Askolan kunnan tietoturvapolitiikka

Samankaltaiset tiedostot
Jämsän kaupungin tietoturvapolitiikka

PUUMALAN KUNNAN TIETOTURVAPOLITIIKKA

6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Pelastuslaitosten tietoturvallisuuden

TIETOTURVA- POLITIIKKA

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Sovelto Oyj JULKINEN

Asiakirjahallinta Oulun kaupungissa

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Kuntayhtymä Kaksineuvoinen. Kuntayhtymä Kaksineuvoisen tietoturvaperiaatteet Kuntayhtymän Tietoturva- ja tietosuojapolitiikan Liite 1

Länsi-Pohjan sairaanhoitopiiri Perusterveydenhuollon yksikkö Teija Horsma

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

ESR-Henkilö. Tunnistautuminen ESR-Henkilö -järjestelmässä

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Espoon kaupunki Tietoturvapolitiikka

Tietoturvapolitiikan käsittely / muutokset:

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Vihdin kunnan tietoturvapolitiikka

ULVILAN KAUPUNGINVIRASTON JOHTOSÄÄNTÖ

Lapin yliopiston tietoturvapolitiikka

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto

1 Johdanto. Dokumentin käyttötarkoitus. 1.1 Yleistä TIETOTURVAPOLITIIKKA, ESIMERKKI MUISTIO 1(18)

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

VAHTI-toiminta ja kuntien tietoturvajaosto Kimmo Rousku, VAHTI-pääsihteeri JUHTA

Tietoturvapolitiikka Porvoon Kaupunki

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Rekisterinpidon ja käytönvalvonnan haasteet

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Eläketurvakeskuksen tietosuojapolitiikka

Tietoturvapolitiikka

TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET ALKAEN

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Tietoturvapolitiikka

Oulun kaupunki / Joukkoliikennejaosto Y-tunnus

KOULUTUSPOLKU - KOULUTTAUDU LUOKKAKURSSEILLA MEPCO-OSAAJAKSI

Tietoturva- ja tietosuojapolitiikka

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

OMAVALVONTASUUNNITELMA

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Tietoturvapolitiikka NAANTALIN KAUPUNKI

TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka. Hattulan kunta

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Riskienhallintapolitiikka

Tietoturvapolitiikka

Ammattikorkeakoulu 108 Liite 1

Aalto-yliopiston sähköisen asioinnin ja asiankäsittelyn alusta Apply-palvelu

Utajärven kunta TIETOTURVAPOLITIIKKA

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

Jäsenluettelo ja henkilörekisterit. Olli Välke Opintokeskus Visio

JUHTAn Perustietovarantojaosto Tietosuojan ydinryhmä muistio

Ylläpitäjä ei peri maksua omien sähköisten palvelujensa yhteydessä, ellei sitä ole palvelun kuvauksessa erikseen ja selkeästi mainittu.

Espoon kaupunki Tietoturvapolitiikka

Tietoturvavastuut Tampereen yliopistossa

Toimitilojen tietoturva

Johtokunta Tietoturva- ja tietosuojapolitiikka

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Terveydenhuollon laitteet ja tarvikkeet omavalvonnan osana myös sosiaalihuollon palveluissa

Kyberturvallisuus. Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Lokipolitiikka (v 1.0/2015)

Tietosuoja- ja tietoturvapolitiikka

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

HELSINGIN KAUPUNKI TERVEYSKESKUS

KESKI-POHJANMAAN IT-ALUEKESKUS. KPA:n TIETOTURVAPOLITIIKKA 2012 ja tietoturvamääräykset

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

JYVÄSKYLÄN YLIOPISTO. OPM:n palvelukeskushanke; missä mennään?

OMAVALVONTA SOSIAALI JA TERVEYDENHUOLLON LAINSÄÄDÄNNÖSSÄ. Riitta Husso, Valvira

Valtiontalouden tarkastusviraston tietoturvapolitiikka

Tietoturva ja viestintä

Kolmannen vuoden työssäoppiminen (10 ov)

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

VALKEAKOSKEN KAUPUNGIN SÄÄNTÖKOKOELMA

Laadun kaava: riskienhallinta + tietoturvallisuus + varautuminen + seuranta

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus

Käyttövaltuushallintaa kehitetään (SAP IDM -projekti), hyödyt virastoille

Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

TIETOTURVAPOLITIIKKA

Julkisen hallinnon kokonaisarkkitehtuurin jalkauttaminen ja jatkokehitys. Itä-Suomen yliopisto, Kuopio neuvotteleva virkamies Jari Kallela

A B C LAATUKÄSIKIRJA. Yrityksen laatupolitiikka

LIIKETOIMINNAN TIETOTURVALLISUUS - ASIANTUNTIJAN ERIKOISTUMISOPINNOT (30 op)

Transkriptio:

22.4.2016 Askolan kunnan tietoturvapolitiikka Askolan kunta Yhteistyötoimikunta 29.3.2016 12 ICT-työryhmä Kunnanhallitus 20.4.2016 85

SISÄLLYSLUETTELO 1 TIETOTURVAPOLITIIKKA... 1 2 TIETOTURVALLISUUS... 2 2.1 Tavoitteet ja tietoturvallisuuden merkitys... 2 3 TIETOTURVAN PERUSTASO... 2 3.1 Hallinnollinen turvallisuus... 2 3.2 Henkilöstöturvallisuus... 2 3.3 Fyysinen turvallisuus... 3 3.4 Tietoaineistoturvallisuus... 3 3.5 Tietoliikenneturvallisuus... 4 3.6 Laitteistoturvallisuus... 4 3.7 Ohjelmistoturvallisuus... 4 3.8 Käyttöturvallisuus... 5 3.9 Tietosuoja... 5 4 TIETOTURVATEHTÄVÄT JA TIETOTURVATYÖN ORGANISOINTI... 6 5 JOHTO 6 6 TIETOJÄRJESTELMIEN JA LAITTEISTOJEN OMISTAJAT JA VASTUUHENKILÖT... 6 7 ARKISTO... 7 8 PÄÄKÄYTTÄJÄT... 7 9 HENKILÖSTÖ... 7

1 TIETOTURVAPOLITIIKKA Tietoturvapolitiikan avulla kunnan johto määrittelee tietoturvatoiminnan tavoitteet, vastuut ja toimintalinjat. Tietoturvallisuuden merkityksen ja tietoturvatyön yleisperiaatteiden määrittely, dokumentointi ja viestintä jokaiselle kunnan työntekijälle on välttämätön perusta tietoturvakulttuurin luomiselle, sillä tietoturvallisuudesta huolehtiminen on jokaisen kunnan työllistämän, välittömän ja välillisen, henkilön vastuulla. Tietoturvapolitiikka on lähtökohtana tietoturvallisuuden ja valmiuden kehittämiselle kunnassa. Sen avulla määritellään tietoturvallisuuden periaatteet ja toimintatavat sekä ohjataan tietoturvallisuuden huomioonottamista, suunnittelua ja toimeenpanoa organisaation eri tasoilla. Tietoturvallisuutta koskevien riskien hallinta on osa kunnan kokonaisriskienhallintaa. Tietoturvapolitiikka on kunnan johdon virallinen kannanotto jonka avulla määritellään tietojen turvaamisen tavoitteet, vastuut ja toteutuskeinot. Se annetaan tiedoksi kunnan kaikille hallintokunnille ja heidän tulee toimia sen mukaisesti. Politiikkaa tarkennetaan ja syvennetään tietojenkäsittelyn säännöissä ja ohjeissa. Askolan kunnassa tietoturvasta vastaa hallintojohtaja. Tämä vastuuhenkilö on hyväksynyt ja vahvistanut noudatettavat turva- ja varautumisperiaatteet sekä määrittelee vastuut ja sisäisen toimintaorganisaation. Turvallisuus- ja varautumisperiaatteiden toteutumisesta ja seurannasta vastaavat yksiköiden esimiehet tulosohjauksen periaatteiden mukaisesti. Tietoturvapolitiikan valmistelu ja ylläpito sekä tietotekninen tietoturva on hallintojohtajajan ja ICT-työryhmän vastuulla. He varmistavat, että asiakirjaa tarkistetaan tai päivitetään säännöllisesti vähintään kolmen vuoden välein sekä toiminnan ja organisaation muuttuessa, esim. kun käyttöön otetaan uusia sähköisiä palveluja. 1

2 TIETOTURVALLISUUS Kunnan tietoturvallisuuden lähtökohtina ovat säädökset, valtiovarainministeriön VAHTI - ohjeet sekä organisaation toiminnan varmistaminen ja laatu. Kunnan ja koko yhteiskunnan toiminnan edellytyksenä on toimiva ja hyvin hoidettu tietoturvallisuus, jolla taataan mm. sähköisen asioinnin luotettavuus. Tietoturvallisuus on yksi hallinnon toiminnan ja riskien hallinnan kulmakivistä, sen edistäessä hallinnon ja palvelun luotettavuutta, laatua, jatkuvuutta ja asioiden sujuvuutta. 2.1 Tavoitteet ja tietoturvallisuuden merkitys Tietoturvallisuus koostuu tiedon luottamuksellisuudesta, käytettävyydestä ja eheydestä. Askolan kunnan tavoitteena on turvata toiminnalleen tärkeiden tietojen, tietojärjestelmien, palveluiden ja tietoverkkojen toiminta, estää niiden valtuudeton käyttö sekä tahaton tai tahallinen tiedon tuhoutuminen. Kunnan kaikkien toimialojen perusluonne ja mahdolliset tarpeet turvallisuuden tehostamiseen tulee ottaa huomioon. Esimerkkinä sosiaali- ja terveyspalvelut, jossa käsitellään runsaasti luottamuksellista tai muuten turvaluokiteltua tietoa kyseenomaisen yksikön erityisturvaohjeet tulee määritellä ja ottaa käyttöön. Tieto kaikissa muodoissaan, riippumatta siitä onko se tallennettua tai välitettyä, on tärkeä suojattava kohde koko sen elinkaaren ajan. 3 TIETOTURVAN PERUSTASO Tietoturvallisuuden merkityksen ja tietoturvatyön yleisperiaatteiden määrittely, dokumentointi ja viestintä jokaiselle kunnan työntekijälle on välttämätön perusta tietoturvakulttuurin luomiselle. Tietoturvapolitiikka toimii perustana, jonka varaan erilaiset tietoturvaohjeistukset rakentuvat. Tietojen turvaamisessa omina osa-alueinaan otetaan huomioon hallinnollinen, henkilöstö-, fyysinen, tietoaineisto-, tietoliikenne-, laitteisto-, ohjelmisto- ja käyttöturvallisuus, joihin asiakirjahallinnan tietoturvallisuudella on myös liittymäpintoja. 3.1 Hallinnollinen turvallisuus Hallinnollisella turvallisuudella tarkoitetaan tietoturvan yleistä organisointia, suunnittelua, tiedottamista ja valvontaa. Askolan kunnan hallinnollisen turvallisuuden perustaso edellyttää, että kunnassa on hyväksytty tietoturvaperiaatteet, laadittu tietoturvaohjeet ja toipumissuunnitelmat, järjestetty tietoturvakoulutusta, määritelty tietoturvavastuut ja -tehtävät, nimetty vastuuhenkilöt ja heille varamiehet. 3.2 Henkilöstöturvallisuus Henkilöstöturvallisuudella tarkoitetaan sekä oman henkilökunnan että ulkopuolisten henkilöiden virka- tai työsuhteen alkaessa, sen aikana ja sen päättyessä sopimuksilla ja valvonnalla huomioon otettavaa turvallisuuden hallintaa. 2

Askolan kunnan henkilöstöturvallisuuden perustaso edellyttää, että: kaikkiin tarpeellisiin tietojenkäsittelytehtäviin on nimetty vastuu- ja varahenkilöt uusi työntekijä on perehdytettävä tietoturva-asioihin esimiehen toimesta henkilökunta noudattaa annettuja tietoturvaohjeita ja -käytäntöjä esimies seuraa, että henkilön oikeudet ovat sen hetken työtehtäviä vastaavat kaikki työntekijät allekirjoittavat salassapito-asiakirjan. 3.3 Fyysinen turvallisuus Fyysisellä turvallisuudella tarkoitetaan Askolan kunnan tietoaineistojen, ICT-laitteiden sekä niitä tukevien lämpö-, vesi-, ilmastointi- ja sähkölaitteiden fyysisen kunnon ja tilaratkaisujen turvaamista. Fyysiseen turvallisuuteen liittyy myös erilaisten riskien ennaltaehkäisy, sattuneen vahingon haittojen minimointi, kulunvalvonta ja murtosuojaus. Fyysisen turvallisuuden perustaso edellyttää, että: tietojen luovuttaminen luvattomiin käsiin on kielletty tilojen suunnittelussa otetaan huomioon tietosuoja-, tietoturva- ja työturvallisuusnäkökohdat työtila lukitaan sen jäätyä tyhjäksi palvelimet on keskitetty niille soveltuviin omiin tiloihin palvelintilat on erikseen lukittu ja niihin määritellään kulkuoikeudet työasemat on sijoitettava valvottuihin tiloihin kriittiset työasemat on nimetty ja varmennettu varmuuskopiot on sijoitettu fyysisesti erillisiin paloturvallisiin tiloihin kaapeloinnit suoritetaan voimassa olevan yleiskaapelointiohjeen mukaisesti lähiverkolle on tehty toipumis- ja valmiussuunnitelma. 3.4 Tietoaineistoturvallisuus Tietoaineistoturvallisuuteen kuuluvat ne ulkoiset normit, jotka rajoittavat tai ohjaavat tietosisällön perusteella tehtävää tietojen käsittelyä. Näitä normeja ovat lait, asetukset, viranomaismääräykset, tietojärjestelmien käsittelysäännöt, tietojen suojaamisluokitteluun liittyvät ohjeet ja arkistointiohjeet. Tietoaineistoturvallisuuden perustaso edellyttää, että henkilökunta tuntee ja noudattaa toiminnassaan: henkilötietojen käsittelyä koskevia yleisiä periaatteita, sääntöjä vaitiolovelvollisuudesta ja salassapidosta yksikkönsä toimintaa ohjaavia ja rajoittavia normeja, luottamuksellisten tietojen käsittelyohjeita Suojaamatonta sähköpostia ja telefaxia käytettäessä varmistetaan, että tieto menee oikealle vastaanottajalle, tunnistettavaa henkilötietoa ei välitetä ja lähetyksen ja vastaanoton suorittaa siihen oikeutettu henkilö. Erityistä huomiota on kiinnitettävä asiakirjojen suojaamisvelvoitteeseen. 3

Tiedot säilytetään ja hävitetään arkistonmuodostamissuunnitelman mukaisesti. Poistettavasta laitteesta poistetaan tai puhdistetaan aina kiintolevy. Salassa pidettävien tietojen osalta salassapitovelvollisuus säilyy palvelusuhteen jälkeenkin. 3.5 Tietoliikenneturvallisuus Tietoliikenneturvallisuudella tarkoitetaan Askolan kunnan tietoliikennelaitteiden, -ohjelmien ja tietoverkon turvallisuutta. Tietoliikenneturvallisuuden perustaso edellyttää, että: tietoverkot on dokumentoitu ja niiden asennus tapahtuu suunnitellusti tietoihin ja tietojärjestelmiin pääsy on tarkoin määritelty käyttöoikeudet tarkistetaan säännöllisesti luvaton käyttö on estetty työasemiin asennettavien varus-, sovellus- ja tietoliikenneohjelmien osilta noudatetaan annettuja ohjeita varmistetaan tietoliikenneohjelmien ja -laitteiden turvallisuus, luottamuksellisten viestien lähettäjän ja vastaanottajan todentaminen (turvaposti) 3.6 Laitteistoturvallisuus Laitteistoturvallisuudella tarkoitetaan ICT-laitteistoihin, tietoverkon rakenteeseen, varusohjelmiin, käyttöjärjestelmiin, laite- ja varusohjelmahuoltoon, varmistuksiin sekä pääsynsuojaukseen liittyvää turvallisuutta. Laitteistoturvallisuuden perustaso edellyttää: ICT-laitteistojen ja tietoverkkojen dokumentoimista toipumissuunnitelmaan varajärjestelmän käytettävyyden varmistamista poikkeusoloja varten laitteistojen fyysisen kunnon ylläpitämistä huolto- ja ylläpitosopimusten ylläpitämistä. 3.7 Ohjelmistoturvallisuus Ohjelmistoturvallisuudella tarkoitetaan tietojärjestelmien määrittelyyn, suunnitteluun, kehittämiseen ja hankintaan sekä ennen käyttöönottoa tapahtuvaan toimintaan liittyvää turvallisuutta. Keskeisiä vaatimuksia ovat: saatavuuden turvaaminen käytettävyys luottamuksellisuus yhteensopivuus eheys. 4

Ohjelmiston suunnittelijan, valmistajan ja myyjän vastuut ohjelmistotuotteista määräytyvät hankinta- ja käyttösopimusten mukaan. Askolan kunnan ohjelmistoturvallisuuden perustaso edellyttää: tietojärjestelmien ylläpidosta huolehtimista ohjelmistotoimittajien kanssa tehtyjen ylläpitosopimusten mukaisesti järjestelmämuutokset toteutetaan ohjelmistotoimittajien ja käyttäjien toimesta ja kaikki uudet ohjelmistot ja tarvittavat muutokset testataan toimittajien ja käyttäjien toimesta testaukset suoritetaan laaditun testaussuunnitelman mukaisesti. Askolan kunnassa määritellään ohjelmistojen käyttöön liittyvät velvollisuudet seuraavasti: paperiset asiakirjat, sähköiset tietovarannot, tietojärjestelmät, tietotekniset laitteet, tietoverkot ja niihin liittyvät palvelut on pidettävä asianmukaisesti suojattuina sekä normaali - että poikkeusoloissa suurista ohjelmistomuutoksista ja päivityksistä tiedotetaan käyttäjille ohjelmien kopioinnissa noudatetaan tekijänoikeuslakia ohjelmien asentaminen ja hankinta on keskitetty tietohallintoon, joka hyväksyy kaikki työasemille asennettavat ohjelmat työasemien käyttäjät vastaavat omien työhön liittyvien tiedostojen tallentamisesta ja varmistamisesta. Palvelimella on käyttäjäkohtaisesti suojattu kotihakemisto, joka varmistetaan palvelimen varmuuskopiointien yhteydessä automaattisesti. Muiden kuin työhön liittyvien tiedostojen tallentaminen tietoverkkoon on kielletty. Tavoitteena on varmistaa tietojärjestelmien jatkuva toiminta ja luotettavuus. 3.8 Käyttöturvallisuus Käyttöturvallisuudella tarkoitetaan kunnassa olevan aineiston, tietojärjestelmien ja niiden käytön turvallisuutta. Käyttöturvallisuuden perustaso edellyttää: tietojenkäsittelyn toipumis- ja valmiussuunnitelmaa vastuu- ja varahenkilöiden nimeämistä ohjeistoa päivittäin hoidettavista rutiineista turvallisuusohjeita ja käyttöoikeuskäytäntöjä käyttäjätunnusten, salasanojen, toimikorttien ja PIN -koodimenettelyn käyttöä käytönvalvontaa väärinkäytösten ennaltaehkäisemiseksi ohjelmien ylläpidon ja huollon saatavuutta. 3.9 Tietosuoja Tietosuojaan kuuluvat yksityiselämän suoja ja sitä turvaavat oikeudet henkilötietojen käsittelyssä ja ovat siten osa tietoturvallisuutta. Tietosuojan toteuttamiseksi mm. laaditaan henkilötietolain mukaiset rekisteriselosteet henkilörekistereistä sekä julkisuuslain mukainen tietojärjestelmäluettelo käytössä olevista tietojärjestelmistä ja tarvittavat tietojärjestelmäselosteet, jotka liitetään osaksi arkistonmuodostussuunnitelmaa ja pidetään jokaisen saatavilla. Käyttöoikeuksista vastaa rekisterinpitäjä ja niitä hallinnoivat ohjelmien pääkäyttäjät. Käyttöoikeudet pyydetään aina kirjallisesti esimiehen toimesta. Esimiehen tehtävä on huolehtia, että käyttäjän käyttöoikeudet ovat työtehtävien mukaiset. 5

Tietojärjestelmien käytöstä kertyy sormenjälkitietoa ja järjestelmien käyttöä seurataan. Kukin käyttäjä vastaa käyttäjätunnuksellaan tehdyistä merkinnöistä ja tapahtumista. Käyttöoikeudet tarkistetaan säännöllisesti. Alaisen työsuhteen päättymisestä esimies on velvollinen ilmoittamaan tunnusten ja oikeuksien ylläpitäjille. 4 TIETOTURVATEHTÄVÄT JA TIETOTURVATYÖN ORGANISOINTI Tietoturvallisuustyö on oleellinen ja kiinteä osa tietojärjestelmien käytön, ylläpidon ja kehittämisen tehtävistä. Kaikilla tietojärjestelmien käyttäjillä ja niiden kehittämiseen osallistuvilla tulee olla tietoturvallisuuden perustuntemus. Vastuunjakojen tarkka määrittely on organisaatiokohtainen. Tärkeää on, että organisaatiossa on jaettu selkeästi vastuut eri osapuolien kesken. 5 JOHTO Ylin johto määrittelee tietoturvallisuuden keskeiset periaatteet osana kunnan toiminta- ja tietohallintostrategiaa sekä päättää merkittävistä hankkeista ja hankinnoista sekä vastaa omalla hallinnonalallaan tietoturvan valvonnasta ja tapahtuvien rikkomusten raportoinnista tietohallinnolle. Johto osallistuu myös toiminnalle kriittisten järjestelmäkehityshankkeiden tavoitteenasetteluun ja valvontaan. Johdon sitoutuminen tietoturvallisuuskulttuurin ja tietoturvallisuus-hankkeiden edistämiseen on ensiarvoisen tärkeää. Askolan kunnan tietoturvaperiaatteet hyväksytään kunnanhallituksessa, jonka pohjalta tietohuoltoa toteutetaan tietohallinnon toimesta. Tietohallinto on keskitetty hallintotoimen tehtäväalueeksi, jossa vastaavana viranhaltijana toimii hallintojohtaja. Kunnassa toimii ICTtyöryhmä, joka ohjeistaa ja avustaa henkilöstöä tietoaineiston ja tietojärjestelmien käytössä sekä siihen liittyvässä tietoturvassa. Viime kädessä vastuu valmius- ja toipumissuunnitelmien toimivuudesta on ylimmällä johdolla. 6 TIETOJÄRJESTELMIEN JA LAITTEISTOJEN OMISTAJAT JA VASTUUHENKILÖT Kaikille tietojärjestelmille ja -laitteistoille sekä ulkoistetuille palveluille on määritelty toimialakohtaiset omistajat ja vastuuhenkilöt, jotka vastaavat niiden palvelutason varmistamisesta, kehittämisestä ja hyväksikäytöstä. Omistaja vastaa tietoturvallisuudesta myös yksittäisen tietojärjestelmän toiminnan ja käytön osalta. Toipumissuunnitelmassa määritelty tavoitteet poikkeustilanteiden toipumisajoille sekä yhteystiedot tahoihin, joiden kautta poikkeustilannejärjestelyt hoidetaan. Askolan kunnassa tietojärjestelmän vastuullinen omistaja on se hallintokunta, jonka toimintaa ja tietojenkäsittelyä varten järjestelmä on hankittu. Tietojärjestelmän omistajaa edustaa vastuualueen esimies. Omistajalla on velvollisuus huolehtia tietojensa ja 6

tietojärjestelmiensä suojaamisesta sekä lakien, hyvän ylläpitotavan ja kunnassa voimassaolevien sääntöjen ja ohjeiden noudattamisesta. Vastuu on riippumaton siitä, hoidetaanko tietojen käsittely tai tietojärjestelmien ylläpito yksikössä vai hankitaanko se palveluna. 7 ARKISTO Asiakirjallisten tietojen hallintaan ja laatuun liittyvät vaatimukset ovat myös osa tietoturvallisuutta. Arkistotoimea johtavan viranhaltijan johdolla toimivan arkiston vastuulla on varmistaa asiakirjojen käytettävyys, säilyminen ja lainmukainen säilyttäminen. Asiakirja- ja tietohallinnon suunnittelu ja toteutus tapahtuvat arkistonmuodostamissuunnitelman ja tietohallinnon yhteistyönä, jossa huomioidaan sekä arkistotoimeen että tietoturvaan kohdistuvat vaatimukset. 8 PÄÄKÄYTTÄJÄT Tietojärjestelmien pääkäyttäjien tietoturvallisuustehtäviä ovat sovellusten käytettävyydestä ja kehittämisestä, käyttöoikeuksista sekä järjestelmän tietoturvallisuudesta huolehtiminen. Pääkäyttäjä on myös mukana jatkuvuussuunnitteluun liittyvissä projekteissa. 9 HENKILÖSTÖ Henkilöstön on otettava huomioon järjestelmien ja tietojen käyttämisen yhteydessä niihin liittyvien salassapitovelvollisuuksien ja muiden tietoturvallisuusvelvoitteiden noudattaminen. Käyttöoikeuksien luovuttaminen eteenpäin on kielletty. Hallintokunnittain on huolehdittava siitä, että käyttäjät ovat saaneet työyhteisön ja tietojärjestelmän käytön edellyttämän tietoturvallisuusosaamisen koulutus- ja kehittämistarpeiden perusteella. Järjestelmän käyttäjä arvioi järjestelmän käytettävyyttä ja raportoi ongelmista välittömästi omalle esimiehelleen. Esimiehen vastuulla on saattaa kaikki tietosuojarikkomukset käyttöoikeuksista vastaavan henkilön tietoon. Teknisistä puutteista ja mahdollisista vääristä ja puutteellisista käyttöoikeuksista (työntekijän toimenkuva muuttunut, työntekijä siirtynyt osastolta toiselle tms.) esimies informoi pääkäyttäjiä ja tietohallintoa. 7

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute