TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT YT-neuvosto hyväksynyt 21.11.2007 Vahvistanut: kuntayhtymän johtaja Pentti Leipälä 4.1.2008 1. SÄÄNTÖJEN TARKOITUS 1 2. KÄYTÖN PERIAATTEET 2 3. KÄYTTÖOIKEUS JA KÄYTTÄJÄTUNNUKSET 4 4. KÄYTTÖOIKEUDEN VOIMASSAOLO 4 5. TIETOJÄRJESTELMIEN YLLÄPITO 5 1. SÄÄNTÖJEN TARKOITUS Kemi-Tornionlaakson koulutuskuntayhtymä Lappia ylläpitää Kemi-Tornion ammattikorkeakoulua ja ammattiopistoa. Sen tulee turvata kaikkien käyttäjäryhmiensä tietojen luottamuksellisuus, eheys ja käytettävyys sekä tarjota luotettava ja turvallinen ympäristö tietojen käsittelyyn. Nämä ja muut säännöt on laadittu auttamaan eri ryhmiin kuuluvia käyttäjiä tunnistamaan käyttöoikeuksiinsa liittyvät oikeudet, vastuut ja velvollisuudet. Käyttöoikeuksiin liittyvien velvollisuuksien tahatonkin laiminlyöminen saattaa vaarantaa muiden käyttäjien omistamien tietojen eheyden, luottamuksellisuuden ja käytettävyyden. Näitä sääntöjä sovelletaan kaikkiin kuntayhtymän hallinnassa tai muutoin kuntayhtymän vastuulla oleviin tietojärjestelmiin ja niiden käyttöön sekä käyttäjien osalta myös muihin sellaisiin palveluihin, joiden käyttömahdollisuus tai käyttöoikeus on saatu kuntayhtymän välityksellä. Säännöt koskevat myös kuntayhtymän yleisessä käytössä olevia työasemia ja kaikkia kuntayhtymän verkkoon liitettyjä laitteita. Kaikkien kuntayhtymän tietotekniikan käyttäjien tulee noudattaa näiden sääntöjen lisäksi myös muita kuntayhtymän tietojärjestelmistä antamia sääntöjä ja ohjeita, hyviä tapoja sekä Suomen lakia. Näiden tai muiden tietojärjestelmän käyttöä koskevien sääntöjen vastainen käyttö käsitellään tietoturvapoikkeamiin reagoimisesta ja seuraamuksista annettujen ohjeiden mukaisesti. Sääntöjen kulloinkin voimassa oleva versio löytyy tietoturvasivustolta.
TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 2(5) 2. KÄYTÖN PERIAATTEET Kaikkea käyttöä ja käyttösääntöjen tulkintaa ohjaavia keskeisiä sääntöjä ja yleisperiaatteita ovat: Tietojärjestelmien käyttö edellyttää voimassa olevaa käyttölupaa. Käyttäjälle myönnetty käyttölupa on henkilökohtainen ja käyttäjä vastaa kaikesta tunnuksensa käytöstä. Toiselle kuuluvan tunnistetiedon käyttäminen tai toisen nimissä esiintyminen on ehdottomasti kielletty. Kaikilla käyttöön oikeutetuilla on mahdollisuus kohtuulliseen ja asialliseen käyttöön, käytön on oltava hyvien tapojen mukaista. Opiskelijoiden työskentely henkilökunnan työasemilla on ehdottomasti kielletty. Luokkaympäristöissä opettajan käyttöön tarkoitettua työasemaa opiskelija saa käyttää vain opettajan valvonnassa esimerkiksi erilaisten esitysten toteuttamiseen. Yksityisyyden suojaa tulee kunnioittaa. Toista käyttäjää koskevien tai hänelle kuuluvien tietojen etsiminen ja lukeminen on sallittu vain hänen luvallaan. Mikäli käyttäjä saa vahingossa haltuunsa muille osoitettuja tai kuuluvia tietoja, on niiden hyväksikäyttö, talteenotto ja levittäminen kiellettyä. Tapahtuneesta tulee ilmoittaa ylläpitohenkilökunnalle ja asianomaiselle käyttäjälle. Palvelujen pystyttäminen kuntayhtymän verkkoon ilman lupaa on ehdottomasti kielletty. Palveluilla tarkoitetaan kaikkia ulkopuolisille tarkoitettuja palveluita, kuten www ja ftp. Myös palvelintyyppisten ohjelmistojen (P2P) asiaton käyttö on kielletty. Muille käyttäjille tai tietoliikenneverkossa oleville organisaatioille tai tietojärjestelmille ei saa aiheuttaa haittaa tai vahinkoa. Kiellettyä on sekä suora että epäsuora häirintä. Häirinnäksi voidaan tulkita esimerkiksi tietojärjestelmien ja tietoverkkojen kapasiteetin tuhlauksesta aiheutuva häirintä. Myös yleisissä IRC:n ja News:in kaltaisissa julkisissa keskusteluissa häiriköiminen kuntayhtymän laitteilla ja kuntayhtymän antamilla käyttäjätunnuksilla on kiellettyä. Järjestelmien suojausta murtavien ohjelmien ajaminen on kiellettyä. Samoin on kiellettyä yrittää analysoida ohjelmin tai laittein verkkoliikennettä. Myös tunnettujen tai uusien turvallisuusaukkojen etsiminen ja käyttäminen on kiellettyä. Huomatuista turvallisuusaukoista tulee ilmoittaa ylläpitohenkilökunnalle. Tietokoneympäristöjen esimäärityksiä ei saa muuttaa ilman ylläpitohenkilökunnan erillistä lupaa. Ohjelmien ja muiden tiedostojen oikeudettomien kopioiden luonti, hallussapito, käyttö ja levittäminen ovat kiellettyjä. Ohjelmien asentaminen ja tallentaminen ilman lupaa on kiellettyä. Varsinkin peliohjelmien asentaminen ja pelaaminen kuntayhtymän laitteilla on kiellettyä. Poik-
TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 3(5) keuksena sallitaan erillisellä luvalla esimerkiksi harjoitustyöhön tai lopputyöhön liittyvien ohjelmien asentaminen. Tällaisissa tapauksissa ohjelmien ja tiedostojen tallentaminen ja asentaminen on sallittua vain työskentelyn ajaksi ja tiedostot on poistettava työskentelyn päätyttyä. Kuntayhtymän tietojärjestelmät on tarkoitettu työvälineeksi tehtäviin, jotka liittyvät opiskeluun, tutkimukseen, opetukseen tai hallintoon kuntayhtymässä. Muu käyttö edellyttää erillistä sopimusta. Yksityinen käyttö on sallittu vähäisessä määrin ja vain siltä osin kuin se ei haittaa muuta järjestelmän käyttöä eikä ole ristiriidassa kyseistä järjestelmää koskevien tai yleisten käytöstä annettujen sääntöjen kanssa. Yksityinen aineisto tulee yksityisyyden suojan varmistamiseksi pitää selkeästi erillään työhön liittyvästä aineistosta. Kaupallinen käyttö muun kuin kuntayhtymän lukuun on sallittu vain nimenomaisella luvalla. Käyttö poliittiseen toimintaan (kuten vaalimainontaan) on kielletty. Poikkeuksena ovat oppilaskunnan vaalit, oppilaskunnan toimintaan liittyvien poliittisten opiskelijajärjestöjen ja alayhdistysten sekä henkilökunnan ammattiyhdistysten yms. toiminta. Kaikkien käyttäjien tulee omalta osaltaan huolehtia yhteiseen tietoturvallisuuteen liittyvistä asioista. Vaikka käyttäjällä itsellään ei olisikaan erityistä suojattavaa, muilla käyttäjillä saattaa olla. Kaikilla käyttäjillä on omalta osaltaan vastuu tietojärjestelmän kokonaisturvallisuudesta. Havaituista tai epäillyistä tietoturvallisuuden puutteista ja väärinkäytöksistä tulee ilmoittaa tietoturvavastaavalle. Kuntayhtymä pyrkii suojaamaan kaikkia käyttäjiä haittaohjelmilta, roskapostilta ja yrityksiltä tunkeutua järjestelmiin tai yksittäisiin työasemiin. Käyttäjien on myös huolehdittava tässä toiminnassa omasta osuudestaan annettujen ohjeiden mukaisesti. Käyttäjä vastaa itse tiedostojensa suojauksesta sekä viime kädessä niiden varmuuskopioinnista. Kuntayhtymä varmuuskopioi keskitettyjen tietojärjestelmien tiedostot, mutta ei vastaa tiedostojen mahdollisen tuhoutumisen aiheuttamista vahingoista. Käyttäjällä on vaitiolovelvollisuus järjestelmien tietosisällöstä, käyttötavoista, turvatasosta ja ominaisuuksista silloin, kun tietojärjestelmien käyttötarkoitus, niiden käytöstä annetut määräykset tai lainsäädäntö sitä vaativat. Kuntayhtymän verkkoon saa kytkeä vain kuntayhtymän hallinnoimia laitteita. Muiden laitteiden liittämisestä verkkoon on aina sovittava erikseen tietoturvavastaavan kanssa. Lisäksi omien laitteiden liittäminen kuntayhtymän tietokoneisiin on kielletty (lukuun ottamatta langatonta vierailijaverkkoa). Omien muistivälineiden (levyke, cd, usbmuisti ) käyttö on sallittua, mutta käyttäjän on huolehdittava siitä, etteivät ne sisällä viruksia tai muita järjestelmien toimintaa haittaavia ominaisuuksia.
TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 4(5) 3. KÄYTTÖOIKEUS JA KÄYTTÄJÄTUNNUKSET Tietojärjestelmien käyttö edellyttää voimassa olevaa käyttölupaa. Käyttäjälle myönnetään käyttöoikeus nimettyihin tietojärjestelmiin. Käyttöoikeus perustuu käyttäjän asemaan kuntayhtymässä tai se voidaan erityisestä syystä myöntää kuntayhtymään kuulumattomalle. Käyttöoikeuden aktivoinnin edellytyksenä on, että käyttäjä sitoutuu noudattamaan näitä sääntöjä sekä muita käyttöön liittyviä ohjeita ja määräyksiä. Käyttäjän on etukäteen tutustuttava järjestelmää koskeviin käyttöohjeisiin ja sääntöihin. Käyttöoikeutta ei saa luovuttaa edelleen. Käyttäjälle myönnetty käyttölupa on henkilökohtainen ja käyttäjä vastaa kaikesta tunnuksensa käytöstä. Myös käyttölupaan liittyvien tunnusten ja salasanojen luovuttaminen edelleen on ehdottomasti kielletty. Jos on syytä epäillä salasanan tai muun tunnisteen joutuneen jonkun muun tietoon/haltuun, salasana on vaihdettava tai tunnisteen käyttö on estettävä välittömästi. Salasana on vaihdettava vähintään 6 kk välein ja sen tulee olla salasanoista annetun ohjeen mukainen. 4. KÄYTTÖOIKEUDEN VOIMASSAOLO Käyttöoikeus päättyy automaattisesti, kun opiskelu päättyy kun käyttäjä ei enää kuulu kuntayhtymään kun määräaikaisesti myönnetty käyttöoikeus vanhenee kun käyttäjän asema muuttuu siten, ettei kyseisen tietojärjestelmän käyttöoikeudelle enää ole perustetta. Käyttäjän on ennen tätä itse huolehdittava käyttäjätunnuksensa omistuksessa olevien tietojen asianmukaisesta siirtämisestä tai poistamisesta. Henkilökunnan tulee siirtää työhönsä liittyneet viestit ja tiedostot esimiehen kanssa sovitulle henkilölle. Tämä pätee soveltuvin osin myös opiskelijaan, joka on toiminut esim. kuntayhtymän hallintoelimissä. Käyttäjän tiedostot ja sähköpostit poistetaan kolmen kuukauden kuluttua käyttöoikeuden loppumisesta. Varmuuskopiolla olevia käyttäjän tietoaineistoja ei käsitellä muista varmuuskopioista poikkeavalla tavalla. Tiedot käyttäjätunnuksesta ja sähköpostiosoitteesta voidaan säilyttää käyttäjätunnusrekistereissä pidempään päällekkäisyyksien estämiseksi. Jos työnantajalla on syy estää poistuvalta henkilöltä pääsy tietoaineistoihinsa ja tietojärjestelmiinsä, voidaan käyttöoikeudet poistaa välittömästi. Mahdollisten yksityisten aineistojen siirtämisestä kuntayhtymän tietojärjestelmistä henkilön haltuun sovitaan erikseen.
TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 5(5) Työntekijän jäädessä opintovapaalle hän saa pitää kuntayhtymän tietoverkko- ja sähköpostitunnuksen. Muut tunnukset jäädytetään ja henkilö poistetaan kuntayhtymän jakelulistoilta. Työntekijän jäädessä muulle virkavapaalle kaikki tunnukset jäädytetään. Poikkeustapauksissa työntekijän käyttöoikeudet tietojärjestelmiin voivat säilyä vapaan ajan kuntayhtymän johdon suostumuksella. 5. TIETOJÄRJESTELMIEN YLLÄPITO Kullakin kuntayhtymän tietojärjestelmällä on oltava nimetty vastuutaho, joka on vastuussa järjestelmän käyttötarkoituksesta, toiminnasta ja sisällöstä sekä sen käytöstä. Tietojärjestelmän omistaja laatii käyttöohjeet ja huolehtii siitä, että tietojärjestelmän palvelut ja sen käyttö ovat näiden sääntöjen mukaisia. Kuntayhtymän yhteisten tietojärjestelmien ylläpidosta vastaa IT-Lappia. Kuntayhtymän yksiköiden hallinnoimista tietojärjestelmistä vastaa yksikön johtaja tai tämän kirjallisesti nimeämä henkilö. Kunkin yksikön järjestelmien vastuuhenkilöistä ja ylläpitohenkilökunnasta pidetään erillistä luetteloa. Tietojärjestelmien ylläpidosta, ylläpitäjän vastuista ja oikeuksista tietojärjestelmän toiminnan ja käytön hallintaan sekä sen tietoturvasta huolehtimiseen määrätään tarkemmin erillisessä ylläpitosäännössä. Tietojärjestelmien toiminnasta ja käytöstä tallentuu lokia seuraavia tarkoituksia varten: palvelun toteuttamiseksi, kehittämiseksi ja sen tietoturvasta huolehtimiseksi järjestelmien sisältämien tietojen tietosuojasta huolehtimiseksi mahdollisten ongelmien ja teknisten vikojen havaitsemiseksi ja korjaamiseksi palveluun kohdistuvien väärinkäytösten havaitsemiseksi, estämiseksi, selvittämiseksi ja esitutkintaan saattamiseksi. Lokien käsittelystä määrätään tarkemmin ylläpitosäännössä.