POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Samankaltaiset tiedostot
RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

HEINÄVEDEN KUNNAN TIETOTURVAPOLITIIKKA

JOENSUUN KAUPUNGIN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Tietoturva- ja tietosuojapolitiikka

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Tietoturvapolitiikka

Eläketurvakeskuksen tietosuojapolitiikka

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka

Utajärven kunta TIETOTURVAPOLITIIKKA

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Tietoturva- ja tietosuojapolitiikka

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

1 Tietosuojapolitiikka

TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka Porvoon Kaupunki

Vihdin kunnan tietoturvapolitiikka

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

PUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus

Espoon kaupunki Tietoturvapolitiikka

TIETOTURVA- POLITIIKKA

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

Tietoturvapolitiikka

Laatua ja tehoa toimintaan

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

TIETOSUOJAPOLITIIKKA

Kunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Espoon kaupunki Tietoturvapolitiikka

Kuopion kaupunki Dnro 3720/2018 Elinvoima- ja konsernipalvelu Tietohallinto

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Tietoturvapolitiikka. Hattulan kunta

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Tietosuoja-asetus (GDPR)

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Tietoturva- ja tietosuojapolitiikka

Johdanto

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

Lapin yliopiston tietoturvapolitiikka

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Tietoturva tulevassa tiedonhallintalaissa ja VAHTI Kirsi Janhunen, Väestörekisterikeskus

EU TIETOSUOJA- ASETUS

Politiikka: Tietosuoja Sivu 1/5

TIETOTURVA JA TIETOSUOJAPOLITIIKKA

Sovelto Oyj JULKINEN

Tietosuojakysely 2018

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka NAANTALIN KAUPUNKI

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Tietosuojakysely 2019

Sisällysluettelo: TIETOSUOJAPOLITIIKKA 1 (6)

Tiedonhallinnan lainsäädännön kehittäminen

Tietoturva Kehityksen este vai varmistaja?

Kolarin kunnan tietosuojapolitiikka

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Henkilöstön ohjeistaminen JUDO-työpaja Juho Nurmi, tietosuojavastaava, Espoon kaupunki

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Informaatio-ohjaus ja tiedonhallintalaki tietoturvallisuuden kehittäjänä. Kirsi Janhunen, Väestörekisterikeskus

Tietoturvavastuut Tampereen yliopistossa

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

Espoon kaupunkikonsernin tietoturvapolitiikka

Tietotilinpäätös tietosuojan dokumentoinnissa Parhaat käytännöt: tietotilinpäätösmalli

Karkkilan kaupungin tietoturvapolitiikka

Taloushallinnon tukipalvelut Arkistointi. Marja Lehtisaari

Etelä-Pohjanmaan sairaanhoitopiirin tietoturva- ja tietosuojapolitiikka

TIETOSUOJAPOLITIIKKA. Turun kaupunki

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

OULUNKAAREN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

JYVÄSKYLÄN YLIOPISTON TIETOSUOJAPOLITIIKKA

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011

Tietoturvapolitiikan käsittely / muutokset:

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

OULAISTEN KAUPUNKI. Oulaisten kaupungin tietoturvapolitiikka

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Uudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Transkriptio:

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty:

DOKUMENTIN VERSIOTIEDOT Versio Pvm Muutosten kuvaus Tekijä 20.4.2018 Päivitetty Helena Kaasinen 03.05.2018 Tietosuojaryhmän käsittely 2

Sisällys 1. Johdanto... 4 2. Tietoturvan ja tietosuojan tavoitteet... 4 3. Tietoturva ja tietosuoja käsitteitä... 5 4. Organisointi ja vastuut... 6 5. Riskienhallinta... 7 6. Tietoturvan ja tietosuojan toteutus... 7 7. Tietoturvan ja tietosuojan toteutumisen seuranta ja valvonta... 8 8. Dokumentit ja keskeinen lainsäädäntö... 8 3

4 1. JOHDANTO Kunnan toiminnassa käsitellään paljon eri muodossa olevaa tietoa. Vaatimus tietojenkäsittelyn hyvään tietoturvaan ja tietosuojaan perustuu lainsäädäntöön. Tietoturvan ja tietosuojan edistäminen on myös osa kunnan toiminnan kehittämistä. Tietoturva- ja tietosuojapolitiikkaan on koottu Polvijärven kunnassa noudatettavat tietoturvan ja tietosuojan tavoitteet, periaatteet, toteuttamisen organisointitavat ja vastuut. Palvelujensa toiminnan varmistamiseksi Polvijärven kunta on sitoutunut kaikessa toiminnassaan lainsäädäntöön perustuvaan tietoturvan ja tietosuojan ylläpitoon ja sen jatkuvaan kehittämiseen. Tietoturva- ja tietosuojan parantaminen on osa kunnan toiminnan kehittämistä, jatkuvuuden varmistamista ja sisäistä valvontaa. Tietoturva- ja tietosuojapolitiikkaan pohjautuvat suunnitelmat, ohjeet ja määräykset kattavat kaikki tietojen käsittelytoiminnot koko tiedon elinkaaren ajan, riippumatta siitä, missä muodossa tieto on. Ohjeet ja määräykset koskevat kaikkia Polvijärven kunnan työntekijöitä, luottamushenkilöitä, toimielimiä ja Polvijärven kunnan toimeksiantoja tekeviä palveluntuottajia. Sopimuksia tehtäessä huomioidaan palveluntuottajien riittävä tietoturva- ja tietosuojataso. Tietoturva- ja tietosuojatyötä tehdään yhteistyössä Pohjois-Karjalan tietotekniikka Oy:n kanssa (myöhemmin PTTK). PTTK Oy toimittaa kunnan ICT- palvelut, tietojärjestelmät ja tietotekniset laitteet. 2. TIETOTURVAN JA TIETOSUOJAN TAVOITTEET Tietoturvan ja tietosuojan on oltava osa koko organisaation jokapäiväistä toimintaa. Kunnassa käsitellään erilaisia henkilötietoja, taloustietoja ja hallinnon asiakirjoja. Osa näistä tiedoista on salassa pidettävää, arkaluonteista tai muuten luottamuksellista tietoa. Polvijärven kunnan tietoturva- ja tietosuojatyön tavoitteena on - mitoittaa ja järjestää käyttöympäristö ja resurssit siten, että toiminta on tehokasta ja se edistää tietoturvan ja tietosuojan toteutumista kunnan eri toiminnoissa - turvata tärkeiden tietojärjestelmien ja tietoverkkojen häiriötön toiminta

5 - varmistaa, että toiminnassa käytettävän tieto on oikeaa, ajantasaista, luotettavaa ja sitä käsitellään lainmukaisesti - että julkinen tieto on helposti löydettävissä ja käytettävissä - rekisteröidyn laissa määriteltyjen oikeuksien turvaaminen - varmistaa, että tiedot eivät joudu tahattomasti tai tahallisesti asiattomien haltuun tai tuhottavaksi - varmistaa, että tietoja ja tietojärjestelmiä käyttävät vain henkilöt, joilla on niihin oikeus työtehtäviensä hoitamiseksi - noudattaa henkilötietojen käsittelyssä periaatteita, joita ovat kohtuullisuus ja läpinäkyvyys, käyttötarkoitussidonnaisuus, tietojen minimointi, täsmällisyys, säilytyksen rajoittaminen, eheys ja luottamuksellisuus - dokumentoinnilla osoittaa, että lainmukaisuusperiaatteita on noudatettu. Tietojärjestelmätoimintojen keskeytyksistä ja häiriöistä huolimatta kunnan toiminta ja palvelut on pystyttävä hoitamaan vähintään PTTK Oy:n kanssa ennalta sovitulla minimitasolla. Luotettavuus riippuu palveluketjusta, joka muodostuu PTTK Oy:n tuottamista toimivista työasemista, tietoliikenneverkoista, konesalipalveluista, tietojärjestelmistä ja kunnan käyttäjistä. Normaalitoiminnan jatkuvuuden turvaamisen lisäksi poikkeusolojen valmiuden luominen ja ylläpito on välttämätön osa PTTK Oy:n kunnille tuottamaa tietojenkäsittelyn turvallisuutta. Hyvä tietoturva ja tietosuoja edistävät osaltaan Polvijärven kunnan toiminnan tehokkuutta ja tuloksellisuutta. 3. TIETOTURVA JA TIETOSUOJA KÄSITTEITÄ Tietoturva tarkoittaa tietojen, palvelujen, järjestelmien ja tietoliikenteen suojaamista ja varmistamista niihin kohdistuvien riskien hallitsemiseksi lainsäädännöllisillä, hallinnollisilla, teknisillä ja muilla toiminnoilla sekä normaali- että poikkeusoloissa. Tietoturvallisuus kattaa kaikenlaiset tietojenkäsittelytehtävät sisältäen myös erityyppisten dokumenttien arkistoinnin. Tietoturvallisuustoimet koskevat sähköisessä, puhutussa ja kirjallisessa muodossa olevan tiedon käsittelyä, säilyttämistä, luovutusta ja siirtoa. Tietoturvallisuuteen sisältyy - hallinnollinen turvallisuus (johtaminen ja hallinnointi) - henkilöturvallisuus (osaaminen, roolit, riittävyys) - fyysinen turvallisuus (toimitilojen ja laitteiden fyysinen suojaaminen) - tietoliikenneturvallisuus (tiedon siirron turvaaminen)

6 - laitteistoturvallisuus (tietokoneiden, puhelinten ym. suojaaminen) - ohjelmistoturvallisuus (käyttövarmuus, jatkuvuus, käyttöoikeudet) - tietoaineiston turvallisuus (sähköisten ja paperisten dokumenttien käsittely ja seuraaminen) Tietoturvallisuustyö on tietoturvallisuuden saavuttamiseksi tehtävien toimenpiteiden suunnittelua ja toteuttamista. Toimintaan kuuluvat tietojen turvaamisen menetelmät, välineet ja toimenpiteet, työhön osoitetut resurssit sekä välineistön tietoturvaominaisuudet. Tietosuojalla tarkoitetaan henkilöiden yksityisyyden, suojaamista, luottamuksen turvaamista sekä oikeuksien ja oikeusturvan varmistamista henkilötietoja käsiteltäessä. Hyvä tietosuoja edellyttää hyvää tietoturvatasoa. 4. ORGANISOINTI JA VASTUUT Kunnanhallitus hyväksyy kunnan tietoturva- ja tietosuojapolitiikan ja vastaa tietoturvan ja tietosuojan toteuttamisen edellytyksien luomisesta asetettujen tavoitteiden saavuttamiseksi. Johtoryhmä vastaa tietoturva- ja tietosuojapolitiikan toteutuksesta hallinnollisella tasolla sekä tietoturvan ja tietosuojan integroimisesta kunnan kokonaistoimintastrategiaan. Johtoryhmä varmistaa toimintaan kuuluvien tietojen turvaamisen ja suojaamisen menetelmät, välineet ja toimenpiteet, työhön osoitetut resurssit sekä välineistön tietoturvaominaisuudet. Tietosuojaryhmä valmistelee ja ohjaa tietoturvan ja tietosuojan käytännön toteutusta ja kehittämistoimenpiteitä sekä niihin liittyvää riskienhallintaa. Tietosuojaryhmän tehtävänä on käynnistää toimenpiteet vakavien tietoturvaongelmien korjaamiseksi sekä käsitellä tietosuojarikkomukset ennalta suunnitellun prosessin mukaisesti. Tietoturvatyöryhmän muihin tehtäviin kuuluvat tietoturvaan ja tietosuojaan liittyvien suunnitelmien ja ohjeistuksien laatiminen ja käytäntöön vienti sekä koulutusten järjestäminen. Ryhmä valmistelee ja ohjaa kunnan tietoturvan ja tietosuojan käytännön toteutusta ja kehittämistoimenpiteitä sekä niihin liittyvää riskienhallintaa. Esimiehet vastaavat siitä, että työntekijät perehdytetään tietoturva- ja tietosuoja-asioihin ja -ohjeistuksiin ja että työntekijät ymmärtävät lakien ja asetusten merkityksen työtehtävissään. Esimiesten tehtäviin kuuluu havainnoida ja reagoida tietoturva- ja tietosuojaongelmiin.

7 Tietosuojavastaavan tehtävänä on neuvonta, kehittäminen, seuranta ja raportointi yhdessä muiden tietosuojaryhmän jäsenien kanssa. Tietosuojavastaava on mukana uusien tietojärjestelmien hankintaprosessissa. Lisäksi jokainen Polvijärven kunnan työntekijä ja luottamushenkilö on vastuussa tietoturvan ja tietosuojan toteuttamisesta omalta osaltaan. Jokainen työntekijä vastaa siitä, että henkilötietoja käsitellessään noudattaa niitä koskevia lakeja ja annettua ohjeistusta. 5. RISKIENHALLINTA Riskien hallinta tarkoittaa järjestelmällistä ja ennakoivaa tapaa tunnistaa, analysoida, hallita ja raportoida toimintaan liittyviä uhkia ja mahdollisuuksia. Riskien hallinta on osa sisäistä valvontaa. Tietoturvan ja tietosuojan riskien arvioinnista ja riskienhallinnasta vastaa kunnan tietosuojaryhmä ja riskien hallintaprosessista vastaavat toimialajohtajat ja esimiehet. Tietoturva ja tietosuoja ovat osa kunnan normaalia toimintaa, jota kehitetään jatkuvasti riskiarvioinnin ja havaittujen epäkohtien pohjalta. 6. TIETOTURVAN JA TIETOSUOJAN TOTEUTUS Polvijärven tietoturvan ja tietosuojan perusta on Polvijärven kunnanhallituksen vahvistama tietoturva- ja tietosuojapolitiikka. Lisäksi laaditaan tietoturva- ja tietosuojaperiaatteet ja toimintaohjeet, joissa kuvataan keskeiset toimintatavat ja menetelmät tietojen käsittelylle. Henkilöstön tietosuojaoppaassa ohjeistetaan tiedonkäsittelyä käytännön tasolla. Tietoturva- ja tietosuojadokumentteihin liittyvät PTTK:n tietojärjestelmistä laatimat toipumis-, varautumis- ja valmiussuunnitelmat, joissa kuvataan toimenpiteet ja menetelmät toiminnan jatkuvuuden turvaamiseksi sekä toiminnan palauttamiseksi normaalitasolle häiriötilanteiden jälkeen. Tietoturvaa ja tietosuojaa koskeva perehdytys sisällytetään perehdytysohjeisiin. Tietoturva-ja tietosuojadokumentaatiosta tarvittaessa palveluntuottajille vastaavat toimialajohtajat ja esimiehet. Henkilöstölle tiedotetaan tietoturvaan ja tietosuojaan liittyvistä ohjeista tai niiden muutoksista ja järjestetään riittävä koulutus. Tietoturva ja tietosuoja ovat osa Polvijärven kunnan normaalia toimintaa, jota kehitetään jatkuvasti riskiarvioinnin ja havaittujen epäkohtien pohjalta.

8 7. TIETOTURVAN JA TIETOSUOJAN TOTEUTUMISEN SEURANTA JA VALVONTA Tietoturvan ja tietosuojan toteutumisesta laaditaan vuosittain tietosuojan valvontasuunnitelma, jonka pohjalta tietoturvan ja tietosuojan toteutumista seurataan tietosuojaryhmässä. Jokaisen Polvijärven kunnan työntekijän ja luottamushenkilön tulee ilmoittaa havaitsemistaan tietoturva- ja tietosuojapuutteista, tietoturvaan ja tietosuojaan liittyvistä väärinkäytöksistä tai epäilemistään tietoturva- ja tietosuojarikkomuksista esimiehelle ja tietosuojavastaavalle. Tietoturvapoikkeamat käsitellään ennalta suunnitellun ja ohjeistetun prosessin mukaisesti. 8. DOKUMENTIT JA KESKEINEN LAINSÄÄDÄNTÖ Tietoturva- ja tietosuojapolitiikassa määriteltyjen tavoitteiden saavuttamiseksi ja prosessien kehittämisen turvaamiseksi kunnassa laaditaan: - Tietoturva- ja tietosuojaperiaatteet - Henkilöstön tietosuojaopas - Tietosuojan valvontasuunnitelma - Tietoaineistojen käsittelyohje PTTK laatii - Toipumissuunnitelmat (palvelin- ja verkkolaitekohtaiset) - Varautumissuunnitelmat (järjestelmäkohtaiset) - ICT-Valmiussuunnitelma Tietoturva- ja tietosuojatyötä ohjaavaa keskeistä lainsäädäntöä ovat: - Arkistolaki (831/1994) - Euroopan parlamentin ja neuvoston tietosuoja-asetus (EU) (679/2016) - Hallintolaki (434/2003) - Henkilötietolaki (523/1999) 31.12.2018 saakka - Julkisuuslaki (Laki viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta 621/1999) - Julkisuusasetus (Asetus viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta 1030/1999) - Kuntalaki (410/2015) - Laki sähköisistä allekirjoituksista (14/2003) - Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003)

- Laki yksityisyyden suojasta työelämässä (759/2004)Laki valmiuslain muuttamisesta (198/2000) - Henkilötietietojen käsittelyä koskevia erityissäännöksiä on lukuisissa eri aloja koskevissa laissa. Tulossa - Tietosuojalaki - Tiedonhallintalaki - Erityislakien päivitykset asetuksen mukaiseksi 9

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute