TIETOTURVAA TOTEUTTAMASSA



Samankaltaiset tiedostot
Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Tietoturva Kehityksen este vai varmistaja?

TIETOSUOJATYÖN ORGANISOINTI

Tietosuojakysely 2018

Kertausta lähtökohtiin liittyen

HELENA VALLO EIJA HÄYRINEN TIETOSANOMA

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Tietosuojakysely 2019

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Pilvipalveluiden arvioinnin haasteet

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Tietosuojakysely 2017

Tietosuoja sosiaali- ja terveyspalveluissa

TIETOHALLINTOLAKI (LUONNOS) Korkeakoulujen IT-päivät Erityisasiantuntija Olli-Pekka Rissanen

Tietosuojakysely 2016

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

OMAVALVONTASUUNNITELMA

Sosiaalisen median käyttöohje

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma

Tietoturvapolitiikka

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Tietoturvan johtaminen ja vastuut

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

REKISTERINPIDON JA KÄYTÖNVALVONNAN HAASTEET

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

TIETOTURVA JA TIETOSUOJAPOLITIIKKA

Espoon kaupunki Pöytäkirja 96. Valtuusto Sivu 1 / Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

DLP ratkaisut vs. työelämän tietosuoja

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Tietoturvaa verkkotunnusvälittäjille

Tietoturvavastuut Tampereen yliopistossa

Sovelto Oyj JULKINEN

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Terveydenhuollon alueellisten ja paikallisten tietojärjestelmäratkaisujen kehittämistarpeet -seminaari kello

Tieto hyvinvoinnin ja uudistuvien palveluiden tukena Hannu Hämäläinen, STM

Tietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

Tietoturvapolitiikka

TIETOTURVATEKNOLOGIAN AMMATILLISET ERIKOISTUMISOPINNOT (30 op)

Tietosuojavastaavan rooli lokivalvonnassa

KANSAINVÄLISEN OIKEUDEN KÄSIKIRJA

Tietoturvapolitiikka

PK-yrityksen tietoturvasuunnitelman laatiminen

IT-palvelut ja tietoturvallisuus Tampereen yliopistossa

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

TODISTELU OIKEUDENKÄYNNISSÄ

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Terveydenhuollon yksiköiden valmiudet liittyä KanTa an

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi

Sähköi sen pal l tietototurvatason arviointi

Joroisten kunnan sosiaalisen median ohje

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

TIETOSUOJASELOSTE Tilhilän palvelutalo Vuokrakiinteistöt

Yleistä hallinnollisesta tietoturvallisuudesta. Tukikoulutus joulukuu 2007 Tuija Lehtinen

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Sote-tieto hyötykäyttöön - strategia 2020

Sosiaali- ja terveydenhuollon tietojärjestelmien valvonta

Tieto hyvinvoinnin ja uudistuvien palveluiden tukena

GDPR Tietosuoja-asetus

Paneeli: Käytön valvonta, lokien hallinta, poikkeamien havaitseminen, poliisiyhteistyö

Arkkitehtuurityö kunnassa

Kuntasektorin asianhallinnan viitearkkitehtuuri 1.0. Kuntamarkkinat Tuula Seppo, erityisasiantuntija

Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma

Asiointi ja omahoito KA nykytila

Tietoturvallisuuden johtaminen

Potilastietojärjestelmien käytön osaamisen turvaaminen organisaatioissa

Vihdin kunnan tietoturvapolitiikka

Tietoturvapolitiikka. Hattulan kunta

JHS 179 ICT-palvelujen kehittäminen: Kokonaisarkkitehtuurimenetelmä

Digital by Default varautumisessa huomioitavaa

Tietosuoja- ja tietoturvapolitiikka

Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa

Avoimuus ja julkisen hallinnon tietohallinto. Yhteentoimivuutta avoimesti -seminaari Tommi Oikarinen, VM / JulkICT

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

Henkilörekisterin tiedot

Voiko valtionhallinnon tietojärjestelmien nykytilaa kuvata? Aki Siponen Valtiovarainministeriö

KuntaIT Mikä muuttuu kunnan tietotekniikassa? Terveydenhuollon Atk-päivät Mikkeli Heikki Lunnas

Johtokunta Tietoturva- ja tietosuojapolitiikka

Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka

TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET ALKAEN

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

SOPIMUSTEN JA HÄIRIÖTILANTEIDEN HALLINTA RAKENNUSPROJEKTEISSA

Tietoturvapolitiikka Porvoon Kaupunki

Tietohallintomallin soveltamisohje julkiselle hallinnolle. Säätytalo

PETRI VIRTANEN MARJO SINOKKI HYVINVOINTIA TYÖSTÄ

Yksityiset palveluntuottajat sosiaali- ja terveydenhuollossa Asiakastietojen hallinnointi, yksityiselämän suoja ja tietosuoja

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Transkriptio:

TIETOTURVAA TOTEUTTAMASSA

Ari Andreasson Juha Koivisto TIETOTURVAA TOTEUTTAMASSA TIETOSANOMA

Tekijät ja Tietosanoma Oy ISBN 978-951-885-334-6 KL 61.7 Tietosanoma Oy Bulevardi 19 C 00120 Helsinki 09 694 0752 info@tietosanoma.fi www.tietosanoma.fi www.facebook.com/tietosanoma Kansi: Mikko Valtavaara Valokuvat: Ari Andreasson ja Juha Koivisto Taitto: Sisko Honkala Painopaikka: AS Pakett, Tallinna 2013

Vaimolleni Sarille sekä kaikille Suomen tietosuojavastaaville. Ari Andreasson Perheelleni sekä kaikille kaupunkien ja kuntien tietoturvasta vastaaville. Juha Koivisto

Sisällys Alkusanat 11 Esipuhe 13 Kirjoittajat 19 1 Keskeiset käsitteet ja toimijat 21 2 Tietoturvan johtaminen ja hallinta 32 Tietoturvapolitiikka 34 Riskien arviointi ja hallinta 38 Tietoturvallisuuden hallintajärjestelmä 41 Tietoturvaohjeet 44 Tietoturvaraportointi 47 3 Tilat, laitteet ja tietoliikenneyhteydet 52 Fyysinen turvallisuus 52 Laitetilat 56 Kulunvalvontajärjestelmät 61 Kameravalvonta 63 Vierailijat 63 Vartiointipalvelut 64 Tilojen äänieristys 64 Sähkömagneettiselta säteilyltä suojautuminen 64 Laitteistoturvallisuus 65 Omien laitteiden käyttö työssä 66 Laitteiden paikantaminen 68 Tietoliikenneturvallisuus 69 Verkon suunnittelu 70 Palomuuri 71 Häiriöihin varautuminen ja verkon valvonta 72 SISÄLLYS 7

Langattomat ja ulkoiset tietoliikenneyhteydet 73 Sisäverkon suojaaminen 75 Verkon suojaaminen 802.1X-tekniikalla 75 Tietoliikenteen hallinnan parantaminen 76 4 Ulkoistaminen tietoturvakysymyksenä 77 ICT-palvelujen ulkoistamisen riskienhallinta 77 Terveyspalvelujen ulkoistamisen toimeksiantosopimukset 87 Rekisterinpito ja tietosuojaliitteen sisältö 88 5 Häiriöihin ja uhkiin varautuminen 94 Häiriö- ja uhkatilanteet 94 Yhteiskunnan turvallisuusstrategia 97 Suositukset ja sopimukset 98 Suunnitelmat 99 Tietojärjestelmien käytettävyyden parantaminen 103 6 Identiteettien ja käyttövaltuuksien hallinta 106 Lait ja organisaation säännöt käyttöoikeuksien hallinnan perustana 108 Toimintaprosessit ja -säännöt 110 Identiteetti- ja käyttövaltuushallinto (IAM) 116 Käyttöoikeushallinta ja tietosuoja 119 Käyttöoikeushallintajärjestelmät 120 Käytönvalvonta 122 Yleiset periaatteet ja rangaistussäännökset 123 Lokitiedot 127 Valvoja 128 Automaattinen rutiinivalvonta ja asiattoman käytön etsintä 128 7 Organisaation sähköpostijärjestelmä 134 Tiedon luokittelu ja salaaminen 136 Tekninen tietoturva 137 Sähköpostien salaaminen julkishallinnossa 139 Sähköpostin käyttäminen asiakastietojen välittämisessä 140 8 SISÄLLYS

Tunnistetiedot ja niiden käsittely 142 Työnantajan ja sähköpostijärjestelmän ylläpitäjien oikeudet 143 Roskapostit 145 Sähköinen kalenteri 147 Poissaoloilmoitukset 148 Mobiilikäyttö 148 8 Sosiaalinen media 151 Käyttöpolitiikka 156 Riskit ja haitat 158 Kiusaaminen ja haitanteko 160 Tietoturvahaasteet 162 Haittaohjelmien leviäminen 165 Sosiaalinen krakkerointi 167 Huijausviestit ja tietojen kalastelu (phishing) 168 Pharming 169 Tietovuodot 171 Hyödyt 172 Riskienhallinta 174 9 Verkossa tunnistamisen konseptit 176 Henkilötunnuksen käsittely 181 Vahvan tunnistamisen tarjoajat 183 10 Sähköiset asiointipalvelut sosiaali- ja terveydenhuollossa 191 Tärkeimpiä ohjeistuksia ja projekteja 193 Tekniset toteutustavat ja tietoturva 195 SMS-viesti 196 Videopuhelut 198 Web-palvelut 199 Sähköinen tunnistaminen 200 Kuvavarmennus 201 Sähköisten palvelujen tietoturvauhat 202 Tietoturva-auditoinnit 204 Sähköisen asioinnin ja kehittämisprojektien riskit 207 Käytönvalvonta ja lokitiedot 211 SISÄLLYS 9

11 Masterdatan eli ydintietojen hallinta 213 Ydintietojen hallintamalli 217 Palvelukeskeinen arkkitehtuuri (SOA) 219 Kokonaisarkkitehtuuri 220 Ydintietojen hallinta osana kokonaisarkkitehtuuria 223 Muita ydintietojen hallintaan kuuluvia asioita 224 12 Uudistunut lainsäädäntö 228 Potilastietojen käsittelyä koskevat säännökset 229 Tietohallintoa koskevat säännökset 230 Isäntäkuntamalli 234 Jälkisanat 236 Lähteet 243 Liitteet 249 Liite 1 Malli: Tietoturva- ja tietosuojahuoneentaulu 250 Liite 2 Malli: Tietoturvallisuuden tarkastuslista 252 Liite 3 Malli: Tietojen ja tietojärjestelmien käyttö- ja salassapito - sitoumusmalli 255 Liite 4 Malli: Asiakas- ja potilastietojen väärinkäytön seuraamustaulukko 257 Liite 5 Malli: Toimeksiantosopimuksen turvallisuusliite 258 Liite 6 Malli: Varautumissuunnitelma pandemian varalle 263 Liite 7 Voimassa olevat VAHTI-tietoturvaohjeet ja -määräykset 266 Liite 8 Toiminnan jatkuvuuden hallinta (SOPIVA-suositus) 269 Liite 9 Toiminnan jatkuvuuden hallinta (SOPIVA-suositus): sopimuslausekkeet 279 Liite 10 Laki julkisen hallinnon tietohallinnon ohjauksesta 10.6.2011/634 282 Hakemisto 287 10 SISÄLLYS

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute