Laatua ja tehoa toimintaan



Samankaltaiset tiedostot
Liite 2 : RAFAELA -aineiston elinkaaren hallinta

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Sähköi sen pal l tietototurvatason arviointi

Toimitilojen tietoturva

Eläketurvakeskuksen tietosuojapolitiikka

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan

VIRTU ja tietoturvatasot

Vihdin kunnan tietoturvapolitiikka

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu

Pilvipalveluiden arvioinnin haasteet

Tutkittavan informointi ja suostumus

Tietoturva ja viestintä

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Tutkimuslaitosseminaari

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvallisuus ja varautuminen kunta- ja palvelurakennemuutoksessa. Valtiovarainministeriö Puh tai v

Espoon kaupunki Tietoturvapolitiikka

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Tietoaineistojen luokittelu ja käsittely HVK:ssa ja PTS:ssä

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Tietoturvallisuus julkisessa. Sähköisen hallinnon oikeudelliset perusteet Tommi Oikarinen

Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa

Tietoturvavastuut Tampereen yliopistossa

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

VM 5/01/ Valtiovarainministeriö Hallinnon kehittämisosasto. Ministeriöille, virastoille ja laitoksille 1 LÄHTÖKOHDAT

Lausunto Julkisen hallinnon linjauksiin tiedon sijainnista ja hallinnasta pyydämme yleisesti huomioimaan seuraavaa:

Tietosuoja henkilöstön rekrytoinnissa

MITÄ TIETOSUOJA TARKOITTAA?

Turvallisuuden lyhyt koulutuspaketti

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

IF-INFO MEKLAREILLE

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Valmistautuminen EU:n Tietosuojaasetukseen

Tietohallinnon uudistuksia ja haasteita sähköisen hallinnon näkökulma viranomaisten asiakirjojen pysyvään säilyttämiseen

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

6) tietojen käytettävyys, eheys ja laatu viranomaisen tehtävän hoidossa ja viranomaisten yhteistyössä;

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Lausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.

TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka

Lapin yliopiston tietoturvapolitiikka

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Politiikka: Tietosuoja Sivu 1/5

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Virtu tietoturvallisuus. Virtu seminaari

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Lausunto Linjausten tulisi perustua pilvipalvelujen käyttöön liittyvään yleiseen riskiarvioon

Webinaarin sisällöt

Tietoturva tulevassa tiedonhallintalaissa ja VAHTI Kirsi Janhunen, Väestörekisterikeskus

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

EU TIETOSUOJA- ASETUS

Tietoturvapolitiikka

Sosiaaliset mediat ja tietosuoja. Juha Kontturi IT -suunnittelija Turun ammattikorkeakoulu

Informaatio-ohjaus ja tiedonhallintalaki tietoturvallisuuden kehittäjänä. Kirsi Janhunen, Väestörekisterikeskus

Tietoturvaa verkkotunnusvälittäjille

LAADI TIETOTILINPÄÄTÖS

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

Tietoturvapolitiikka

Tietoturvallisuuden standardisointiverkosto - Kokous 1/2018 VAHTI Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Valmistautuminen EU:n Tietosuojaasetukseen

Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

Miten uudistettu VAHTI voi auttaa organisaatiotasi turvallisuuden kehittämisessä? Kimmo Rousku

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

Ammattikorkeakoulu 108 Liite 1

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Espoon kaupunkikonsernin tietoturvapolitiikka

SISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

KILOMETRIVERO JA TIETOSUOJA

Tietosuoja-asetus Immo Aakkula Arkistointi

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

Tilastoaineistojen säilytysajan määrääminen - normivaatimukset ja sopimusvelvoitteet. Anna-Leena Reinikainen

Verkostokehittäjät-hanke Tietosuoja ja tietoturvallisuus

TIETOSUOJAPOLITIIKKA

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Transkriptio:

Laatua ja tehoa toimintaan Tietoturvallisuus osana laatua Kuntamarkkinat 12.9.2013 Aapo Immonen, Senior Manager, FCG konsultointi Oy 5.9.2013 Page 1

Sisältö Tavoitteet Tietoturvallisuutta ohjaavat tekijät Tietoturvallisuuden attribuutit Tiedon omistajuus Tiedon turvaluokittelu Tiedon elinkaaren hallinta VAHTI KATAKRI Taloudellinen näkökulma Organisaation tietoturvallisuuden julkisuuskuva Tietoturvallisuuden toteutumisen raportointi tietotilipäätöksellä 5.9.2013 Page 2

Tavoitteet Tietoturvallisuus on kokonaisuus, joka tukee kokonaisarkkitehtuuria Informaation koko elinkaaren hallinta keskeistä Lähtee organisaation tavoitteista ja lainsäädännöstä Tietoturvapolitiikka kuvaa organisaation tai projektin tietoturvallisuudelle määritellyt tavoitteet Aineiston käyttö ja saavutettavuus perustuu ammatillisiin rooleihin sekä aineiston luokitteluun Tietoturvallisuus tulisi huomioida mahdollisimman varhaisessa suunnittelun vaiheessa synkronoituna suunnittelun vuosikellon kanssa. Jos tietoturvallisuuden poikkeamia huomataan vasta testaus- tai käyttöönottovaiheessa, aiheutuu siitä monikertaisia taloudellisia haasteita 5.9.2013 Page 3

Tietoturvallisuutta ohjaavat tekijät Organisaation omat tavoitteet - tukee strategiaa osana kokonaisarkkitehtuuria Lainsäädäntö, keskeisiä lakeja: - Henkilötietolaki (523/1999) Henkilötietolaissa keskeisimmät säännökset hyvän tietojenkäsittelytavan näkökulmasta ovat lain 2 luvun periaatteet: - huolellisuus- ja laillisuusvelvoite (5 ) - henkilötietojen käsittelyn etukäteissuunnittelu (6 ) - henkilötietojen käyttötarkoitussidonnaisuus ja käsittelyn rajoitukset (7-8 ) - henkilötietojen laatua koskevat periaatteet (9 ) - Laki julkisen hallinnon tietohallinnon ohjauksesta (634/2011) - Laki turvallisuusselvityksistä (177/2002 - Sähköisen viestinnän tietosuojalaki (516/2004) - Laki yksityisyyden suojasta työelämässä (759/2004) - Arkistolaki (831/1994) - Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) - Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010) - Laki viranomaisten toiminnan julkisuudesta (621/1999) 5.9.2013 Page 4

Tietoturvallisuuden attribuutit LUOTTAMUKSELLISUUS EHEYS KÄYTETTÄVYYS 5.9.2013 Page 5

Tiedon omistajuus Keskistä tiedon omistajuudelle on sen kontrolloitavuus, jossa ilmenee kuka on luonut tiedon, kuka saa modifioida, arkistoida, jakaa, hyödyntää sekä tuhota tietoa. Omistajuus merkitsee oikeutta myöntää muille oikeuksia tiedon käytölle. Keskeistä on ymmärtää tiedon omistajan vastuu tiedoista. Organisaatioiden tulisi määritellä kaikille tietoaineistoilleen ja järjestelmilleen omistajat. 5.9.2013 Page 6

Tiedon turvaluokittelu Valtionvarainministeriön julkaisema Valtionhallinnon tietoaineistojen ka sittelyn tietoturvallisuusohje määrittelee luottamuksellisen aineiston suojaustasot seuraavasti: Suojaustaso IV (ST IV), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa haittaa salassapitosäännöksessä tarkoitetuille yleisille tai yksityisille eduille tai, jos kysymys on tietoturvallisuusasetuksen 9 :n 2 momentissa tarkoitetuista asiakirjoista, jos tiedon oikeudeton paljastuminen voi aiheuttaa haittaa yleiselle tai yksityiselle edulle tai heikentää viranomaisen toimintaedellytyksiä. KÄYTTÖ RAJOITETTU. Suojaustaso III (ST III), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetulle yleisille tai yksityisille eduille ja oikeuksille. LUOTTAMUKSELLINEN. Suojaustaso II (ST II), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa merkittävää vahinkoa salassapitosäännöksessä tarkoitetuille yleisille eduille. SALAINEN. Suojaustaso I (ST I), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa erityisen suurta vahinkoa salassapitosäännöksessä tarkoitetuille yleisille eduille, ERITTÄIN SALAINEN. 5.9.2013 Page 7

Tiedon elinkaaren hallinta Tiedon elinkaaren hallinnalla tarkastellaan: Mistä tieto on muodostunut Kuka sen omistaa Kenellä on käyttö- ja muokkausoikeudet tietoon. Lisäksi on syytä määritellä miten, kuinka kauan ja missä dataa säilytetään sekä milloin ja miten se aikanaan tuhotaan. 5.9.2013 Page 8

VAHTI Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI käsittelee valtionhallinnon tietoturvallisuutta koskevat säädökset, ohjeet, suositukset ja tavoitteet. Tavoitteena on ohjata valtionhallinnon tietoturvatoimenpiteitä ja tietosuojan kehittämistä ohjaamalla organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä sekä edistää verkostomaisen toimintatavan kehittämistä julkishallinnon tietoturvatyössä. VAHTI dokumentteihin on kerätty määräyksiä ja ohjeita ohjaamaan kokonaisvaltaisesti tietoturvallisuuden toteutumista eri hallinnonaloilla. Ajankohtaista tietoa ja linkit VAHTI dokumenttikokoelmaan löytyy osoitteesta: http://www.vm.fi/vahti 5.9.2013 Page 9

KATAKRI Tuotettu osana sisäisen turvallisuuden ohjelmaa vuonna 2009 luottamuksellisen datan käsittelyä koskevassa hankkeessa Puolustusvoimat ja Suojelupoliisi aloitteellisina organisaationa Konsultoinnin ja virallisten auditointien työväline Tavoitteena on ollut tuottaa selkeästi mitattavia ja arvioitavia tietoturvallisuusohjeistuksia sekä sisäiseen että organisaatioiden väliseen yhteistyöhön Tuloksena syntyi strukturoitu auditointikriteeristö eri viranomaistoimijoille tiedon turvaamiseen sekä turvallisuuden toteutumisen arviointiin. Yhtenäistää viranomaistoimintoja silloin, kun viranomainen toteuttaa yrityksessä tai muussa yhteisössä kohteen turvallisuustason todentavan auditoinnin Auttaa yrityksiä ja muita yhteisöjä sekä myös viranomaisia sidosryhmineen omassa sisäisessä turvallisuustyössä 5.9.2013 Page 10

Taloudellinen näkökulma Taloudellisesta näkökulmasta kyse on riskin ja investoinnin välisestä suhteesta, jossa on kiinnitettävä erityistä huomioitava lainsäädännön asettamiin vaatimukset tiedon ja informaation elinkaaren hallintaan. Tietoturvallisuuden investoinnit on mitoitettava vastaamaan arvioita, kuinka suuri uhka on tiedon tai prosessien aikana syntyvän tiedon oikeudettomalle paljastumiselle, joka voi aiheuttaa haittaa, vahinkoa, merkittävää vahinkoa tai erityisen suurta vahinkoa valtion, yleisen tai yksityisen eduille ja oikeuksille. Edullisinta onkin huomioida tietoturvallisuus prosessien suunnitteluvaiheessa. Tuotantoympäristöön tehtävät tietoturvapoikkeamista syntyvät muutokset ovat aina kalliita ja budjetoimattomia kulueriä. 5.9.2013 Page 11

Organisaation tietoturvallisuuden julkisuuskuva Toimivan kunnan yksi keskeisimpiä vaatimuksia on ylläpitää kuntalaisten luottamus kaikkea kunnan toimintaa kohtaan Keskeistä luottamuksellisen tiedon aisanmukainen käsittely Tiedon oikeellisuuden ja alkuperäisyyden tunnistaminen Kuntien siirtäessä palvelujaan entistä enenemään jaettavaksi ICT:tä hyväksikäyttäen, on kuntalaisten näkökulmasta tiedon käytettävyyteen kiinnitettävä erityistä huomiota 5.9.2013 Page 12

Tietoturvallisuuden toteutumisen raportointi tietotilipäätöksellä Laadukas tietotilinpäätös antaa kokonaiskuvan organisaation tietojenkäsittelyn nykytilasta Kuvataan: Mitä tietovarantoja organisaation hallussa on, Mihin tarkoitukseen tietoja käytetään Arvio tietosuojan ja tietoturvan toteutumisesta. Kriittisen tietoturvapoikkeamat Organisaation toimintaan liittyvät tietovirrat Yhtyeentoimivuuden tietojenkäsittelyn kanssa Miten lain määrittelemä tietosuoja toteutetaan tietoturvallisuuden eri attribuuteilla osana organisaation toiminnassa jokapäiväistä toiminataa sisältäen myös riskisenhallinnan toteutuksen. 5.9.2013 Page 13

Esimerkki tietotilinpäätöksen sisällöstä Mitä tietovarantoja organisaation hallussa on Mikä on organisaation tietoarkkitehtuuri Mikä on organisaation hallussa olevien tietojen laatu ja käytettävyys Mitä menettelytapoja ja periaatteita tietojen käsittelyssä noudatetaan Miten tiedot on suojattu Miten tietojen käyttöä valvotaan Miten rekisteröityjen oikeudet tietojen käsittelyssä toteutetaan (Tietosuojavaltuutetun toimisto, 2012) 5.9.2013 Page 14

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute