Tietoturvavastuut Tampereen yliopistossa Hyväksytty Tampereen yliopiston Yliopistopalvelujen johtoryhmässä 10.5.2016 Korvaa 18.10.2002 hyväksytyn vastaavan dokumentin. Tulee voimaan hyväksymispäivänä. Yleinen vastuu tietoturvallisuuden ylläpitämisestä yliopistoyhteisössä Jokaisen yliopistoyhteisössä toimivan on tunnettava vastuunsa tiedon luottamuksellisuuden, tiedon säilymisen ja oikeellisuuden, tiedon oikea-aikaisen ja käyttöoikeuksiin perustuvan saatavuuden sekä lain edellyttämän tiedon julkisuuden, salassapidon sekä tietosuojan turvaamiseksi yliopistossa. Jokainen yliopistoyhteisön jäsen on vastuussa siitä, että hän tuntee häntä koskevat tietoturvallisuudesta annetut ohjeet 1 ja noudattaa niitä, luo ja toteuttaa hyvää tietoturvallisuuskulttuuria päivittäisissä toimissaan, osallistuu hänelle suunnattuun tietoturvallisuuskoulutukseen ja tuntee hänelle annetut tai asemansa puolesta kuuluvat tietoturvavastuut ja -tehtävät ja toimii niiden edellyttämällä tavalla ilmoittaa tietoturvan vaarantumisesta ja vakavista poikkeamista erikseen ohjeistettavalla tavalla 2 Tietoturvallisuus on mukana yliopistotyössä Suuri osa tietoturvallisuuden toteuttamiseksi yliopistossa tehdystä työstä sisältyy osana yliopistossa työskentelevien normaaleihin tehtäviin. Itse asiassa voi olla vaikeaa löytää yliopistosta sellaista työnkuvaa, johon tietoturvallisuudesta huolehtimista muodossa tai toisessa ei lainkaan sisältyisi. Yleisen tietoturvallisuuden ja tietosuojan toteuttamisvastuun lisäksi tiettyihin työtehtäviin ja -rooleihin yliopistossa liittyy erityisiä vastuita. Erityiset tietoturvatehtävät ja -vastuut Seuraavilla toimijoilla ja rooleilla on erityisiä tietoturvaan liittyviä tehtäviä ja vastuita. Tietohallinnon laajennettu johtoryhmä Yliopistopalveluiden johtoryhmä Tiedekunnan dekaani ja yksikön johtaja 1 https://intra.uta.fi/portal/fi_fi/group/tietopankki/tietoturva 2 https://intra.uta.fi/portal/fi_fi/group/tietopankki/tietoturva. Ks. myös IT-palvelujen käyttösäännöt 3.2. 1
Tietotekninen asiantuntija Yliopiston toimeksiantoa suorittava konsultti ja palveluyritys Tietohallinnon vastuulla on tietoturvallisuus ja sen valvonta yleisellä tasolla omien palveluidensa tietoturvallisuus Tietoturvapäällikön vastuulla on lainsäädännön ja siihen liittyvän ohjeistuksen seuraaminen valtionhallinnon ohjeistuksen seuraaminen yliopistojen ja muun valtionhallinnon tietoturvayhteistyöhön osallistuminen yliopiston tietoriskien arviointi tietoturvallisuuden toimeenpanon seuranta tietoturvallisuuden ohjaamiseen liittyvien dokumenttien valmistelu tietoturvaryhmän tuella (politiikka, organisointi, vastuut, yleiset säännöt ja ohjeet) tietoturvakoulutuksen suunnittelu yhdessä henkilöstöpalvelujen kanssa poikkeusoloihin varautuminen jatkuvuussuunnittelutyöhön osallistumalla tietohallinnon, tiedekuntien ja yksiköiden toiminnan tietoturva-auditointi sekä konsultointi yhteistyössä tietoturvaryhmän kanssa tietoturva-asioiden valmistelu Tietohallinnon laajennetulle johtoryhmälle n vastuulla on tietoturvallisuuden tilannetietojen hankkiminen ja tilannekuvan ylläpitäminen tietoturvapoikkeamien käsittely IT-palveluiden tietoturvallisuuden ja vaatimustenmukaisuuden arviointi IT-palveluiden riskienhallinta IT-palveluiden jatkuvuuden hallinta tietoturvasääntöjen ja -ohjeiden valmistelun tukeminen Tietohallinnon laajennetun johtoryhmän vastuulla on tietoturvatilanteen seuraaminen tietoturvallisuuden kehittäminen tietoturva-asioiden valmistelu Yliopistopalveluiden johtoryhmälle Yliopistopalveluiden johtoryhmän vastuulla on tietoturva-asioiden käsitteleminen tarvittaessa, mutta vähintään kerran vuodessa vakavien tietoturvapoikkeamien käsittely tietoriskienhallinnan kytkeminen osaksi yliopiston riskienhallintaa Tiedekunnan dekaanin ja yksikön johtajan vastuulla on tiedekuntansa tai yksikkönsä tietoturvallisuuden ohjaus, valvonta, kehittäminen ja resursointi 2
tiedekunnan tai yksikön omien järjestelmien vastuuhenkilöiden ja heidän varahenkilöidensä sekä ylläpitohenkilökunnan nimeäminen (kirjallisesti) henkilöstön asianmukaisesta perehdyttämisestä huolehtiminen tiedekunnan tai yksikön tietoturvallisuudesta raportoiminen tietoturvapäällikölle tarvittaessa n vastuulla on palvelun tietosisällön luokitteleminen julkisuuslain mukaiset tietojärjestelmäselosteet henkilötietolain mukaiset henkilörekisteriselosteet ja niiden pitäminen rekisteröityjen saatavilla sekä lain vaatimat ilmoitukset tietosuojavaltuutetun toimistolle ja rekisteröidyille palvelun tietoriskienhallinta tietoturvaryhmän tuella palvelun ja sen tietojen suojaus, käyttöoikeudet sekä varmuus- ja suojakopiointi palvelun tietoturvallisuuden seuraaminen ja siihen kohdistuvista häiriöistä raportoiminen palvelun käyttöön liittyvä koulutus palvelukohtaisten tietoturvasuunnitelmien laatiminen yhdessä palvelun kehittäjän kanssa ajantasaisen palvelukuvauksen ylläpitäminen käyttöohjeiden ylläpito poikkeaviin tapahtumiin ja niiden vaatimiin vastatoimenpiteisiin varautuminen Tietoteknisen asiantuntijan (ylläpitäjän, suunnittelijan, ohjelmoijan) vastuulla on yliopiston tietoturvapolitiikan soveltaminen ja toteuttaminen omaa erikoisasiantuntemustaan hyödyntäen oman vastuualueensa tietoturvallisuustoimenpiteet hyvän tiedonhallinta- ja tietoturvallisuustavan noudattaminen tietoturvallisuudesta ja siihen kohdistuvista häiriöistä raportoiminen palvelukuvauksen ylläpitäminen oman asiantuntijuutensa osalta ylläpidon menettelyohjeiden ylläpitäminen Henkilöstöpalveluiden vastuulla on tietoturva-asioiden sisällyttäminen henkilöstön perehdyttämiskoulutukseen tietoturvakoulutuksen suunnittelu henkilöstölle yhdessä tietoturvapäällikön kanssa Opintopalveluiden vastuulla on tietoturva-asioiden sisällyttäminen uusien opiskelijoiden opintoihin tietoturvakoulutuksen suunnittelu opiskelijoille yhdessä tietoturvapäällikön kanssa Konsulteilta ja palveluyrityksiltä edellytetään hyvän tiedonhallinta- ja tietoturvallisuustavan noudattamista tietoturvallisuuden valvontaa ja ylläpitoa omassa toiminnassaan tietoturvallisuuden ja siihen vaikuttavien tekijöiden raportointia toimeksiantajalle 3
Tietoturvavastuut Tampereen yliopistossa - Liite Tietohallinnon laajennettu johtoryhmä Yleinen tietoturvallisuus Tietoturvallisuus ja sen valvonta yleisellä tasolla Tietoturvallisuuden toimeenpanon seuranta Vuotuinen tietoturvaraportointi Yliopistopalveluiden johtoryhmälle Yliopiston tietoturvapolitiikan soveltaminen ja toteuttaminen omaa erikoisasiantuntemustaan hyödyntäen Oman vastuualueensa tietoturvallisuustoimenpiteet Tietoturvallisuuden valvonta ja ylläpito omassa toiminnassaan Yliopistojen ja muun valtionhallinnon tietoturvayhteistyöhön osallistuminen YOP:n johtoryhmä Tiedekunnan dekaani ja yksikön johtaja IT-asiantuntija Konsultti/palveluyritys Vaatimustenmukaisuus Lainsäädännön ja siihen liittyvän ohjeistuksen seuraaminen Valtionhallinnon ohjeistuksen seuraaminen Julkisuuslain mukaiset tietojärjestelmäselosteet Henkilötietolain mukaiset henkilörekisteriselosteet ja niiden pitäminen rekisteröityjen saatavilla sekä lain vaatimat ilmoitukset tietosuojavaltuutetun toimistolle ja rekisteröidyille Hyvän tiedonhallinta- ja tietoturvallisuustavan noudattaminen Yksikön tietoturvallisuus Tiedekunnan tai yksikön tietoturvallisuuden ohjaus, valvonta, kehittäminen ja resursointi Palveluiden turvallisuus Tietohallinnon palveluiden tietoturvallisuus Tiedekunnan tai yksikön omien järjestelmien vastuuhenkilöiden ja heidän varahenkilöidensä sekä ylläpitohenkilökunnan nimeäminen (kirjallisesti) Palvelun tietosisällön luokitteleminen Palvelun ja sen tietojen suojaus, käyttöoikeudet sekä varmuus- ja suojakopiointi Palvelun tietoriskienhallinta Palvelukohtaisten tietoturvasuunnitelmien laatiminen yhdessä palvelun kehittäjän kanssa Ajantasaisen palvelukuvauksen ylläpitäminen Palvelukuvauksen ylläpitäminen oman asiantuntijuutensa osalta 4
Tietoturvavastuut Tampereen yliopistossa - Liite Politiikat, säännöt, ohjeet, neuvonta, koulutus Tietoturvallisuuden ohjaamiseen liittyvien dokumenttien valmistelu (politiikka, organisointi, vastuut, yleiset säännöt ja ohjeet) Tietohallinnon laajennettu johtoryhmä YOP:n johtoryhmä Tiedekunnan dekaani ja yksikön johtaja Tietoturvakoulutuksen suunnittelu henkilöstölle Tietoturva-asioiden sisällyttäminen perehdyttämiskoulutukseen Tietohallinnon ja yksiköiden konsultointi Henkilöstön asianmukaisesta perehdyttämisestä huolehtiminen Palvelun käyttöön liittyvä koulutus Ylläpidon menettelyohjeiden ylläpitäminen Käyttöohjeiden ylläpito Tietoturva-asioiden sisällyttäminen uusien opiskelijoiden opintoihin Tietoturvakoulutuksen suunnittelu opiskelijoille IT-asiantuntija Konsultti/palveluyritys Tietoturvapoikkeamat, tilannekuva Tietoturvallisuuden tilannetietojen hankkiminen ja tilannekuvan ylläpitäminen Tietoturvapoikkeamien käsittely Vakavien tietoturvapoikkeaminen käsittely Yksikön tietoturvallisuudesta raportoiminen tietoturvapäällikölle tarvittaessa Palvelun tietoturvallisuuden seuraaminen ja siihen kohdistuvista häiriöistä raportoiminen Tietoturvallisuudesta ja siihen kohdistuvista häiriöistä raportoiminen Tietoturvallisuuden ja siihen vaikuttavien tekijöiden raportointi toimeksiantajalle Tietoturva-auditointi, sisäinen tarkastaminen Tietohallinnon, tiedekuntien ja yksiköiden toiminnan tietoturva-auditointi Riskienhallinta, varautuminen, jatkuvuus Yliopiston tietoriskien arviointi Tietoriskien käsittely osana yliopiston riskienhallintaa Poikkeusoloihin varautuminen jatkuvuussuunnittelutyöhön osallistumalla Poikkeaviin tapahtumiin ja niiden vaatimiin vastatoimenpiteisiin varautuminen 5