1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

Transkriptio

1 1 (9) Rauman kaupunki Tietoturvapolitiikka Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

2 2 (9) Sisällys 1. Johdanto Tietoturvapolitiikan tarkoitus Ketä tämä tietoturvapolitiikka koskee Tietoturvallisuus Kokonaisturvallisuus Tietoturvatavoitteet Organisointi, roolit ja vastuut Tietojärjestelmien käyttö, hallinta ja seuranta Tietoturvallisuuden seuranta ja kehittäminen... 8

3 3 (9) 1. Johdanto 2. Tietoturvapolitiikan tarkoitus Rauman kaupungin toiminta ja palvelut tukeutuvat vahvasti tietojärjestelmiin sekä eri muodoissa olevaan tietoon. Lisäksi palveluiden käyttäjien liittymäpinnat tietoon, järjestelmiin ja palveluihin tulevat lisääntymään entisestään. Tämän vuoksi nopeasti saatavilla oleva, ajantasainen ja luotettava tieto on entistä tärkeämpää. Kaupungin hallinnoimiin tietojärjestelmiin tallennetun tiedon rinnalle ovat tulleet erilaiset henkilökohtaiset tallennusmediat, tabletit ja älypuhelimet, sekä ulkoisissa tietoverkoissa toimivat palvelut ja sosiaalinen media. Niiden kaikkien avulla tieto voi levitä tarkoituksella ja tahattomasti myös niille tahoille, jotka eivät alkujaan olleet kyseiseen tietoon oikeutettuja. Valtaisan sähköisen tietomäärän lisäksi Rauman kaupungin hallussa on myös mittavasti muissa muodoissa olevaa tietoa. Kaikki nämä asiakirjat, sopimukset, lomakkeet ja ohjeet tulee turvata asianmukaisesti ja yhtenäisten käsittelysääntöjen mukaisesti. Rauman kaupungin johto on linjannut, ja kaupunginhallitus hyväksynyt, tässä tietoturvapolitiikassa kuvatut Rauman Tarinasta johdetut periaatteet. Tietoturvapolitiikka määrittelee tietoturvallisuuteen liittyvät keskeiset periaatteet, tavoitteet ja vastuut Rauman kaupungissa. Toisin sanoen, Rauman Tarinan tavoin, tämä politiikka antaa tietoturvatyölle alun ja kertoo suunnan sekä keskeiset linjaukset. Rauman kaupungin merkittävimpänä tietoturva-asiakirjana tietoturvapolitiikka toimii perustana täydentäville politiikoille, periaatteille ja ohjeille, jotka voivat tarkentaa yksityiskohtaisemmin tässä politiikassa annettuja periaatteita ja määräyksiä. Tämä politiikka toimii myös konkreettisena ohjenuorana kaupungin tietoturvatyölle joka on tärkeä osa päivittäistä toiminnan ja palveluiden laatua. Tärkeintä tietoturvatyössä on koko henkilöstön asenne ja käytännön toiminta. Vain tällä tavoin turvallisuuskulttuuri saadaan kiinteäksi osaksi kaupungin toimintakulttuuria, kuten Tarinassa sanotaan. Tietoturvatyö tarkoittaa halutun tietoturvallisuuden ja -suojan tason saavuttamiseksi tehtävien toimenpiteiden suunnittelua ja niiden käytännön toteuttamista. Tämä työ kattaa kaikki tietojen turvaamisen menetelmät, välineet, toimenpiteet, määräykset, ohjeistuksen, koulutuksen ja viestinnän. Lisäksi se tarkoittaa varautumista erilaisiin uhkatilanteisiin sekä sovittujen toimintatapojen noudattamista. Rauman kaupungin tehtävänä on osoittaa tarvittavat resurssit tähän työhön.

4 4 (9) 3. Ketä tämä tietoturvapolitiikka koskee 4. Tietoturvallisuus Tämä tietoturvapolitiikka koskee: jokaista Rauman kaupungin kanssa palvelussuhteessa olevaa työntekijää, viranhaltijaa ja määräaikaista henkilöä sekä luottamushenkilöä ja yhteistyökumppania sekä kaikkea Rauman kaupungin käyttämää, omistamaa ja hallinnoimaa tietoa riippumatta tiedon esitystavasta tai tiedon elinkaaren vaiheesta. Yllä mainittujen henkilöiden on tunnettava tämän tietoturvapolitiikan sisältö ja noudatettava sen periaatteita. Politiikka saatetaan koko henkilöstön tietoon kaupungin normaalien perehdytysprosessien mukaisesti sekä pitämällä politiikka käyttäjien saatavilla intranetissä. Lisäksi palveluiden käyttäjiä pyritään ohjeistamaan tarpeen mukaan. Yhteistyökumppanien ohjeistamisesta vastaa tilaaja. Periaatteena on, että kaikki jotka käsittelevät kaupungin tietoa, ovat saaneet riittävän perehdytyksen tiedon turvalliseen käsittelyyn. Tietoturvallisuudella Rauman kaupungissa tarkoitetaan tiedon, tietojärjestelmien, tietoliikenteen ja palveluiden, sekä niiden käyttöympäristöjen turvaamista siten, että niihin kohdistuvat uhat eivät aiheuta merkittävää riskiä tiedon elinkaaren missään vaiheessa. Periaatteena on, että tietoturvallisuus on kiinteä osa Rauman kaupungin palveluita ja toimintaa, sekä jokaisen käyttäjän työtapoja. Toteutuakseen tehokkaasti käytännössä, tietoturvallisuus vaatii tiedon luottamuksellisuuden, eheyden, saatavuuden ja tarvittaessa myös kiistämättömyyden toteutumista. Luottamuksellisuus Tieto on vain tietoon oikeutettujen käyttäjien ja tietojärjestelmien käytettävissä sovituilla tavoilla ja sovittuun aikaan Tietoa ei paljasteta tai muutoin saateta sivullisten tietoon Eheys Tieto on koko elinkaaren ajan luotettavaa, oikeellista ja ajantasaista Tieto ei pääse muuttamaan tahallisesti tai tahattomasti, eikä se voi muuttua laitteistosta tai ohjelmistosta johtuvan vian tai teknisen häiriön seurauksena Saatavuus

5 5 (9) 5. Kokonaisturvallisuus Tiedon, tietojärjestelmän tai palvelun tulee olla siihen oikeutettujen henkilöiden ja tietojärjestelmien saatavilla sekä käytettävissä silloin kun sitä tarvitaan Kiistämättömyys Tietoon kohdistuvat käsittelytoimenpiteet suoritetaan siten, että käsittelyn osapuolet voidaan aina yksiselitteisesti tunnistaa sekä toimenpiteiden aikana että jälkikäteen koko tiedon elinkaaren aikana Rauman kaupungin ympäristössä tietoturvallisuus kattaa myös tietosuojan. Tietosuojalla tarkoitetaan henkilön yksityisyyden suojaamista henkilötietolain määrittelemien henkilötietojen käsittelyssä niin, että nämä tiedot suojataan ilman valtuuksia tapahtuvalta tai kyseistä henkilöä vahingoittavalta käsittelyltä. Tietosuojan tehtävänä on turvata henkilön yksityisyys ja oikeusturva. Kaupungin palveluiden käyttäjiä koskevat yksilöivät henkilötiedot ovat Rauman kaupungin keskeisimpiä suojattavia tietoja ja vaativat siten tiedon käsittelijöiltä erityistä huomiota. Rauman kaupungin tietoturvatyötä ohjaavat Rauman Tarinasta johdettujen vaatimusten lisäksi, soveltuvilta osin Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) ohjeistus ja Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010). Tietoturvallisuus on kiinteä osa Rauman kaupungin kokonaisturvallisuutta. Kokonaisturvallisuus koostuu alla kuvatuista turvallisuuden, riskienhallinnan sekä varautumisen ja jatkuvuudenhallinnan osa-alueista. Kuva 1: Rauman kaupungin kokonaisturvallisuus Turvallisuus Turvallisuuden toteutumista johdetaan, toisin sanoen ohjataan ja seurataan sekä kokonaisuutena että kaikilla turvallisuuden osa-alueilla. Henkilöstöturvallisuus on henkilöstöön kohdistuvien ja henkilöstöstä aiheutuvien riskien hallintaa. Henkilöstöturvallisuuteen vaikutetaan palvelussuhdetta solmittaessa, sen aikana ja palvelussuhteen päätyttyä.

6 6 (9) Fyysinen turvallisuus sisältää toimenpiteet, järjestelmät ja rakenteet, joiden avulla kaupungin tiloja, ihmisiä, tietoa ja muuta omaisuutta suojataan erilaisilta vahingoilta ja vahingoittamisyrityksiltä. Riskienhallinta Riskienhallinnan avulla palveluihin, toimintaan ja tietoon kohdistuvia riskejä hallitaan järjestelmällisesti. Riskienhallintakäytäntöjen tavoitteena on riskien rajoittaminen hyväksyttävälle tasolle niin, että käytetyt keinot ovat suhteessa palvelun ja toiminnan kriittisyyteen ja arvioidun riskin suuruuteen. Riskienhallinta kuuluu jokaisen kaupungin työntekijän vastuulle. Varautuminen ja jatkuvuudenhallinta Rauman kaupunki ylläpitää tarvittavia valmiuteen, jatkuvuuteen ja toipumiseen liittyviä suunnitelmia turvatakseen toimintansa ja palveluidensa jatkuvuuden normaalioloissa, normaaliolojen häiriötilanteissa sekä poikkeusoloissa. 6. Tietoturvatavoitteet 7. Organisointi, roolit ja vastuut Rauman kaupungin tavoitteena on saavuttaa Tietoturvallisuusasetuksen (681/2010) kuvaaman tietoturvallisuuden perustason vaatimukset kaupungin laajuisesti. Tavoitteeseen pyritään seuraavilla toteutuksilla: Koko Rauman kaupungin henkilökunnalla on ajan tasalla oleva ja riittävä tietoturvallisuus- ja tietosuojaosaaminen tehtäviensä suorittamiseksi. Tekniset ja hallinnolliset tietoturvajärjestelyt ovat ajan tasalla ja täyttävät keskeisiltä osin perustason vaatimukset. Tietoturvapoikkeamia kyetään seuraamaan ja hallitsemaan. Tietoturvallisuuden toteuttaminen on jatkuvaa, laaja-alaista ja kaikkien Rauman kaupungin toimijoiden vastuulle kuuluvaa toimintaa. Tietoturvatyö on organisoitu ja vastuutettu seuraavasti: Kaupunginhallitus Rauman kaupungin ylin tietoturvasta, riskienhallinnasta ja varautumisesta päättävänä taho Tietoturvapolitiikan hyväksyntä Tietohallinto Tietoturvallisuuden tekninen toteutus, ohjaus, valvonta ja kehittäminen Teknisten tietoturvavaatimusten määritteleminen

7 7 (9) Henkilöstöpalvelut Henkilöstöturvallisuuden ohjaus ja koordinointi palvelussuhteen kaikissa vaiheissa Kaupunginarkisto Kirjallisen tietoaineiston käsittelyn kehittämisen ja tietoturvallisuuden toteuttamisen ohjaaminen Kirjallisten tietoaineistojen hallinnan edellyttämien arkistonmuodostussuunnitelmien hyväksyntä Kaupunginarkistolle luovutetun, pitkän ajan ja pysyvästi säilytettävän, tietoaineiston tietoturvallisuuden toteuttaminen Kaupunginjohtaja Kaupungin tietoturvallisuuden järjestäminen ja edellytysten luonti Tiedon ja tietojärjestelmien käyttäjät Vastuullinen ja tietoturvaohjeiden ja -määräysten mukainen toiminta Tietoturvapoikkeamien, uhkien ja riskien välitön ilmoittaminen esimiehelle, Helpdeskille tai tietohallintopäällikölle Tietojärjestelmän ja palvelun omistaja Pääkäyttäjän ja tarvittavien varapääkäyttäjien nimeäminen Käyttäjien ja käyttöoikeuksien hyväksyntä ja seuranta Riskien- ja jatkuvuudenhallintatoimenpiteiden toteuttaminen omalta osaltaan Pääkäyttäjä Valvoo tietoturvallisuuden toteutumista omalla vastuualueellaan. Pääkäyttäjä huolehtii sovelluksen ylläpitotoiminnoista ja varmistaa, että järjestelmää käytetään lakien, säädösten ja ohjeiden mukaisesti. Tietohallintopäällikkö Koordinoi tietoturvatyötä suunnittelujohtajan alaisuudessa. Tietosuojavastaava Tietosuojaan liittyvä koordinointi ja operatiiviset tehtävät sosiaali- ja terveystoimessa Hallintokunnan johtaja Tietoturvallisuuden toteuttaminen omassa organisaatiossaan (mm. resurssit, ohjeistaminen, koulutus, määrärahat) tietoturvapolitiikan ja yhteisten linjausten pohjalta Tietoturvallisuuden huomioiminen hankkeissa Oman hallintokunnan tietoturvalinjausten ja -määräysten hyväksyminen sekä toteutumisen seuranta

8 8 (9) Esimies Tietoturvallisuuden toteutuminen omassa vastuunalaisessa toiminnassa 8. Tietojärjestelmien käyttö, hallinta ja seuranta Kaikki Rauman kaupungissa käytössä olevat ICT -palvelut, -sovellukset, -järjestelmät ja -laitteet, mukaan lukien mobiililaitteet, on tarkoitettu työtehtävien hoitamista varten. Kaupungin tietojärjestelmiä ja laitteistoa ei saa käyttää sellaiseen toimintaan, mikä voi, välittömästi tai välillisesti, vaarantaa kaupungin vastuulla olevan tiedon ja/tai järjestelmien tai laitteiden turvallisuuden ja aiheuttaa näin haittaa kaupungille tai sen toiminnalle. Tietojärjestelmiä, laitteita ja ohjelmistoja Rauman kaupungin tietoverkkoon saa liittää ja asentaa vain kaupungin tietohallinto tai sen valtuuttama taho. Tietoturvallisuuteen liittyviin väärinkäytöksiin puututaan viipymättä kaupungin normaalein kurinpitomenettelyin. Henkilö syyllistyy tietoturvarikkomukseen, jos hän rikkoo tietoturvaohjeistusta työssään tai syyllistyy tiedon käsittelyn suhteen laissa määriteltyyn rikokseen. Jokainen Rauman kaupungin työntekijä on vastuussa työtehtäviinsä liittyvästä tietoturvallisuudesta ja myös sen rikkomisen ilmoittamisesta. Tietohallinto toteuttaa tietoturvallisuuden teknistä valvontaa kaupungin tietojärjestelmäympäristössä yhteistoimintaneuvotteluissa sovituin menetelmin. 9. Tietoturvallisuuden seuranta ja kehittäminen Rauman kaupungin tietoturvallisuutta johdetaan ja toteutetaan seuraavien kokonaisturvallisuusprosessissa kuvattujen vaiheiden mukaisesti (Kuva 2). SUUNNITTELU -vaiheessa analysoidaan ja arvioidaan tietoturvallisuuden nykytilaa sekä luodaan ja ylläpidetään politiikkoja, periaatteita ja suunnitelmia. TOTEUTUS -vaiheessa Suunnittelu -vaiheen tuotokset otetaan käyttöön kaupunkiorganisaation toiminnassa. SEURANTA perustuu sovittuihin raportointi- ja tarkastuskäytäntöihin, joiden avulla tietoturvallisuuteen liittyviä käytäntöjä, tavoitteiden toteutumista ja järjestelyjen riittävyyttä seurataan säännöllisesti. Seuranta -vaiheessa esille tulleet seikat, kuten asetettujen tavoitteiden saavuttaminen, huomioidaan tietoturvallisuuden kehitystyössä.

9 9 (9) Tarvittavat kehitys- ja korjaustoimet saatetaan voimaan MUUTOSHALLINTA - vaiheessa, joka toteutetaan kaupungin normaalien muutoshallintakäytäntöjen mukaisesti. Kuva 2: Rauman kaupungin kokonaisturvallisuusprosessi