Itä-Savon sairaanhoitopiirin kuntayhtymän KYS erityisvastuualue-tasoinen Tietosuoja- ja tietoturvapolitiikka - Tietoturvallisuuden osa-alueet

Transkriptio

1 Sivu 1 / 15 Itä-Savon sairaanhoitopiirin kuntayhtymän KYS erityisvastuualue-tasoinen Tietosuoja- ja tietoturvapolitiikka - Tietoturvallisuuden osa-alueet Sisällys LIITE 1 TIETOTURVALLISUUDEN OSA-ALUEET Hallinnollinen turvallisuus Ohjelmistoturvallisuus Tietoaineistoturvallisuus Käyttöturvallisuus Laitteistoturvallisuus Fyysinen turvallisuus Tietoliikenneturvallisuus Henkilöstöturvallisuus... 8 LIITE 2 VELVOITTEET... 9 Ulkoiset velvoitteet:... 9 Sisäiset velvoitteet:... 9 LIITE 3 LAINSÄÄDÄNTÖ Tietoturvan lainsäädännöllinen perusta LIITE 4 TIETOTURVALLISUUDEN ORGANISOINTI JA VASTUUT... 11

2 Sivu 2 / 15 LIITE 1 TIETOTURVALLISUUDEN OSA-ALUEET 1. Hallinnollinen turvallisuus Hallinnollisella tietoturvallisuudella tarkoitetaan tietoturvallisuustoiminnan järjestelyjen, henkilöstön tehtävien ja vastuiden sekä ohjeistuksen, koulutuksen ja valvonnan muodostamaa kokonaisuutta. Sen tarkoituksena on luoda organisaatioon tietoturvastrategia ja tietoturvalliset toimintatavat luonnolliseksi osaksi kaikkea toimintaa. Toimintamallien pohjalta luodut henkilöstön koulutusjärjestelyt sekä ohjeistus-, valvonta- ja tarkastusmenettelyt ovat välttämättömiä tietoturvallisuuden kehittämiseksi ja ylläpitämiseksi. Tietoturvan kehittäminen ja ylläpito ovat puolestaan osa organisaation yleistä turvallisuustoimintaa, riskien hallintaa ja sisäistä valvontaa. Hallinnollisen turvallisuuden perustaso edellyttää, että terveydenhuollon tietoturvaperiaatteet on hyväksytty tietoturva- ja toipumissuunnitelmat on laadittu tietoturvakoulutus on organisaatiossa jatkuvaa ja systemaattista tietoturvavastuut ja -tehtävät on määritelty tietoturvatehtäviin on nimetty vastuuhenkilöt ja heille varamiehet Hallinnollinen tietoturvallisuus on kaikkien muiden tietoturvallisuuden osa-alueiden toteutuksen ja määrittelyn perusta. Sen avulla määritellään tietoturvallisuuden suuntaviivat ja turvallisuutta parantavat toimenpiteet. Tietoturvan hallinnassa otetaan huomioon sairaanhoitopiirissä olevat laatujärjestelmän vaatimukset ja vaikutukset silloin kun laatujärjestelmä on käytössä. Palveluja ulkoistettaessa palvelun toimittajia vaaditaan noudattamaan sairaanhoitopiirin tietosuoja- ja tietoturvapolitiikkaa, tähän liittyviä käytäntöjä sekä ohjeita. Myös ulkoistetuilta palveluilta edellytetään sairaanhoitopiirin laadunhallintajärjestelmän olemassaoloa, mikäli sellainen on sairaanhoitopiirissä käytössä. Sopimuksissa turvataan jatkossa ulkoistettujen palvelujen auditointimahdollisuus. Hallinnollisessa tietoturvassa päämääränä on luoda organisaatioon toimintatapa, jolla pystytään välttämään tietoturvariskit. Riskejä hallitaan erikseen määriteltävän ja kuvattavan riskienhallintaprosessin avulla. Hyväksyttävän riskitason määrittelee sairaanhoitopiirin johto riskianalyysin perusteella ja yhteisesti valmisteltujen kriteeristöjen ja mittarien avulla. 2. Ohjelmistoturvallisuus Ohjelmistoturvallisuudella tarkoitetaan käyttöjärjestelmien, varus- ja työkaluohjelmistojen sekä muiden ohjelmistojen ja sovellusten tunnistautumis- ja suojausominaisuuksia, valvonta- ja lokimenettelyjä sekä ohjelmistojen määrittelyyn, suunnitteluun, kehittämiseen ja hankintaan sekä ylläpitoon ja päivitykseen liittyviä turvallisuustoimenpiteitä (mm. versiointi, lisensointi ja muutoksenhallinta).

3 Sivu 3 / 15 Sairaanhoitopiiriin hankittaville ohjelmistoille ja tietojärjestelmille on asetettu tietoturvallisuuteen ja yhteensopivuuteen liittyvät vaatimukset. Nämä on kuvattu tietosuoja- ja tietoturvapolitiikassa, kokonaisarkkitehtuurikuvauksessa ja muissa organisaation toiminnan vaatimuksia kuvaavissa dokumenteissa. Hankinnoissa on syytä asettaa etusijalle järjestelmät, jotka toteuttavat kansallisesti tai kansainvälisesti määriteltyjä standardoituja toiminnallisuuksia tai rajapintoja. Hankinnoissa tulee huomioida toiminnalle ja käsiteltävälle tiedolle asetetut lainsäädännölliset ja kansalliset vaatimukset. Ohjelmiston suunnittelijan, valmistajan ja myyjän vastuu ohjelmistotuotteista määräytyy hankinta- ja käyttöoikeussopimusten mukaan. Sairaanhoitopiirin ohjelmistoturvallisuuden perustaso edellyttää, että sairaanhoitopiirin tietojärjestelmien ylläpidosta huolehditaan ohjelmistotoimittajien kanssa tehtyjen ylläpitosopimusten mukaisesti. ohjelmistotoimittajilta vaaditaan tuotteelleen tietoturva/-suojaselvitys, tietoturvasuunnitelma/kuvaus sekä ICT -valmiussuunnitelma (toiminta poikkeusoloissa/sopimukset) järjestelmämuutoksia varten järjestelmän omistaja kartoittaa käyttäjien toiveet, vie tulevat muutokset muutoksenhallintakäsittelyyn sekä tekee testaussuunnitelman ja aikataulun. Järjestelmän omistaja kuvaa testaussuunnitelmassa testaukseen valtuutetut (esim. pääkäyttäjät, ohjelmistotoimittajat, ICT palveluntuottajat), testauksen tyypit ja vastuut (omistaja: toiminnallinen testaussuunnitelma, ohjelmistotoimittaja: tekninen testaussuunnitelma) sekä kriteerit joilla testaus katsotaan hyväksytyksi. tietoturvapäivityksien kriittisyys arvioidaan riskianalyysin mukaisesti ja päivitykset toteutetaan hätä-, standardi- tai normaalimuutoksena. Sairaanhoitopiirissä on määritelty ohjelmistojen käyttöön liittyvät velvollisuudet: ohjelmiin kuuluvat alkuperäiset dokumentit ja/tai käsikirjat on talletettu huolellisesti ja niiden sijainti on tiedossa erilliset operointikansiot säilytetään tietohallintoyksikössä kaikki ohjelmamuutokset/päivitykset käsitellään organisaation muutostenhallintaprosessin mukaisesti ja tiedotetaan viestintäsuunnitelmassa kuvatulla tavalla ohjelmien kopioinnissa noudatetaan tekijänoikeuslakia ja lisensseistä pidetään kirjaa. keskuskoneilla varmuuskopiointi on sovittu järjestelmäkohtaisesti ja kopioinnista, säilytyksestä ja varmuuskopioiden palautuksen testaamisesta vastaa palvelun suorittava operaattori. Ohjeet ohjelmistojen käytöstä työasemilla: ohjelmistojen elinkaaren hallinta ja hankintojen koordinointi on keskitetty tietohallintoon. Tietohallinto hyväksyy kaikki työasemille asennettavat ohjelmat. ohjelmien asennusmediat, samoin kuin niiden kopiot, säilytetään tietoturvaohjeiden mukaisesti. työasemien käyttäjien tulee noudattaa tietojen käsittelyssä tietojen luonteelle ja sisällölle asetettuja vaatimuksia sekä organisaation omia ohjeistuksia niiden tallentamisesta ja varmuuskopioinnista pilvipalveluiden käytöstä työhön liittyvien tiedostojen tallennuspaikkana päättää tietohallinto. Sallitut tallennuspaikat tiedotetaan käyttäjille ja kirjataan tietoturvaohjeisiin. Tavoitteena on varmistaa tietojärjestelmien jatkuva toiminta ja luotettavuus.

4 Sivu 4 / Tietoaineistoturvallisuus Tietoaineistoturvallisuudella tarkoitetaan eri tallennusmuodoissa olevien tietojen suojaamista. Se koskee sekä paperiasiakirjoja että digitaalisessa muodossa olevia tallenteita, optisia ja magneettisia muistivälineitä, mikrofilmiä, äänitteitä tai muita vastaavia teknisiä laitteita. Tietoaineistoturvallisuudella varmistetaan asiakirja- ja tietoaineistojen käytettävyys, oikeellisuus, eheys, luottamuksellisuus ja salassapito elinkaaren kaikissa vaiheissa. Tietoaineistoturvallisuuteen kuuluvat ne ulkoiset normit, jotka rajoittavat tai ohjaavat tietosisällön perusteella tehtävää tietojenkäsittelyä, kuten yleiset ja/tai erityisalan lait, asetukset, viranomaismääräykset ja kansallisarkiston ohjeet. Lisäksi tietoaineiston käsittelystä tarvitaan organisaatiokohtaiset ohjeet, johon kuuluvat tietojärjestelmien käsittelysäännöt sekä tietojen ja asiakirjojen luokittelu julkisuus- ja salassapitosäännösten mukaisesti. Organisaatiolla tulee olla ajantasainen, kaikki tietoaineistot kattava tiedonohjaussuunnitelma, josta ilmenee tietoaineiston käsittelysäännöt tietojen synnystä niiden tuhoamiseen asti, turvaluokitus sekä eheyden ja käytettävyyden varmistaminen aineiston elinkaaren kaikissa vaiheissa. Luokitellun tiedon käsittelyssä huomioidaan eri turvaluokkien edellyttämät suojaustoimenpiteet. Organisaation johto vastaa henkilöstön perehdyttämisestä tietoaineistojen käsittelyohjeisiin. Tietoaineistojen tietoturvallisuuden varmistaminen koskee koko henkilöstöä ja tietoaineiston koko elinkaarta. Organisaation tietoaineistoturvallisuuden perustason edellytyksenä on, että henkilöstö tuntee ja noudattaa toiminnassaan henkilötietojen käsittelyä koskevia yleisiä periaatteita yksikkönsä toimintaa ohjaavia ja/tai rajoittavia normeja tietojärjestelmän sisältämän tietoaineiston käsittelyä koskevia turvasääntöjä tietojen ja asiakirjojen luokittelusääntöjä Kaikkia terveydenhuollossa työskenteleviä koskee vaitiolovelvollisuus ja salassapitosäännökset. Luottamuksellisia tietoja voivat käsitellä vain henkilöt, jotka tarvitsevat niitä työssään. Tietoja säilytetään ja vanhentuneet tiedot hävitetään tiedonohjaussuunnitelman mukaisesti. Huoltoon vietävästä, poistettavasta tai myyntiin luovutettavasta työasemasta poistetaan tai puhdistetaan kiintolevy aina ohjeen mukaisesti. Kokeilukäytössä olleen tutkimus- tai hoitolaitteen palautuksen yhteydessä huolehditaan tietojen poistamisesta laitteelta ohjeen mukaisesti. 4. Käyttöturvallisuus Käyttöturvallisuus koostuu järjestelmien turvallisista käyttöperiaatteista, tiedonkäytön valvonnasta sekä jatkuvuuden turvaamisesta. Käyttöturvallisuuden avulla luodaan ja ylläpidetään tietotekniikan turvallisen käytön vaatimat olosuhteet huolehtimalla tekniikan toimivuuden valvonnasta, käyttöoikeuksista, käytön ja lokien valvonnasta, ohjelmistotukeen, ylläpito-, kehittämis- ja huoltotoimintoihin liittyvistä turvallisuustoimenpiteistä, varmuus- ja

5 Sivu 5 / 15 suojauskopioinnista sekä häiriöraportoinnista. Periaatteena on luoda sellaiset menettelytavat, joilla päivittäisessä toiminnassa säilytetään tietojärjestelmien käytössä tietoturvallisuuden taso mahdollisimman hyvänä sekä asiakkaan että työntekijän kannalta. Käyttöturvallisuuden perustaso edellyttää, että organisaatiossa: on hyväksytyt asiakirjojen suojelusuunnitelmat sekä tietojenkäsittelyn toipumis- ja valmiussuunnitelmat on tietojärjestelmille nimetyt vastuu- ja varahenkilöt päivittäin hoidettavien rutiinitehtävien ohjeistukset varasuunnitelmat käyttökatkoksia varten noudatetaan turvallisuusohjeita ja käyttöoikeuskäytäntöjä tietojärjestelmiä käyttävät henkilöt tunnistetaan ja todennetaan on käytössä käyttäjätunnus-, salasana-, toimikortti- ja PIN-koodi menettelyt on ohjeistus tietokonevirusten ja haittaohjelmien torjuntaan varmistetaan ja valvotaan suojausten riittävyys väärinkäytösten ennaltaehkäisemiseksi ja paljastamiseksi varmistetaan tiedostojen sisältöjen käyttökelpoisuus ja tietojen saatavuus varmistetaan ICT-ohjelmien huollon ja ylläpidon saatavuus varmistetaan kannettavien työasemien tietosisällön turvaaminen salausohjelmistolla seurataan verkon tietoturvallisuustasoa säännöllisesti suoritetaan tietoturvapäivitykset viivytyksettä seurataan verkon liikennettä, komponenttien tilaa ja verkkoon tunkeutumista ympärivuorokautisesti sekä toteutetaan poikkeuksellisen liikenteen vaatimat toimenpiteet viivytyksettä Potilaan- ja asiakkaan tunnistaminen Toimintayksikössä tapahtuvan asioinnin yhteydessä potilas tai asiakas tunnistetaan luotettavasti viranomaisen myöntämällä asiakirjalla tai sähköisellä tunnistamismenetelmällä. Potilaan/asiakkaan tunnistamisen erityistilanteissa esim. kun otetaan kantaa hoitoon puhelimessa tai ensihoidossa (kun henkilöllä ei mukana henkilöllisyystodistuksia) tapahtuu tunnistaminen esittämällä henkilölle henkilöllisyyttä tarkentavia kysymyksiä tai potilastietojärjestelmän hallinnollisia tietoja, joiden pohjalta voidaan henkilöllisyys varmentaa. Mikäli kyseessä tunnettu potilas tai asiakas, jolloin ei ole syytä epäillä henkilöllisyyttä, erillistä tunnistamista ei tarvita. Potilaan tunnistamiseksi sairaanhoitopiirissä on käytössä tunnisteranneke kaikilla erikoissairaanhoidon ja perusterveydenhuollon vuodeosastoilla, vanhainkodeissa, palveluasumisen yksiköissä sekä erikoissairaanhoidon päivystyksessä ja leikkausosastolla Työntekijän tunnistaminen Organisaation tietojärjestelmien ja palvelujen käyttöön vaaditaan työntekijän vahva tunnistautuminen.

6 Sivu 6 / 15 Sähköinen allekirjoitus Organisaatiossa toteutetaan viranomaisen varmentamaa sähköistä allekirjoitusta aina silloin, kun se on tietoteknisesti todettu mahdolliseksi. Asiakkaan tai potilaan sähköinen allekirjoitus Organisaatiossa toteutetaan viranomaisen varmentamaa sähköistä allekirjoitusta aina silloin, kun se on tietoteknisesti todettu mahdolliseksi ja asiakkaalla tai potilaalla on viranomaisen myöntämä sähköinen allekirjoitus. Sähköinen allekirjoitus toimintayksikkö, organisaatio tai tietotekninen laite Sairaanhoitopiirissä toteutetaan viranomaisen varmentamaa organisaation sähköistä allekirjoitusta. 5. Laitteistoturvallisuus Laitteistoturvallisuudella tarkoitetaan laitteistojen suojausta, asennusta, ylläpitoa ja poistoa sekä niihin liittyvää hallinnointia, jossa määritellään laitteiden omistaja ja turvaluokka sekä laitteiden valvonta ja niiden kapasiteettien suunnittelu. Ylipäätään laitteistoturvallisuudella turvataan laitteiston elinkaarta, johon myös kuuluvat asennuksen, takuun ja ylläpidon lisäksi erilaiset tukipalvelut ja -sopimukset sekä laitteiston turvallinen poisto elinkaaren lopussa. Sairaanhoitopiirissä laitteistoturvallisuuden perustasossa edellytetään, että: tietoverkot, ICT- ja tutkimuslaitteistot on dokumentoitu ja niistä on laadittu toipumissuunnitelmat riskianalyysin pohjalta varajärjestelmien käytettävyys poikkeusoloissa on varmistettu laitteistojen fyysisen kunnon varmistamiseksi laadittuja ohjeita noudatetaan huolto- ja ylläpitosopimukset ovat ajan tasalla ja vastaavat käytettävyysvaatimuksia jokaisella laitteella on omistaja, joka vastaa laitteesta laitteet on soveltuvin osin turvamerkitty laitteista on laiterekisteri kaikki laitteet kuuluvat johonkin turvaluokkaan tietojenkäsittelykapasiteettia seurataan, suunnitellaan ja ennakoidaan laitteistojen poistamisesta on kirjalliset ohjeet ja ne vastaavat laitteistojen turvaluokitusta laitteistoilla on ajantasainen suojaus haittaohjelmia varten laitteiden tietoturvapäivityksille on olemassa dokumentoitu prosessi 6. Fyysinen turvallisuus Fyysisin turvallisuustoimenpitein luodaan ja ylläpidetään tietotekniikan vaatiman

7 Sivu 7 / 15 käyttöympäristön toimintaolosuhteet ja suojataan ja valvotaan kiinteistö, sekä varmistetaan teknisten järjestelmien toiminta. Fyysinen turvallisuus käsittää kiinteistöjen rakenteellisen turvallisuuden, valvontatekniikan kuten kulunvalvonta-, paloilmoitus-, rikosilmoitus- ja kameravalvontajärjestelmät sekä valvonnan ja vartioinnin. Fyysisen turvallisuuden lähtökohta on organisaation laatima riskianalyysi. Sairaanhoitopiirin fyysisen turvallisuuden perustaso edellyttää, että: kiinteistön toimitilat on luokiteltu turvallisuusvyöhykkeisiin fyysisten tilojen suunnittelussa otetaan huomioon tietosuoja-, tietoturva- ja työturvallisuusnäkökohdat tietoturvan kannalta oleelliset tilat pidetään lukittuna toimitilojen turvallisuus on hoidettu vartioinnilla, teknisillä hälytysjärjestelmillä tai vastaavilla toimenpiteillä korotetun suojaustason tiloissa tulee olla kulunvalvonta ja kulkuoikeudettomilla henkilöillä saattaja palvelinlaitteistot on keskitetty erityisiin atk-tiloihin, joiden rakentamisessa on noudatettu em. tiloja koskevia ohjeita tutkimuslaitteistot, verkon komponentit, kytkentätilat, työasemat ja muut automaattista tietojenkäsittelyä suorittavat laitteen on sijoitettu ja suojattu luokituksensa mukaisesti kriittiset laitteistot on merkitty yksilöidysti kriittisille laitteistoille on tehty toipumissuunnitelma ja toipumissuunnitelma on koetestettu varmuuskopiot on sijoitettu fyysisesti eri palotiloihin kaapeloinnit suoritetaan voimassa olevan yleiskaapelointiohjeen mukaisesti paikallisverkon käytönvalvonta on järjestetty paikallisverkolle on tehty toipumis- ja valmiussuunnitelmat 7. Tietoliikenneturvallisuus Tietoliikenneturvallisuus käsittää tiedonsiirtoyhteyksien käytettävyyteen, tiedonsiirron suojaamiseen ja salaamiseen, käyttäjän tunnistamiseen ja verkon varmistamiseen liittyvät turvallisuustoimenpiteet. Tietoliikenneturvallisuus voidaan jakaa kolmeen osa-alueeseen joita ovat; järjestelmänhallinta, verkonhallinta sekä siirtoteidenhallinta. Tavoitteena on estää luvaton tunkeutuminen järjestelmiin tietoverkon kautta, paljastaa tunkeutumisyritykset, estää siirrettävän tiedon joutuminen sivullisten haltuun ja tarvittaessa estää sen käyttö sekä estää väärän tiedon syöttö tietojärjestelmiin. Sairaanhoitopiirin tietoliikenneturvallisuuden perustaso edellyttää, että: tietoverkot on dokumentoitu ja niiden muutokset tapahtuu muutoksenhallintamenettelyn mukaisesti. tietoihin ja tietojärjestelmiin pääsy on tarkoin määritelty. käyttöoikeudet tarkistetaan säännöllisesti ja käyttöoikeustasot on määritelty. luvaton käyttö on estetty teknisesti. tietoliikennelokia ja käyttöhäiriöitä seurataan säännöllisesti.

8 Sivu 8 / 15 noudatetaan työasemiin asennettavien varus-, sovellus- ja tietoliikenneohjelmien osalta annettuja ohjeita. varmistetaan tietoliikenneohjelmien ja -laitteiden turvallisuus ja tietoliikenneviestiensisällön muuttumattomuus. luottamuksellisten viestien lähettäjä ja vastaanottaja todennetaan. tietosuoja- ja vastuukysymykset omassa verkossa sekä eri tietoliikenneoperaattoreiden ja huollon välillä on sovittu kirjallisesti. langaton (WLAN) tietoverkko suojataan käyttäen riittävän vahvaa salausta ja tukiasemien välistä kryptausta. verkon komponenttien tietoturvapäivitykset suoritetaan viivytyksettä. eri turvatasojen verkot on tunnistettu ja verkot eriytetty. kiinteistönvalvontaverkko on eriytetty muista tietoverkoista. verkon aktiivilaitteet on suojattu ja konfiguroitu suojaustason mukaisesti. kriittiset tietoliikenneyhteydet on kahdennettu. tietoverkoissa on mekanismi tunkeutumisen estoa ja havainnointia varten. etäkäyttöyhteyksien tietoturvan taso pitää olla käytettyjen järjestelmien luokituksen mukainen (esim. sähköpostiin ei tarvita vahvaa tunnistautumista, potilastietojärjestelmiin tarvitaan). käyttöoikeuksien valtuuttamiseen, muutoksiin ja poistamisiin on dokumentoitu prosessi. 8. Henkilöstöturvallisuus Henkilöstöön liittyvien riskien hallintaa kutsutaan henkilöstöturvallisuudeksi. Sen tavoitteena on ehkäistä henkilökuntaan suuntautuvia ja henkilökunnasta tulevia uhkia. Näitä riskejä voidaan torjua turvakartoituksilla, vastuun ja velvollisuuden selkeällä määrittämisellä, selkeillä ohjeilla toimenpiteistä kun työsuhde päättyy ja sitouttamalla henkilö tietoturvalliseen toimintaan. Lain yhteistoimintamenettelystä yrityksissä (334/2007) tavoitteena on edistää yrityksen ja sen henkilöstön välistä vuorovaikutusta. Yhteistyötoimikunta muodostuu työntekijöiden ja työnantajan edustajista. Tietoturvaan liittyvät ohjeet, sopimukset ja sanktiosäännökset on hyvä saattaa yhteistyötoimikunnan tiedoksi ja myös hyväksyttää ne siellä. Itä-Savon sairaanhoitopiirin henkilöstöturvallisuuden perustaso edellyttää, että kaikkien henkilökuntaan kuuluvien tulee suorittaa tietosuoja- ja tietoturvakoulutus joka toinen vuosi.

9 Sivu 9 / 15 LIITE 2 VELVOITTEET Ulkoiset velvoitteet: Ulkoiset velvoitteet on kuvattu dokumentissa Tietoturvaperiaatteet ja käytännöt Sisäiset velvoitteet: Hallintosääntö Laatukäsikirja KYS erva -tasoinen sairaanhoitopiirien valmiussuunnitelma Itä-Savon sairaanhoitopiirin varmennepolitiikka Itä-Savon riskienhallintapolitiikka Tietoturvaperiaatteet ja -käytännöt / Omavalvontasuunnitelma Tiedonhallinnan toimintaohje Asiakirjojen suojelu- ja evakuointisuunnitelma Tiedonohjaussuunnitelma

10 Sivu 10 / 15 LIITE 3 LAINSÄÄDÄNTÖ Tietoturvan lainsäädännöllinen perusta Tietosuoja ja -turva perustuu viranomaisten toiminnan julkisuudesta annetun lain ja asetuksen lisäksi useisiin eri lakeihin. Yksityiselämän suoja ja julkisuusperiaate ovat jo perustuslaissa säädeltyjä perusoikeuksia. Eri lakeihin sisältyvien salassapitosäännösten lisäksi laeista tärkeimpiä ovat: EU:n tietosuoja-asetus (2016/679) Laki sosiaalihuollon asiakasasiakirjoista (254/2015) Terveydenhuoltolaki (1326/2010) Laki terveydenhuollon ammattihenkilöistä (559/1994) Potilasasiakirja-asetus (298/2009) Laki sähköisestä lääkemääräyksestä (61/2007; 251/2014) Laki viranomaisten toiminnan julkisuudesta (621/1999) Henkilötietolaki (523/1999) Laki potilaan asemasta ja oikeuksista (785/1992) Laki sosiaalihuollon asiakkaan asemasta (812/2000) Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007; 250/2014) Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000) Arkistolaki (831/1994) (Asiakirjojen laatiminen, säilyttäminen ja käyttö.) Laki kunnallisesta viranhaltijasta (304/2003) Työsopimuslaki (55/2001) Vahingonkorvauslaki (41/1974) Laki yksityisyyden suojasta työelämässä (759/2004) Sähköisen viestinnän tietosuojalaki (516/2004) Perustuslaki (731/1999) 2:10 (Yksityiselämän suoja ja luottamuksellisen viestin salaisuus) 2:12 (Viranomaisten hallussa olevien asiakirjojen ja tallenteiden julkisuus) Rikoslaki (39/1889) 34:9a (Vaaran aiheuttaminen tietojenkäsittelylle) 38:1-2 (Salassapitorikos ja rikkomus) 38:8 (Tietomurto) 38:9 1. kohta (Henkilötietorikos) 40:5 (Virkasalaisuuden rikkominen)

11 Sivu 11 / 15 LIITE 4 TIETOTURVALLISUUDEN ORGANISOINTI JA VASTUUT Tietoturvatehtävät ja organisointi Erityisvastuualueella ei ole erillistä tietoturvaorganisaatiota, mutta tietoturvatehtävät ja tietoturvan organisointi määritellään KYS erva -tasoisessa tietoturvapolitiikassa niin, että politiikka toimii alueen sairaanhoitopiirien tietoturvatoiminnan ohjeena. Erva-alueen sairaanhoitopiirien tietosuoja- ja tietoturvapolitiikka perustuu yhteisesti sovittuihin tietoturvatehtäviin, periaatteisiin ja tietoturvan organisointimalliin. Tietoturvan organisoinnissa ja tehtävissä esiintyy organisaatiokohtaisia vaihteluita. Tärkeää on kuitenkin huomioida, että yhteisesti sovituille tietoturvaan liittyville tehtäville määritellään vastuut ja velvollisuudet riippuen kunkin organisaation ammattinimikkeistä. Huomiota on kiinnitettävä myös siihen, että ns. vaaralliset työyhdistelmät eliminoidaan. Itä-Savon sairaanhoitopiirissä tietosuoja- ja tietoturvapolitiikka hyväksytetään kuntayhtymähallituksella. Politiikka sisältää erillisiä tarkentavia liitteitä ja niihin tehtävät merkittävät päivitykset hyväksyy Itä-Savon sairaanhoitopiirin kuntayhtymän johtoryhmä. Sairaanhoitopiirin tietoturvaorganisaatio sekä tietohallinto ja arkisto huolehtivat, ylläpitävät ja valvovat koko organisaation tietoaineiston tietoturvaa omien vastuualueidensa mukaisesti. Sairaanhoitopiirien rekistereiden vastuuhenkilöt on nimetty ja määritelty. Potilastiedon rekistereistä vastaa johtajaylilääkäri. Työntekijöillä puolestaan on rekistereiden tiedotusvastuu. Sairaanhoitopiirissä tulee olla tietoturvasta vastaava henkilö, joka valmistelee tietoturvallisuuteen liittyviä kehittämishankkeita yhdessä muiden tietoturvaorganisaatioon kuuluvien henkilöiden kanssa. vastaa tietoturvaohjeiden olemassaolosta ja niiden noudattamisesta sekä huolehtii niiden ajan tasalle saattamisesta ja hyväksymisestä tietoturvakuvausten ylläpidosta vastaa tietoturvapoikkeamien seurannasta ja tilastoinnista sekä raportoi niistä sairaanhoitopiirin johdolle tiedottaa tietoturvallisuusasioista ja -ongelmista. valmistelee tietoturvaan liittyvä kommunikoinnin koko organisaation, sidosryhmien ja erityisesti esimiesten kanssa. vastaa tietoturvatietoisuuden ja osaamistason seurannan toteuttamisesta. osallistuu sairaanhoitopiirin turvallisuus-, tietosuoja- ja tietoturva-asioiden kokonaisuuden koordinointiin. osallistuu tietoturvapoikkeamista ilmoitettujen sanktioiden määrittelytyöhön. toimii tietoturvallisuuden asiantuntijana sairaanhoitopiirin toiminta-alueella, tarvittaessa hankkii lisää asiantuntijapalveluita.

12 Sivu 12 / 15 valvoo, että tietoturvallisuusasiat on organisoitu sairaanhoitopiirin toimipaikoissa ja yksiköissä. määrittää säännölliset tietoturvatoimenpiteet yhdessä muun tietoturvaorganisaation kanssa. vastaa ja valvoo organisaation tietoteknisten toimenpiteiden toteutusta arvioi muutostarpeet teknologisen ympäristön muuttuessa varautumalla suojaamismenettelyiden, kontrollien ja testaamisen ajantasaisena pitämiseen sekä kehittämiseen. Itä-Savon sairaanhoitopiirissä tietoturvasta vastaavana henkilönä toimii tietohallinnon pääsuunnittelija. Tietosuojavastaava vastaa tietoturva- ja tietosuojaohjeiden olemassaolosta ja noudattamisesta sekä huolehtii niiden ajan tasalle saattamisesta ja hyväksyttämisestä. toimii tietoturvallisuuden ja tietosuojan erityisasiantuntijana sairaanhoitopiirin toimintaalueella. tukee, ohjaa ja opastaa henkilökuntaa ja rekisteröityjä tietosuoja-asioissa. kehittää ja edistää tietoturvallisuutta organisaatiossa. ohjeistaa tietoturvallisuusasiat ja huolehtii, että niistä tiedotetaan ja koulutetaan. osallistuu sairaanhoitopiirin turvallisuus-, tietosuoja- ja tietoturva-asioiden kokonaisuuden koordinointiin turvallisuustyöryhmän jäsenenä. seuraa ja valvoo henkilö- ja potilastietojen käsittelyä ja suojaamista ja suojausmenetelmiä sekä raportoi niihin liittyvistä epäkohdista tietoturvaorganisaatiolle/turvallisuustyöryhmälle. toteuttaa tietojärjestelmien lokiseurantaa. osallistuu organisaation henkilötietojen käsittelyä koskevaan suunnittelutoimintaan. osallistuu henkilöstölle annettavan tietosuojakoulutuksen toteuttamiseen. tietosuoja-asioiden ohjaus ja neuvonta (henkilökunta, asiakkaat). toimii yhdyssiteenä valvontaviranomaisiin. raportoi organisaation johdolle ja turvallisuustyöryhmälle tietosuojan tilasta ja kehittämistarpeista (sisäiset auditoinnit ja käytönvalvonta) sekä tietosuojavastaavan toiminnasta. toteuttaa organisaation ja tietoturvaorganisaation johdon osoittamia muita tietosuojaa tukevia tehtäviä. seuraa ja valvoo tietosuojan toimivuutta ja rekisteriselosteiden (HetiL 10) laatimis- ja ylläpitovelvollisuuden toteutumista. Itä-Savon sairaanhoitopiirissä tietosuojavastaavana toimii tietohallinnon pääsuunnittelija.. Tekninen päällikkö toimii riskienhallintapolitiikan mukaisesti tietosuojavastaavan ja tietoturvavastaavan tukena tietoturvallisuuden kehittämisessä vastaa tietoturvallisuuteen liittyvien fyysisten toimitilavaatimusten täyttymisestä yhdessä kiinteistönhuollon ja lääkintätekniikan kanssa osallistuu auditointeihin ja tietoturvallisuuden kehittämiseen

13 Sivu 13 / 15 Turvallisuustyöryhmä koordinoi sairaanhoitopiirin turvallisuuteen liittyvien asioiden kokonaisuutta varmistaa, että tietoturvallisuusasiat on organisoitu sairaanhoitopiirin yksiköissä valvoo sairaanhoitopiirin tietosuoja- ja tietoturvapolitiikan, omavalvontasuunnitelman sekä tietosuoja- ja tietoturvaohjeiden laatimista, toteuttamista ja ajan tasalla pitämistä määrittää säännölliset tietoturvatoimenpiteet vastaa tietoturvakontrollien valinnasta ja toteutuksen ohjaamisesta yhteistyössä organisaation eri osien kanssa ehdottaa/päättää tietoturvallisuuden kehittämishankkeista jakaa tarpeen mukaan tietoturvatehtäviä ja -vastuita muille tietoturvaorganisaation henkilöille koordinoi tietoturvallisuustoimenpiteitä ja mahdollistaa tarvittaessa yksiköille tietoturvallisuuden erityisasiantuntijuutta vastaa tietoturvatietoisuuden ja osaamistason seurannan toteuttamisesta seuraa tietoturvallisuustilannetta ja reagoi tarvittaessa havaittuihin ongelmiin ja uhkiin osallistuu tietoturvapoikkeamista ilmoitettujen sanktioiden määrittelytyöhön valvoo, että yksiköt ja tietohallinto ovat tehneet jatkuvuussuunnitelmat infrastruktuurin ja keskeisten järjestelmien osalta poikkeustilanteita varten huolehtii säännöllisestä riski-/uhka-analysoinnin tekemisestä seuraa ja valvoo henkilö- ja potilastietojen käsittelyä, suojaamista ja suojausmenetelmiä valvoo, että tiedot ja tietojärjestelmät on luokiteltu ohjeistaa tietoturvallisuusasiat ja huolehtii, että niistä tiedotetaan ja koulutetaan huolehtii auditoinnin järjestämisestä raportoi tietoturvallisuudesta sairaanhoitopiirin johdolle Itä-Savon sairaanhoitopiirissä sairaanhoitopiirin johtaja on nimennyt turvallisuustyöryhmän, jonka kokoonpano on nähtävillä intranturvallisuusosioissa. Arkistosta vastaava Tietojärjestelmäsuunnittelijan (arkistovastaavan) johdolla toimivan arkiston vastuulla on varmistaa asiakirjojen käytettävyys, säilyminen ja lainmukainen säilyttäminen. Asiakirjaja tietohallinnon suunnittelu ja toteutus tapahtuvat arkiston ja tietohallintoyksikön yhteistyönä huomioon ottaen sekä arkistotoimeen että tietoturvaan kohdistuvat vaatimukset. vastaa asiakirjojen käytettävyydestä ja lainmukaisesta säilyttämisestä asiakirja- ja tiedonhallinnan suunnittelu ja toteutus yhdessä tietohallinnon kanssa osallistuu organisaation tietoturvaan ja -suojaan liittyvien asioiden suunnitteluun ja kehittämiseen sekä ohjeiden laatimiseen ja ylläpitoon osallistuu sairaanhoitopiirin turvallisuus-, tietosuoja- ja tietoturva-asioiden kokonaisuuden koordinointiin turvallisuustyöryhmän jäsenenä on tarvittaessa yhteydessä valvontaviranomaisiin tietosuoja-asioiden ohjaus ja neuvonta (henkilökunta, asiakkaat) seuraa ja valvoo henkilö- ja potilastietojen käsittelyä ja suojaamista ja suojausmenetelmiä sekä raportoi niihin liittyvistä epäkohdista turvallisuustyöryhmälle

14 Sivu 14 / 15 osallistuu tietojärjestelmien lokivalvontaan yhdessä tietosuojavastaavan kanssa (säännöllinen lokitietojen seuranta, asiakkailta/potilailta tulevat lokitietopyynnöt) tietosuoja-asioiden ohjaus ja neuvonta (henkilökunta, asiakkaat) toimii turvallisuustyöryhmän sihteerinä Itä-Savon sairaanhoitopiirissä arkistosta vastaavana henkilönä toimii tietojärjestelmäsuunnittelija. Organisaation johto varmistaa, että organisaatiossa tunnistetaan keskeinen sosiaali- ja terveysalan tietoturvallisuuden lainsäädäntö määrittää tietoturvallisuusperiaatteet varmistaa, että tietoturvallisuustavoitteet ja -suunnitelmat asetetaan sekä laaditaan kaikissa sairaanhoitopiiri toimijaorganisaatioissa määrittää tietoturvallisuuteen liittyvät roolit ja vastuut sekä tietoturvallisuuden tarvitsemat resurssit varmistaa, että organisaatiolla on edellytykset toimia poikkeama-, erityis- ja kriisitilanteissa viestii organisaatiolle tietoturvallisuustavoitteiden ja tietoturvapolitiikan lakisääteisten velvoitteiden noudattamisen ja jatkuvan parantamisen tärkeydestä huolehtii riittävistä resursseista tietoturvallisuuden toteuttamiseen, ylläpitoon ja kehittämiseen valvoo, että tietoturvallisuusasiat on organisoitu sairaanhoitopiirin toimipaikoissa ja yksiköissä päättää hyväksyttävästä riskitasosta suorittaa tietoturvaorganisaation johdon katselmukset raportoi tietoturvallisuudesta osana sisäistä valvontaa ryhtyy toimenpiteisiin väärinkäytöstapauksissa Yksiköiden esimiehet vastaavat yksiköidensä tietoturvallisuudesta ja siitä, että henkilöstö tuntee tietoturvallisuuden perusasiat mahdollistavat henkilökunnan osallistumisen säännöllisesti toteutettaviin tietoturvakoulutuksiin tukevat tietoturvan jatkuvaa ylläpitämistä ja kehittämistä toteuttavat ja organisoivat tietoturvaorganisaation määrittelemät tietoturvallisuus ja tietosuojatoimenpiteet yksikössään suunnittelevat, budjetoivat ja organisoivat yksikkönsä tietoturvallisuustoimenpiteet huolehtivat, että keskeisille järjestelmille on nimetty vastuuhenkilöt yhteistyössä tietohallinnon kanssa hoitavat yksikkönsä yleiset tietoturvallisuusasiat, tiedottamisen ja toimintaohjeiden ylläpitämisen käyttäen asiantuntija-apuna tietoturvallisuudesta vastaavia henkilöitä raportoivat tietoturvallisuusongelmista ja tietosuojarikkomuksista sekä yksikkönsä johdolle että turvallisuustyöryhmälle

15 Sivu 15 / 15 Jokainen työntekijä Jokainen työntekijä vastaa omalta osaltaan tietoturvallisuuden toteutumisesta voimassa olevan lainsäädännön ja tietojen käsittelystä annettujen ohjeiden mukaisesti. Jokaisen työntekijän tulee raportoida heti havaitsemistaan tietoturvapuutteista sekä tahattomista tai tahallisista tietosuojarikkomuksista annettujen ohjeiden mukaisesti. Tietojärjestelmien ja laitteistojen omistajat sekä vastuuhenkilöt Kaikille tietojärjestelmille ja laitteistoille, sairaanhoitopiirin omille ja ulkoistetuille palveluille on määritelty omistajat/vastuuhenkilöt, jotka määrittelevät ja vastaavat tietojärjestelmien/ sovellusten/laitteistojen palvelutasosta, käyttöoikeuksista, koulutuksesta, varmistamisesta, kehittämisestä ja hyväksikäytöstä. Tietojärjestelmän omistaja vastaa tietojärjestelmän tietoturvasta mm. tietojärjestelmään sisältyvien rekisterien oikeellisuudesta ja lainmukaisuudesta, kuten henkilörekisterilaissa mainitun rekisterinpitäjän velvollisuuksista. Omistaja vastaa tietoturvallisuudesta myös yksittäisen tietojärjestelmän toiminnan ja käytön osalta. Sairaanhoitopiiriin on laadittu jatkuvuus-/toipumissuunnitelma toiminnan jatkuvuuden turvaamiseksi normaaliolosuhteiden poikkeustilanteiden sekä eriasteisten poikkeusolojen varalle. Lisäksi kunkin kriittisen tietojärjestelmän omistaja/vastuuhenkilö on velvollinen laatimaan ja ylläpitämään varajärjestelmäsuunnitelmaa. Tietohallintolain mukaiset tietohallinnon tehtävät Tietohallintopäällikön johdolla toimivalle yksikölle on keskitetty tietohallintolaissa osoitettuja erityistä osaamista ja koordinaatiota vaativia tietohallintotehtäviä. Tietohallintolaissa tietohallinnolla tarkoitetaan tukitoimintoa, jolla turvataan julkisten hallintotehtävien hoitaminen tieto- ja viestintäteknisiä menetelmiä ja keinoja hyväksikäyttäen. koordinoi tietoturvaorganisaation toimeksiannosta tietojärjestelmien ja niiden käytön tietoturvan teknisen toteutuksen suunnittelua, toteutumista ja raportointia toimii teknisenä asiantuntijana sekä antaa ja järjestää teknistä asiantuntemusta tietoturvaa koskevissa kysymyksissä arvioi teknologisen ympäristön muuttuessa suojaamismenettelyiden, kontrollien ja testaamisen ajantasaisena pitämiseen sekä kehittämiseen ja tarvittavien muutosten suunnittelun toteutukseen valvoo tietoturvatoimenpiteiden teknistä toteuttamista ja tietoturvakontrollien toteutusta (esim. palomuurien ja virustorjunnan ylläpito, roskapostisuodatus, tietoturvatapahtumien seuranta, kulunvalvonta) vastaa organisaation tietoteknisten toimenpiteiden toteutuksesta sopii edustajan osallistumisesta sairaanhoitopiirin turvallisuus-, tietosuoja- ja tietoturva-asioiden kokonaisuuden koordinointiin turvallisuustyöryhmän jäsenenä