Tietoturvapolitiikka Porvoon Kaupunki



Samankaltaiset tiedostot
Tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka

TIETOTURVAPOLITIIKKA

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Karkkilan kaupungin tietoturvapolitiikka

Tietoturva- ja tietosuojapolitiikka

Tietoturvapolitiikka. Hattulan kunta

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka

Tietoturvapolitiikka NAANTALIN KAUPUNKI

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

Tietoturvapolitiikka

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

Kuopion kaupunki Dnro 3720/2018 Elinvoima- ja konsernipalvelu Tietohallinto

Kunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka

Johdanto

Tietoturvavastuut Tampereen yliopistossa

Tietoturvapolitiikan käsittely / muutokset:

Espoon kaupunki Tietoturva- ja tietosuojapolitiikka

Tietosuoja- ja tietoturvapolitiikka

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

TIETOTURVA- POLITIIKKA

Tietoturvapolitiikka

Espoon kaupunkikonsernin tietoturvapolitiikka

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Sovelto Oyj JULKINEN

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Eläketurvakeskuksen tietosuojapolitiikka

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

Yhtymähallitus Yhtymävaltuusto Siun sote - kuntayhtymän sisäisen valvonnan ja riskienhallinnan perusteet

Laatua ja tehoa toimintaan

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka

Tietoturva- ja tietosuojapolitiikka

Uudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Lapinlahden kunnan tietoturvapolitiikka

Tietoturva- ja tietosuojapolitiikka

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Seinäjoen kaupungin tietoturvapolitiikka. Kh , 149

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietoturva- ja tietosuojapolitiikka

Sisäinen tarkastus, sisäinen valvonta ja riskienhallinta. Valtuustoseminaari

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

Tietosuoja- ja tietoturvapolitiikka

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

TIETOSUOJAPOLITIIKKA. Turun kaupunki

SISÄISEN VALVONNAN PERUSTEET

Espoon kaupunki Pöytäkirja 96. Valtuusto Sivu 1 / Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

KEMIJÄRVEN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Tietoturvapolitiikka

VIRTU ja tietoturvatasot

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet

Sisäisen valvonnan ja riskienhallinnan perusteet Hyväksytty: kaupunginvaltuusto xx.xx.2014 xx

Sisäisen valvonnan ja Riskienhallinnan perusteet

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

SISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Lapin yliopiston tietoturvapolitiikka

Potilastietojärjestelmien käytön osaamisen turvaaminen organisaatioissa

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Utajärven kunta TIETOTURVAPOLITIIKKA

IT-palvelujen ka yttö sa a nnö t

Johtokunta Tietoturva- ja tietosuojapolitiikka

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

TIETOTURVAPOLITIIKKA

VAASAN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Vaasan kaupunginvaltuuston hyväksymät

PUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Kankaanpään kaupunki SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Politiikka: Tietosuoja Sivu 1/5

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA

SUUNNITTELE JA JOHDA TURVALLISUUTTA, ENNAKOI RISKIT JA VARMISTA LAATU- JA TURVALLISUUSKULTTUURI

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

SAARIJÄRVEN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VAL- VONNAN JA RISKIENHALLINNAN PERUSTEET

Valtioneuvoston asetus

Liite/Kvalt , 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Isonkyrön kunta

Kaarinan kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan periaatteet. Luonnos 0 (6)

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Turun kaupungin tietohallintostrategia Tiivistelmä

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

Kaikki VTV:n tarkastukset liittyvät riskienhallintaan ja tukevat hyvää hallintoa

Transkriptio:

Tietoturvapolitiikka Porvoon Kaupunki 1

Sisältö 1 Johdanto... 3 2 Mitä tietoturvallisuus on?... 4 Tietoturvallisuuden hallinta... 4 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen... 5 3 Tietoturvallisuustavoitteet... 5 4 Organisointi ja vastuut... 5 5 Tiedon ja tietojärjestelmien käyttö... 6 6 Tietoturvaosaamisen ja -tietoisuuden ylläpito... 6 7 Tietoturvallisuuden seuranta, ylläpito ja kehittäminen... 7 2

1 Johdanto Tietoturvapolitiikka toimii perustana kaupungin tietoturvallisuutta koskeville ohjeille Porvoon kaupungin toiminta ja palvelut perustuvat enenevässä määrin tietoon. Ollakseen tehokkaasti hyödynnettävissä tietoa tukevien järjestelyjen tulee toimia asianmukaisesti kaikissa tilanteissa. Tämä edellyttää tehokasta johtamista luotettavien toteutusten ja osaavan henkilöstön tueksi. Kaupungin johto määrittelee tässä Porvoon kaupunkikonsernin tietoturvapolitiikassa tietoturvallisuutta koskevat periaatteet, vastuut ja tavoitteet. Politiikka toimii perustana kaupungin tietoturvallisuutta koskeville ohjeille, joiden tehtävänä on tarkentaa politiikassa annettuja määräyksiä ja ohjeistaa niiden käytäntöön soveltamisessa. Politiikka on käyttäjien saatavilla sähköisessä muodossa intranetissä ja tarvittaessa paperiversiona. Tietoturvapolitiikan ja -ohjeiden noudattaminen on tärkeä osa kaupungin sisäistä valvontaa ja riskienhallintaa. Tietoturvapolitiikka koskee koko kaupunkikonsernia sekä kaikkia sen sidosryhmien edustajia, jotka toimeksiantojensa puitteissa käsittelevät kaupungin omistamaa tai hallinnoimaa tietoa. Politiikka kattaa kaupungin käyttämän, omistaman ja hallinnoiman tiedon riippumatta tiedon esitystavasta, muodosta, suojaustasosta tai elinkaaren vaiheesta. 3

2 Mitä tietoturvallisuus on? Tietoturvallisuus liittyy jokaisen työntekijän arkipäivän työtehtäviin ja työtapoihin Tietoturvallisuus on kiinteä osa kaupungin johtamista, palveluita ja toimintoja. Lisäksi tietoturvallisuus liittyy jokaisen työntekijän arkipäivän työtehtäviin ja työtapoihin. Tietoturvallisuus integroituu kuvan 1 mukaisesti kaikkiin kokonaisturvallisuuden osa-alueisiin: turvallisuus, riskienhallinta sekä jatkuvuudenhallinta ja varautuminen. Kuva 1. Kaupungin kokonaisturvallisuus Tietoturvallisuuteen liittyvillä vastuilla ja käytännöillä pyritään varmistamaan, että kaupungin omistama ja hallinnoima tieto on oikeaa ja eheää, eikä se ole muuttunut tahallisen tai tahattoman teknisen tai inhimillisen toiminnan seurauksena tieto on vain siihen oikeutettujen saatavilla tieto on saatavilla aina sitä tarvittaessa tietoon tehdyt muutokset sen käsittelyn eri vaiheissa on tarvittaessa kyettävä todentamaan Tietoturvallisuuden hallinta Kaupungin tietoturvallisuuteen liittyvää toimintaa johdetaan ja kehitetään osana kaupungin hallintojärjestelmää. Tietoturvallisuuden osalta kokonaisuus sisältää suunnitteluun, toteutukseen, seurantaan ja ohjaukseen liittyvät prosessit, asiakirjat, kontrollit ja vastuut. Kaupungin tietoturvatyötä ohjaavat, soveltuvilta osin, seuraavat viitekehykset: Kaupunkia velvoittavat lait ja asetukset Julkisen hallinnon tietohallinnon neuvottelukunnan (JUHTA) suositukset Kaupungin strategia ja siitä johdetut vaatimukset Valtionhallinnon Tietoturvallisuuden (VAHTI) ohjeet Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010) 4

Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen Kaupungin johtoryhmän omistama ja organisoima riskienhallintaprosessi toimii kaupungin turvallisuusjärjestelyiden ja varautumisen perustana. Riskienhallinnan tavoitteena on riskien rajoittaminen hyväksyttävälle tasolle niin, että riskienhallintakeinot ovat suhteessa suojattavan kohteen kriittisyyteen ja riskin suuruuteen. Riskienhallinta kattaa kaikki riskit, mukaan lukien tietoon kohdistuvat ja tiedosta aiheutuvat riskit. Kaupungin tulee varautua turvaamaan sen toiminnan ja palveluiden jatkuvuus normaalioloissa, normaaliolojen häiriötilanteissa sekä poikkeusoloissa. Tätä varten kaupunki voi tarvittaessa laatia erillisiä suunnitelmia prosessien ja tietojärjestelmien tueksi. 3 Tietoturvallisuustavoitteet Kaupungin tavoitteena on saavuttaa Tietoturvallisuusasetuksen (681/2010) kuvaaman tietoturvallisuuden perustason vaatimukset koko kaupungin laajuisesti ja korotetun tason vaatimukset lainsäädännön tai toiminnan tarpeiden niin vaatiessa. 4 Organisointi ja vastuut Kaupungin keskeisimmät tietoturvallisuuteen liittyvät toimijat ja roolit vastuineen on määritelty alla. Kaupunginhallitus on kaupungin ylin kokonaisturvallisuudesta päättävä taho. Kaupunginhallitus hyväksyy tähän tietoturvapolitiikkaan ehdotetut muutokset. Kaupunginjohtaja toimii tietoturvallisuuden ja tietosuojan omistajana kaupungissa luoden edellytykset niiden asianmukaiselle toteuttamiselle. Tarvittaessa kaupunginjohtaja asettaa ryhmän seuraamaan tietoturvan ja tietosuojan toteutumista, tekemään kehitysehdotuksia sekä toimimaan toimialojen tietoturva- ja tietosuojavastaavien sekä järjestelmien pääkäyttäjien tukena. Toimialojen, liikelaitosten ja konsernin tytäryhtiöiden johto vastaa tietoturvallisuuden ja tietosuojan toteutuksesta johtamansa toiminnan osalta. Esimies vastaa tietoturvallisuuden ja tietosuojan toteutumisesta alaisessaan toiminnassa. Tiedon ja tietojärjestelmien käyttäjä vastaa omalta osaltaan määräysten ja ohjeiden noudattamisesta. Jokaisen käyttäjän vastuulla on lisäksi tietoturvaan ja tietosuojaan liittyvien poikkeamien, uhkien ja riskien ilmoittaminen viipymättä joko esimiehelle tai IT-palveluiden Help Deskiin. Tiedon, tietojärjestelmän tai palvelun omistaja vastaa omistukseensa liittyvästä: Käyttäjien ja käyttöoikeuksien määrittelystä, hyväksynnästä ja valvonnasta Riskienhallinnan toteuttamisesta Tiedon eheyden varmistamisesta Tietojen luokittelusta (julkisuuden ja salassapidon määrittely sekä arkistonmuodostus). 5

Tietoturvapäällikkö vastaa tietoturvallisuuden toteutumisesta ja integroitumisesta muihin kokonaisturvallisuuden osa-alueisiin. Vastuuseen sisältyy tarvittava suunnittelu, ohjaus, seuranta ja kehittäminen sekä tietoturvariskien ja -poikkeamien hallinnan koordinointi. Tietoturvapäällikkö raportoi kaupunginjohtajalle. Tietohallinto yhdessä IT -palveluiden kanssa vastaa tietoturvallisuuden ja teknisen valvonnan toteutumisesta tietojärjestelmäympäristössä, lain sallimin ja yhteistoimintamenettelyn valtuuttamin menetelmin. Tietosuojavastaavan (sosiaali- ja terveystoimen lainsäädännön edellyttämä) tehtävänä on antaa asiantuntija-apua sekä organisaation henkilöstölle että johdolle tietosuoja-asioissa. Tietosuojavastaava raportoi kaupungin johdolle. Pääkäyttäjät valvovat tietoturvan toteutumista omilla vastuualueillaan. Pääkäyttäjät huolehtivat sovelluksen ylläpitotoiminnoista ja varmistavat, että järjestelmää käytetään lakien, säädösten ja ohjeiden mukaisesti. 5 Tiedon ja tietojärjestelmien käyttö Kaupungin käytössä oleva tieto sekä tietojärjestelmät, laitteet ja ohjelmistot on tarkoitettu työtehtävien hoitamista varten. Kaupungin tietojärjestelmäympäristössä saa käyttää ainoastaan tietohallinnon hyväksymiä tietojärjestelmiä, laitteita ja ohjelmistoja. Asennustyön saa suorittaa vain kaupungin IT -palvelut tai tietohallinnon valtuuttama taho. Tietojärjestelmähankinnoissa tulee noudattaa kaupungin kokonaisarkkitehtuuriperiaatteita. Käyttöoikeudet kaupungin tietoon ja tietojärjestelmiin myönnetään työtehtävien hoitoon tarvittavassa laajuudessa. Käyttöoikeudet hyväksyy hakemuksen perusteella tietojärjestelmän omistaja tai hänen valtuuttamansa taho. Peruskäyttöoikeudet muodostuvat henkilöstöjärjestelmän tietojen perusteella automaattisesti. Laiminlyönteihin ja väärinkäytöksiin puututaan välittömästi kaupungin normaalein kurinpidollisin keinoin tai lainsäädännön edellyttämällä tavalla. Tiedon turvalliset käsittelytavat ja tietoturvapoikkeamien hallinta kuvataan erillisissä ohjeissa. 6 Tietoturvaosaamisen ja -tietoisuuden ylläpito Jokainen uudessa tehtävässä aloittava työtekijä perehdytetään kaupungin perehdytyskäytäntöjen mukaisesti tietoturvan perusteisiin ja tietoturvan toteuttamiseen hänen omissa työtehtävissään. Uuden työntekijän tulee suorittaa kaupungin tietoturvakoulutus kahden kuukauden kuluessa tehtävässä aloittamisesta. Lisäksi ajantasaiset tietoturvaohjeet ovat kaikkien työntekijöiden saatavilla ja tietoturvallisuuden jatkokoulutusta järjestetään säännöllisesti. Tietoturvallisuuden ja tietosuojan ylläpidosta, kehittämisestä ja johtamisesta vastaaville tarjotaan riittävä hallinnollinen ja tekninen koulutus. 6

7 Tietoturvallisuuden seuranta, ylläpito ja kehittäminen Kaupungin tietoturvallisuustyö perustuu toiminnan, teknologian ja osaamisen jatkuvaan kehittämiseen seuraavassa prosessissa kuvattujen vaiheiden mukaisesti: SUUNNITTELU-vaiheessa tuotetaan analyysien ja arvioiden perusteella politiikkoja, periaatteita ja suunnitelmia. TOTEUTUS-vaiheessa edellisen vaiheen tuotokset otetaan käyttöön kaupungin toiminnassa. SEURANTA-vaiheessa suoritetaan teknistä valvontaa ja hallinnollista seurantaa. MUUTOSHALLINTA-vaiheessa seurantavaiheen tuloksista opitun perusteella toteutetaan muutoshallintaa kaupungin normaalin muutoshallintaprosessin mukaisesti. Kuva 2. Kaupungin kokonaisturvallisuusprosessi Tämä tietoturvapolitiikka katselmoidaan vuosittain ja päivitetään tarvittaessa. 7

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute