OULAISTEN KAUPUNKI. Oulaisten kaupungin tietoturvapolitiikka

Transkriptio

1 Oulaisten kaupungin tietoturvapolitiikka Luotu

2 Sisällys 1. Johdanto 3 2. Käsitteet 4 3. Kehykset ja lait 6 4. Tavoitteet 7 5. Vastuut 8 6. Ulkoistukset ja kolmannet osapuolet Toteutus Seuranta 11 LIITTEET 12

3 1. Johdanto Tässä dokumentissa kuvataan Oulaisten kaupungin tietoturvapolitiikka. Tietoturvapolitiikka määrittelee Oulaisten kaupungin tietoturvan toteuttamisessa ja kehittämisessä käytettävät toimintaperiaatteet ja -tavat sekä vastuut. Lisäksi tietoturvapolitiikka määrittelee tietoturvan toteutumisen seurannan ja valvonnan. Tietoturvapolitiikka toimii ylätason dokumenttina, johon erilliset tietoturvaohjeistukset pohjautuvat. Yksittäiset ohjeet, kuten henkilöstön tietoturvaohje ja tietoturvasuunnitelma, täydentävät tietoturvapolitiikkaa. Politiikalla luodaan yhdenmukaiset ohjeet ja käytännöt hyvän tietoturvan toteuttamiseksi koko organisaatiolle. Tietoturvapolitiikka pohjautuu useaan eri lakiin. Tietoturva ilmenee organisaatiossa monella eri tavalla ja se on suurimmaksi osaksi muuta kuin teknisiä ratkaisuja.

4 2. Käsitteet Tietoturvalla tarkoitetaan tiedon suojaamista erilaisilta uhkilta ja toimintaa tai tietoja uhkaavien riskien minimointia. Tietoturvallisuus käsittää erilaiset tiedon käsittelyn, siirron, luovutuksen ja arkistoinnin toimenpiteet. Tieto voi olla useassa eri muodossa, kuten sähköisessä, puhutussa tai kirjallisessa muodossa. Tietoturvallisuus kattaa tiedon kaikissa sen ilmenemismuodoissa. Tietojen turvaamisessa omina osa-alueinaan huomioidaan hallinnollinen, henkilöstö-, toimitila-, tietoaineisto- ja tietojärjestelmäturvallisuus. Tietojärjestelmäturvallisuus jaetaan tietoliikenne-, laitteisto-, ohjelmisto- ja käyttöturvallisuuteen. Tietoturvallisuus koostuu tiedon luottamuksellisuudesta, tiedon eheydestä ja tiedon käytettävyydestä. Arkaluonteinen tieto Yksilöä koskeva tieto, jonka rekisteröintiä tai käyttöä on rajoitettu lain tai asianomaisen vaatimuksesta. Arkaluonteista tietoa ovat henkilötiedot, joilla kuvataan rotua, etnistä alkuperää, uskontoa, terveydentilaa, seksuaalista suuntautuneisuutta jne. EDPB European Data Protection Board, Euroopan tietosuojaneuvosto, joka voi antaa sitovia päätöksiä tietosuoja-asetuksen soveltamisessa. Eheys Tietojen ja tietojärjestelmien aitous, riidattomuus, väärentämättömyys, ajantasaisuus. Tietoa ei ole valtuudettomasti muutettu tai väärennetty. Fyysinen turvallisuus Laitteiden, tilojen, tietovarastojen ja toimitilojen suojaamista tuhoja ja vahinkoja vastaan. Tukijärjestelmien, kuten sähkön, ilmanvaihdon ja veden, saannin varmistamista. GDPR General Data Protection Regulation, EU:n voimaantullut tietosuojauudistus.

5 Hallinnollinen turvallisuus Henkilöstöturvallisuus Järjestelmäturvallisuus Käytettävyys Luottamuksellisuus Rekisterinpitäjä Rekisteröity Tietosuoja Tietoturva Tietoturvapolitiikka Yleinen tietoturvallisuuden organisointi, joka sisältää suunnittelun, tiedottamisen, valvonnan, vastuiden määrittelyn, ohjeistuksen ja koulutuksen järjestämisen. Oman ja ulkopuolisen henkilökunnan turvallisuuden hallinta. Henkilöstön soveltuvuuden ja luotettavuuden sekä toimenkuvien, tiedon käyttöoikeuksien, henkilöstön suojaamisen ja henkilöstön koulutuksen muodostama kokonaisuus. Tietojenkäsittelylaitteiden, tietokantojen ja tietoliikennelaitteiden käytettävyyden ja toiminnan varmistaminen. Tiedot ja tietojenkäsittelyjärjestelmät ovat käytettävissä ja käyttökelpoisia käyttäjille, joilla on niihin pääsyoikeus. Tietojen säilyttäminen luottamuksellisina. Tiedot ja tietojärjestelmät ovat vain tietoon oikeutettujen käytössä. Luonnollinen tai oikeushenkilö, julkinen viranomainen, virasto tai muu elin, joka yksin tai yhteistyössä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjä vastaa siitä, että henkilötietoja käsitellään lainmukaisesti. Henkilö jonka henkilötietoja käsitellään. Yksityisyyden suoja ja yksityisyyttä turvaavat oikeudet. 80% toimintamalleja, prosesseja, vastuita, organisointia, asenteita, motivaatiota, käytännön toimintaa. 20% teknisiä ratkaisuja. Organisaation johdon näkemys tietoturvallisuuden päämääristä ja tavoitteista.

6 3. Kehykset ja lait Tietoturvallisuudesta huolehditaan kansallisten tietoturvaa ja tietosuojaa koskevien lakien ja säädösten mukaisesti. Toiminnassa noudatetaan valtionhallinnon, kuntaliiton ja tietosuojavaltuutetun antamia ohjeita ja suosituksia. Tietoturvapolitiikka pohjautuu useaan lakiin ja asetukseen. Näitä ovat muun muassa: Arkistolaki (831/1994) Henkilötietolaki (523/1999) Kuntalaki (410/2015) Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003) Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista (617/2009) Laki viranomaisten toiminnan julkisuudesta (621/1999) Laki yksityisyyden suojasta työelämässä (759/2004) Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999) Rikoslaki (39/1889, 38 luku tieto- ja viestintärikoksista) Sähköisen viestinnän tietosuojalaki (516/2004) Tietoyhteiskuntakaari (917/2014) Tekijänoikeuslaki (404/1961) Valmiuslaki (1552/2011) Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010) GDPR viittaa EU:n tietosuojauudistukseen, joka koskee yleistä tietosuoja-asetusta (EU 2016/679) ja direktiiviä (EU 2016/680) lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta. Tietosuoja-asetus korvaa direktiiviin 95/46/EY sekä vuoden 2008 tietosuoja-alan puitepäätöksen 2008/977/YOS. Asetus luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä astui voimaan ja siirtymäaika päättyi

7 Valvontaviranomainen voi määrätä asetusten laiminlyönnistä rekisterinpitäjälle ja/tai käsittelijälle sakkoja. Asetus tuo rekisterinpitäjille uusia hallinnollisia tehtäviä ja teknisiä vaatimuksia. Vaatimuksia kohdistuu rekisterinpitäjän lisäksi henkilötietojen käsittelijälle. Rekisterinpitäjän päävelvollisuuksia on rekisteröidyn oikeuksien toteuttaminen. Asetus määrittelee uutena rekisterinpitäjän velvollisuutena ilmoitusvelvollisuuden. 4. Tavoitteet Tietoturvapolitiikan tavoitteena on: 1. Turvata toiminnalle tärkeiden tietojen, palveluiden, tietojärjestelmien ja tietoverkkojen toiminta normaaleissa ja poikkeusoloissa. 2. Luoda ja kehittää hyvät tietoturvakäytännöt, jotka mahdollistavat hyvän käytännön tietoturvatason. 3. Kehitetään tietoturvaa jatkuvasti ja pitkäjänteisesti. 4. Ennalta ehkäistä tietojen käsittelyyn ja tietoon kohdistuvat uhat tai rajoittamaan vaikutukset hyväksyttävälle tasolle. 5. Varmistaa kaikkien osapuolten työskentelevän tietoturvallisesti joka päivä. Oulaisten kaupungilla käsitellään julkista, luottamuksellista ja salassa pidettävää tietoa. Tietoturvapolitiikalla pyritään estämään tietojen valtuudeton käyttö, tahaton tai tahallinen tietojen tuhoaminen sekä tietojen päätyminen vääriin käsiin. Tietojen turvallisesta luomisesta, käytöstä, luovuttamisesta, tallentamisesta ja arkistoinnista huolehditaan koko tiedon elinkaaren ajan. Turvallinen tietojenkäsittely käsittää tiedon sen kaikissa muodoissa, (paperinen, puhuttu ja sähköinen). Erityistä huomiota kiinnitetään kolmannelta osapuolelta hankittavien palveluiden tietoturvaan. Onnistuneen tietoturvapolitiikan ehdoton edellytys on ylimmän johdon, esimiesten ja käyttäjien sekä luottamushenkilöiden sitoutuminen tietoturvapolitiikkaan ja käytännön tietoturvatyöhön. Organisaatiolle laaditaan vuosittain tietotilinpäätös, joka on osa tietojohtamista, riskienhallintaa ja sisäistä valvontaa.

8 Tietoturva kuuluu kaikille. Tietoturva näkyy jokaisen arjessa annettujen ohjeiden ja käytäntöjen noudattamisena. Oulaisten kaupungilla on matalan ilmoittamisen malli, jossa pienetkin epäilykset tietoturvan vaarantumisesta tai rikkomisesta tulee ilmoittaa. Tietoturvatyöryhmä käsittelee ilmoitukset. Toiminnassa ei etsitä syyllisiä. Tietoturvatyössä etsitään ja korjataan ongelmia sekä minimoidaan ja ennaltaehkäistään riskejä. 5. Vastuut Jokainen käyttäjä on organisaation tärkein tietoturvasta vastaava henkilö. Tietoturva ja tietoturvallisen työtavan noudattaminen kuuluvat kaikille. Jokainen vastaa omalta osaltaan omasta tietoturvallisesta toiminnasta, annettujen ohjeiden ja tietoturvapolitiikan noudattamisesta sekä järjestettyihin koulutuksiin osallistumisesta. Jokainen on velvollinen ilmoittamaan havaitsemastaan tietoturvapoikkeamasta esimiehelleen ja ICT-vastaaville. Tarkempi ohjeistus käyttäjälle on määritelty henkilöstön tietoturvaohjeessa. Esimiehet vastaavat oman toimialansa tietoturvasta ja tietoturvapolitiikan noudattamisesta. Esimiehet huolehtivat, että käyttäjien kanssa on tehty asianmukaiset ja voimassa olevat vaitiolo- ja salassapitosopimukset. Käyttäjien tarvitsemien käyttöoikeuksien ja käyttäjätunnusten anominen ja organisaation palveluksesta poistuvien käyttäjien ilmoittaminen ylläpidolle kuuluu esimiesten vastuulle. Pääkäyttäjät nimetään jokaiselle käytettävälle tietojärjestelmälle. Tietojärjestelmien pääkäyttäjien vastuulla on sovellusten käytettävyydestä, kehittämisestä, käyttöoikeuksista ja järjestelmän tietoturvasta huolehtiminen. Muutoksista ja päivityksistä tiedottaminen on myös pääkäyttäjän vastuulla. Tietosuojavastaava on organisaation erityisasiantuntija, joka auttaa rekisterinpitäjää saavuttamaan hyvän henkilötietojen käsittelytavan ja lakien edellyttämän tietoturvatason. Asiakirjojen hallintaan ja laatuun liittyvät vaatimukset ovat osa tietoturvaa. EU:n tietosuojaasetus velvoittaa nimeämään tietosuojavastaavan. Tietosuojavastaavan nimeää kaupunginhallitus.

9 Arkistonhoitaja vastaa arkistoitavien asiakirjojen käytettävyydestä, säilymisestä ja lainmukaisesta säilytyksestä. Arkistonmuodostamissuunnitelmassa huomioidaan arkistotoimen ja tietoturvan vaatimukset. Rekisterinpitäjänä kaupunki on vastuussa siitä, ettei henkilötietoja käsitellä ilman laillista perustetta. Rekisterinpitäjä huolehtii henkilötietojen asianmukaisesta ja tietoturvallisesta käsittelystä. Henkilötietojen käsittely on aina tarkoitussidonnaista, joka on määritelty etukäteen. Rekisterinpitäjän tietosuojavelvollisuudet koskevat kaikkia organisaation käsittelemiä henkilötietoja. Rekisterinpitäjällä on velvollisuus ilmoittaa ilman aiheetonta viivästystä valvontaviranomaisille havaituista henkilötietojen tietoturvaloukkauksista. Tietoturvatyöryhmä vastaa tietoturvapolitiikan ajan tasalla pitämisestä sekä tietoturvapoikkeamien käsittelystä. Tarvittaessa tietoturvatyöryhmä laatii esiin tulleiden tapausten perusteella vaadittavat korjaustoimenpiteet. Tietoturvatyöryhmän jäsenet nimeää kaupunginhallitus. Tarvittaessa työryhmää voidaan täydentää tarpeelliseksi katsotuilla henkilöillä. Kaupunginjohtaja ja kaupunginhallitus johtavat ja valvovat tietoturvaa. Ylin johto määrittelee turvallisuuden keskeiset periaatteet osana toiminta- ja tietoturvaohjelmaa. Kaupunginhallitus hyväksyy Oulaisten kaupungin tietoturvapolitiikan ja tietoturvaperiaatteet. Kaupunginhallitus nimittää tietoturvatyöryhmän sekä ohjaa ja ohjeistaa työryhmän toimintaa tarvittaessa. Tietoturvan tarvitsemat resurssit varataan vuosittain talousarvioon. Kaupunginhallitus ja tietoturvatyöryhmä valvovat ja seuraavat tietoturvapolitiikan toteutumista ja kehittävät tietoturvapolitiikkaa pitkäjänteisesti.

10 6. Ulkoistukset ja yhteistyökumppanit Oulaisten kaupungin tietoturvapolitiikkaa sovelletaan myös sidosryhmiin, kuten vuokratyövoimaan, alihankkijoihin ja konsultteihin. Hankintoja tehdessä tietosuojan vaatimukset asetetaan jo tarjouspyynnössä ja ne ovat osa tarjouspyynnön perusteella tehtävää sopimusta. Tarvittaessa toimijoilta vaaditaan salassapitosopimus. 7. Toteutus Tietoturvaa ylläpidetään hallinnollisin, fyysisin ja teknisin menetelmin. Jatkuva kehitys varmistetaan riittävällä resursoinnilla. Tietoturvakartoitusten avulla tunnistetaan tietoaineistot ja tietojärjestelmät sekä arvioidaan tietoaineistoon ja tietojen käsittelyyn liittyvät riskit. Kartoituksen tulosten pohjalta kehitetään menetelmät ja toimintatavat riskien minimoimiseksi. Tietojärjestelmälistaus sisältää tarkemman kuvauksen tietojärjestelmistä. Tarvittaessa kaupungin tietojenkäsittelyä ja tietojärjestelmien tietoturvan tasoa arvioidaan ulkoisen tarkastuksen kautta. Tietoturvaa kehitetään aktiivisesti. Kehitystyössä otetaan huomioon erilaiset sidosryhmät, kuten palvelujen toimittajat. Henkilökunnalle kohdennetulla ohjeistuksella, koulutuksella ja tiedottamisella varmistetaan henkilökunnan riittävät valmiudet tietoturvalliseen työskentelytapaan. Tarvittaessa voidaan tehdä sisäisiä tarkastuksia tietoturvakäytäntöjen käyttöönotosta ja niiden ymmärtämisestä toiminnassa.

11 8. Seuranta Seurantaa toteutetaan sekä teknisin että hallinnollisin menetelmin. Tietoturvapolitiikan toteutumista seurataan tietotilinpäätöksellä. Tietotilinpäätös toimitetaan tiedoksi kaupunginhallitukselle vuosittain. Tietotilinpäätös sisältää vuoden aikana henkilökunnalle järjestetyt koulutukset, koulutukseen osallistuneiden määrän, tietoturvatyöryhmän kokoontumiset, ilmoitetut ja havaitut tietoturvapoikkeamat sekä tietosuojaan vaikuttavat hankkeet ja niiden sen hetkiset tilanteet. Teknisenä seurantamenetelmänä on kattava järjestelmien lokilistaus. Oulaisten kaupungin tietojärjestelmiä ja toimintatapoja arvioidaan omavalvonnan ja sisäisen tarkastuksen keinoin. Tarvittaessa käytetään ulkopuolisia toimijoita. Ilmoitetut ja havaitut tietoturvapoikkeamat rekisteröidään ja käsitellään tietoturvatyöryhmässä.

12 LIITTEET Henkilöstön tietoturvaohje Sosiaalisen median käyttöohje Tietojärjestelmälistaus Tietojärjestelmän toipumissuunnitelma Tietotilinpäätöspohja Toimintaohje tietomurron sattuessa Lakilinkit

13 Oulaisten kaupungin sosiaalisen median käyttöohje Luotu

14 Sosiaalisen median käyttöohje Ohje sisältää Oulaisten kaupungin sosiaalisen median ja internetin käytön pelisäännöt. Perusteena on sosiaalisen median luonteesta johtuva tietosuojariski sekä siihen tarpeettomasti kuluva työaika. Sosiaalisella medialla tarkoitetaan internetpalveluita, joissa yhdistyvät käyttäjien välinen kommunikointi ja oma sisällön tuotanto. Niitä ovat esimerkiksi internetyhteisöt (esim. Facebook, IRC-Galleria), blogi-kirjoitukset (esim. Blogger, Vuodatus), mikroblogit (esim. Twitter, Qaiku), mediapalvelut (esim.youtube) Internetin käyttö Oulaisten kaupungin Internet-yhteys on tarkoitettu työtehtävien hoitamiseen työaikana. Internetistä löytyy nopeasti monipuolista tietoa ammatillisiin tarkoituksiin. Sosiaalista mediaa saa käyttää työtehtävien hoitoon, jos käyttö on perusteltua ko. välineitä käyttävään henkilöstö-/työryhmään kuulumisen vuoksi. Luvan käyttämiselle antaa esimies. Sosiaalisen median järjestelmiä käytettäessä ei saa olla kirjautuneena muiden ohjelmiin ja selaimen muistin on oltava nollattuna. Oulaisten kaupungin nimissä perustetut sosiaalisen median ryhmät hyväksyy Oulaisten kaupungin viestinnästä vastaava henkilö. Ryhmän perustaja vastaa perustamastaan tietosisällöstä, huolehtii sen tietosuojasta ja että viestintä on asianmukaista eikä loukkaa kenenkään yksityisyyttä eikä Oulaisten kaupungin imagoa. Potilaiden ja asiakkaiden tietosuojan piiriin kuuluvista tai muista salassa pidettävistä asioista ei saa kertoa sosiaalisessa mediassa työaikana eikä työajan ulkopuolellakaan. Tämä koskee myös sähköpostin käyttöä. Vaikka asia olisi tullut vireille sähköpostin kautta, on viestiin vastaamisessa muistettava, ettei normaali sähköposti ole virkamieskäyttöön tarkoitettu suojattu systeemi. Jos työtehtävät vaativat salassa pidettävien tietojen lähettämistä sähköpostilla, henkilölle on mahdollista hankkia sähköpostiin maksullinen turvapostiominaisuus. Salassapitovelvollisuus ei lakkaa silloinkaan, kun henkilö siirtyy tai jää pois kaupungin palveluksesta. Yksityiskäyttö Kun kaupungin työntekijät käyttävät sosiaalista mediaa yksityishenkilöinä vapaa-aikanaan, he eivät ole työnantajansa virallisia edustajia, eikä heidän kannanottonsa muodosta kaupungin virallista kantaa käsiteltävinä oleviin asioihin. Yksityishenkilöinäkin kaupungin työntekijä voidaan yhdistää työrooliinsa, työyhteisöönsä ja työnantajaansa, joka on syytä ottaa huomioon sosiaalista mediaa käytettäessä. Seuraamukset väärinkäytöksestä Noudatetaan työsopimuslain ja viranhaltijalain mukaisia määräyksiä. Seuraamuksina väärinkäytöstä voivat olla varoitus ja pahimmassa tapauksessa irtisanominen.

15 TIETOTILINPÄÄTÖS Tässä tietotilinpäätöksessä raportoidaan Oulaisten kaupungin tietosuojaan ja tietoturvaan liittyvien kehittämistoimenpiteiden toteutumista ja kehittämissuunnitelmia seuraavalle vuodelle. Tietosuojan ja tietoturvan tilanne 2018 Tietosuojavastaava on nimetty ja ilmoitettu tietosuojavirastoon. Oulaisten kaupunki on yhteistyössä muiden alueen kuntien kanssa palkannut yhteisen tietosuoja-asiantuntijan Joki-ICT:ltä. Kehitämme tietosuojaa jatkuvasti yhteistyössä tietosuoja-asiantuntijamme ja alueen kuntien kanssa. Koko henkilökunnalle on annettu koulutus tietosuoja-asetuksen (EU, 679/2016) vaikutuksista henkilötietojen käsittelyyn kuntien eri toimialoilla (koulutuspäivät ). Tietosuoja-asetuksen vaikutus kuntien hallinnossa, Tietosuojauudistuksen vaikutukset terveydenhuollossa ja Tietosuoja-asetuksen vaikutus opetuksessa. Osanottajalista on tallennettu. Tietosuojaselosteita on päivitetty vastaamaan tietosuoja-asetusta (EU, 679/2016), työ jatkuu vielä vuonna Useimmat tietosuojaan ja tietoturvaan liittyvät ohjeet ja asiakirjat on päivitetty ja menossa kaupunginhallituksen hyväksyntään. Ne tullaan katselmoimaan vähintään kerran vuodessa tietotilinpäätöksen yhteydessä ja päivitetään tarvittaessa laki-, tietojärjestelmä tai sisäisten prosessimuutosten yhteydessä Tilastot tai muut seurannan tulokset päätöksentekoa varten Tietosuojaloukkauksia on havaittu 0 kpl, joista 0 on ilmoitettu tietosuojavirastoon. Suunnitelmat vuodelle 2019 Päivitetään tietoturvaan ja tietosuojaan liittyvät asiakirjat (Liite 1) Käynnistetään tietoturvapoikkeaman käsittelyprosessin käyttöönotto.

16 Liite 1 Asiakirja Tietoturvallisuudessa sovellettavat lait v1 * Tietotilinpäätösraportti Katselmointi Pvm, nimi Päivitys Pvm, ylläpitäjän nimi Hyväksyntä Pvm ja hyväksyjä Asiakastietojen käsittely v1 * Salassapitovelvollisuus v1 * Käyttöoikeuslomake (sisältää tietoturva ja tietosuojasitoumukset) Koulutuksien seuranta - raportti Tietoturva ohjeistus v1 * Tietoturvan ja tietosuojan tarkistuslista * Tietoturvaan ja tietosuojaan liittyvät vastuut * Sähköposti v1 Lokienhallintasuunnitelma

17 TIETOTURVAPOLITIIKAN LAKILINKIT Arkistolaki (831/1994) Henkilötietolaki (523/1999) Kuntalaki (410/2015) Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003) Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista (617/2009) Laki viranomaisten toiminnan julkisuudesta (621/1999) Laki yksityisyyden suojasta työelämässä (759/2004) Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999) Rikoslaki (39/1889, 38 luku tieto- ja viestintärikoksista) Sähköisen viestinnän tietosuojalaki (516/2004) Tietoyhteiskuntakaari (917/2014) Tekijänoikeuslaki (404/1961) Valmiuslaki (1552/2011) Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010)