TIETOTURVAPOLITIIKKA. Versio: 1.0

Samankaltaiset tiedostot
KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Tietoturvapolitiikka

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka

Sovelto Oyj JULKINEN

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

TIETOTURVA- POLITIIKKA

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Politiikka: Tietosuoja Sivu 1/5

Eläketurvakeskuksen tietosuojapolitiikka

1 Tietosuojapolitiikka

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

TIETOTURVAPOLITIIKKA

Espoon kaupunki Tietoturvapolitiikka

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Tietoturvaa verkkotunnusvälittäjille

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

TIETOTURVAPOLITIIKKA

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Viestintäviraston tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka

ILMOITUSVELVOLLISEN RISKIARVION LAATIMINEN

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta. 1 Ohjeen soveltamisala, tavoitteet ja rajaukset. 2 Jatkuvuuden hallinnan säädösympäristö

Kyberturvallisuus kiinteistöautomaatiossa

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Tietosuoja- ja tietoturvapolitiikka

Sopimuksiin perustuva toiminnan jatkuvuuden hallinta

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto

TT-turvallisuusjohtamisjärjestelmän rakentamisen vaiheet

Tietoturvallisuusliite

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Riskit hallintaan ISO 31000

Miten toteutetaan hyvä vesihuollon varautumissuunnitelma ja miten toimintaa häiriötilanteessa voidaan harjoitella? Lounais-Suomen vesihuoltopäivä

PK-yrityksen tietoturvasuunnitelman laatiminen

SYSTEMAATTINEN RISKIANALYYSI YRITYKSEN TOIMINTAVARMUUDEN KEHITTÄMISEKSI

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Case-esimerkki: Miten Valtori hallitsee riskejä? Tommi Simula Riskienhallintapäällikkö

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Tietoturva ja viestintä

Liiketoiminnan ICT-riippuvuus kasvaa hallitaanko riskit?

Innovaatiivinen hallinta Saimaan ja Atlantin rannalla. Case: I-SSHP & Walter Reed Army Medical Center

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Espoon kaupunkikonsernin tietoturvapolitiikka

Miten näkökulmat ovat syventyneet ISO ja välillä? Lassi Väisänen

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

TIETOSUOJAPOLITIIKKA

Mikko Hollmén Kiinteistöjohtaja, PSSHP Sairaalatekniikan päivät

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Utajärven kunta TIETOTURVAPOLITIIKKA

Miksi EU:n uusi tietosuoja on osa hyvää salkunhallintaa?

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

Tietoturvavastuut Tampereen yliopistossa

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Tietosuoja-asetus (GDPR)

TIETOTURVATASOVAATIMUKSET HANKINNOISSA

Henkilötietojen käsittelyn ehdot. 1. Yleistä

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

Sisäisen valvonnan ja Riskienhallinnan perusteet

HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVA LIITE

HALLINNOINTIKOODI (CORPORATE GOVERNANCE)

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Componenta Oyj. Selvitys hallinto- ja ohjausjärjestelmästä

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tiedätkö, olet oman elämäsi riskienhallintapäällikkö! Miten sovellat riskienhallintaa omassa työssäsi? Pyry Heikkinen

ESPOON SEUDUN KOULUTUSKUNTAYHTYMÄ OMNIA ESITYSLISTA 1 Yhtymäkokous KOKOUKSEN LAILLISUUS JA PÄÄTÖSVALTAISUUS

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Kuinka toimin erilaisissa häiriötilanteissa? Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Erja Kinnunen, Verohallinto 2.10.

Tietoturvapolitiikka

Digital by Default varautumisessa huomioitavaa

Kasva tietoturvallisena yrityksenä

Lausunto Linjausten tulisi perustua pilvipalvelujen käyttöön liittyvään yleiseen riskiarvioon

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

SFS-ISO/IEC 27018:2014 Menettelyohjeet henkilötietojen suojaamiseen henkilötietoja käsittelevissä julkisissa pilvipalveluissa

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Riskienhallinta- ja turvallisuuspolitiikka

TIETOSUOJAPOLITIIKKA. Turun kaupunki

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

Ti Tietoturvan Perusteet : Politiikka

Turvallisuuden bisnesmalli

Transkriptio:

TIETOTURVAPOLITIIKKA Versio: 1.0 Pvm: 5. Huhtikuuta 2018

2(10) SISÄLTÖ Tietoturvan tavoitteita ja siihen liityviä käsitteitä... 3 Tietoturvan johtaminen... 4 Tietoturvapolitiikan määritelmä... 6 Tietoturvapolitiikan auditointi... 6 ICT-järjestelmien, prosessien ja muiden käytäntöjen tietoturva-auditointi... 6 Tietoturva-auditointitiedon suojaaminen... 6 Riskienhallintapolitiikka... 6 Tietoturvan vastuuttaminen organisaatiossa... 7 Tietoturvan huomioiminen projekteissa... 8 Kouvolan Vesi Oy:n toiminnan suojaaminen tietoturvalla... 9

3(10) Tietoturvan tavoitteita ja siihen liityviä käsitteitä Tämä tietoturvapolitiikka heijastaa Kouvolan Vesi Oy:n liiketoimintaan kohdistuvia lakisääteisiä, sopimussääteisiä ja liiketoimintapohjaisia tietoturvavaatimuksia. Tietoturvapolitiikka on myös omalta osaltaan vaatimusmäärittely, jota Kouvolan Vesi Oy:n organisaation, toimittajien ja ICT-palvelujen on noudatettava. Tietoturvan tavoitteena on turvata Kouvolan Vesi Oy:n liiketoiminnan jatkuvuus, lainmukaisuus ja sopimustenmukaisuus sekä omalta osaltaan ennaltaehkäistä mahdollisia häiriöitä ja vahinkoja. Tärkeitä mittareita tietoturvan onnistumisessa on: 1. Kouvolan Vesi Oy:n käsittelemien ja varastoimien tietojen luottamuksellisuuden, eheyden, saatavuuden ja jäljitettävyyden säilyttäminen kaikissa olosuhteissa 2. Auditoinneilla saatava varmuus siitä että tietoturvapolitiikan mukaiset säännöt toteutuvat Kouvolan Vesi Oy:n liiketoiminnassa, ICT-palveluissa ja niiden käytössä 3. Jatkuva tehostaminen tietoturvan laadussa ja kustannuksissa. 4. Turvata Kouvolan Vesi Oy:n liiketoiminnan jatkuvuus Tietoturvan tavoitteissa käytetyt käsitteet: 1. Tiedon luottamuksellisuudella tarkoitetaan sitä, että tieto on ainoastaan siihen oikeutettujen käyttäjien saatavilla 2. Tiedon eheydellä tarkoitetaan sitä, että tietoa voi lisätä, muokata ja poistaa ainoastaan siihen oikeutetut henkilöt 3. Saatavuudella tarkoitetaan sitä, että järjestelmät ja palvelut sekä niiden sisältämät tiedot ovat käyttäjien saatavilla, eikä niissä esiinny tietoturvasta aiheutuvia palvelukatkoja 4. Jäljitettävyydellä tarkoitetaan sitä, että pystytään osoittamaan kuka on käsitellyt tietoa tai palvelua ja/tai kenellä on ollut mahdollisuus siihen

4(10) Alla oleva kuva havainnollistaa Kouvolan Vesi Oy:n tietoturvapolitiikan ja riskienhallinnan tavoitteita. Tapahtuma Toisaalta pyritään pienentämään todennäköisyyksiä, että tietoturvauhat toteutuvat ja toisaalta pyritään pienentämään mahdollisen toteutumisen aiheuttamaa häiriötä ja nopeuttamaan palautumista toiminnan normaaliin tilaan. Kuvassa: - Yrityksen toiminta häiriintyy tietoturvatapahtuman johdosta ja häiriön suuruudelle on piirretty kolme eri vaihtoehtoa. Punainen on suurin häiriö ja sininen on pienin häiriö. - Palautuminen häiriöstä takaisin ns. normaalitasoon voi olla eripituista. Sinisestä häiriötilasta on palautuminen nopeampaa kuin keltaisesta ja punaisesta. - Insidentin aiheuttama vaikutus yritykselle määräytyy häiriön suuruuden ja keston perusteella. - Riski määräytyy insidentin todennäköisyyden ja sen aiheuttaman vaikutuksen perusteella. Tietoturvan johtaminen Tietoturvaa johdetaan tietoturvapolitiikalla ja riskienhallintapolitiikalla. Tietoturvapolitiikan tehtävänä on saada organisaatio, sen käyttämät palvelut 1 ja palveluntarjoajat toimimaan Kouvolan Vesi Oy:n kohtaamien vaatimusten mukaisesti noudattaen tietoturvan hyvää käytäntöä. Tietoturvapolitiikka ei aina kerro sitä konkreettista tapaa, jolla tietoturvapolitiikan mukaiset vaatimukset saavutettaisiin. Joissakin asioissa tietoturvapolitiikka on hyvinkin tarkka, säätäen esim. kuinka pitkiä salasanojen tulee olla tai kuinka usein näitä on vaihdettava. Tietoturvapolitiikan soveltamista varten voidaan tuottaa erillisiä ohjeistuksia. Tietoturvapolitiikka ei myöskään voi huomioida kaikkia mahdollisia tietoturvaa vaarantavia tilanteita, joiden takia käyttäjillä on erityinen vastuu erilaisten uhkien torjumisessa ja mahdollisten tietoturvahäiriöiden tunnistamisessa. Aktiivinen riskienhallinta on myös erittäin 1 Palvelu on yleisnimi kaikille niille toiminnoille, ICT-järjestelmille, jne. joita organisaatio käyttää toiminnassaan. Esimerkkejä palveluista ovat mm. henkilöstöhallinto, taloushallinto, tietoverkko, työasema(t). Palvelut koostuvat usein useasta eri kohteesta, kuten ohjelmistoista, sovelluspalvelimista, jne.

5(10) tärkeää, jotta kaikki uhat saadaan tunnistettua ja riittävästi mitigoitua. Riskienhallinnassa ei käytetä sanamuotoa riskien eliminointi, koska riskejä voidaan harvoin kokonaan eliminoida ja mitigointi tarkoittaa uhan toteutumisen todennäköisyyden alentamista ja/tai uhan toteutumisen aiheuttaman vahingon pienentämistä. Seuraava esimerkki valottaa tietoturvapolitiikan ja riskienhallinnan välisestä yhteistyöstä: - Tietoturvapolitiikan mukaisesti yhtiön palvelinten sähkönsaanti tulee turvata kaikissa olosuhteissa - Riskiarviossa todetaan uhaksi sähkökatko yleisessä sähkönjakelussa. Riskiarvion mukaisesti yleisen sähkökatkon todennäköisyyttä ei voida pienentää, mutta sen aiheuttamaa vahinkoa voidaan pienentää käyttämällä UPS-akkuja ja dieselgeneraattoreita. Riskianalyysin mukaisesti myös UPS-akuissa ja Diesel-moottoreissa voi olla häiriöitä, jolloin niitä tulee jatkuvasti huoltaa, koekäyttää ja kahdentaa. - Lopputuloksena yrityksen palvelinten käytössä on kahdennetut UPS-akut, kahdennetut diesel-generaattorit, joita kaikkia huolletaan ja koekäytetään säännöllisesti, vaikka näitä turvamekanismeja ei ole erikseen määrätty tietoturvapolitiikassa. Alla oleva kuva visualisoi kuinka yrityksen johto muuntaa yritykseen kohdistuvat ulkoiset ja sisäiset vaatimukset tietoturvaan liittyvien politiikkojen ja ohjeiden avulla käytännön työhön. Viime kädessä, kun kaikki toimivat annettujen tietoturvapolitiikkojen ja ohjeiden mukaisesti, varmistuu että yritys toimii kokonaisuudessaan lakien, sopimusten ja yritykseen kohdistuvien hyvien hallinto-odotusten mukaisesti. Kuva 2: Tietoturvapolitiikka on osa ketjua, jolla yritys turvaa yhdenmukaisuutensa lakien, sopimusten, omistajien ja muiden sidosryhmien asettamien tavoitteiden mukaisesti Tietoturvapolitiikka ja riskienhallintapolitiikka muodostavat kokonaisuuden, jolla pyritään eliminoimaan toistuvat uhat (tietoturvapolitiikan avulla) sekä uudet tai kertaluonteiset uhat (riskienhallintapolitiikan avulla).

6(10) Ohjeistus auttaa organisaatiota toteuttamaan tarvittavan suojauksen, jotta saavutetaan yhdenmukaisuus tietoturvapolitiikan kanssa. Tietoturvapolitiikan määritelmä Tietoturvapolitiikka on yhtiön johdon hyväksymä ja sen noudattaminen on pakollista jokaiselle Kouvolan Vesi Oy:lle töitä tekevälle henkilölle riippumatta siitä mikä on henkilön työ- tai toimeksiantosuhde Kouvolan Vesi Oy:n kanssa. Vastaavasti jokaisen organisaation, joka tuottaa palveluita Kouvolan Vesi Oy:lle, on noudatettava tietoturvapolitiikkaa Kouvolan Vesi Oy:lle toimitetuissa palveluissa. Tietoturvapolitiikan auditointi Tietoturva-politiikka tulee auditoida vähintään kerran vuodessa, jolloin tulee arvioida mm. onko Kouvolan Vesi Oy:n toimintaympäristössä tapahtunut sellaisia muutoksia jotka edellyttävät muutoksia tietoturvapolitiikkaan tai onko ICT-järjestelmien operoinnissa tai käyttäjien kokemuksissa havaittu sellaisia asioita, jotka vaativat vastaavia muutoksia tietoturvapolitiikkaan. ICT-järjestelmien, prosessien ja muiden käytäntöjen tietoturva-auditointi Kouvolan Vesi Oy:n ICT-järjestelmät, prosessit, jne. tulee vähintään kerran vuodessa auditoida. Tavoitteena on turvata Kouvolan Vesi Oy:n toiminta ja varmistaa, että se noudattaa yrityksen hyväksymää tietoturvapolitiikkaa ja että näissä ei ole sellaisia tietoturvariskejä jotka vaarantavat Kouvolan Vesi Oy:n liiketoiminnan jatkuvuuden tai aiheuta mahdollisia häiriöitä siihen. Tietoturva-auditointitiedon suojaaminen Kaikki tietoturvaan liittyvät auditointitiedot ja riskiarviot ovat luottamuksellisia ja merkittäviä puutteita indikoivat tiedot ovat salaisia. Näin turvataan, ettei näitä tietoja tai niiden osoittamia heikkouksia pystytä hyödyntämään vahingollisessa tarkoituksessa ennen kuin Kouvolan Vesi Oy on ehtinyt korjaamaan havaitut heikkoudet. Riskienhallintapolitiikka Riskienhallinta koskee kaikkien mahdollisten uhkien mitigointia, eikä se siten rajoitu yksistään tietoturvaan kohdistuviin uhkiin. Tämän takia riskienhallintapolitiikka on kuvattu erillisessä dokumentissa. Tietoturvaan liittyvässä riskienhallinnassa on noudatettava seuraavaa: 1. Tietoturvaan liittyvät riskiarviot on tehtävä palvelu/toimintokohtaisesti siten, että riskiarvio kattaa kaikki palvelussa/toiminnossa tarvittavat/käytetyt ICT-laitteet 2. Riskiarviot on tehtävä vähintään kerran vuodessa ja aina kun palvelussa/toiminnossa/laitteissa tehdään merkittävä muutos

7(10) 3. Riskiarviot ovat luottamuksellisia ja jos niissä ilmenee merkittäviä riskejä ovat nämä tiedot salaisia, jotta heikkouksia/haavoittuvuuksia ei pystyttäisi hyödyntämään vahingollisessa tarkoituksessa Tietoturvan vastuuttaminen organisaatiossa Tietoturvan toteuttamisesta vastaa yrityksen ylin johto tietoturvapolitiikan mukaisesti ja toteutus tapahtuu koko organisaatiossa, sen kaikilla eri tasoilla. Tämän takia vastuu tietoturvasta ja toiminnan jatkuvuuden turvaamisesta on vastuutettava niille henkilöille, jotka käytännössä pystyvät vaikuttamaan tietoturvan toteutumiseen. Käytännössä tämä tarkoittaa, että jokainen Kouvolan Vesi Oy:n toimintaan osallistuva henkilö ja yritys on velvoitettu: 1. Noudattamaan Kouvolan Vesi Oy:n tietoturvapolitiikkaa 2. Havainnoimaan ja raportoimaan mahdollisista tietoturvapolitiikan rikkomuksista 3. Havainnoimaan ja raportoimaan oman toimialueensa riskeistä ja heikkouksista, jotka vaarantavat Kouvolan Vesi Oy:n tietoturvaa Näiden koko organisaatiota koskevien vastuiden lisäksi on Kouvolan Vesi Oy:n johdolla ja tietoturvavastaavalla seuraavat nimetyt vastuut: 1. Hallitus a. Hyväksyy tietoturvaan liittyvät politiikat, kuten tietoturvapolitiikan, riskienhallintapolitiikan, henkilötietojen suojauspolitiikan, tietojen luokittelupolitiikan, jne. 2. Yrityksen johtoryhmä a. Nimittää tietoturvaorganisaation tietoturvan ohjausryhmän b. Varaa riittävät resurssit tietoturvasta vastaavien käytettäväksi, jotta tietoturvapolitiikka ja sen tavoitteet toteutuvat c. Luokittelee liiketoiminnon tarvitsemat järjestelmät eri kriittisyysluokkiin, jotka heijastavat kunkin järjestelmän tärkeyttä Kouvolan Vesi Oy:n toiminnoille ja kuinka suurta vahinkoa tietomurrot voivat kussakin järjestelmässä aiheuttaa d. Nimeää palvelujen omistajat 3. Palvelujen omistajat a. Tunnistaa eri järjestelmien väliset riippuvuussuhteet b. Tunnistaa palveluihin liittyvät henkilörekisterit, rekisterinpitäjän ja käsittelijän roolit

8(10) c. Monitoroida palveluihin liittyviä riskejä, jotta riskit säilyvät riskienhallintapolitiikan sallimissa tasoissa Tietoturvan huomioiminen projekteissa Projektit heijastavat uuden kehittämistä tai muutosta johonkin olemassa olevaan. Uuden kehittämisessä ja muutoksissa ei ole kokemuksen antamaa turvaa, jolloin näissä on myös suurempi riski heikkouksien ja haavoittuvuuksien syntymiselle. Tämän takia on tärkeää, että projektityössä tehdään laadukkaita riskiarvioita ja että niissä pyritään tunnistamaan kaikki mahdolliset tietoturva uhkat, näiden todennäköisyydet ja vaikutukset ei sallittujen riskitasojen mitigoimiseksi. Riskienhallinta ja tietoturvapolitiikan noudattaminen projektin tuotoksissa on oltava mukana projektin alusta lähtien.

9(10) Kouvolan Vesi Oy:n toiminnan suojaaminen tietoturvalla Tietoturvakontrollit ovat keinoja ja ohjelmistoja, joilla pyritään turvaamaan tietojen luottamuksellisuus ja eheys, palvelujen saatavuus sekä tapahtumien jäljitettävyys. Palvelujen suojaamisessa on noudatettava seuraavaa menetelmää: 1. Palvelujen tunnistaminen ja tietoturvaluokittelu - Kouvolan Vesi Oy:n toiminta on riippuvainen erinäisistä tuotantoresursseista, kuten henkilökunnasta, veden tuottamisesta ja jakelussa käytettävästä automaatiosta, alihankkijoista, tietotekniikasta, jne. Palvelun tunnistamisessa tulee tunnistaa myös sen tuottamiseen tarvittavat resurssit. Esimerkiksi kun tunnistetaan Kouvolan Vesi Oy:n sisäinen tietoverkko -palvelu, on myös tunnistettava mitkä kaikki reitittimet, kytkimet, tukiasemat, hakemistot ja muut laitteet/ohjelmistot osallistuvat tämän sisäverkko-palvelun tuottamiseen. - Kaikki tunnistetut palvelut tulee tietoturvaluokitella niihin mahdollisesti tulevien häiriöiden aiheuttamien vahinkojen perusteella. Vahinkoja ovat palvelun 1) sisältämien tietojen luottamuksellisuuden tai eheyden menetys, 2) saatavuuden menetys ja 3) tapahtumien jäljitettävyyden menetys. Mahdollisten vahinkojen perusteella tehtyä luokittelua tulee käyttää riskienhallinnassa, jatkuvuussuunnittelussa ja tietoturvan mitoituksen suunnittelussa. 2. Palvelujen välisten riippuvuussuhteiden tunnistaminen - Palvelujen väliset riippuvuussuhteet on tunnistettava. Riippuvuussuhteella tarkoitetaan sitä, että yhdessä palvelussa oleva häiriö vaikuttaa toisen palvelun toimivuuteen. Esim. sähköpostipalvelun saatavuus on riippuvainen internetyhteyden (palvelusta) saatavuudesta. - Palvelujen välisiä riippuvuussuhteita tulee hyödyntää palvelujen jatkuvuussuunnittelussa ja palvelujen kriittisyysluokittelussa. Esim. useimmat liiketoimintasovellukset ovat riippuvaisia internet-yhteyden saatavuudesta ja luottamuksellisuudesta, jolloin Internet-yhteyden kriittisyys määräytyy siitä riippuvaisten muiden palvelujen kautta. 3. Palveluihin liittyvien riskien riskienhallinta - Riskienhallinnalla tulee palveluihin kohdistuvat riskit mitigoida 2 niin että riskit eivät ylitä Kouvolan Vesi Oy:n hyväksymiä riskitasoja 3. 4. Palvelujen suojaamiseksi soveltuvien tietoturvakontrollien tunnistaminen 2 Mitigoinnilla tarkoitetaan kaikkia niitä keinoja, joilla uhan aiheuttavaa riskiä pienennetään, joko vähentämällä uhan toteutumisen todennäköisyyttä tai sen aiheuttaman vahingon suuruutta 3 Riskitaso määräytyy arviosta uhan toteutumisen todennäköisyydestä ja arviosta sen aiheuttamasta vahingosta. Hyväksytyt riskitasot on määritelty Kouvolan Vesi Oy:n riskienhallintapolitiikassa

10(10) - Tuotantohäiriöiden ehkäisemiseksi ja tietoturvan ylläpitämiseksi on kaikki palvelut suojattava soveltuvin tietoturvakontrollein. - Palvelun suojaamiseksi soveltuvista tietoturvakontrolleista on tehtävä kirjallinen soveltamissuunnitelma (statement of applicability, SOA) 5. Soveltuvien tietoturvakontrollien käyttöönotto - Soveltamissuunnitelman mukaiset tietoturvakontrollit tulee ottaa käyttöön ISO 27002 standardin mukaisesti. Poikkeamat käyttöönoton soveltamissuunnitelmasta tai ISO 27002 standardista tulee raportoida tietoturvan ohjausryhmälle. 6. Käyttöönotettujen tietoturvakontrollien seuranta, auditointi ja kehittäminen - Käyttöönotettujen tietoturvakontrollien toimintaa ja mahdollisia hälytyksiä tulee seurata niin että tietoturvakontrollien mahdollisiin toimintahäiriöihin ja hälytyksiin voidaan reagoida. - Mahdolliset toimintahäiriöt ja hälytykset tulee ilmoittaa tietoturvavastaavalle ja niihin on reagoitava asiaankuuluvalla tavalla. 7. Tietoturvavaatimusten seuranta ja niihin sopeutuminen - Kouvolan Vesi Oy:n toimintaympäristöä on seurattava, jotta siinä mahdollisesti tapahtuvat muutokset pystytään huomioimaan tietoturvassa. Sopivia lähteitä toimintaympäristön muutosten seurantaan on mm. kyberturvakeskuksen tiedotteet ns. huoltovarmuus kriittisille yrityksille, toimialajärjestö(t), lehdistö, jne. Toimintaympäristössä tapahtuvien muutosten vaikutukset tulee huomioida Kouvolan Vesi Oy:n tietoturvapolitiikassa ja tietoturvaan liittyvissä käytännöissä. - Kouvolan Vesi Oy:n tulee katselmoida tietoturvapolitiikka, palvelukohtaiset tietoturvakontrollien soveltamissuunnitelmat ja mahdolliset muutokset tietoturvakontrollien toteutusohjeissa (ISO 27002) vähintään kerran vuodessa.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute