Ohje YVL A.12 Ydinlaitoksen tietoturvallisuuden hallinta

Koko: px
Aloita esitys sivulta:

Download "Ohje YVL A.12 Ydinlaitoksen tietoturvallisuuden hallinta"

Transkriptio

1 Sisällysluettelo VALTUUTUSPERUSTEET... 2 SOVELTAMISSÄÄNNÖT JOHDANTO SOVELTAMISALA TIETOTURVALLISUUDEN HALLINTA YLEISET VAATIMUKSET TIETOTURVALLISUUDEN HALLINTAJÄRJESTELMÄ ASIAKIRJOJA KOSKEVAT VAATIMUKSET RESURSSIEN HALLINTA TIETOTURVALLISUUDEN HALLINTAJÄRJESTELMÄN AUDITOINNIT JA KATSELMUKSET TIETOTURVALLISUUDEN HALLINTAJÄRJESTELMÄN PARANTAMINEN TURVALLISUUDEN KANNALTA TÄRKEIDEN JÄRJESTELMIEN SUOJAAMINEN YLEISET VAATIMUKSET TIETOLIIKENTEEN JA KÄYTTÖTOIMINTOJEN HALLINTA JA KONTROLLOINTI TIETOTURVALLISUUTEEN LIITTYVIEN JÄRJESTELMIEN HANKINTA, KEHITYS JA YLLÄPITO TIETOTURVALLISUUSHÄIRIÖIDEN HALLINTA PÄÄSYOIKEUKSIEN HALLINTA TIETOTURVALLISUUTEEN LIITTYVIEN JÄRJESTELMIEN TESTAAMINEN SÄTEILYTURVAKESKUKSEN VALVONTAMENETTELYT PERIAATEPÄÄTÖSVAIHE RAKENTAMISLUPAVAIHE KÄYTTÖLUPAVAIHE KÄYTTÖVAIHE KÄYTÖSTÄPOISTOVAIHE OHJEESSA KÄYTETYT MÄÄRITELMÄT JA LYHENTEET VIITTEET... 16

2 Valtuutusperusteet Ydinenergialain (990/1987) 7 r :n mukaan Säteilyturvakeskuksen tehtävänä on asettaa ydinenergialain mukaisen turvallisuustason toteuttamista koskevat yksityiskohtaiset turvallisuusvaatimukset. Soveltamissäännöt YVL-ohjeen julkaiseminen ei sinänsä muuta STUKin ennen ohjeen julkaisemista tekemiä päätöksiä. Vasta kuultuaan asianosaisia STUK antaa erillisen päätöksen siitä, miten uutta tai uusittua YVL-ohjetta sovelletaan käytössä tai rakenteilla oleviin ydinlaitoksiin ja luvanhaltijoiden toimintoihin. Uusiin ydinlaitoksiin ohjeita sovelletaan sellaisenaan. Kun STUK harkitsee YVL-ohjeissa esitettyjen, uusien turvallisuusvaatimuksien soveltamista käytössä tai rakenteilla oleviin ydinlaitoksiin, se ottaa huomioon ydinenergialain (990/1987) 7 a :ssä säädetyt periaatteet: Ydinenergian käytön turvallisuus on pidettävä niin korkealla tasolla kuin käytännöllisin toimenpitein on mahdollista. Turvallisuuden edelleen kehittämiseksi on toteutettava toimenpiteet, joita käyttökokemukset ja turvallisuustutkimukset sekä tieteen ja tekniikan kehittyminen huomioon ottaen voidaan pitää perusteltuina. Ydinenergialain 7 r :n kolmannen momentin mukaan STUKin turvallisuusvaatimukset velvoittavat luvanhaltijaa, kuitenkin niin, että luvanhaltijalla on oikeus esittää muunkinlainen kuin vaatimuksissa edellytetty menettelytapa tai ratkaisu. Jos luvanhaltija vakuuttavasti osoittaa, että esitetty menettelytapa tai ratkaisu toteuttaa tämän lain mukaisen turvallisuustason, STUK voi sen hyväksyä. Uusien ydinlaitosten osalta tämä ohje on voimassa XX.XX.201X alkaen toistaiseksi. Rakenteilla olevilla ja käyvillä ydinlaitoksilla tämä ohje saatetaan voimaan erillisellä STUKin päätöksellä. Ohje YVL A.12 on uusi ohje. 2

3 1 Johdanto 101. Tässä ohjeessa annetaan vaatimuksia ydinlaitoksen tietoturvallisuuden hallinnalle ja täsmennetään Valtioneuvoston asetuksessa ydinenergian käytön turvajärjestelyistä (VNA) 734/2008 säädettyjä suunnitteluvaatimuksia. Valtioneuvoston asetuksen ydinenergian käytön turvajärjestelyistä [2] 4 :n mukaan ydinlaitoksen ja sen tieto-, tietoliikenne- ja automaatiojärjestelmien suunnittelussa on käytettävä kehittyneitä tietoturvallisuusperiaatteita. Luvaton pääsy ydinlaitoksen suojaus-, ohjaus- ja säätöjärjestelmiin on estettävä Turvajärjestelyjä, mukaan lukien tietoturvallisuus, koskevien asiakirjojen julkisuudesta on voimassa se, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) säädetään [4]. Vaitiolovelvollisuudesta säädetään ydinenergialain 78 :ssä [1]. Vaitiolovelvollisuus koskee turvajärjestelyjä koskevia suunnitelmia Turvajärjestelyjä koskevat yleiset velvoitteet esitetään ydinenergialaissa (990/1987) ja sen nojalla annetuissa valtioneuvoston asetuksissa ydinenergian käytön turvajärjestelyistä (734/2008) ja ydinvoimalaitoksen turvallisuudesta (733/2008) [1, 2, 3]. Velvoitteita sisältyy myös Suomen tekemiin kansainvälisiin ydinenergia-alan sopimuksiin, hallitusten välisiin muihin sopimusjärjestelyihin sekä Suomen antamiin sitoumuksiin. STUKin ohjeet YVL A.11 ja YVL A.12 yhdessä edellä mainittujen asiakirjojen kanssa muodostavat perustan ydinlaitosten turvajärjestelyille. Ydinlaitosten turvajärjestelyjä valvovana viranomaisena toimii ydinenergialain 55 :n mukaisesti Säteilyturvakeskus (STUK). Turvajärjestelyistä vastaa ydinenergialain 9 :n mukaisesti luvanhaltija siltä osin, kuin nämä tehtävät eivät kuulu viranomaisille [1] Tietoturvallisuudella tarkoitetaan tietojen, järjestelmien, palveluiden ja tietoliikenteen asianmukaista suojaamista sekä normaali- että poikkeusoloissa hallinnollisilla, teknisillä ja muilla toimenpiteillä. Tietojen luottamuksellisuutta, eheyttä ja käytettävyyttä turvataan laitteisto- ja ohjelmistovikojen, luonnontapahtumien sekä tahallisten, tuottamuksellisten tai tapaturmaisten tekojen aiheuttamilta uhilta ja vahingoilta. Tietoturvallisuus on osa luvanhaltijan kokonaisturvallisuutta ja turvajärjestelyjä Tietoturvallisuus kattaa tiedon luottamuksellisuuden, eheyden ja käytettävyyden säilyttämisen sen kaikissa olomuodoissaan aina tiedon luomisesta sen tuhoamiseen asti ja tietoon voi sisältyä muita ominaisuuksia, kuten aitous, vastuullisuus, kiistämättömyys ja luotettavuus. Tiedolla tarkoitetaan eri muodossa talletettavaa, käsiteltävää tai siirrettävää tietoa. Tieto voi olla esimerkiksi yksittäisenä paperiasiakirjana, tiedostona, tietokantana tai suoritettavana ohjelmana, filmillä, ääni- tai kuvatallenteena. 2 Soveltamisala 201. Tässä ohjeessa esitetään ydinlaitosten tietoturvallisuutta koskevat määräykset ja niiden soveltamista koskevat vaatimukset. Ohjetta sovelletaan ydinlaitoksiin sekä ydinaineen tai -jätteen käsittelyyn niiden elinkaaren kaikissa vaiheissa. Ohje on tarkoitettu luvanhakijoille ja luvanhaltijoille ja sitä sovelletaan muihin ydinlaitosten tietoturvallisuuteen liittyviin organisaatioihin. Suunnitteluperusteuhka (DBT) on esitetty erillisessä asiakirjassa Ydinenergian ja säteilyn käytön suunnitteluperusteuhka, joka toimitetaan ko. laitosluokkien ydinlaitosten luvanhaltijoille otettavaksi huomioon turvajärjestelyjen ja tietoturvallisuuden hallinnan suunnittelussa. 3

4 3 Tietoturvallisuuden hallinta 301. Tietoturvallisuuden hallintajärjestelmä on se osa ydinlaitoksen yleistä johtamisjärjestelmää, joka riskien arviointiin perustuen luodaan ja toteutetaan ja jota käytetään, valvotaan, katselmoidaan, ylläpidetään ja parannetaan tavoitteena hyvä tietoturvallisuus. Tietoturvallisuuden hallintajärjestelmä sisältää organisaatiorakenteen, tietoturvallisuuden hallintapolitiikan, suunnittelutoimenpiteet, vastuut, menettelytavat, menetelmät, prosessit ja resurssit. 3.1 Yleiset vaatimukset 302. Luvanhakijan/luvanhaltijan on toteutettava, ylläpidettävä ja jatkuvasti kehitettävä dokumentoitua johtamisjärjestelmää, jonka osana on tietoturvallisuuden hallintajärjestelmä. Tietoturvallisuuden hallintajärjestelmän on katettava sekä hallinnolliseen että tekniseen tietoturvallisuuteen liittyvät toimenpiteet ja menettelyt ja sen on katettava myös kolmansien osapuolten ohjaamisen ja valvonnan tietoturvallisuuden osalta. Tietoturvallisuustavoitteiden saavuttamisen mittaamiseen on kiinnitettävä huomiota, niiden saavuttamista on valvottava ja tavoitteita on arvioitava jatkuvan parantamisen periaatetta noudattaen Ydinlaitoksen johdon on osoitettava sitoutumisensa tietoturvallisuuden hallintajärjestelmään ohjeen YVL A.3:n esittämällä tavalla. Tietoturvallisuuden hallintajärjestelmään liittyvä dokumentaatio on toteutettava ohjeen YVL A.3:n mukaisesti Kansainväliset tietoturvallisuuden parhaimmat käytännöt, kuten ISO/IEC standardit [5-8, 12, 14] ja kansalliset ohjeistukset, kuten Vahti [9-11] sekä KATAKRI [13] on otettava huomioon tietoturvallisuuden hallintajärjestelmän kehittämisessä soveltuvin osin Ohje YVL A.11 esittää vaatimuksen tilannekuvan välittämisestä. Tilannekuvan välittämisessä on huomioitava tietoturvallisuus, kuitenkin siten ettei tietoturvallisuus saa vaarantaa ajantasaisen tilannekuvan välittämistä. Tilannekuvan osalta on myös huomioitava se, että lainvastaisen toiminnan osana voi olla tietoturvallisuuden vaarantamiseen tähtääviä toimenpiteitä VNA 733/ :n mukaisesti Ydinvoimalaitosta suunniteltaessa, rakennettaessa, käytettäessä ja käytöstä poistettaessa on ylläpidettävä hyvää turvallisuuskulttuuria [3]. Vaatimus koskee myös tässä ohjeessa esitettyä tietoturvallisuuden hallintaa Suunnitteluperusteuhka määrittelee uhkan, jota käytetään turvajärjestelyjen vaatimusten, suunnittelun ja arvioinnin perusteena. Luvanhaltijan on suunniteltava tietoturvallisuuden hallintajärjestelmänsä siten, että tietoturvallisuuteen liittyvä suunnitteluperusteuhka voidaan torjua suunnitteluperusteuhka-asiakirjassa asetettujen suojaustavoitteiden mukaisesti niin hyvin kuin käytännöllisin toimenpitein on mahdollista Luvanhaltijan on toteutettava turvajärjestelyt tietoturvallisuuden osalta STUKin hyväksymällä tavalla [1]. 3.2 Tietoturvallisuuden hallintajärjestelmä 309. Luvanhaltijan on määriteltävä tietoturvallisuuden hallintajärjestelmän kattavuus ja rajat sekä tietoturvallisuuden hallintapolitiikka. Kattavuutta ja tietoturvallisuuden hallintapolitiikkaa on arvioitava sekä määräajoin että merkittävien turvallisuutta tai tietoturvallisuutta koskevien muutosten tai uusien 4

5 uhkien ilmentyessä. Tietoturvallisuuden hallintapolitiikka voi olla itsenäinen asiakirja tai osa laajempaa kokonaisuutta Tietoturvallisuuden tavoitteet on esitettävä tietoturvallisuuden hallintajärjestelmässä. Erityisesti toimijoiden vastuut ja velvollisuudet, toimenpiteet, resurssitarpeet, toteutusaikataulut/ylläpitoaikataulut ja kuinka toimenpiteiden vaikuttavuutta arvioidaan ja kehitetään, on esitettävä. Tehtävät ja vastuualueet on eriytettävä, jotta vähennetään organisaation suojattavien kohteiden luvattoman tai tahattoman muuntelun tai väärinkäytön riskiä Tietoturvallisuus on huomioitava kaikilla organisaation toiminnan tasoilla. Tietoturvallisuusorganisaatio on kuvattava selkeästi tietoturvallisuuden hallintajärjestelmässä. Kuvauksessa on huomioitava myös ulkoiset toimijat ja näiden vastuut mikäli näillä tai näiden toiminnalla on vaikutusta ydinlaitoksen tietoturvallisuuteen Luvanhaltijan on dokumentoitava, mitä kriteeristöjä ja standardeja hyödyntäen tietoturvallisuuden hallintajärjestelmä on rakennettu ja miten se on toteutettu. Dokumentaatiosta on voitava tunnistaa käytettyjen kriteeristöjen ja standardien kattavuus ja perusteltava mahdolliset rajaukset. Viranomaistiedon suojauksen tietoturvallisuuden arviointiin on käytettävä esimerkiksi Kansallista turvallisuusauditointikriteeristöä (KATAKRI) Riskien arviointi ja hallinta on osa tietoturvallisuuden hallintajärjestelmää. Todennäköisyyspohjaisen riskiarvioinnin (YVL A.7) lisäksi tietoturvallisuusriskejä on arvioitava kuhunkin aihealueeseen ja järjestelmään soveltuvimmilla menetelmillä Riskienhallinnan kokonaisuus on dokumentoitava soveltamissuunnitelmaksi (VIITE ISO/IEC j ja Annex A, ISO/IEC ja ISO/IEC 31000). Soveltamissuunnitelma voi olla hajautettu tai itsenäinen kokonaisuus, kokonaisuus on oltava selkeästi tunnistettavissa. Suunnitelmasta on käytävä esiin valitut ja käytössä olevat valvontatavoitteet ja turvamekanismit valintaperusteluineen sekä riskien hallinnasta vastuulliset. Mahdollisesti tunnistetut, mutta poisrajatut,tietoturvallisuusriskit on esitettävä rajaamisperusteluineen Luvanhaltijan on tehtävä laitostasoinen tietoturvallisuuden uhka- ja riskienarviointi vuosittain ja merkittävien tietoturvallisuutta koskevien muutosten tai uusien uhkien ilmentyessä Luvanhaltijan on varmistettava, että tietoturvallisuusriskien arviointiin käytetyt menettelyt ovat riittävät ydinlaitoksen turvallisuuden kannalta ja että merkittävät riskit on tunnistettu Tietoturvallisuuteen liittyvät uhkat ja riskit on systemaattisesti analysoitava, ja suojaavat toimenpiteet ja menetelmät valittava analyysin perusteella. Analyysiä on ylläpidettävä ja kehitettävä ottaen huomioon viimeisin tietotaito sekä käytettävissä olevien teknologioiden luonne Suojattavat kohteet on tunnistettava ja määriteltävä yksiselitteisesti ja riittävällä yksityiskohtaisuuden tasolla. Näihin liittyvät uhkat, haavoittuvuudet sekä tietoturvallisuusloukkausten aiheuttamat vaikutukset on analysoitava ja arvioitava tarpeelliset suojaustoimenpiteet. Suojaustoimenpiteet on dokumentoitava Suojattavien kohteiden käyttöä on seurattava lokimenettelyin. Lokitiedostot on suojattava asianmukaisesti. 5

6 3.3 Asiakirjoja koskevat vaatimukset 320. Luvanhaltijan asiakirjoja koskevat yleiset vaatimukset on esitetty ohjeissa YVL A.1, YVL A.3 ja YVL A.11 ja näitä on noudatettava tietoturvallisuutta koskevissa asiakirjoissa Asiakirjoja on suojattava luvattomalta käytöltä, muuttamiselta ja tuhoamiselta ja niiden saatavuus luvalliselle käyttäjälle on turvattava. Asiakirjat on luokiteltava niiden tietoturva ja turvallisuusmerkityksen mukaan. Asiakirjoja on suojattava niiden luokituksen mukaisesti. 3.4 Resurssien hallinta 322. Luvanhaltijan on huolehdittava siitä, että sillä on käytettävissään riittävät resurssit ja osaaminen tietoturvallisuuden hallinnan suunnitteluun, toteuttamiseen, arviointiin ja jatkuvaan parantamiseen. Ohjeet YVL A.4 ja A.11 osoittavat yleiset vaatimukset resurssien hallinnan osalta. Resurssien on katettava henkilöstöresurssit, tarvittavan erityisosaamisen sekä teknologiset resurssit Keskeisten tietoturvallisuuden hallintaan liittyvien resurssien on oltava luvanhakijan/luvanhaltijan palveluksessa tai omistuksessa. Ennen kuin tietojärjestelmien ylläpito-, huolto- ja käyttötoimintaa voidaan ulkoistaa, on tehtävä sitä koskeva riskienarviointi Tietoturvallisuudesta vastaavien henkilöiden on aktiivisesti seurattava alan tapahtumia ja kehitettävä omaa ammattitaitoaan systemaattisesti. Vastaavien henkilöiden on varmistettava, että käytännön tietoturvallisuuden kouluttamiseen, kehittämiseen ja ylläpitoon osallistuvien henkilöiden koulutus ja osaamisen ylläpito on riittävää, tosiaikaista ja jatkuvaa heidän toimiensa toteuttamiseksi ja että ydinlaitoksen koko henkilökunta sekä kolmannet osapuolet ovat tietoisia tietoturvallisuuteen liittyvistä asioista riittävissä määrin. Tietoturvallisuuteen liittyvät koulutus- ja oppimistapahtumat on dokumentoitava Ydinlaitoksella tai luvanhaltijan hyväksi muualla työskentelevää ulkopuolista henkilöstöä koskevat samat tietoturvallisuusvaatimukset kuin luvanhaltijan omaa henkilöstöä. Ulkoisten resurssien käytön osalta luvanhaltijan on sopimuksin ja tarkastusmenettelyiden avulla varmistettava, että näiden tietoturvallisuuden taso on vähintään samalla tasolla kuin luvanhaltijalla vastaavissa toimissa. Luvanhaltijan on esitettävä ne toimenpiteet, joilla se varmistaa toimittajaosapuolen tai muun vastaavan kolmannen osapuolen tietoturvallisuuden. Varmistuksissa on huomioitava mahdolliset pitkät alihankintaketjut. 3.5 Tietoturvallisuuden hallintajärjestelmän auditoinnit ja katselmukset 326. Tietoturvallisuuden oikean tason varmistamiseksi luvanhaltijan on järjestettävä tietoturvallisuuden itsearviointi vuosittain siten, että tietoturvallisuuden hallintajärjestelmän kaikki osa-alueet on arvioitu vähintään kolmen vuoden välein. Arvioinnin yhteydessä on selvitettävä myös mahdolliset uhkakuvaan tulleet muutokset Luvanhaltijan on erikseen kokoon kutsutun, luvanhaltijan toiminnasta riippumattoman asiantuntijaryhmän avulla toteutettava laaja-alainen tietoturvallisuuden arviointi vähintään kolmen vuoden välein. Arvioinnin yhteydessä on selvitettävä myös mahdolliset uhkakuvaan tulleet muutokset. Arvioinnista on ilmoitettava riittävän ajoissa etukäteen STUKille, jotta STUK voi harkintansa mukaan seurata arvioinnin toteuttamista Löydöksiä arvioitaessa on kiinnitettävä huomiota toistuviin havaintoihin ja poikkeamiin. Sellaisten perussyyt on arvioitava ja korjaavat sekä ennaltaehkäisevät toimet on rakennettava siten, että toistuvat ilmentymät saadaan hallintaan. 6

7 329. Luvanhaltijan on kohdistettava riittävät tietoturvallisuuden tarkastukseen liittyvät toimet kolmansiin osapuoliin. Kolmansien osapuolten tarkastusten on oltava systemaattisia ja katettava riittävässä määrin vastaavat toiminnot kuin luvanhaltijalla on. Tarkastukset on dokumentoitava. 3.6 Tietoturvallisuuden hallintajärjestelmän parantaminen 330. Luvanhaltijan tulee jatkuvasti parantaa tietoturvallisuuden hallintajärjestelmänsä toimintaa ja vaikuttavuutta Jatkuvassa parantamisessa on sovellettava sekä oman että toisten toimialojen tietoturvallisuuskokemuksista opittuja asioita Luvanhaltijan johdon on edistettävä tapoja, joilla koko henkilökunta osallistuu tietoturvallisuuden hallintajärjestelmän toteuttamiseen ja jatkuvaan kehittämiseen ja on varmistettava, että parannukset johtavat asetettuihin tavoitteisiin. 7

8 4 Turvallisuuden kannalta tärkeiden järjestelmien suojaaminen VNA 734/ :n mukaisesti Ydinlaitoksen ja sen tieto-, tietoliikenne- ja automaatiojärjestelmien suunnittelussa on käytettävä kehittyneitä tietoturvallisuusperiaatteita. Luvaton pääsy ydinlaitoksen suojaus-, ohjaus- ja säätöjärjestelmiin on estettävä [2]. 4.1 Yleiset vaatimukset 401. Ydinlaitoksen ydinturvallisuuteen suoraan tai välillisesti vaikuttavien järjestelmien, kuten tieto-, tietoliikenne-, sähkö- ja automaatiojärjestelmien tietoturvallisuus ja tietoturvallisuusarkkitehtuuri on suunniteltava ja toteutettava siten, että luvaton pääsy niihin on estetty riittävien fyysisten, teknisten ja hallinnollisten turvajärjestelyjen avulla. Turvavalvonnan ja valmiustoiminnan viestintäjärjestelmät ja näiden tietoturvallisuusarkkitehtuuri on suunniteltava ja toteutettava siten, että luvaton pääsy niihin on mahdollisimman luotettavasti estetty ja että näiden järjestelmien toiminta on riittävin menettelyin varmistettu Asiattomien laitteiden ja ohjelmien asentaminen on estettävä luotettavasti. Ohjelmistoihin tehdyt muutokset on voitava havaita ja jäljittää. Turvallisuuteen liittyvät vastatoimet on suunniteltava ja toteutettava riskiarvioiden pohjalta Ydinlaitoksen tietoturvallisuuden on perustuttava vyöhykemalliin. Mallin on käsiteltävä koko ydinlaitosta mukaan lukien laitoksen automaatiojärjestelmät. Kaikki tieto-, tietoliikenne-, sähkö- ja automaatiojärjestelmät, verkottuneet laitteet ja erillisjärjestelmät sekä turvavalvonnan ja valmiustoiminnan viestintäjärjestelmät on käsiteltävä asianmukaisesti ja sisällytettävä vyöhykemalliin Verkottuneet laitteet kattavat kaikki ne laitteet, jotka on liitetty toiseen laitteeseen tietoliikenteen mahdollistavalla verkolla/kaapelilla. Näihin liittyvät kaapeloinnit ja tietoliikenne on suojattava. Verkkojen fyysinen ja looginen erottelu on toteutettava. Verkkojen tietoliikennettä on valvottava Luvanhaltijan on huolehdittava, että yksittäinen henkilö ei pysty asentamaan haitallista toiminnallisuutta useisiin eri laitteisiin tai ohjelmistoihin. Yksittäisen laitteen tai ohjelmiston vaikutus ydinlaitoksen tietoturvallisuuden heikkenemiseen on tehtävä mahdollisimman pieneksi Ydinlaitoksen ja sen tieto-, tietoliikenne-, automaatio-, sähkö-, turvavalvonta- ja viestintäjärjestelmiä koskevat asiakirjat ja tiedot on niiden turvallisuusmerkityksen mukaisesti suojattava siten, että sellaiset henkilöt, joilla ei ole oikeutta niiden käsittelyyn, eivät oikeudettomasti voi saada niitä haltuunsa. 4.2 Tietoliikenteen ja käyttötoimintojen hallinta ja kontrollointi 407. Luvanhaltijalla on oltava kirjalliset menettelyohjeet tietojenkäsittelypalvelujen asianmukaiselle ja turvalliselle käytölle. Ohjeita on ylläpidettävä ja niiden on oltava kaikkien niitä tarvitsevien käyttäjien saatavilla Muutosten hallinnassa on noudatettava ohjeessa YVL B.1:ssä esitettyjä konfiguraation hallinnan menettelyjä. 8

9 4.3 Tietoturvallisuuteen liittyvien järjestelmien hankinta, kehitys ja ylläpito 410. Järjestelmien hankinta, kehitys ja ylläpito on toteutettava siten, että tietoturvallisuus huomioidaan kaikissa järjestelmän elinkaaren vaiheissa. Luvanhaltijan on kiinnitettävä erityistä huomiota ennakoivaan tietoturvallisuuteen esimerkiksi tietoturvallisuusvaatimusten avulla Järjestelmien hankintaan, kehitykseen ja ylläpitoon liittyvän tietoturvallisuusdokumentaation on oltava kattavaa ja ajantasaista. Dokumentaation on integroiduttava muuhun järjestelmädokumentaatioon Digitaalisten järjestelmien ja niiden osakomponenttien väliset toiminnalliset riippuvuudet on tunnistettava ja niiden vaikutus tietoturvallisuuteen on analysoitava ja arvioitava. Arvioinneissa on huomioitava myös muut mahdolliset vaikutuskanavat järjestelmien tietoturvallisuuteen Verkottuneiden järjestelmien osalta on kuvattava kattavasti ja yksiselitteisesti eri järjestelmien rajapinnat, yhteydet, käytetyt protokollat sekä kommunikoivat osapuolet Digitaaliset järjestelmät ja niiden väliset yhteydet on suunniteltava siten, että vain toiminnan tarkoituksen kannalta tarpeelliset toiminnot ovat käytettävissä. Järjestelmän asetusten muuttaminen siten, että järjestelmän tietoturvallisuuden tekninen taso paranee, on ohjeistettava. 4.4 Tietoturvallisuushäiriöiden hallinta 415. Luvanhaltijan on varmistettava, että tietojärjestelmien tai palvelujen kehittämisessä ja käytössä havaituista tai epäillyistä suojauksen heikkouksista raportoidaan luvanhaltijalle ja toimittajalle ja tarvittaessa STUKille mahdollisimman ajantasaisesti Luvanhaltijan on luotava menettelyt järjestelmälliseen reagointiin tietoturvallisuushäiriöiden varalta Tietoturvallisuushäiriöiden ilmoittamiseen on luotava menettelyt. STUKille on ilmoitettava kaikki ydinturvallisuuden kannalta merkittävät tietoturvallisuushäiriöt mahdollisimman nopeasti. 4.5 Pääsyoikeuksien hallinta 418. Pääsyoikeuksien valvontaperiaatteet on laadittava, dokumentoitava ja katselmoitava Järjestelmän pääkäyttäjäoikeudet on rajoitettava. Käyttöoikeudet on myönnettävä vain työtehtävien mukaisesti Käyttäjien käyttöoikeudet on katselmoitava säännöllisesti ja työtehtävien muutosten yhteydessä Luvanhaltijan on määriteltävä salasanapolitiikka ja implementoitava se käytäntöön. Toteutumista on valvottava Etätyöhön ja kolmannen osapuolen tekemään työhön on luotava turvallisen tietojenkäsittelyn ja järjestelmien käytön periaatteet ja näiden noudattamista on valvottava Tietoturvallisuuteen liittyvien järjestelmien testaaminen 9

10 423. Turvajärjestelyjen valvontaan liittyvät järjestelmät on testattava tietoturvallisuuteen kohdistuvia hyökkäyksiä vastaan. Testaaminen voidaan suorittaa ohjeen YVL A.11 edellyttämien turvajärjestelyjen vaikuttavuuden osoittamiseksi järjestettävien harjoituksien yhteydessä Ohjeessa YVL E.7 edellytetyssä järjestelmien kelpoistuksessa ja testaamisessa on huomioitava tietoturvallisuustestaaminen Turvallisuuden kannalta tärkeiden verkottuneiden järjestelmien testaamisessa on käytettävä kehittyneitä haavoittuvuus-, tunkeutumis- ja nollapäivähaavoittuvuuksien testaamismenettelyjä riittävän kattavasti toiminnallisen testaamisen lisäksi. Erillisjärjestelmien osalta testaamista on toteutettava perustuen näiden järjestelmien riskiarvioon. Testaustulokset on dokumentoitava. 10

11 5. Säteilyturvakeskuksen valvontamenettelyt 5.1 Periaatepäätösvaihe 501. YEA 25 :n mukaisesti Säteilyturvakeskuksen on liitettävä periaatepäätöshakemuksesta antamaansa alustavaan turvallisuusarvioon YEL 56 2 momentissa tarkoitetun neuvottelukunnan lausunto [7] STUK arvioi periaatepäätöksen hakijan tietoturvallisuuteen liittyviä järjestelyjä, toimintoja ja periaatteita. 5.2 Rakentamislupavaihe 503. Rakentamislupavaiheessa luvanhakijan on toimitettava seuraavat asiakirjat STUKille hyväksyttäväksi: 1. Rakentamislupavaiheen tietoturvan hallintajärjestelmän kuvaus ja siihen liittyvät asiakirjat, kuten tietoturvapolitiikka 2. Rakentamislupavaiheen tietoturvallisuusriskien arviointisuunnitelma ja riskienhallinnan soveltamissuunnitelma 3. Järjestelmätasoiset tietoturvallisuussuunnitelmat ja kokonaisarkkitehtuurisuunnitelma 4. Tietoturvallisuuden vyöhykemalli 5. Tietoturvallisuusvaatimukset ja tietoturvallisuuden testaamissuunnitelmat 6. Rakentamislupavaiheessa tunnistetut suojattavat kohteet ja niihin liittyvät suojausmenettelyt 7. Rakentamislupavaiheen tietoturvallisuusorganisaatio 8. Rakentamislupavaiheen kolmansiin osapuoliin kohdistuvat tietoturvallisuuden ohjaus- ja valvontatoimet 504. Seuraavat asiakirjat on toimitettava STUKille tiedoksi: 1. Rakentamislupavaiheen asiakirjojen ja tietojen luokitteluun ja käsittelyyn liittävät kuvaukset sekä suojaus- ja menettelyohjeet 2. Järjestelmien hankintaan liittyvä tietoturvallisuusmenettelyohje 3. Tietoturvallisuuden tavoitteet ja mittarit 4. Tietoturvallisuuskoulutus 5. Alustavat tietoturvallisuushäiriöihin liittyvät menettelyohjeet 6. Auditien ja katselmointien raportit 7. Järjestelmien tietoturvallisuusdokumentaation ohjeistus (voi olla osana muuta dokumentaatiota) mukaan lukien tietoturvallisuustestaaminen ja näiden toteutuminen 8. Järjestelmien suunnitteluohjeet mukaan lukien järjestelmien väliset yhteydet 9. Muu tarpeellinen tietoturvallisuusdokumentaatio 505. Em. suunnitelmille ja asiakirjoille sekä niitä koskeville muutoksille on hankittava STUKin hyväksyntä. STUK todentaa edellä mainittujen asiakirjojen ja niihin liittyvien tai niissä esiteltyjen menetelmien ja ratkaisujen kattavuuden asiakirjatarkastuksin ja erilaisten tarkastusten avulla. Tarkastukset voivat olla ennalta ilmoitettuja tai ilmoittamattomia. 11

12 506. Rakennuslupavaiheen tietoturvallisuuteen ja turvallisuuskulttuuriin liittyvät tarkastukset voivat integroitua osaksi muuta STUKin suorittamaa tarkastustoimintaa Rakentamislupavaiheessa luvanhakijan tekemiin auditeihin ja katselmuksiin STUK voi osallistua harkintansa mukaan. Auditeista ja katselmuksista on ilmoitettava riittävän ajoissa Valvontatoimet rakentamisen aikana 508. Ydinlaitoksen rakentamisen aikana STUKin hyväksyttäväksi on toimitettava seuraavat asiakirjat: 1. Tietoturvallisuuden hallintajärjestelmän mahdolliset merkittävät muutokset 2. Yksityiskohtaiset tietoturvallisuuden testaussuunnitelmat ja tulosraportit 509. Seuraavat asiakirjat ja näiden päivitykset on toimitettava STUKille tiedoksi: 1. Tietoturvallisuuden hallintajärjestelmän vähäiset muutokset 2. Auditien ja katselmointien raportit 510. Em. suunnitelmille ja asiakirjoille sekä niitä koskeville muutoksille on hankittava STUKin hyväksyntä tai ne on toimitettava tiedoksi, kuten edellä on mainittu. STUK todentaa edellä mainittujen asiakirjojen ja niihin liittyvien tai niissä esiteltyjen menetelmien ja ratkaisujen kattavuuden asiakirjatarkastuksin ja erilaisten tarkastusten avulla. Tarkastukset voivat olla ennalta ilmoitettuja tai ilmoittamattomia Rakentamisen aikaiset tietoturvallisuuteen ja turvallisuuskulttuuriin liittyvät tarkastukset voivat integroitua osaksi muuta STUKin suorittamaa tarkastustoimintaa Rakentamisen aikaisiin luvanhakijan tekemiin auditeihin ja katselmuksiin STUK voi osallistua harkintansa mukaan. Auditeista ja katselmuksista on ilmoitettava STUKille riittävän ajoissa. 5.4 Käyttölupavaihe 513. Käyttölupaa haettaessa STUK antaa hakemusta koskevan lausunnon työ- ja elinkeinoministeriölle ja liittää lausuntoon laatimansa turvallisuusarvion ja YEA 36 :n mukaisia asiakirjoja koskevan arvion. Turvallisuusarviota valmistellessaan STUK pyytää sisäasiainministeriöltä lausunnon YEA 36 :n kohdassa 6 tarkoitetuista selvityksistä, jotka koskevat turva- ja valmiusjärjestelyjä [7] Käyttölupavaiheessa on toimitettava rakentamislupavaiheen asiakirjat lopullisessa muodossaan sekä muut STUKin vaatimat asiakirjat ja selvitykset, joilla voidaan todentaa tietoturvallisuuden riittävä taso. Käyttöluvan uusinnan yhteydessä on erityistä huomiota kiinnitettävä uusien ja mahdollisten vanhojen järjestelmien muodostaman kokonaisjärjestelmän tietoturvallisuuden arviointiin STUK todentaa edellä mainittujen asiakirjojen ja niihin liittyvien tai niissä esiteltyjen menetelmien ja ratkaisujen kattavuuden asiakirjatarkastuksin ja erilaisten tarkastusten avulla. Tarkastukset voivat olla ennalta ilmoitettuja tai ilmoittamattomia Käyttölupavaiheen aikaiset tietoturvallisuuteen ja turvallisuuskulttuuriin liittyvät tarkastukset voivat integroitua osaksi muuta STUKin suorittamaa tarkastustoimintaa. 12

13 5.5 Käyttövaihe 517. Käyttövaiheessa luvanhakijan on toimitettava seuraavat asiakirjat ja näiden päivitykset STUKille hyväksyttäväksi: 1.Tietoturvan hallintajärjestelmän kuvaus ja siihen liittyvät asiakirjat 2.Tietoturvallisuusriskien arviointisuunnitelma ja riskienhallinnan soveltamissuunnitelma 3.Järjestelmätasoiset tietoturvallisuussuunnitelmat ja kokonaisarkkitehtuurisuunnitelma 4. Tietoturvallisuuden vyöhykemalli 5. Tietoturvallisuusvaatimukset ja tietoturvallisuuden testaamissuunnitelmat 6. Tunnistetut suojattavat kohteet ja niihin liittyvät suojausmenettelyt 7. Tietoturvallisuusorganisaatio 8. Kolmansiin osapuoliin kohdistuvat tietoturvallisuuden ohjaus- ja valvontatoimet 518. Seuraavat asiakirjat ja näiden päivitykset on toimitettava STUKille tiedoksi: 1. Asiakirjojen ja tietojen luokitteluun ja käsittelyyn liittävät kuvaukset sekä suojaus- ja menettelyohjeet 2. Järjestelmien hankintaan ja ylläpitoon liittyvät tietoturvallisuusmenettelyohjeet 3. Tietoturvallisuuden tavoitteet ja mittarit 4. Tietoturvallisuuskoulutus 5. Tietoturvallisuushäiriöihin liittyvät menettelyohjeet ja raportoinnit 6. Auditien ja katselmointien raportit 7. Järjestelmien tietoturvallisuusdokumentaation ohjeistus (voi olla osana muuta dokumentaatiota) mukaan lukien tietoturvallisuustestaaminen ja näiden toteutuminen 8. Järjestelmien suunnitteluohjeet mukaan lukien järjestelmien väliset yhteydet 9. Muu tarpeellinen tietoturvallisuusdokumentaatio 519. Erityistä huomiota on kiinnitettävä uusien ja mahdollisten vanhojen järjestelmien muodostaman kokonaisjärjestelmän tietoturvallisuuden arviointiin Tietoturvallisuuden hallintajärjestelmän merkittävät muutokset on toimitettava STUKille hyväksyttäväksi, vähäiset muutokset voidaan toimittaa STUKille tiedoksi. Em. suunnitelmille ja asiakirjoille sekä niitä koskeville muutoksille on hankittava STUKin hyväksyntä tai ne on toimitettava tiedoksi, kuten edellä on mainittu. STUK todentaa edellä mainittujen asiakirjojen ja niihin liittyvien tai niissä esiteltyjen menetelmien ja ratkaisujen kattavuuden asiakirjatarkastuksin ja erilaisten tarkastusten avulla. Tarkastukset voivat olla ennalta ilmoitettuja tai ilmoittamattomia Käytön aikaiset tietoturvallisuuteen ja turvallisuuskulttuuriin liittyvät tarkastukset voivat integroitua osaksi muuta STUKin suorittamaa tarkastustoimintaa Käytön aikaisiin luvanhakijan tekemiin auditeihin ja katselmuksiin STUK voi osallistua harkintansa mukaan. Auditeista ja katselmuksista on ilmoitettava riittävän ajoissa STUK valvoo tietoturvallisuuden hallintajärjestelmän toimintoja osana käytön valvonnan tarkastusohjelmaa. Lisäksi STUK tekee tarkastuksia luvanhaltijan pyynnöstä ja harkintansa mukaan. Tarkastukset voivat kohdistua luvanhaltijaan tai luvanhaltijan hyväksi toimivaan organisaatioon. Tarkastukset voivat olla ennalta ilmoitettuja tai ilmoittamattomia. 13

14 5.6 Käytöstäpoistovaihe 524. Käytöstäpoistovaiheessa luvanhaltijan on huolehdittava tietoturvallisuuteen liittyvien tietojen tallettamisesta sekä tiedon ja järjestelmien turvallisesta tuhoamisesta Tietoturvallisuustoimintojen on oltava riittävät lainvastaisen uhkan torjumiseen ja ydinturvallisuuden varmistamiseen myös käytöstäpoistovaiheessa Luvanhaltijan on esitettävä STUKin hyväksyttäväksi, miten tietoturvallisuus toteutetaan käytöstäpoistovaiheen aikana. 14

15 6 Ohjeessa käytetyt määritelmät ja lyhenteet Tässä ohjeessa käytetään seuraavia määritelmiä ja lyhenteitä: 1) VNA 733/2008 valtioneuvoston asetus ydinvoimalaitoksen turvallisuudesta 2) VNA 734/2008 valtioneuvoston asetus ydinenergian käytön turvajärjestelyistä 3) YEL ydinenergialaki (990/1987) 4) YEA ydinenergia-asetus (161/1988) 5) STUK Säteilyturvakeskus 6) DBT Suunnitteluperusteuhka (Design Basis Threat) 7) riskianalyysillä tarkoitetaan järjestelmällisin menetelmin tehtäviä selvityksiä uhkien, ongelmien ja haavoittuvuuksien tunnistamiseksi, niiden syiden ja seurauksien kartoittamiseksi sekä niihin liittyvien riskien arvioimiseksi [2]. 8) turvajärjestelyillä tarkoitetaan ydinenergian käytön turvaamiseksi lainvastaiselta toiminnalta tarvittavia toimenpiteitä ydinlaitoksessa, sen alueella taikka muussa paikassa tai kulkuvälineessä, jossa ydinenergian käyttöä harjoitetaan. 9) tietoturvallisuuteen liittyvällä järjestelmällä tarkoitetaan Ihmisistä, tietojenkäsittelylaitteista, datansiirtolaitteista ja ohjelmista koostuvaa järjestelmää, jonka tarkoitus on tietoja käsittelemällä tehostaa tai helpottaa jotakin toimintaa tai tehdä toiminta mahdolliseksi. Järjestelmä voi olla tieto-, tietoliikenne-, sähkö- tai automaatiojärjestelmä tai turvavalvonnan ja valmiustoiminnan viestintäjärjestelmä. 15

16 Viitteet [1] Ydinenergialaki (990/1987) [2] Valtioneuvoston asetus ydinenergian käytön turvajärjestelyistä (734/2008) [3] Valtioneuvoston asetus ydinvoimalaitoksen turvallisuudesta (733/2008) [4] Laki viranomaisten toiminnan julkisuudesta (621/1999) [5] ISO/IEC 27002:2005 Information technology Security techniques Code of practice for information security management [6] ISO/IEC 27001:2005 Informaatioteknologia. Turvallisuus. Tietoturvallisuuden Hallintajärjestelmät. Vaatimukset [7] ISO/IEC 27005:2011 Information technology Security techniques Information security risk management [8] IEC sarja Teollisuuden tietoliikenneverkot. Verkkojen ja järjestelmien tietoturvallisuus [9] Vahti 6/2006. Tietoturvatavoitteiden asettaminen ja mittaaminen [10] Vahti 2/2010. Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta [11] Vahti 1/2013. Sovelluskehityksen tietoturvaohje [12] COBIT. Control Objectives for Information and Related Technology [13] KATAKRI II kansallinen turvallisuusauditointikriteeristö, tai uudempi versio [14] NIST 800 -sarja

YDINLAITOKSEN TIETOTURVALLISUUDEN HALLINTA

YDINLAITOKSEN TIETOTURVALLISUUDEN HALLINTA YDINLAITOKSEN TIETOTURVALLISUUDEN HALLINTA 1 Johdanto 3 2 Soveltamisala 3 3 Tietoturvallisuuden hallinta 3 3.1 Yleiset vaatimukset 3 3.2 Tietoturvallisuuden hallintajärjestelmä 4 3.3 Asiakirjoja koskevat

Lisätiedot

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä FINAS-päivä 22.1.2013 Helsingin Messukeskus Laura Kiviharju Viestintävirasto Viestintäviraston

Lisätiedot

Sähköi sen pal l tietototurvatason arviointi

Sähköi sen pal l tietototurvatason arviointi Sähköisen palvelun l tietototurvatason arviointi Kirsi Janhunen Arviointia tehdään monesta syystä Itsearviointi Sisäinen arviointi Sisäinen tarkastus Vertaisarviointi Ulkoinen arviointi Lähtökohtana usein

Lisätiedot

Riippumattomat arviointilaitokset

Riippumattomat arviointilaitokset Riippumattomat arviointilaitokset CSM Riskienhallinta -asetuksen mukainen riippumaton arviointi Komission asetus (352/2009/EY) yhteisestä turvallisuusmenetelmästä, CSM riskienhallinta-asetus, vaatii rautatiejärjestelmässä

Lisätiedot

YDINLAITOKSEN TURVAJÄRJESTELYT

YDINLAITOKSEN TURVAJÄRJESTELYT YDINLAITOKSEN TURVAJÄRJESTELYT 1 Johdanto 5 2 Soveltamisala 5 3 Turvajärjestelyjen suunnitteluperusteet ja niitä koskevat vaatimukset 5 3.1 Turvajärjestelyjen suunnitteluperusteet 5 3.2 Ydinlaitoksen turvajärjestelyt

Lisätiedot

Pilvipalveluiden arvioinnin haasteet

Pilvipalveluiden arvioinnin haasteet Pilvipalveluiden arvioinnin haasteet Tietoturvallisuus- ja jatkuvuuden hallinnan vaatimukset ICT-hankinnoissa, 12.5.2014 Laura Kiviharju Pilvipalvelut Pilvilaskenta (CloudComputing) tarkoittaa internetissä

Lisätiedot

TIETOTURVA- POLITIIKKA

TIETOTURVA- POLITIIKKA TIETOTURVA- POLITIIKKA Kaupunginhallitus 3.9.2013 216 HAAPAJÄRVEN KAUPUNGIN TIETOTURVAPOLITIIKKA 1. JOHDANTO... 3 2. KATTAVUUS... 3 3. TIETOTURVA... 3 4. TIETOTURVATYÖ... 4 5. ORGANISOINTI JA VASTUUT...

Lisätiedot

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Lappeenrannan kaupungin tietoturvaperiaatteet 2016 1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015

Lisätiedot

Vihdin kunnan tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka Vihdin kunnan tietoturvapolitiikka Kunnanhallitus 2.3.2015 50, liite 2 Kunnan johtoryhmä 18.11.2014 Tietohallinnon ohjausryhmä (Thor) 24.9.2014 Sisällys 1 Johdanto... 2 2 Mitä tietoturvallisuus on?...

Lisätiedot

YDINLAITOKSEN JOHTAMISJÄRJESTELMÄ

YDINLAITOKSEN JOHTAMISJÄRJESTELMÄ YDINLAITOKSEN JOHTAMISJÄRJESTELMÄ 1 Johdanto 5 2 Soveltamisala 6 3 Johtamisjärjestelmä 6 3.1 Johtamisjärjestelmän suunnittelu, toteuttaminen, ylläpito ja parantaminen 6 3.2 Turvallisuuskulttuuri 7 3.3

Lisätiedot

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia OAMK / Luova 4.5. ja 11.5. Sisäinen auditointi osa Oamkin ympäristöohjelmatyötä Sisältö 1. päivä Johdanto Auditoinnin tavoitteet Ympäristöstandardin (ISO 14001) pääkohdat Alustava ympäristökatselmus Auditoinnin

Lisätiedot

Varmaa ja vaivatonta viestintää kaikille Suomessa

Varmaa ja vaivatonta viestintää kaikille Suomessa Varmaa ja vaivatonta viestintää kaikille Suomessa Tietojärjestelmien ja tietoliikenteen arviointi "Uuteen turvallisuusselvityslakiin" 18.11.2014 Säätytalo Tähän joku aloituskuva, esim. ilmapallopoika Viestintäviraston

Lisätiedot

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016

Lisätiedot

YVL A.3, YDINLAITOKSEN JOHTAMISJÄRJESTELMÄT

YVL A.3, YDINLAITOKSEN JOHTAMISJÄRJESTELMÄT Säteilyturvakeskus YVL-ohje 1 YVL A.3, YDINLAITOKSEN JOHTAMISJÄRJESTELMÄT 1 Johdanto... 3 2 Soveltamisala... 4 3 Johtamisjärjestelmä... 5 3.1 Johtamisjärjestelmän suunnittelu, toteuttaminen, ylläpito ja

Lisätiedot

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1 Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet

Lisätiedot

SOTILASILMAILUN TVJ-ALAN TEKNISEN HENKILÖSTÖN KELPOISUUSVAATIMUKSET

SOTILASILMAILUN TVJ-ALAN TEKNISEN HENKILÖSTÖN KELPOISUUSVAATIMUKSET SOTILASILMAILUN VIRANOMAISYKSIKKÖ FINNISH MILITARY AVIATION AUTHORITY SOTILASILMAILUMÄÄRÄYS MILITARY AVIATION REGULATION SIM-He-lv-002 versio A, muutos 0 19.12.2008 PL 30, 41161 TIKKAKOSKI, FINLAND, Tel.

Lisätiedot

Miksi auditoidaan? Pirkko Puranen FT, Ylitarkastaja

Miksi auditoidaan? Pirkko Puranen FT, Ylitarkastaja Miksi auditoidaan? Pirkko Puranen FT, Ylitarkastaja Vaatimus kudoslaitoksille: Fimean määräys 3/2014 Liite V 6. Laatukatselmus 6.1 Toiminnoille, joille lupaa haetaan, on oltava käytössä auditointijärjestelmä.

Lisätiedot

Ydinvoimalaitoksen rakentamislupahakemus. Pyhäjoen teemailta 4.5.2015

Ydinvoimalaitoksen rakentamislupahakemus. Pyhäjoen teemailta 4.5.2015 Ydinvoimalaitoksen rakentamislupahakemus Pyhäjoen teemailta 4.5.2015 Suomen viranomaiset ja rakentamislupahakemusprosessi Rakentamislupahakemus valtioneuvostolle Rakentamislupa-aineisto Säteilyturvakeskukselle

Lisätiedot

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa 12.3.2013.

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa 12.3.2013. AEO-Toimijapäivä Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa 12.3.2013 Sami Hyytiäinen Johdanto Turvallisuus ja vaarattomuus toimitusketjussa Kuljetusketjun

Lisätiedot

Ydinpolttoaineen suunnittelurajat ja yleiset suunnitteluvaatimukset. 1 Yleistä 3. 2 Yleiset suunnitteluvaatimukset 3

Ydinpolttoaineen suunnittelurajat ja yleiset suunnitteluvaatimukset. 1 Yleistä 3. 2 Yleiset suunnitteluvaatimukset 3 OHJE 1.11.1999 YVL 6.2 Ydinpolttoaineen suunnittelurajat ja yleiset suunnitteluvaatimukset 1 Yleistä 3 2 Yleiset suunnitteluvaatimukset 3 3 Normaaleita käyttötilanteita koskevat suunnitteluvaatimukset

Lisätiedot

Hyväksytyt asiantuntijat

Hyväksytyt asiantuntijat 1(4) Hyväksytyt asiantuntijat Pätevyysalue Pätevyysluokat Tarkastuskohteet Tässä muistiossa käsitellään ajoneuvolain 1090/2002 (muutettuna viimeksi 1042/2014) 48 2 momentin nojalla Liikenteen turvallisuusviraston

Lisätiedot

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41 Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät

Lisätiedot

Tietoturvapolitiikka

Tietoturvapolitiikka Mäntsälä Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 0.9 2/8 Sisällys 1 Johdanto... 4 2 Mitä tietoturvallisuus on?... 4 2.1 Tietoturvallisuuden hallinta... 5 2.2 Riskienhallinta sekä jatkuvuuden

Lisätiedot

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvapolitiikka Porvoon Kaupunki Tietoturvapolitiikka Porvoon Kaupunki 1 Sisältö 1 Johdanto... 3 2 Mitä tietoturvallisuus on?... 4 Tietoturvallisuuden hallinta... 4 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen... 5 3 Tietoturvallisuustavoitteet...

Lisätiedot

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet Yleisesittely Julkaisutilaisuus 12.6.2014 Teknologiajohtaja Aki Siponen, Microsoft Oy SFS-ISO/IEC 27002:2013 tietoturvallisuuden

Lisätiedot

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.

Lisätiedot

IT-palvelujen ka yttö sa a nnö t

IT-palvelujen ka yttö sa a nnö t IT-palvelujen ka yttö sa a nnö t Tampereen yliopisto Yliopistopalvelut / tietohallinto Rehtorin päätös 28.8.2014. Sisällysluettelo 1 Soveltamisala... 2 2 Käyttövaltuudet ja käyttäjätunnus... 2 2.1 Käyttövaltuudet...

Lisätiedot

A-moduulissa säädettyjen vaatimusten lisäksi sovelletaan alla olevia säännöksiä. Valmista-

A-moduulissa säädettyjen vaatimusten lisäksi sovelletaan alla olevia säännöksiä. Valmista- Liite 1 VAATIMUSTENMUKAISUUDEN ARVIOINTIMENETTELYT A-moduuli (valmistuksen sisäinen tarkastus) 1. Tässä moduulissa esitetään menettely, jolla valmistaja tai tämän yhteisöön kuuluvien valtioidenalueelle

Lisätiedot

Liittymät Euroclear Finlandin järjestelmiin, tietoliikenne ja osapuolen järjestelmät Toimitusjohtajan päätös

Liittymät Euroclear Finlandin järjestelmiin, tietoliikenne ja osapuolen järjestelmät Toimitusjohtajan päätös Liittymät Euroclear Finlandin järjestelmiin, tietoliikenne ja osapuolen järjestelmät Toimitusjohtajan päätös Tilinhoitajille Selvitysosapuolille Liikkeeseenlaskijan asiamiehille Sääntöviite: 1.5.9, 5)

Lisätiedot

YDINLAITOKSEN ORGANISAATIO JA HENKILÖSTÖ

YDINLAITOKSEN ORGANISAATIO JA HENKILÖSTÖ OHJE YVL A.4 / 2.6.2014 YDINLAITOKSEN ORGANISAATIO JA HENKILÖSTÖ 1 Johdanto 3 2 Soveltamisala 4 3 Turvallista toimintaa edistävä organisaatio ja osaamisen hallinta 5 3.1 Osaaminen ja organisaatiorakenne

Lisätiedot

Julkaistu Helsingissä 15 päivänä kesäkuuta 2011. 634/2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta

Julkaistu Helsingissä 15 päivänä kesäkuuta 2011. 634/2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta SUOMEN SÄÄDÖSKOKOELMA Julkaistu Helsingissä 15 päivänä kesäkuuta 2011 634/2011 Laki julkisen hallinnon tietohallinnon ohjauksesta Annettu Helsingissä 10 päivänä kesäkuuta 2011 Eduskunnan päätöksen mukaisesti

Lisätiedot

Ohje YVL A.3, Ydinlaitosten johtamisjärjestelmät (2.6.2014)

Ohje YVL A.3, Ydinlaitosten johtamisjärjestelmät (2.6.2014) Säteilyturvakeskus Perustelumuistio 1 (12) Ohje YVL A.3, Ydinlaitosten johtamisjärjestelmät (2.6.2014) 1 Johdanto 2 Soveltamisala Luvanhaltijan velvollisuutena on huolehtia ydinenergian käytön turvallisuudesta

Lisätiedot

SMS ja vaatimustenmukaisuuden

SMS ja vaatimustenmukaisuuden SMS ja vaatimustenmukaisuuden valvonta Tiedotustilaisuus: Pienet hyväksytyt koulutusorganisaatiot non-complex ATO Vastuullinen liikenne. Yhteinen asia. Turvallisuuden hallintajärjestelmä, SMS ICAO Document

Lisätiedot

Sisällysluettelo. Esipuhe... 10. 1 Johdanto... 15. 2 Tietoturvallisuuden rooli yritystoiminnassa... 17

Sisällysluettelo. Esipuhe... 10. 1 Johdanto... 15. 2 Tietoturvallisuuden rooli yritystoiminnassa... 17 Esipuhe...................................................... 10 1 Johdanto............................................... 15 2 Tietoturvallisuuden rooli yritystoiminnassa.............. 17 2.1 Mitä on

Lisätiedot

1 Jo h d a n t o 3 2 Sove l t a m i s a l a 3 3 Jo h t a m i s j ä r j e s t e l m ä 4

1 Jo h d a n t o 3 2 Sove l t a m i s a l a 3 3 Jo h t a m i s j ä r j e s t e l m ä 4 OHJE YVL 1.4 / 9.1.2008 Ydinlaitosten johtamisjärjestelmät 1 Jo h d a n t o 3 2 Sove l t a m i s a l a 3 3 Jo h t a m i s j ä r j e s t e l m ä 4 3.1 Johtamisjärjestelmän suunnittelu, toteuttaminen, ylläpito

Lisätiedot

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT TIETOTURVALLISUUDEN KEHITTÄMINEN Opettaja: Tuija Kyrölä 040-5455465 tuija.kyrola@kolumbus.fi Toimintaohjeistus Tietoturvallisuusohjeistus I-TASO II-TASO III-TASO Ylin johto hyväksyy Konsernihallinto valmistelee

Lisätiedot

Ohje YVL A.11, Ydinlaitoksen turvajärjestelyt (15.11.2013)

Ohje YVL A.11, Ydinlaitoksen turvajärjestelyt (15.11.2013) Säteilyturvakeskus Perustelumuistio 1 (13) Ohje YVL A.11, Ydinlaitoksen turvajärjestelyt (15.11.2013) 1 Soveltamisala Ohjeeseen YVL A.11 on koottu ydinlaitosten turvajärjestelyjä koskevat määräykset ja

Lisätiedot

Ydinlaitosten mekaaniset laitteet ja rakenteet. 1 Yleistä 3. 2 Luvanhaltijan velvoitteet 3. 3 Valmistajalle asetetut vaatimukset 4

Ydinlaitosten mekaaniset laitteet ja rakenteet. 1 Yleistä 3. 2 Luvanhaltijan velvoitteet 3. 3 Valmistajalle asetetut vaatimukset 4 OHJE 4.10.1999 YVL 1.14 Ydinlaitosten mekaaniset laitteet ja rakenteet Valmistuksen valvonta 1 Yleistä 3 2 Luvanhaltijan velvoitteet 3 3 Valmistajalle asetetut vaatimukset 4 3.1 Yleistä 4 3.2 Rakenneaineet

Lisätiedot

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt Turun ammattikorkeakoulu 13.09.2005 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT Sisällysluettelo: 1 Sääntöjen tarkoitus... 2 2 Käytön periaatteet... 2 3 Käyttöoikeus ja käyttäjätunnukset... 4 4 Käyttöoikeuden

Lisätiedot

SOTILASILMAILUN JA SOTILASILMAILUSSA KÄYTETTÄVIEN TVJ-ALAN TEKNISTEN JÄRJES- TELMIEN, LAITTEIDEN JA YKSIKÖIDEN HÄIRINTÄ

SOTILASILMAILUN JA SOTILASILMAILUSSA KÄYTETTÄVIEN TVJ-ALAN TEKNISTEN JÄRJES- TELMIEN, LAITTEIDEN JA YKSIKÖIDEN HÄIRINTÄ SOTILASILMAILUN VIRANOMAISYKSIKKÖ SOTILASILMAILUMÄÄRÄYS SIM-To-Lv-026 PL 30, 41161 TIKKAKOSKI, Puh. 0299 800, Faksi 0299 291 929 13.1.2015 SOTILASILMAILUN JA SOTILASILMAILUSSA KÄYTETTÄVIEN TVJ-ALAN TEKNISTEN

Lisätiedot

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty kunnanhallituksessa 20.01.2014 23 1. YLEISTÄ Tietoturva- ja tietosuojapolitiikka asiakirjana sisältää ne periaatteet, toimintatavat, vastuut, toimivallat,

Lisätiedot

Standardisarja IEC 62443. Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Standardisarja IEC 62443. Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus Standardisarja IEC 62443 Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus Matti Sundquist, Sundcon Oy Jukka Alve, SESKO ry 1 ASAFin tietoturvaseminaari 27.1.2004 Automaatioseuran

Lisätiedot

Virtu tietoturvallisuus. Virtu seminaari 18.3.2014

Virtu tietoturvallisuus. Virtu seminaari 18.3.2014 Virtu tietoturvallisuus Virtu seminaari 18.3.2014 Sisältö Virtu edistää tietoturvallisuutta Tietoturvallisuus Valtorin palveluissa Tietoturvavaatimukset luottamusverkostoon liityttäessä 2 Kertakirjautuminen

Lisätiedot

Valtioneuvoston asetus

Valtioneuvoston asetus Valtioneuvoston asetus rautatiejärjestelmän turvallisuudesta ja yhteentoimivuudesta annetun valtioneuvoston asetuksen muuttamisesta Valtioneuvoston päätöksen mukaisesti muutetaan rautatiejärjestelmän turvallisuudesta

Lisätiedot

Ydinlaitosten mekaaniset laitteet ja rakenteet

Ydinlaitosten mekaaniset laitteet ja rakenteet 19.12.1996 Ydinlaitosten mekaaniset laitteet ja rakenteet Rakennetarkastus 1 Yleistä 3 2 Määritelmiä 3 3 Rakennetarkastusalueet ja -oikeudet 3 4 Rakennetarkastuksen sisältö ja toteutus 4 4.1 Rakennetarkastuksen

Lisätiedot

YVL ohjeuudistuksen tilannekatsaus

YVL ohjeuudistuksen tilannekatsaus YVL ohjeuudistuksen tilannekatsaus Ydinenergia alan toimittajat 3.11.2011 Martti Vilpas STUK Esityksen sisältö Tausta Uudet YVL ohjeet valmistelutilanne Laitehankintojen kannalta keskeisten YVL ohjeiden

Lisätiedot

YDINLAITOSTEN MEKAANISET LAITTEET JA RAKENTEET

YDINLAITOSTEN MEKAANISET LAITTEET JA RAKENTEET YDINLAITOSTEN MEKAANISET LAITTEET JA RAKENTEET Testaus- ja tarkastuslaitosten hyväksyminen 1 YLEISTÄ 3 2 RIKKOMATON AINEENKOETUS 4 2.1 Testauslaitos 4 2.2 Testaajat 5 3 RIKKOVA AINEENKOETUS 5 4 MEKAANISTEN

Lisätiedot

Koulun työturvallisuuden viranomaisvalvonnan käytännöt

Koulun työturvallisuuden viranomaisvalvonnan käytännöt Koulun työturvallisuuden viranomaisvalvonnan käytännöt Tarkastaja Länsi- ja Sisä-Suomen aluehallintovirasto, työsuojelun vastuualue 19.11.2010 1 STM:n Strategiset tavoitteet - Toiminta suuntautuu terveyden

Lisätiedot

Tietoturvallisuuden johtaminen

Tietoturvallisuuden johtaminen Tietoturvallisuuden johtaminen Juha Fiskari 10.11.2010 11/15/2010 Nixu Oy Agenda Tieto ja sen merkitys organisaatiolle Tiedon turvallisuuden hallinta & johtaminen Nixun näkymä Tiedon turvallisuuden hallinta

Lisätiedot

6) tietojen käytettävyys, eheys ja laatu viranomaisen tehtävän hoidossa ja viranomaisten yhteistyössä;

6) tietojen käytettävyys, eheys ja laatu viranomaisen tehtävän hoidossa ja viranomaisten yhteistyössä; Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta 12.11.1999/1030 Oikeusministerin esittelystä säädetään viranomaisten toiminnan julkisuudesta 21 päivänä toukokuuta 1999 annetun

Lisätiedot

YDINLAITOKSEN RAKENTAMINEN JA KÄYTTÖÖNOTTO

YDINLAITOKSEN RAKENTAMINEN JA KÄYTTÖÖNOTTO YDINLAITOKSEN RAKENTAMINEN JA KÄYTTÖÖNOTTO 1 Johdanto 3 2 Soveltamisala 4 3 Ydinlaitoksen rakentamisen aikaiset menettelyt 5 3.1 Projektinhallinta ja johtaminen 5 3.1.1 Rakentamisen ja laitosmuutosten

Lisätiedot

Standardit tietoturvan arviointimenetelmät

Standardit tietoturvan arviointimenetelmät Standardit tietoturvan arviointimenetelmät Tietoturvaa teollisuusautomaatioon (TITAN) VTT Auditorio, Vuorimiehentie 5, Espoo, 9.11.2010 Jarkko Holappa Tietoturvallisuuden arviointi osana tietoturvan hallintaa

Lisätiedot

Laboratorion näkökulma muuttuvaan standardiin 15189: 2012 mikä muuttuu?

Laboratorion näkökulma muuttuvaan standardiin 15189: 2012 mikä muuttuu? Laboratorion näkökulma muuttuvaan standardiin 15189: 2012 mikä muuttuu? Laatupäällikkö Anna-Maija Haapala osastonylilääkäri, dosentti Fimlab Laboratoriot Oy STANDARDI 15189 (2012) Suomennos standardista

Lisätiedot

Laatua ja tehoa toimintaan

Laatua ja tehoa toimintaan Laatua ja tehoa toimintaan Tietoturvallisuus osana laatua Kuntamarkkinat 12.9.2013 Aapo Immonen, Senior Manager, FCG konsultointi Oy 5.9.2013 Page 1 Sisältö Tavoitteet Tietoturvallisuutta ohjaavat tekijät

Lisätiedot

Ohje YVL A.11 Ydinlaitoksen turvajärjestelyt ver L2, 5.11.2010

Ohje YVL A.11 Ydinlaitoksen turvajärjestelyt ver L2, 5.11.2010 Ohje YVL A.11 Ydinlaitoksen turvajärjestelyt ver L2, 5.11.2010 1 JOHDANTO... 3 1.1 LÄHTÖKOHDAT JA SOVELTAMISALA... 3 1.2 SALASSAPITOSÄÄNNÖKSET... 3 1.3 OHJEESSA KÄYTETYT MÄÄRITELMÄT JA LYHENTEET... 3 2

Lisätiedot

Tietoturvapolitiikka. Kunnanhallitus 27.2.2012 42 Tyrnävän kunta

Tietoturvapolitiikka. Kunnanhallitus 27.2.2012 42 Tyrnävän kunta Tietoturvapolitiikka Kunnanhallitus 27.2.2012 42 Tyrnävän kunta 2 SISÄLLYSLUETTELO 1. YLEISTÄ 3 2. POLITIIKAN SOVELTAMINEN JA LAAJUUS 3 3. TIETOTURVAPOLITIIKKA, TAVOITTEET JA PERIAATTEET 4 4. TIETOJEN

Lisätiedot

STUK arvioi loppusijoituksen turvallisuuden, Posivan hakemuksen tarkastus

STUK arvioi loppusijoituksen turvallisuuden, Posivan hakemuksen tarkastus STUK arvioi loppusijoituksen turvallisuuden, Posivan hakemuksen tarkastus Jussi Heinonen Viranomaisvalvonnan vaiheet Viranomaisvalvonnan kannalta loppusijoituksen valvonta voidaan jakaa päävaiheisiin:

Lisätiedot

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA Hyväksytty: Hämeenkyrön lautakunta 2.11.2011 Tarkastettu 29.4.2014 OK 1. JOHDANTO Tietojenkäsittely tukee Hämeenkyrön kunnan / n terveydenhuollon toimintayksikön

Lisätiedot

YDINLAITOKSESSA SYNTYNEIDEN JÄTTEIDEN VALVONNASTA VAPAUTTAMISEN EDELLYTYKSET

YDINLAITOKSESSA SYNTYNEIDEN JÄTTEIDEN VALVONNASTA VAPAUTTAMISEN EDELLYTYKSET OHJE YVL 8.2 / 25.3.2002 YDINLAITOKSESSA SYNTYNEIDEN JÄTTEIDEN VALVONNASTA VAPAUTTAMISEN EDELLYTYKSET 1 YLEISTÄ 3 2 YLEISET TURVALLISUUSPERIAATTEET 3 3 JOHDETUT AKTIIVISUUSPITOISUUSRAJAT- JA AKTIIVISUUSKATERAJAT

Lisätiedot

Johtokunta 7.12.2009 193. Tietoturva- ja tietosuojapolitiikka

Johtokunta 7.12.2009 193. Tietoturva- ja tietosuojapolitiikka Johtokunta 7.12.2009 193 Tietoturva- ja tietosuojapolitiikka Sisällys: 1. Johdanto 3 2. Tietoturvapolitiikan tavoitteet ja toteutuksen periaatteet 4 3. Tietosuojapolitiikan tavoitteet ja toteutuksen periaatteet

Lisätiedot

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET 1.1.2014

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET 1.1.2014 1 Parikkalan kunta SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET 1.1.2014 1. Lainsäädäntöperusta ja soveltamisala Kuntalain 13 :n mukaan valtuuston tulee päättää kunnan ja kuntakonsernin sisäisen valvonnan

Lisätiedot

Sisäisen tarkastuksen ohje

Sisäisen tarkastuksen ohje Sisäisen tarkastuksen ohje Kuntayhtymähallitus 17.3.2009 SISÄLLYSLUETTELO 1 TARKOITUS JA PERIAATTEET 3 2 TEHTÄVÄT JA ARVIOINTIPERUSTEET 3 3 ASEMA, TOIMIVALTA JA TIETOJENSAANTIOIKEUS 3 4 AMMATILLINEN OSAAMINEN

Lisätiedot

YVL A.5 Ydinlaitoksen rakentamistoiminta

YVL A.5 Ydinlaitoksen rakentamistoiminta Säteilyturvakeskus YVL A.5 luonnos 2 1 (35) YVL A.5 Ydinlaitoksen rakentamistoiminta Säteilyturvakeskus YVL A.5 luonnos 2 2 (35) YVL A.5 Ydinlaitoksen rakentamistoiminta Sisällysluettelo 1 Johdanto...

Lisätiedot

TIETOTURVAPOLITIIKKA

TIETOTURVAPOLITIIKKA TIETOTURVAPOLITIIKKA Lapin ammattikorkeakoulun rehtori on hyväksynyt tietoturvapolitiikan 18.3.2014. Voimassa toistaiseksi. 2 Sisällysluettelo 1 Yleistä... 3 1.1 Tietoturvallisuuden kolme ulottuvuutta...

Lisätiedot

Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu

Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu JHS 147 Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu Julkaistu: 28.11.2000 Voimassaoloaika: Toistaiseksi Sisältö 1 TAUSTAA 1.1 Suosituksen tarkoitus 1.2 Asiakirjojen ja tietojen luokittelu

Lisätiedot

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA JYVÄSKYLÄN KAUPUNKI Tietohallinto JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA VERSIO 1.0 11.5.2009 SISÄLLYSLUETTELO 1 JOHDANTO... 1 2 KATTAVUUS... 1 3 MITÄ TIETOTURVA ON... 1 4 MIKSI TIETOTURVAA...

Lisätiedot

Säteilyturvakeskus YVL A2 1 (9) Luonnos 4. YVL A.2 Ydinvoimalaitoksen sijaintipaikka 13.06.2013. Valtuutusperusteet. Soveltamissäännöt.

Säteilyturvakeskus YVL A2 1 (9) Luonnos 4. YVL A.2 Ydinvoimalaitoksen sijaintipaikka 13.06.2013. Valtuutusperusteet. Soveltamissäännöt. Säteilyturvakeskus YVL A2 1 (9) Luonnos 4 13.06.2013 YVL A.2 Ydinvoimalaitoksen sijaintipaikka Valtuutusperusteet Soveltamissäännöt 1 Johdanto 101 Ydinenergialain (YEL 990/1987) 6 :n mukaan ydinenergian

Lisätiedot

KESKUSKAUPPAKAMARI Arvosteluperusteet LVV 5.9.2015 Välittäjäkoelautakunta

KESKUSKAUPPAKAMARI Arvosteluperusteet LVV 5.9.2015 Välittäjäkoelautakunta Tehtävä 1 Toimeksiantosopimuksen muotovaatimukset on säädetty laissa kiinteistöjen ja vuokrahuoneistojen välityksestä. Toimeksiantosopimus on tehtävä kirjallisesti tai sähköisesti siten, ettei sopimusehtoja

Lisätiedot

YVL E.7, YDINLAITOKSEN SÄHKÖ- JA AUTOMAATIOLAIT- TEET, LUONNOS L2

YVL E.7, YDINLAITOKSEN SÄHKÖ- JA AUTOMAATIOLAIT- TEET, LUONNOS L2 YVL E.7, YDINLAITOKSEN SÄHKÖ- JA AUTOMAATIOLAIT- TEET, LUONNOS L2 19.6.2012 Kim Wahlström Säteilyturvakeskus 2011 Säteilyturvakeskus Muistio YVL E.7 Luonnos Sisällys 1 Johdanto... 1 2 Määritelmät... 1

Lisätiedot

Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015

Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015 Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015 Espoon kaupunki 2015 Tietoturvapolitiikka 1 (7) Yhteenveto Tietoturvapolitiikka on kaupunginhallituksen ja kaupunginjohdon tahdonilmaisu tietoturvan

Lisätiedot

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö Ulkoistamisen hallittu prosessi Veli-Pekka Kuparinen valmiuspäällikkö Muutos ja tietoturvallisuus -ohje Korvaa Vahti-ohjeen 2/1999 ja laajentaa sen tarkastelunäkökulmaa Työryhmänä jaosto, konsulttina WM-data

Lisätiedot

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET Hall. 01.04.2014 Valt. 29.04.2014 1 Voimaantulo 01.07.2014 1 Lainsäädännöllinen perusta ja soveltamisala Kuntalain 13

Lisätiedot

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman Turvallisuusselvityslaki ja käytännön toimijat Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman Supon ennalta estävä tehtävä Suojelupoliisin tulee lakisääteisen

Lisätiedot

Riskit hallintaan ISO 31000

Riskit hallintaan ISO 31000 Riskit hallintaan ISO 31000 Riskienhallinta ja turvallisuus forum 17.10.2012 Riskienhallintajohtaja Juha Pietarinen Tilaisuus, Esittäjä Mitä on riskienhallinta? 2 Strategisten riskienhallinta Tavoitteet

Lisätiedot

YVL C.7 YDINLAITOKSEN YMPÄRISTÖN SÄTEILYVALVONTA

YVL C.7 YDINLAITOKSEN YMPÄRISTÖN SÄTEILYVALVONTA SÄTEILYTURVAKESKUS YVL C.7 Ohjeluonnos L4 31.5.2016 YVL C.7 YDINLAITOKSEN YMPÄRISTÖN SÄTEILYVALVONTA 1 JOHDANTO... 3 2 SOVELTAMISALA... 4 3 YMPÄRISTÖN PERUSTILASELVITYS... 4 4 YMPÄRISTÖN SÄTEILYVALVONTA...

Lisätiedot

YVL A.1 Ydinenergian käytön turvallisuusvalvonta

YVL A.1 Ydinenergian käytön turvallisuusvalvonta 1 (47) Ydinvoimalaitosten valvonta 0 22.1.2013 YVL A.1 Ydinenergian käytön turvallisuusvalvonta 1 Johdanto... 4 2 Soveltamisala... 5 3 Toiminnan luvanvaraisuuteen liittyvät vaatimukset... 6 3.1 Valtioneuvoston

Lisätiedot

MAA- JA METSÄTALOUSMINISTERIÖ MÄÄRÄYS Nro 1/16

MAA- JA METSÄTALOUSMINISTERIÖ MÄÄRÄYS Nro 1/16 MAA- JA METSÄTALOUSMINISTERIÖ MÄÄRÄYS Nro 1/16 15.1.2016 Dnro 30/01.04/2016 Voimassaoloaika 15.1.2016 - toistaiseksi Kumoaa määräyksen Dnro 248/14/2015, 13.2.2015 Valtuussäännökset Metsälaki (1093/1996)

Lisätiedot

Ohje YVL A.4, Ydinlaitoksen organisaatio ja henkilöstö (2.6.2014)

Ohje YVL A.4, Ydinlaitoksen organisaatio ja henkilöstö (2.6.2014) Säteilyturvakeskus Perustelumuistio 1 (14) Ohje YVL A.4, Ydinlaitoksen organisaatio ja henkilöstö (2.6.2014) 1 Johdanto Ohjeen tavoitteena on edistää hyvää henkilöstöjohtamista niin, että osaaminen, resurssit

Lisätiedot

Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset

Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 157/2009 Jussi Holmalahti, johtaja Lupaosasto Tietojärjestelmät

Lisätiedot

Quality Consulting M.Mikkola OY Mari.mikkola@qcmm.fi 050-3205088

Quality Consulting M.Mikkola OY Mari.mikkola@qcmm.fi 050-3205088 Quality Consulting M.Mikkola OY Mari.mikkola@qcmm.fi 050-3205088 Laadunhallintajärjestelmän tulisi olla organisaation strateginen päätös ISO9001 tarkoituksena ei ole edellyttää, että kaikilla laadunhallintajärjestelmillä

Lisätiedot

Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät. ISO/IEC 27000 -standardiperhe

Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät. ISO/IEC 27000 -standardiperhe Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät. ISO/IEC 27000 -standardiperhe Kalvosarja oppilaitoksille Suomen Standardisoimisliitto SFS ry 2012 27.8.2012 1 Tervetuloa luentoaineiston

Lisätiedot

Työturvallisuuslaki 23.8.2002/738

Työturvallisuuslaki 23.8.2002/738 Työturvallisuuslaki 23.8.2002/738 2 luku Työnantajan yleiset velvollisuudet 8 Työnantajan yleinen huolehtimisvelvoite Työnantaja on tarpeellisilla toimenpiteillä velvollinen huolehtimaan työntekijöiden

Lisätiedot

Turvallisuuskulttuuri ja ydinlaitosrakentaminen

Turvallisuuskulttuuri ja ydinlaitosrakentaminen ja ydinlaitosrakentaminen - Tsernobyl 1986 - Onnettomuustutkinnan yhteydessä luotiin Turvallisuuskulttuuri -käsite - Turvallisuuskulttuuri -käsite määriteltiin 1991 ensimmäisen kerran 1991 IAEA:n (The

Lisätiedot

Ammattimaisen käyttäjän vaaratilanneilmoitus Minna Kymäläinen/ Valvira

Ammattimaisen käyttäjän vaaratilanneilmoitus Minna Kymäläinen/ Valvira Ammattimaisen käyttäjän vaaratilanneilmoitus Minna Kymäläinen/ Valvira 17.10.2014 1 Luennon sisältö Terveydenhuollon laitteet ja tarvikkeet Määräys 4/2010 Vaaratilanteet Ilmoitettavat tapahtumat Ilmoittamiseen

Lisätiedot

Palopupu ja uusi * pelastuslaki

Palopupu ja uusi * pelastuslaki Palopupu ja uusi * pelastuslaki Väritettävä pupuhahmo päiväkoti- ikäisille isille Lain tavoite, soveltamisala ja yleiset velvollisuudet tiedoksi jokaiselle, mutta erityisesti pienten lasten vanhemmille

Lisätiedot

PEFC-metsäsertifioinnin toteutustavat

PEFC-metsäsertifioinnin toteutustavat Suomen PEFC-standardi PEFC-metsäsertifioinnin toteutustavat PEFC FI 1001:2014 19.5.2015 PEFC-metsäsertifioinnin toteutustavat PEFC Suomi Sitratie 7, 00420 HELSINKI puh: 0400 765 437 sähköposti: office@pefc.fi

Lisätiedot

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET KOKKOLAN KAUPUNKI Syyskuu 2014 Keskushallinto SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET SISÄLLYSLUETTELO 1. YLEISTÄ 2. SISÄISEN VALVONNAN JA RISKIENHALLINNAN TAVOITE JA TARKOITUS; KÄSITTEET 3. SISÄISEN

Lisätiedot

Ydinvoimasäännöstöistä ja sopimuksista

Ydinvoimasäännöstöistä ja sopimuksista Ydinvoimasäännöstöistä ja sopimuksista Atomivoimaa Suomeen ATS-Young Generation ja Seniorit 17.11.2010 Ydinenergia- ja säteilylainsäädäntö Atomienergialaki 1957 Puitelaki, yleiset edellytykset, luvat Säteilysuojauslaki

Lisätiedot

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana Terveydenhuollon Atk-päivät Tampere-talo 26.5.2010 Antti-Olli Taipale Tietohallintojohtaja Päijät-Hämeen sosiaali- ja terveysyhtymä

Lisätiedot

-------- = LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

-------- = LV! 17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet -------- Seinäjoen kaupungin tietoturvapolitiikka 1. Johdanto Tietoturva nähdään julkishallinnon organisaatioissa oleellisena osana normaalia toimintaa ja palveluiden laatua, kokonaisturvallisuutta ja

Lisätiedot

Käyttötoiminta ja liikenteenhallinta rautatiejärjestelmässä

Käyttötoiminta ja liikenteenhallinta rautatiejärjestelmässä 1 (5) Antopäivä: 18.12.2015 Voimaantulopäivä: 1.1.2016 Säädösperusta: Rautatielaki (304/2011) 75 :n kohta 1 Voimassa: toistaiseksi EU-asetus, jonka avoimia kohtia määräys koskee: Komission asetus (EU)

Lisätiedot

Standardien PCI DSS 3.0 ja Katakri II vertailu

Standardien PCI DSS 3.0 ja Katakri II vertailu Standardien PC DSS 3.0 ja Katakri vertailu Copyright Solinor Oy 2014 Solinor Oy, Teollisuuskatu 21 A, F-00510 HELSNK, FNLAND +358 10 279 2940 / www.solinor.com / Business D 17967170 Standardien PC DSS

Lisätiedot

Stressitestien vaikutukset Suomessa

Stressitestien vaikutukset Suomessa Stressitestien vaikutukset Suomessa Keskustelutilaisuus stressitesteistä STUKissa 16.5.2012 Keijo Valtonen Sisältö Toimiiko nykyinen turvallisuusajattelu onnettomuuden opetuksien perusteella? Mitä vaikutuksia

Lisätiedot

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC 27000. Reijo Savola Johtava tutkija VTT

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC 27000. Reijo Savola Johtava tutkija VTT SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques Tietoturvallisuuden hallinta ISO/IEC 27000 Reijo Savola Johtava tutkija VTT FORUM 2013, 30.10.2013 SISÄLTÖ Työohjelma ja organisaatio

Lisätiedot

Kaupunkiraideliikennemääräys

Kaupunkiraideliikennemääräys 1 (6) TRAFI/ Antopäivä: xx.xx.2015 Voimaantulopäivä: 01.03.2016 Voimassa: Toistaiseksi Säädösperusta: Laki kaupunkiraideliikenteestä (xx/2015) 5 :n 5 momentti, 6 :n 3 momentti, 7 :n 5 momentti, 8 :n 6

Lisätiedot

28.9.2015. Mikäli tämän dokumentin vaatimuksista poiketaan, täytyy ne kirjata erikseen hankintasopimukseen.

28.9.2015. Mikäli tämän dokumentin vaatimuksista poiketaan, täytyy ne kirjata erikseen hankintasopimukseen. Turvallisuusohje 1 (5) 1 Turvallisuuden vähimmäisvaatimukset palveluntoimittajille Metsä Groupin tavoitteena on varmistaa turvallinen ja toimintavarma työympäristö joka päivä. Tavoite koskee niin Metsä

Lisätiedot

ORIVEDEN KAUPUNKI. Sisäisen tarkastuksen ohjesääntö. Hyväksytty 11.6.2007

ORIVEDEN KAUPUNKI. Sisäisen tarkastuksen ohjesääntö. Hyväksytty 11.6.2007 ORIVEDEN KAUPUNKI Sisäisen tarkastuksen ohjesääntö Hyväksytty 11.6.2007 Voimaantulo 1.7.2007 Sisällysluettelo ORIVEDEN KAUPUNGIN SISÄISEN TARKASTUKSEN OHJESÄÄNTÖ 5 1 Soveltamisala 5 2 Tarkoitus ja periaatteet

Lisätiedot

Terveydenhuollon ATK-päivät 28-29.5.2013 Logomo, Turku

Terveydenhuollon ATK-päivät 28-29.5.2013 Logomo, Turku Teknologia: Tekniikan auditointi ja sertifiointi Terveydenhuollon ATK-päivät 28-29.5.2013 Logomo, Turku Ylitarkastaja Jari Knuuttila, Valvira 1 Määritelmiä ja aiheeseen liittyvät lait 2 Auditointi, sertifiointi,

Lisätiedot

YVL E.7, YDINLAITOKSEN SÄHKÖ- JA AUTOMAATIOLAIT- TEET, LUONNOS L4

YVL E.7, YDINLAITOKSEN SÄHKÖ- JA AUTOMAATIOLAIT- TEET, LUONNOS L4 YVL E.7, YDINLAITOKSEN SÄHKÖ- JA AUTOMAATIOLAIT- TEET, LUONNOS L4 31.7.2013 Kim Wahlström Säteilyturvakeskus 2011 Säteilyturvakeskus Muistio YVL E.7 Luonnos Sisällys 1 Johdanto... 1 2 Soveltamisala...

Lisätiedot

Sisäisen valvonnan ja riskienhallinnan perusteet Hyväksytty: kaupunginvaltuusto xx.xx.2014 xx

Sisäisen valvonnan ja riskienhallinnan perusteet Hyväksytty: kaupunginvaltuusto xx.xx.2014 xx Sisäisen valvonnan ja riskienhallinnan perusteet Hyväksytty: kaupunginvaltuusto xx.xx.2014 xx 2 1. Lainsäädäntöperusta ja soveltamisala Kuntalain 13 :n mukaan valtuuston tulee päättää kunnan ja kuntakonsernin

Lisätiedot