Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Samankaltaiset tiedostot
1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Eläketurvakeskuksen tietosuojapolitiikka

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

TIETOTURVA- POLITIIKKA

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

JOENSUUN KAUPUNGIN TIETOTURVAPOLITIIKKA

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Vihdin kunnan tietoturvapolitiikka

Tietoturvapolitiikka

Tietoturvapolitiikka

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

Politiikka: Tietosuoja Sivu 1/5

Utajärven kunta TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus

Tietoturvapolitiikka Porvoon Kaupunki

HEINÄVEDEN KUNNAN TIETOTURVAPOLITIIKKA

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

PUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Espoon kaupunki Tietoturvapolitiikka

Sovelto Oyj JULKINEN

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietoturva- ja tietosuojapolitiikka

Laatua ja tehoa toimintaan

Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet

Haminan tietosuojapolitiikka

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Espoon kaupunki Tietoturvapolitiikka

Lapin yliopiston tietoturvapolitiikka

Tietoturvavastuut Tampereen yliopistossa

TIETOTURVA JA TIETOSUOJAPOLITIIKKA

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA

Espoon kaupunkikonsernin tietoturvapolitiikka

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Tietoturva tulevassa tiedonhallintalaissa ja VAHTI Kirsi Janhunen, Väestörekisterikeskus

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

SISÄISEN VALVONNAN PERUSTEET

TIETOSUOJAPOLITIIKKA. Turun kaupunki

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA

Henkilöstön ohjeistaminen JUDO-työpaja Juho Nurmi, tietosuojavastaava, Espoon kaupunki

TIETOTURVAPOLITIIKKA

Sisäisen valvonnan ja Riskienhallinnan perusteet

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

Kuopion kaupunki Dnro 3720/2018 Elinvoima- ja konsernipalvelu Tietohallinto

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

1 Tietosuojapolitiikka

Tiedonhallinnan lainsäädännön kehittäminen

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

KEMIJÄRVEN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Liperin kunnan päätöksenteko- ja asianhallinta (hallinnolliset asiat)

Uudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Tietoturva Kehityksen este vai varmistaja?

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Etelä-Pohjanmaan sairaanhoitopiirin tietoturva- ja tietosuojapolitiikka

Tietosuojakysely 2018

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

TIETOSUOJAPOLITIIKKA

Liite/Kvalt , 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Isonkyrön kunta

Tietotilinpäätös tietosuojan dokumentoinnissa Parhaat käytännöt: tietotilinpäätösmalli

Kunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka

Tietoturvapolitiikka. Hattulan kunta

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Tietoturva- ja tietosuojapolitiikka

EU:N TIETOSUOJA-ASETUKSET WALMU

Tietoturva ja viestintä

Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011

Pilvipalveluiden arvioinnin haasteet

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

TIETOTURVAA TOTEUTTAMASSA

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Karkkilan kaupungin tietoturvapolitiikka

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

Tietosuojakysely 2019

Tietosuojavastaavan toiminta ja dokumentointi

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Informaatio-ohjaus ja tiedonhallintalaki tietoturvallisuuden kehittäjänä. Kirsi Janhunen, Väestörekisterikeskus

Transkriptio:

1 (5) Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka Sisällys Johdanto... 2 Käsitteet... 2 Tavoitteet... 3 Toteutus... 3 Organisointi ja vastuut... 4 Riskienhallinta... 4 Seuranta ja valvonta... 5 Dokumentit ja keskeinen lainsäädäntö... 5 Nurmeksen kaupunginhallitus 16.4.2018 81

Tietoturva- ja tietosuojapolitiikka 2 (5) Johdanto Nurmeksen kaupungin toiminnassa käsitellään paljon eri muodossa olevaa julkista ja salaista tietoa. Vaatimus tietojenkäsittelyn hyvään tietoturvaan ja tietosuojaan perustuu lainsäädäntöön. Tietoturvan ja tietosuojan parantaminen on myös osa kaupungin toiminnan kehittämistä, jatkuvuuden varmistamista ja valvontaa. Nurmeksen kaupunki on sitoutunut kaikessa toiminnassaan hyvään tietoturvan ja tietosuojan ylläpitoon ja jatkuvaan kehittämiseen. Tietoturva- ja tietosuojapolitiikkaan on koottu Nurmeksen kaupungissa noudatettavat tietoturvan ja tietosuojan tavoitteet, toteuttamisen organisointitavat ja vastuut. Tietoturva- ja tietosuojapolitiikkaan pohjautuvat suunnitelmat, ohjeet ja määräykset kattavat kaikki tietojen käsittelytoiminnot koko tiedon elinkaaren ajan niiden keräämisestä arkistointiin tai hävittämiseen saakka riippumatta siitä, missä muodossa tieto on. Ohjeet ja määräykset koskevat kaikkia kaupungin työntekijöitä, luottamushenkilöitä, työryhmiä, toimielimiä sekä Nurmeksen kaupungin toimeksiantoja tekeviä palveluntuottajia toimeksiannon mukaisia tehtäviä hoitaessaan. Kaupungin tietoturva- ja tietosuojatyötä tehdään kiinteässä yhteistyössä Pohjois-Karjalan tietotekniikka Oy:n kanssa, joka toimittaa kaupungin ICT- palvelut, tietojärjestelmät ja tietotekniset laitteet. PTTK Oy vastaa tietojärjestelmien toipumis-, varautumis- ja valmiussuunnitelmista. Käsitteet Tietoturva tarkoittaa tietojen, palvelujen, järjestelmien ja tietoliikenteen suojaamista ja varmistamista niihin kohdistuvien riskien hallitsemiseksi sekä normaali- että poikkeusoloissa. Tavoitteena on varmistaa tiedon luottamuksellisuus, eheys ja käytettävyys. Tietoturvallisuuden osa-alueita ovat: - hallinnollinen turvallisuus (johtaminen ja hallinnointi) - henkilöturvallisuus (osaaminen, roolit, riittävyys) - fyysinen turvallisuus (toimitilojen ja laitteiden fyysinen suojaaminen) - tietoliikenneturvallisuus (tiedon siirron turvaaminen) - laitteistoturvallisuus (tietokoneiden, puhelinten ym. suojaaminen) - ohjelmistoturvallisuus (käyttövarmuus, jatkuvuus, käyttöoikeudet) - tietoaineiston turvallisuus (sähköisten ja paperisten dokumenttien käsittely ja suojaaminen) Tietosuojalla tarkoitetaan henkilöiden yksityisyyden suojaamista, luottamuksen turvaamista sekä oikeuksien ja oikeusturvan varmistamista Eu:n tietosuoja-asetuksen periaatteiden mukaisesti henkilötietoja käsiteltäessä. Hyvä tietosuojan toteuttaminen edellyttää hyvää tietoturvan tasoa.

Tietoturva- ja tietosuojapolitiikka 3 (5) Tavoitteet Tietoturvan ja tietosuojan on oltava osa koko organisaation jokapäiväistä toimintaa, jonka seurauksena - kaupungin tietoturva ja tietosuoja täyttää lainsäädännön vaatimukset - toiminnassa ja päätöksenteossa tarvittava tieto on oikein, ajantasaista ja luotettavaa ja sitä käsitellään lainmukaisesti, - julkinen tieto on helposti löydettävissä ja käytettävissä, - luottamuksellinen ja salassa pidettävä tieto on suojattu siten, että niitä voivat käyttää vain ne, jotka työtehtäviensä takia ovat siihen oikeutettuja, - henkilöstö on motivoitunut noudattamaan annettuja ohjeita ja toimintatapoja, - toimeksiantojen osapuolilta vaaditaan riittävä tietoturva ja -suoja. Hyvä tietoturva ja tietosuoja parantavat osaltaan Nurmeksen kaupungin toiminnan tehokkuutta ja tuloksellisuutta. Toteutus Tietoturva- ja tietosuojapolitiikan toteuttamiseksi Nurmeksen kaupungissa: - laaditaan tietoturva- ja tietosuojaperiaatteet, jossa kuvataan keskeiset toimintatavat ja -menetelmät tietojen käsittelylle, - laaditaan riittävät toimintaohjeet vastuuhenkilöille, henkilöstölle ja tiedon käsittelijöille - järjestetään koulutusta eri kohderyhmien (koko henkilöstö, johto ja esimiehet, henkilötietojen käsittelijät) tarpeiden mukaan ja otetaan tietoturva ja tietosuoja osaksi uuden työntekijän perehdytystä - suojataan tiedot ja järjestelmät siten, että niitä voivat käyttää vain siihen oikeutetut henkilöt - mitoitetaan käyttöympäristö ja resurssit siten, että toiminta on tehokasta ja laadukasta ja se edistää tietoturvan ja tietosuojan toteutumista kaupungin eri toiminnoissa - vaaditaan palveluntuottajilta sopimuksin riittävä tietoturva- ja tietosuojataso - edellytetään PTTK Oy:tä varmistamaan tietojärjestelmätoiminnot siten, että niiden keskeytyksistä ja häiriöistä huolimatta Nurmeksen kaupungin toiminta ja palvelut voidaan hoitaa vähintään ennalta sovitulla minimitasolla, - laaditaan toimintaohjeet havaittujen tietoturva- ja tietosuojapoikkeaminen käsittelylle. Tietoturva ja tietosuoja ovat osa Nurmeksen kaupungin normaalia toimintaa, jota kehitetään jatkuvasti riskiarvioinnin ja havaittujen epäkohtien pohjalta.

Tietoturva- ja tietosuojapolitiikka 4 (5) Organisointi ja vastuut Kaupunginhallitus hyväksyy tietoturva- ja tietosuojapolitiikan ja vastaa tarvittavien edellytysten luomisesta niiden toteuttamiseksi. Johtoryhmä vastaa tietoturva- ja tietosuojapolitiikan toteutuksesta hallinnollisella tasolla sekä tietoturvan ja tietosuojan integroimisesta kaupungin kokonaistoimintastrategiaan. Johtoryhmä vahvistaa politiikan mukaiset periaatteet ja antaa määräykset ja ohjeet sekä vastaa niiden käytäntöön viennistä. Johtoryhmä varmistaa toimintaan kuuluvien tietojen turvaamisen ja suojaamisen menetelmät, välineet ja toimenpiteet, työhön osoitetut resurssit sekä välineistön tietoturvaominaisuudet ICT-työryhmä, joka toimii myös tietoturva- ja tietosuojaryhmänä, valmistelee ja ohjaa tietoturvan ja tietosuojan käytännön toteutusta ja kehittämistoimenpiteitä sekä niihin liittyvää riskienhallintaa. Sen tehtäviin kuuluu tietoturvaan ja tietosuojaan liittyvien suunnitelmien, määräysten ja ohjeiden valmistelu ja ylläpito sekä niiden noudattamisen valvonta. ICTtyöryhmän tehtävänä on käynnistää toimenpiteet vakavien tietoturvaongelmien korjaamiseksi sekä käsitellä tietosuojarikkomukset ennalta suunnitellun prosessin mukaisesti. Esimiehet vastaavat siitä, että heidän alaisillaan on riittävä osaaminen, mahdollisuus riittävään kouluttautumiseen, ohjeistus ja asianmukaiset työkalut tietoturvan ja tietosuojan mukaiseen tietojenkäsittelyyn. Heidän tehtävänään on valvoa tietoturvan ja tietosuojan toteutumista omalla toimialallaan ja raportoida tietosuojan vaarantumiset sekä poikkeamat periaatteista tai ohjeistuksesta. Jokaisella työntekijällä ja luottamushenkilöllä on henkilötietoja käsitellessään velvollisuus toimia henkilötietolainsäädännön sekä tietosuojaperiaatteiden, tietoturvaperiaatteiden ja muun ohjeistuksen mukaisesti. Jokaisen vastuulla on raportoida havaitsemansa tietosuojan vaarantuminen tai poikkeamat periaatteista tai ohjeistuksesta organisaatiossa määrättävän toimintamallin mukaisesti. Tietosuojavastaavan tehtävänä on neuvonta, kehittäminen ja valvonta sekä johdolle raportointi Riskienhallinta Riskienhallinta tarkoittaa järjestelmällistä ja ennakoivaa tapaa tunnistaa, analysoida, hallita ja raportoida toimintaan liittyviä uhkia ja mahdollisuuksia. Kaupunginvaltuusto on hyväksynyt Nurmeksen kaupungin ja Nurmes-konsernin sisäisen valvonnan ja riskienhallinnan perusteet. Näitä perusteita noudatetaan myös tietoturvaan ja tietosuojaan liittyvien riskien arvioinnissa ja tarvittavien tavoitetasojen ja korjaustoimenpiteiden määrittelyssä.

Henkilötietojen käsittelyä koskevia erityissäännöksiä on lukuisissa eri aloja koskevissa laeissa Tietoturva- ja tietosuojapolitiikka 5 (5) Seuranta ja valvonta Tietoturvan ja tietosuojan toteutumisesta laaditaan vuosittain tietosuojan valvontasuunnitelma, jonka toteutumista käsitellään ict-työryhmässä ja johtoryhmässä. Käyttäjien ja ylläpitäjien tulee ilmoittaa havaitsemistaan tietoturva- ja tietosuojapuutteista, tietoturvaan ja tietosuojaan liittyvistä väärinkäytöksistä tai epäilemistään tietoturva- ja tietosuojarikkomuksista esimiehelle ja tietoturvavastaavalle. Tietoturvapoikkeamat käsitellään ennalta suunnitellun prosessin mukaisesti. Dokumentit ja keskeinen lainsäädäntö Tietoturva- ja tietosuojapolitiikassa määriteltyjen tavoitteiden saavuttamiseksi ja prosessien kehittämisen turvaamiseksi kunnassa laaditaan: - Tietoturva- ja tietosuojaperiaatteet - Toimintaohjeet - Henkilöstön tietoturva- tietosuojaopas - Tietosuojan valvontasuunnitelma - Tietoaineistojen käsittelyohjeet Pohjois-Karjala tietotekniikkakeskus Oy laatii - Toipumissuunnitelmat (palvelin- ja verkkolaitekohtaiset) - Varautumissuunnitelmat (järjestelmäkohtaiset) - ICT-Valmiussuunnitelma Tietoturva- ja tietosuojatyötä ohjaavaa keskeistä lainsäädäntöä ovat mm: - Arkistolaki (831/1994) - Euroopan parlamentin ja neuvoston tietosuoja-asetus (EU) (679/2016) - Hallintolaki (434/2003) - Henkilötietolaki (523/1999) 31.12.2018 saakka - Julkisuuslaki (Laki viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta 621/1999) - Julkisuusasetus (Asetus viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta 1030/1999) - Kuntalaki (410/2015) - Laki sähköisistä allekirjoituksista (14/2003) - Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003) - Laki yksityisyyden suojasta työelämässä (759/2004)Laki valmiuslain muuttamisesta (198/2000) - Henkilötietietojen käsittelyä koskevia erityissäännöksiä on lukuisissa eri aloja koskevissa laissa. Henkilötietojen käsittelyä koskevia erityissäännöksiä on lukuisissa eri aloja koskevissatulossa - Tietosuojalaki (1.1.2019 alkaen) - Tiedonhallintalaki - Erityislakien päivitykset asetuksen mukaiseksi

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute