Sovelto Oyj JULKINEN

Samankaltaiset tiedostot
KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

TIETOTURVA- POLITIIKKA

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Vihdin kunnan tietoturvapolitiikka

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Utajärven kunta TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus

Tietoturvapolitiikka Porvoon Kaupunki

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Tietoturvavastuut Tampereen yliopistossa

Tietoturvapolitiikka

Ammattikorkeakoulu 108 Liite 1

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka

TIETOTURVAPOLITIIKKA

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Johtokunta Tietoturva- ja tietosuojapolitiikka

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

Tietosuoja- ja tietoturvapolitiikka

Tietoturvapolitiikka

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

TIETOTURVAPOLITIIKKA

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

Tietoturva- ja tietosuojapolitiikka

Tietoturvapolitiikka NAANTALIN KAUPUNKI

TIETOTURVAN KEHITTÄMISHANKE LOPPURAPORTTI LUOVUTETTU YLIOPISTON LAADUNKEHITTÄMISRYHMÄLLE JYVÄSKYLÄN YLIOPISTO

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Espoon kaupunki Tietoturvapolitiikka

Tietoturvapolitiikka. Hattulan kunta

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Tietoturvakartoitus yrityksen Internet-palveluja tuottavassa yksikössä

Espoon kaupunki Tietoturvapolitiikka

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Tietoturvapolitiikan käsittely / muutokset:

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

Karkkilan kaupungin tietoturvapolitiikka

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto

KESKI-POHJANMAAN IT-ALUEKESKUS. KPA:n TIETOTURVAPOLITIIKKA 2012 ja tietoturvamääräykset

Eläketurvakeskuksen tietosuojapolitiikka

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Espoon kaupunkikonsernin tietoturvapolitiikka

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

SISÄISEN VALVONNAN PERUSTEET

Lapin yliopiston tietoturvapolitiikka

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA

Kunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka

TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET ALKAEN

Laatua ja tehoa toimintaan

Luottamusta lisäämässä

TIETOTURVAPOLITIIKKA. Hyväksytty

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

JOENSUUN KAUPUNGIN TIETOTURVAPOLITIIKKA

Politiikka: Tietosuoja Sivu 1/5

Tietoturvapolitiikka

HEINÄVEDEN KUNNAN TIETOTURVAPOLITIIKKA

, RAU/475/ /2018

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

PUUMALAN KUNNAN TIETOTURVAPOLITIIKKA

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

PK-yrityksen tietoturvasuunnitelman laatiminen

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Tietoturvapolitiikka

Liite/Kvalt , 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Isonkyrön kunta

Sisäisen valvonnan ja Riskienhallinnan perusteet

Tietoturva ja viestintä

TIETOSUOJAPOLITIIKKA. Turun kaupunki

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

SUONENJOEN KAUPUNKI TIETOSUOJA- JA TIETOTURVAPOLITIIKKA

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Viestintäviraston tietoturvapolitiikka

SFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

Tietoturva hallinnossa Jukka Kuoksa, Johtava vesitalousasiantuntija

TIETOTURVATASOVAATIMUKSET HANKINNOISSA

KEMI-TORNIONLAAKSON KOULUTUSKUNTAYHTYMÄ LAP- PIAN TIETOTURVAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Oulun Maanmittauskerho ry. Tietosuojaseloste

Lapinlahden kunnan tietoturvapolitiikka

Kuopion kaupunki Dnro 3720/2018 Elinvoima- ja konsernipalvelu Tietohallinto

Jämsän kaupungin tietoturvapolitiikka

Transkriptio:

1 (5) 21.3.2018 JULKINEN :n Vastuu :n toiminnasta on sen ylimmällä johdolla. Yrityksen toiminta ja palvelut ovat suuresti riippuvaisia tietotekniikkapalveluiden saatavuudesta ja niiden turvallisesta toiminnasta. Tietotekniikan hyödyntäminen ja tietoturvallisuuteen panostaminen ovat johdon strategisia päätöksiä, joilla vaikutetaan Sovelto Oyj:n toimintakykyyn merkittävällä tavalla. :n toiminnan ydin perustuu tietoon. Tiedon turvaaminen on oleellinen osa :n toiminnan ja palveluiden laatua, kokonaisturvallisuutta ja yrityksessä tapahtuvaa päivittäistä tietojen käsittelyä. Tietoturvallisuuden hyvä hallinta edellyttää kaiken toiminnan jatkuvaa seurantaa, pitkäjänteistä suunnittelua, varautumista erilaisiin uhkatilanteisiin, sovittujen toimintatapojen noudattamista, ohjeita, koulutusta ja viestintää. :n tavoitteena on luoda ja ylläpitää luotettava ja turvallinen ympäristö henkilökunnan, asiakkaiden ja ulkoisten sidosryhmien tietojen käsittelyyn. Tietoturvapolitiikka on :n johdon kannanotto, joka määrittelee tietojen turvaamisen tavoitteet, vastuut ja toteutuskeinot yrityksessä. Tietoturvapolitiikka on julkinen asiakirja ja se voidaan antaa kaikille siitä kiinnostuneille tiedoksi. Tavoitteet Tietoturvallisuus koostuu tiedon luottamuksellisuudesta, eheydestä ja käytettävyydestä. Tietojen turvaamisessa huomioidaan omina osa-alueinaan valtionhallinnon käytännön mukaan hallinnollinen, henkilöstö-, fyysinen, tietoaineisto-, tietoliikenne-, laitteisto-, ohjelmisto- ja käyttöturvallisuus. Tietojen turvallisuudesta on huolehdittava niin manuaalisesti kuin tietotekniikankin avulla tapahtuvassa tiedon käsittelyssä, tiedon kaikissa olomuodoissa ja tiedon koko elinkaaren ajan. :n tavoitteena on turvata riittävällä ja tarkoituksenmukaisella tasolla toiminnalleen tärkeiden tietojen, tietojärjestelmien, palveluiden ja tietoverkkojen toiminta, estää niiden valtuudeton käyttö sekä tahaton tai tahallinen tiedon tuhoutuminen ja vääristyminen. Tietoturvatyö on tietojen turvaamiseksi tehtävää jatkuvaa kehittämistä, suunnittelua, toteuttamista ja seurantaa koko :n henkilöstön osalta. Tietoturvatyöllä pyritään ennaltaehkäisemään sisäisistä ja ulkoisista tietoon kohdistuvista uhista aiheutuvat vahingot tai rajoittamaan ne hyväksyttävälle tasolle sekä varautumaan poikkeamatilanteista toipumiseen. varautuu tietoturvallisuuden osalta häiriö- ja poikkeusoloihin siten, että yrityksen toimintaa voidaan jatkaa mahdollisimman häiriöttömästi kaikissa olosuhteissa. :n tietoturvallisuudesta huolehditaan kansallisten ja kansainvälisten tietoturvallisuutta koskevien säädösten mukaisesti sekä noudattaen myös valtionhallinnon tietoturvallisuudesta antamia ohjeita ja suosituksia. :n tavoitteena on, että tietoturvajärjestelyt ovat hyvää kansallista ja kansainvälistä tasoa. :n eri toimipisteiden perusluonne ja mahdolliset tarpeet turvallisuuden tehostamiseen tulee ottaa huomioon tietoturvallisuuden toimintoja suunniteltaessa. 33100

2 (5) 21.3.2018 JULKINEN Vastuut ja organisointi Tietoturvallisuuden toteuttaminen on jatkuvaa laaja-alaista toimintaa, jota ei voida asettaa vain muutaman vastuuhenkilön kannettavaksi, vaan johon tarvitaan tiivistä ja rakentavaa yhteistyötä kaikkien :n työyhteisöön kuuluvien henkilöiden ja ryhmien kesken. Tietoturvallisuus toimii tehokkaimmillaan silloin, kun kaikki tiedon käsittelijät huolehtivat oman tehtäväkenttänsä tietoturvallisuudesta parhaalla mahdollisella tavalla. Vastuu :n toiminnasta on sen ylimmällä johdolla. Vastuu tietoturvallisuuden toteuttamisesta ja valvonnasta kuuluu jokaiselle yrityksessä jollain tavalla toimivalle henkilölle. KUVA 1. :n tietoturvallisuuden hallinnointi Tietoturvallisuus on osa :n kokonaisturvallisuutta ja tietohallintoa. :n johtoryhmä vastaa tietoturvallisuuden päälinjauksista, strategisesta ohjauksesta, seurannasta sekä riittävästä resursoinnista. :n johtoryhmä nimeää yrityksen omistamien tietojen ja tietojärjestelmien omistajat, jotka toimivat näiden omien osa-alueidensa vastuuhenkilöinä. 33100

3 (5) 21.3.2018 JULKINEN Tietojen ja tietojärjestelmien omistajat vastaavat tietoturvallisuuden toteutumisesta. Vastuu tietoturvallisuuden kokonaisvaltaisesta kehittämisestä on hallintojohtajalla, joka raportoi tietoturvallisuuden tilasta toimitusjohtajalle. Hallintojohtajan tukena käytännön toteutuksissa ovat ICTohjausryhmän jäsenet sekä eri toimialueista vastaavat asiantuntijat. ICT-ohjausryhmän keskeisinä tehtävinä tietoturvallisuuden osalta ovat: suunnitella, kehittää, toteuttaa ja valvoa :n tietoturvallisuutta hallita tietojärjestelmiin ja tietotekniikkapalveluihin liittyviä tietoturvallisuuden riskejä, ja sekä huolehtia, että yrityksellä on poikkeusolojen jatkuvuussuunnitelmat infrastruktuurin, keskeisten järjestelmien ja palveluiden osalta vastata :n tietoliikenneverkon turvallisuudesta, keskeisten tietoturvallisuutta parantavien ohjelmistojen ja laitteistojen hankinnasta sekä näihin liittyvistä palveluista ylläpitää ja tuottaa ajantasaista koko yritystä koskevaa tietoturvaohjeistusta sekä tiedottaa ajankohtaisista tietoturvallisuuden aiheista huolehtia henkilöstön tietoturvatietoisuuden lisäämisestä ja tietoturvakoulutuksen suunnittelusta Tietoturvavastaava toimii yhteistyössä :n ICT-ohjausryhmän ja Sovelton tietoturvaryhmän kanssa. Tietoturvavastaavan tehtävänä on: vastata tietoturvallisuuden kehittämisestä kokonaisuutena osana :n tietohallintoa ja osana :n kokonaisturvallisuutta organisoida ja koordinoida tietoturvallisuuden toimintojen ja ryhmien toimintaa yrityksessä vastata tietoturvallisuuskoulutuksen järjestämisestä sekä tiedottaa tietoturvallisuusasioista ja -ongelmista valvoa ja puuttua havaitsemiinsa tietoturvapoikkeamiin sekä johtaa tietoturvapoikkeamatilanteiden sisäistä tutkintaa kehittää yhdessä Sovelton omien asiantuntijoiden sekä muiden tietoturvatoimijoiden kanssa kansallista tietoturvayhteistyötä raportoida hallintojohtajalle :n tietoturvallisuuden tilanteesta Tietoturvavastaavan tukena toimivat nimetyt tietoturvaryhmän jäsenet ja muut Sovelton asiantuntijat, joiden erityisenä tehtävänä on tukea käytännön tietoturvatyötä ja auttaa yrityksen tietoturvatavoitteiden toteuttamisessa. :n työyhteisöön kuuluvien henkilöiden ja ryhmien vastuut ja velvollisuudet on määritelty henkilöstön tietoturvaohjeessa. Pääsääntö on se, että jokainen :n tietoja käsittelevä, tietojärjestelmien tai tietoverkkojen ylläpitäjä ja käyttäjä on viime kädessä itse vastuussa tietoturvallisuuden toteuttamisesta. Toteutuskeinot Tietojen käsittelyyn ja tietojärjestelmiin liittyviä riskejä hallitaan tietoturvallisuuden riskien hallinnan periaatteiden mukaisesti. Tunnistettujen riskien ja haluttujen kehittämistoimien pohjalta tietoturvavastaava laatii :n tietoturvan kehittämissuunnitelman. Tietoturvaryhmä apunaan muut asiantuntijat avustavat riskien hallinnoinnissa yritystä luomalla sääntöjä ja menettelyohjeita, sekä rakentamalla teknisiä työkaluja, joilla tietoturvariskejä voidaan tunnistaa ja ehkäistä. 33100

4 (5) 21.3.2018 JULKINEN Tietoturvallisuuden ylläpito ja kehittäminen on jatkuva prosessi, joka tapahtuu hallinnollisten, fyysisten ja tietoteknisten ratkaisujen avulla. Tietojen ja tietojärjestelmien omistajat toteuttavat tietoturvallisuuden käytännön riskien hallintaa tietoturvakartoituksin ja tunnistettuja riskejä ehkäisemällä. Kartoituksia toistetaan määräajoin sekä merkittävien muutosten yhteydessä. Yksittäiset tietoturvatoteutukset kuvataan tarvittaessa erillisissä suunnitelmissa. Tietoturvallisuuden puutteet analysoidaan ja korjataan tietojen omistajien ja järjestelmien ylläpitäjien toimesta. Tietoturvallisuus sisältyy :n toimintaprosessien kehittämiseen sekä yksiköiden vuosisuunnitteluun. Henkilökunnalle tiedotetaan tietoturvallisuudesta ja heitä koskevista säännöistä ja suosituksista sekä järjestetään koulutustilaisuuksia. Käyttäjien toiminnan tietoturvallisuutta ohjataan ohjeilla ja säännöillä sekä tietojen turvallisen käsittelyn koulutuksella ja tiedotuksella. Tietojen turvallisesta käsittelystä solmitaan sopimukset myös :n tietoja käsittelevien organisaatioiden sekä muiden yhteistyökumppaneiden kanssa. :n tietoturvallisuutta koskevat asiat eivät ole aktiivisen ulkoisen tiedottamisen aihe. Tietoturvallisuuteen liittyvästä tiedottamisesta vastaa tietoturvavastaava. Seuranta ja ongelmatilanteiden käsittely Tietoturvallisuudesta huolehtiminen edellyttää jatkuvaa tietoturvallisuuden seurantaa sekä sen tason ja poikkeamien raportointia. Seurantaa toteutetaan sekä teknisin että hallinnollisin keinoin. Tietoturvavastaava koordinoi tietoturvallisuuden seurantaa ja raportoi tietoturvallisuuden tasosta ja sen poikkeamista hallintojohtajalle. Lisäksi tietoturvavastaava raportoi ICT-ohjausryhmälle. Tietoturvavastaava voi tarvittaessa käynnistää :n tietojen käsittelyn turvallisuuteen liittyviä kartoituksia ja ryhtyä toimenpiteisiin havaittujen puutteiden korjaamiseksi. Tietoturvavastaava voi puuttua myös tiedon turvattomaan manuaaliseen käsittelyyn. Jos tiedon hallintatavasta tai tietojärjestelmästä on uhkaa :n tietoturvallisuudelle, tietoturvavastaavalla on oikeus määrätä sille säännöstön pohjalta hallinnollisia tai teknisiä rajoituksia. Yksiköissä tietoturvallisuuden seurantaa koordinoivat yksikön johtaja ja tietojärjestelmien vastuuhenkilöt. Seuranta on kattavaa ja jatkuvaa, puutteista raportoidaan kampuksen tietoturvakoordinaattorille. Tietoturvavastaava johtaa poikkeamien sisäistä tutkintaa ja huolehtii rikostapauksissa yhteydenpidosta viranomaisiin. Tietoturvarikkomusten tutkinnan aikana tietoturvavastaavalla on mahdollisuus rajoittaa käyttöoikeuksia tietojärjestelmiin. Jokaisen tiedon käsittelijän velvollisuutena on ilmoittaa havaitsemistaan tietoturvallisuuden puutteista, väärinkäytöksistä tai epäilemistään tietoturvarikkomuksista tiedon tai tietojärjestelmän omistajalle. 33100

5 (5) 21.3.2018 JULKINEN Tietoturvavastaava vastaa tietoturvapoikkeamien jatkotoimenpiteistä säännöstön ja kuvattujen prosessien pohjalta. Ohjeet ja säännöt Tietoturvapolitiikkaa tukevat ICT-ohjausryhmän ja tietoturvaryhmän ylläpitämät asianmukaiset tietoturvallisuuteen ja tietojärjestelmiin liittyvät ohjeistukset ja säännöt. Tietoturvallisuuteen ja tietojärjestelmien käyttöön liittyvistä säännöistä ja niiden ajantasaistamisesta päättää hallintojohtaja. Tietoturvallisen toiminnan tueksi henkilöstölle on luotu toimintaohjeita ja prosesseja, jotka on julkaistu erillisessä sisäisessä dokumentissa. Lisäksi henkilöstölle on tehty useita ohjevideoita aiheeseen liittyen. Liitteet Tietoturvaan liittyvät liitteet ovat pääosin luottamuksellisia asiakirjoja. Dokumentaatio ja sen ylläpito on jatkuva prosessi, jolla pyritään pitämään ohjeistus ajantasaisena ja kaikkien tiedossa. Dokumentaatioon kuuluvat mm. seuraavat tätä a tukevat asiakirjat: 1. Tietoturvan kehittämissuunnitelma 2. Tietoturvaan liittyvien toimintojen prosessikuvaukset 3. Tietoturvan ohjeistus henkilöstölle 4. Asiakirjojen luokittelu ja käsittelyohje 5. Roolien määrittely, vastuut ja kontrollit 33100

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute