TIETOTURVAN KEHITTÄMISHANKE LOPPURAPORTTI LUOVUTETTU YLIOPISTON LAADUNKEHITTÄMISRYHMÄLLE JYVÄSKYLÄN YLIOPISTO
Sisällysluettelo 1Tietoturvan kehittämishanke...3 1.1Hankkeen tavoitteet...3 1.2Työskentely hankkeessa...3 2Hankkeen tuotokset...4 2.1Tietoturvallisuuden hallintajärjestelmä...4 2.2Yliopiston tieto-omaisuuden ja sen riskien kartoitus...5 2.3Tiedon luokittelu- ja käsittelyohjeet...5 2.4Tietoturvaohjeistuksen parantaminen...5 3Päätelmät...6 1
JOHDANTO Tietoturvan hallinnoinnin kehittämistarve tuli esiin eri yhteyksissä vuoden 2009 aikana. Yliopiston sisäinen tarkastus tarkastutti tietoturvan hallinnoinnin syksyllä 2009. Tarkastus toi esiin parannettavia asioita ja teki hankkeen ajankohtaiseksi. Asiaa käsiteltiin tietohallintokeskuksen johtokunnassa ja yliopiston laadunkehittämisryhmässä. Kehittämistarpeeseen vastattiin tietohallintokeskuksen resursoimalla ja laadunkehittämisryhmän ohjaamalla hankkeella. Laadunkehittämisryhmän puheenjohtaja asetti tietoturvahankkeen ohjausryhmän 23.6.2010. Hankkeen tehtävinä olivat tietoturvatoimintaa ohjaavien asiakirjojen päivittäminen, tietoturvan tehokkaan ohjausjärjestelmän luominen ja tietoturvan ylläpitomallin luominen. Ohjausryhmän jäseninä olivat kehittämispäällikkö Pirjo Halonen, hallintopäällikkö Paula Hassinen, erikoistutkija Marja-Liisa Kinnunen, turvallisuuspäällikkö Olli-Pekka Laakso, tietoturvapäällikkö Matti Levänen, tutkija Panu Rahkila ja koulutuspäällikkö Mirja Tervo. Ryhmän puheenjohtajan toimi Pirjo Halonen. Jyväskylässä 22.6.2011 2
1 TIETOTURVAN KEHITTÄMISHANKE Yliopiston sisäinen tarkastus tarkastutti tietoturvan hallinnoinnin syksyllä 2009. Tarkastus toi esiin useita parantamiskohteita. Tarkastuksessa kiinnitettiin huomiota tietoturvan hallintaan liittyvän dokumentaation ajantasaistamiseen. Tietoturvapolitiikka on vuodelta 2004 ja toimintaa ohjaava säännöstö on vuodelta 2006. Tietoturvan hallinnoinnin organisoinnissa on ristiriitaisuuksia. Tietoturvasta raportointia yliopiston johdolle ei ole järjestetty. Tietohallintokeskuksessa todettiin tietoturvan hallinnoinnin parantamiseksi tarvittavan kehitysvaihe. Kehityshankkeen katsottiin olevan luonteva osa yliopiston laadunhallintaa. Tietohallintokeskuksen ja yliopiston laadunkehittämisryhmän keskustelujen jälkeen laadunkehittämisryhmä asetti ohjausryhmän hankkeelle 23.6.2010. 1.1 Hankkeen tavoitteet Yliopiston laadunkehittämisryhmä asetti hankkeen tavoitteet ohjausryhmän asetuskirjeessä. Tavoitteet olivat 1. Tietoturvatoimintaa ohjaavien asiakirjojen päivittäminen 2. Tietoturvan tehokkaan ohjausjärjestelmän luominen 3. Tietoturvan ylläpitomallin luominen Työssään projektiryhmän tuli ottaa huomioon voimassa oleva lainsäädäntö ja valtionhallinnon normit, selvittää tietoturvaprosessit ja niiden omistajat sekä tietoturvaprosessien yhteydet yliopiston muihin prosesseihin, luoda tietoturvalliset edellytykset yliopiston tieto-omaisuuden suojaamiseen sekä määrittää tietoturvan kolmitasot: 1.2 tietoturvan omistaja, toimijat ja käyttäjät; ehkäisevä, ylläpitävä ja korjaava tietoturvatoiminta sekä julkinen, luottamuksellinen ja salainen tieto Työskentely hankkeessa Hankkeen ohjausryhmä on kokoontunut noin kerran kuukaudessa, yhteensä 10 kertaa. Ohjausryhmä valmisteli esityksen yliopiston tietoturvapolitiikaksi. Tieto-omaisuuden ja sen riskien kartoitus tehtiin noin 20 yliopistolaisen voimin kuudessa työpajassa. Tietoturvaohjeistusta parantaa tietohallintokeskuksen työryhmä, jonka tavoitteena on päivittää ohjeistus vuoden 2011 loppuun mennessä. Hankkeen ohjausryhmä on luvannut kommentoida työn tuloksia ohjausryhmän työskentelyn päättymisen jälkeenkin. 3
2 HANKKEEN TUOTOKSET Hankkeen tehtävänä oli päivittää tietoturvatoimintaa ohjaavat asiakirjat ja luoda tehokas ohjausjärjestelmä sille. Ne suunniteltiin hankkeessa ja kirjattiin esitykseksi yliopiston tietoturvallisuuspolitiikaksi. 2.1 Tietoturvallisuuden hallintajärjestelmä Hankkeen ohjausryhmä kehitti järjestelmän tietoturvallisuuden hallintaan. Se määrittelee tietoturvallisuuden toimijat ja heidän vastuunsa. Uusiksi toimijoiksi ehdotetaan yliopiston tietoturvaryhmää ja yksikön tietoturvavastaavaa. Tietoturvapäällikön tehtäviä ja vastuita tarkennetaan. Seuraavassa kappaleessa on kuvattu tietoturvan hallintaa parantava järjestelmä. 2.1.1 Esitys tietoturvallisuuden vastuista Tietoturvallisuus on osa yliopiston laadunhallintaa ja tietoturvallisuusriskien hallinta osa yliopiston riskienhallintaa. Tietoturvallisuus myös luo yliopistoyhteisön jäsenille hyvinvointia. Hallitus hyväksyy tietoturvallisuuspolitiikan. Rehtori johtaessaan toimintaa ja vastatessaan tehtävien taloudellisesta, tehokkaasta ja tuloksellisesta hoitamisesta vastaa myös yliopiston tietoturvallisuudesta. Rehtori vastaa tietoturvallisuuden viestinnästä yliopistosta ulospäin. Yliopiston tietoturvallisuusryhmä asettaa tietoturvallisuuden kehittämislinjat. Ryhmä toimii vakavien tietoturvapoikkeamien käsittelyn ohjausryhmänä. Yhteistyökumppanit ja alihankkijat sitoutuvat Jyväskylän yliopiston tietoturvallisuuden vaatimuksiin. Tietoturvallisuuspäällikkö varmistaa, että palveluyritykset Jyväskylän yliopiston tehtäviä hoitaessaan noudattavat tietoturvallista toimintatapaa. Tietoturvallisuuspäällikkö vastaa tietoturvallisuuden operatiivisesta johtamisesta. Hän vastaa viestinnästä yliopiston sisällä. Yksikön esimies vastaa tietoturvallisuuden periaatteiden toteutumisesta ja vastaa niiden seurannasta. Esimies vastaa siitä, että työntekijät ja opiskelijat saavat riittävän perehdytyksen ja koulutuksen tietoturvallisuusasioihin ja että he ymmärtävät tietoturvallisuuden merkityksen. Jokaisella tietojärjestelmällä on omistaja, joka vastaa myös järjestelmän tietoturvallisuudesta sen hankkimistilanteesta lähtien. Omistaja määrittelee järjestelmän käyttöoikeuksien periaatteet. 4
Yliopiston laitosten tietoturvallisuusvastaavat toimivat yhteyshenkilöinä yliopistotason ja yksikkötason välillä. Tietoturvallisuusvastaavat viestivät tietoturvallisuusasiat yksiköissään sekä kouluttavat ja ohjaavat niiden henkilöstöä tietoturvalliseen toimintatapaan. Jokainen käyttäjä vastaa oman toimintansa tietoturvallisuudesta. 2.2 Yliopiston tieto-omaisuuden ja sen riskien kartoitus Hankkeessa tehtiin kartoitus yliopiston tieto-omaisuudesta ja sen riskeistä syksyllä 2010. Kartoituksen tarkoituksena oli luoda taustaa ja konkretisoida hankkeessa käsiteltäviä asioita. Päivittäisessä työssä tarvittava tieto-omaisuus etsittiin työpajoissa. Niihin valittiin osallistujat opetuksesta ja tutkimuksesta, opinto- ja muusta hallinnosta sekä erillis- ja palvelulaitoksista. Löydetty tieto-omaisuus järjestyi koulutuksen, tutkimuksen ja tukitoimintojen osiin. Kartoituksessa käsiteltiin lähes 40 eri kohdetta, esimerkiksi opintosuorituksia, kurssien materiaaleja ja ihmistieteiden tutkimusaineistoja. Tärkeiksi tieto-omaisuuden talletus- ja käsittelypaikoiksi osoittautuivat opintotietojärjestelmät, levyjärjestelmät ja jopa USB-tikut. Tietoriskien toteutumisen seurauksena on useimmiten maineen menetys ja sitä kautta haittaa esimerkiksi tutkimukselle. 2.3 Tiedon luokittelu- ja käsittelyohjeet Hankkeessa pyrittiin luomaan ohjeisto yliopiston tietojen tietoturvaluokitteluun ja käsittelyohjeet kullekin tasolle. Luokittelun luonti tullaan tekemään tietohallintokeskuksessa. Hankkeessa perehdyttiin julkisuuslainsäädäntöön ja sen soveltamiseen yliopistossa sekä Helsingin yliopistossa tehtyyn tietojärjestelmien turvallisuusluokitteluun. 2.4 Tietoturvaohjeistuksen parantaminen Tietoturvallisuutta ohjaavaan dokumentaatioon kuuluu myös tietoturvaohjeistus. Sen parantaminen on alkanut huhtikuussa 2011. Työtä tekee tietohallintokeskuksen työryhmä, joka koostuu eri alojen asiantuntijoista. Tavoitteena on päivittää tietototurvaohjeistus vuoden 2011 loppuun mennessä. Hankkeen ohjausryhmä on lupautunut kommentoimaan ohjeistusta ohjausryhmän työskentelyn päättymisen jälkeenkin. 5
3 PÄÄTELMÄT Hankkeessa kehitettiin tietoturvan hallinnointimalli ja ohjausjärjestelmä. Ne on esitetty ehdotuksessa yliopiston tietoturvapolitiikaksi. Tietoturvapolitiikassa esitetty kolmijakoinen ohjeistus on kehiteltävänä. Hankkeen suunnitelmassa oletettiin, että tietoturvapolitiikka olisi hyväksytty heti vuoden 2011 alussa ja sitä olisi voitu käyttää perustana ohjeistuksen ja tietojen luokittelun teossa. Tietoturva politiikan käsittely ei ole kuitenkaan edennyt, joten kevään työlle ei ollut olemassa sen olettamaa pohjaa. Hankkeen pääresursoija oli tietohallintokeskus, joka antoi hankkeen käyttöön projektipäällikön. Hankkeen etenemisen kannalta tietohallintokeskuksen panostus ei ollut riittävä. Yliopiston yksiköt osallistuivat hankkeeseen antamalla sille ohjausryhmän jäsenet ja työpajoihin osallistuneet. 6