Tietoturvapolitiikka



Samankaltaiset tiedostot
Tietoturvapolitiikka Porvoon Kaupunki

Vihdin kunnan tietoturvapolitiikka

TIETOTURVAPOLITIIKKA

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Karkkilan kaupungin tietoturvapolitiikka

Tietoturva- ja tietosuojapolitiikka

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka

Tietoturvapolitiikka. Hattulan kunta

Tietoturvapolitiikka NAANTALIN KAUPUNKI

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

Johdanto

Kuopion kaupunki Dnro 3720/2018 Elinvoima- ja konsernipalvelu Tietohallinto

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Kunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka

Tietoturvapolitiikka

Espoon kaupunki Tietoturva- ja tietosuojapolitiikka

Tietoturvavastuut Tampereen yliopistossa

Tietosuoja- ja tietoturvapolitiikka

TIETOTURVA- POLITIIKKA

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Tietoturvapolitiikan käsittely / muutokset:

Espoon kaupunkikonsernin tietoturvapolitiikka

Tietoturvapolitiikka

Sovelto Oyj JULKINEN

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Laatua ja tehoa toimintaan

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Tietoturva- ja tietosuojapolitiikka

Yhtymähallitus Yhtymävaltuusto Siun sote - kuntayhtymän sisäisen valvonnan ja riskienhallinnan perusteet

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

Tietoturva- ja tietosuojapolitiikka

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Tietosuoja- ja tietoturvapolitiikka

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Tietoturva- ja tietosuojapolitiikka

Seinäjoen kaupungin tietoturvapolitiikka. Kh , 149

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

IT-palvelujen ka yttö sa a nnö t

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

Uudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet

VIRTU ja tietoturvatasot

Tietoturvapolitiikka

Sisäisen valvonnan ja Riskienhallinnan perusteet

Lapinlahden kunnan tietoturvapolitiikka

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Eläketurvakeskuksen tietosuojapolitiikka

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Sisäisen valvonnan ja riskienhallinnan perusteet Hyväksytty: kaupunginvaltuusto xx.xx.2014 xx

Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

SISÄISEN VALVONNAN PERUSTEET

TIETOSUOJAPOLITIIKKA. Turun kaupunki

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Keski-Pohjanmaan erikoissairaanhoito- ja peruspalvelukuntayhtymän sisäisen valvonnan ja riskienhallinnan perusteet

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Johtokunta Tietoturva- ja tietosuojapolitiikka

Utajärven kunta TIETOTURVAPOLITIIKKA

SISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE

Kaikki VTV:n tarkastukset liittyvät riskienhallintaan ja tukevat hyvää hallintoa

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

PUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOTURVAPOLITIIKKA

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Valtioneuvoston asetus

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Espoon kaupunki Pöytäkirja 96. Valtuusto Sivu 1 / Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

SUUNNITTELE JA JOHDA TURVALLISUUTTA, ENNAKOI RISKIT JA VARMISTA LAATU- JA TURVALLISUUSKULTTUURI

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Liite/Kvalt , 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Isonkyrön kunta

Sisäinen tarkastus, sisäinen valvonta ja riskienhallinta. Valtuustoseminaari

Valtiovarain controller toiminto riskienhallinnan kehittäjänä Esko Mustonen

, RAU/475/ /2018

TIETOTURVAA TOTEUTTAMASSA

Lapin yliopiston tietoturvapolitiikka

PÄLKÄNEEN KUNNAN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

SAARIJÄRVEN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VAL- VONNAN JA RISKIENHALLINNAN PERUSTEET

Esimiestyö on pääsääntöisesti vaativampaa kuin esimiehen johtaman tiimin/ryhmän toimihenkilöiden tekemä työ.

Sisäisen valvonnan ja riskienhallinnan perusteet

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

Sisäisen valvonnan ohje

Inarin kunta SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

KEMIJÄRVEN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Transkriptio:

Mäntsälä Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 0.9 2/8

Sisällys 1 Johdanto... 4 2 Mitä tietoturvallisuus on?... 4 2.1 Tietoturvallisuuden hallinta... 5 2.2 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen... 5 3 Tietoturvallisuustavoitteet... 5 4 Organisointi ja vastuut... 6 5 Tiedon ja tietojärjestelmien käyttö... 7 6 Tietoturvaosaamisen ja tietoisuuden ylläpito... 7 7 Tietoturvallisuuden seuranta, ylläpito ja kehittäminen... 7 8 Liitteet... 8 3/8

1 Johdanto Mäntsälän kunnan toiminta ja palvelut perustuvat enenevässä määrin tietoon. Ollakseen tehokkaasti hyödynnettävissä, tietoa tukevien järjestelyjen tulee toimia asianmukaisesti kaikissa tilanteissa. Tämä edellyttää tehokasta johtamista luotettavien toteutusten ja osaavan henkilöstön tueksi. Kunnan johto määrittelee tässä Mäntsälän kunnan tietoturvapolitiikassa tietoturvallisuutta koskevat periaatteet, vastuut ja tavoitteet. Politiikka toimii perustana kunnan tietoturvallisuutta koskeville ohjeille, joiden tehtävänä on tarkentaa politiikassa annettuja määräyksiä ja ohjeistaa niiden käytäntöön soveltamisessa. Politiikka on käyttäjien saatavilla intranetissä ja ilmoitustauluilla. koskee koko kuntaorganisaatiota sekä kaikkia sen sidosryhmien edustajia, jotka toimeksiantojensa puitteissa käsittelevät kunnan omistamaa tai hallinnoimaa tietoa. Politiikka kattaa kunnan käyttämän, omistaman ja hallinnoiman tiedon riippumatta tiedon esitystavasta, muodosta, suojaustasosta tai elinkaaren vaiheesta. 2 Mitä tietoturvallisuus on? Tietoturvallisuus on kiinteä osa kunnan johtamista, toimintoja ja hankkimia sekä tuotettuja palveluita. Lisäksi tietoturvallisuus liittyy jokaisen työntekijän arkipäivän työtehtäviin ja työtapoihin. Tietoturvallisuus integroituu kuvan 1 mukaisesti kaikkiin kokonaisturvallisuuden osaalueisiin: turvallisuus, riskienhallinta sekä jatkuvuudenhallinta ja varautuminen. Kuva 1. Kunnan kokonaisturvallisuus Tietoturvallisuuteen liittyvillä vastuilla ja käytännöillä pyritään varmistamaan, että kunnan omistama ja hallinnoima: tieto on oikeaa ja eheää, eikä muuttunut tahallisen tai tahattoman teknisen tai inhimillisen toiminnan seurauksena 4/8

tieto on vain siihen oikeutettujen saatavilla tieto on saatavilla aina sitä tarvittaessa tietoon tehdyt muutokset sen käsittelyn eri vaiheissa on tarvittaessa kyettävä todentamaan. 2.1 Tietoturvallisuuden hallinta Kunnan tietoturvallisuuteen liittyvää toimintaa johdetaan ja kehitetään osana kunnan hallintojärjestelmää. Tietoturvallisuuden osalta kokonaisuus sisältää suunnitteluun, toteutukseen, seurantaan ja ohjaukseen liittyvät prosessit, asiakirjat, kontrollit ja vastuut. Kunnan tietoturvatyötä ohjaavat, soveltuvilta osin, seuraavat viitekehykset: Kuntaa velvoittavat lait ja asetukset Julkisen hallinnon tietohallinnon neuvottelukunnan (JUHTA) suositukset Kunnan omat strategiat ja niistä johdetut vaatimukset Valtionhallinnon Tietoturvallisuuden johtoryhmän (VAHTI) ohjeet Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010). 2.2 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen Kunnan johtoryhmän organisoima ja riskienhallintapolitiikassa kuvaama riskienhallintaprosessi toimii kunnan turvallisuusjärjestelyiden ja varautumisen perustana. Riskienhallinnan tavoitteena on riskien rajoittaminen hyväksyttävälle tasolle niin, että riskienhallintakeinot ovat suhteessa suojattavan kohteen kriittisyyteen ja riskin suuruuteen. Riskienhallinta kattaa kaikki riskit, mukaan lukien tietoon kohdistuvat ja tiedosta aiheutuvat riskit. Kunnan tulee varautua turvaamaan sen toiminnan ja palveluiden jatkuvuus normaalioloissa, normaaliolojen häiriötilanteissa sekä poikkeusoloissa. Tätä varten kunta voi tarvittaessa laatia erillisiä suunnitelmia prosessien ja tietojärjestelmien tueksi. 3 Tietoturvallisuustavoitteet Kunnan tavoitteena on saavuttaa Tietoturvallisuusasetuksen (681/2010) kuvaaman tietoturvallisuuden perustason vaatimukset koko kunnan laajuisesti ja korotetun tason vaatimukset lainsäädännön edellyttämissä toiminnoissa tai toiminnan tarpeiden niin vaatiessa. Edellä mainittuihin tavoitteisiin pyritään vuosittaisen tietoturvasuunnittelun kuvaamilla keinoilla ja toimenpiteillä. 5/8

4 Organisointi ja vastuut Kunnan keskeisimmät tietoturvallisuuteen liittyvät toimijat ja roolit vastuineen on määritelty alla. Mikäli kunnan hallinto- tai muissa säännöissä ei ole määritelty kenelle roolin vastuu kuuluu, on kunnanjohtaja vastuussa sopivimman henkilön nimeämisestä kyseiseen rooliin. Kaikki roolit ja vastuut kuvataan tarkemmin Liitteessä 1. Kunnanjohtaja toimii tietoturvallisuuden ja tietosuojan omistajana kunnassa luoden edellytykset niiden asianmukaiselle toteuttamiselle. Tarvittaessa kunnanjohtaja asettaa ryhmän seuraamaan tietoturvan ja tietosuojan toteutumista, tekemään kehitysehdotuksia sekä toimimaan toimialojen tietoturva- ja tietosuojavastaavien sekä järjestelmien pääkäyttäjien tukena. Toimialan johto vastaa siitä, että henkilöstö noudattaa tietoturva- ja tietosuojaohjeistuksia. Esimies vastaa tietoturvallisuuden ja tietosuojan toteutumisesta alaisessaan toiminnassa. Tiedon ja tietojärjestelmien käyttäjä vastaa omalta osaltaan määräysten ja ohjeiden noudattamisesta. Jokaisen käyttäjän vastuulla on lisäksi tietoturvaan ja tietosuojaan liittyvien poikkeamien, uhkien ja riskien ilmoittaminen viipymättä joko esimiehelle tai tietotekniikan palvelupisteeseen. Tiedon, tietojärjestelmän tai palvelun omistaja vastaa omistukseensa liittyvästä: Käyttäjien ja käyttöoikeuksien määrittelystä ja hyväksynnästä Riskienhallinnan toteuttamisesta Tiedon eheyden varmistamisesta Tietojen luokittelusta (julkisuuden ja salassapidon määrittely sekä arkistonmuodostus). Tietoturvapäällikkö vastaa tietoturvallisuuden toteutumisesta ja integroitumisesta muihin kokonaisturvallisuuden osa-alueisiin. Vastuuseen sisältyy tarvittava suunnittelu, ohjaus, seuranta ja kehittäminen, sekä tietoturvariskien ja -poikkeamien hallinnan koordinointi. Tietoturvapäällikkö raportoi kunnanjohtajalle sekä kunnanjohtajan asettamalle ryhmälle. 6/8

Tietohallinto vastaa tietoturvallisuuden ja teknisen valvonnan toteutumisesta tietojärjestelmäympäristössä, lain sallimin ja yhteistoimintamenettelyn valtuuttamin menetelmin. Tietosuojavastaava ja tietoturvavastaava huolehtivat toimialajohdon alaisuudessa tietosuojan ja tietoturvan toteutumisesta. He raportoivat toimialajohdon lisäksi tietoturvapäällikölle. 5 Tiedon ja tietojärjestelmien käyttö Kunnan käytössä oleva tieto sekä tietojärjestelmät on tarkoitettu työtehtävien hoitamista varten. Kunnan tietojärjestelmäympäristössä saa käyttää ainoastaan tietohallinnon hyväksymiä tietojärjestelmiä, laitteita ja ohjelmistoja. Asennustyön saa suorittaa vain tietohallinto tai sen valtuuttama taho. Kunnan toimintaa ja palveluita tukevat tietojärjestelmät tunnistetaan, luokitellaan kriittisyyden perusteella ja niille nimetään omistaja. Käyttöoikeudet kunnan tietoon ja tietojärjestelmiin myönnetään työtehtävien hoitoon tarvittavassa laajuudessa. Toteutuksesta riippuen käyttöoikeudet hyväksyy käyttäjän esimiehen hakemuksen perusteella tietojärjestelmän omistaja tai hänen valtuuttamansa taho. Laiminlyönteihin ja väärinkäytöksiin puututaan välittömästi kunnan normaalein kurinpidollisin keinoin tai lainsäädännön edellyttämällä tavalla. Tiedon turvalliset käsittelytavat ja tietoturvapoikkeamien hallinta kuvataan erillisissä ohjeissa. 6 Tietoturvaosaamisen ja -tietoisuuden ylläpito Jokainen uudessa tehtävässä aloittava työtekijä perehdytetään kunnan perehdytyskäytäntöjen mukaisesti tietoturvan perusteisiin ja tietoturvan toteuttamiseen hänen omissa työtehtävissään. Lisäksi tietoturvallisuuden peruskoulutusta on tarjolla säännöllisesti ja tietoturvaohjeet ovat kaikkien työntekijöiden saatavilla. Tietoturvallisuuden ja tietosuojan ylläpidosta, kehittämisestä ja johtamisesta vastaaville tarjotaan riittävä hallinnollinen ja tekninen koulutus. 7 Tietoturvallisuuden seuranta, ylläpito ja kehittäminen Kunnan tietoturvallisuustyö perustuu toiminnan, teknologian ja osaamisen jatkuvaan kehittämiseen seuraavassa prosessissa kuvattujen vaiheiden mukaisesti: 7/8

SUUNNITTELU-vaiheessa tuotetaan analyysien ja arvioiden perusteella tietoturvapolitiikkoja, -periaatteita ja -suunnitelmia. Tässä vaiheessa vaatimuksia asettavat mm. lainmukaisuus, riskienhallinnan tulokset, vaatimukset (asukkaat, asiakkaat, henkilökunta, sidosryhmät) ja toimintaolosuhteet. TOTEUTUS-vaiheessa edellisen vaiheen tuotokset otetaan käyttöön kunnan toiminnassa. SEURANTA-vaiheessa suoritetaan teknistä valvontaa ja hallinnollista seurantaa. MUUTOSHALLINTA-vaiheessa seurantavaiheen tuloksista opitun perusteella toteutetaan muutoshallintaa kunnan normaalin muutoshallintaprosessin mukaisesti. Kuva 2. Kunnan kokonaisturvallisuusprosessi Tämä tietoturvapolitiikka katselmoidaan vuosittain ja päivitetään tarvittaessa. 8 Liitteet LIITE 1: Käsitteet ja roolit LIITE 2: Lait, asetukset ja määräykset LIITE 3: Tietoturvallisuuden perustason toteuttaminen (Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa) 8/8

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute