koostuu johdon hyväksymistä periaatteista, vastuunjaosta, tarkoitukseen varatuista resursseista sekä riskien arvioinnista ja valvonnasta. Ohjelmistoturvallisuus Käyttöjärjestelmiin ja muihin ohjelmistoihin kohdistuvat toimet, kuten ohjelmistojen tunnistamis-, eristämis-, pääsynvalvonta- ja varmistusmenettelyt, tarkkailu- ja paljastustoimet, lokimenettelyt ja laadunvarmistus sekä ohjelmistojen ylläpitoon ja päivitykseen liittyvät toimet tietoturvallisuuden parantamiseksi. Tietoaineistoturvallisuus Tietoaineistoturvallisuudella säilytetään asiakirjojen, tietueiden ja tiedostojen luottamuksellisuus sekä estetään tietojen tuhoutuminen tai tahaton muuttuminen. Oleellista on myös tallenteiden suojaaminen ja oikeanlainen säilyttäminen. Tietoaineistoturvallisuuteen liittyvät tiedon jatkuva varmistaminen, asianmukainen säilytys sekä hävittäminen. Käyttöturvallisuus Käyttöturvallisuutta ovat salasanat, käytössä olevien ohjelmien osaaminen ja virustentorjunta. Annettujen käyttöoikeuksien tulee olla mukautettu työtehtäviin. Käyttöturvallisuus koostuu järjestelmien turvallisista käyttöperiaatteista, tietojenkäsittelytapahtumien valvonnasta sekä jatkuvuuden turvaamisesta. Laitteiden käyttövarmuus on myös käyttöturvallisuutta. Laaditaan ns. toipumissuunnittelu, jonka avulla varmistetaan toiminnan jatkuminen jonkun yllättävän tilanteen ilmaantuessa. Laitteistoturvallisuus Tietojenkäsittely- ja tietoliikennelaitteiden ja tilojen käytettävyyteen, toimivuuteen, kokoonpanojen määrittelyyn ja pääsynvalvontaan sekä varaosien ja tarvikkeiden saatavuuteen liittyvät toimet tietoturvallisuuden toteuttamiseksi. Fyysinen turvallisuus Henkilöiden, laitteiden, aineistojen, postilähetysten, toimitilojen ja varastojen suojaaminen tuhoja ja vahinkoja vastaan. Fyysinen turvallisuus sisältää muun muassa kulun ja tilojen valvonnan, vartioinnin, palo-, vesi-, sähkö-, ilmastointi- ja murtovahinkojen torjunnan sekä kuriirien ja tietoaineistoja sisältävien lähetysten turvallisuuden. Fyysinen turvallisuus koostuu monesta eri osatekijästä, turvallisuuden perusta kuitenkin luodaan jo rakennusvaiheessa. Tietoliikenneturvallisuus Tietoliikenneturvallisuudella pyritään varmistamaan tietoturvan perustavoitteet eli verkossa välitettävien tietojen luottamuksellisuus, eheys ja käytettävyys. Keskeisenä tavoitteena on varmistaa viestien alkuperäisyys, koskemattomuus ja luottamuksellisuus. Tietoliikenneturvallisuudessa on kyse kaikista niistä toimenpiteistä, joilla varmistetaan tietojen turvallisuus tiedon liikkuessa järjestelmän sisällä tai organisaatioiden välillä. Henkilöstöturvallisuus Henkilöstöturvallisuuden tavoite on, ettei työntekijä tietämättömyyden, huonon motivaation tai pahantahtoisuuden vuoksi pääse muuttamaan tai tuhoamaan tietoa, tai mahdollista jonkun ulkopuolisen käyttämään sitä. Henkilöstöturvallisuuden pääpaino on riskien välttäminen ennakkoon ja synnyn estäminen.
Seinäjoen kaupungin tietoturvapolitiikka. Kh , 149
Seinäjoen kaupungin tietoturvapolitiikka Kh 14.5.2018, 149 Tietoturvapolitiikka 2/13 Sisällys Johdanto... 3 Tietoturvallisuuden merkitys organisaatiolle... 3 Tietoturvallisuuden määritelmä ja tavoitteet...
LisätiedotTietoturvapolitiikka Porvoon Kaupunki
Tietoturvapolitiikka Porvoon Kaupunki 1 Sisältö 1 Johdanto... 3 2 Mitä tietoturvallisuus on?... 4 Tietoturvallisuuden hallinta... 4 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen... 5 3 Tietoturvallisuustavoitteet...
LisätiedotTietoturvapolitiikka
Mäntsälä Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 0.9 2/8 Sisällys 1 Johdanto... 4 2 Mitä tietoturvallisuus on?... 4 2.1 Tietoturvallisuuden hallinta... 5 2.2 Riskienhallinta sekä jatkuvuuden
LisätiedotTIETOTURVAPOLITIIKKA
TUUSULAN KUNNANSÄÄDÖSKOKOELMA TIETOTURVAPOLITIIKKA Kunnanhallitus XX.X.2018 XXX Voimaantulopv. X.X.2018 Tuusulan kunta PL60 www.tuusula.fi 04301 Tuusula puh. (09) 87 181 Sisällys 1 Johdanto... 3 2 Mitä
LisätiedotJYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA
JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA 2014 SISÄLLYSLUETTELO 1 JOHDANTO... 1 2 KATTAVUUS... 1 3 MITÄ TIETOTURVA ON... 1 4 MIKSI TIETOTURVAA... 1 5 TIETOTURVA JA LAATU... 2 6 TIETOTURVAN KEHITTÄMINEN...
LisätiedotVihdin kunnan tietoturvapolitiikka
Vihdin kunnan tietoturvapolitiikka Kunnanhallitus 2.3.2015 50, liite 2 Kunnan johtoryhmä 18.11.2014 Tietohallinnon ohjausryhmä (Thor) 24.9.2014 Sisällys 1 Johdanto... 2 2 Mitä tietoturvallisuus on?...
LisätiedotJYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA
JYVÄSKYLÄN KAUPUNKI Tietohallinto JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA VERSIO 1.0 11.5.2009 SISÄLLYSLUETTELO 1 JOHDANTO... 1 2 KATTAVUUS... 1 3 MITÄ TIETOTURVA ON... 1 4 MIKSI TIETOTURVAA...
LisätiedotLieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019
Lieksan kaupungin tietoturva- ja 2019 2 (8) Sisällys Johdanto... 3 Käsitteet... 3 Tavoitteet... 5 Toteutus... 5 Organisointi ja vastuut... 6 Riskienhallinta... 7 Seuranta ja valvonta... 7 Dokumentit ja
LisätiedotNurmeksen kaupungin tietoturva- ja tietosuojapolitiikka
1 (5) Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka Sisällys Johdanto... 2 Käsitteet... 2 Tavoitteet... 3 Toteutus... 3 Organisointi ja vastuut... 4 Riskienhallinta... 4 Seuranta ja valvonta...
LisätiedotVihdin kunnan tietosuoja- ja tietoturvapolitiikka
Vihdin kunnan tietosuoja- ja tietoturvapolitiikka Kunnanhallitus Kunnan johtoryhmä Sisällys 1 Johdanto... 2 2 Mitä tietosuoja ja tietoturvallisuus ovat?... 2 2.1 Tietosuoja on perustuslain suojaamaa yksityisyyden
LisätiedotKOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA
KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA 1 S i v u Kokkolan kaupungin tietoturvapolitiikka 1. JOHDANTO Tietojenkäsittely tukee Kokkolan kaupungin palvelujen tuottamista ja palveluiden tehokkuus riippuu
Lisätiedot1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus
1 (6) VALTIMON KUNTA Tietoturva- ja tietosuojapolitiikka Kunnanhallitus 11.6.2018 86 2 (6) Sisällys Johdanto.. 3 Käsitteet.. 3 Tavoitteet 4 Toteutus.. 4 Organisointi ja vastuut.. 4 Riskienhallinta 5 Seuranta
LisätiedotYliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.
Itä-Suomen yliopiston tietoturvapolitiikan liitteet 1/6 ITÄ-SUOMEN YLIOPISTON TIETOTURVAPOLITIIKAN LIITTEET LIITE 1: Tietoturvallisuuden vastuut ja organisointi Tässä liitteessä kuvataan tietoturvallisuuteen
LisätiedotMuutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen
1 (6) 25.11.2015 Lappeenrannan kaupungin tietoturvapolitiikka 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0
LisätiedotESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA
1 (6) ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA Hyväksytty kaupunginhallituksessa 12.12.2006 Tietoturvapolitiikan avulla vaikutetaan omalta osaltaan siihen, että Espoon kaupungin strategiassa määritelty Espoon
LisätiedotPIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA
PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA 2016 Kh 111 31.5.2016 v1.0 19.5.2016, Seija Romo 1. JOHDANTO... 1 2. TIETOTURVAPOLITIIKAN TAVOITE... 1 3. TIETOTURVATOIMINTAA OHJAAVAT TEKIJÄT... 2 4. TIETORISKIEN
LisätiedotEspoon kaupunki Tietoturvapolitiikka
Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 1.0 ESPOON KAUPUNKI 02070 ESPOON KAUPUNKI WWW.ESPOO.FI ESBO STAD 02070 ESBO STAD WWW.ESBO.FI Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuus...
LisätiedotTietoturva- ja tietosuojapolitiikka
HYRYNSALMEN KUNTA Tietoturva- ja tietosuojapolitiikka voimassa 1.9.2018 alkaen luonnos 9.8.2018 Hyrynsalmen kunta Tietoturva- ja tietosuojapolitiikka Sisällysluettelo: 1. Johdanto... 2 2. Tietoturvallisuus...
LisätiedotKarkkilan kaupungin tietoturvapolitiikka
Karkkilan kaupungin tietoturvapolitiikka Kaupunginhallitus 25.9.2017 Kaupungin johtoryhmä 18.4.2017 Yhteistyöryhmä 7.6.2017 Tietohallinnon ohjausryhmä (Kartio) 13.12.2016 Sisällys 1 Johdanto... 2 2 Mitä
LisätiedotTIETOSUOJAPOLITIIKKA. Turun kaupunki
TIETOSUOJAPOLITIIKKA Turun kaupunki Konsernihallinto Tietosuojavastaava 7.1.2019 Sisällysluettelo 1. Johdanto... 3 2. Tietosuojan määritelmä... 3 3. Tietosuojan tavoitteet ja periaatteet... 4 4. Tietosuojan
LisätiedotLapin yliopiston tietoturvapolitiikka
Lapin yliopiston tietoturvapolitiikka 2016 1 Vahvistettu Lapin yliopiston rehtorin päätöksellä 16.5.2016 Lapin yliopiston tietoturvapolitiikka Sisällysluettelo: 1. Johdanto... 2 2. Tietoturvapolitiikan
LisätiedotTIETOTURVA- POLITIIKKA
TIETOTURVA- POLITIIKKA Kaupunginhallitus 3.9.2013 216 HAAPAJÄRVEN KAUPUNGIN TIETOTURVAPOLITIIKKA 1. JOHDANTO... 3 2. KATTAVUUS... 3 3. TIETOTURVA... 3 4. TIETOTURVATYÖ... 4 5. ORGANISOINTI JA VASTUUT...
LisätiedotTietoturvapolitiikka. Hattulan kunta
Tietoturvapolitiikka Hattulan kunta Versio 1.0 Muutoshistoria: Versio Tekijä Sisältö Hyväksytty 1.0 Kuntien Tiera Oy Hattulan kunnan tietoturvapolitiikka 11.5.2015 Hattulan kunta Pappilanniementie 9 www.hattula.fi
LisätiedotKuopion kaupunki Dnro 3720/2018 Elinvoima- ja konsernipalvelu Tietohallinto
13.8.2018 1 (10) Laatimispäivä 13.08.2018 Laatijat Tietoturva- ja tietosuojaryhmä Versio 1.0 Hyväksytty Kaupunginjohtajan johtoryhmä 25.09.2018 Kaupunginhallitus 19.11.2018 Postiosoite PL 228, 70101 KUOPIO
LisätiedotTietoturvapolitiikka NAANTALIN KAUPUNKI
2016 Tietoturvapolitiikka NAANTALIN KAUPUNKI 1 Sisällysluettelo Johdanto... 2 Tietoturvallisuus... 2 Riskienhallinta... 3 Varautuminen... 3 Vaatimustenmukaisuus ja tavoitteet... 3 Organisointi, roolit
LisätiedotVersio Rovaniemen koulutuskuntayhtymä Hyväksytty
Tietoturvapolitiikka 1 (6) 26.1.2017 Hyväksytty Vahvistettu hallituksen päätöksellä 26.1.2017 n tietoturvapolitiikka Sisällysluettelo: 1. Johdanto... 2 2. Tietoturvapolitiikan tavoite... 2 2.1. Tietoturvallisuuden
LisätiedotEspoon kaupunki Tietoturvapolitiikka
Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016
LisätiedotSovelto Oyj JULKINEN
1 (5) 21.3.2018 JULKINEN :n Vastuu :n toiminnasta on sen ylimmällä johdolla. Yrityksen toiminta ja palvelut ovat suuresti riippuvaisia tietotekniikkapalveluiden saatavuudesta ja niiden turvallisesta toiminnasta.
LisätiedotTietoturvapolitiikan käsittely / muutokset:
Tietoturvapolitiikan käsittely / muutokset: Versio Muutoksen kuvaus Tekijä Päiväys 0.7 Luonnoksen laadinta Tietoturvaryhmä 07.11.2016 0.8 Kommentointi Tulosalueiden johtoryhmät 14.11.2016 0.9 Tarkastus
LisätiedotRÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx
1 RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty: Rääkkylä kunnanhallitus XXXxxx DOKUMENTIN VERSIOTIEDOT Versio Pvm Muutosten kuvaus Tekijä 1 21.3.2018 Tietosuojaryhmä käsitellyt Raita
LisätiedotPOLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA
POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty: DOKUMENTIN VERSIOTIEDOT Versio Pvm Muutosten kuvaus Tekijä 20.4.2018 Päivitetty Helena Kaasinen 03.05.2018 Tietosuojaryhmän käsittely
LisätiedotToimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT
TIETOTURVALLISUUDEN KEHITTÄMINEN Opettaja: Tuija Kyrölä 040-5455465 tuija.kyrola@kolumbus.fi Toimintaohjeistus Tietoturvallisuusohjeistus I-TASO II-TASO III-TASO Ylin johto hyväksyy Konsernihallinto valmistelee
LisätiedotTietoturvapolitiikka
Tietoturvapolitiikka Toivakan kunta Tietoturvapolitiikan käsittely: Tarkastettu Hallintojohtaja 8.2.2018 Hyväksytty Kunnanhallitus 12.2.2018 Tietoturvapolitiikan muutokset: Tekijä / päiväys Kohta Muutoksen
LisätiedotTietoturvapolitiikka
Valtiokonttori Ohje 1 (6) Tietoturvapolitiikka Valtion IT -palvelukeskus Valtiokonttori Ohje 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa...
Lisätiedot1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016
1 (9) Rauman kaupunki Tietoturvapolitiikka Kaupunginhallitus hyväksynyt 30.5.2016, KH 274, RAU/522/07.03.00/2016 2 (9) Sisällys 1. Johdanto... 3 2. Tietoturvapolitiikan tarkoitus... 3 3. Ketä tämä tietoturvapolitiikka
LisätiedotEläketurvakeskuksen tietosuojapolitiikka
Eläketurvakeskus Tietosuojapolitiikka 1 (5) Eläketurvakeskuksen tietosuojapolitiikka Eläketurvakeskus Tietosuojapolitiikka 2 (5) Sisällysluettelo 1 Yleistä... 3 2 Tietosuojatoimintaa ohjaavat tekijät...
LisätiedotTIETOTURVA- JA TIETOSUOJAPOLITIIKKA
TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty kunnanhallituksessa 20.01.2014 23 1. YLEISTÄ Tietoturva- ja tietosuojapolitiikka asiakirjana sisältää ne periaatteet, toimintatavat, vastuut, toimivallat,
LisätiedotTietoturvavastuut Tampereen yliopistossa
Tietoturvavastuut Tampereen yliopistossa Hyväksytty Tampereen yliopiston Yliopistopalvelujen johtoryhmässä 10.5.2016 Korvaa 18.10.2002 hyväksytyn vastaavan dokumentin. Tulee voimaan hyväksymispäivänä.
Lisätiedot-------- = LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet
-------- Seinäjoen kaupungin tietoturvapolitiikka 1. Johdanto Tietoturva nähdään julkishallinnon organisaatioissa oleellisena osana normaalia toimintaa ja palveluiden laatua, kokonaisturvallisuutta ja
LisätiedotTERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA
TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA Hyväksytty: Hämeenkyrön lautakunta 2.11.2011 Tarkastettu 29.4.2014 OK 1. JOHDANTO Tietojenkäsittely tukee Hämeenkyrön kunnan / n terveydenhuollon toimintayksikön
LisätiedotTIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103
TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI Hyväksytty:, asiakohta 28, asiakohta 103 Sisällysluettelo 1. Periaatteet... 3 1.1 Henkilötietojen käsittelyn lainmukaisuus... 3 2. Tietosuojan vastuut ja organisointi...
LisätiedotTietoturvapolitiikka
Tietoturvapolitiikka Varkauden kaupunki 2 (9) Sisällysluettelo 1 Johdanto... 3 2 Tietoturvapolitiikan tarkoitus ja tausta... 3 3 Keitä tietoturvapolitiikka koskee... 3 4 Tietoturvallisuus... 3 5 Kokonaisturvallisuus...
LisätiedotUlvilan kaupungin tietosuojapolitiikka
111/07.01.01/2018 KH 21.5.2018 Ulvilan kaupungin tietosuojapolitiikka Johdanto Euroopan unionin yleinen tietosuoja-asetus on tullut voimaan toukokuussa 2016, ja sitä sovelletaan kansallisesti 25.5.2018
LisätiedotPeimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA
Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto 19.6.2018 12 TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Yhtymähallitus 15.5.2018 Yhtymävaltuusto 19.6.2018 SISÄLLYSLUETTELO 1 YLEISTÄ
LisätiedotSUONENJOEN KAUPUNKI TIETOSUOJA- JA TIETOTURVAPOLITIIKKA
SUONENJOEN KAUPUNKI TIETOSUOJA- JA TIETOTURVAPOLITIIKKA Kaupunginhallitus 7.5.2018 89 2 Sisällys Johdanto...3 Tietoturva- ja tietosuojapolitiikan periaatteet...3 Rekisterinpitäjän velvollisuudet...4 Rekisteröidyn
LisätiedotPUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA
PUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty kunnanhallituksessa 04.09.2018 1 Sisällysluettelo 1. JOHDANTO... 3 2. KÄSITTEET... 3 Henkilörekisteri... 3 Henkilötieto... 3 Henkilötietojen
LisätiedotTIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa
1 TAMPEREEN IT-YHTEISTYÖALUEEN SEURAKUNTIEN TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa 13.3.2013 2 Sisällys 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus IT-alueella...
LisätiedotJoroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta
Joroisten kunnan tietoturvapolitiikka Julkinen Tietoturvapolitiikka Joroisten kunta 8.5.2017 2 (8) Sisällysluettelo 1 Johdanto 3 2 Tietoturvapolitiikan tarkoitus ja tausta 3 3 Keitä tietoturvapolitiikka
LisätiedotLappeenrannan kaupungin tietoturvaperiaatteet 2016
1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015
LisätiedotYlöjärven kaupungin tietosuojapolitiikka
Ylöjärven kaupungin tietosuojapolitiikka Sisällysluettelo Johdanto... 1 Tietosuojan määritelmä... 1 Tietosuojan tavoitteet ja periaatteet... 2 Tietosuojan toteuttaminen... 3 Rekisteröityjen tietopyyntöprosessi...
LisätiedotUudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet
Uudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet Kh 12.8.2019 1 Sisällys 1. LAINSÄÄDÄNTÖ... 2 2. SOVELTAMISALA... 2 3. KÄSITEMÄÄRITTELYÄ... 3 4. SISÄISEN VALVONNAN TAVOITTEET...
LisätiedotSFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet
SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet Yleisesittely Julkaisutilaisuus 12.6.2014 Teknologiajohtaja Aki Siponen, Microsoft Oy SFS-ISO/IEC 27002:2013 tietoturvallisuuden
LisätiedotTEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET 1.4.2015 ALKAEN
TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET 1.4.2015 ALKAEN Khall 9.3.2015 73 2 Sisältö 1. TIETOTURVAPOLITIIKKA... 3 1.1. Tietoturvatyö... 3 1.2. Tietoturvallisuuden osa alueet... 4 1.3. Vastuut ja valvonta...
LisätiedotTietoturvapolitiikka. Kunnanhallitus 27.2.2012 42 Tyrnävän kunta
Tietoturvapolitiikka Kunnanhallitus 27.2.2012 42 Tyrnävän kunta 2 SISÄLLYSLUETTELO 1. YLEISTÄ 3 2. POLITIIKAN SOVELTAMINEN JA LAAJUUS 3 3. TIETOTURVAPOLITIIKKA, TAVOITTEET JA PERIAATTEET 4 4. TIETOJEN
LisätiedotKunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka
Kunnanvaltuusto: 17.12.2018 Kunnanhallitus: 10.12.2018 183 Pyhännän kunnan tietoturvapolitiikka SISÄLTÖ 1. Johdanto 2. Tietoturvapolitiikan tarkoitus ja tausta 3. Keitä tietoturvapolitiikka koskee 4. Tietoturvallisuus
LisätiedotTIETOTURVA JA TIETOSUOJAPOLITIIKKA
TIETOTURVA JA TIETOSUOJAPOLITIIKKA Kunnanhallitus 24.4.2018 74 1. Johdanto... 1 2. Tietoturvapolitiikan tavoite... 1 2.1 Tietoturvallisuuden käsite ja merkitys... 1 2.2 Tietosuojan käsite ja merkitys...
LisätiedotHaminan tietosuojapolitiikka
Haminan tietosuojapolitiikka Kaupunginhallitus 21.5.2018 Tietosuoja Oikeus henkilötietojen suojaan on perusoikeus. Tietosuojaan kuuluvat ihmisten yksityiselämän suoja sekä muut sitä turvaavat oikeudet
LisätiedotTietosuojapolitiikka
Tietosuojapolitiikka 1(18) Tietosuojapolitiikka YTNK 12.12.2017 90 KH 402 Tietosuojapolitiikka 2(18) Sisällys Johdanto... 3 Tietosuojan määritelmä... 4 Tietosuojan tavoitteet ja periaatteet... 4 Tietosuojan
LisätiedotValtiontalouden tarkastusviraston tietoturvapolitiikka
Valtiontalouden tarkastusviraston tietoturvapolitiikka Valtiontalouden tarkastusvirasto on tänään vahvistanut oheisen tietoturvapolitiikan. Päätös on voimassa 1.5.2008 lukien toistaiseksi. Helsingissä
LisätiedotSähköi sen pal l tietototurvatason arviointi
Sähköisen palvelun l tietototurvatason arviointi Kirsi Janhunen Arviointia tehdään monesta syystä Itsearviointi Sisäinen arviointi Sisäinen tarkastus Vertaisarviointi Ulkoinen arviointi Lähtökohtana usein
LisätiedotLaatua ja tehoa toimintaan
Laatua ja tehoa toimintaan Tietoturvallisuus osana laatua Kuntamarkkinat 12.9.2013 Aapo Immonen, Senior Manager, FCG konsultointi Oy 5.9.2013 Page 1 Sisältö Tavoitteet Tietoturvallisuutta ohjaavat tekijät
LisätiedotPolitiikka: Tietosuoja Sivu 1/5
Politiikka: Tietosuoja Sivu 1/5 Tietosuojapolitiikka Sisällysluettelo 1. Tarkoitus... 2 2. Vastuut... 2 3. Tavoitteet ja määritelmät... 3 4. Luottamuksellisen tiedon käsittely... 4 4.1. Tiedon luokittelu...
LisätiedotPeruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus 10.4.2014 41
Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA 41 Johdanto Tiedon käsittely on oleellinen osa Peruspalvelukuntayhtymä Kallion toimintaa ja palveluiden tuottamista. Tietojenkäsittelyn tehokkuus, toimintakyky,
LisätiedotSisällysluettelo. Esipuhe... 10. 1 Johdanto... 15. 2 Tietoturvallisuuden rooli yritystoiminnassa... 17
Esipuhe...................................................... 10 1 Johdanto............................................... 15 2 Tietoturvallisuuden rooli yritystoiminnassa.............. 17 2.1 Mitä on
LisätiedotUtajärven kunta TIETOTURVAPOLITIIKKA
Utajärven kunta TIETOTURVAPOLITIIKKA Johdanto Tiedon käsittely on oleellinen osa Utajärven kunnan toimintaa ja palveluiden tuottamista. Tietojenkäsittelyn tehokkuus ja virheettömyys ovat keskeisiä tekijöitä
LisätiedotRiihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka
Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, 11100 Riihimäki Puh. +358 19 758 5500 Tietoturvapolitiikka Yhtymähallitus 18.4.2018 Sisällysluettelo 1 JOHDANTO... 1 1.1 YLEISTÄ... 1 1.2
LisätiedotPeruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41
Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät
LisätiedotEspoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015
Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015 Espoon kaupunki 2015 Tietoturvapolitiikka 1 (7) Yhteenveto Tietoturvapolitiikka on kaupunginhallituksen ja kaupunginjohdon tahdonilmaisu tietoturvan
LisätiedotOhje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:
Lakiyksikkö Vammaisetuusryhmä Ohje 20.7.2018 Kela 61/331/2017 EU:n yleinen tietosuoja-asetus (EU) 2016/679 Ohjeet henkilötietojen käsittelystä kuulovammaisten, kuulonäkövammaisten ja puhevammaisten henkilöiden
LisätiedotOulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA
Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA Johdanto Tiedon käsittely on oleellinen osa Oulunkaaren kuntayhtymän toimintaa ja palveluiden tuottamista. Tietojenkäsittelyn tehokkuus ja virheettömyys ovat
LisätiedotKIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA
1 KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA Kunnanhallitus 25.6.2018 2 KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA Sisällys Johdanto... 3 Tietoturvan ja -suojan tavoitteet... 3 Tietoturvan ja suojan periaatteet...
LisätiedotTietosuoja- ja tietoturvapolitiikka
Tietosuoja- ja tietoturvapolitiikka Johtoryhmä 13.3.2012 Johtoryhmä 10.4.2012 Yhtymähallitus 24.4.2012 2 (8) Versiohistoria: Versio Pvm: Laatija: Kommentit: 0.1 24.2.2011 Navicre Oy Katselmoitavaksi 0.2
LisätiedotKuhmon kaupungin tietosuoja- ja tietoturvapolitiikka. Kaupunginhallitus, (176 )
Kuhmon kaupungin tietosuoja- ja tietoturvapolitiikka Kaupunginhallitus, 21.8.2018 (176 ) Sisällys Johdanto Tietosuojan määritelmä Tietosuojan tavoitteet ja periaatteet Tietosuojan toteuttaminen Toiminta
LisätiedotLapinlahden kunnan tietoturvapolitiikka
Lapinlahden kunnan tietoturvapolitiikka 1. Johdanto Tietoturvapolitiikka on kunnan ylimmän johdon hyväksymä strateginen asiakirja, joka on kannanotto tietoturvan kehittämiseen. Tietoturvapolitiikan tavoitteena
LisätiedotTietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet
Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet ammatillisen koulutuksen asiantuntija Riikka Reina, AMKE ry riikka.reina@amke.fi Turvallisuuden kokonaisuus Arjen turvallisuus
LisätiedotValtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020
Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020 Sisällys Valtiontalouden tarkastusviraston tietoturvapolitiikka... 2 1 Johdanto... 3 2 Vastuut... 3 2.1 Tarkastusviraston
LisätiedotKokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana
Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana Terveydenhuollon Atk-päivät Tampere-talo 26.5.2010 Antti-Olli Taipale Tietohallintojohtaja Päijät-Hämeen sosiaali- ja terveysyhtymä
LisätiedotKäytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.
TIETOSUOJAPOLITIIKKA Flowbox Oy 27.01.2017 / v2 YLEISTÄ Tietoturva- ja tietosuojapolitiikka määrittelee ne periaatteet, vastuut, toimintatavat sekä seurannan ja valvonnan, joita Flowbox Oy noudattaa tietoturvan
LisätiedotJohdanto
LEMIN KUNTA TIETOSUOJAPOLITIIKKA 20.8.2018 1. Johdanto Tieto on keskeisessä roolissa Lemin kunnan toiminnassa ja palvelutuotannossa. Jotta tieto on tehokkaasti hyödynnettävissä, tiedon hallinnan ja käsittelyn
LisätiedotTietoturva Kehityksen este vai varmistaja?
Tietoturva Kehityksen este vai varmistaja? Valtion IT-johtaja Yrjö Benson 11.2.2010 Tietoturvan rakenne VAHTI Ulkokerros Hallinnollinen tietoturva Henkilöstöturvallisuus Fyysinen turvallisuus Tietoliikenneturvallisuus
LisätiedotHELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa
HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1 Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet
LisätiedotTietosuoja- ja tietoturvapolitiikka
Palveluyhdistys Kaseva ry:n Tietosuoja- ja tietoturvapolitiikka Laatija: Anne Simola, toiminnanjohtaja Hyväksynyt: Palveluyhdistys Kaseva ry hallitus 5.4.2018 1 SISÄLTÖ Johdanto Tietoturvallisuus Tietosuoja
LisätiedotLuotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus
Nykytila-arvio toiminnan osa-alueesta Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus Trust, Quality & Progress on tehokas tapa tietää enemmän Oletko tietoinen organisaationne tietohallinnon, tietoturvallisuuden,
LisätiedotTIETOTURVAPOLITIIKKA
TIETOTURVAPOLITIIKKA Lapin ammattikorkeakoulun rehtori on hyväksynyt tietoturvapolitiikan 18.3.2014. Voimassa toistaiseksi. 2 Sisällysluettelo 1 Yleistä... 3 1.1 Tietoturvallisuuden kolme ulottuvuutta...
LisätiedotEspoon kaupunki Tietoturva- ja tietosuojapolitiikka
Tietoturva- ja tietosuojapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 19.4.2018 Hyväksytty Kaupunginhallitus 28.5.2018 Tietoturva- ja tietosuojapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen
LisätiedotEU:N TIETOSUOJA-ASETUKSET WALMU
EU:N TIETOSUOJA-ASETUKSET WALMU 1 EU:N TIETOSUOJA-ASETUKSET EU:n tietosuoja-asetuksen huomioiminen järjestötoiminnassa GDPR = General Data Protection Regulation = EU:n tietosuoja-asetus = Euroopan parlamentin
LisätiedotJohtokunta 7.12.2009 193. Tietoturva- ja tietosuojapolitiikka
Johtokunta 7.12.2009 193 Tietoturva- ja tietosuojapolitiikka Sisällys: 1. Johdanto 3 2. Tietoturvapolitiikan tavoitteet ja toteutuksen periaatteet 4 3. Tietosuojapolitiikan tavoitteet ja toteutuksen periaatteet
LisätiedotTietoturva- ja tietosuojapolitiikka
Tietoturva- ja Varkauden kaupunki 23.4.2018 2 (12) Sisällysluettelo 1 Johdanto... 3 2 Tietoturva ja tietosuojapolitiikan tarkoitus ja tausta... 3 3 Keitä tietoturva ja koskee... 3 4 Tietoturvallisuus...
LisätiedotKESKI-POHJANMAAN IT-ALUEKESKUS. KPA:n TIETOTURVAPOLITIIKKA 2012 ja tietoturvamääräykset
KESKI-POHJANMAAN IT-ALUEKESKUS KPA:n TIETOTURVAPOLITIIKKA 2012 ja tietoturvamääräykset Versio 1.2 Versio 2.0 20.3.2012 / MTU 26.3.2012 / MTU 1. TIETOTURVALLISUUS - MITÄ SE ON Tietoturvallisuuteen kuuluvat
LisätiedotAmmattikorkeakoulu 108 Liite 1
2 (7) Tietoturvapolitiikka Johdanto Tietoturvapolitiikka on ammattikorkeakoulun johdon kannanotto, joka määrittelee ammattikorkeakoulun tietoturvallisuuden tavoitteet, vastuut ja toteutuskeinot. Ammattikorkeakoululla
LisätiedotTIETOSUOJAPOLITIIKKA
TIETOSUOJAPOLITIIKKA 1 Sisällys 1 Johdanto... 3 2. Tietosuojatoimintaa ohjaavat tekijät... 4 3. Tietojen hankinta ja käsittely... 5 4. Rekisteröidyn oikeudet... 6 5. Rekisterinpitäjän oikeudet ja velvollisuudet...
LisätiedotTämän kyselyn määritelmät on kuvattu sopimuksessa.
LIITE 1 (5) KUVAUS TIETOTURVASTA JA TIETOJEN SUOJAUKSESTA 1. Yleistä Tämä Kiinteistövaihdannan palvelun (KVP) rajapintojen käyttöä koskeva tietoturvakuvaus tulee täytettynä ja Maanmittauslaitoksen hyväksymänä
LisätiedotVAASAN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Vaasan kaupunginvaltuuston hyväksymät 16.12.
VAASAN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET Vaasan kaupunginvaltuuston hyväksymät 16.12.2013 153 VAASAN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN
LisätiedotTietoturva- ja tietosuojapolitiikka
Joroisten kunnan tietoturva- ja tietosuojapolitiikka Tietoturva- ja tietosuojapolitiikka Joroisten kunta Hyväksytty kunnanvaltuustossa 18.6.2018 23 2 (7) Sisällysluettelo 1 Johdanto 3 2 Tietoturva- ja
LisätiedotPK-yrityksen tietoturvasuunnitelman laatiminen www.turkuamk.fi
Matti Laakso / Tietoturvapäivä 8.2.2011 PK-yrityksen tietoturvasuunnitelman laatiminen Tietoturvasuunnitelma 1/3 Toimenpiteiden ja dokumentoinnin lopputuloksena syntyvä kokonaisuus -- kirjallinen tietoturvasuunnitelma
LisätiedotTIETOTURVAPOLITIIKKA. Hyväksytty
Sivu 1/14 TIETOTURVAPOLITIIKKA Hyväksytty 10.6.2005 Sisällysluettelo: 1 Tavoitteet... 1 2 Tietoturvan organisointi ja vastuut... 2 3 Toteutuskeinot... 2 4 Tiedottaminen... 2 5 Tietoturvallisuuden seuranta
LisätiedotTietoturva- ja tietosuojapolitiikka
Joroisten kunnan tietoturva- ja tietosuojapolitiikka Tietoturva- ja tietosuojapolitiikka Joroisten kunta 2 (7) Sisällysluettelo 1 Johdanto 3 2 Tietoturva- ja tietosuojapolitiikan tarkoitus ja tausta 3
LisätiedotTIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä
TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.
Lisätiedot1 Käsitteet ja termit
LIITE 1: KÄSITTEET JA ROOLIT Tässä liitteessä kuvataan kunnan toiminnan kannalta keskeisimmät käsitteet, ensisijassa VAHTI-ohjeisiin perustuen (Kappale 1) sekä roolit ja vastuut (Kappale 2). 1 Käsitteet
LisätiedotKaupunginhallitus Liite 2 203
Kaupunginhallitus 4.12.2017 Liite 2 203 EU:n yleisen tietosuoja-asetuksen toimeenpano Tehtävät ja vastuunjako n puheenjohtaja Tehtävä 1/8: Seudullinen tietosuojayhteistyö Sopimuksen toteutumisen seuranta
Lisätiedot