TIETOTURVAN KEHITTÄMISHANKE LOPPURAPORTTI LUOVUTETTU YLIOPISTON LAADUNKEHITTÄMISRYHMÄLLE JYVÄSKYLÄN YLIOPISTO

Samankaltaiset tiedostot
Sovelto Oyj JULKINEN

Tietoturvapolitiikka

TIETOTURVAPOLITIIKKA

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Tietoturvavastuut Tampereen yliopistossa

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Lapin yliopiston tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka

Tietoturvapolitiikka

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

Espoon kaupunki Tietoturvapolitiikka

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Espoon kaupunki Tietoturvapolitiikka

Laatuvastaavien perehdytys

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Tietoturvapolitiikka Porvoon Kaupunki

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Aika: Perjantai klo Kollegion kokoushuone, Rehtoraatti, yliopiston päärakennus

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 4

Laatua ja tehoa toimintaan

Espoon kaupunkikonsernin tietoturvapolitiikka

Johtokunta Tietoturva- ja tietosuojapolitiikka

TIETOTURVAPOLITIIKKA

Karkkilan kaupungin tietoturvapolitiikka

SFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen

JYVÄSKYLÄN YLIOPISTO Tietoturvallisuuden ohjausryhmä TIETOTURVALLISUUDEN OHJAUSRYHMÄ

Standardit tietoturvan arviointimenetelmät

ja Jyväskylän yliopisto

Espoon kaupunki Tietoturva- ja tietosuojapolitiikka

Huippuyksiköiden taloudelliset vastuut ja velvollisuudet

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Sosiaalisen median käyttöohje

Keski-Pohjanmaan erikoissairaanhoito- ja peruspalvelukuntayhtymän sisäisen valvonnan ja riskienhallinnan perusteet

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

LAPIN YLIOPISTO PÖYTÄKIRJA

Kuopion kaupunki Dnro 3720/2018 Elinvoima- ja konsernipalvelu Tietohallinto

Jyväskylän yliopiston tarkastus- ja varmennustoiminnan ohjesääntö

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Viestintäviraston tietoturvapolitiikka

Tietosuoja- ja tietoturvapolitiikka

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Tietojärjestelmien valvonnan ajankohtaiset asiat

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta


SISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka

Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka

Laatuvastaavien tapaaminen

Tietoturva- ja tietosuojapolitiikka

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

Tietoturvallisuuden johtaminen

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Lausunto Varsinais-Suomen terveydenhuollon järjestämissuunnitelmasta

Tietoturvapolitiikka turvallisuuden perusta

Lausunto Varsinais-Suomen terveydenhuollon järjestämissuunnitelmasta

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Valtiovarain controller toiminto riskienhallinnan kehittäjänä Esko Mustonen

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

TT-turvallisuusjohtamisjärjestelmän rakentamisen vaiheet

Sisäinen tarkastus, sisäinen valvonta ja riskienhallinta. Valtuustoseminaari

Tutkimusetiikan itsearvioinnin käytännön järjestelyt

Politiikka: Tietosuoja Sivu 1/5

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Tutkimusetiikan itsearvioinnin käytännön järjestelyt

Aalto OTM käyttöönottoprojekti

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Sisäisen valvonnan ja Riskienhallinnan perusteet

Ammattikorkeakoulu 108 Liite 1

Kankaanpään kaupunki SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

SISÄLLYS ESIPUHE... 10

Lausunto Varsinais-Suomen terveydenhuollon järjestämissuunnitelmasta

SISÄLLYS ESIPUHE JOHDANTO HYVÄÄN JA TEHOKKAASEEN JOHTAMIS- JA HALLINTOJÄRJESTELMÄÄN...11

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Arjen arkki/ Invalidiliiton Järvenpään koulutuskeskus

Utajärven kunta TIETOTURVAPOLITIIKKA

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

Uudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet

Tietosuoja- ja tietoturvapolitiikka

Tiedonhallintalakiehdotus - vaikutukset Tommi Oikarinen / valtiovarainministeriö

MaA Joachim Kratochvil Koulutuspoliittinen asiantuntija Jyväskylän yliopiston ylioppilaskunta

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat. Diplomityöesitelmä Juha Kalander

Työryhmäprosessi Versio 0.4 Työryhmäprosessi :03:23

Suurten tutkimusprojektien johtoryhmätyöskentely Mika Lautanala

Tietoturvapolitiikka

Kieku ohjausmalli ja elinkaaren hallinta. Tomi Hytönen Valtiovarainministeriö Henkilöstö- ja hallintopolitiikkaosasto

Tarja Miettinen, pj ( - ) Tuomo Pekkarinen, vpj ( x ) Sari Korhonen ( x ) Pauli Kuosmanen ( x ) Jan Blomberg ( - ) Mikko Korhonen ( x )

Tiedolla johtaminen ja palvelujen seuranta -työryhmä

Tietoturvakartoitus yrityksen Internet-palveluja tuottavassa yksikössä

JUHTA: n toteuttamat tietosuojayhteishankkeet Kick off-tilaisuus ja 1. työpaja

Transkriptio:

TIETOTURVAN KEHITTÄMISHANKE LOPPURAPORTTI LUOVUTETTU YLIOPISTON LAADUNKEHITTÄMISRYHMÄLLE JYVÄSKYLÄN YLIOPISTO

Sisällysluettelo 1Tietoturvan kehittämishanke...3 1.1Hankkeen tavoitteet...3 1.2Työskentely hankkeessa...3 2Hankkeen tuotokset...4 2.1Tietoturvallisuuden hallintajärjestelmä...4 2.2Yliopiston tieto-omaisuuden ja sen riskien kartoitus...5 2.3Tiedon luokittelu- ja käsittelyohjeet...5 2.4Tietoturvaohjeistuksen parantaminen...5 3Päätelmät...6 1

JOHDANTO Tietoturvan hallinnoinnin kehittämistarve tuli esiin eri yhteyksissä vuoden 2009 aikana. Yliopiston sisäinen tarkastus tarkastutti tietoturvan hallinnoinnin syksyllä 2009. Tarkastus toi esiin parannettavia asioita ja teki hankkeen ajankohtaiseksi. Asiaa käsiteltiin tietohallintokeskuksen johtokunnassa ja yliopiston laadunkehittämisryhmässä. Kehittämistarpeeseen vastattiin tietohallintokeskuksen resursoimalla ja laadunkehittämisryhmän ohjaamalla hankkeella. Laadunkehittämisryhmän puheenjohtaja asetti tietoturvahankkeen ohjausryhmän 23.6.2010. Hankkeen tehtävinä olivat tietoturvatoimintaa ohjaavien asiakirjojen päivittäminen, tietoturvan tehokkaan ohjausjärjestelmän luominen ja tietoturvan ylläpitomallin luominen. Ohjausryhmän jäseninä olivat kehittämispäällikkö Pirjo Halonen, hallintopäällikkö Paula Hassinen, erikoistutkija Marja-Liisa Kinnunen, turvallisuuspäällikkö Olli-Pekka Laakso, tietoturvapäällikkö Matti Levänen, tutkija Panu Rahkila ja koulutuspäällikkö Mirja Tervo. Ryhmän puheenjohtajan toimi Pirjo Halonen. Jyväskylässä 22.6.2011 2

1 TIETOTURVAN KEHITTÄMISHANKE Yliopiston sisäinen tarkastus tarkastutti tietoturvan hallinnoinnin syksyllä 2009. Tarkastus toi esiin useita parantamiskohteita. Tarkastuksessa kiinnitettiin huomiota tietoturvan hallintaan liittyvän dokumentaation ajantasaistamiseen. Tietoturvapolitiikka on vuodelta 2004 ja toimintaa ohjaava säännöstö on vuodelta 2006. Tietoturvan hallinnoinnin organisoinnissa on ristiriitaisuuksia. Tietoturvasta raportointia yliopiston johdolle ei ole järjestetty. Tietohallintokeskuksessa todettiin tietoturvan hallinnoinnin parantamiseksi tarvittavan kehitysvaihe. Kehityshankkeen katsottiin olevan luonteva osa yliopiston laadunhallintaa. Tietohallintokeskuksen ja yliopiston laadunkehittämisryhmän keskustelujen jälkeen laadunkehittämisryhmä asetti ohjausryhmän hankkeelle 23.6.2010. 1.1 Hankkeen tavoitteet Yliopiston laadunkehittämisryhmä asetti hankkeen tavoitteet ohjausryhmän asetuskirjeessä. Tavoitteet olivat 1. Tietoturvatoimintaa ohjaavien asiakirjojen päivittäminen 2. Tietoturvan tehokkaan ohjausjärjestelmän luominen 3. Tietoturvan ylläpitomallin luominen Työssään projektiryhmän tuli ottaa huomioon voimassa oleva lainsäädäntö ja valtionhallinnon normit, selvittää tietoturvaprosessit ja niiden omistajat sekä tietoturvaprosessien yhteydet yliopiston muihin prosesseihin, luoda tietoturvalliset edellytykset yliopiston tieto-omaisuuden suojaamiseen sekä määrittää tietoturvan kolmitasot: 1.2 tietoturvan omistaja, toimijat ja käyttäjät; ehkäisevä, ylläpitävä ja korjaava tietoturvatoiminta sekä julkinen, luottamuksellinen ja salainen tieto Työskentely hankkeessa Hankkeen ohjausryhmä on kokoontunut noin kerran kuukaudessa, yhteensä 10 kertaa. Ohjausryhmä valmisteli esityksen yliopiston tietoturvapolitiikaksi. Tieto-omaisuuden ja sen riskien kartoitus tehtiin noin 20 yliopistolaisen voimin kuudessa työpajassa. Tietoturvaohjeistusta parantaa tietohallintokeskuksen työryhmä, jonka tavoitteena on päivittää ohjeistus vuoden 2011 loppuun mennessä. Hankkeen ohjausryhmä on luvannut kommentoida työn tuloksia ohjausryhmän työskentelyn päättymisen jälkeenkin. 3

2 HANKKEEN TUOTOKSET Hankkeen tehtävänä oli päivittää tietoturvatoimintaa ohjaavat asiakirjat ja luoda tehokas ohjausjärjestelmä sille. Ne suunniteltiin hankkeessa ja kirjattiin esitykseksi yliopiston tietoturvallisuuspolitiikaksi. 2.1 Tietoturvallisuuden hallintajärjestelmä Hankkeen ohjausryhmä kehitti järjestelmän tietoturvallisuuden hallintaan. Se määrittelee tietoturvallisuuden toimijat ja heidän vastuunsa. Uusiksi toimijoiksi ehdotetaan yliopiston tietoturvaryhmää ja yksikön tietoturvavastaavaa. Tietoturvapäällikön tehtäviä ja vastuita tarkennetaan. Seuraavassa kappaleessa on kuvattu tietoturvan hallintaa parantava järjestelmä. 2.1.1 Esitys tietoturvallisuuden vastuista Tietoturvallisuus on osa yliopiston laadunhallintaa ja tietoturvallisuusriskien hallinta osa yliopiston riskienhallintaa. Tietoturvallisuus myös luo yliopistoyhteisön jäsenille hyvinvointia. Hallitus hyväksyy tietoturvallisuuspolitiikan. Rehtori johtaessaan toimintaa ja vastatessaan tehtävien taloudellisesta, tehokkaasta ja tuloksellisesta hoitamisesta vastaa myös yliopiston tietoturvallisuudesta. Rehtori vastaa tietoturvallisuuden viestinnästä yliopistosta ulospäin. Yliopiston tietoturvallisuusryhmä asettaa tietoturvallisuuden kehittämislinjat. Ryhmä toimii vakavien tietoturvapoikkeamien käsittelyn ohjausryhmänä. Yhteistyökumppanit ja alihankkijat sitoutuvat Jyväskylän yliopiston tietoturvallisuuden vaatimuksiin. Tietoturvallisuuspäällikkö varmistaa, että palveluyritykset Jyväskylän yliopiston tehtäviä hoitaessaan noudattavat tietoturvallista toimintatapaa. Tietoturvallisuuspäällikkö vastaa tietoturvallisuuden operatiivisesta johtamisesta. Hän vastaa viestinnästä yliopiston sisällä. Yksikön esimies vastaa tietoturvallisuuden periaatteiden toteutumisesta ja vastaa niiden seurannasta. Esimies vastaa siitä, että työntekijät ja opiskelijat saavat riittävän perehdytyksen ja koulutuksen tietoturvallisuusasioihin ja että he ymmärtävät tietoturvallisuuden merkityksen. Jokaisella tietojärjestelmällä on omistaja, joka vastaa myös järjestelmän tietoturvallisuudesta sen hankkimistilanteesta lähtien. Omistaja määrittelee järjestelmän käyttöoikeuksien periaatteet. 4

Yliopiston laitosten tietoturvallisuusvastaavat toimivat yhteyshenkilöinä yliopistotason ja yksikkötason välillä. Tietoturvallisuusvastaavat viestivät tietoturvallisuusasiat yksiköissään sekä kouluttavat ja ohjaavat niiden henkilöstöä tietoturvalliseen toimintatapaan. Jokainen käyttäjä vastaa oman toimintansa tietoturvallisuudesta. 2.2 Yliopiston tieto-omaisuuden ja sen riskien kartoitus Hankkeessa tehtiin kartoitus yliopiston tieto-omaisuudesta ja sen riskeistä syksyllä 2010. Kartoituksen tarkoituksena oli luoda taustaa ja konkretisoida hankkeessa käsiteltäviä asioita. Päivittäisessä työssä tarvittava tieto-omaisuus etsittiin työpajoissa. Niihin valittiin osallistujat opetuksesta ja tutkimuksesta, opinto- ja muusta hallinnosta sekä erillis- ja palvelulaitoksista. Löydetty tieto-omaisuus järjestyi koulutuksen, tutkimuksen ja tukitoimintojen osiin. Kartoituksessa käsiteltiin lähes 40 eri kohdetta, esimerkiksi opintosuorituksia, kurssien materiaaleja ja ihmistieteiden tutkimusaineistoja. Tärkeiksi tieto-omaisuuden talletus- ja käsittelypaikoiksi osoittautuivat opintotietojärjestelmät, levyjärjestelmät ja jopa USB-tikut. Tietoriskien toteutumisen seurauksena on useimmiten maineen menetys ja sitä kautta haittaa esimerkiksi tutkimukselle. 2.3 Tiedon luokittelu- ja käsittelyohjeet Hankkeessa pyrittiin luomaan ohjeisto yliopiston tietojen tietoturvaluokitteluun ja käsittelyohjeet kullekin tasolle. Luokittelun luonti tullaan tekemään tietohallintokeskuksessa. Hankkeessa perehdyttiin julkisuuslainsäädäntöön ja sen soveltamiseen yliopistossa sekä Helsingin yliopistossa tehtyyn tietojärjestelmien turvallisuusluokitteluun. 2.4 Tietoturvaohjeistuksen parantaminen Tietoturvallisuutta ohjaavaan dokumentaatioon kuuluu myös tietoturvaohjeistus. Sen parantaminen on alkanut huhtikuussa 2011. Työtä tekee tietohallintokeskuksen työryhmä, joka koostuu eri alojen asiantuntijoista. Tavoitteena on päivittää tietototurvaohjeistus vuoden 2011 loppuun mennessä. Hankkeen ohjausryhmä on lupautunut kommentoimaan ohjeistusta ohjausryhmän työskentelyn päättymisen jälkeenkin. 5

3 PÄÄTELMÄT Hankkeessa kehitettiin tietoturvan hallinnointimalli ja ohjausjärjestelmä. Ne on esitetty ehdotuksessa yliopiston tietoturvapolitiikaksi. Tietoturvapolitiikassa esitetty kolmijakoinen ohjeistus on kehiteltävänä. Hankkeen suunnitelmassa oletettiin, että tietoturvapolitiikka olisi hyväksytty heti vuoden 2011 alussa ja sitä olisi voitu käyttää perustana ohjeistuksen ja tietojen luokittelun teossa. Tietoturva politiikan käsittely ei ole kuitenkaan edennyt, joten kevään työlle ei ollut olemassa sen olettamaa pohjaa. Hankkeen pääresursoija oli tietohallintokeskus, joka antoi hankkeen käyttöön projektipäällikön. Hankkeen etenemisen kannalta tietohallintokeskuksen panostus ei ollut riittävä. Yliopiston yksiköt osallistuivat hankkeeseen antamalla sille ohjausryhmän jäsenet ja työpajoihin osallistuneet. 6

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute