PALVELUIDEN TIETOTURVAVAATIMUKSET JA VARAUTUMINEN

Samankaltaiset tiedostot
Sopimuksen tietoturvaliite

Vihdin kunnan tietoturvapolitiikka

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Tietoturvapolitiikka

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Tietoturvapolitiikka Porvoon Kaupunki

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Tietoturvapolitiikka

Sovelto Oyj JULKINEN

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

TIETOTURVAPOLITIIKKA

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Sähköi sen pal l tietototurvatason arviointi

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

TIETOTURVA- POLITIIKKA

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Espoon kaupunki Tietoturvapolitiikka

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Tietoturvapolitiikka. Hattulan kunta

Toimitilojen tietoturva

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

Laatua ja tehoa toimintaan

Tietoturvavastuut Tampereen yliopistossa

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Omavalvontasuunnitelma ja EU-tietosuojadirektiivi

Karkkilan kaupungin tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Valtioneuvoston asetus

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Tietoturvapolitiikka

Pilvipalveluiden arvioinnin haasteet

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

PK-yrityksen tietoturvasuunnitelman laatiminen

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Virtu tietoturvallisuus. Virtu seminaari

Luonnos LIITE 1

Tietoturva- ja tietosuojapolitiikka

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Liite 2 : RAFAELA -aineiston elinkaaren hallinta

Palvelusopimus. Meri-Lapin kuntapalvelut liikelaitoskuntayhtymä. Kemin kaupunki

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Kunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka

Case-esimerkki: Miten Valtori hallitsee riskejä? Tommi Simula Riskienhallintapäällikkö

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

SELVITYS TIETOJEN SUOJAUKSESTA

TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET ALKAEN

Kieku-tietojärjestelmä Työasemavaatimukset sla-

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Auditoinnit ja sertifioinnit

Tietoturvapolitiikan käsittely / muutokset:

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Jämsän kaupungin tietoturvapolitiikka

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

Johdanto

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia

6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA

Lapin yliopiston tietoturvapolitiikka

Utajärven kunta TIETOTURVAPOLITIIKKA

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Riippumattomat arviointilaitokset

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta. 1 Ohjeen soveltamisala, tavoitteet ja rajaukset. 2 Jatkuvuuden hallinnan säädösympäristö

Case VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

TIETOTURVAA TOTEUTTAMASSA

Seinäjoen kaupungin tietoturvapolitiikka. Kh , 149

Tietopalveluiden sisältö ja vastuunjako

Kaupunginhallitus Liite 2 203

Tietosuoja- ja tietoturvapolitiikka

2.1 Yhteispalveluna tarjottavat avustavat asiakaspalvelutehtävät

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Verkkopalkan palvelukuvaus

SISÄLTÖ. 1 RISKIENHALLINTA Yleistä Riskienhallinta Riskienhallinnan tehtävät ja vastuut Riskienarviointi...

Tietohallinnon nykytilan analyysi. Analyysimenetelmä (sovitettu Tietohallintomallista)

JÄRVENPÄÄN KAUPUNGIN SISÄISEN TARKASTUKSEN OHJE

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Tietosuojakysely 2017

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Loviisan kaupungin keskusten ja vastuualueiden riskienhallinnan ja valvonnan arviointikehikko (luonnos)

JÄRVENPÄÄN KAUPUNGIN SISÄISEN TARKASTUKSEN OHJE

Transkriptio:

JA VARAUTUMINEN Palvelusopimuksen liite 7 Keski-Uudenmaan Keski-Uudenmaan PL12, 04201 Kerava / Kauppakaari 11, 04200 Kerava www.kuumaict.fi Y-tunnus 2733877-3

2(10) Sisällys: 1 Johdanto... 3 2 Palvelun laatu... 3 3 Hallinnollinen tietoturvallisuus... 3 3.1 Dokumentointi... 4 3.2 Riskienhallinta... 4 3.3 Varautuminen ja valmiussuunnittelu... 4 4 Henkilöstöturvallisuus... 4 4.1 Turvallisuusosaaminen... 5 4.2 Roolit ja vastuut... 5 4.3 Taustaselvitykset ja salassapito... 5 4.4 Resursointi... 5 4.5 Sidosryhmien hallinta... 6 5 Fyysinen turvallisuus... 6 6 Käytön ja ylläpidon tietoturva... 6 6.1 Käyttäjähallinta... 7 6.2 Kapasiteetin hallinta... 7 6.3 Muutoksenhallinta... 7 6.4 Poikkeamatilanteiden hallinta... 7 7 Tietoverkkojen ja tietoliikenteen turvallisuus... 8 8 Laitteistoturvallisuus... 8 9 Ohjelmistoturvallisuus... 9 9.1 Järjestelmäarkkitehtuuri... 9 9.2 Versiohallinta... 9 10 Tietoaineiston turvallisuus... 9 11 Asiakirjat... 10

3(10) 1 Johdanto 2 Palvelun laatu Tämä palvelusopimuksen liite kuvaa ne tietoturvaperiaatteet ja -käytännöt sekä osapuolten menettelyt ja minimivaatimukset, joilla Keski-Uudenmaan informaatioteknologia Oy:n (jatkossa Toimittaja) tuottamien palvelujen tietoturvallisuus varmistetaan normaalioloissa ja normaaliolojen häiriötilanteissa. Toimittajan tuottamat palvelut on kuvattu palvelusopimuksen eri liitteissä. Tämä liite perustuu pääosin VAHTI -ohjeistuksessa (Valtionhallinnon tietoturvallisuuden johtoryhmä) ja KATAKRI -kriteeristössä (Kansallinen turvallisuusauditointikriteeristö) kuvattuihin perustason vaatimuksiin ja käytäntöihin. Toimittaja kuvaa tässä liitteessä esitettyjen vaatimusten toteutumisen turvallisuuden hallintaan liittyvissä erillisissä asiakirjoissa. Toimittaja pitää asiakirjat jatkuvasti ajan tasalla sekä asiakasorganisaatioiden (jatkossa Tilaaja) saatavissa koko palvelutuotannon ajan. Kuitenkin ainoastaan Tilaajien tietohallintopäälliköillä tai Tilaajan valtuuttamilla auditoijilla on mahdollisuus tutustua salassa pidettäviksi luokiteltujen asiakirjojen sisältöön. Toimittaja tuottaa palvelunsa hyvien tiedonhallinta- ja tietoturvallisuuskäytäntöjen mukaisesti. Toimittaja on palveluja tuottaessaan velvollinen noudattamaan Tilaajan kanssa sovittuja turvallisuusperiaatteita, -ohjeita ja -käytäntöjä. 3 Hallinnollinen tietoturvallisuus Hallinnolliset tietoturvatoimet sisältävät menettelyitä tietoturvan osa-alueiden ohjaamiseksi ja seuraamiseksi. Toimittaja johtaa ja kehittää tietoturvatoimintoja samoin kuin muitakin prosesseja ja toimintaa. Toimittajalla on johdon hyväksymä tietoturvapolitiikka. Tietoturvan periaatteet on dokumentoitu ja saatettu koko henkilökunnan ja tarvittavien sidosryhmien tiedoksi. Tietoturvapolitiikassa kuvataan muut tietoturvan osa-alueet sekä riskienhallinnan ja varautumisen järjestelyt. Tietoturvatoiminnalle on asetettu realistiset, mitattavat tavoitteet, joita seurataan vähintään vuositasolla. Tietoturvaan liittyvät roolit ja vastuut on määritelty ja dokumentoitu. Liiketoiminnan kannalta kriittisimmät toiminnot ja -prosessit on tunnistettu, luokiteltu turvallisuustason mukaisesti ja niille on nimetty omistaja, joka on vastuussa prosessin riskienhallinnasta, turvallisuudesta ja jatkuvuudesta. Tietoturvaa käsitellään säännöllisesti yhteistyöryhmässä, jonka toimintaan osallistuvat sekä yhtiön johto että tietoturvallisuuden vastuuhenkilöt.

4(10) 3.1 Dokumentointi 3.2 Riskienhallinta Toimittaja laatii ja ylläpitää palveluihinsa ja tilaajan tietotekniseen ympäristöön liittyvän dokumentaation riittävän kattavalla tasolla sekä käsittelee dokumentaatiota sen turvallisuusluokittelun mukaisesti. Tilaajan toimintaan liittyvästä dokumentoinnista ja yhteisistä käytännöistä dokumentointiin liittyen sovitaan tarkemmin palvelusopimuksen mukaisissa seurantapalavereissa. Dokumentoinnin yhteiset menettelytavat pitävät sisällään mm. määräykset aineiston käsittelystä ja hallinnasta, materiaalin luokittelusta, säilytyksestä sekä historiatietojen ja muutosten kirjaamisesta. Kokonaisvaltaisella riskienhallinnalla luodaan perusta turvallisuustyölle ja - suunnittelulle. Riskienhallinta on jatkuvaa toimintaa, jonka avulla organisaatio varmistaa toimintansa ja palvelutuotantonsa jatkuvuuden. Toimittaja kuvaa riskienhallintaprosessinsa niin että kuvauksesta käy ilmi riskienhallinnan toteuttamistapa ja prosessin keskeiset tuotokset. Riskienhallinta liittyy Toimittajan toiminnan ja talouden vuosisuunnitteluun, ja siihen liittyvät eri toimenpiteet aikataulutetaan siten, että tulokset voidaan huomioida Tilaajien omissa vuosisuunnittelu- ja riskienhallintaprosesseissa. 3.3 Varautuminen ja valmiussuunnittelu Toimittaja kuvaa varautumiseen liittyvät menettelyt, joilla varmistetaan palvelujen tuottamiseen tarkoitettujen tilojen, laitteiden ja henkilökunnan toimintaedellytykset normaaliolojen häiriö- ja poikkeamatilanteissa niin, että palvelujen tuotanto ei häiriinny. Toimittajalla on jatkuvuus- ja toipumissuunnitelma, joka kattaa sekä Toimittajan oman toiminnan että alihankkijoilta hankittavat palvelut. Jatkuvuus- ja toipumissuunnitelmat tehdään kaikille toiminnan kannalta kriittisille palveluille, tiloille ja toiminnoille niiden jatkuvuuden turvaamiseksi sekä mahdollisimman nopean toipumisen ja toiminnan uudelleenaloittamisen varmistamiseksi. Toimittaja ylläpitää kunnan poikkeusolojen valmiussuunnitteluun liittyvää ICTtoiminnan valmiussuunnitelmaa oman toimintansa osalta. Toimittaja nimeää tarvittaessa yhteyshenkilön kunnan poikkeusolojen johtokeskuksen toimintaa varten. Toimittaja huolehtii lisäksi siitä, että Tilaajan kriittisten tietojenkäsittelytoimintojen hoitamiseen poikkeusoloissa on varattu yhteisesti toteutettavassa valmiussuunnittelussa määritellyt henkilöresurssit. 4 Henkilöstöturvallisuus Henkilöstöturvallisuudella tarkoitetaan henkilöstön luotettavuuteen ja soveltuvuuteen, oikeuksien hallintaan, sijaisjärjestelyihin, henkilöstön suojaamiseen ja työsuhteen sekä työyhdistelmien järjestelyihin liittyvien turvallisuustekijöiden

5(10) hoitamista. Henkilöstöturvallisuus koostuu työsuhteen elinkaaren aikana henkilöstöön liittyvistä ja henkilöstön suorittamista toimenpiteistä. 4.1 Turvallisuusosaaminen 4.2 Roolit ja vastuut Toimittaja huolehtii turvallisuuteen, riskienhallintaan ja varautumiseen liittyvän osaamisen ja tietoisuuden kehittämisestä sekä kannustaa ja motivoi henkilöstöään ja käyttämiään kolmansia osapuolia noudattamaan ja kehittämään turvallisuuskäytäntöjä. Toimittaja huolehtii siitä, että uusien työntekijöiden perehdytysprosessi kattaa myös turvallisuuteen, riskienhallintaan ja jatkuvuuteen liittyvät järjestelyt sekä määräykset. Toimittaja vastaa sekä omasta että käyttämiensä kolmansien osapuolten puolesta siitä, että palvelutuotannossa käytettävä henkilökunta osallistuu vähintään kerran vuodessa turvallisuuskoulutukseen, joka kattaa tässä liitteessä esitetyt minimivaatimukset ja niistä johdetut käytännöt. Koulutukset dokumentoidaan vähintään niissä käytetyn materiaalin ja osallistujien osalta. Palvelujen tuotantoon osallistuvien henkilöiden ja heidän varahenkilöidensä roolit ja vastuut kuvataan ennalta ja henkilöt nimetään ennalta sovitun tehtäväjaon mukaisesti. Toimittaja varmistaa, että vaarallisia työketjuja tai -yhdistelmiä ei pääse syntymään. Mikäli vaarallista työketjua tai -yhdistelmää ei voida välttää, tulee asiasta tiedottaa Tilaajan yhteyshenkilöitä viipymättä. 4.3 Taustaselvitykset ja salassapito 4.4 Resursointi Henkilöihin liittyviin taustaselvityksiin ja salassapitosopimuksiin liittyvät käytännöt toteutetaan seuraavasti: Taustaselvitykset: Uusien työntekijöiden opinto- ja työhistoria tarkistetaan oppilaitoksista ja edellisiltä työnantajilta. Toimittaja pyytää tarvittaessa henkilöstöä koskevan turvallisuusselvityksen tekoa viranomaisilta. Salassapitosopimukset: Salassapitosopimus (vaitiolositoumus) tehdään jokaisen työntekijän kanssa. Sopimus sisältyy työsopimukseen tai voi tarvittaessa olla erillinen asiakirja. Toimittajan (työnantajan) alkuperäiset kappaleet säilytetään niiden luottamuksellisuusvaatimusten mukaisesti. Toimittaja pitää kaikista Palvelun tuotantoon osallistuvista henkilöistä ajantasaista henkilöstöluetteloa, joka on jatkuvasti myös Tilaajan saatavilla. Toimittaja hyväksyttää Tilaajalla ennalta kaikki erikseen sovittaviin projekteihin osallistuvat henkilöt. Eri projektien ja kehityshankkeiden avainhenkilöiden vaihtamisesta sovitaan Tilaajan kanssa.

6(10) Toimittaja kiinnittää erityistä huomiota siihen, että palvelutuotannon kaikkien keskeisten tehtävien varahenkilöjärjestelyt ovat kunnossa, ts. eri tehtäviä pystyy hoitamaan vähintään kaksi henkilöä. 4.5 Sidosryhmien hallinta Toimittaja vastaa siitä, että kaikki palvelujen tuotantoon osallistuvat Toimittajan alihankkijat noudattavat omalta osaltaan tässä liitteessä sekä palvelusopimuksessa ja sen muissa liitteissä kuvattuja vaatimuksia. Toimittaja huolehtii siitä, että sen alihankkijoittensa kanssa tekemiin sopimuksiin sisältyvät tarvittavat määräykset tietoturvan hoitamisesta. 5 Fyysinen turvallisuus Fyysinen turvallisuus sisältää muun muassa kulun- ja tilojen valvonnan, vartioinnin, palo-, vesi-, sähkö-, ilmastointi ja murtovahinkojen torjunnan sekä tietoaineistoja sisältävien lähetysten turvallisuuden. Toimittaja huolehtii niiden omistamiensa ja hallinnoimiensa toimitilojen turvallisuudesta, joissa tai joista käsin käsitellään Tilaajan tietoa tai tietojärjestelmiä. Tietoturva otetaan huomioon fyysisen turvallisuuden ratkaisuissa, tietovälineiden käsittelyssä sekä henkilökunnan ja vieraiden pääsyoikeuksien hallinnassa. Toimittajalla on kuvattuna edellä mainittujen tilojen osalta vähintään seuraavat asiat: Kulunvalvonnan hallintakäytännöt: oikeuksien ja kulkuavaimien hallinta: hakeminen, myöntäminen, muuttaminen ja poistaminen, sekä kirjanpito, lokitus ja valvonta Rakenteelliseen turvallisuuteen ja lukitukseen liittyvät ratkaisut: seinä-, katto- ja lattiarakenteiden palon- ja murronkesto (mukaan lukien ovet, ikkunat ja muut kuoressa olevat aukot). Tilat ja turvallisuusvyöhykkeet: esim. yleiset tilat, neuvottelutilat, toimisto, tuotekehitys, tietojärjestelmät, laboratorio ja varasto. Vartiointikäytännöt ja vastuut. LVIS -tekniikkaan liittyvät ratkaisut. Palontorjunnan järjestelyt Tilaajalla on niin halutessaan oikeus suorittaa tarkastus Toimittajan tiloissa. 6 Käytön ja ylläpidon tietoturva Käyttöön ja ylläpitoon liittyvä tietoturva tarkoittaa mm. valmiutta siirtää tietotekninen ratkaisu tuotantoon, hallita tarvittavaa kapasiteettia ja muutoksia, sekä kuvata menettelyt poikkeamatilanteissa.

7(10) 6.1 Käyttäjähallinta Toimittaja kuvaa käyttäjähallinnan järjestelynsä. Kuvaukseen sisältyvät käyttäjätunnusten, käyttö- ja pääsyoikeuksien sekä käyttövaltuuksien hallintakäytännöt luonti-, muutos- ja poistotilanteissa. Palvelutuotantoon liittyvä pääsynhallinta toteutetaan roolipohjaisesti siten, että Toimittajan omalla henkilökunnalla on työroolinsa mukaiset oikeudet eri tietojärjestelmiin ja alihankkijoilla on oikeudet ainoastaan niihin järjestelmiin, joista ne ovat vastuussa. 6.2 Kapasiteetin hallinta Toimittaja kuvaa tuottamiinsa palveluihin liittyvät kapasiteetin hallintatoiminnot. Toimittaja valvoo kapasiteettia ja sen käyttöä. Tilaajalla on oikeus saada kuormitusraportit tai vastaavat, joista Tilaaja voi arvioida Toimittajan ratkaisujen turvallisuutta ja kyvykkyyttä. Toimittajan päivittää palvelujen tuotantoon liittyvien järjestelyiden kapasiteettilaskelmat aina palveluihin tehtyjen kapasiteettiin vaikuttavien muutosten jälkeen. 6.3 Muutoksenhallinta Muutoksenhallinnan tulee ulottua kaikkeen palvelutuotantoon liittyvään toimintaan niin, että muutokset tietojärjestelmiin, järjestelmäympäristöihin, tiloihin ym. saadaan toteutettua hallitusti, ja tarvittaessa voidaan palata alkuperäiseen tilanteeseen. Toimittaja kuvaa muutoksenhallintamenettelyt kattavasti (prosessi, työkalut, ohjeet) sekä kouluttaa / tiedottaa niiden mukaiset käytännöt tarvittaville sidosryhmille. Muuttuneista kuvauksista ja käytännöistä tiedotetaan koko organisaatiolle sekä tarvittaville sidosryhmille viipymättä. Huoltokatkosten toteutuksesta ja ajankohdista sovitaan erikseen palvelusopimuksessa. Toimittaja testaa muutokset sovitun ja dokumentoidun testausmenettelyn avulla. Toimittaja ylläpitää lokikirjaa tai muutoksenhallintajärjestelmää, johon kaikki muutospyynnöt kirjataan (miksi, mitä, kuka, hyväksyntä, toimenpide). 6.4 Poikkeamatilanteiden hallinta Toimittajalla on sovitut, dokumentoidut ja koulutetut toimintatavat turvallisuuspoikkeamien, häiriöiden sekä väärinkäytöksien hallinnoimiseksi ja käsittelemiseksi. Poikkeamatilanteet raportoidaan Tilaajalle viivytyksettä. Palvelun tuottamiseen liittyvän henkilöstön tulee tietää, kenelle tietoturvapoikkeamista ja -tapauksista tai niiden uhkista tulee ilmoittaa.

8(10) Molempien osapuolten tulee välittömästi raportoida havaitsemansa (sekä omasta että muiden toiminnasta aiheutuneet) virheet, uhkat ja riskit, jotka saattavat vaikuttaa turvallisuuteen, palvelujen toimintaan tai jatkuvuuteen. Toimittaja kuvaa toimintaa ja palvelujen tuotantoa uhkaavat tekijät tietoturvasuunnitelmassa tai riskienhallintasuunnitelmassa. Uusien tietoteknisten ratkaisujen toteutuksen yhteydessä Toimittaja arvioi ratkaisuun ja sen käyttöön liittyvät riskit ja täydentää jatkuvuus- ja toipumissuunnitelmia tämän mukaisesti. 7 Tietoverkkojen ja tietoliikenteen turvallisuus Tiedon siirron turvallisuus koostuu laitteista, palvelurakenteesta ja käyttäjistä, sekä niitä ja niiden toimintaa kuvaavasta dokumentaatiosta. Tiedon siirtämisen ja liikkumisen on oltava tunnistettavaa. Tämä edellyttää että tietojen siirrossa käytettävät siirtotiet ja reitit tunnetaan, ja niiden rakenteet (arkkitehtuurit) on kuvattu. Toimittaja ylläpitää käytettävien tietoverkkojen rakenteesta ajantasaista kuvausta. Lisäksi Toimittaja valvoo tietoliikenteen toimivuutta ja kapasiteettia erillisen tietoverkon hallintajärjestelmän avulla. 8 Laitteistoturvallisuus Laitteiston elinkaarta turvataan laitteistoturvallisuudella, johon kuuluvat asennuksen, takuun ja ylläpidon lisäksi erilaiset tukipalvelut ja -sopimukset sekä laitteiston turvallinen poisto elinkaaren lopussa. Toimittaja määrittelee ja kuvaa laitteistoturvallisuuteen liittyvät tietoturvamenettelyt vähintään seuraavilta osin: laiterekisteri ja sen ylläpito (mm. omistajuus ja ylläpitotoimenpiteet) laitteiden ja järjestelmien toipumissuunnitelmat varusohjelmistot, niiden versiot, sekä käyttöoikeudet / lisenssit. Palvelutuotannossa tarvittavat laitteet hankitaan tunnetuilta valmistajilta. Hankinnan yhteydessä varmistetaan niiden rakenteellinen soveltuvuus tarkoitukseen sekä tekniseen arkkitehtuuriin. Palvelujen toimittamiseen käytettävien laitteistojen osalta Toimittaja kuvaa niiden suunnitellun elinkaaren. Kuvaukseen sisältyvät laitteistojen poistamiseen liittyvät menettelytavat. Toimittaja valvoo palvelujen tuotantoon käytettäviä laitetta ja niiden toimivuutta ennakkoon kuvatuilla menetelmillä. Valvontaan käytetään erillisiä valvontaohjelmistoja ja laitteiden omia lokitiedostoja. Tilaajalla on oikeus saada käyttöönsä Toimittajalta omaa toimintaansa koskevia lokitietoja sellaisessa muodossa, että Tilaaja tai Tilaajan määrittelemä henkilö kykenee tulkitsemaan saatua tietoa.

9(10) 9 Ohjelmistoturvallisuus Ohjelmistoturvallisuuteen kuuluvat. ohjelmistojen tunnistamis-, eristämis-, pääsynvalvonta- ja varmistusmenettelyt, tarkkailu- ja paljastustoimet, lokimenettelyt sekä laadunvarmistus. Ohjelmistoturvallisuuden tavoitteena on turvata ohjelmistojen käytettävyys kaikissa olosuhteissa. Tarjotessaan ohjelmistoja Tilaajan käyttöön Toimittajan tulee kyetä: esittämään luettelo käytössä olevista ohjelmistoista ja niiden lisensseistä, esittämään kuvaus ohjelmistojen käytön valvonnasta, esittämään henkilö/henkilöt, jotka toimivat tarjottujen ohjelmistojen osalta omistajan roolissa, kuvaamaan miten havaittuja tietoturvauhkia käsitellään sekä miten poikkeamat hallitaan, kuvamaan miten versio- ja revisiohallinta toteutetaan. 9.1 Järjestelmäarkkitehtuuri 9.2 Versiohallinta Järjestelmäarkkitehtuuriin lasketaan kehitysohjelmistot, varusohjelmistot ja tarvittavat integraatioratkaisut. Valittujen ratkaisujen tulee olla yleisesti käytössä olevia ja standardien mukaisia. Harvinaisten, suljettujen ratkaisujen käyttöä tulee välttää. Ohjelmistoihin liittyvien aineettomien oikeuksien ja niihin liittyvien määritysten tulee olla kaikkien osapuolten tiedossa. Toimittajan tulee tiedottaa Tilaajaa viipymättä kaikista turvallisuuteen vaikuttavista muutoksista. Tehtyjen valintojen vaikutus palvelujen kokonaisturvallisuuteen tulee hyväksyä Tilaajan toimesta. Versiohallinnan osalta Toimittajan tulee varmistaa, että tuotanto- ja kehitysversiot ovat samalla tasolla. Toimittajan tulee arvioida versiovaihdon merkitys koko järjestelmäarkkitehtuuriin ennen ratkaisun käyttöönottoa. Toimittajan tulee huomioida eri rajapintojen mahdolliset päivitystarpeet. Versiovaihdosta sovittaessa Toimittajan tulee kuvata ratkaisun riskit ja niiden hallinta. Toimittajan tulee ylläpitää tietoa palvelujensa elinkaaresta esim. tiekartan muodossa. 10 Tietoaineiston turvallisuus Tietoaineiston turvallisuus koostuu aineiston koko elinkaaren kattavista, tiedon luokittelu- / suojaustason huomioivista käsittelykäytännöistä ja niiden noudattamisesta. Tietoaineiston käsittelyllä tarkoitetaan mm. tiedon luomiseen, tallentamiseen, jatkokäsittelyyn, arkistointiin, tuhoamiseen ja lähettämiseen liittyviä toimenpiteitä.

10(10) 11 Asiakirjat Toimittajan tulee huolehtia, että Tilaajan tietoaineiston käsittely tapahtuu tilaajan tietoturvapolitiikan ja määriteltyjen luokittelu- / suojaustasojen mukaisesti (esim. kunnan oma tiedon luokittelu- ja käsittelyohje.) Toimittaja ylläpitää mm. seuraavia turvallisuuteen, riskienhallintaan ja varautumiseen liittyviä dokumentteja: Tietoturvapolitiikka Tietoturvasuunnitelma Pääkäyttäjän tietoturvaohje Tietojärjestelmän omistajan ohje Sähköpostin käyttöohje Tiedon käsittely- ja luokitteluohje Koulutussuunnitelma Koulutusmateriaali (tietoturvan perusteet, ym.) + osallistujarekisteri Riskikartoitus Riskienhallintasuunnitelma Jatkuvuussuunnitelma (palveluille, toiminnoille) Toipumissuunnitelma (järjestelmille, konesaliympäristölle) Valmiussuunnitelma Pelastussuunnitelma Tietovälineiden tuhoamisohjeet Tietosuojaohje Tilaturvallisuusohje (fyysinen pääsynhallinta, vierailijakäytännöt, hälytys-järjestelmät) Käyttövaltuushallinta (politiikka / ohje) Lokitiedostojen käsittelyohje Varmuuskopiointi (varmistusten ottaminen ja palauttaminen) Konesaliympäristöjen kuvaus Tuotantotilojen LVIS -järjestelyjen tekniset kuvaukset, huolto- / testausohjeet Tietoverkkoarkkitehtuuri / -topologia Muut arkkitehtuurikuvaukset Muutoksenhallintaprosessi + ohjeet Tietoturvapoikkeamien hallintaprosessi + ohjeet Henkilöstöluettelo Omaisuuden / inventaarion hallintaan liittyvä dokumentaatio (luettelot järjestelmistä, laitteista, ohjelmistoista, lisensseistä) Ohjeet hälytysjärjestelmien, kulunvalvontajärjestelmän ja kameravalvonnan operoimiseksi Avaintenhallinta (luettelo + kuittaus metalliavaimista ja kulkuavaimista / -korteista).

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute