Tietoturvapolitiikka Kunnanhallitus 27.2.2012 42 Tyrnävän kunta
2 SISÄLLYSLUETTELO 1. YLEISTÄ 3 2. POLITIIKAN SOVELTAMINEN JA LAAJUUS 3 3. TIETOTURVAPOLITIIKKA, TAVOITTEET JA PERIAATTEET 4 4. TIETOJEN KÄYTETTÄVYYS JA LUOTTAMUKSELLISUUS 5 5. ORGANISOINTI JA VASTUUT 5 6. TIETOTURVAN SEURANTA JA ONGELMATILANTEET 7
3 1. YLEISTÄ Tämä tietoturvapolitiikka koskee Tyrnävän kunnan kaikkia toimintoja. Tietojenkäsittely tukee kunnan palvelujen tuottamista, ja palveluiden tehokkuus riippuu osaltaan tietojenkäsittelystä. Tietoaineistot sisältävät toimintaan, työntekijöihin, asiakkaisiin ja potilaisiin liittyvää tietoa, joka on lainsäädännön perusteella suojattava. Tietojenkäsittelyn on oltava tehokasta, virheetöntä ja varmaa. Tietoturvallisuuden tarkoituksena on taata toiminnan jatkuminen ja minimoida sille aiheutuvat riskit ja vahingot. Tietoturvallisuuden perustana on: luottamuksellisuus eli arkaluontoisen tiedon suojaaminen luvattomalta paljastukselta eheys eli tiedon oikeellisuuden ja muuttumattomuuden suojaaminen käytettävyys eli tiedon ja kriittisten palveluiden käytettävyyden varmistaminen Tietoturvapolitiikassa kuvataan ne periaatteet, joita Tyrnävän kunnassa noudatetaan tietoturvatoiminnassa. Tietojenkäsittelyn turvaaminen noudattaa kansallisia ja kansainvälisiä tietoturvallisuutta koskevia säädöksiä, standardeja ja suosituksia. Tyrnävän kunnan tietoturvapolitiikka on hyväksytty Tyrnävän kunnanhallituksessa 27.2.2012 ja se otetaan käyttöön 1.3.2012. Tietoturvapolitiikka on voimassa toistaiseksi, ja asiakirjaa päivitetään tarvittaessa. Asiakirja on julkinen. 2. POLITIIKAN SOVELTAMINEN JA LAAJUUS Tyrnävän kunnanhallituksen vahvistama tietoturvapolitiikka kattaa kunnan eri toimintojen tietojen käsittelyn tehtävät. Jokaisen viranhaltijan, työntekijän ja luottamushenkilön sekä toimintayksikön tietojen ja tietojärjestelmien käyttäjän on noudatettava tätä politiikkaa ja soveltuvin osin siihen liittyviä ohjeita. Tietoturvapolitiikka koskee koko henkilöstöä, vuokratyövoimaa, konsultteja sekä muita sidosryhmiä soveltuvin osin. Asiakkaiden ja muiden sidosryhmien välisissä sopimuksissa ja tietoturvakäytäntöjen toteuttamisessa on vähimmäisvaatimuksena tämä politiikka ja tähän politiikkaan liittyvät ohjeet. Tietoturvan hallintamenetelmät kohdistuvat kaikkeen tietojenkäsittelyyn, sekä manuaaliseen että sähköiseen, ja ne pitävät sisällään myös puhutun ja kirjoitetun tiedon. 3. TIETOTURVAPOLITIIKKA, TAVOITTEET JA PERIAATTEET Tietoturva tarkoittaa tietojen käsittelyn ja arkistoinnin turvaamista. Tietoturva rakentuu
4 tiedon luottamuksellisuudesta, eheydestä, saatavuudesta, käytettävyydestä ja kiistämättömyydestä sekä tietojen käsittelyn valvonnasta. Tietoturvatyö on tietoturvan saavuttamiseksi tehtävien toimenpiteiden suunnittelua ja toteuttamista. Tieto ja tietojärjestelmät ovat kunnan voimavara. Tietoturvapolitiikka on osa riskienhallintaa ja turvallisuusjohtamista, ja sillä määritellään ne periaatteet ja toimintamallit, joilla tietoturvallisuuden korkea taso varmistetaan. Tietoturvatoiminta perustuu Tyrnävän kunnanhallituksen hyväksymään tietoturvapolitiikkaan. Tietoturvallisuus edistää laatua ja näin ollen parantaa kilpailukykyä. Tietoturvallisuuden huomioiminen vähentää häiriöitä ja virheitä, jolloin se vaikuttaa myönteisesti sisäiseen työympäristöön, asiakassuhteisiin ja työn tuottavuuteen. Tietoturvapolitiikka osoittaa organisaation olevan luotettava yhteistyökumppani, ja asiakas voi luottaa, että hänen luottamukselliset tietonsa ovat turvassa. Tietoturvatoimenpiteillä vaalitaan näin ollen asiakkaiden, yhteistyökumppaneiden ja omistajien etua, varmistetaan viranomaisten määräysten toteutuminen, ylläpidetään ja tarjotaan asiakkaille ja muille yhteistyökumppaneille entistä parempaa palvelua, turvataan toiminnalle tärkeiden tietojen luottamuksellisuus, ajantasaisuus, oikeellisuus ja saatavuus sekä varmistetaan toiminnan jatkuminen. Tietoturvallisuuden toteutuksen keskeiset periaatteet ovat: organisaation niin paperisessa kuin sähköisessä muodossa olevat asiakirjat, tietovälineet, tekniset laitteet ovat organisaation omaisuutta ja niiden käsittely saa tapahtua vain erikseen määritellyn ohjeistuksen mukaisesti. Tyrnävän kunnalla on henkilöstön tietoturvaohjeet (Arjen tietoturva), jotka löytyvät kunnan intranet-sivuilta. Esimies antaa tietoturvaohjeet tiedoksi jokaiselle työntekijälle työsopimuksen solmimisen tai toimeksiannon yhteydessä. jokainen työntekijä noudattaa tietoturvallisuudesta annettuja ohjeita ja vastaa omalta osaltaan tietoturvallisuudesta Tyrnävän kunnassa. Tietoturvallisuus sisältää hallinnollisen, fyysisen, aineisto-, ohjelmisto-, laitteisto- ja tietoliikenneturvallisuuden. Hallinnollisten ja teknisten periaatteiden ja toimenpiteiden avulla varaudutaan tietoihin kohdistuviin uhkiin, pyritään vähentämään tietoturvariskiä sekä vähentämään niiden vaikutuksia. Tietoturvatoiminnalla suojataan kaikkien sähköisessä, kirjallisessa tai muussa muodossa olevien tietojen käsittelyä, siirtoa ja säilytystä riippumatta siitä onko tietoihin kohdistuva uhka tahallista tai tahatonta, esimerkiksi järjestelmän vikaantuminen, tapaturma tai luonnonkatastrofi. Tietoturvatyön tavoitteena on turvata kunnan toimintaa tukevien tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, havaita ja estää tietojen ja tietojärjestelmien luvaton käyttö, tiedon tahaton tai tahallinen tuhoaminen tai vääristäminen sekä minimoida niistä aiheutuvat vahingot. Tietoturvatason tulee mukautua tilanteen, palvelun, standardien, ja lakien edellyttämiin vaatimuksiin. Periaatteena on, että tiedot ja tietojärjestelmät
5 suojataan asianmukaisesti niin normaali- kuin poikkeusoloissa hallinnollisin ja teknisin toimenpitein. Toimintaympäristön riskeihin varaudutaan varustamalla työ- ja laitetilat kulunvalvonta- ja suojausratkaisuin. Tyrnävän kunnan tietohallinto vastaa erityisesti asiakas/potilasasiakirjojen sekä asiakas/potilastietoja sisältävien muiden asiakirjojen suojaamiseen liittyvästä tietoturvatyön suunnittelusta ja toteuttamisesta. Tietoturvallisuus on osa normaalia jokapäiväistä toimintaa niin työpaikalla kuin sen ulkopuolellakin. Tämä edellyttää kaikilta työntekijöiltä vastuullista toimintaa, tietoturvan ohjauksen ja valvonnan organisointia sekä turvallista teknistä ympäristöä. Henkilökunnan toimintaa ohjaavat lain ja määräysten mukaiset velvollisuudet ja oikeudet sekä viranomaisen hyvä tiedonhallintatapa, johon kuuluu vastuu omasta toiminnasta. 4. TIETOJEN KÄYTETTÄVYYS JA LUOTTAMUKSELLISUUS Tietojärjestelmien toiminta on olennainen asia kaikessa kunnan toiminnassa. Tietojärjestelmät on tarkoitettu vain työtehtävien hoitoon. Tietojärjestelmien käyttö muihin tehtäviin on kiellettyä ja järjestelmien käyttöä valvotaan tietohallinnon toimesta. Tietojärjestelmissä olevan tiedon käytettävyys edellyttää, että tiedot ovat oikeita ja ajantasaisia ja ovat käytettävissä vain niillä, joilla on niihin oikeus. Tämän vuoksi tiedoista otetaan keskitetysti ja säännöllisesti varmuuskopiot päivittäin. Näin turvataan myös toiminnan jatkuvuus. Lisäksi tietojen käyttöoikeus on rajattu tiukasti kunkin henkilön tehtävän mukaisesti. Toisten käyttöoikeuksien käyttö on kiellettyä. Toiminnan kannalta tärkeää tietoa on lisäksi kaikkialla organisaatiossa. Jokaiselta työntekijältä edellytetään tietoturvapolitiikkaan ja -ohjeisiin tutustumista. Luottamuksellisia tietoja tulee käsitellä niin, ettei vahinkoja pääse sattumaan. Olettamuksena on myös se, että työhön tai organisaatioon liittyvistä luottamuksellisista asioista ei keskustella ulkopuolisten kuullen. 5. ORGANISOINTI JA VASTUUT Tietoturvatyön perustana on Tyrnävän kunnan tietoturvapolitiikka. Tietoturvapolitiikka on tehokkaasti jaettu koko organisaatiolle tiedoksi. Kokonaisvastuu tietoturvan toteutumisesta on Tyrnävän kunnanhallituksella. Tyrnävän kunnan vastuulla on huolehtia tietoturvatyön riittävästä resursoinnista. Hallintojohtaja on vastuussa koko kunnan teknisen ja hallinnollisen tietoturvan järjestämisestä, kehittämisestä ja seurannasta. Tietosuojaa johtaa ja siitä vastaa jokainen esimies omalla vastuualueellaan. Johtava lääkäri vastaa potilastietoturvan osa-alueesta ja päättää siihen kuuluvista kehit-
6 tämistoiminnan tavoitteista, organisoinnista ja toimintavaltuuksista sekä potilastietosuojaa koskevasta tiedottamisesta toimintayksikön ulkopuolella ja sisällä. Sosiaali- ja terveysjohtaja vastaa sosiaalihuollon asiakkaiden tietoturvasta ja päättää siihen kuuluvista kehittämistoiminnan tavoitteista, organisoinnista ja toimintavaltuuksista sekä sosiaalihuollon asiakkaiden tietosuojaa koskevasta tiedottamisesta toimintayksikön ulkopuolella ja sisällä. Operatiivisen tietoturvan kehittämisestä, toteutuksen valvonnasta, tietoturvatietouden edistämisestä ja tietoturvallisesta toimintatavasta toimintayksiköissä ja sen ostamissa palveluissa sekä raportoinnista vastaa kunnan tietoturvavastaava johdolta saamiensa resurssien ja toimintavaltuuksien puitteissa. Hän vastaa myös yleisistä tietoturva-asioista tiedottamisesta toimintayksikön ulkopuolelle ja toimintayksikön sisällä. Tietosuojan toteutuksesta, seurannasta ja valvonnasta vastaa tietosuojavastaava johdolta saamiensa resurssien ja toimintavaltuuksien puitteissa. Toimintayksikön keskeisten toimintojen turvanäkemyksiä edustaa tietoturvaryhmä (Sisäisen valvonnan ohje, khall 19.12.2011 265). Tietoturvaryhmä käsittelee tietoturvan linjaukset ja ohjeet ennen kuin ne esitellään johdolle hyväksyttäväksi. Jokaisella tietojärjestelmällä on pääkäyttäjä. Kunkin yksikön esimies myöntää käyttöoikeudet ja pääkäyttäjä luo oikeudet. Tietojärjestelmän pääkäyttäjä valvoo käyttöoikeuksia. Tietoturvavastaavan velvollisuuksiin kuuluu tietojärjestelmän toimintaan ja turvallisuuteen asetettavien vaatimusten (esim. kriittisyyden, jatkuvuussuunnittelun ja varmuuskopiointimenettelyn) määrittely. Kaikilla työntekijöillä on oikeus ja velvollisuus tehdä parannusehdotuksia tietoturvaan liittyen. Työntekijöiden vastuulla on huolehtia siitä, että heidän tehtävissään käsittelemät organisaatiolle kuuluvat tiedot jäävät organisaation haltuun, jos ei niitä muilla määräyksillä ole määrätty hävitettäväksi. Esimiesten tehtävänä on vastata siitä, että työntekijöillä on oikeudet tehtävän edellyttämässä laajuudessa tarvittaviin tietojärjestelmiin ja tietoihin. Esimiesten tulee huolehtia myös siitä, että työntekijät saavat riittävän perehdytyksen ja koulutuksen tietoturva-asioihin sekä ymmärtävät tietoturvan merkityksen. Lisäksi esimiehet huolehtivat, että muutokset työtehtävissä huomioidaan myös käyttöoikeuksissa, ja esimerkiksi työsuhteen päättyessä käyttöoikeudet järjestelmiin poistetaan. Tietoturvapolitiikan päivittämisestä vastaa tietoturvavastaava. 6. TIETOTURVAN SEURANTA JA ONGELMATILANTEET Tietoturvallisuus edellyttää tehokasta valvontaa ja ohjausta, mikä on sisällytetty yhdeksi esimiesten johtamistehtäväksi. Tietoturvallisuus edellyttää myös jatkuvaa seurantaa ja kehittämistä, joten tietoturvaohjeistus ja käytännöt arvioidaan tietohallinnon suunnitelman päivityksen yhteydessä ja tarvittavat muutokset otetaan käyttöön välittömästi.
7 Tietoturvapolitiikan ja -ohjeiden valvonta on tärkeä osa organisaation sisäistä valvontaa. Käyttäjien ja ylläpitäjien tulee raportoida tietoturvaan liittyvistä riskeistä esimiehelleen, hallintojohtajalle tai tietoturvavastaavalle. Tietoturvaryhmä kokoontuu tietoturvavastaavan johdolla (it-asiantuntija) arvioimaan tilannetta vähintään kaksi kertaa vuodessa. Tietoturvan tilasta ja kehittämistarpeista ryhmä raportoi kunnan johdolle. Tietoturvavastaavan tehtävänä on ryhtyä toimenpiteisiin havaittujen ongelmatilanteiden ratkaisemiseksi. Yksikön esimiehen tehtävänä on valvoa tietoturvan toteutumista omassa yksikössään. Tietoturvaan liittyvässä uhkatilanteessa esimiehellä on oikeus sulkea tiedossa oleva tietoliikenneyhteys, järjestelmä, tunnus tai laite. Asianosaisia on viipymättä informoitava tehdyistä toimenpiteistä ja mahdollisista jatkotoimista. 7. LAIT JA ASETUKSET Tyrnävän kunta noudattaa tietoturvatoiminnassaan kaikilta osin voimassa olevia lakeja, asetuksia, sopimusten velvoitteita ja turvallisuusvaatimuksia.