Kontiolahden kunta 1 (22) Tietoturvakäsikirja 27.1.2015 KONTIOLAHDEN KUNTA. Käyttäjän tietoturvakäsikirja

Kontiolahden kunta 1 (22) KONTIOLAHDEN KUNTA Käyttäjän tietoturvakäsikirja

Kontiolahden kunta 2 (22) Sisällysluettelo Tietoturvan huoneentaulu... 4 Käyttäjän käsikirja perustuu kunnanhallituksen hyväksymään tietoturvapolitiikkaan ja suunnitelmaan... 5 Järjestelmien ja tietoliikenneverkon käytön säännöt... 5 Tietosuojan toteuttaminen kunnassa... 5 Tietoaineiston luokittelu... 5 Tiedostojen, asiakirjojen ja muiden tietovälineiden säilytys... 5 Tietoaineistojen arkistointi ja suojakopioiden säilytys... 6 Tarpeettomien tietojen hävittäminen turvallisesti... 6 Tietojärjestelmien luokittelu... 6 Ylläpitäjien hyvät käytännöt:... 7 Käyttäjän hyvät käytännöt:... 7 Väärinkäytökset ja niiden seuraamukset... 7 Oikeus järjestelmien tietoihin ja käytöstä kerättäviin tietoihin... 7 Henkilöstöturvallisuus:... 8 Ohje Internetin ja sähköpostin käytöstä... 9 Internetin käyttö... 9 Yleistä... 9 Kielletyt tai rajoitetut sovellukset ja palvelut sekä sosiaalinen media... 9 Käyttösäännöt... 10 Käyttöohjeet... 10 Sähköpostin käyttöohjeistus... 11 Loma-ajat ja pidemmät poissaolot... 12 Liitetiedostot... 12 Sähköpostin tietoturva... 13 Roskaposti... 13 Toimenpiteet työsuhteen päättyessä... 14 Etätyö... 15 Työhakemistot... 16 Toimenpiteet työsuhteen päättyessä... 16 Siirrettävät tietovälineet... 17 Työpuhelin... 18 Sosiaalinen hakkerointi... 19 Ulkoistettujen tietojenkäsittelytoimintojen turvallisuus... 19 Tietoturva hankintojen yhteydessä... 20 Virusepäily... 21

Kontiolahden kunta 3 (22) Viruksilta suojautuminen... 21 Tietoturvan seuranta... 22

Kontiolahden kunta 4 (22) Tietoturvan huoneentaulu ü Tue osaltasi kunnan kulunvalvontaa; käytä kunnan toimitiloissa ja asiakkaiden luona kuvallista henkilökorttiasi (mikäli sinulla sellainen on). ü Jos tapaat tuntemattoman henkilön kunnan toimitiloissa, selvitä kohteliaasti (esim. opastusta tarjoamalla) millä asialla henkilö tiloissamme liikkuu. ü Työaseman käyttäjänä vastaat itse työasemasi turvallisuudesta. ü Käytä työasemaa ja siihen liittyviä laitteita, ohjelmia ja tietoja vain työtehtäviesi edellyttämiin ja esimiehesi hyväksymiin tarkoituksiin. ü Älä luovuta työasemasi hallintaa kenellekään tuntemattomalle henkilölle. ü Käyttäjätunnuksesi on henkilökohtainen. Älä kerro salasanaasi kenellekään. ü Salasanan tulee tietoturvan kannalta sisältää vähintään 8 merkkiä. Valitse salasanaksi sellainen jonka muistat. ü Vaihda salasanasi riittävän usein ja heti kun epäilet sen paljastuneen. Älä koskaan kirjoita salasanaasi paperille. Mikäli joudut näin kuitenkin tekemään, älä säilytä salasanaa näppäimistön alla tai työpöytäsi ylälaatikossa. ü Älä käytä työpaikan käyttäjätunnusta ja salasanaa rekisteröityessäsi Internetin palveluihin. ü Poistuessasi työpisteeltä lukitse työasemasi. ü Muista kannettavien tietokoneiden poikkeuksellisen korkea varkausriski. Älä tallenna mitään salassa pidettävää kannettavaasi! ü Älä avaa tuntemattomista osoitteista/lähettäjiltä saapuneita sähköpostiviestejä, eikä varsinkaan näiden liitetiedostoja. Älä avaa mitään exe- tai bat päätteisiä liitetiedostoja, ellet ehdottomasti tiedä mitä ne sisältävät. ü Käytä vain virustarkastusohjelmalla tarkastettuja ja salausohjelmalla salattuja USBtikkuja. ü Käynnistä työasemasi siten, että USB-tikku ei ole kiinnitettynä ja ettei CD-asemassa ole levyä. ü Voit epäillä virustartuntaa, jos työasemassasi näytölle ilmestyy tunnistamattomia viestejä, levytilan loppuu äkillisesti, tallentamasi tiedostot muuttuvat tai katoavat, ohjelmiston käyttö hidastuu oleellisesti tai estyy kokonaan. ü Jos epäilet virustartuntaa, tee seuraavaa: jos virustorjuntaohjelma tarjoaa mahdollisuuden viruksen poistoon, suorita kyseinen toimenpide ja varmistu toimenpiteen tuloksista. Etene torjuntaohjeiden mukaan. ü Jos torjuntaohjelma ei kykene poistamaan virusta älä sammuta konetta vaan tee seuraavaa: irrota työasemasi verkosta (eli ota atk-verkkokaapeli irti työasemasta), tarkista ja kirjaa ylös mitä tietoja näytölle kirjautuu ja raportoi tapahtumasta atk-tuelle ja tietoturvavastaavalle. Jos epäilet tartuttaneesi viruksen toisten työasemiin tai lähettäneesi viruksen sisältävää postia, varoita heitä siitä. ü ServiceDesk 013 339 0700 / helpdesk@pttk.fi

Kontiolahden kunta 5 (22) Käyttäjän käsikirja perustuu kunnanhallituksen hyväksymään tietoturvapolitiikkaan ja suunnitelmaan Tämä käyttäjän käsikirja pohjautuu kunnanhallituksen hyväksymään tietoturvapolitiikkaan ja suunnitelmaan. Tietoturvapolitiikka on julkinen asiakirja. Tietoturvasuunnitelma on salainen asiakirja. Käyttäjän käsikirja käsitellään henkilöstöasiain työryhmässä ja yhteistyötoimikunnassa ja sen hyväksyy kunnanhallitus. Järjestelmien ja tietoliikenneverkon käytön säännöt Hyvien työskentelyolojen takaamiseksi on tarpeen noudattaa seuraavia yhteisesti sovittuja sääntöjä, joiden tarkoituksena on määritellä järjestelmien käyttäjille ja ylläpitäjille heidän oikeutensa ja velvollisuutensa. Säännöt perustuvat seuraaviin yleisperiaatteisiin: ü Kaikilla on mahdollisuus asialliseen käyttöön. ü Muille ei saa aiheuttaa haittaa. ü Yksityisyyden suojaa pitää kunnioittaa. Tietosuojan toteuttaminen kunnassa Dokumentti kuvaa ne menetelmät ja toimintatavat mitenkä tietojen käsittelyä Kontiolahden kunnassa valvotaan, sekä seuraamukset mahdollisista tietoturvarikkomuksista. Tietoaineiston luokittelu Tietoaineisto voidaan jakaa julkiseen tai salassa pidettävään tietoon. Salassa pidettävä tieto on joko kokonaan tai osittain salassa pidettävää. Tietoturvatoimien oikean kohdistamisen vuoksi Kontiolahden kunnassa käsiteltävät tiedot käydään läpi ja luokitellaan tiedonohjaussuunnittelun yhteydessä. Kunnan eri yksiköiden käsittelemien tietojen luovutuksesta päättävät ne, joille on määritelty asiakirjan tai tietojen antamista koskeva päätösvalta. Luovutuksessa on otettava huomioon tietojen luokitus sekä julkisuuslain, henkilötietolain, potilaslain, asiakaslain ja muidenkin tietojen luovuttamiseen vaikuttavien säädösten ja määräysten asettamat ehdot. Tiedostojen, asiakirjojen ja muiden tietovälineiden säilytys Normaaleihin työasioihin liittyvät tai niiden yhteydessä muodostuvat asiakirjat ja tiedostot tallennetaan verkkolevylle tai asianhallintajärjestelmään mahdollisuuksien mukaan päivittäin. Paperidokumentit skannataan sähköiseen muotoon ja tallennetaan asianhallintaan, minkä jälkeen paperiversiot tarvittaessa arkistoidaan. Tietoaineistojen asianhallintaan viemisen yhteydessä tehdään aineiston luokitus ja tämän luokituksen perusteella voidaan määritellä ko. aineiston käsittely- ja säilytystavat.

Kontiolahden kunta 6 (22) Muut tietovälineet kuten CD/DVD:t, videokasetit, jne. luetteloidaan ja luokitellaan ennen kuin ne laitetaan sopivaan säilytyspaikkaan. Kontiolahden kunnan henkilökunnan omien tiedostojen tallennuspaikkana toimivat jokaisen työntekijän henkilökohtaiset työhakemistot, jotka sijaitsevat tähän käyttöön tarkoitetulla verkkolevyllä. Työhakemistoihin liittyvät käytännöt on ohjeistettu tarkemmin tässä ohjeessa. Tietoaineistojen arkistointi ja suojakopioiden säilytys Kunnan toiminnan yhteydessä muodostuvat tietoaineistot arkistoidaan tiedonohjaussuunnitelmien mukaisesti. Tarpeettomien tietojen hävittäminen turvallisesti Tietoaineistojen luokittelun yhteydessä määritetään ko. aineiston säilytysaika, jonka jälkeen aineiston ja siihen liittyvän muun tiedon voi poistaa kunnan tietojärjestelmistä. Tuhottavat paperidokumentit laitetaan niille erikseen varattuihin lukittuihin säiliöihin, joiden täyttyessä palvelua tarjoava turvayhtiö huolehtii säiliöiden noutamisesta ja dokumenttien tuhoamisesta. Kunnan käytöstä poistuville/uuteen käyttöön menevien työasemien, kiintolevyjen ja muiden talletusmedioiden tietojenhävittämiselle on luotu PTTK Oy:n puolesta käytäntö, jota kunnassa myös noudatetaan kautta linjan. Poistuvat tai uuteen käyttöön menevät työasemat sekä kiintolevyt käsitellään PTTK Oy:n toimesta käyttäen em. käytäntöjä. Tietojärjestelmien luokittelu Kontiolahden kunnassa käytettävät tietojärjestelmät luetteloidaan ja luokitellaan kunnan toiminnan kannalta tärkeysjärjestykseen riskianalyysin avulla. Järjestelmien tärkeysluokkaan vaikuttavia tekijöitä ovat muun muassa niiden sisältämän tiedon tärkeysluokitus ja kunkin järjestelmän käytettävyysvaatimukset.

Kontiolahden kunta 7 (22) Ylläpitäjien hyvät käytännöt: Käyttöoikeuksien määrittely ja oikeellisuus on esimiehen vastuulla. Nimetyt vastuuhenkilöt huolehtivat järjestelmien ylläpidosta. Ylläpitäjät tiedottavat järjestelmiin tehtävistä muutoksista ja niiden vaikutuksista sekä antavat tarvittaessa opastusta. Ylläpitäjillä on oikeus rajoittaa ja säädellä järjestelmien käyttöä velvollisuuksiensa hoitamiseksi. Käyttäjän hyvät käytännöt: ü Käyttäjän tulee aina käyttää omaa nimeään ja omaa käyttäjätunnustaan. Kukin käyttäjä vastaa kaikesta tunnuksellaan tapahtuvasta käytöstä. ü Työasioihin liittyvät ja niiden yhteydessä muodostuvat asiakirjat ja tiedostot tallennetaan verkkolevylle tai asianhallintajärjestelmään. ü Muut järjestelmän käyttäjät on otettava huomioon. ü Kaikilla käyttäjillä on vastuu järjestelmän kokonaisturvallisuudesta. ü Järjestelmään pyrkiminen väärällä käyttäjätunnuksella sekä oman tunnuksen valtuuksien ylittäminen tai ylityksen yrittäminen on kiellettyä. ü Laitteiston ja systeemiohjelmiston muuttaminen on kiellettyä. Tämä koskee myös yhteisessä käytössä olevia yhden käyttäjän järjestelmiä. ü Kiintiöiden ja muiden käyttörajoitusten kiertäminen on kiellettyä. ü Tunnettujen ja/tai uusien turvallisuusaukkojen etsiminen ja käyttäminen on kiellettyä. ü Ohjelmien, ohjelmistojen tai tiedostojen kopiointi luvatta on kiellettyä. Väärinkäytökset ja niiden seuraamukset ü Käyttäjien tulee ottaa huomioon voimassa oleva lainsäädäntö. Mm. henkilörekisterilaissa, rikoslaissa ja tekijänoikeuslaissa on atk:n käyttöä säänteleviä määräyksiä. ü Väärinkäytöksen laadusta riippuen käyttäjälle voidaan antaa varoitus, käyttöön liittyviä rajoituksia tai määräaikainen käyttökielto. ü Mikäli väärinkäytös on vakava ja teko muodostaa rikoksen, asia voidaan antaa poliisin tutkittavaksi. Oikeus järjestelmien tietoihin ja käytöstä kerättäviin tietoihin ü Kunta on järjestänyt tietojärjestelmät henkilöstön käyttöön kunnan toimintaan kuuluvaa tiedonvälitystä varten. Näin ollen Kontiolahden kunnalla on oikeus määrätä henkilöille annettujen, järjestelmien käyttöön oikeuttavien tunnusten käytöstä. ü Tietojärjestelmien tietoturvan valvonnan, tietojen varmistamisen ja toiminnan kehittämisen sekä tietojärjestelmien hallinnan tarpeisiin niiden käytöstä voidaan kerätä tietoja, jotka on kuvattu kyseisestä tietojärjestelmästä tehdyn selosteen yhteydessä. ü Tietojärjestelmien ja niiden sisällön turvallisuuden varmistamista sekä järjestelmien toiminnan ylläpitämistä varten niiden vastuuhenkilöillä on oikeus valvoa järjestelmien käyttöä ja tarvittaessa päästä käsiksi järjestelmien sisältämiin viesteihin ja muihin tietoihin sekä lukea, kopioida, siirtää ja tuhota niitä.

Kontiolahden kunta 8 (22) ü Kunnalla on tekijänoikeus kaikkiin palvelusuhteessa tai siihen verrattavissa olevan henkilöstön laatimiin, tietojärjestelmissä oleviin, kunnan toimintaan liittyviin tietoihin ja viesteihin. ü Tietojärjestelmien tietojen ja viestien käyttö, kopiointi ja siirto on sallittu vain kunnan toimintaan liittyvien tehtävien hoitamiseksi. ü Tietoliikennelaitteiden käytöstä ja palomuurin kautta kulkeneesta liikenteestä kirjautuu lokitietoja, joita käytetään ainoastaan tietoturvapoikkeamien selvityksessä ja niiden ennaltaehkäisevien toimenpiteiden suunnittelun apuna. Jos poikkeamien selvityksen yhteydessä havaitaan kunnan tietoturvapolitiikkaa vastaan olevia tapahtumia, niistä raportoidaan kunnan tietoturvavastaavalle (talousjohtaja). Henkilöstöturvallisuus: ü Henkilöstöturvallisuuden perustana on osaava ja sitoutunut henkilöstö, jolle tietoturvavastuut ja tehtävät on selkeästi kuvattu toimenkuvissa ü Työyksiköissä tulee olla riittävällä tasolla määritellyt prosessit, joissa kuvataan työtehtävät niin tarkasti, että avainhenkilöriskien syntyminen vältetään. ü Tehtävien vaativuudesta tai luottamuksellisuudesta riippuen rekrytoitavan henkilön tausta, sopivuus ja osaaminen on selvitettävä ennen työhönottoa. ü Työhönoton yhteydessä henkilö allekirjoittaa työsopimuksen, johon sisältyy myös vaitiolositoumus, viranhaltijan osalta asia huomioidaan virkamääräystä annettaessa. ü Perehdytyksen yhteydessä tulee käydä läpi kunnan tietoturvapolitiikka ohjeistuksineen. ü Henkilökunnan tietoturvaosaaminen varmistetaan sähköisen koulutusympäristön avulla (Granite)

Kontiolahden kunta 9 (22) Ohje Internetin ja sähköpostin käytöstä Internetin käyttö Yleistä Internet-verkko on laaja virtuaaliympäristö, jossa pätevät lähtökohtaisesti normaalit yhteiskunnan ja työympäristön säännöt. Työnantajalla ei ole velvollisuutta eikä mahdollisuutta Internet-yhteyden avaamisen yhteydessä edeltä käsin tyhjentävästi joko kieltää tai sallia kaikkia kyseenalaisia tai väärinkäytösmahdollisuuden sisältäviä sovelluksia tai käyttötapoja. Tästä syystä käyttäjällä itsellään on vastuu noudattaa organisaation tietoturvaohjeistusta, jotta Internetissä käytettävien palveluiden käyttö ei aiheuta tietojenkäsittelylle ja kunnan toiminnalle ylimääräisiä tietoturvariskejä. Työnantaja tarkkailee jatkuvasti ulkopuolisia yhteyksiä palomuuriohjelmistolla sekä erilaisilla virus- ja turvaohjelmistoilla, etteivät luvattomat tunkeilijat pääsisi sisään järjestelmään. Kaikista ulkopuolisista yhteyksistä jää lokiin tiedot mahdollisia myöhempiä selvityksiä varten. Valvonnassa noudatetaan Sähköisen viestinnän tietosuojalakia (516/2004, 125/2009) ja lakia yksityisyyden suojasta työelämässä (759/2004). Internet-yhteys on tarkoitettu työtehtävien hoitamiseen. Sallitut käyttötarkoitukset ovat: ü informaation hankkiminen työtehtävien suorittamiseksi ü ammatillisen sivistyksen kehittäminen ü ammattiyhdistystoiminta Sallittua yksityiskäyttöä ovat: ü henkilökohtainen pankkiasiointi työtehtäviä haittaamatta ü satunnainen viestintä, ilmoitukset tms. jotka ovat esim. kiireellisiä ja työläitä hoitaa muulla tavoin Verkon palveluiden ja sovellusten käyttäminen ei saa olla ristiriidassa organisaation viestinnän, toiminnan tarkoituksen tai tietoturvallisuuden kanssa. Kielletyt tai rajoitetut sovellukset ja palvelut sekä sosiaalinen media Seuraavien sovellusten käyttö ei ole sallittua niiden sisältämien erityisen korkeiden tietoturvariskien tai muun haitan vuoksi: ü Musiikki- ja videotiedostojen lataamiseen tarkoitetut sovellukset ü Vertaisverkkopalvelut (Kazaa, edonkey sekä vastaavat) ü Automaattiset näytönsäästäjät, jotka kuluttavat työaseman resursseja omaan toimintaansa esim. SETI@home (Search fo Extra Terrestial Intelligence) ü Keskusteluryhmät kuten IRC ja erilaiset chat-ryhmät ü Uutisryhmä-palveluihin (News Groups) saavat osallistua ainoastaan erikseen nimetyt henkilöt.

Kontiolahden kunta 10 (22) ü Kaikki käyttötarkoitukseltaan haitalliset, hyvän tavan vastaiset tai työtehtävien kanssa ristiriidassa olevat palvelut (esim. salauksen purku jo lain nojalla) Sosiaaliseen mediaan liittyen kunnassa on laadittu sosiaalisen median käyttöpolitiikka, jonka hyväksyy kunnan johtoryhmä. Käyttösäännöt Tekijänoikeussäännöt on huomioitava myös Internetistä peräisin olevan aineiston suhteen. Samoin on suhtauduttava varauksin kaikenlaisen aineiston luotettavuuteen ja oikeellisuuteen. Internetissä kuka tahansa voi julkaista mitä tahansa. Kuten muuallakin, kannattaa lähtökohtaisesti pitää luotettavana vain ennestään tunnettuja lähteitä. Internetiä käytettäessä on toimittava niin, että haittaohjelmien pääsy sisäiseen verkkoon estetään mahdollisimman pitkälle ennalta. Tunnetut ja luotettavat verkkopalvelut eivät pääsääntöisesti sisällä haittaohjelmia. Epämääräisiä ja käyttötarkoitukseltaan työtehtävien suorittamiseen liittymättömiä sivustoja pitää mm. haittaohjelmavaaran takia välttää ja varoa. Seuraavilla toimenpiteillä voidaan Internet-uhkia hallita peruskäyttäjätasolla: ü Sisäisten tietojärjestelmien ja -verkkojen käyttöön tarkoitettua henkilökohtaista käyttäjätunnusta ja salasanaa ei saa käyttää Internetissä oleviin palveluihin rekisteröitymiseen koska se voi tätä kautta paljastua ulkopuoliselle. ü Myös työnantajan sähköpostiosoitteen luovuttamisessa esim. Internet-palveluihin rekisteröidyttäessä tulee olla varovainen. Osoite voi tätä kautta kulkeutua ns. eitoivottuun kaupalliseen viestintään käytetyille (spam) postituslistoille. ü Työnantajan sähköpostiosoitteen saa luovuttaa vain sellaiseen Internet-palveluun rekisteröidyttäessä, jolla on selkeä yhteys työtehtäviin. (vrt. SOME) ü Internet-selaimen tietoturva-asetuksia ei saa heikentää ilman tietohallinnon lupaa. ü Ohjelmien lataaminen ja asentaminen Internetistä muun kuin tietohallinnon toimesta on kielletty. Käyttöohjeet 1. Internetin käytöstä jää aina jäljet. Kun sivu haetaan selaimeen, siitä jää merkintä wwwpalvelimen lokitiedostoon. Samoin merkintä käynnistäsi jää myös niille sivustoille, joilla kävit. Käytä Internetiä työpaikallasi vain työhösi tarvittavan tiedon hakemiseen. 2. Älä anna Internetissä nimeäsi, yhteystietojasi tai sähköpostiosoitettasi ilmoitustauluille, keskusteluryhmiin tms. Henkilötiedot voivat päätyä ulkopuolisten käyttöön ja niitä voidaan käyttää muihin tarkoituksiin kuin mihin olet ne antanut. Ulkopuoliset voivat ottaa selvää verkossa liikkumisestasi ja luoda tämän perusteella sinusta profiileja, jonka jälkeen alat saada sähköpostiisi mainoksia ja roskapostia. 3. Älä koskaan käytä tai asenna Internetistä peräisin olevia tiedostoja ja ohjelmia. 4. Poistu aina verkkopalvelusta sen omalla uloskirjautumiskomennolla. 5. Sivuhistoria muistaa kaikkien niiden sivujen osoitteet, joilla käyttäjä on vieraillut. Käytettäessä yhteis- tai julkisessa käytössä olevaa tietokonetta, sivuhistoria täytyy tyhjentää aina. 6. Selaimen välimuisti nopeuttaa Internet-surffausta. Se vie kuitenkin runsaasti levytilaa ja siksi se kannattaa aika ajoin tyhjentää. Käytettäessä yhteis- tai julkisessa käytössä olevaa tietokonetta, välimuisti täytyy tyhjentää aina.

Kontiolahden kunta 11 (22) 7. Jos olet kirjautumassa palveluun, jossa kysytään salasanaa, selain ehdottaa usein salasanan tallentamista. Tätä ei kuitenkaan koskaan pidä tehdä, sillä toiset käyttäjät pääsevät silloin sinun tunnuksellasi palveluun. 8. Eväste, on tekstitiedosto, jonka sivuston omistaja tallentaa koneesi kiintolevylle käydessäsi hänen web-sivustollaan. Evästeet ovat pääsääntöisesti harmittomia, mutta niitä voidaan käyttää väärin. Lukemalla evästetiedoston sisältö, voidaan selvittää, millä sivuilla käyttäjä on käynyt. Evästeeseen voi myös tallentua sivustolle vaadittavat käyttäjätunnus- ja salasanatiedot. Evästeitä on kahdentyyppisiä; istuntokohtaisia ja pysyviä. Istuntokohtaiset evästeet säilyvät selaimen muistissa niin kauan kuin selain on auki ja häviävät sitten itsestään. Pysyvät evästeet tallentuvat työaseman levylle ja säilyvät siellä ellei niitä poisteta manuaalisesti. 9. Sosiaalinen media ei sinänsä tuo uusia tietoturvahaasteita, mutta sosiaalisen median käyttötavat eroavat merkittävästi perinteisen median käyttötavoista ja perinteisistä Internet-palveluista, jonka takia tietoturvauhat ilmenevät eri tavalla. Tämä johtuu siitä, että sosiaalisessa mediassa käyttäjän toimenpiteet ovat normaalia palveluiden käyttöä keskeisemmässä asemassa. Tahaton hölmöily saattaa johtaa ikäviin seurauksiin, esimerkiksi organisaation tietojen vuotamiseen, henkilökohtaisen mielipiteen esittämiseen organisaation virallisena kannanottona, haittaohjelman leviämiseen tms. Henkilöstön ohjeistamiseksi ja selkeiden linjausten tekemiseksi on kuntaan laadittu sosiaalisen median käyttöpolitiikka. 10. Tietoliikennelaitteiden käytöstä ja palomuurin kautta kulkeneesta liikenteestä kirjautuu lokitietoja, joita käytetään ainoastaan tietoturvapoikkeamien selvityksessä ja niiden ennaltaehkäisevien toimenpiteiden suunnittelun apuna. Jos poikkeamien selvityksen yhteydessä havaitaan kunnan tietoturvapolitiikkaa vastaan olevia tapahtumia, niistä raportoidaan kunnan tietoturvavastaavalle. Sähköpostin käyttöohjeistus Kontiolahden kunnalla on käytössään Microsoft Outlook sekä Outlook Web Access sähköpostiohjelmat. Web Access on Outlookin Internet -selainpohjainen käyttöliittymä. Työnantajan sähköposti on tarkoitettu pääasiallisesti työasioiden hoitamiseen. Sähköpostia on lupa käyttää myös yksityisviestintään, mutta yksityisviestit on pidettävä erillään työviesteistä. Työnantajan sähköpostin käyttö ei ole kuitenkaan sallittua henkilökohtaisten tarjouspyyntöjen tai tarjousten tekemiseen sekä kaupankäyntiin tai muiden sellaisten oikeustoimien tekemiseen, joiden yhteydessä vastaanottajan on vaikeaa tulkita onko kyseessä henkilökohtainen vai työasia. Työntekijöille suositellaan yksityisasioiden hoitamista varten erillisen henkilökohtaisen sähköpostiosoitteen hankkimista. Työntekijä vastaa sähköpostin käytöstä, sähköpostilaatikon sisällöstä ja sisällön ylläpidosta. Tällöin työntekijän tulee ottaa huomioon seuraavat seikat: ü Työsähköpostia on käytettävä kuin mitä tahansa työvälinettä työtehtävien hoitamiseen. ü Sähköpostiviesti on dokumentti, josta voi olla kopioita monessa paikassa (mm. varmuuskopiot, sähköpostipalvelimet, työasemat) jota voidaan riittävän perusteen ilmetessä käyttää yhtenä todistusaineistona.

Kontiolahden kunta 12 (22) ü Sähköpostia suojaa viestintäsalaisuus, mutta se ei sellaisenaan takaa tietojen salassapitoa. Salassa pidettävien tietojen lähettäminen salaamattomassa Internetsähköpostissa on kielletty. ü Sähköpostiviestien automaattinen edelleen lähetys sisäisestä ja/tai suojatusta sähköpostiympäristöstä suojattomaan (Internet) on kielletty. Tapauskohtainen edelleenlähetys on sallittu vain tilannekohtaisen harkinnan perusteella. ü Sähköpostin liitetiedostot ovat yleisimpiä virusten ja muiden haittaohjelmistojen leviämistapoja. ü Tuntemattomalta lähettäjältä saadun, epätavallisesti otsikoidun tai muuten oudon sähköpostiviestin liitetiedostoa avattaessa tulee noudattaa varovaisuutta. Ota tarvittaessa yhteyttä tekniseen tukeen ennen epäilyttävän liitetiedoston avaamista. ü Roskapostiviesteihin eli spamiin ei pidä vastata. ü Ketjukirjeiden lähettäminen työnantajan laitteista sähköpostitse on kielletty. Ketjukirjeet ovat haittaohjelmien levittäjiä ja kuormittavat turhaan tietotekniikkaresursseja. ü Sähköpostitse kiertävät vitsit, adressit tms. sisältävät vaaran sähköpostiosoitteen joutumisesta ns. spam-listalle, koska ihmiseltä toiselle siirtyvien viestien mukana kulkee suuri määrä sähköpostiosoitteita. Sähköpostitse saapuneet viranomaisen asiakirjat on kirjattava. Jos viesti sisältää asian, jota todennäköisesti tullaan käsittelemään myöhemmin eri hallintoelimissä, toimita viesti organisaatiossasi henkilölle, joka hoitaa asian kirjaamisen diaariin. Loma-ajat ja pidemmät poissaolot Työtehtävien katkottoman hoitamisen vuoksi työntekijällä on velvollisuus käyttää sähköpostijärjestelmän automaattista vastaustoimintoa ilmoittaakseen poissaolostaan, sen kestosta ja siitä kuka hoitaa hänen tehtäviään poissaolon aikana. Liitetiedostot Vältä liitetiedostojen käyttöä jos se on mahdollista. Usein pelkkää tekstiä sisältävän liitetiedoston sisällön voi kopioida sähköpostin viestiosaan. Jos Wordilla tehty liitetiedosto ei sisällä kuvia, lähetä tiedosto vastaanottajalle rtf muodossa. Tällöin sinun ei tarvitse välittää siitä, mikä tekstinkäsittelyohjelma vastaanottajalla on. Tiedoston tallentaminen rtf muotoon: 1. Valitse Wordissa Tiedosto Tallenna nimellä 2. Valitse Tallennusmuoto kohdassa Word-asiakirja tekstin paikalle RTF 3. Anna tiedostolle nimi ja tallenna normaalisti Toinen tapa dokumenttien lähettämiseen on PDF-muoto. PDF-muotoon voidaan tallentaa tekstidokumentteja (Word-asiakirjoja), esityksiä (PowerPoint) tai taulukoita (Excel). Useimmissa postijärjestelmissä on määritelty välitettävien sähköpostien maksimikoko. Vastaanottajalta kannattaa tarkistaa, minkä suuruisia liitetiedostoja heidän postijärjestelmänsä voi ottaa vastaan. Tiedoston koon voi tarkistaa esimerkiksi resurssienhallinnassa. Mikäli on tarve lähettää/vastaanottaa sähköisessä muodossa suurempia kokonaisuuksia, kannattaa harkita vaihtoehtoina:

Kontiolahden kunta 13 (22) 1. Tiedostojen pakkaaminen esim. WinZip:llä ja pienentää näin lähetettävän viestin kokoa. 2. Tiedostojen polttaminen CD-ROMille ja lähettäminen tavallisena postina. 3. Tiedostojen siirtäminen ftp:llä. 4. Viestin paloitteleminen useampaan viestiin, jolloin yksittäisen viestin koko pienenee. Sähköpostin tietoturva Sähköpostin lähettäminen kunnan henkilöstön sisäisesti on suhteellisen turvallista, koska sähköpostijärjestelmämme salaa automaattisesti kaikki sanomat. Sen sijaan ulkoisiin osoitteisiin lähetettävä posti on selväkielistä, jolloin tietoturvan säilyminen edellyttäisi viestien salaamista ja digitaalista allekirjoitusta. Tätä mahdollisuutta meillä ei vielä ole käytössä. Tavallisen, suojaamattoman sähköpostin käyttö on rajattava vain niiden viestien välittämiseen, jotka soveltuvat sen käyttöön. Koska suojaamattoman sähköpostin tietoturva on tavallisen postikortin luokkaa, mitään salassa pidettävää tietoa ei saa lähettää suojaamattoman sähköpostin välityksellä. Kun käytössä on suojattu sähköposti ja sähköinen allekirjoitus, voidaan sitä käyttää virallisten asiapapereiden välitykseen. Potilasasiakirjojen siirtoa ja yksiköiden välistä konsultointia varten on olemassa oma tietoturvallinen ohjelmisto, potilastietojärjestelmän viestinvälitys. Sähköpostin tietoturvaohjeita Varmista lähettäjän aitous, jos vähänkin epäilet sitä. Sähköpostin lähettäjätieto on helppo väärentää, jolloin lähettäjästä ei voi olla täysin varma. Vastaavasti kuka tahansa voi lähettää viestin nimissäsi. Älä koskaan avaa tuntemattomalta lähettäjältä tullutta liitetiedostoa tai viestissä olevaa www-linkkiä. Älä lähetä ketjukirjeitä eteenpäin. Pyydä tärkeistä viesteistä kuittaus vastaanottajalta. Roskaposti Roskapostilla tarkoitetaan sähköpostiin tulevia mainoksia, joita vastaanottaja ei ole tilannut eikä niiden lähettämiseen ole kysytty lupaa. Mainostettavat tuotteet ja palvelut ovat yleensä epämääräisiä tai laittomia. Roskaposti on haitallista, koska se tuhlaa aikaa ja levytilaa. PTTK Oy:llä on käytössä roskapostien suodatusjärjestelmä, joka poistaa automaattisesti suurimman osan roskaposteista. Jos saat suodatuksesta huolimatta roskapostia, poista viestit välittömästi. Älä koskaan vastaa roskapostiviestiin, vaikka siinä olisi linkki, johon ilmoittamalla pääset pois jakelulistalta. Outlook- ja Outlook Web Access sähköpostiohjelmissa on roskapostin käsittelyyn joitakin toimintoja, joilla voit määritellä mitä roskapostiksi tulkituille viesteille tehdään. Jos epäillään, että jokin viesti on jäänyt saamatta, kannattaa siitä laittaa palvelupyyntö ServiceDeskiin ja sisällyttää siihen milloin (pvm + klo) ja mistä (lähettäjän spostiosoite) kyseisen viestin olisi pitänyt tulla.

Kontiolahden kunta 14 (22) Työnantajan oikeus lukea työntekijän sähköpostia Perustuslain 10.2 :n mukaan kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton. Työnantajan tarjoamaan sähköpostiosoitteeseen voi kuitenkin tulla sekä luottamuksellisia viestejä että julkisuuslain 5.2 :ssä määriteltyjä viranomaisen asiakirjoja, jotka ovat pääsääntöisesti julkisia. Viestintäsalaisuus koskee myös sähköpostiviestejä. Työnantajalla ei ole oikeutta lukea työntekijän sähköpostia, jos työnantaja ja työntekijä eivät ole yhteisesti asiasta sopineet. Työntekijä voi antaa suostumuksensa siihen, että työntekijän poissa ollessa tämän valitsema ja työnantajan tehtävään hyväksymä toinen henkilö voi ottaa vastaan työntekijälle lähetetyt viestit sen selvittämiseksi, onko työntekijälle lähetetty sellainen viesti, joka on selvästi tarkoitettu työnantajalle työtehtävien hoitamiseksi ja josta työnantajan on toimintansa tai työtehtävien asianmukaisen järjestämisen vuoksi välttämätöntä saada tieto. Jos työnantaja tai hänen tähän tehtävään osoittama henkilö tällaisessa tilanteessa saa tietoonsa myös muita kuin työasioihin liittyviä luottamuksellisia viestejä, ei hän saa ilmaista tai käyttää hyväksi tietoa viestin sisällöstä tai sen olemassaolosta, eikä käsitellä työntekijän henkilötietoja yksityisyyttä vaarantavasti. Työnantajan oikeudesta lukea työntekijälle tulleita sähköposteja sovitaan aina erillisellä sopimuksella. Virkasähköpostia voi olla mahdotonta erottaa henkilökohtaisesta viestinnästä. Jotta yksityisviestit säilyisivät yksityisinä, suositellaan viestinnässä käytettäväksi seuraavia ohjeita: 1. Tee sähköpostiisi oma kansio henkilökohtaisille viesteille ja nimeä se selvästi esim. Henkilökohtainen tai Omat viestit 2. Poista yksityiset viestit heti lukemisen jälkeen tai siirrä säilytettävät viestit omaan selvästi nimettyyn kansioon 3. Lisää lähetettävän yksityisen viestin otsikkoon teksti HENKILÖKOHTAINEN Toimenpiteet työsuhteen päättyessä Sähköpostin käyttöoikeus päättyy työsuhteen päättyessä ja sähköpostitili suljetaan. Ennen työsuhteen päättymistä työntekijän tulee poistaa kaikki henkilökohtaiset viestinsä ja sopia esimiehensä kanssa valtakirjan tekemisestä jäljelle jääneiden työnantajalle kuuluvien viestien hakemisesta ja avaamisesta tarvittaessa. Jos työntekijä lopettaa työn teon ennen työsuhteen päättymistä (esim. loman vuoksi), täytyy hänen lisäksi laittaa sähköpostitililleen automaattivastaus ilmoittaakseen viestintäkumppaneilleen, ettei sähköpostiosoite ole enää voimassa työsuhteen päättymispäivämäärän jälkeen. Työnantajalla on tämän jälkeen oikeus päättää tuhotaanko suljetun sähköpostitilin sisältö kokonaan vai haetaanko sisällöstä joitain työantajan toiminnalle tärkeitä viestejä työntekijän antaman valtakirjan ja lain yksityisyyden suojasta työelämässä 13.8.2004/759 (759/2004) luvun 6 määrittelemien käytäntöjen mukaan.

Kontiolahden kunta 15 (22) Etätyö Etätyöskentelystä on aina sovittava työnantajan kanssa erillisellä kirjallisella etätyösopimuksella. Kun työnantaja ja työtehtäväsi antavat sinulle mahdollisuuden työskennellä kotona (tai muualla kuin normaalissa toimipisteessä), huomioi seuraavat asiat: ü Älä missään tilanteessa luovuta tunnistautumistietojasi kenenkään muun käyttöön, äläkä jätä niitä muiden saataville. ü Käytä vain työnantajan tarkoitusta varten osoittamaa laitteistoa. Oman laitteiston käytöstä on aina sovittava erikseen. ü Käytä etätyössä ainoastaan sovittuja tietoliikennetapoja ja varmista, että sovitut salaus- ja suojausmenettelyt ovat käytössä. ü Varmista, että muut eivät pääse käyttämään päätelaitteitasi. ü Huolehdi etteivät muut perheenjäsenet tai vieraasi pääse salassa pidettäviin asioihin käsiksi tai kuule luottamuksellisia keskusteluja puhelimessa. Varmistu, että sivulliset, kuten perheenjäsenesi, eivät saa otetuksi yhteyttä tietojärjestelmiin. ü Käsittele etätyössä ainoastaan sellaista tietoaineistoa, jonka salaisuusaste vastaa käyttämääsi työskentely-ympäristöä, tarvittaessa käytä tiedostojen salausta. Älä tallenna työaseman kovalevylle mitään salassa pidettävää tietoa. ü Huolehdi työasemasi (tai muun päätelaitteen) tietoturvasta. Laitteistoa ei saa käyttää siten, että sen turvallisuus vaarantuu esimerkiksi pelien, ohjelmien lataamisen tai epäluotettavien Internet sivujen selaamisen vuoksi. Opettele tietoturvan kannalta tärkeiden ohjelmien päivittäminen ja käyttö. ü Älä muuta tai poista käytöstä suojausohjelmia. ü Huolehdi, että tiedät miten toimit erilaisissa ongelmatilanteissa. Todennäköisiä tilanteita ovat tietoliikenneyhteyden ongelmat sekä laitteiden ja tietoaineiston varastaminen tai katoaminen. ü Huolehdi, että työvälineesi ja tietosi ovat turvassa myös kuljetuksen aikana. ü Huolehdi työnteossa käyttämiesi puhelinten ja mobiililaitteiden turvallisuudesta. Älä säilytä niissä ylimääräistä tietoa ja käytä tiedon salausta. ü Vie toimistotilojen ulkopuolelle vain työn suorittamisen kannalta välttämätöntä materiaalia (asiakirjat, tallenteet, laitteet) ja palauta ne mahdollisimman pian. ü Huolehdi tietoaineistosi varmuuskopioinnista ja virustarkastuksista. ü Vältä salassa pidettävien tietojen tulostamista paperille ja tallentamista siirrettäville muistivälineille. ü Jos tulostat ja tallennat, huolehdi tiedon asianmukaisesta käsittelystä ja hävittämisestä. Tuo salassa pidettävä materiaali hävitettäväksi omaan työyksikkösi arkistovastaavalle. ü Asiakirjoja ei saa käsitellä, säilyttää eikä hävittää niin, että ne voivat joutua sivullisten käsiin. ü Lukitse aineistojen säilytyspaikka niin että tiedot eivät ole asiattomien käytössä. ü Mikäli etätyöntekijä epäilee luottamuksellisen tai salaiseksi luokitellun tiedon tai siihen pääsyyn oikeuttavien tunnistetietojen joutuneen tai paljastuneen ulkopuolisille, tulee etätyöntekijän ilmoittaa tästä välittömästi lähimmälle esimiehelleen. Tätä menettelyä noudatetaan myös, mikäli tietoja, laitteita tai ohjelmistoja on varastettu tai niitä on kadonnut.

Kontiolahden kunta 16 (22) Työhakemistot Jokaisella kunnan työntekijällä on oma työhakemisto, jonka saa käyttöönsä MADympäristössä. Tällä tarkoitetaan verkossa olevaa nimettyä kansiota, johon yhteys aukeaa automaattisesti kirjauduttaessa verkkoon omalla käyttäjätunnuksella ja salasanalla. Kansio on tarkoitettu työssä tarvittavien tietojen tallennukseen. Kansioon ei kuitenkaan pidä tallentaa mitään suuria tiedostoja (useampi Gt), koska kansion käyttötila on rajoitettu. Verkossa olevat kansiot varmuuskopioidaan tietyin väliajoin, millä varmistetaan tiedon pysyvyys ja käytettävyys. Esimerkiksi työpöydälle tallennetut tiedostot voivat muuttua käyttökelvottomiksi tietokoneen kiintolevyn rikkoutuessa. Älä tallenna työasemasi tai kannettavasi kiintolevyille mitään sellaista tietoa, jonka joutuminen ulkopuolisten käsiin on vahingollista tai jonka häviäminen aiheuttaa vahinkoa. Verkkokansioon tallennettu tieto ei joudu ulkopuolisten käsiin, mikäli esim. kannettava tietokone varastetaan. Verkkolevy varmistaa myös automaattisesti sinne tallennetun tiedon virusten varalta. Toimenpiteet työsuhteen päättyessä Käyttöoikeuden päättyminen Käyttöoikeus tietojärjestelmään päättyy kun, ü henkilö ei enää kuulu organisaatioon, ü määräaikaiseksi myönnetty käyttöoikeus vanhenee tai ü henkilön rooli muuttuu siten, ettei tietojärjestelmän käyttöoikeudelle enää ole perustetta. Käyttäjätunnus suljetaan, kun ü käyttöoikeus, johon liittyen se on annettu, loppuu ü sille ei enää ole tarvetta ü on perusteltu epäily sen väärinkäytöstä tai tietoturvallisuuden vaarantumisesta Tietojen käsittely käyttöoikeuden päätyessä: ü Työntekijän tulee siirtää, tarvittavissa määrin työtehtävien jatkamiksi, työhön liittyneet viestit ja tiedostot esimiehen kanssa sovitulle henkilölle. ü Henkilön tulee poistaa henkilökohtaiset sähköpostinsa ja tiedostonsa ennen tietojärjestelmän käyttöoikeuden loppumista. ü Henkilön tulee poistaa organisaation kotikäyttöön tarjoamat ohjelmistot palvelussuhteen päättyessä, ellei ohjelmiston lisenssiehdoissa toisin mainita. ü Kolmannen osapuolen (esim. toimittajan edustajan) tulee siirtää tai tuhota hankkeen toteuttamiseksi annettuun käyttäjätunnukseen liittyvät tiedot hankkeesta solmitun sopimuksen mukaisesti. ü Henkilön tiedostot ja postilaatikko poistetaan kolmen kuukauden kuluttua tunnuksen käytön / käyttöoikeuden loppumisesta.

Kontiolahden kunta 17 (22) Siirrettävät tietovälineet Yleisenä periaatteena on, ettei työtiedostoja ja -asiakirjoja viedä työpaikan ulkopuolelle. Kuitenkin on tilanteita, jolloin mm. sähköisessä muodossa olevia työtiedostoja tarvitaan esim. koulutus-, esittely- tai kokoustilanteissa työpaikan ulkopuolella. Tällöin noudatetaan seuraavia periaatteita: ü CD/DVD levyjä tai USB-muistitikkuja käytettäessä varmistutaan, ettei tietoväline tai sen sisältämä tieto joudu ulkopuolisten tahojen haltuun. ü Lisäksi USB-muistia käytettäessä tikulla oleva tieto salataan käyttämällä joko tikun omaa salausta tai erillistä salausohjelmaa. ü Jos USB-tikun mukana ei tule salausominaisuutta, saa erillisen salausohjelman ja siihen liittyvän käyttökoulutuksen pyydettäessä PTTK Oy:n ServiceDeskistä. ü Jokainen kunnan työntekijä vastaa käyttämiensä medioiden tietoturvasta. ü Jos löydät kunnan tiloista (tai mistä vain) USB-muistitikun tai CD/DVD-levyn, jonka käyttäjää tai alkuperää et tiedä, älä liitä sitä kunnan työasemaan (haittaohjelmien riski). Alkuperältään tuntematon tietoväline kannattaa viedä tuhottavien säiliöön. CD/DVD-levyjen ja levykkeiden hävitys Kontiolahden kunnalla on paperimuotoisen aineiston turvallista hävittämistä koskevan sopimuksen lisäksi myös CD/DVD:itä ja levykkeitä koskeva sopimus. Hävitettäväksi tarkoitetut CD:t, DVD:t ja levykkeet toimitetaan asianhallintasihteerille. USB-muistitikkujen hävitys Salatut USB-tikut voidaan hävittää poistamalla niistä ensin tiedot formatoimalla (alustamalla) tikku normaalisti PTTK Oy:n toimesta. Jos käytössä on salaamattomia USB-tikkuja, jotka halutaan poistaa käytöstä, ne ensin formatoidaan ja toimitetaan sen jälkeen asianhallintasihteerille. Samoin toimitaan rikkoutuneiden USB-tikkujen kanssa.

Kontiolahden kunta 18 (22) Työpuhelin Puhelinkäyttäytyminen ü Älä puhu luottamuksellisista/salassa pidettävistä asioista asiaankuulumattomien kuullen, esim. kerro salasanoja linja-autossa matkalla töihin. ü Puheluasi voidaan aina kuunnella, oli kyseessä sitten lankapuhelin tai matkapuhelin. Luottamuksellisia asioita ei kannata puhua puhelimessa. ü Puhelinta voidaan kuunnella nykytekniikalla jopa ilman sim-korttia. ü Tekstiviestin suojaus on heikko, siinä ei kannata lähettää luottamuksellista tietoa. Tekstiviestiä lähettäessäsi varmistu vastaanottajan numerosta, ettei tieto mene väärälle ihmiselle. ü Puhelimet on tarkoitettu työtehtävien hoitamiseen. ü Ostosten teko matkapuhelimella on kielletty. ü Numerotiedustelua ei saa käyttää puhelujen yhdistämiseen. ü Puhelimen katoamis- tai varkaustapauksessa välittömästi soitto Elisan asiakaspalveluun liittymän tilapäistä sulkua varten. Tämän jälkeen mahdollinen rikosilmoitus. Rikosilmoitukseen ja puhelimen verkosta sulkemista varten tarvitaan puhelimen IMEI-koodi. Koodi löytyy puhelimen akun alta, myyntipakkauksesta tai näppäilemällä puhelimeen *#06#. Puhelimen tietoturva Älypuhelimiin voidaan nykyisin tallentaa merkittävät määrät tietoja, mikä merkitsee esim. puhelimen kadotessa todellista tietoturvauhkaa. ü Työtiedostojen ja salasanojen tallentaminen salaamatta puhelimeen tai siinä olevaan erilliseen muistikorttiin ei ole sallittu. ü Suojaa puhelin suojakoodilla. Jos mahdollista, käytä automaattista lukitusta, kun olet käyttämättä puhelinta tietyn aikaa. ü Suojaa puhelimessa oleva muistikortti salasanalla. ü Puhelimesi on kytketty etähallintajärjestelmään, jolla voidaan lukita tai tyhjentää puhelin tarvittaessa etänä (ei koske peruspuhelimia). ü Jos puhelimesi katoaa tai varastetaan, ota välittömästi yhteyttä puhelinasioista vastaaviin henkilöihin puhelimen tietojen tyhjentämiseksi. PTTK Oy:n puhelinasioista vastaavien yhteystiedot: Miika Reijonen Lassi Turunen Henri Sainio miika.reijonen@pttk.fi lassi.turunen@pttk.fi henri.sainio@pttk.fi 013 339 0107 013 339 0133 013 339 0689

Kontiolahden kunta 19 (22) Sosiaalinen hakkerointi Tietojen uteleminen on yleinen tiedustelutapa. Henkilö saattaa esittää puhelimitse joukon merkityksettömiltä tuntuvia kysymyksiä. Kun näitä kysymyksiä tehdään riittävän usealle henkilölle organisaatiossa, välittyy kysyjälle yleiskuva organisaation toiminnasta, ja sen heikoista kohdista. Jos kunnan henkilöstöön kuuluvalta työntekijältä kysytään hänen työtavoistaan tai kunnan turvallisuusasioista, kyseisen työntekijän on pyydettävä kyselijää lähettämään kysymykset kirjallisena yhteystietojen kanssa ja ilmoitettava tapahtuneesta välittömästi lähimmälle esimiehelle ja kunnan tietoturvasta vastaavalle henkilölle, jotka tekevät päätökset jatkotoimenpiteistä. Näin toimitaan etenkin, jos: - kysyjää ei tunneta tai hänen henkilöllisyydestään ei voida olla varmoja - työntekijä ei voi vakuuttua hänelle esitettyjen kysymysten tarkoitusperästä. Ulkoistettujen tietojenkäsittelytoimintojen turvallisuus Ulkoistamisen edellytyksenä on kunnan tietoturvavaatimuksista johdettujen menettelyjen ulottaminen ulkoistettujen palvelujen toimittajaan. Vaatimukset ja tavoitteet on sovittava ulkoistamisprosessin alussa ja ne on kirjattava tehtävään palvelusopimukseen. Toimintojen ja palvelujen ulkoistaminen edellyttää organisaation ja toimittajan välisten velvoitteiden jakoa, tehtävämäärittelyä ja suunnitelmaa, jotta haluttu tietoturvallisuuden taso voidaan saavuttaa ja säilyttää koko ulkoistamisprosessin ajan. Kokonaisvastuu toiminnoista säilyy organisaatiolla, vaikka palveluntoimittaja vastaa organisaatiolle tuottamistaan palveluista. Palvelujen yhteydessä on siis niiden sisällöstä riippuen tarkistettava tietoturvatarpeet ja laadittava tarvittaessa salassapito- tai turvallisuussopimus. Sama koskee laite- ja järjestelmähankintoja.

Kontiolahden kunta 20 (22) Tietoturva hankintojen yhteydessä Hankintojen yhteydessä voi olla tarvetta solmia erillinen turvallisuussopimus. Siinä määritetään mm. sopimusosapuolien kesken jaettavien tietojen suojausperiaatteet ja salassapitoajat. Sopimuksilla pyritään estämään tietovuotoja ja -varkauksia toimitusten yhteydessä tai niiden jälkeen sekä varmistamaan, että toimitus vastaa kunnan tietoturvapolitiikkaa. Toimittajasta tehdään turvallisuusselvitys riippuen hankkeen tai palvelun kriittisyydestä. Palvelukokonaisuuden, tietoteknisen laitteen tai tietojärjestelmän hankintaan liittyy tuotteen tietoturvavaatimusten määrittely ja tietoturvaominaisuuksien arviointi. Keskeiset vaatimukset määritellään ja esitetään selkeästi jo tarjouspyyntövaiheessa ja tietoturvatekijät sisällytetään tarjouksen vertailu- ja valintaperusteisiin. Tietoturvavaatimusten toteutuminen voi olla hankinnan ehdoton edellytys. Hankintojen yhteydessä tarkasteltavia tekijöitä ovat: turvallisuusvaatimukset palveluille järjestelmähallinta, ohjelmistojen tarjoamat turvallisuusominaisuudet ja valvontamenettelyt, eheys, luottamuksellisuus, käytettävyys, todennus ja kiistämättömyys riittävän yhtenäisen, korvaavan laitekannan ja käyttöjärjestelmien yhteensopivuuden luominen palvelu-, huolto-, laite- ja ohjelmistotoimittajien osaaminen ja voimavarat nopean huollon ja varaosapalvelujen varmistaminen varalaitteiden saatavuuden varmistaminen sopimuksissa. Merkittävien järjestelmähankintojen yhteydessä varmistetaan laite-, ohjelmisto- ja tukipalveluyrityksen mahdollisuudet toimituksiin myös poikkeusoloissa. Tietojärjestelmähankkeiden yhteydessä varmistetaan tietoturvan sisällyttäminen hankkeeseen ja uuteen tietojärjestelmään. Tietoturva liittyy tietojärjestelmän muutoksiin ja kehittymiseen tietojärjestelmän koko elinkaaren ajan. Myös järjestelmän teknisten ja hallinnollisten rajapintojen turvallisuus varmistetaan. Hankkeen alussa tehtävällä riskien arvioinnilla suunnataan tietoturvatoimenpiteet kehitystyön kohteena olevan järjestelmän luonteen mukaisesti. Tietojärjestelmän esitutkimusvaiheessa määritellään tärkeysluokitus, turvallisuustarpeet ja -taso sekä asetetaan tietoturvavaatimukset. Tietojärjestelmän testaus suunnitellaan sekä hallinnolliselta että tekniseltä kannalta. Testit voivat kohdistua joko kertaluonteisesti osaan tai koko järjestelmään tai säännöllisesti tuotantoympäristöön, jolloin voidaan testata vähitellen järjestelmässä tapahtuvia pieniäkin muutoksia. Hallinnollisia tietoturvatarkastuksia ovat erilaiset vaatimusmäärittely- ja suunnitelmakatselmoinnit sekä ratkaisujen varmentamiset tietoturva-asiantuntijoita käyttäen. Teknisiä tarkastuksia ovat katselmoinnit erityisesti ohjelmistojen tai järjestelmien kriittisiin toimintoihin liittyen.