OULAISTEN KAUPUNKI. Oulaisten kaupungin tietoturvapolitiikka

Samankaltaiset tiedostot
Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Eläketurvakeskuksen tietosuojapolitiikka

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Sovelto Oyj JULKINEN

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

TIETOTURVA- POLITIIKKA

Lapin yliopiston tietoturvapolitiikka

Politiikka: Tietosuoja Sivu 1/5

Tietoturvapolitiikka

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Kolarin kunnan tietosuojapolitiikka

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

EU:N TIETOSUOJA-ASETUKSET WALMU

Tietoturvapolitiikka

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvapolitiikka

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Utajärven kunta TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

1 Tietosuojapolitiikka

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

TIETOTURVAPOLITIIKKA

Laatua ja tehoa toimintaan

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet

TIETOSUOJAPOLITIIKKA

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Tietosuojakysely 2018

Verkostokehittäjät-hanke Tietosuoja ja tietoturvallisuus

Pilvipalveluiden arvioinnin haasteet

Haminan tietosuojapolitiikka

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

Vihdin kunnan tietoturvapolitiikka

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

PUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietosuojatehtävät. Järvenpään kaupungissa

Tietosuojakysely 2019

Informaatiovelvoite ja tietosuojaperiaate

TIETOTURVA JA TIETOSUOJAPOLITIIKKA

Kunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka

Tietosuojaseloste. Trimedia Oy

Liperin kunnan päätöksenteko- ja asianhallinta (hallinnolliset asiat)

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Teknologia avusteiset palvelutverkostopalaveri

Espoon kaupunki Tietoturvapolitiikka

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

GDPR-pikaopas. Demand more. Puh

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Johtokunta Tietoturva- ja tietosuojapolitiikka

EU:n tietosuoja-asetus (GDPR)

T I E TO S U O JA JA T I E TOT U RVA L L I S U U S O M N I A S S A Riina Kirilova, tietosuoja- ja tietoturvapäällikkö

Salon kaupunki , 1820/ /2018

Tietoturva ja viestintä

Tietoturvapolitiikka. Hattulan kunta

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

Tietosuoja-asetus (GDPR)

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

Tietosuoja- ja tietoturvapolitiikka

Lokipolitiikka (v 1.0/2015)

Koulun ylläpitäjänä toimii Oulunkylän yhteiskoulun kannatusyhdistys Ry (Y-tunnus: )

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

LAKIUUDISTUS TIETOSUOJAVALTUUTETUN TOIMISTON NÄKÖKULMASTA. Heljä-Tuulia Pihamaa Toimistopäällikkö

REKISTERINPITÄJÄ Fysioterapiapalvelut Kirsi Pätsi Rovaniemen toimipiste, Valtakatu 30 A 10, Rovaniemi

Ammattikorkeakoulu 108 Liite 1

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

Tietosuoja henkilöstön rekrytoinnissa

Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Keräämämme tiedot voidaan jakaa asiakkaiden, huoltajan antamiin, viranomaisten antamiin ja eri järjestelmien keräämään tietoon.

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

HELSINGIN KAUPUNKI MUISTIO Numero 1 TALOUS- JA SUUNNITTELUKESKUS Tietotekniikkaosasto

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

LSPeL Porin toiminta-alueen kevätseminaari

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Salon kaupunki / /2018

Transkriptio:

Oulaisten kaupungin tietoturvapolitiikka Luotu 20.11.2018

Sisällys 1. Johdanto 3 2. Käsitteet 4 3. Kehykset ja lait 6 4. Tavoitteet 7 5. Vastuut 8 6. Ulkoistukset ja kolmannet osapuolet 10 7. Toteutus 10 8. Seuranta 11 LIITTEET 12

1. Johdanto Tässä dokumentissa kuvataan Oulaisten kaupungin tietoturvapolitiikka. Tietoturvapolitiikka määrittelee Oulaisten kaupungin tietoturvan toteuttamisessa ja kehittämisessä käytettävät toimintaperiaatteet ja -tavat sekä vastuut. Lisäksi tietoturvapolitiikka määrittelee tietoturvan toteutumisen seurannan ja valvonnan. Tietoturvapolitiikka toimii ylätason dokumenttina, johon erilliset tietoturvaohjeistukset pohjautuvat. Yksittäiset ohjeet, kuten henkilöstön tietoturvaohje ja tietoturvasuunnitelma, täydentävät tietoturvapolitiikkaa. Politiikalla luodaan yhdenmukaiset ohjeet ja käytännöt hyvän tietoturvan toteuttamiseksi koko organisaatiolle. Tietoturvapolitiikka pohjautuu useaan eri lakiin. Tietoturva ilmenee organisaatiossa monella eri tavalla ja se on suurimmaksi osaksi muuta kuin teknisiä ratkaisuja.

2. Käsitteet Tietoturvalla tarkoitetaan tiedon suojaamista erilaisilta uhkilta ja toimintaa tai tietoja uhkaavien riskien minimointia. Tietoturvallisuus käsittää erilaiset tiedon käsittelyn, siirron, luovutuksen ja arkistoinnin toimenpiteet. Tieto voi olla useassa eri muodossa, kuten sähköisessä, puhutussa tai kirjallisessa muodossa. Tietoturvallisuus kattaa tiedon kaikissa sen ilmenemismuodoissa. Tietojen turvaamisessa omina osa-alueinaan huomioidaan hallinnollinen, henkilöstö-, toimitila-, tietoaineisto- ja tietojärjestelmäturvallisuus. Tietojärjestelmäturvallisuus jaetaan tietoliikenne-, laitteisto-, ohjelmisto- ja käyttöturvallisuuteen. Tietoturvallisuus koostuu tiedon luottamuksellisuudesta, tiedon eheydestä ja tiedon käytettävyydestä. Arkaluonteinen tieto Yksilöä koskeva tieto, jonka rekisteröintiä tai käyttöä on rajoitettu lain tai asianomaisen vaatimuksesta. Arkaluonteista tietoa ovat henkilötiedot, joilla kuvataan rotua, etnistä alkuperää, uskontoa, terveydentilaa, seksuaalista suuntautuneisuutta jne. EDPB European Data Protection Board, Euroopan tietosuojaneuvosto, joka voi antaa sitovia päätöksiä tietosuoja-asetuksen soveltamisessa. Eheys Tietojen ja tietojärjestelmien aitous, riidattomuus, väärentämättömyys, ajantasaisuus. Tietoa ei ole valtuudettomasti muutettu tai väärennetty. Fyysinen turvallisuus Laitteiden, tilojen, tietovarastojen ja toimitilojen suojaamista tuhoja ja vahinkoja vastaan. Tukijärjestelmien, kuten sähkön, ilmanvaihdon ja veden, saannin varmistamista. GDPR General Data Protection Regulation, EU:n 24.5.2016 voimaantullut tietosuojauudistus.

Hallinnollinen turvallisuus Henkilöstöturvallisuus Järjestelmäturvallisuus Käytettävyys Luottamuksellisuus Rekisterinpitäjä Rekisteröity Tietosuoja Tietoturva Tietoturvapolitiikka Yleinen tietoturvallisuuden organisointi, joka sisältää suunnittelun, tiedottamisen, valvonnan, vastuiden määrittelyn, ohjeistuksen ja koulutuksen järjestämisen. Oman ja ulkopuolisen henkilökunnan turvallisuuden hallinta. Henkilöstön soveltuvuuden ja luotettavuuden sekä toimenkuvien, tiedon käyttöoikeuksien, henkilöstön suojaamisen ja henkilöstön koulutuksen muodostama kokonaisuus. Tietojenkäsittelylaitteiden, tietokantojen ja tietoliikennelaitteiden käytettävyyden ja toiminnan varmistaminen. Tiedot ja tietojenkäsittelyjärjestelmät ovat käytettävissä ja käyttökelpoisia käyttäjille, joilla on niihin pääsyoikeus. Tietojen säilyttäminen luottamuksellisina. Tiedot ja tietojärjestelmät ovat vain tietoon oikeutettujen käytössä. Luonnollinen tai oikeushenkilö, julkinen viranomainen, virasto tai muu elin, joka yksin tai yhteistyössä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjä vastaa siitä, että henkilötietoja käsitellään lainmukaisesti. Henkilö jonka henkilötietoja käsitellään. Yksityisyyden suoja ja yksityisyyttä turvaavat oikeudet. 80% toimintamalleja, prosesseja, vastuita, organisointia, asenteita, motivaatiota, käytännön toimintaa. 20% teknisiä ratkaisuja. Organisaation johdon näkemys tietoturvallisuuden päämääristä ja tavoitteista.

3. Kehykset ja lait Tietoturvallisuudesta huolehditaan kansallisten tietoturvaa ja tietosuojaa koskevien lakien ja säädösten mukaisesti. Toiminnassa noudatetaan valtionhallinnon, kuntaliiton ja tietosuojavaltuutetun antamia ohjeita ja suosituksia. Tietoturvapolitiikka pohjautuu useaan lakiin ja asetukseen. Näitä ovat muun muassa: Arkistolaki (831/1994) Henkilötietolaki (523/1999) Kuntalaki (410/2015) Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003) Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista (617/2009) Laki viranomaisten toiminnan julkisuudesta (621/1999) Laki yksityisyyden suojasta työelämässä (759/2004) Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999) Rikoslaki (39/1889, 38 luku tieto- ja viestintärikoksista) Sähköisen viestinnän tietosuojalaki (516/2004) Tietoyhteiskuntakaari (917/2014) Tekijänoikeuslaki (404/1961) Valmiuslaki (1552/2011) Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010) GDPR viittaa EU:n tietosuojauudistukseen, joka koskee yleistä tietosuoja-asetusta (EU 2016/679) ja direktiiviä (EU 2016/680) lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta. Tietosuoja-asetus korvaa direktiiviin 95/46/EY sekä vuoden 2008 tietosuoja-alan puitepäätöksen 2008/977/YOS. Asetus luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä astui voimaan 24.5.2016 ja siirtymäaika päättyi 25.5 2018.

Valvontaviranomainen voi määrätä asetusten laiminlyönnistä rekisterinpitäjälle ja/tai käsittelijälle sakkoja. Asetus tuo rekisterinpitäjille uusia hallinnollisia tehtäviä ja teknisiä vaatimuksia. Vaatimuksia kohdistuu rekisterinpitäjän lisäksi henkilötietojen käsittelijälle. Rekisterinpitäjän päävelvollisuuksia on rekisteröidyn oikeuksien toteuttaminen. Asetus määrittelee uutena rekisterinpitäjän velvollisuutena ilmoitusvelvollisuuden. 4. Tavoitteet Tietoturvapolitiikan tavoitteena on: 1. Turvata toiminnalle tärkeiden tietojen, palveluiden, tietojärjestelmien ja tietoverkkojen toiminta normaaleissa ja poikkeusoloissa. 2. Luoda ja kehittää hyvät tietoturvakäytännöt, jotka mahdollistavat hyvän käytännön tietoturvatason. 3. Kehitetään tietoturvaa jatkuvasti ja pitkäjänteisesti. 4. Ennalta ehkäistä tietojen käsittelyyn ja tietoon kohdistuvat uhat tai rajoittamaan vaikutukset hyväksyttävälle tasolle. 5. Varmistaa kaikkien osapuolten työskentelevän tietoturvallisesti joka päivä. Oulaisten kaupungilla käsitellään julkista, luottamuksellista ja salassa pidettävää tietoa. Tietoturvapolitiikalla pyritään estämään tietojen valtuudeton käyttö, tahaton tai tahallinen tietojen tuhoaminen sekä tietojen päätyminen vääriin käsiin. Tietojen turvallisesta luomisesta, käytöstä, luovuttamisesta, tallentamisesta ja arkistoinnista huolehditaan koko tiedon elinkaaren ajan. Turvallinen tietojenkäsittely käsittää tiedon sen kaikissa muodoissa, (paperinen, puhuttu ja sähköinen). Erityistä huomiota kiinnitetään kolmannelta osapuolelta hankittavien palveluiden tietoturvaan. Onnistuneen tietoturvapolitiikan ehdoton edellytys on ylimmän johdon, esimiesten ja käyttäjien sekä luottamushenkilöiden sitoutuminen tietoturvapolitiikkaan ja käytännön tietoturvatyöhön. Organisaatiolle laaditaan vuosittain tietotilinpäätös, joka on osa tietojohtamista, riskienhallintaa ja sisäistä valvontaa.

Tietoturva kuuluu kaikille. Tietoturva näkyy jokaisen arjessa annettujen ohjeiden ja käytäntöjen noudattamisena. Oulaisten kaupungilla on matalan ilmoittamisen malli, jossa pienetkin epäilykset tietoturvan vaarantumisesta tai rikkomisesta tulee ilmoittaa. Tietoturvatyöryhmä käsittelee ilmoitukset. Toiminnassa ei etsitä syyllisiä. Tietoturvatyössä etsitään ja korjataan ongelmia sekä minimoidaan ja ennaltaehkäistään riskejä. 5. Vastuut Jokainen käyttäjä on organisaation tärkein tietoturvasta vastaava henkilö. Tietoturva ja tietoturvallisen työtavan noudattaminen kuuluvat kaikille. Jokainen vastaa omalta osaltaan omasta tietoturvallisesta toiminnasta, annettujen ohjeiden ja tietoturvapolitiikan noudattamisesta sekä järjestettyihin koulutuksiin osallistumisesta. Jokainen on velvollinen ilmoittamaan havaitsemastaan tietoturvapoikkeamasta esimiehelleen ja ICT-vastaaville. Tarkempi ohjeistus käyttäjälle on määritelty henkilöstön tietoturvaohjeessa. Esimiehet vastaavat oman toimialansa tietoturvasta ja tietoturvapolitiikan noudattamisesta. Esimiehet huolehtivat, että käyttäjien kanssa on tehty asianmukaiset ja voimassa olevat vaitiolo- ja salassapitosopimukset. Käyttäjien tarvitsemien käyttöoikeuksien ja käyttäjätunnusten anominen ja organisaation palveluksesta poistuvien käyttäjien ilmoittaminen ylläpidolle kuuluu esimiesten vastuulle. Pääkäyttäjät nimetään jokaiselle käytettävälle tietojärjestelmälle. Tietojärjestelmien pääkäyttäjien vastuulla on sovellusten käytettävyydestä, kehittämisestä, käyttöoikeuksista ja järjestelmän tietoturvasta huolehtiminen. Muutoksista ja päivityksistä tiedottaminen on myös pääkäyttäjän vastuulla. Tietosuojavastaava on organisaation erityisasiantuntija, joka auttaa rekisterinpitäjää saavuttamaan hyvän henkilötietojen käsittelytavan ja lakien edellyttämän tietoturvatason. Asiakirjojen hallintaan ja laatuun liittyvät vaatimukset ovat osa tietoturvaa. EU:n tietosuojaasetus velvoittaa nimeämään tietosuojavastaavan. Tietosuojavastaavan nimeää kaupunginhallitus.

Arkistonhoitaja vastaa arkistoitavien asiakirjojen käytettävyydestä, säilymisestä ja lainmukaisesta säilytyksestä. Arkistonmuodostamissuunnitelmassa huomioidaan arkistotoimen ja tietoturvan vaatimukset. Rekisterinpitäjänä kaupunki on vastuussa siitä, ettei henkilötietoja käsitellä ilman laillista perustetta. Rekisterinpitäjä huolehtii henkilötietojen asianmukaisesta ja tietoturvallisesta käsittelystä. Henkilötietojen käsittely on aina tarkoitussidonnaista, joka on määritelty etukäteen. Rekisterinpitäjän tietosuojavelvollisuudet koskevat kaikkia organisaation käsittelemiä henkilötietoja. Rekisterinpitäjällä on velvollisuus ilmoittaa ilman aiheetonta viivästystä valvontaviranomaisille havaituista henkilötietojen tietoturvaloukkauksista. Tietoturvatyöryhmä vastaa tietoturvapolitiikan ajan tasalla pitämisestä sekä tietoturvapoikkeamien käsittelystä. Tarvittaessa tietoturvatyöryhmä laatii esiin tulleiden tapausten perusteella vaadittavat korjaustoimenpiteet. Tietoturvatyöryhmän jäsenet nimeää kaupunginhallitus. Tarvittaessa työryhmää voidaan täydentää tarpeelliseksi katsotuilla henkilöillä. Kaupunginjohtaja ja kaupunginhallitus johtavat ja valvovat tietoturvaa. Ylin johto määrittelee turvallisuuden keskeiset periaatteet osana toiminta- ja tietoturvaohjelmaa. Kaupunginhallitus hyväksyy Oulaisten kaupungin tietoturvapolitiikan ja tietoturvaperiaatteet. Kaupunginhallitus nimittää tietoturvatyöryhmän sekä ohjaa ja ohjeistaa työryhmän toimintaa tarvittaessa. Tietoturvan tarvitsemat resurssit varataan vuosittain talousarvioon. Kaupunginhallitus ja tietoturvatyöryhmä valvovat ja seuraavat tietoturvapolitiikan toteutumista ja kehittävät tietoturvapolitiikkaa pitkäjänteisesti.

6. Ulkoistukset ja yhteistyökumppanit Oulaisten kaupungin tietoturvapolitiikkaa sovelletaan myös sidosryhmiin, kuten vuokratyövoimaan, alihankkijoihin ja konsultteihin. Hankintoja tehdessä tietosuojan vaatimukset asetetaan jo tarjouspyynnössä ja ne ovat osa tarjouspyynnön perusteella tehtävää sopimusta. Tarvittaessa toimijoilta vaaditaan salassapitosopimus. 7. Toteutus Tietoturvaa ylläpidetään hallinnollisin, fyysisin ja teknisin menetelmin. Jatkuva kehitys varmistetaan riittävällä resursoinnilla. Tietoturvakartoitusten avulla tunnistetaan tietoaineistot ja tietojärjestelmät sekä arvioidaan tietoaineistoon ja tietojen käsittelyyn liittyvät riskit. Kartoituksen tulosten pohjalta kehitetään menetelmät ja toimintatavat riskien minimoimiseksi. Tietojärjestelmälistaus sisältää tarkemman kuvauksen tietojärjestelmistä. Tarvittaessa kaupungin tietojenkäsittelyä ja tietojärjestelmien tietoturvan tasoa arvioidaan ulkoisen tarkastuksen kautta. Tietoturvaa kehitetään aktiivisesti. Kehitystyössä otetaan huomioon erilaiset sidosryhmät, kuten palvelujen toimittajat. Henkilökunnalle kohdennetulla ohjeistuksella, koulutuksella ja tiedottamisella varmistetaan henkilökunnan riittävät valmiudet tietoturvalliseen työskentelytapaan. Tarvittaessa voidaan tehdä sisäisiä tarkastuksia tietoturvakäytäntöjen käyttöönotosta ja niiden ymmärtämisestä toiminnassa.

8. Seuranta Seurantaa toteutetaan sekä teknisin että hallinnollisin menetelmin. Tietoturvapolitiikan toteutumista seurataan tietotilinpäätöksellä. Tietotilinpäätös toimitetaan tiedoksi kaupunginhallitukselle vuosittain. Tietotilinpäätös sisältää vuoden aikana henkilökunnalle järjestetyt koulutukset, koulutukseen osallistuneiden määrän, tietoturvatyöryhmän kokoontumiset, ilmoitetut ja havaitut tietoturvapoikkeamat sekä tietosuojaan vaikuttavat hankkeet ja niiden sen hetkiset tilanteet. Teknisenä seurantamenetelmänä on kattava järjestelmien lokilistaus. Oulaisten kaupungin tietojärjestelmiä ja toimintatapoja arvioidaan omavalvonnan ja sisäisen tarkastuksen keinoin. Tarvittaessa käytetään ulkopuolisia toimijoita. Ilmoitetut ja havaitut tietoturvapoikkeamat rekisteröidään ja käsitellään tietoturvatyöryhmässä.

LIITTEET Henkilöstön tietoturvaohje Sosiaalisen median käyttöohje Tietojärjestelmälistaus Tietojärjestelmän toipumissuunnitelma Tietotilinpäätöspohja Toimintaohje tietomurron sattuessa Lakilinkit

Oulaisten kaupungin sosiaalisen median käyttöohje Luotu 20.11.2018

Sosiaalisen median käyttöohje Ohje sisältää Oulaisten kaupungin sosiaalisen median ja internetin käytön pelisäännöt. Perusteena on sosiaalisen median luonteesta johtuva tietosuojariski sekä siihen tarpeettomasti kuluva työaika. Sosiaalisella medialla tarkoitetaan internetpalveluita, joissa yhdistyvät käyttäjien välinen kommunikointi ja oma sisällön tuotanto. Niitä ovat esimerkiksi internetyhteisöt (esim. Facebook, IRC-Galleria), blogi-kirjoitukset (esim. Blogger, Vuodatus), mikroblogit (esim. Twitter, Qaiku), mediapalvelut (esim.youtube) Internetin käyttö Oulaisten kaupungin Internet-yhteys on tarkoitettu työtehtävien hoitamiseen työaikana. Internetistä löytyy nopeasti monipuolista tietoa ammatillisiin tarkoituksiin. Sosiaalista mediaa saa käyttää työtehtävien hoitoon, jos käyttö on perusteltua ko. välineitä käyttävään henkilöstö-/työryhmään kuulumisen vuoksi. Luvan käyttämiselle antaa esimies. Sosiaalisen median järjestelmiä käytettäessä ei saa olla kirjautuneena muiden ohjelmiin ja selaimen muistin on oltava nollattuna. Oulaisten kaupungin nimissä perustetut sosiaalisen median ryhmät hyväksyy Oulaisten kaupungin viestinnästä vastaava henkilö. Ryhmän perustaja vastaa perustamastaan tietosisällöstä, huolehtii sen tietosuojasta ja että viestintä on asianmukaista eikä loukkaa kenenkään yksityisyyttä eikä Oulaisten kaupungin imagoa. Potilaiden ja asiakkaiden tietosuojan piiriin kuuluvista tai muista salassa pidettävistä asioista ei saa kertoa sosiaalisessa mediassa työaikana eikä työajan ulkopuolellakaan. Tämä koskee myös sähköpostin käyttöä. Vaikka asia olisi tullut vireille sähköpostin kautta, on viestiin vastaamisessa muistettava, ettei normaali sähköposti ole virkamieskäyttöön tarkoitettu suojattu systeemi. Jos työtehtävät vaativat salassa pidettävien tietojen lähettämistä sähköpostilla, henkilölle on mahdollista hankkia sähköpostiin maksullinen turvapostiominaisuus. Salassapitovelvollisuus ei lakkaa silloinkaan, kun henkilö siirtyy tai jää pois kaupungin palveluksesta. Yksityiskäyttö Kun kaupungin työntekijät käyttävät sosiaalista mediaa yksityishenkilöinä vapaa-aikanaan, he eivät ole työnantajansa virallisia edustajia, eikä heidän kannanottonsa muodosta kaupungin virallista kantaa käsiteltävinä oleviin asioihin. Yksityishenkilöinäkin kaupungin työntekijä voidaan yhdistää työrooliinsa, työyhteisöönsä ja työnantajaansa, joka on syytä ottaa huomioon sosiaalista mediaa käytettäessä. Seuraamukset väärinkäytöksestä Noudatetaan työsopimuslain ja viranhaltijalain mukaisia määräyksiä. Seuraamuksina väärinkäytöstä voivat olla varoitus ja pahimmassa tapauksessa irtisanominen.

TIETOTILINPÄÄTÖS 11.3.2019 Tässä tietotilinpäätöksessä raportoidaan Oulaisten kaupungin tietosuojaan ja tietoturvaan liittyvien kehittämistoimenpiteiden toteutumista ja kehittämissuunnitelmia seuraavalle vuodelle. Tietosuojan ja tietoturvan tilanne 2018 Tietosuojavastaava on nimetty ja ilmoitettu tietosuojavirastoon. Oulaisten kaupunki on yhteistyössä muiden alueen kuntien kanssa palkannut yhteisen tietosuoja-asiantuntijan Joki-ICT:ltä. Kehitämme tietosuojaa jatkuvasti yhteistyössä tietosuoja-asiantuntijamme ja alueen kuntien kanssa. Koko henkilökunnalle on annettu koulutus tietosuoja-asetuksen (EU, 679/2016) vaikutuksista henkilötietojen käsittelyyn kuntien eri toimialoilla (koulutuspäivät 18. 19.10.2018). Tietosuoja-asetuksen vaikutus kuntien hallinnossa, Tietosuojauudistuksen vaikutukset terveydenhuollossa ja Tietosuoja-asetuksen vaikutus opetuksessa. Osanottajalista on tallennettu. Tietosuojaselosteita on päivitetty vastaamaan tietosuoja-asetusta (EU, 679/2016), työ jatkuu vielä vuonna 2019. Useimmat tietosuojaan ja tietoturvaan liittyvät ohjeet ja asiakirjat on päivitetty ja menossa kaupunginhallituksen hyväksyntään. Ne tullaan katselmoimaan vähintään kerran vuodessa tietotilinpäätöksen yhteydessä ja päivitetään tarvittaessa laki-, tietojärjestelmä tai sisäisten prosessimuutosten yhteydessä Tilastot tai muut seurannan tulokset päätöksentekoa varten Tietosuojaloukkauksia on havaittu 0 kpl, joista 0 on ilmoitettu tietosuojavirastoon. Suunnitelmat vuodelle 2019 Päivitetään tietoturvaan ja tietosuojaan liittyvät asiakirjat (Liite 1) Käynnistetään tietoturvapoikkeaman käsittelyprosessin käyttöönotto.

Liite 1 Asiakirja Tietoturvallisuudessa sovellettavat lait v1 * Tietotilinpäätösraportti Katselmointi Pvm, nimi Päivitys Pvm, ylläpitäjän nimi Hyväksyntä Pvm ja hyväksyjä Asiakastietojen käsittely v1 * Salassapitovelvollisuus v1 * Käyttöoikeuslomake (sisältää tietoturva ja tietosuojasitoumukset) Koulutuksien seuranta - raportti Tietoturva ohjeistus v1 * Tietoturvan ja tietosuojan tarkistuslista * Tietoturvaan ja tietosuojaan liittyvät vastuut * Sähköposti v1 Lokienhallintasuunnitelma

TIETOTURVAPOLITIIKAN LAKILINKIT Arkistolaki (831/1994) http://www.finlex.fi/fi/laki/ajantasa/1994/19940831 Henkilötietolaki (523/1999) http://www.finlex.fi/fi/laki/ajantasa/1999/19990523 Kuntalaki (410/2015) http://www.finlex.fi/fi/laki/ajantasa/2015/20150410 Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) http://www.finlex.fi/fi/laki/ajantasa/2004/20040588 Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003) http://www.finlex.fi/fi/laki/ajantasa/2003/20030013 Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista (617/2009) http://www.finlex.fi/fi/laki/ajantasa/2009/20090617 Laki viranomaisten toiminnan julkisuudesta (621/1999) http://www.finlex.fi/fi/laki/ajantasa/1999/19990621 Laki yksityisyyden suojasta työelämässä (759/2004) http://www.finlex.fi/fi/laki/ajantasa/2004/20040759 Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999) http://www.finlex.fi/fi/laki/ajantasa/1999/19991030 Rikoslaki (39/1889, 38 luku tieto- ja viestintärikoksista) https://www.finlex.fi/fi/laki/ajantasa/1889/18890039001 Sähköisen viestinnän tietosuojalaki (516/2004) https://www.finlex.fi/fi/laki/ajantasa/2014/20140516 Tietoyhteiskuntakaari (917/2014) http://www.finlex.fi/fi/laki/ajantasa/2014/20140917 Tekijänoikeuslaki (404/1961) http://www.finlex.fi/fi/laki/ajantasa/1961/19610404 Valmiuslaki (1552/2011) http://www.finlex.fi/fi/laki/ajantasa/2011/20111552 Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010) http://www.finlex.fi/fi/laki/ajantasa/2010/20100681

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute