ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Samankaltaiset tiedostot
TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET ALKAEN

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

TIETOTURVA- POLITIIKKA

Sovelto Oyj JULKINEN

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Tietoturvapolitiikka

Ammattikorkeakoulu 108 Liite 1

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Espoon kaupunkikonsernin tietoturvapolitiikka

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Tietoturvapolitiikan käsittely / muutokset:

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Kunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Utajärven kunta TIETOTURVAPOLITIIKKA

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka

Tietoturvapolitiikka

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Valtiontalouden tarkastusviraston tietoturvapolitiikka

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietoturvapolitiikka

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA

Tietoturva- ja tietosuojapolitiikka

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

Tietoturvapolitiikka Porvoon Kaupunki

Seinäjoen kaupungin tietoturvapolitiikka. Kh , 149

TIETOTURVAPOLITIIKKA. Hyväksytty

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus

Tietoturva- ja tietosuojapolitiikka

Espoon kaupunki Tietoturvapolitiikka

Tietoturva- ja tietosuojapolitiikka

Espoon kaupunki Tietoturvapolitiikka

Tietoturvapolitiikka NAANTALIN KAUPUNKI

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

Lapin yliopiston tietoturvapolitiikka

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

KESKI-POHJANMAAN IT-ALUEKESKUS. KPA:n TIETOTURVAPOLITIIKKA 2012 ja tietoturvamääräykset

HEINÄVEDEN KUNNAN TIETOTURVAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

KEMI-TORNIONLAAKSON KOULUTUSKUNTAYHTYMÄ LAP- PIAN TIETOTURVAPOLITIIKKA

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Johtokunta Tietoturva- ja tietosuojapolitiikka

6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA

JOENSUUN KAUPUNGIN TIETOTURVAPOLITIIKKA

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Laatua ja tehoa toimintaan

TIETOTURVAPOLITIIKKA

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

Eläketurvakeskuksen tietosuojapolitiikka

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Jämsän kaupungin tietoturvapolitiikka

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

PUUMALAN KUNNAN TIETOTURVAPOLITIIKKA

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto

Tietoturvapolitiikka

Tietosuoja- ja tietoturvapolitiikka

Tietoturvapolitiikka. Hattulan kunta

TIETOTURVALLISUUSPOLITIIKKA

Tietoturvavastuut Tampereen yliopistossa

Tietoturva- ja tietosuojapolitiikka

Toimitilojen tietoturva

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

tiedon ja ihmisten johtamisen, asiakirjahallinnon osaamisen, ja jokaisen työntekijän sitoutumisen avulla.

TIETOTURVAPOLITIIKKA

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

Karkkilan kaupungin tietoturvapolitiikka

Itä-Savon sairaanhoitopiirin kuntayhtymän KYS erityisvastuualue-tasoinen Tietosuoja- ja tietoturvapolitiikka

Tietoturvapolitiikka

1 Käsitteet ja termit

Politiikka: Tietosuoja Sivu 1/5

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Kuopion kaupunki Dnro 3720/2018 Elinvoima- ja konsernipalvelu Tietohallinto

1 Käsitteet ja termit

Sähköi sen pal l tietototurvatason arviointi

LUONNOS Esitelty Kaupungin johtoryhmälle Järvenpään kaupungin TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietoturva ja viestintä

Espoon kaupunki Tietoturva- ja tietosuojapolitiikka

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Tietoturva Kehityksen este vai varmistaja?

MEIDÄN KIRKON TIETOTURVAPOLITIIKKA Suomen evankelis-luterilaisen kirkon tietojärjestelmien tietoturvapolitiikka

HELSINGIN KAUPUNKI MUISTIO Numero 1 TALOUS- JA SUUNNITTELUKESKUS Tietotekniikkaosasto

TIETOSUOJAPOLITIIKKA

Transkriptio:

1 (6) ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA Hyväksytty kaupunginhallituksessa 12.12.2006 Tietoturvapolitiikan avulla vaikutetaan omalta osaltaan siihen, että Espoon kaupungin strategiassa määritelty Espoon visio, kaupungin toiminta-ajatus, arvot ja palvelut toteutetaan laadukkaasti ja turvallisesti Tietoturvapolitiikka ja tietoturvalinjaukset Tietoturvapolitiikka määrittelee yleisellä tasolla pitkäjänteisesti kaupungin tietoturvallisuuden tavoitteet, resurssit, vastuut ja toteutuskeinot. Tietoturvapolitiikka on kaikkia toimialoja sitova ja sitä tarkennetaan kaupunkitason ja toimialojen omilla tietoturvamääräyksillä. Tietoturvapolitiikkaa toteuttavassa tietoturvalinjauksissa määritellään yksityiskohtaisemmin tietoturvallisuuden taso. Tietoturvalinjaukset tarkistetaan vuosittain, jolloin niihin lisätään voimassa olevat tietoturvamääräykset. Koko kaupungin toimintoja käsittävä riskienhallintaohjelma ja tietohallintolinjaukset tarkentavat ja täydentävät omalta osaltaan tietoturvapolitiikkaa ja tietoturvallisuuden osa - alueita. Kaupungin yhteistyö- ja sopimuskumppaneiden edellytetään noudattavan Espoon kaupungin tietoturvalinjauksia. Mikäli yhteistyön puitteissa käsitellään luottamuksellisia tietoja, tietoturva on kirjattava yhteistyökumppanin kanssa tehtäviin sopimuksiin. Tietoturvatyö Tietoturvatyö on jatkuvaa toimintaa päivittäisessä työssä ja se on tärkeä osa kaupungin toiminnan ja palveluiden laatua. Jokaisen kaupungin henkilökuntaan kuuluvan velvollisuus on noudattaa tietoturvasta annettuja määräyksiä ja raportoitava esimiehelleen havaitsemistaan ongelmista. Tietoturvatyö tarkoittaa tietoturvallisuuden saavuttamiseksi tehtävien toimenpiteiden suunnittelua ja toteuttamista. Tämä kattaa tietojen turvaamisen menetelmät, välineet, toimenpiteet, määräykset, ohjeistuksen, koulutuksen, viestinnän, varautumista erilaisiin uhkatilanteisiin sekä sovittujen toimintatapojen noudattamista. Kaupunki osoittaa tarvittavat resurssit tietoturvatyöhön. Tietoturvallisuus tarkoittaa tietojenkäsittelyn turvaamista sekä tietojen turvallista käsittelyä. Tietoturvallisuuden tehtävänä on varmistaa palvelutoiminnassa ja päätöksenteossa tarvittavien tietojen eheys sekä estää luottamuksellisten tietojen pääsy ulkopuolisten käsiin.

2 (6) Tietoturvatyön päämääränä on: 1. turvata kaupungin toiminnalle tärkeiden tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta sekä tietojen ja palveluiden saatavuus (toiminta normaalioloissa) 2. varautuminen, toiminnan keskeyttäviin uhkatilanteisiin, kriiseihin ja niistä toipumiseen (toiminta poikkeustilanteissa) 3. estää tietojen ja tietojärjestelmien oikeudeton käyttö 4. estää tiedon tahaton tuhoutuminen 5. estää tiedon tahallinen tuhoaminen 6. estää tiedon vääristyminen 7. minimoida aiheutuvat vahingot 8. turvata kunnan jäsenten yksityisyyden suoja. Tietoturvallisuuden osa-alueita ovat: hallinnollinen, henkilöstö-, fyysinen, tietoliikenne, laitteisto-, ohjelmisto-, käyttö- ja tietoaineistoturvallisuus. Osa - alueet on määritelty liitteessä 1. Tietoturvallisuus kattaa kaikki kaupungin tietojenkäsittelytehtävät sisältäen myös asiakirjahallinnon sekä arkistoinnin ottaen huomioon toimialojen ja tulosyksikköjen perusluonteen ja tietoturvatarpeet. Tietoturvallisuustoimet koskevat sähköisessä, puhutussa ja kirjallisessa muodossa olevan tiedon käsittelyä, luovutusta, säilyttämistä ja siirtämistä. Kaupungin tiedot sekä tietojenkäsittelyjärjestelmät ja -palvelut on pidettävä asianmukaisesti suojattuna sekä normaalioloissa että poikkeusoloissa hallinnollisten, teknisten, rakenteellisten ja muiden toimenpiteiden avulla. Tietoturvallisuus rakentuu tiedon luottamuksellisuudesta tiedon eheydestä ja käytettävyydestä pääsynvalvonnasta ja kiistämättömyydestä henkilöstön toimintatavoista ja asenteesta Luottamuksellisuus tarkoittaa, että luottamukselliset tiedot (ei - julkiset ja salassa pidettävät) ovat vain niiden käyttöön oikeutettujen saatavissa sovituilla tavoilla ja sovittuun aikaan eikä niitä paljasteta tai muutoin saateta sivullisten tietoon. Niiden käsittelyssä

3 (6) noudatetaan julkisuuslakia sekä erikseen toiminnoittain/järjestelmittäin hyväksyttyjä tietojen turvaluokituksia. Eheys tarkoittaa, että tiedot ja tietojärjestelmät sekä paperiasiakirjojen arkistot ovat luotettavia, oikeellisia ja ajantasaisia, eivätkä ole laitteisto- tai ohjelmistovikojen, luonnontapahtumien tai oikeudettoman inhimillisen toiminnan seurauksena muuttuneet tai vahingoittuneet. Käytettävyys tarkoittaa, että tiedot ja tietojenkäsittelyjärjestelmät ovat käytettävissä ja käyttökelpoisia valtuutetuille käyttäjille, toiminnan kannalta hyväksyttävän ajan kuluessa. Pääsynvalvonta tarkoittaa, että tietoa tai tietojärjestelmää ei voi käyttää ilman lupaaja ettei arkistotiloihin tai vastaaviin pääse ilman valvontaa. Kiistämättömyys tarkoittaa todisteiden luomista sen varmistamiseksi, ettei yksikään tietojen käsittelyn tai siirron osapuoli voi jälkikäteen kiistää osuuttaan siihen. Asenteella tarkoitetaan sitä, että henkilöstö ymmärtää tietoturvan merkityksen ja on motivoinut noudattamaan tietoturvaohjeita ja tietoturvamääräyksiä. Vastuut ja valvonta A. Kaupunginhallitus hyväksyy tietoturvapolitiikan. B. Tietohallinnon johtoryhmä vastaa tietoturvallisuuden kaupunkitason tietoteknisistä linjauksista hyväksyy kaupungin yhteiset tietoteknisen tietoturvan toimintasuunnitelmat ja tietoturvaohjeet tarkistaa vuosittain tietoturvalinjaukset C. Tietoturvaryhmä valmistelee tietoturvajohtaja johdolla tietoturvapolitiikan huolehtii tietoturvapolitiikan kehittämisestä huolehtii tietoturvatietouden edistämisestä valmistelee kaupunkitason yhteiset tietoturvan toimintasuunnitelmat ja tietoturvamääräykset D. Tietohallinnon ohjausryhmä valmistelee tietoturvan kaupunkitason tietotekniset linjaukset tietohallinnon ja sähköisen asioinnin johtoryhmälle kokoaa henkilöstöltä ja kunnan jäseniltä tietoturvaa koskevan palautteen. E. Toimialojen johto

4 (6) vastaa organisaatioissaan tietoturvallisuuden toteuttamisesta (mm. resurssit, ohjeistus, koulutus, määrärahat) tietoturvapolitiikan ja yhteisten linjausten pohjalta toimialojenjohdon on otettava tietoturva - asiat huomioon eri hankkeissa. hyväksyy toimialan tietoturvalinjaukset ja määräykset valvoo tietoturvan toteutumista toimialalla. F. Kaupunginarkisto ohjaa ja osallistuu asiakirjallisen tietoaineiston käsittelyn kehittämiseen ja tietoturvallisuuden toteuttamiseen hyväksyy asiakirjallisten tietoaineistojen hallinnan edellyttämät arkistonmuodostussuunnitelmat vastaa kaupunginarkistolle luovutetusta pitkän ajan ja pysyvästi säilytettävästä tietoaineistosta ja niiden tietoturvallisuudesta G. Tiedon ja tietojärjestelmän omistaja vastaa tiedon tai tietojärjestelmän suojaamistarpeen määrittämisestä sekä toteuttamisesta. noudattaa asiakirjallisten tietoaineistojen käsittelyssä annettuja ohjeita H. Yleinen vastuu Jokainen tietoja käsittelevä (oma henkilökunta ja ulkopuoliset) on vastuussa tietoturvallisuuden toteutumisesta omissa työtehtävissään. Jokainen käyttäjä on velvollinen noudattamaan annettuja tietokoneiden ja tietoverkkojen käyttösääntöjä, tietoturvasitoumusta, tietoturvaohjeita sekä tietoturvamääräyksiä Jokaisen kaupungin palveluksessa olevan on raportoitava esimiehelleen havaitsemistaan ongelmista, uhkista tai ohjeiden vastaisesta menettelystä. Toimintasuunnitelmat ja tiedottaminen Tietoturvalinjauksissa ja niiden pohjalta laadittavissa vuosittain tarkistettavissa toimintasuunnitelmissa kuvataan asetettujen tietoturvallisuustavoitteiden edellyttämät hallinnolliset (päätöksenteko, sopimukset, henkilöstöhallinto) sekä fyysiset, rakenteelliset ja tekniset ratkaisut. Käyttäjien toimintaa ohjataan tietoturvamääräyksillä sekä tietoturvakoulutuksella Toimialojen tietohallintojohtajat huolehtivat siitä että tietoturvapolitiikasta, tietoturvalinjauksista ja tietoturvamääräyksiä tiedotetaan eri tavoin (Intranet, luennot, suunnatut koulutustilaisuudet) kaikille kaupungissa työskenteleville. Esimiehet ovat vastuussa siitä, että henkilökunta saa riittävää opastusta ja voi osallistua koulutukseen.

5 (6) Tietoturvan toteutumisen valvonta Toimialat ovat vastuussa tietoturvan toteutumisesta omalta osaltaan. Kriittisten järjestelmien turvajärjestelyjä testataan ajoittain harjoituksien tai muiden toimenpiteiden avulla. Toimialojen tietohallintojohtajat raportoivat kaikista oleellisista tietoturvahäiriöistä toimialanjohtajalle, tietoturvajohtajalle sekä niille henkilöille, jotka toimialanjohto on määritellyt. Tietoturvapäällikkö laatii raporteista vuosittaisen yhteenvedon kaupungin johdon käyttöön. Tietoturvaryhmä tekee kaupungin tietojärjestelmien tietoturvallisuuden kartoituksia ja informoi tietohallinnon johtoryhmää sekä ao. yksikköjä, jotta ne ryhtyvät toimenpiteisiin havaittujen puutteiden korjaamiseksi. Tietoturvapoikkeamiin reagoimisesta ja tietoturvarikkomusten seuraamuksista on omat erilliset sääntönsä. Liite1 Fyysinen turvallisuus Henkilöiden, laitteiden, aineistojen, postilähetysten, toimitilojen ja varastojen suojaaminen tuhoja ja vahinkoja vastaan. Fyysinen turvallisuus sisältää muun muassa kulun- ja tilojen valvonnan, vartioinnin, palo-, vesi-, sähkö-, ilmastointi- ja murtovahinkojen torjunnan sekä kuriirien ja tietoaineistoja sisältävien lähetysten turvallisuuden. Hallinnollinen tietoturvallisuus Tietoturvallisuuteen tähtäävät hallinnolliset keinot, kuten organisaatiojärjestelyt, tehtävien ja vastuiden määrittely sekä henkilöstön ohjeistus, koulutus ja valvonta. Henkilöstöturvallisuus Henkilöstöön liittyvien tietoturvariskien hallinta henkilöstön soveltuvuuden, toimenkuvien, sijaisuuksien, tiedonsaanti- ja käyttöoikeuksien, suojaamisen, turvallisuuskoulutuksen ja valvonnan osalta. Käyttöturvallisuus tietotekniikan käyttöön, käyttöympäristöön, tietojenkäsittelyyn ja sen jatkuvuuteen sekä tuki-, ylläpito-, kehittämis- ja huoltotoimintoihin liittyvät keinot tietoturvallisuuden parantamiseksi. Laitteistoturvallisuus tietojenkäsittely- ja tietoliikennelaitteiden ja tilojen käytettävyyteen, toimivuuteen, kokoonpanojen määrittelyyn ja pääsynvalvontaan sekä varaosien ja tarvikkeiden saatavuuteen liittyvät toimet tietoturvallisuuden toteuttamiseksi.

6 (6) Ohjelmistoturvallisuus käyttöjärjestelmiin ja muihin ohjelmistoihin kohdistuvat toimet, kuten ohjelmistojen tunnistamis-, eristämis-, pääsynvalvonta- ja varmistusmenettelyt, tarkkailu- ja paljastustoimet, lokimenettelyt ja laadunvarmistus sekä ohjelmistojen ylläpitoon ja päivitykseen liittyvät toimet tietoturvallisuuden parantamiseksi. Tietoaineistoturvallisuus tietoturvallisuuteen tähtäävät toimet asiakirjojen, tiedostojen ja muiden tietoaineistojen käytettävyyden, eheyden ja luottamuksellisuuden ylläpitämiseksi keinoina muun muassa tietoaineistojen hallinta arkistonmuodostussuunnitelmalla, luettelointi ja luokitus sekä tietovälineiden ohjeistettu hallinta, käsittely, säilytys ja hävittäminen. Tietoliikenneturvallisuus 1) tavoitetila, jossa tietoturvallisuus on toteutettu tietoliikenteen laitteiden, järjestelmien ja niissä kulkevien tietojen osalta 2) lainsäädäntö, normit ja toimet, joilla pyritään aikaansaamaan tietoliikenteen turvallisuus. Tietoliikenneturvallisuuteen tähtääviä keinoja ovat mm. laitteistojen ja siirtoyhteyksien ylläpito ja niiden kokoonpanojen hallinta, verkonhallinta, pääsynvalvonta, tietoliikenteen käytön valvonta ja tarkkailu, ongelmatilanteiden kirjaaminen ja selvittäminen, viestinnän salaus ja varmistaminen sekä tietoliikenneohjelmien testaus ja hyväksyminen.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute