Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus 10.4.2014 41



Samankaltaiset tiedostot
Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA

Utajärven kunta TIETOTURVAPOLITIIKKA

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

TIETOTURVA- POLITIIKKA

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Tietosuoja- ja tietoturvapolitiikka

Sovelto Oyj JULKINEN

Ammattikorkeakoulu 108 Liite 1

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

Eläketurvakeskuksen tietosuojapolitiikka

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Johtokunta Tietoturva- ja tietosuojapolitiikka

Tietoturvapolitiikka

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Etelä-Pohjanmaan sairaanhoitopiirin tietoturva- ja tietosuojapolitiikka

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Tietoturvapolitiikka

Politiikka: Tietosuoja Sivu 1/5

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietoturvavastuut Tampereen yliopistossa

Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Espoon kaupunkikonsernin tietoturvapolitiikka

TIETOSUOJAPOLITIIKKA

Tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Tietoturva- ja tietosuojapolitiikka

Espoon kaupunki Tietoturvapolitiikka

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Tietoturvapolitiikan käsittely / muutokset:

Yhtymähallitus Yhtymävaltuusto Siun sote - kuntayhtymän sisäisen valvonnan ja riskienhallinnan perusteet

SUONENJOEN KAUPUNKI TIETOSUOJA- JA TIETOTURVAPOLITIIKKA

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Espoon kaupunki Tietoturvapolitiikka

Tietoturvapolitiikka Porvoon Kaupunki

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Lapinlahden kunnan tietoturvapolitiikka

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

HEINÄVEDEN KUNNAN TIETOTURVAPOLITIIKKA

TIETOTURVAPOLITIIKKA

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Lapin yliopiston tietoturvapolitiikka

PUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka

JOENSUUN KAUPUNGIN TIETOTURVAPOLITIIKKA

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Liite/Kvalt , 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Isonkyrön kunta

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

SISÄISEN VALVONNAN PERUSTEET

Karkkilan kaupungin tietoturvapolitiikka

TIETOSUOJASELOSTE Tilhilän palvelutalo Vuokrakiinteistöt

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Sisäisen valvonnan ja Riskienhallinnan perusteet

Tietosuojakysely 2019

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Tietoturvapolitiikka. Hattulan kunta

Peltolantie 2 D, Vantaa puh. (09) vastuuhenkilö (palveluntuottaja täyttää) yhteyshenkilö ja yhteystiedot: (palveluntuottaja täyttää)

Tietoturvallisuusliite

Kolarin kunnan tietosuojapolitiikka

Haminan tietosuojapolitiikka

Tietosuojakysely 2016

Tietosuojakysely 2017

KERAVAN KAUPUNKI SÄÄDÖSKOKOELMA SOSIAALI- JA TERVEYSTOIMEN JOHTOSÄÄNTÖ

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

Kanta-Hämeen sairaanhoitopiirin kuntayhtymä (jäljempänä Tilaaja ) Ahvenistontie 20, Hämeenlinna Y-tunnus:

Tietoturva ja viestintä

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

SIPOON VESIHUOLTOLIIKELAITOS

KESKI-POHJANMAAN IT-ALUEKESKUS. KPA:n TIETOTURVAPOLITIIKKA 2012 ja tietoturvamääräykset

Peltolantie 2 D, Vantaa puh.(09) vastuuhenkilö (palveluntuottaja täyttää) yhteyshenkilö ja yhteystiedot: (palveluntuottaja täyttää)

Tietosuojakysely 2018

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Tietosuojatehtävät. Järvenpään kaupungissa

1 Tietosuojapolitiikka

Tarkastele työtehtävistä suoriutumista seuraavista näkökulmasta.

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto

Sisäisen valvonnan ja riskienhallinnan perusteet Hyväksytty: kaupunginvaltuusto xx.xx.2014 xx

Henkilötietojen käsittelyn ehdot

KEMIJÄRVEN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Tietosuojavastaavana julkisella sektorilla

Marja Kuhmonen Sosiaalihuollon ylitarkastaja. Itä-Suomen aluehallintovirasto Peruspalvelut, oikeusturva ja luvat -vastuualue

Kertausta lähtökohtiin liittyen

Transkriptio:

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA 41

Johdanto Tiedon käsittely on oleellinen osa Peruspalvelukuntayhtymä Kallion toimintaa ja palveluiden tuottamista. Tietojenkäsittelyn tehokkuus, toimintakyky, turvallisuus ja virheettömyys ovat keskeisiä tekijöitä palvelutuotannon tehokkuudelle ja laadulle. Käytettävät tietoaineistot sisältävät usein asiakkaisiin, työntekijöihin ja toimintaan liittyvää tietoa, joka on lainsäädännön perusteella suojattava. Tiedon turvaaminen on oleellista koko organisaation toiminnan kannalta. Tietoturvan hyvä hallinta edellyttää toiminnan jatkuvaa seurantaa, pitkäjänteistä suunnittelua ja riittävää resursointia erilaisten uhkatilanteiden varalta. Tietoturvan toteuttaminen vaatii sovittujen ohjeiden ja toimintatapojen noudattamista, koulutusta ja viestintää. Tietoturvapolitiikka on Peruspalvelukuntayhtymä Kallion johdon kannanotto tietoturvan toteuttamiseen. Se määrittelee ne yleisperiaatteet, tavoitteet, joita noudatetaan tietoturvan toteuttamisessa ja kehittämisessä. Vastuut määräytyvät kuntayhtymän hallintosäännön mukaisesti. Peruspalvelukuntayhtymä Kallion yhtymähallituksen vahvistama tietoturvapolitiikka kattaa kuntayhtymän kaikkeen toimintaan liittyvät tietojenkäsittelyn. Jokaisen Peruspalvelukuntayhtymä Kallion viranhaltijan, työntekijän ja luottamushenkilön sekä toimintayksikön tietojen ja tietojärjestelmien käyttäjän on tunnettava tietoturvapolitiikka ja noudatettava sen perusteella annettuja ohjeistuksia ja määräyksiä. Organisaation ulkopuolisten toimijoiden tulee myös sitoutua noudattamaan tätä tietoturvapolitiikkaa, kansallisia normeja sekä ohjeita ehtona tehtäviensä mukaiselle pääsylle toimintayksikön tietojärjestelmiin ja niiden tietoaineistoihin. Ostopalveluasiakkaiden ja muiden sidosryhmien välisissä sopimuksissa ja tietoturvakäytäntöjen toteuttamisessa vähimmäisvaatimuksena on tämä politiikka ja siihen liittyvät ohjeet. Tietoturva ja tietosuoja Tietoturva tarkoittaa tietojen käsittelyn ja arkistoinnin turvaamista. Tietoturva rakentuu tiedon luottamuksellisuudesta, eheydestä, saatavuudesta, käytettävyydestä ja kiistämättömyydestä sekä tietojen käsittelyn valvonnasta. Tietoturvaan kuuluvat tietoturvan organisointi, tietojen käsittelijöiden toimintatavat, tietojen turvaamisen menetelmät, välineet ja toimenpiteet, työhön osoitetut resurssit sekä välineistön ja tilojen tietoturvaominaisuudet. Hyväksytyn tietoturvapolitiikan mukainen tietoturva sisältyy luonnollisena osana kaikkeen toimintaan. Tietoturvan kehittäminen ja ylläpito ovat osa toimintayksikön yleistä turvallisuustoimintaa, riskien hallintaa ja sisäistä valvontaa. Tietosuojalla tarkoitetaan henkilötietojen suojaamista valtuudettomalta ja henkilöä vahingoittavalta käsittelemiseltä. Tietosuojaan kuuluvat yksityisten henkilöiden yksityisyydensuoja sekä sitä turvaavat oikeudet ja edut henkilötietoja käsiteltäessä. Sosiaali- ja terveyspalveluita tuottavan toimintayksikön tietosuojaa ohjaavat voimakkaasti asiakastietojen käsittelystä säädetyt lait ja määräykset. Tietosuojapolitiikka liittyy kiinteänä osana Peruspalvelukuntayhtymä Kallion tietoturvapolitiikkaan. Tietoturvan tavoitteet Peruspalvelukuntayhtymä Kallion tietoturvatyön tavoitteena on turvata kuntayhtymän toimintaa tukevien tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, havaita ja estää tietojen ja 2

tietojärjestelmien luvaton käyttö, tiedon tahaton tai tahallinen tuhoaminen tai vääristäminen sekä minimoida niistä mahdollisesti aiheutuvat vahingot. Tietoturvatason tulee mukautua tilanteen, palvelun, standardien ja lakien edellyttämiin vaatimuksiin. Lähtökohtana on, että kuntayhtymän tiedot ja tietojärjestelmät suojataan asianmukaisesti sekä normaali että poikkeusoloissa hallinnollisin ja teknisin toimenpitein. Terveydenhuollon toimintayksikkönä Peruspalvelukuntayhtymä Kallio vastaa osana tietoturvatyötä myös potilasasiakirjojen ja potilastietoja sisältävien muiden asiakirjojen suojaamiseen liittyvästä tietoturvatyön suunnittelusta ja toteuttamisesta. Normaaliajan toiminnan tietojenkäsittelyn turvaamisen lisäksi varaudutaan toiminnan keskeyttäviin uhkatilanteisiin ja niistä toipumiseen. Tietoturvatyön tavoitteena on sisällyttää hyväksytyn tietoturvapolitiikan ja sitä täydentävien tietoturvaperiaatteiden ja ohjeiden mukainen tietoturva luonnollisena osana kaikkeen kuntayhtymän toimintaan. Tämä tarkoittaa henkilökunnan, yhteistyökumppaneiden ja alihankkijoiden sitouttamista Peruspalvelukuntayhtymä Kallion tietoturvakäytäntöihin ja vastuuttamista huolehtimaan käsiteltävien tietojen tietoturvasta. Tietoturvatyön tavoitteena on ylläpitää kuntalaisten ja eri sidosryhmien luottamusta kuntayhtymän tarjoamiin perinteisiin ja sähköisiin palveluihin sekä niiden tietoturvan, tietosuojan ja yksityisyydensuojan toteutumiseen. Organisointi ja vastuut Kokonaisvastuu tietoturvan toteutumisesta on Peruspalvelukuntayhtymä Kallion hallituksella ja kuntayhtymän johtajalla. Tietoturvan organisointi perustuu kuntayhtymän hallintosääntöön. Kuntayhtymän tietoturvatyön kokonaisuudesta vastaa Hallinto- ja tukipalvelujen toimialajohtaja saamiensa resurssien ja toimintavaltuuksien puitteissa. Hallinto- ja tukipalveluiden toimialajohtaja nimeää tietoturvaryhmän. Tietoturvaryhmä valmistelee tietoturvan linjaukset ja ohjeet Peruspalvelukuntayhtymä Kallion johtoryhmälle toimialajohtajien hyväksyttäväksi ja vastaa tietoturva-asioiden sisäisestä tiedottamisesta kuntayhtymässä. Kuntayhtymän potilas- ja asiakastietoja sisältävien henkilörekistereiden suojaamisesta ja valvonnasta vastaavat toimialajohtajat. Toimialajohtajat nimeävät toimialoilleen tietosuojavastaavat. Kuntayhtymän eri palvelualat vastaavat tietoturvan toteutumisesta omassa toiminnassaan sekä hankkimissaan ostopalveluissa. Palvelualojen johdon ja kuntayhtymään nimettyjen tietoturva- ja tietosuojavastaavien tulee huomioida toiminnan erityispiirteet ja lainsäädäntö sekä selventää tietoturvavastuut omissa yksiköissään. Jokaiselle tietovarastolle ja tietojärjestelmälle määritetään omistaja, joka vastaa järjestelmänsä toiminnasta ja tietoturvan kehittämisestä ja toteuttamisesta. Omistajien tehtävänä on mm. kartoittaa tietojärjestelmiensä toimintaan liittyvät riskit, huolehtia tietojenkäsittelyn luottamuksellisuudesta, tietojen oikeellisuudesta, pääsyn valvonnasta ja toimintojen jatkuvuudesta. Jokaisesta tietojärjestelmästä laaditaan tarvittavat dokumentit. Kuntayhtymän työntekijöiden vastuulla on huolehtia siitä, että heidän työtehtävissään käsittelemät, organisaatiolle kuuluvat tiedot jäävät organisaation haltuun ellei niitä muilla määräyksillä ole määrätty hävitettäviksi. Kuntayhtymän lukuun ylläpidettävien tietojen toimittamisesta kuntayhtymälle toimeksiantosuhteen päätyttyä vastaa sopimuksen allekirjoittaja. Esimiesten tehtävänä on vastata siitä, että työntekijöillä on oikeudet tehtävän edellyttämässä laajuudessa tarvittaviin tietojärjestelmiin ja tietoihin, myös työtehtävien mahdolliset muutokset huomioiden. Työsuhteen päättyessä on huolehdittava käyttöoikeuksien poistamisesta tietojärjestelmiin. 3

Esimiesten tehtävänä on huolehtia myös siitä, että alaiset saavat riittävän perehdytyksen ja koulutuksen tietoturvaan ja siitä, että työntekijät ymmärtävät tietoturvan merkityksen. Esimiehiltä odotetaan esimerkillistä ja vastuullista tietoturvakäyttäytymistä. Tietoturvan toteutus Tietoturvan toteuttamisen perusteena on tässä dokumentissa kuvattu ja kuntayhtymän hallituksen hyväksymä Peruspalvelukuntayhtymä Kallion tietoturvapolitiikka. Tietoturvan toteuttamisen lähtökohtana on tietoturvapolitiikan tehokas viestiminen koko organisaatiolle. Peruspalvelukuntayhtymä Kallion tietoturvaperiaatteet perustuvat kansallisiin, yleisiin ja toimialakohtaisiin tietoturvaa, henkilörekistereitä, hyvää tiedonhallintatapaa ja tiedon laatua ohjaaviin velvoittaviin säädöksiin ja ohjeisiin. Lainsäädännön ja ohjeistusten muutokset otetaan huomioon toimintayksikön tietoturvan kehittämisessä. Tietoturvan tavoitteiden saavuttaminen on jatkuva prosessi, joka tapahtuu hallinnollisten ja teknisten ratkaisujen avulla. Käyttäjien toimintaa ohjataan käyttösäännöillä ja toimintaohjeilla sekä tietoturvakoulutuksella. Jokaisen kuntayhtymän tietoverkkojen ja tietojärjestelmien käyttäjän tulee noudattaa hyväksyttyjä tietoturvaperiaatteita ja ohjeita, joiden noudattamiseen jokainen käyttäjä sitoutuu allekirjoittamalla käyttäjäsitoumuksen työ- tai toimeksiantosopimuksen yhteydessä. Näiden ohjeistusten tuntemus ja käyttäjäsitoumuksen allekirjoittaminen on edellytys tehtäviensä mukaiseen tietojärjestelmien ja tietoaineistojen käyttöoikeuksien saamiselle. Esimiesten tehtävänä on valvoa tietoturvaohjeiden noudattamista ja tietoturvan toteutumista yksiköissään ja työntekijöiden keskuudessa. Käytännön teknisestä tietoturvasta ja sen ohjeistuksesta vastaavat osaltaan palveluntuottajat, joille palvelun toteutus on sopimuspohjaisesti luovutettu. Palvelusopimuksissa huomioidaan tietoturvaan liittyvät vaatimukset, velvoitteet, häiriötilanteiden toimintamallit ja määritellään vastuuhenkilöt läpi koko palveluketjun. Palvelutuottajan vastuulla on raportoida tietoturvaan kohdistuvista merkittävistä riskeistä välittömästi palvelusopimuksessa määritellyille yhteyshenkilöille. Jokaisen työntekijän velvollisuus on ilmoittaa havaitsemistaan tietoturvaan liittyvistä puutteista tai väärinkäytöksistä esimiehelleen tai toimialan tietosuojavastaavalle. Jokaiselle kuntayhtymän tietojärjestelmälle on nimetty omistaja, joka osaltaan vastaa tietojärjestelmän tietoturvan toteutumisesta. Järjestelmän omistajuuteen liittyvät tiedot dokumentoidaan rekisteri- ja tietojärjestelmäselosteessa.. Koulutus ja ohjeistus Tietoturvakoulutusta järjestetään yksittäisinä koulutustapahtumina tai tietoiskutyyppisinä tilaisuuksina. Henkilöstön jatkuvaa osaamista ylläpidetään sähköisen koulutusympäristön avulla. Koulutuksen tarkoituksena on ylläpitää riittävä tietoturvaosaaminen muistuttaen säännöllisesti tietoturvan tärkeydestä. Koulutus on pakollinen koko henkilöstölle osana jokaisen työntekijän henkilökohtaisia vaatimuksia ja osaamisen kehittämissuunnitelmaa. Koulutuksen hyväksytystä suorittamisesta tulostuu todistus, joka oikeuttaa käyttöoikeuksien saamiseen tietojärjestelmiin. Tietoturvan käsikirja sisältää kaiken oleellisen tiedon tietoturvan ylläpitämisessä. Tietoturvan käsikirja on Kallion sisäisessä intrassa. 4

Tietoturvan seuranta ja valvonta Tietoturvapolitiikan ja ohjeiden noudattamisen valvonta on tärkeä osa kuntayhtymän sisäistä valvontaa. Tietoturvaryhmä ja kuntayhtymän johtoryhmä seuraavat teknisen ja hallinnollisen tietoturvan toteutumista. Hallinnollisen ja teknisen valvonnan menetelmät on kuvattu erillisissä ohjeissa. Käyttäjien ja tietojärjestelmien ylläpitäjien tulee ilmoittaa havaitsemastaan tietoturvan puutteesta, tietoturvaan liittyvästä väärinkäytöksestä tai epäilemästään tietoturvarikkomuksesta esimiehelleen tai toimialan tietosuojavastaavalle. Esimiesten tehtävänä on valvoa tietoturvan toteutumista omassa yksikössään ja raportoida tietoturvaloukkauksista tietosuojavastaavalle. ICT-palveluiden tuottajilla on velvollisuus raportoida säännöllisesti tietoturvaan liittyvistä palvelutasojen täyttymisestä ja riskeistä tietoturvavastaavalle. Tietosuojavastaavien tehtävänä on valvoa kuntayhtymän potilas- ja asiakastiedon käsittelystä säädetyn lain ja ohjeistusten toteutumista ja ryhtyä toimenpiteisiin havaittujen tietosuojan heikkouksien korjaamiseksi. Tietoturvavastaavien tehtävänä on seurata ja valvoa kuntayhtymän tietojärjestelmien tietoturvan toteutumista ja ryhtyä toimenpiteisiin havaittujen tietoturvan heikkouksien korjaamiseksi. Tiedottaminen Tietoturva-asioihin liittyvästä sisäisestä tiedottamisesta vastaa tietosuojavastaavat yhteistyössä tietoturvatyöryhmän kanssa. Ensisijainen sisäisen viestinnän tiedotuskanava on kuntayhtymän intranet. Ulkoinen tiedottaminen toteutetaan kuntayhtymän viestintäsuunnitelman mukaisesti. 5

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute