Tietoturvapolitiikka

Samankaltaiset tiedostot
TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

TIETOTURVA- POLITIIKKA

Vihdin kunnan tietoturvapolitiikka

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvapolitiikka

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Tietoturvavastuut Tampereen yliopistossa

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

TIETOTURVAPOLITIIKKA

Sovelto Oyj JULKINEN

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietoturvapolitiikka. Hattulan kunta

Karkkilan kaupungin tietoturvapolitiikka

Lapin yliopiston tietoturvapolitiikka

Eläketurvakeskuksen tietosuojapolitiikka

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

Espoon kaupunkikonsernin tietoturvapolitiikka

Utajärven kunta TIETOTURVAPOLITIIKKA

Tietoturva- ja tietosuojapolitiikka

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

Uudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Yhtymähallitus Yhtymävaltuusto Siun sote - kuntayhtymän sisäisen valvonnan ja riskienhallinnan perusteet

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Kaikki VTV:n tarkastukset liittyvät riskienhallintaan ja tukevat hyvää hallintoa

VIRTU ja tietoturvatasot

SISÄISEN VALVONNAN PERUSTEET

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Tietoturvapolitiikka

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus

Sisäisen valvonnan ja Riskienhallinnan perusteet

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Viestintäviraston tietoturvapolitiikka

Johtokunta Tietoturva- ja tietosuojapolitiikka

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA

Espoon kaupunki Tietoturvapolitiikka

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Turun kaupungin tietohallintostrategia Tiivistelmä

Mitä varautumissuunnitelmilta odotetaan? Tarvo Siukola

Politiikka: Tietosuoja Sivu 1/5

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Liite/Kvalt , 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Isonkyrön kunta

Espoon kaupunki Tietoturvapolitiikka

Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet

KuntaIT Mikä muuttuu kunnan tietotekniikassa? Terveydenhuollon Atk-päivät Mikkeli Heikki Lunnas

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Sisäisen valvonnan ja riskienhallinnan perusteet

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Valtioneuvoston asetus

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Tietoturvakartoitus yrityksen Internet-palveluja tuottavassa yksikössä

Tietoturvapolitiikka

TIETOTURVAPOLITIIKKA

Virtu tietoturvallisuus. Virtu seminaari

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

TIETOTURVAN KEHITTÄMISHANKE LOPPURAPORTTI LUOVUTETTU YLIOPISTON LAADUNKEHITTÄMISRYHMÄLLE JYVÄSKYLÄN YLIOPISTO

SFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen

Standardit tietoturvan arviointimenetelmät

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Kankaanpään kaupunki SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Tuotannon esimiestyön erikoisammattitutkinnon perusteet

1 Tietosuojapolitiikka

VISIO YHTEISKUNNAN ELINTÄRKEIDEN TOIMINTOJEN TURVAAMINEN. Väestön elinmahdollisuudet. Yhteiskunnan turvallisuus. Valtion itsenäisyys

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka

JULKISEN HALLINNON TIETOHALLINNON NEUVOTTELUKUNNAN ASETTAMINEN

Case-esimerkki: Miten Valtori hallitsee riskejä? Tommi Simula Riskienhallintapäällikkö

OULUNKAAREN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Sisäisen valvonnan ohje

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Inarin kunta SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Yhteiskunnan turvallisuusstrategia 2017 Hyväksytty valtioneuvoston periaatepäätöksenä

Kuntakonsernin riskienhallinnan arviointi - kommenttipuheenvuoro Tampere Talo, Tilintarkastuksen ja arvioinnin symposium

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

Tietosuoja- ja tietoturvapolitiikka

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

TIETOSUOJAPOLITIIKKA

Varmaa ja vaivatonta viestintää

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto

Transkriptio:

Valtiokonttori Ohje 1 (6) Tietoturvapolitiikka Valtion IT -palvelukeskus

Valtiokonttori Ohje 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa... 3 3 Tietoturvallisuuden tavoitteet ja periaatteet... 4 4 Tietoturvallisuutta ohjaavat tekijät ja täydentävät ohjeet... 4 5 Tietoturvallisuuden hallinta, kehittäminen ja ylläpito sekä raportointi... 5 5.1 Tietoturvatyön organisointi ja vastuut... 5 5.2 Tietoturvaohjeistus ja koulutus... 5 6 Politiikan ylläpito ja hyväksyntä... 6 Liitteet... 6

Valtiokonttori Ohje 3 (6) 1 Johdanto Valtiokonttorin (VIP) toteuttaa osaltaan valtion IT-strategiaa valtion ITtoiminnan johtamisyksikön ohjauksessa sekä vastaa valtion IT-strategian mukaisten yhteisten tai yhtenäistettyjen IT-palvelujen tuotannon järjestämisestä. VIP hoitaa myös Valtioneuvoston tietohallintopalveluja ja toimii Valtioneuvoston ja yksittäisten ministeriöiden tietohallintopalvelujen organisoijana, toimittajana ja asiantuntijana. VIPin tehtävät on määrätty Valtioneuvoston asetuksessa valtiokonttorista (1155/2002) ja asetuksen muutoksessa (844/2008). Tietoturvallisuudella tarkoitetaan tietojen ja palveluiden, järjestelmien ja tietoliikenteen suojaamista ja varmistamista niihin kohdistuvien riskien hallitsemiseksi normaalioloissa ja normaaliolojen häiriötilanteissa hallinnollisilla, teknisillä ja muilla toimenpiteillä. 2 Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa Tämä politiikka linjaa VIPin tietoturvallisuuden hallintaan liittyvät tavoitteet, periaatteet, organisoinnin ja vastuut. Tietoturvapolitiikan linjauksia noudatetaan VIPin omassa toiminnassa ja VIPin asiakkaiden, palvelutoimittajien ja muiden kumppaneitten kanssa tehtävissä sopimuksissa sekä yhteistyössä. Kaikkiin sopimuksiin määritetään tietoturvavaatimukset joita VIP edellyttää noudatettavaksi. Vaatimusten täyttämistä avustetaan julkaisemalla tietoturvallisuuden sekä jatkuvuuden edistämiseen soveltuvia menetelmiä, ohjeita ja työkaluja. Tietoturvatyön tavoitteiden saavuttamista tukee VIPin tietoturvallisuuden hallintajärjestelmä. Hallintajärjestelmä kattaa VIPin toimialan omat prosessit ja prosesseista tunnistetut suojattavat kohteet. VIPin toiminnassa suojattavia kohteita ovat ydinprosesseissa ja tietojärjestelmissä käsiteltävät tiedot, tiedot toimittaja-, yhteistyö- ja alihankintasopimuksista sekä tiedot yhteistyöstä muiden viranomaisten ja yhteistyötahojen kanssa

Valtiokonttori Ohje 4 (6) 3 Tietoturvallisuuden tavoitteet ja periaatteet VIPin visio on olla tehokkain turvallisia ja helppokäyttöisiä IT -palveluja julkishallinnolle tarjoava palvelukeskus. Tietoturvallisuuden tavoitteena on mahdollistaa vision saavuttaminen luomalla menettelyt ja hallintaprosessit palveluiden turvalliseen ylläpitoon, kehittämiseen sekä hankintaan. Menettelyt ja prosessit varmistavat myös VIPin toiminnan jatkuvuuden. Tavoitteen saavuttamiseksi tietoturvatyö koostuu seuraavista osa-alueista: Suojattavien kohteiden turvallisuuden ja niiden toiminnan jatkumisen varmistaminen Toiminnan jatkuva parantaminen riskienhallinnan ja koulutuksen keinoin Vuosikelloon perustuvan tietoturvatilannekuvan ylläpitäminen ja raportointi Nopea reagointi poikkeaviin tilanteisiin ja vaikutusten minimointi Tietoturvatyön vaikuttavuuden arviointi ja kehittäminen Tietoturvatyön onnistumisen takaamiseksi, työn periaatteina noudatetaan seuraavaa: Tietojen suojaaminen perustuu luottamuksellisuuden, eheyden ja saatavuuden turvaamiseen Suojaaminen toteutetaan osana normaalia VIPin henkilöstön työtä Suojaaminen ja jatkuvuuden hallinta perustuu tunnistettujen riskien pohjalta luotaviin toimenpide- ja jatkuvuussuunnitelmiin Varataan riittävät resurssit ja osaaminen tietoturvatyön toteuttamiseen ja kehittämiseen Henkilöstöllä on oman työn turvalliseen toteuttamiseen vaadittava osaaminen Palvelutoimittajat velvoitetaan noudattamaan VIPin sopimuksilla määrittelemiä tietoturvavaatimuksia ja vaatimusten toteutumista seurataan säännöllisesti 4 Tietoturvallisuutta ohjaavat tekijät ja täydentävät ohjeet Tietoturvapolitiikka, tietoturvaohjeistus ja VIPin toiminnassa sovellettavat tietoturvakäytännöt perustuvat Valtiokonttorin tietoturvapolitiikkaan, säädöksiin ja määräyksiin, kansainväliseen ISO 27001-standardiin, toiminnan riskiarviointeihin, Valtiovarainministeriön tietoturvaohjeistoihin, julkishallinnon JHS-suosituksiin ja VIPin toimintastrategiaan. Liitteessä 1 on lueteltu politiikan sisältöön vaikuttavat lait ja asetukset sekä standardit. Tätä tietoturvapolitiikkaa täydentävät erikseen laaditut tietoturvaohjeet ja käytännöt sekä suunnitelmat, jotka tulee huomioida kaikessa VIPin toiminnassa ja toiminnan suunnittelussa.

Valtiokonttori Ohje 5 (6) 5 Tietoturvallisuuden hallinta, kehittäminen ja ylläpito sekä raportointi Tietoturvallisuuden hallinta, kehittäminen ja ylläpito perustuvat riskien tunnistamisesta lähtevään tietoturvallisuuden jatkuvaan kehittämiseen prosessimaisella toiminnalla. Riskejä arvioidaan ja hallitaan VIPin ISO 27001 -standardin mukaisen tietoturvallisuuden hallintajärjestelmän ohjaamana, osana palvelualueiden ja muiden ryhmien normaalia työtä. Työn tavoitteiden toteutumista ja järjestelyjen riittävyyttä sekä tehokkuutta seurataan, mitataan ja arvioidaan säännöllisesti. Lisäksi tietoturvallisuustyön vaikuttavuutta arvioidaan säännöllisillä tarkastuksilla, jotka toteutetaan VIP ja palvelukohtaisten auditointisuunnitelmien mukaisesti. Tietoturvallisuuden tilannekuva ja tietoturvatyön vaikuttavuuden arvioinnin tulokset raportoidaan säännöllisesti VIP johtoryhmälle. 5.1 Tietoturvatyön organisointi ja vastuut Tietoturvatoiminnassa noudatetaan VIPin työjärjestyksen mukaista organisointia ja vastuunjakoa. VIPin tietoturvallisuudesta vastaa kokonaisuudessaan VIPin johtaja. Johtajan ja häntä tukevan johtoryhmän tehtäviin kuuluvat tietoturvallisuuden tavoitteiden ja riskitason asettaminen sekä työn riittävä resursointi. VIP:n sisäisen tietoturvatoiminnan ja tietoturvallisuuden hallintajärjestelmän kehittämisestä ja vaikuttavuuden seurannasta vastaa tietoturvallisuuden ohjausryhmä tietoturvapalvelutpalvelualueen apulaisjohtajan johdolla. Esimiehet vastaavat siitä, että työntekijöillä on oikeudet tehtävän edellyttämässä laajuudessa tarvittaviin tietoihin. Esimiehet huolehtivat siitä, että alaiset saavat riittävän perehdytyksen ja koulutuksen tietoturvallisuuteen sekä voimassa oleviin ohjeisiin ja käytäntöihin. Jokainen VIPille töitä tekevä henkilö vastaa tietoturvallisuudesta omalla vastuualueellaan annettujen ohjeiden ja määräysten mukaisesti. Jokaisen velvollisuutena on perehtyä Valtiokonttorin ja VIPin tietoturvaohjeisiin. Velvollisuutena on myös ilmoittaa havaitsemistaan tietoturvallisuutta vaarantavista seikoista esimiehelleen tai tietoturvapalvelut-palvelualueen apulaisjohtajalle. Esimiesten ja apulaisjohtajan velvollisuutena on ryhtyä tarvittaviin toimenpiteisiin. Yksityiskohtaiset vastuut on kuvattu liitteessä 2. 5.2 Tietoturvaohjeistus ja koulutus Henkilöstölle julkaistaan tietoturvaohjeita avustamaan työtehtävien tekemisessä. Esimiesten vastuulla on perehdyttää alaiset tietoturvaohjeistukseen. Ajantasainen ohjeisto julkaistaan intranetissä.

Valtiokonttori Ohje 6 (6) VIPin henkilöstö ja VIPille töitä tekevät perehdytetään tietoturvallisuuskäytäntöihin palvelussuhteen sekä projektien tai toimeksiantojen alussa. Oma henkilöstö osallistuu palvelusuhteen aikana tietoturvakoulutuksiin säännöllisesti. Tietoturvakoulutuksia ja tietoiskuja järjestetään henkilöstölle koulutussuunnitelman mukaisesti. 6 Politiikan ylläpito ja hyväksyntä Liitteet Tämän politiikan ylläpidosta vastaa VIPin sisäisestä tietoturvasta vastaava tietoturva-asiantuntija, joka katselmoi politiikan säännöllisesti. Mahdolliset muutostarpeet esitellään VIPin johtoryhmälle. Politiikan tarkastaa ja muutokset hyväksyy VIPin johtaja. Tämä velvoittaa VIPin henkilöstön noudattamaan tietoturvapolitiikan ja täydentävän ohjeistuksen linjauksia. Tämä politiikka astuu voimaan hyväksymispäivämääränä ja on voimassa, kunnes päivitetty politiikka hyväksytään. Liite 1 Lait asetukset ja säädökset sekä standardit Lait, asetukset ja säädökset sekä standardit jotka ohjaavat tietoturvallisuutta on kuvattu dokumentissa Liite1_Lait_Asetukset_Säädökset_ja_standardit.docx Liite 2 Tietoturvatyön vastuut Tietoturvatyön vastuut on kuvattu dokumentissa Liite2_Tietoturvatyön_vastuut.docx

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute