Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Transkriptio

1 1 (6) Lappeenrannan kaupungin tietoturvapolitiikka 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen Valmis Tietohallintotyöryhmän käsittelyyn Tietohallintotyöryhmä Sisällys 1. Johdanto Päämäärä ja tavoitteet Toteutus Kattavuus Vastuut Ongelmatilanteiden käsittely Hyväksyntä Allekirjoitukset... 6 Konsernihallinto, tietohallinto PL 11, Lappeenranta Villimiehenkatu 1 puh kirjaamo@lappeenranta.fi

2 2 (6) 1. Johdanto Tässä dokumentissa kuvataan Lappeenrannan kaupunkikonsernin tietoturvallisuuden tavoitteet ja menettelytavat. Tietoturvapolitiikkaa täydentävät erilliset, tästä politiikasta johdettavat tietoturvaperiaatteet, suunnitelmat sekä ohjeet tietoturvallisuuden hallinnan sekä toteuttamisen osalta. Tietoturvallisuudella tarkoitetaan Lappeenrannan kaupunkikonsernia ja sen Asiakkaita sekä sidosryhmiä koskevien tietojen ja palveluiden häiriöttömän käytettävyyden, tietojen luottamuksellisuuden sekä tietojen eheyden varmistamista normaaleissa sekä poikkeusolosuhteissa. Lisäksi tietoturvallisuudella tarkoitetaan huolehtimista tiedon ja tietojärjestelmien osalta kiistämättömyydestä todennuksesta sekä pääsynvalvonnasta. 2. Päämäärä ja tavoitteet Tietoturvallisuus on osa kaupungin jokapäiväistä toimintaa. Tietoturvallisuuden päämäärä on varmistaa, että kaupunki ja sen työntekijät toimivat työssään sovittujen tietoturvakäytänteiden mukaisesti. Tietoturvallisuuden hyvällä hallinnalla, organisoinnilla sekä toimivilla ja tehokkailla menettelytavoilla varmistetaan, että kaupungin tuottamien palveluiden turvallisuus, laatu ja käytettävyys vastaavat Asiakkaiden asettamia vaatimuksia, Suomen lakeja, asetuksia sekä voimassaolevia säännöksiä. Kaupunkikonsernin tietoturvan toteutuksen on oltava kustannustehokasta. Tietoturvallisuuden jatkuvan kehittämisen avulla varaudutaan myös mahdollisiin poikkeustilanteisiin sekä äkillisiin tapahtumiin ja näistä toipumiseen. Tavoitteena tietoturvallisuuden hyvällä hallinta- ja toteutusmallilla on, että tiedot ja näihin liittyvät tietojärjestelmät eivät vaarannu missään tilanteessa. Tiedot ja tietojärjestelmät ovat käytettävissä vain niillä henkilöillä, joille on etukäteen annettu tähän oikeus voimassa olevien periaatteiden mukaisesti.

3 3 (6) 3. Toteutus Kaupunginjohtajan asettamien tavoitteiden ja vaatimusten mukaisesti tietoturvallisuutta suunnitellaan, toteutetaan, arvioidaan sekä parannetaan vuosikellon mukaisilla toimenpiteillä. Malli perustuu ISO/IEC standardin mukaiseen tietoturvallisuuden hallintamallin prosessiin. Päämäärän saavuttamiseksi tietoturvalle on asetettava seuraavat vaatimukset: taata kaupunkikonsernin tietoresurssien kustannustehokas käyttö tukien kaupungin strategiaa erityisesti tietojen ja palveluiden käytön luotettavuuden kannalta taata ja varmentaa kaupunkikonsernin tietoresurssien hallintaan liittyen tietojen ja palvelujen tarkoituksenmukainen käyttö löytää kaikille kaupunkikonsernin tiedoille ja palveluille yksiselitteinen vastuullinen omistaja, joka vastaa tietojen ja palveluiden tarkoituksenmukaisesta laadusta taata, että kaupunkikonsernin omistamat tiedot ja palvelut annetaan turvallisesti haluttujen asiakkaiden käyttöön taata, että kaupunkikonserni voi käyttää muiden osapuolten tarjoamia tietoja ja palveluita turvallisesti ilman kohtuuttomia riskejä omalle toiminnalle. Käytännön toteutuskeinojen ohjaavina dokumentteina käytetään Valtiovarainministeriön VAHTI ohjeita asetetun tietoturvatason saavuttamiseksi. Toteutusta valvotaan ja tarkastellaan jatkuvana prosessina. Tietoturvapolitiikan sekä vuosikellon katselmointi Tietoturvan yleistilan raportit palveluntuottajilta Tietoturvan vuosiraportti Tietoturvan vuosisuunnitelma ja tehtävien vastuutus Q4 Q3 Q1 Q2 Riskien arviointi Tietohallinnon jatkuvuussuunnitelman katselmointi Tietoturvaohjeiden ja vastuiden katselmointi Kuva 1. Lappeenrannan kaupungin tietoturvan vuosikello

4 4 (6) Kaupunkikonsernilla on ajan tasalla oleva tietoturvapolitiikka ja näitä tukeva ohjeisto. Kaikille kaupunkikonsernin tietovarannoille tehdään luottamuksellisuusluokitus sekä järjestelmille kriittisyys- ja tärkeys-luokitus sen mukaan kuinka tärkeitä ne ovat normaali- ja poikkeusolojen toiminnan kannalta. Tietovarannoilla pitää olla määritelty yksikäsitteinen omistaja. Tiedon omistaja vastaa aina kaikista omistuksessaan olevistaan tiedoista koko tiedon elinkaaren ajan. Saita Oy:ltä ja muilta keskeisiltä ICT-palveluntarjoajilta edellytetään säännöllistä tietoturvaraportointia vuosittain. Ihminen on keskeinen osa tietoturvallisuudesta huolehtimisessa sekä asioiden toteuttamisessa olemassa olevien edellytysten sekä vaatimusten mukaisesti. Lappeenrannan kaupunki tukee, auttaa ja ohjaa henkilöstöään toimimaan oikein tietoturvallisuuden toteuttamiseksi sekä toiminnan jatkuvuuden turvaamiseksi organisaatiossaan. Henkilöstön hyvinvointi sekä motivoituneet ihmiset ovat tärkeä osa kaupungin tietoturvallisuuden toteuttamisessa parhaalla mahdollisella tavalla. 4. Kattavuus Käytössä oleva tietoturvapolitiikka koskee kaupungin koko henkilöstöä asemasta riippumatta, sekä kaupungille palveluita tuottavia ulkopuolisia tahoja. Jokaisen edellä kuvatun henkilön on tunnettava, ymmärrettävä sekä sitouduttava tietoturvapolitiikan ja sen liitteiden määrittämien menettelytapojen, periaatteiden ja ohjeistuksien noudattamiseen. Työntekijöille ei myönnetä käyttövaltuuksia tietojärjestelmiin tai niissä oleviin tietoihin ilman sitoumusta tietoturvapolitiikan, määritettyjen periaatteiden sekä ohjeistuksien noudattamiseen. 5. Vastuut Kaupunginhallitus vastaa siitä, että Lappeenrannan kaupunkikonsernilla on riittävät edellytykset tietoturvan toteuttamiseen. Tietoturvasta kaupunkikonsernissa vastaa kaupunginjohtaja tai hänen nimeämänsä viranhaltija. Kaupunginjohtaja asettaa tavoitteet tietoturvallisuuden hoitamiselle. Tietohallintotyöryhmä vastaa tietoturvallisuuden päälinjauksista ja seurannasta. Tietohallintopäällikkö johtaa käytännön tietoturvatyötä sekä toteuttaa kokonaisvaltaista tietoturvallisuuden kehittämistä. Hän vastaa asetettujen tavoitteiden toteuttamisesta ja raportoi tietohallintotyöryhmälle sekä kaupunginjohtajalle tietoturvallisuuden tilanteesta.

5 5 (6) Toimialajohtajat ja kaupunkiyhtiöiden toimitusjohtajat vastaavat siitä, että heidän vastuullaan olevia tietoja käsitellään oikein koko niiden elinkaaren ajan. He vastaavat johtamisen kautta myös siitä, että kaikilla heidän alaisillaan on riittävät tiedot ja taidot käsitellä heidän työskentelyssään tarvittavia tietoja. Tietoturvavastaavat seuraavat tietoturvallisuuden ohjeiden noudattamista sekä toimivat yhteyshenkilöinä vastuualueellaan. Voimassa olevat periaatteet ja ohjeet ovat koko henkilöstön saatavilla ja löytyvät Intranet palvelusta. Tietoturvavastuut on kuvattu tarkemmin Liitteissä 2 ja Ongelmatilanteiden käsittely Poikkeamatilanteista raportoidaan tietoturvallisuuden periaatteiden mukaisesti välittömästi omalle esimiehelle, tietoturvavastaavalle tai suoraan tietohallintopäällikölle, joka arvioi tilanteen aloittaa tarpeelliset toimenpiteet. Tietoturvallisuuteen liittyvien ongelmatilanteiden, kuten rikkomusten sekä vahinkojen käsittelystä vastaa kaupungin Tietohallintopäällikkö yhteistyössä Saimaan Talous ja Tieto Oy:n Tietoturvapäällikön kanssa. Ongelmatilanteet pyritään ratkaisemaan keskustelemalla asianosaisten kanssa, mikäli mahdollista. Ongelmatilanteiden käsittelyssä noudatetaan aina Suomen lakia. 7. Hyväksyntä Lappeenrannan kaupungin tietoturvapolitiikan hyväksyy kaupungin tietohallintotyöryhmä. Tietoturvapolitiikka tarkastetaan vähintään kerran vuodessa tai aina tilanteen niin edellyttäessä. Kaupungin tietohallinto ja toimialojen Tietoturvavastaavat valmistelevat muutokset politiikkaan tietohallintopäällikön johdolla, joka esittelee muutokset tietohallintotyöryhmälle. Kaupunginjohtaja vahvistaa muutokset allekirjoituksellaan tietoturvapolitiikan uuteen versioon. Uusi versio julkaistaan sidosryhmille sekä organisaation omalle henkilöstölle tietoaineiston luokitteluperiaatteiden mukaisesti. Vanha versio nimetään uudelleen ja poistetaan jakelukanavista.

6 6 (6) 8. Allekirjoitukset Tämä dokumentti on hyväksytty Lappeenrannan kaupungin tietohallintotyöryhmässä xx.yy.zzzz. Lappeenrannassa xx. päivänä joulukuuta 2015 Lappeenrannan kaupunki Kimmo Jarva Kaupunginjohtaja