Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Samankaltaiset tiedostot
Vihdin kunnan tietoturvapolitiikka

Tietoturvapolitiikka

Tietoturvapolitiikka Porvoon Kaupunki

TIETOTURVAPOLITIIKKA

Karkkilan kaupungin tietoturvapolitiikka

Tietoturva- ja tietosuojapolitiikka

Tietoturvapolitiikka. Hattulan kunta

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

Tietoturvapolitiikka NAANTALIN KAUPUNKI

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Johdanto

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

Kunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka

Kuopion kaupunki Dnro 3720/2018 Elinvoima- ja konsernipalvelu Tietohallinto

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

TIETOTURVA- POLITIIKKA

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Sovelto Oyj JULKINEN

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Espoon kaupunki Tietoturva- ja tietosuojapolitiikka

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietoturvavastuut Tampereen yliopistossa

Tietosuoja- ja tietoturvapolitiikka

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

Eläketurvakeskuksen tietosuojapolitiikka

Tietoturvapolitiikka

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Politiikka: Tietosuoja Sivu 1/5

Tietoturvapolitiikan käsittely / muutokset:

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Laatua ja tehoa toimintaan

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Tietoturvapolitiikka

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Tietosuoja- ja tietoturvapolitiikka

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Utajärven kunta TIETOTURVAPOLITIIKKA

Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka

PUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOTURVAPOLITIIKKA

Tietoturva- ja tietosuojapolitiikka

1 Tietosuojapolitiikka

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Tietoturvapolitiikka

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Yhtymähallitus Yhtymävaltuusto Siun sote - kuntayhtymän sisäisen valvonnan ja riskienhallinnan perusteet

Sisäisen valvonnan ja Riskienhallinnan perusteet

, RAU/475/ /2018

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Espoon kaupunkikonsernin tietoturvapolitiikka

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Tietoturva- ja tietosuojapolitiikka

TIETOSUOJAPOLITIIKKA. Turun kaupunki

Lapinlahden kunnan tietoturvapolitiikka

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

TIETOSUOJAPOLITIIKKA

Ulvilan kaupungin tietosuojapolitiikka

Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus

T I E TO S U O JA JA T I E TOT U RVA L L I S U U S O M N I A S S A Riina Kirilova, tietosuoja- ja tietoturvapäällikkö

Seinäjoen kaupungin tietoturvapolitiikka. Kh , 149

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

Liite/Kvalt , 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Isonkyrön kunta

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Johtokunta Tietoturva- ja tietosuojapolitiikka

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Uudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet

SUUNNITTELE JA JOHDA TURVALLISUUTTA, ENNAKOI RISKIT JA VARMISTA LAATU- JA TURVALLISUUSKULTTUURI

Tietoturva- ja tietosuojapolitiikka

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA

SISÄISEN VALVONNAN PERUSTEET

Haminan tietosuojapolitiikka

JUHTA: n toteuttamat tietosuojayhteishankkeet Kick off-tilaisuus ja 1. työpaja

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Lapin yliopiston tietoturvapolitiikka

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

SISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

Kaupunginhallitus Liite 2 203

TIETOTURVA JA TIETOSUOJAPOLITIIKKA

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Keski-Pohjanmaan erikoissairaanhoito- ja peruspalvelukuntayhtymän sisäisen valvonnan ja riskienhallinnan perusteet

Transkriptio:

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka Kunnanhallitus Kunnan johtoryhmä Sisällys 1 Johdanto... 2 2 Mitä tietosuoja ja tietoturvallisuus ovat?... 2 2.1 Tietosuoja on perustuslain suojaamaa yksityisyyden suojaa... 2 2.2 Tietoturvallisuus on osa kokonaisturvallisuutta... 2 2.3 Tietosuojan ja tietoturvallisuuden hallinta... 3 2.4 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen... 3 3 Tietosuojatavoitteet... 4 4 Tietoturvallisuustavoitteet... 4 5 Organisointi ja vastuut... 4 5.1 Rekisterinpitäjät... 4 5.2 Tehtäväroolit... 4 6 Tiedon ja tietojärjestelmien käyttö... 6 7 Tietosuoja- sekä tietoturvaosaamisen (ja tietoisuuden) ylläpito... 6 8 Tietoturvallisuuden seuranta, ylläpito ja kehittäminen... 6

1 Johdanto Vihdin kunnan toiminta ja palvelut perustuvat enenevässä määrin tietoon. Tiedon hallintaa ja käyttöä tukevien prosessien ja järjestelyjen tulee toimia asianmukaisesti kaikissa tilanteissa. Tämä edellyttää tehokasta johtamista, luotettavia tietojen käsittelyn toteutuksia ja osaavaa henkilöstöä. Tietosuoja- ja tietoturvapolitiikassa kunnan johto määrittelee tietojen käsittelyä koskevat periaatteet, vastuut ja tavoitteet. Politiikka toimii perustana kunnan tietojenkäsittelyä koskeville ohjeille, joiden tehtävänä on tarkentaa politiikassa annettuja määräyksiä ja auttaa niiden käytäntöön soveltamisessa. Tietosuoja- ja tietoturvapolitiikka soveltamisohjeineen pidetään käyttäjien saatavilla kunnan intranetissä. Tietosuoja- ja tietoturvapolitiikka koskee kunnan koko organisaatiota sekä niitä kunnan sidosryhmien edustajia, jotka toimeksiantojensa puitteissa käsittelevät kunnan omistamaa tai hallinnoimaa tietoa. Politiikka kattaa kunnan käyttämän, omistaman ja hallinnoiman tiedon riippumatta tiedon esitystavasta, muodosta, suojaustasosta tai elinkaaren vaiheesta. 2 Mitä tietosuoja ja tietoturvallisuus ovat? 2.1 Tietosuoja on perustuslain suojaamaa yksityisyyden suojaa Tietosuojalla tarkoitetaan toimenpiteitä, joiden tarkoituksena on suojata henkilön yksityisyys henkilötietojen käsittelyssä. Näitä toimenpiteitä ovat muun muassa tietojen valtuudettoman saannin estäminen ja tietojen luottamuksellisuuden säilyttäminen sekä henkilötietojen suojaaminen valtuudettomalta tai henkilöä vahingoittavalta käytöltä. 2.2 Tietoturvallisuus on osa kokonaisturvallisuutta Kunnan kokonaisturvallisuus muodostuu useista osa-alueista, joihin kaikkiin liittyy myös tietoturvallisuuden ulottuvuus tai näkökulma (Kuva 1). Tietoturvallisuus on siksi kiinteä osa kunnan johtamista, palveluita ja toimintoja. Se ulottuu jokaisen työntekijän arkipäivän työtehtäviin ja työtapoihin. Kuva 1. Kunnan kokonaisturvallisuus 2/7

Tietoturvallisuuteen liittyvillä vastuutuksilla ja käytännöillä pyritään varmistamaan, että kunnan omistama ja hallinnoima tieto on oikeaa ja eheää, eikä muuttunut teknisen tai inhimillisen toiminnan seurauksena on vain siihen oikeutettujen saatavilla on saatavilla, kun sitä tarvitaan, ja siinä muodossa, jossa sitä tarvitaan Tähän liittyen tulee tiedon omistajuus ja käyttöoikeudet määritellä sekä huolehtia tiedon elinkaaren hallinnasta niin, että tietoon sen käsittelyn eri vaiheissa tehdyt muutokset voidaan tarvittaessa jäljittää ja todentaa. 2.3 Tietosuojan ja tietoturvallisuuden hallinta Hyvän tietosuojan ja tietoturvallisuuden aikaansaaminen ja ylläpito edellyttävät tietoista johtamista ja hyvän hallintotavan noudattamista kunnan kaikissa toiminnoissa. Tietosuojan ja tietoturvallisuuden osalta tämä kokonaisuus sisältää suunnitteluun, toteutukseen, seurantaan ja ohjaukseen liittyvät prosessit, asiakirjat, kontrollit ja vastuut. Kunnan tietoturvatyötä ohjaavat, soveltuvilta osin, mm. seuraavat viitekehykset: Kuntaa velvoittavat lait ja asetukset (mainittu tietosuojan ja tietoturvan soveltamisohjeissa) Tietosuojavaltuutetun toimiston ohjeet Julkisen hallinnon tietohallinnon neuvottelukunnan (JUHTA) suositukset Kunnan omat strategiat ja niistä johdetut vaatimukset Valtionhallinnon Tietoturvallisuuden johtoryhmän (VAHTI) ohjeet 2.4 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen Kunnan turvallisuusjärjestelyiden ja varautumisen perustan muodostavat kunnan riskienhallintapolitiikassa ja -suunnitelmissa kuvatut riskienhallinnan prosessit. Riskienhallinnan yleisenä tavoitteena on riskien tunnistaminen ja rajoittaminen hyväksyttävälle tasolle niin, että riskienhallintakeinot ovat suhteessa suojattavan kohteen kriittisyyteen ja riskin suuruuteen. Riskienhallinta kattaa myös tietoon kohdistuvat, tiedosta tai tietojen käsittelystä aiheutuvat sekä tietosuojaan liittyvät riskit. Kuva 2. Riskienhallintaprosessi standardin SFS-ISO 31000 mukaan 3/7

Kunnan tulee varautua turvaamaan toimintansa ja palveluidensa jatkuvuus normaalioloissa, normaaliolojen häiriötilanteissa sekä poikkeusoloissa. Varautumisen suunnittelussa kunnan tulee ottaa huomioon myös henkilötietojen, tietojenkäsittelyprosessien ja tietojärjestelmien turvaaminen. 3 Tietosuojatavoitteet Kunta noudattaa henkilötietojen käsittelyssä EU:n tietosuoja-asetusta sekä sitä täydentäviä kansallisen lainsäädännön määräyksiä. Tietosuojatoimien keskeisimpänä tavoitteena on asiakas- ja muiden henkilötietojen valtuudettoman saannin estäminen ja niiden luottamuksellisuuden säilyttäminen tiedon elinkaaren kaikissa vaiheissa. Tietosuojan kehittämistoimet kohdennetaan ja mitoitetaan riskiarvioinnin perusteella. 4 Tietoturvallisuustavoitteet Kunnan tavoitteena on saavuttaa Tietoturvallisuusasetuksen (681/2010, 5 ) kuvaaman tietoturvallisuuden perustason vaatimukset koko kunnan laajuisesti ja korotetun tason vaatimukset lainsäädännön edellyttämissä toiminnoissa tai toiminnan muutoin niin vaatiessa. 5 Organisointi ja vastuut 5.1 Rekisterinpitäjät 5.2 Tehtäväroolit Kunnanhallituksella on yleinen kehittämis-, johto- ja ohjausvastuu kunnan eri hallintokuntien toiminnasta ja sen lainmukaisuudesta. Henkilötietojen käsittelyyn liittyvien säädösten tarkoittama rekisterinpitäjä on se, jonka käyttöä varten henkilörekisteri perustetaan. Kunnassa rekisteritoimintojen laillisuudesta rekisterinpitäjänä vastaa aina kulloinkin kysymyksessä olevien tehtävien hoidosta säännösten ja määräysten mukaan vastuussa oleva viranomainen. Eri hallintokuntien osalta rekisterinpitäjinä toimivat pääsääntöisesti lautakunnat tai sitä vastaavat toimielimet, ellei kunnan toimintoja ja tehtävien hoitoa koskevista erityissäännöksistä muuta johdu. Kunnan keskeisimmät henkilötietojen käsittelyyn sekä tietoturvallisuuteen liittyvät toimijat ja tehtäväroolit vastuineen on määritelty seuraavassa. Jollei kunnan hallinto- tai muissa säännöissä ole toisin määritelty, kunnanjohtaja vastaa sopivimman henkilön nimeämisestä kuhunkin rooliin. Kunnanjohtaja toimii tietoturvallisuuden omistajana kunnassa luoden edellytykset niiden asianmukaiselle toteuttamiselle. Tarvittaessa kunnanjohtaja asettaa ryhmän seuraamaan tietoturvan ja tietosuojan toteutumista, tekemään kehitysehdotuksia sekä toimimaan toimialojen tietoturva- ja tietosuojavastaavien sekä järjestelmien pääkäyttäjien tukena. 4/7

Tietohallinto vastaa tietoturvallisuuden ja tarkoituksenmukaisen teknisen valvonnan toteutumisesta tietojärjestelmäympäristössä lain sallimin ja yhteistoimintamenettelyn valtuuttamin menetelmin. Tietosuojavastaava koordinoi tietosuojan kehittämistoimia, seuraa tietosuojasääntöjen noudattamista, antaa tietoja ja neuvoja, tarkastelee lokitietoja tarvittaessa, toimii rekisteröityjen yhteyshenkilönä tietosuoja-asioissa ja tekee yhteistyötä valvontaviranomaisten kanssa. Tietoturvavastaava vastaa tietoturvallisuuden toteutumisesta ja integroitumisesta muihin kokonaisturvallisuuden osa-alueisiin. Vastuuseen sisältyy tarvittava suunnittelu, ohjaus, tiedottaminen, seuranta ja kehittäminen sekä tietoturvariskien ja -poikkeamien hallinnan koordinointi. Tietoturvavastaava raportoi kunnanjohtajalle. Toimialan johto vastaa tietoturvallisuuden ja tietosuojan toteutuksesta johtamansa toiminnan osalta. Toimialakohtaiset tiedonhallintavastaavat huolehtivat toimialajohdon alaisuudessa tietosuojan ja tietoturvan toteutumisesta. He raportoivat toimialajohdon lisäksi tietoturvavastaavalle. Esimies vastaa tietoturvallisuuden ja tietosuojan toteutumisesta alaisessaan toiminnassa. Tiedon, tietojärjestelmän tai palvelun omistaja vastaa omistukseensa liittyvästä käyttäjien ja heidän käyttöoikeuksiensa määrittelystä ja hyväksynnästä käyttäjien ja pääkäyttäjän ohjeistamisesta lokienhallinnan periaatteista riskienhallinnan toteuttamisesta tiedon eheyden varmistamisesta tietojen luokittelusta (julkisuuden ja salassapidon määrittely sekä arkistonmuodostus) Tietojärjestelmän pääkäyttäjä vastaa tietojärjestelmän omistajan antamien sekä tietosuojaan ja tietoturvaan liittyvien ohjeiden mukaisesti käyttöoikeuksiin tehtävien muutoksien toteuttamisesta ja ilmoittamisesta tietojärjestelmän toiminnan valvonnasta lokienhallinnan käytännön toimista tietoturva- ja tietosuojaloukkausten ilmoittamisesta eteenpäin riskienhallintaan liittyvien toimenpiteiden toteuttamisesta Tiedon ja tietojärjestelmien käyttäjä vastaa omalta osaltaan määräysten ja ohjeiden noudattamisesta. Jokaisen käyttäjän vastuulla on lisäksi tietoturvaan ja tietosuojaan liittyvien poikkeamien, uhkien ja riskien ilmoittaminen viipymättä joko esimiehelle, pääkäyttäjälle, tietosuojavastaavalle tai tietotekniikan palvelupisteeseen (helpdesk). 5/7

6 Tiedon ja tietojärjestelmien käyttö Kunnan tietoja ja tietojärjestelmiä käytettäessä tulee noudattaa seuraavia tietoturvallisuutta edistäviä periaatteita ja sääntöjä: 1. Kunnan käytössä oleva tieto sekä tietojärjestelmät, tietotekniset laitteet ja ohjelmistot on tarkoitettu työtehtävien hoitamista varten. 2. Kunnan tietojärjestelmäympäristössä saa käyttää ainoastaan tietohallinnon hyväksymiä tietojärjestelmiä, laitteita ja ohjelmistoja. 3. Tietotekniset asennustyöt saa suorittaa vain tietohallinto tai sen valtuuttama taho. 4. Kunnan toimintaa ja palveluita tukevat tietojärjestelmät luokitellaan kriittisyyden perusteella ja niille nimetään omistaja. 5. Käyttöoikeudet kunnan tietoon ja tietojärjestelmiin myönnetään työtehtävien hoitoon tarvittavassa laajuudessa. Käyttöoikeudet hyväksyy hakemuksen perusteella tietojärjestelmän omistaja tai hänen valtuuttamansa taho. 6. Tietoturvallisuutta koskeviin laiminlyönteihin ja väärinkäytöksiin puututaan välittömästi kunnan normaalein kurinpidollisin keinoin tai lainsäädännön edellyttämällä tavalla. 7. Tiedon turvalliset käsittelytavat ja tietoturvapoikkeamien hallintakäytännöt kuvataan erillisissä ohjeissa. 7 Tietosuoja- sekä tietoturvaosaamisen (ja tietoisuuden) ylläpito Jokainen uudessa tehtävässä aloittava työtekijä perehdytetään tietosuojan ja tietoturvan perusteisiin ja siihen, miten tietojenkäsittely tulee huomioida hänen omissa työtehtävissään. Lisäksi tietosuojan ja tietoturvallisuuden peruskoulutusta on tarjolla säännöllisesti ja ohjeistus on kaikkien työntekijöiden saatavilla. Tietoturvallisuuden ja tietosuojan ylläpidosta, kehittämisestä ja johtamisesta vastaaville tarjotaan riittävä hallinnollinen ja tekninen koulutus. 8 Tietoturvallisuuden seuranta, ylläpito ja kehittäminen Kunnan kokonaisturvallisuutta tukeva tietoturvallisuustyö sisältää toiminnan, teknologian ja osaamisen jatkuvaa kehittämistä kuvassa 2 esitetyn prosessin mukaisesti. 6/7

Kuva 3. Kunnan kokonaisturvallisuusprosessi Tietoturvallisuustyön tulee olla suunnitelmallista ja käytännön toteutusten tulee vastata toiminnan tarpeisiin, lainsäädännön vaatimuksiin sekä kunnan riskienhallintatyössä asetettuihin muihin tavoitteisiin, ulkoiset toimintaolosuhteet huomioiden. Seurannan ja muutoshallinnan keinoin varmistetaan, että tietoturvallisuuteen liittyvät kokemukset, palaute ja muutokset vaatimuksissa tai olosuhteissa tulevat oikea-aikaisesti huomioon otetuiksi. Kunnan tietosuoja- ja tietoturvapolitiikka katselmoidaan vuosittain ja päivitetään tarvittaessa. Luetteloa tietosuojaan ja tietoturvaan liittyvistä laeista, asetuksista ja direktiiveistä pidetään yllä kunnan intranetissä. 7/7

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute