Espoon kaupunkikonsernin tietoturvapolitiikka

Transkriptio

1 Espoon kaupunkikonsernin tietoturvapolitiikka Espoon kaupunki 2015

2 Tietoturvapolitiikka 1 (7) Yhteenveto Tietoturvapolitiikka on kaupunginhallituksen ja kaupunginjohdon tahdonilmaisu tietoturvan ja tietosuojan merkityksestä osana kaupungin johtamista ja Espoon tarinan toteuttamista. Tietoturvapolitiikka sisältää keskeiset linjaukset ja periaatteet, vastuut ja velvoitteet ja tietoturvatoiminnan organisoinnin.

3 Tietoturvapolitiikka 2 (7) Sisällysluettelo 1 Johdanto Soveltaminen Käsitteitä Tietoturvan periaatteet Tietoturvan keskeiset vastuut Tietoturvan toteuttaminen Puitteet Prosessi... 6 Versio Laatinut Päiväys Version lyhyt kuvaus 0.1 Juha Kalander Tietoturvaryhmän 1. käsittely 0.9 Juha Kalander Tietoturvaryhmän 2. käsittely 0.9 Juha Kalander Kokonaisarkkitehtuuriryhmä 0.9 Juha Kalander IT-kehittämisjohtoryhmä 1.0 Juha Kalander Tietoturvaryhmä, lopullinen versio 1.0 Juha Kalander x Kaupungin johtoryhmä 1.0 Juha Kalander x Kaupunginhallitus

4 Tietoturvapolitiikka 3 (7) 1 Johdanto Kaupunkikonsernin toimintaa ohjaa ja sen kehittämisen suuntaviivat lähivuosiksi määrittää strategia, Espoo-tarina. Yksi Espoo-tarinan toteuttamisen edellytys on tietoturvan ja tietosuojan hyvä hoitaminen. Tietoturva on osa toimintojen laatua, tehokkuutta ja avoimuutta. Sillä saavutetaan henkilöstön, kuntalaisten ja yritysten luottamus kaupungin toimintaan sekä heidän etujensa ja oikeuksiensa toteutuminen. Tietoturvallisuus on hyvää hallintotapaa. Digitaalisten palveluiden lisääntyessä luottamus palveluiden tietoturvaan ja tietosuojaan on keskeinen tekijä. Espoon kaupunginhallitus on hyväksynyt tämän tietoturvapolitiikan. 1.1 Soveltaminen Tietoturvapolitiikka on kaupunkikonsernia sitova ja sitä tarkennetaan kaupunkitason, toimialojen ja tytäryhteisöjen omilla tietoturvaohjeilla ja tietoturvamääräyksillä. 1.2 Käsitteitä Tietoturva: Tietoturva (tai tietoturvallisuus) on tietojen, palveluiden, järjestelmien ja tietoliikenteen suojaamista hallinnollisin ja teknisin toimin. Tietoturvan uhkat ja riskit ovat tiedostettu ja hallinnassa. - uhka on mahdollisesti toteutuva haitallinen tapahtuma tai kehityskulku - Espoon kaupunkikonsernissa riskeillä tarkoitetaan epävarmuustekijöitä, tapahtumia tai tapahtumaketjuja joiden toteutuessa Espoo-konserni tai sen yksikkö ei saavuta sille asetettuja tavoitteita ja/tai kokee huomattavia menetyksiä. (Sisäisen valvonnan ja riskienhallinnan perusteet / Valtuusto ) Tiedon turva: Tiedon eheyttä, luottamuksellisuutta ja käytettävyyttä käsittelevä tietoturvan osa-alue. - eheys on sitä, että tieto ei muutu (tahattomasti tai tahallisesti) tietoa käsiteltäessä tai säilytettäessä - luottamuksellisuus on sitä, että tieto on saatavilla vain niille, joille se on tarkoitettu, ei sivullisille - käytettävyys (saatavuus) on sitä, että tieto on hyödynnettävissä haluttuna aikana Hallinnollinen tietoturva: Organisaation hallinnolliset toimet tietoturvan toteuttamiseksi, kuten tietoturvapolitiikka, koulutus ja tehtävien organisointi.

5 Tietoturvapolitiikka 4 (7) 2 Tietoturvan periaatteet 3 Tietoturvan keskeiset vastuut Tekninen tietoturva: Organisaation tekniset toimet tietoturvan toteuttamiseksi, kuten pääsynhallinta, palomuurit ja virustorjunta. Tietosuoja: Henkilön yksityisyyden kunnioittamista ja suojaamista hänen henkilötietojaan käsiteltäessä. Kyberturvallisuus: Tila, jossa tietoa käyttävän ja tuottavan, siitä riippuvaisen toimintaympäristön toiminta on turvattu: uhkat ja riskit ovat hallinnassa. Riskienhallinta: Järjestelmällistä toimintaa, joka sisältää riskianalyysin sekä tarvittavien toimenpiteiden suunnittelun, toteutuksen seurannan ja korjaavat toimenpiteet. Tietoturvan tarkoituksena on tukea kaupunkikonsernia sen perustehtävän toteuttamisessa, asetettujen tavoitteiden saavuttamisessa sekä kuntalaisten, henkilöstön ja toimintojen tietojen suojaaminen erilaisilta tietoon kohdistuvilta uhkilta. Tietoturva on teknologiasta riippumatonta, koska tietoa käsitellään paperilla, sähköisessä muodossa tai suullisesti. Tietoturvalla varmistetaan, että kaupunkikonsernin tietoa hyödyntävät ja tuottavat toiminnot jatkuvat keskeytyksittä ja häiriöittä laadukkaasti ja kustannustehokkaasti. Tietoturvan toteuttaminen on osa riskienhallintaa ja perustyö tehdään riskienhallintaprosessissa. Espoon riskienhallinnan periaatteet ovat kaupunkikonsernin riskienhallintapolitiikassa. Kaupunginhallitus omistaa tietoturvapolitiikan Kaupunginhallituksella on vastuu osana riskienhallinnan järjestämisestä myös tietoturvaturvan toteuttaminen, joka kuvataan tietoturvapolitiikassa. Kaupungin johtajalla on asemansa perusteella kokonaisvastuu tietoturvan ja tietoturvapolitiikan toteuttamisesta ja raportoinnista kaupunginhallitukselle. Toimialajohto vastaa toimialansa tietoturvan toteuttamisesta ja toteutumisen valvonnasta ja riittävästä osaamisesta. Toimialat ovat toimialansa tiedon ja tietojärjestelmien omistajia, vastuu suojaamistarpeen määrittelystä ja toteuttamisesta on omistajalla. Toimialajohto raportoi kaupungin johtoryhmälle tietoturvan toteutumisen.

6 Tietoturvapolitiikka 5 (7) Kaupungin johtoryhmä toimii tietoturvan ja tietosuojan johtoryhmänä. Kaupungin johtoryhmä hyväksyy kaupunkitasoiset ohjeet ja linjaukset. Tytäryhteisöjen hallitukset ja toimitusjohtajat vastaavat yhteisöjensä tietoturvan toteuttamisesta ja toteutumisen valvonnasta ja riittävästä osaamisesta. Henkilöstö on tietoturvallisuuden toteuttamisessa keskeisessä asemassa. Jokainen käyttäjä omalla toiminnallaan vaikuttaa hyvän hallintotavan, tietoturvan ja tietosuojan toteutumiseen. Henkilöstölle on annettava vastuidensa mukainen riittävä tietoturva- ja tietosuojakoulutus. Espoo Tietotekniikka vastaa teknisestä tietoturvasta, sitä tukevien tietoturvalinjauksien tekemisestä, ja asetettujen tietoturvavaatimusten toteuttamisesta. Espoo Tietotekniikka seuraa ja raportoi tietoturvaryhmälle ja IT-kehittämisjohtoryhmälle vastuualueensa tietoturvan toteutumisen. Asiakirjahallinto vastaa asiakirjallisen tiedon hallinnasta ja siihen liittyvästä ohjeistuksesta. Tietoturvaryhmä vastaa tietoturvapolitiikan ja kaupunkitasoisten ohjeiden ja suunnitelmien valmistelusta ja kehittämisestä sekä tietoturvatietouden edistämisestä. Tietoturvaryhmä vastaa tietoturvapolitiikkaa tukevista ohjeista ja linjauksista. Tietoturvapäällikkö vastaa tietoturvaryhmän toiminnasta ja ylläpitää tietoturvan hallintajärjestelmää. Tietoturvapäällikkö raportoi kaupungin johtoryhmälle tietoturvan toteutumisesta. Sisäinen tarkastus vastaa toiminnan tuloksellisuuden tarkastamisesta ja arvioinnista. Tähän prosessiin kuuluu myös tietoturvatoiminnan asianmukaisuuden ja riittävyyden arviointi ja tarkastaminen. Yleinen vastuu: Jokainen kaupungin tai konserniyhteisön palveluksessa oleva sitoutuu noudattamaan tietoturvapolitiikkaa ja sitä täydentäviä ohjeita. Jokaisen kaupungin tai konserniyhteisön palveluksessa olevan on ilmoitettava viivytyksettä esimiehelleen havaitsemistaan ongelmista, uhkista tai ohjeiden vastaisesta menettelystä. 4 Tietoturvan toteuttaminen Tietoturvapolitiikka toteutetaan ja viedään käytäntöön luomalla ja ylläpitämällä tietoturvatoiminnalle puitteet ja tietoturvaprosessi. Tietoturvapolitiikkaa toteutetaan toimintokohtaisilla tietoturvalinjauksilla ja -ohjeilla. Tietoturvalinjauksiin ja -ohjeisiin vaatimukset saadaan lainsäädännöstä, yleisesti suosituksista ja toiminnon omista tarpeista.

7 Tietoturvapolitiikka 6 (7) Tietoturvalinjausten ja -ohjeiden tehtävä on viedä tietoturvapolitiikan periaatteet osaksi jokapäiväistä toimintaa ja hyvää hallintotapaa. Toteuttaminen koskee kaupunkikonsernia. 4.1 Puitteet Tietoturvatyön puitteet luodaan johtamisella ja riskienhallinnalla. Johdon tehtävä on järjestää riskienhallinta ja huolehtia, että riskienhallinnan prosessissa otetaan myös tietoturva- ja tietosuojariskit huomioon. Riittävien resurssien ja osaamisen järjestäminen on osa johtamista ja merkittävä tekijä toimivan tietoturvaprosessin ylläpitämiseksi. Tietoturvaryhmällä on yhteistyöverkostona keskeinen asema tietoturvan toteuttamisen puitteiden luomisessa. Tietoturvaryhmän tehtäviin kuuluu tietoturvatietoisuuden ylläpitäminen ja lisääminen. Tietoturvaryhmä vastaa, että tietoturvapolitiikka ja sitä täydentävät ohjeet ovat kaikkien saatavilla ja niistä tiedotetaan. 4.2 Prosessi Tietoturvaprosessi on jatkuva prosessi, jonka perustana on riskienhallintaprosessin riskikartoitus. Prosessin toteutukseen kuuluu PDCA-mallin mukaisesti myös raportointi ja seuranta vaikuttavuuden ja muutostarpeiden toteamiseksi. SIDOSRYHMÄT SIDOSRYHMÄT Ylläpito Suunnittelu Tietoturvan ja tietosuojan vaatimukset ja odotukset Seuranta Toteuttaminen Hallittu tietoturva ja tietosuoja, luotettavat ja toimivat palvelut Kuva 1: Tietoturvaprosessin PDCA-malli Kuvassa 1 on tietoturvaprosessin PDCA-malli, jossa Suunnittelu (Plan) sisältää vaikuttavan sääntelyn selvittämisen, käytettävien tietojen ja tietoaineistojen määrittelyn, riippuvuuksien kartoituksen ja riskienkartoituksen. Näiden perusteella määritellään vaatimustaso ja tarvittavat mittarit (määrälliset ja/tai laadulliset) halutulle

8 Tietoturvapolitiikka 7 (7) 4.3 Tietoturva kehitysprojekteissa tietoturvan ja tietosuojan tasolle toteutusta ja seurantaa varten. Teknisen seurannan tarve ja taso on myös määriteltävä. Toteuttaminen (Do) sisältää haluttuun vaatimustasoon tarvittavien hallinnollisten ja teknisten toimenpiteiden valinnan ja käyttöönoton sekä sovittujen mittareiden käyttöönoton seurantaa varten. Seuranta (Check) sisältää sovittujen toimenpiteiden seurannan mittareiden ja auditointien (hallinnollisten ja teknisten) avulla. Lisäksi toimintaympäristön ja lainsäädännön ja muiden vaatimusten muutosten seuranta kuuluu tähän. Ylläpito (Act) sisältää seurannan perusteella havaittujen muutostarpeiden ja kehityskohteiden toteaminen ja tarvittavien uusien toimenpiteiden suunnittelun käynnistäminen. Vaikuttavuuden arviointi on tärkeää kustannusten hallitsemiseksi. Tietoturvaryhmä tekee vuosittaisen toimintasuunnitelman, jossa jatkuvan prosessin tueksi valitaan keskeinen tietoturvan ja/tai tietosuojan kehittämiskohde. Kohteen, joka voi olla hallinnollinen (esimerkiksi henkilöstön osaaminen) tai tekninen (esimerkiksi pääsynhallintaratkaisut), keskeiset tavoitteet ja linjaukset tarkistetaan ja päivitetään. Tehokkaiden ja järkevien tietoturvatoimenpiteiden toteuttamiseksi on oleellista, että tietototurvaan ja tietosuojaan liittyvät vaatimusmäärittelyt tehdään kehitysprojektin ja ICT-ratkaisukehityksen alkuvaiheessa. Tietoturvaryhmä huolehtii, että ICT-ratkaisukehityksen tekijöillä on tarvittavat työkalut käytettävissään. Tietoturvaryhmän asiantuntijat tukevat toimialojen asiantuntijoita vaatimusmäärittelyiden tekemisessä.