Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Samankaltaiset tiedostot
Sovelto Oyj JULKINEN

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Tietoturvavastuut Tampereen yliopistossa

TIETOTURVAPOLITIIKKA. Hyväksytty

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

KEMI-TORNIONLAAKSON KOULUTUSKUNTAYHTYMÄ LAP- PIAN TIETOTURVAPOLITIIKKA

Vihdin kunnan tietoturvapolitiikka

TIETOTURVA- POLITIIKKA

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvapolitiikka

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietoturvapolitiikka

TIETOTURVA JA TIETOSUOJAPOLITIIKKA

Tietoturvapolitiikka

Tietoturva Kehityksen este vai varmistaja?

Tietosuoja Copyright (c) 2005 ACE LAW Offices

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Karkkilan kaupungin tietoturvapolitiikka

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

PUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Espoon kaupunki Tietoturvapolitiikka

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Tietoturvapolitiikka NAANTALIN KAUPUNKI

TIETOTURVAPOLITIIKKA

Laatua ja tehoa toimintaan

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Tietoturvapolitiikka. Hattulan kunta

Eläketurvakeskuksen tietosuojapolitiikka

Utajärven kunta TIETOTURVAPOLITIIKKA

Tietoturva- ja tietosuojapolitiikka

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus

Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Lapin yliopiston tietoturvapolitiikka

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

T Henkilöstöturvallisuus ja fyysinen turvallisuus, k-04

TIETOTEKNIIKKAPALVELUJEN YLLÄPITOSÄÄNNÖT. Itä-Suomen yliopiston hallintojohtajan vahvistama

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Kuopion kaupunki Dnro 3720/2018 Elinvoima- ja konsernipalvelu Tietohallinto

sekä yksittäistä atk-laitetta tai -laitteistoa että niiden muodostamaa kokonaisuutta

Kunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Case: Työnantaja hakee esille tai avaa työntekijän sähköpostin JASMINA HEINONEN

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

T Henkilöstö- ja toimitilaturvallisuus. Ilkka Kouri Henkilöstöturvallisuus : Henkilöstöturvallisuuden tavoitteet ja hallintakeinot

T Henkilöturvallisuus ja fyysinen turvallisuus, k-04

Espoon kaupunki Tietoturvapolitiikka

Maarit Pirttijärvi Pohjois-Suomen sosiaalialan osaamiskeskus Lapin toimintayksikkö

KESKI-POHJANMAAN IT-ALUEKESKUS. KPA:n TIETOTURVAPOLITIIKKA 2012 ja tietoturvamääräykset

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Tietoturva ja viestintä

IT-PALVELUJEN YLLÄPITOSÄÄNNÖT

Pilvipalveluiden arvioinnin haasteet

1 Arkistolaki (831/1994)

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Laurea-ammattikorkeakoulu. tietotekniikkapalvelujen kayttosaannot versio 2.0

Tietosuoja henkilöstön rekrytoinnissa

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

MITÄ TIETOSUOJA TARKOITTAA?

Informaatio-ohjaus ja tiedonhallintalaki tietoturvallisuuden kehittäjänä. Kirsi Janhunen, Väestörekisterikeskus

Yksityiset palveluntuottajat sosiaali- ja terveydenhuollossa Asiakastietojen hallinnointi, yksityiselämän suoja ja tietosuoja

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

TIETOSUOJAPOLITIIKKA

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

TIETOJÄRJESTELMIEN YLLÄPITOSÄÄNNÖT

Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet

Valtiontalouden tarkastusviraston tietoturvapolitiikka

Tietoturvapolitiikka

IT-palvelujen ka yttö sa a nnö t

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

TIETOSUOJASELOSTE Tilhilän palvelutalo Vuokrakiinteistöt

PUUMALAN KUNNAN TIETOTURVAPOLITIIKKA

Jämsän kaupungin tietoturvapolitiikka

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Aikuissosiaalityön rekisteriseloste

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

Kuinka toimin erilaisissa häiriötilanteissa? Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Erja Kinnunen, Verohallinto 2.10.

POHJOIS-KARJALAN SOSIAALI- JA TERVEYSPALVELUJEN KUNTAYHTY- MÄN TIETOTURVAPOLITIIKKA

Viestintäviraston tietoturvapolitiikka

Salassapito- ja tietosuojakysymykset moniammatillisessa yhteistyössä Kalle Tervo. Keskeiset lait

Transkriptio:

Itä-Suomen yliopiston tietoturvapolitiikan liitteet 1/6 ITÄ-SUOMEN YLIOPISTON TIETOTURVAPOLITIIKAN LIITTEET LIITE 1: Tietoturvallisuuden vastuut ja organisointi Tässä liitteessä kuvataan tietoturvallisuuteen liittyvien toimijoiden vastuut ja velvollisuudet. Tietoturvallisuuden toteuttaminen on jatkuvaa laaja-alaista toimintaa, johon tarvitaan yhteistyötä kaikkien yliopistoyhteisöön kuuluvien kesken. Jokainen yliopiston henkilökuntaan ja järjestelmien ja palveluiden käyttäjiin kuuluva osallistuu tietoturvallisuuden toteuttamiseen ja valvontaan osana omaa yleistä toimintavastuutaan. Tietoturvallisuuden ohjaustehtävissä ja kehittämisessä tarvitaan sen lisäksi erityisasiantuntemusta ja nimettyjä vastuuhenkilöitä. Yliopiston johto Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta. Hallintojohtajan vastuut - toimintojen tietoturvallisuuspriorisointi - tietoturvapolitiikan hyväksyminen - tietoturvallisuutta koskevien määräysten vahvistaminen - tietoturvallisuuteen liittyvien vastuiden jako organisaatioyksiköille - poikkeusoloihin varautuminen Tietotekniikkakeskuksen johtaja ja tietoturvapäällikkö Tietotekniikkakeskuksen johtaja vastaa yliopiston tietoturvallisuuteen liittyvien riskien seurannasta, raportoinnista ja tietoturvaviestinnästä. Tietotekniikkakeskuksen johtajan tehtäviin kuuluu mm.: - tietoturvallisuuden yleinen resursointi ja organisointi - tietoturvallisuuden seurannan järjestäminen - raportoida ylimmälle johdolle tietoturvallisuudesta - tietoturvallisuuden kehittämishankkeiden priorisointi - yliopiston tietoturvamääräysten valmistelun koordinointi - näihin määräyksiin perustuvien tietoturvaohjeiden antaminen yliopiston yksiköille Tietoturvapäällikkö vastaa käytännössä suurelta osin yliopiston tietoturvallisuuden valvonnasta ja kehittämisestä sekä tietoturvatietouden edistämisestä yliopistossa. Tietoturvapäällikön tehtäviin kuuluu mm.: - tiedottaa tietoturvallisuusasioista ja -ongelmista - huolehtia henkilöstön tietoturvatietoisuuden lisäämisestä sekä tietoturvallisuuskoulutuksen järjestämisestä - vastata tietoturvallisuuden kehittämishankkeiden valmistelusta ja toteutuksesta - avustaa johtoa ja yksiköitä tietoturvallisuuden toimeenpanossa - osallistua tietoturvamääräysten määrittelyyn - huolehtia tietoturvapoikkeamien käsittelystä ja tietoturvallisuuden seurannasta - huolehtia riskianalyysien tekemisestä säännöllisesti

Itä-Suomen yliopiston tietoturvapolitiikan liitteet 2/6 Tietotekniikkakeskus Tietotekniikkakeskus vastaa yliopiston tietoteknisen infrastruktuurin sekä keskeisten tietojärjestelmien toiminnasta. Tietoturvallisuuden osalta tietotekniikkakeskuksen tehtäviin kuuluu - huolehtia teknisestä tietoturvasta yliopistossa - vastata yliopiston tietoliikenneverkon turvallisuudesta - huolehtia tietokonesalien ja tietoliikennetilojen suojaamisesta - huolehtia keskitetystä varmuus- ja suojakopioinnista - järjestää tekniseen tietoturvaan liittyvää koulutusta ylläpitäjille - neuvoa tekniseen tietoturvaan liittyvissä kysymyksissä Tietojärjestelmien omistajayksiköt ja pääkäyttäjät Kaikki yksiköt Käyttäjät Jokaiselle yliopiston tiedolle ja niitä käsittelevälle tietojärjestelmälle tai tarvittaessa tietojärjestelmän osalle on nimettävä omistaja (laitos, yksikkö), jota edustaa viime kädessä yksikön esimies. Omistajalla on velvollisuus huolehtia tietojensa ja tietojärjestelmiensä suojaamisesta sekä lakien, hyvän ylläpitotavan ja yliopiston voimassaolevien sääntöjen ja politiikkojen noudattamisesta, vaikka tietojen käsittely tai tietojärjestelmien ylläpidon toteutus tapahtuisikin esimerkiksi tietotekniikkakeskuksessa. Omistajayksikön tehtäviin kuuluu mm. - vastata henkilörekisteri- ja tietojärjestelmäselosteista - vastata tietojärjestelmän ja sen tietojen suojauksesta, käyttöoikeuksista sekä varmuus- ja suojakopioinnista; käytännössä tästä huolehtii tapauksesta riippuen joko järjestelmän toimittaja tai tietotekniikkakeskus - varautua poikkeaviin tapahtumiin ja niiden vaatimiin vastatoimenpiteisiin - seurata tietoturvallisuutta tietojärjestelmässä ja raportoida siihen kohdistuvista häiriöistä tietoturvapäällikölle - vastata tietojärjestelmien tietojen oikeellisuudesta huomioiden myös tietojen luovuttamisen eteenpäin Organisaatioyksikkö nimeää kullekin tietojärjestelmälle näiden tehtävien hoitamiseen tietojärjestelmästä vastaavan pääkäyttäjän. Laitoksen tai muun yksikön johtajan tehtävänä on - yksikkönsä tietoturvallisuuden ja siihen liittyvien kehittämistoimenpiteiden resursointi ja toimeenpano asetettujen tietoturvallisuustavoitteiden mukaisesti - seurata yksikkönsä tietoturvallisuuden ohjeiden noudattamista - toimia yksikkönsä tietoturvallisuuden yhteyshenkilönä tai nimetä yhteyshenkilö - nimetä yksikkönsä omistamien tietojärjestelmien pääkäyttäjät ja - raportoida tietoturvallisuudesta ja siihen kohdistuvista häiriöistä tietoturvapäällikölle Jokainen tietoja käsittelevä vastaa omalta osaltaan tietojen turvallisuudesta ja on velvollinen noudattamaan siihen liittyviä yliopiston antamia sääntöjä ja ohjeita. Käyttäjän tehtäviin kuuluu: - tuntea tietoturvallisuudesta annetut ohjeet ja noudattaa niitä - osallistua hänelle suunnattuun tietoturvakoulutukseen

Itä-Suomen yliopiston tietoturvapolitiikan liitteet 3/6 - raportoida havaitsemistaan ongelmista ja ohjeiden vastaisista menettelyistä tietoturvapäällikölle Ulkopuoliset toimijat Yliopiston tietojärjestelmien kanssa tekemisissä olevien konsulttien ja palveluyritysten tulee noudattaa hyvää tietojenkäsittely- ja tietoturvallisuustapaa ja ylläpitää ja valvoa yliopistoon liittyvässä toiminnassaan valtionhallinnon tietoturvallisuuden yleisohjeistuksen mukaista ja ohjeistettua tietoturvallisuutta. Tietojärjestelmien omistajat huolehtivat siitä, että näille ulkopuolisille toimijoille annetaan riittävä ohjeistus. Tietojen turvallisesta käsittelystä sovitaan tarvittaessa sopimuksin myös yliopiston tietoja käsittelevien organisaatioiden sekä muiden yhteistyökumppanien kanssa.

Itä-Suomen yliopiston tietoturvapolitiikan liitteet 4/6 LIITE 2: Keskeiset yliopiston voimassa olevat tietoturvallisuuteen liittyvät säännöt ja ohjeet - Tietoturvapolitiikka (määräys) - Tietojärjestelmien käyttösäännöt - Tietotekniikkarikkomusten seuraamuskäytäntö (ohje) - Sähköpostin käsittelysäännöt - Sovellusohje sääntöön sähköpostin käsittelysäännöt - Sähköpostin suodatusohje - Tietotekniikkapalvelujen ylläpitosäännöt (aik. Tietojärjestelmien ylläpitosäännöt) - Yliopistosta poistuvien henkilöiden tiedostojen käsittely: - Toimenpiteet tietojärjestelmien käyttöoikeuden loputtua (ohje) - Ohjeet tietoaineistojen käsittelystä tietojärjestelmien käyttöoikeuden haltijan kuoltua (ohje) - Tietoturvapoikkeamiin reagoiminen (ohje) - Tiedottaminen poikkeamatilanteissa (ohje)

Itä-Suomen yliopiston tietoturvapolitiikan liitteet 5/6 LIITE 3: Yliopiston tietoturvallisuutta ohjaavia säädöksiä, suosituksia ja ohjeita Tietoturvallisuus perustuu viranomaisten toiminnan julkisuudesta annetun lain ja asetuksen lisäksi useisiin eri lakeihin. Yksityiselämän suoja ja julkisuusperiaate ovat jo perustuslaissa säädeltyjä perusoikeuksia. Eri lakeihin sisältyvien salassapitosäännösten lisäksi tärkeimpiä lakeja ovat - Perustuslaki (731/1999) - 10 (Yksityiselämän suoja ja luottamuksellisen viestin salaisuus), - 12 (Viranomaisten hallussa olevien asiakirjojen ja tallenteiden julkisuus) - Laki viranomaisten toiminnan julkisuudesta (621/1999) - Henkilötietolaki (523/1999) (Henkilötietojen käsittelyä koskevat yleiset periaatteet) - Sähköisen viestinnän tietosuojalaki (516/2004) - Laki yksityisyyden suojasta työelämässä (759/2004) - Arkistolaki (831/1994) (Asiakirjojen laatiminen, säilyttäminen ja käyttö) - Työsopimuslaki (55/2001) - Rikoslaki (39/1889) - 28.luku 7-9 (Luvaton käyttö) - 34.luku 9a (Vaaran aiheuttaminen tietojenkäsittelylle) - 38.luku 1-9 (Tieto- ja viestintärikokset) - 38.luku 2 (Salassapitorikos) - 38.luku 3-4 (Viestintäsalaisuuden loukkaus) - 38.luku 5-7 (Tietoliikenteen häirintä) - 38.luku 8 (Tietomurto) - 38.luku 9 1. kohta (Henkilörekisteririkos) - Henkilötietolaki (523/1999) 48 (Henkilörekisteririkkomus) - Vahingonkorvauslaki (412/1974) VM:n tietoturvaohjeita ja -julkaisuja: (www.vm.fi /vahti) Valtionhallinnon tietoturvaohjeet eivät enää ole yliopistoja velvoittavia, mutta ne ovat edelleen monilta osin hyvä lähtökohta tietoturvallisuuden kehittämistyölle. Allaolevaan luetteloon on koottu joitakin näistä ohjeista. - Sosiaalisen median tietoturvaohje, VAHTI 4/2010 - Sisäverkko-ohje, VAHTI 3/2010 - Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, VAHTI 2/2010 - Kohdistetut hyökkäykset, VAHTI 6/2009 - Lokiohje, VAHTI 3/2009 - ICT-toiminnan varautuminen häiriö- ja erityistilanteisiin, VAHTI 2/2009 - Hankkeen tietoturvaohje, VAHTI 9/2008 - Valtionhallinnon tietoturvasanasto, VAHTI 8/2008

Itä-Suomen yliopiston tietoturvapolitiikan liitteet 6/6 - Tärkein tekijä on ihminen - henkilöstöturvallisuus osana tietoturvallisuutta, VAHTI 2/2008 - Tietoturvallisuudella tuloksia, Yleisohje tietoturvallisuuden johtamiseen ja hallintaan, VAHTI 3/2007 - Älypuhelimien tietoturvallisuus - hyvät käytännöt, VAHTI 2/2007 - Tunnistaminen julkishallinnon verkkopalveluissa, VAHTI 12/2006 - Tietoturvakouluttajan opas, VAHTI 11/2006 - Henkilöstön tietoturvaohje, VAHTI 10/2006 - Käyttövaltuushallinnon periaatteet ja hyvät käytännöt, VAHTI 9/2006 - Tietoturvallisuuden arviointi valtionhallinnossa, VAHTI 8/2006 - Tietoturvatavoitteiden asettaminen ja mittaaminen, VAHTI 6/2006 - Julkisuuslain mukaisen tietojärjestelmäselosteen laadintasuositus, VM 17.2.2000

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute