Tietoturvapolitiikka. Kunnanhallitus 27.2.2012 42 Tyrnävän kunta



Samankaltaiset tiedostot
KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOTURVA- POLITIIKKA

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA

Utajärven kunta TIETOTURVAPOLITIIKKA

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus

Johtokunta Tietoturva- ja tietosuojapolitiikka

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Tietosuoja- ja tietoturvapolitiikka

Tietoturvapolitiikka

Tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka

Sovelto Oyj JULKINEN

Tietoturvapolitiikka Porvoon Kaupunki

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka

Tietoturvapolitiikka NAANTALIN KAUPUNKI

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

Ammattikorkeakoulu 108 Liite 1

Espoon kaupunki Tietoturvapolitiikka

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Tietoturvapolitiikka

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Espoon kaupunkikonsernin tietoturvapolitiikka

Lapin yliopiston tietoturvapolitiikka

Eläketurvakeskuksen tietosuojapolitiikka

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Tietoturvapolitiikan käsittely / muutokset:

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Tietoturvapolitiikka. Hattulan kunta

Politiikka: Tietosuoja Sivu 1/5

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Tietoturva- ja tietosuojapolitiikka

TIETOTURVAPOLITIIKKA

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Etelä-Pohjanmaan sairaanhoitopiirin tietoturva- ja tietosuojapolitiikka

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET ALKAEN

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Tietoturvapolitiikka

Tietosuoja- ja tietoturvapolitiikka

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

TIETOTURVAPOLITIIKKA

Lapinlahden kunnan tietoturvapolitiikka

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto

Tietoturvavastuut Tampereen yliopistossa

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

PUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Karkkilan kaupungin tietoturvapolitiikka

KESKI-POHJANMAAN IT-ALUEKESKUS. KPA:n TIETOTURVAPOLITIIKKA 2012 ja tietoturvamääräykset

Kolarin kunnan tietosuojapolitiikka

Valtiontalouden tarkastusviraston tietoturvapolitiikka

Tietoturva ja viestintä

Jämsän kaupungin tietoturvapolitiikka

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

Kunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka

HEINÄVEDEN KUNNAN TIETOTURVAPOLITIIKKA

Kuopion kaupunki Dnro 3720/2018 Elinvoima- ja konsernipalvelu Tietohallinto

Johdanto

Yhtymähallitus Yhtymävaltuusto Siun sote - kuntayhtymän sisäisen valvonnan ja riskienhallinnan perusteet

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

JOENSUUN KAUPUNGIN TIETOTURVAPOLITIIKKA

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

TIETOTURVA JA TIETOSUOJAPOLITIIKKA

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Sisäisen valvonnan ja Riskienhallinnan perusteet

Espoon kaupunki Tietoturva- ja tietosuojapolitiikka

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA

Gradian tietoturva- ja tietosuojalinjaukset

TIETOSUOJAPOLITIIKKA

Potilastietojärjestelmien käytön osaamisen turvaaminen organisaatioissa

Laatua ja tehoa toimintaan

Uudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet

SUONENJOEN KAUPUNKI TIETOSUOJA- JA TIETOTURVAPOLITIIKKA

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Pilvipalveluiden arvioinnin haasteet

SASTAMALAN KOULUTUSKUNTAYHTYMÄN TIETOTURVAOHJEET

OULUNKAAREN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

PUUMALAN KUNNAN TIETOTURVAPOLITIIKKA

Transkriptio:

Tietoturvapolitiikka Kunnanhallitus 27.2.2012 42 Tyrnävän kunta

2 SISÄLLYSLUETTELO 1. YLEISTÄ 3 2. POLITIIKAN SOVELTAMINEN JA LAAJUUS 3 3. TIETOTURVAPOLITIIKKA, TAVOITTEET JA PERIAATTEET 4 4. TIETOJEN KÄYTETTÄVYYS JA LUOTTAMUKSELLISUUS 5 5. ORGANISOINTI JA VASTUUT 5 6. TIETOTURVAN SEURANTA JA ONGELMATILANTEET 7

3 1. YLEISTÄ Tämä tietoturvapolitiikka koskee Tyrnävän kunnan kaikkia toimintoja. Tietojenkäsittely tukee kunnan palvelujen tuottamista, ja palveluiden tehokkuus riippuu osaltaan tietojenkäsittelystä. Tietoaineistot sisältävät toimintaan, työntekijöihin, asiakkaisiin ja potilaisiin liittyvää tietoa, joka on lainsäädännön perusteella suojattava. Tietojenkäsittelyn on oltava tehokasta, virheetöntä ja varmaa. Tietoturvallisuuden tarkoituksena on taata toiminnan jatkuminen ja minimoida sille aiheutuvat riskit ja vahingot. Tietoturvallisuuden perustana on: luottamuksellisuus eli arkaluontoisen tiedon suojaaminen luvattomalta paljastukselta eheys eli tiedon oikeellisuuden ja muuttumattomuuden suojaaminen käytettävyys eli tiedon ja kriittisten palveluiden käytettävyyden varmistaminen Tietoturvapolitiikassa kuvataan ne periaatteet, joita Tyrnävän kunnassa noudatetaan tietoturvatoiminnassa. Tietojenkäsittelyn turvaaminen noudattaa kansallisia ja kansainvälisiä tietoturvallisuutta koskevia säädöksiä, standardeja ja suosituksia. Tyrnävän kunnan tietoturvapolitiikka on hyväksytty Tyrnävän kunnanhallituksessa 27.2.2012 ja se otetaan käyttöön 1.3.2012. Tietoturvapolitiikka on voimassa toistaiseksi, ja asiakirjaa päivitetään tarvittaessa. Asiakirja on julkinen. 2. POLITIIKAN SOVELTAMINEN JA LAAJUUS Tyrnävän kunnanhallituksen vahvistama tietoturvapolitiikka kattaa kunnan eri toimintojen tietojen käsittelyn tehtävät. Jokaisen viranhaltijan, työntekijän ja luottamushenkilön sekä toimintayksikön tietojen ja tietojärjestelmien käyttäjän on noudatettava tätä politiikkaa ja soveltuvin osin siihen liittyviä ohjeita. Tietoturvapolitiikka koskee koko henkilöstöä, vuokratyövoimaa, konsultteja sekä muita sidosryhmiä soveltuvin osin. Asiakkaiden ja muiden sidosryhmien välisissä sopimuksissa ja tietoturvakäytäntöjen toteuttamisessa on vähimmäisvaatimuksena tämä politiikka ja tähän politiikkaan liittyvät ohjeet. Tietoturvan hallintamenetelmät kohdistuvat kaikkeen tietojenkäsittelyyn, sekä manuaaliseen että sähköiseen, ja ne pitävät sisällään myös puhutun ja kirjoitetun tiedon. 3. TIETOTURVAPOLITIIKKA, TAVOITTEET JA PERIAATTEET Tietoturva tarkoittaa tietojen käsittelyn ja arkistoinnin turvaamista. Tietoturva rakentuu

4 tiedon luottamuksellisuudesta, eheydestä, saatavuudesta, käytettävyydestä ja kiistämättömyydestä sekä tietojen käsittelyn valvonnasta. Tietoturvatyö on tietoturvan saavuttamiseksi tehtävien toimenpiteiden suunnittelua ja toteuttamista. Tieto ja tietojärjestelmät ovat kunnan voimavara. Tietoturvapolitiikka on osa riskienhallintaa ja turvallisuusjohtamista, ja sillä määritellään ne periaatteet ja toimintamallit, joilla tietoturvallisuuden korkea taso varmistetaan. Tietoturvatoiminta perustuu Tyrnävän kunnanhallituksen hyväksymään tietoturvapolitiikkaan. Tietoturvallisuus edistää laatua ja näin ollen parantaa kilpailukykyä. Tietoturvallisuuden huomioiminen vähentää häiriöitä ja virheitä, jolloin se vaikuttaa myönteisesti sisäiseen työympäristöön, asiakassuhteisiin ja työn tuottavuuteen. Tietoturvapolitiikka osoittaa organisaation olevan luotettava yhteistyökumppani, ja asiakas voi luottaa, että hänen luottamukselliset tietonsa ovat turvassa. Tietoturvatoimenpiteillä vaalitaan näin ollen asiakkaiden, yhteistyökumppaneiden ja omistajien etua, varmistetaan viranomaisten määräysten toteutuminen, ylläpidetään ja tarjotaan asiakkaille ja muille yhteistyökumppaneille entistä parempaa palvelua, turvataan toiminnalle tärkeiden tietojen luottamuksellisuus, ajantasaisuus, oikeellisuus ja saatavuus sekä varmistetaan toiminnan jatkuminen. Tietoturvallisuuden toteutuksen keskeiset periaatteet ovat: organisaation niin paperisessa kuin sähköisessä muodossa olevat asiakirjat, tietovälineet, tekniset laitteet ovat organisaation omaisuutta ja niiden käsittely saa tapahtua vain erikseen määritellyn ohjeistuksen mukaisesti. Tyrnävän kunnalla on henkilöstön tietoturvaohjeet (Arjen tietoturva), jotka löytyvät kunnan intranet-sivuilta. Esimies antaa tietoturvaohjeet tiedoksi jokaiselle työntekijälle työsopimuksen solmimisen tai toimeksiannon yhteydessä. jokainen työntekijä noudattaa tietoturvallisuudesta annettuja ohjeita ja vastaa omalta osaltaan tietoturvallisuudesta Tyrnävän kunnassa. Tietoturvallisuus sisältää hallinnollisen, fyysisen, aineisto-, ohjelmisto-, laitteisto- ja tietoliikenneturvallisuuden. Hallinnollisten ja teknisten periaatteiden ja toimenpiteiden avulla varaudutaan tietoihin kohdistuviin uhkiin, pyritään vähentämään tietoturvariskiä sekä vähentämään niiden vaikutuksia. Tietoturvatoiminnalla suojataan kaikkien sähköisessä, kirjallisessa tai muussa muodossa olevien tietojen käsittelyä, siirtoa ja säilytystä riippumatta siitä onko tietoihin kohdistuva uhka tahallista tai tahatonta, esimerkiksi järjestelmän vikaantuminen, tapaturma tai luonnonkatastrofi. Tietoturvatyön tavoitteena on turvata kunnan toimintaa tukevien tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, havaita ja estää tietojen ja tietojärjestelmien luvaton käyttö, tiedon tahaton tai tahallinen tuhoaminen tai vääristäminen sekä minimoida niistä aiheutuvat vahingot. Tietoturvatason tulee mukautua tilanteen, palvelun, standardien, ja lakien edellyttämiin vaatimuksiin. Periaatteena on, että tiedot ja tietojärjestelmät

5 suojataan asianmukaisesti niin normaali- kuin poikkeusoloissa hallinnollisin ja teknisin toimenpitein. Toimintaympäristön riskeihin varaudutaan varustamalla työ- ja laitetilat kulunvalvonta- ja suojausratkaisuin. Tyrnävän kunnan tietohallinto vastaa erityisesti asiakas/potilasasiakirjojen sekä asiakas/potilastietoja sisältävien muiden asiakirjojen suojaamiseen liittyvästä tietoturvatyön suunnittelusta ja toteuttamisesta. Tietoturvallisuus on osa normaalia jokapäiväistä toimintaa niin työpaikalla kuin sen ulkopuolellakin. Tämä edellyttää kaikilta työntekijöiltä vastuullista toimintaa, tietoturvan ohjauksen ja valvonnan organisointia sekä turvallista teknistä ympäristöä. Henkilökunnan toimintaa ohjaavat lain ja määräysten mukaiset velvollisuudet ja oikeudet sekä viranomaisen hyvä tiedonhallintatapa, johon kuuluu vastuu omasta toiminnasta. 4. TIETOJEN KÄYTETTÄVYYS JA LUOTTAMUKSELLISUUS Tietojärjestelmien toiminta on olennainen asia kaikessa kunnan toiminnassa. Tietojärjestelmät on tarkoitettu vain työtehtävien hoitoon. Tietojärjestelmien käyttö muihin tehtäviin on kiellettyä ja järjestelmien käyttöä valvotaan tietohallinnon toimesta. Tietojärjestelmissä olevan tiedon käytettävyys edellyttää, että tiedot ovat oikeita ja ajantasaisia ja ovat käytettävissä vain niillä, joilla on niihin oikeus. Tämän vuoksi tiedoista otetaan keskitetysti ja säännöllisesti varmuuskopiot päivittäin. Näin turvataan myös toiminnan jatkuvuus. Lisäksi tietojen käyttöoikeus on rajattu tiukasti kunkin henkilön tehtävän mukaisesti. Toisten käyttöoikeuksien käyttö on kiellettyä. Toiminnan kannalta tärkeää tietoa on lisäksi kaikkialla organisaatiossa. Jokaiselta työntekijältä edellytetään tietoturvapolitiikkaan ja -ohjeisiin tutustumista. Luottamuksellisia tietoja tulee käsitellä niin, ettei vahinkoja pääse sattumaan. Olettamuksena on myös se, että työhön tai organisaatioon liittyvistä luottamuksellisista asioista ei keskustella ulkopuolisten kuullen. 5. ORGANISOINTI JA VASTUUT Tietoturvatyön perustana on Tyrnävän kunnan tietoturvapolitiikka. Tietoturvapolitiikka on tehokkaasti jaettu koko organisaatiolle tiedoksi. Kokonaisvastuu tietoturvan toteutumisesta on Tyrnävän kunnanhallituksella. Tyrnävän kunnan vastuulla on huolehtia tietoturvatyön riittävästä resursoinnista. Hallintojohtaja on vastuussa koko kunnan teknisen ja hallinnollisen tietoturvan järjestämisestä, kehittämisestä ja seurannasta. Tietosuojaa johtaa ja siitä vastaa jokainen esimies omalla vastuualueellaan. Johtava lääkäri vastaa potilastietoturvan osa-alueesta ja päättää siihen kuuluvista kehit-

6 tämistoiminnan tavoitteista, organisoinnista ja toimintavaltuuksista sekä potilastietosuojaa koskevasta tiedottamisesta toimintayksikön ulkopuolella ja sisällä. Sosiaali- ja terveysjohtaja vastaa sosiaalihuollon asiakkaiden tietoturvasta ja päättää siihen kuuluvista kehittämistoiminnan tavoitteista, organisoinnista ja toimintavaltuuksista sekä sosiaalihuollon asiakkaiden tietosuojaa koskevasta tiedottamisesta toimintayksikön ulkopuolella ja sisällä. Operatiivisen tietoturvan kehittämisestä, toteutuksen valvonnasta, tietoturvatietouden edistämisestä ja tietoturvallisesta toimintatavasta toimintayksiköissä ja sen ostamissa palveluissa sekä raportoinnista vastaa kunnan tietoturvavastaava johdolta saamiensa resurssien ja toimintavaltuuksien puitteissa. Hän vastaa myös yleisistä tietoturva-asioista tiedottamisesta toimintayksikön ulkopuolelle ja toimintayksikön sisällä. Tietosuojan toteutuksesta, seurannasta ja valvonnasta vastaa tietosuojavastaava johdolta saamiensa resurssien ja toimintavaltuuksien puitteissa. Toimintayksikön keskeisten toimintojen turvanäkemyksiä edustaa tietoturvaryhmä (Sisäisen valvonnan ohje, khall 19.12.2011 265). Tietoturvaryhmä käsittelee tietoturvan linjaukset ja ohjeet ennen kuin ne esitellään johdolle hyväksyttäväksi. Jokaisella tietojärjestelmällä on pääkäyttäjä. Kunkin yksikön esimies myöntää käyttöoikeudet ja pääkäyttäjä luo oikeudet. Tietojärjestelmän pääkäyttäjä valvoo käyttöoikeuksia. Tietoturvavastaavan velvollisuuksiin kuuluu tietojärjestelmän toimintaan ja turvallisuuteen asetettavien vaatimusten (esim. kriittisyyden, jatkuvuussuunnittelun ja varmuuskopiointimenettelyn) määrittely. Kaikilla työntekijöillä on oikeus ja velvollisuus tehdä parannusehdotuksia tietoturvaan liittyen. Työntekijöiden vastuulla on huolehtia siitä, että heidän tehtävissään käsittelemät organisaatiolle kuuluvat tiedot jäävät organisaation haltuun, jos ei niitä muilla määräyksillä ole määrätty hävitettäväksi. Esimiesten tehtävänä on vastata siitä, että työntekijöillä on oikeudet tehtävän edellyttämässä laajuudessa tarvittaviin tietojärjestelmiin ja tietoihin. Esimiesten tulee huolehtia myös siitä, että työntekijät saavat riittävän perehdytyksen ja koulutuksen tietoturva-asioihin sekä ymmärtävät tietoturvan merkityksen. Lisäksi esimiehet huolehtivat, että muutokset työtehtävissä huomioidaan myös käyttöoikeuksissa, ja esimerkiksi työsuhteen päättyessä käyttöoikeudet järjestelmiin poistetaan. Tietoturvapolitiikan päivittämisestä vastaa tietoturvavastaava. 6. TIETOTURVAN SEURANTA JA ONGELMATILANTEET Tietoturvallisuus edellyttää tehokasta valvontaa ja ohjausta, mikä on sisällytetty yhdeksi esimiesten johtamistehtäväksi. Tietoturvallisuus edellyttää myös jatkuvaa seurantaa ja kehittämistä, joten tietoturvaohjeistus ja käytännöt arvioidaan tietohallinnon suunnitelman päivityksen yhteydessä ja tarvittavat muutokset otetaan käyttöön välittömästi.

7 Tietoturvapolitiikan ja -ohjeiden valvonta on tärkeä osa organisaation sisäistä valvontaa. Käyttäjien ja ylläpitäjien tulee raportoida tietoturvaan liittyvistä riskeistä esimiehelleen, hallintojohtajalle tai tietoturvavastaavalle. Tietoturvaryhmä kokoontuu tietoturvavastaavan johdolla (it-asiantuntija) arvioimaan tilannetta vähintään kaksi kertaa vuodessa. Tietoturvan tilasta ja kehittämistarpeista ryhmä raportoi kunnan johdolle. Tietoturvavastaavan tehtävänä on ryhtyä toimenpiteisiin havaittujen ongelmatilanteiden ratkaisemiseksi. Yksikön esimiehen tehtävänä on valvoa tietoturvan toteutumista omassa yksikössään. Tietoturvaan liittyvässä uhkatilanteessa esimiehellä on oikeus sulkea tiedossa oleva tietoliikenneyhteys, järjestelmä, tunnus tai laite. Asianosaisia on viipymättä informoitava tehdyistä toimenpiteistä ja mahdollisista jatkotoimista. 7. LAIT JA ASETUKSET Tyrnävän kunta noudattaa tietoturvatoiminnassaan kaikilta osin voimassa olevia lakeja, asetuksia, sopimusten velvoitteita ja turvallisuusvaatimuksia.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute