Itä-Suomen yliopiston tietoturvapolitiikan liitteet 1/6 ITÄ-SUOMEN YLIOPISTON TIETOTURVAPOLITIIKAN LIITTEET LIITE 1: Tietoturvallisuuden vastuut ja organisointi Tässä liitteessä kuvataan tietoturvallisuuteen liittyvien toimijoiden vastuut ja velvollisuudet. Tietoturvallisuuden toteuttaminen on jatkuvaa laaja-alaista toimintaa, johon tarvitaan yhteistyötä kaikkien yliopistoyhteisöön kuuluvien kesken. Jokainen yliopiston henkilökuntaan ja järjestelmien ja palveluiden käyttäjiin kuuluva osallistuu tietoturvallisuuden toteuttamiseen ja valvontaan osana omaa yleistä toimintavastuutaan. Tietoturvallisuuden ohjaustehtävissä ja kehittämisessä tarvitaan sen lisäksi erityisasiantuntemusta ja nimettyjä vastuuhenkilöitä. Yliopiston johto Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta. Hallintojohtajan vastuut - toimintojen tietoturvallisuuspriorisointi - tietoturvapolitiikan hyväksyminen - tietoturvallisuutta koskevien määräysten vahvistaminen - tietoturvallisuuteen liittyvien vastuiden jako organisaatioyksiköille - poikkeusoloihin varautuminen Tietotekniikkakeskuksen johtaja ja tietoturvapäällikkö Tietotekniikkakeskuksen johtaja vastaa yliopiston tietoturvallisuuteen liittyvien riskien seurannasta, raportoinnista ja tietoturvaviestinnästä. Tietotekniikkakeskuksen johtajan tehtäviin kuuluu mm.: - tietoturvallisuuden yleinen resursointi ja organisointi - tietoturvallisuuden seurannan järjestäminen - raportoida ylimmälle johdolle tietoturvallisuudesta - tietoturvallisuuden kehittämishankkeiden priorisointi - yliopiston tietoturvamääräysten valmistelun koordinointi - näihin määräyksiin perustuvien tietoturvaohjeiden antaminen yliopiston yksiköille Tietoturvapäällikkö vastaa käytännössä suurelta osin yliopiston tietoturvallisuuden valvonnasta ja kehittämisestä sekä tietoturvatietouden edistämisestä yliopistossa. Tietoturvapäällikön tehtäviin kuuluu mm.: - tiedottaa tietoturvallisuusasioista ja -ongelmista - huolehtia henkilöstön tietoturvatietoisuuden lisäämisestä sekä tietoturvallisuuskoulutuksen järjestämisestä - vastata tietoturvallisuuden kehittämishankkeiden valmistelusta ja toteutuksesta - avustaa johtoa ja yksiköitä tietoturvallisuuden toimeenpanossa - osallistua tietoturvamääräysten määrittelyyn - huolehtia tietoturvapoikkeamien käsittelystä ja tietoturvallisuuden seurannasta - huolehtia riskianalyysien tekemisestä säännöllisesti
Itä-Suomen yliopiston tietoturvapolitiikan liitteet 2/6 Tietotekniikkakeskus Tietotekniikkakeskus vastaa yliopiston tietoteknisen infrastruktuurin sekä keskeisten tietojärjestelmien toiminnasta. Tietoturvallisuuden osalta tietotekniikkakeskuksen tehtäviin kuuluu - huolehtia teknisestä tietoturvasta yliopistossa - vastata yliopiston tietoliikenneverkon turvallisuudesta - huolehtia tietokonesalien ja tietoliikennetilojen suojaamisesta - huolehtia keskitetystä varmuus- ja suojakopioinnista - järjestää tekniseen tietoturvaan liittyvää koulutusta ylläpitäjille - neuvoa tekniseen tietoturvaan liittyvissä kysymyksissä Tietojärjestelmien omistajayksiköt ja pääkäyttäjät Kaikki yksiköt Käyttäjät Jokaiselle yliopiston tiedolle ja niitä käsittelevälle tietojärjestelmälle tai tarvittaessa tietojärjestelmän osalle on nimettävä omistaja (laitos, yksikkö), jota edustaa viime kädessä yksikön esimies. Omistajalla on velvollisuus huolehtia tietojensa ja tietojärjestelmiensä suojaamisesta sekä lakien, hyvän ylläpitotavan ja yliopiston voimassaolevien sääntöjen ja politiikkojen noudattamisesta, vaikka tietojen käsittely tai tietojärjestelmien ylläpidon toteutus tapahtuisikin esimerkiksi tietotekniikkakeskuksessa. Omistajayksikön tehtäviin kuuluu mm. - vastata henkilörekisteri- ja tietojärjestelmäselosteista - vastata tietojärjestelmän ja sen tietojen suojauksesta, käyttöoikeuksista sekä varmuus- ja suojakopioinnista; käytännössä tästä huolehtii tapauksesta riippuen joko järjestelmän toimittaja tai tietotekniikkakeskus - varautua poikkeaviin tapahtumiin ja niiden vaatimiin vastatoimenpiteisiin - seurata tietoturvallisuutta tietojärjestelmässä ja raportoida siihen kohdistuvista häiriöistä tietoturvapäällikölle - vastata tietojärjestelmien tietojen oikeellisuudesta huomioiden myös tietojen luovuttamisen eteenpäin Organisaatioyksikkö nimeää kullekin tietojärjestelmälle näiden tehtävien hoitamiseen tietojärjestelmästä vastaavan pääkäyttäjän. Laitoksen tai muun yksikön johtajan tehtävänä on - yksikkönsä tietoturvallisuuden ja siihen liittyvien kehittämistoimenpiteiden resursointi ja toimeenpano asetettujen tietoturvallisuustavoitteiden mukaisesti - seurata yksikkönsä tietoturvallisuuden ohjeiden noudattamista - toimia yksikkönsä tietoturvallisuuden yhteyshenkilönä tai nimetä yhteyshenkilö - nimetä yksikkönsä omistamien tietojärjestelmien pääkäyttäjät ja - raportoida tietoturvallisuudesta ja siihen kohdistuvista häiriöistä tietoturvapäällikölle Jokainen tietoja käsittelevä vastaa omalta osaltaan tietojen turvallisuudesta ja on velvollinen noudattamaan siihen liittyviä yliopiston antamia sääntöjä ja ohjeita. Käyttäjän tehtäviin kuuluu: - tuntea tietoturvallisuudesta annetut ohjeet ja noudattaa niitä - osallistua hänelle suunnattuun tietoturvakoulutukseen
Itä-Suomen yliopiston tietoturvapolitiikan liitteet 3/6 - raportoida havaitsemistaan ongelmista ja ohjeiden vastaisista menettelyistä tietoturvapäällikölle Ulkopuoliset toimijat Yliopiston tietojärjestelmien kanssa tekemisissä olevien konsulttien ja palveluyritysten tulee noudattaa hyvää tietojenkäsittely- ja tietoturvallisuustapaa ja ylläpitää ja valvoa yliopistoon liittyvässä toiminnassaan valtionhallinnon tietoturvallisuuden yleisohjeistuksen mukaista ja ohjeistettua tietoturvallisuutta. Tietojärjestelmien omistajat huolehtivat siitä, että näille ulkopuolisille toimijoille annetaan riittävä ohjeistus. Tietojen turvallisesta käsittelystä sovitaan tarvittaessa sopimuksin myös yliopiston tietoja käsittelevien organisaatioiden sekä muiden yhteistyökumppanien kanssa.
Itä-Suomen yliopiston tietoturvapolitiikan liitteet 4/6 LIITE 2: Keskeiset yliopiston voimassa olevat tietoturvallisuuteen liittyvät säännöt ja ohjeet - Tietoturvapolitiikka (määräys) - Tietojärjestelmien käyttösäännöt - Tietotekniikkarikkomusten seuraamuskäytäntö (ohje) - Sähköpostin käsittelysäännöt - Sovellusohje sääntöön sähköpostin käsittelysäännöt - Sähköpostin suodatusohje - Tietotekniikkapalvelujen ylläpitosäännöt (aik. Tietojärjestelmien ylläpitosäännöt) - Yliopistosta poistuvien henkilöiden tiedostojen käsittely: - Toimenpiteet tietojärjestelmien käyttöoikeuden loputtua (ohje) - Ohjeet tietoaineistojen käsittelystä tietojärjestelmien käyttöoikeuden haltijan kuoltua (ohje) - Tietoturvapoikkeamiin reagoiminen (ohje) - Tiedottaminen poikkeamatilanteissa (ohje)
Itä-Suomen yliopiston tietoturvapolitiikan liitteet 5/6 LIITE 3: Yliopiston tietoturvallisuutta ohjaavia säädöksiä, suosituksia ja ohjeita Tietoturvallisuus perustuu viranomaisten toiminnan julkisuudesta annetun lain ja asetuksen lisäksi useisiin eri lakeihin. Yksityiselämän suoja ja julkisuusperiaate ovat jo perustuslaissa säädeltyjä perusoikeuksia. Eri lakeihin sisältyvien salassapitosäännösten lisäksi tärkeimpiä lakeja ovat - Perustuslaki (731/1999) - 10 (Yksityiselämän suoja ja luottamuksellisen viestin salaisuus), - 12 (Viranomaisten hallussa olevien asiakirjojen ja tallenteiden julkisuus) - Laki viranomaisten toiminnan julkisuudesta (621/1999) - Henkilötietolaki (523/1999) (Henkilötietojen käsittelyä koskevat yleiset periaatteet) - Sähköisen viestinnän tietosuojalaki (516/2004) - Laki yksityisyyden suojasta työelämässä (759/2004) - Arkistolaki (831/1994) (Asiakirjojen laatiminen, säilyttäminen ja käyttö) - Työsopimuslaki (55/2001) - Rikoslaki (39/1889) - 28.luku 7-9 (Luvaton käyttö) - 34.luku 9a (Vaaran aiheuttaminen tietojenkäsittelylle) - 38.luku 1-9 (Tieto- ja viestintärikokset) - 38.luku 2 (Salassapitorikos) - 38.luku 3-4 (Viestintäsalaisuuden loukkaus) - 38.luku 5-7 (Tietoliikenteen häirintä) - 38.luku 8 (Tietomurto) - 38.luku 9 1. kohta (Henkilörekisteririkos) - Henkilötietolaki (523/1999) 48 (Henkilörekisteririkkomus) - Vahingonkorvauslaki (412/1974) VM:n tietoturvaohjeita ja -julkaisuja: (www.vm.fi /vahti) Valtionhallinnon tietoturvaohjeet eivät enää ole yliopistoja velvoittavia, mutta ne ovat edelleen monilta osin hyvä lähtökohta tietoturvallisuuden kehittämistyölle. Allaolevaan luetteloon on koottu joitakin näistä ohjeista. - Sosiaalisen median tietoturvaohje, VAHTI 4/2010 - Sisäverkko-ohje, VAHTI 3/2010 - Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, VAHTI 2/2010 - Kohdistetut hyökkäykset, VAHTI 6/2009 - Lokiohje, VAHTI 3/2009 - ICT-toiminnan varautuminen häiriö- ja erityistilanteisiin, VAHTI 2/2009 - Hankkeen tietoturvaohje, VAHTI 9/2008 - Valtionhallinnon tietoturvasanasto, VAHTI 8/2008
Itä-Suomen yliopiston tietoturvapolitiikan liitteet 6/6 - Tärkein tekijä on ihminen - henkilöstöturvallisuus osana tietoturvallisuutta, VAHTI 2/2008 - Tietoturvallisuudella tuloksia, Yleisohje tietoturvallisuuden johtamiseen ja hallintaan, VAHTI 3/2007 - Älypuhelimien tietoturvallisuus - hyvät käytännöt, VAHTI 2/2007 - Tunnistaminen julkishallinnon verkkopalveluissa, VAHTI 12/2006 - Tietoturvakouluttajan opas, VAHTI 11/2006 - Henkilöstön tietoturvaohje, VAHTI 10/2006 - Käyttövaltuushallinnon periaatteet ja hyvät käytännöt, VAHTI 9/2006 - Tietoturvallisuuden arviointi valtionhallinnossa, VAHTI 8/2006 - Tietoturvatavoitteiden asettaminen ja mittaaminen, VAHTI 6/2006 - Julkisuuslain mukaisen tietojärjestelmäselosteen laadintasuositus, VM 17.2.2000