VAASAN KAUPUNKI TIETOTURVAPOLITIIKKA Ohjausryhmän mukaisesti 04.05.2005 Tietohallinnon johtoryhmän hyväksymä 21.06.2005 Kaupunginhallituksen hyväksymä 22.8.2005 Tiedotettu kaupunginvaltuustolle 5.9.2005
1. Johdanto... 3 2. Visio... 3 3. Tietoturvan merkitys... 3 4. Organisaatio ja vastuut... 4 4.1. Johdanto... 4 4.2. Luottamushenkilöt... 4 4.3. Vaasan johto... 4 4.4. Yksiköt, johtajat ja esimiehet... 4 4.5. Prosessin ja tiedon omistajuus... 4 4.6. Henkilöstö ja henkilöstöjohtaminen... 5 4.7. Tietohallinnon johtoryhmä ja tietoturvapäällikkö... 5 4.8. Tietopalveluyksikkö... 5 4.9. Atk-osasto... 5 4.10. Yhteistyö kolmansien osapuolten kanssa... 6 4.11. Laatuasiat... 6 4.12. Tarkastustoimi... 6 5. Tietoturvan osa-alueet... 6 5.1. Johdanto... 6 5.2. Tietoturvan ohjeistaminen... 6 5.3. Organisaatio... 7 5.4. Tietoaineiston luokittelu- ja käsittelyperiaatteet... 7 5.5. Henkilöstöturvallisuus... 7 5.6. Fyysinen ja ympäristön turvallisuus... 7 5.7. Tietoliikenne ja hallinta... 7 5.8. Pääsynvalvonta... 7 5.9. Järjestelmät ja hallinta... 7 6. Jatkuvuus ja kehittyminen... 7 7. Kontrollit... 7
1. Johdanto Tässä dokumentissa esitetään Vaasan kaupungin tietoturvatoiminnan perusrakenteet. Tietoturvapolitiikka on kaupunginhallituksen hyväksymä. Tietoturvapolitiikan periaatteita tulee soveltaa Vaasan kaupungin hallinnossa ja konserniyhtiöissä ja kaupungin vaikutuspiirissä olevissa sidosryhmissä. Tietoturvapolitiikka muodostaa pohjan muulle tietoturvaohjeistukselle, jota tuotetaan ja julkaistaan tarpeen ja kohderyhmän mukaisesti. Tämän dokumentin omistajan nimeää Vaasan kaupungin tietohallinnon johtoryhmä, jonka vastuulla on myös Vaasan kaupungin tietoturvaohjeistusten hyväksyttäminen ja ajantasaisuus. Tietohallinnon johtoryhmä vastaa hyväksyttyjen ja vahvistettujen ohjeistusten liitättämisestä Vaasan kaupungin laatujärjestelmiin, milloin tämä on mahdollista ja tarkoituksenmukaista. Tietoturvaohjeistuksissa kuvatuista käytännöistä tinkiminen edellyttää aina erillistä hyväksyntää tietohallinnon johtoryhmältä. Milloin poikkeama vaatisi yhteisten linjausten muuttamista, asia viedään päätettäväksi Vaasan kaupunginhallituksen yleisjaostolle. 2. Visio Tietoturva tukee osaltaan yksilön oikeudenmukaista ja tasa-arvoista kohtelua sekä ohjaa ja tehostaa palvelujen taloudellista hallintaa. Tietoturvan tulee tukea Vaasan kaupunkia sen järjestäessä laadukkaita palveluja kuntalaisille. 3. Tietoturvan merkitys Tieto kaikissa olomuodoissa, yhtä lailla esimerkiksi paperimuotoisena kuin tietoteknisenä, on keskeinen resurssi kaupungin toiminnassa. Tämän vuoksi tietoturva tukee Vaasan kaupungin arvojen ja tavoitteiden mukaista toiminnan kehittämistä ja tehostamista. Tietoturvatoiminta varmentaa ja kehittää seuraavia arvoja: - Käytettävyys tieto on kulloisenkin tarvitsijan saatavilla. - Eheys tieto on väärentymätöntä, luotettavaa ja yhdenmukaista. - Luottamuksellisuus julkinen on aina avointa, luottamuksellinen pysyy suljettuna. - Todennus tiedon hyödyntäjä on tunnettu, todennettu ja valtuutettu. - Kiistämättömyys mitä näytti tapahtuvan, näin tapahtui ja on todistettavissa. Tietoturvatoiminnalla tarkoitetaan kaikkea toimintaa, yhtä lailla esimerkiksi koulutusta kuin tietoteknisten turvajärjestelmien hyödyntämistä, mikä osaltaan varmentaa ja kehittää edellä mainittuja arvoja. Tietoturvatoiminta on osa riskienhallintaa ja se on nähtävä kaikkia koskevana ohjausrakenteena. Tietoturvan kehittäminen Vaasan kaupungissa mahdollistaa jouhevan, tehokkaan ja luotettavan toiminnan. Tietoturvan tulee olla kaikkien mittarien mukaisesti tarkoituksenmukaista, ja koko organisaation on sitouduttava myös tietoturvan jatkuvaan kehittämiseen.
Mikäli tietoturva ei ole asianmukaisella tasolla, se voi aiheuttaa Vaasan kaupungin toiminnan ja palvelujen laadun heikentymistä, päätöksenteon epätarkkuutta ja toiminnan tehottomuutta. Täten tietoturvan puutteet aiheuttavat välittömiä ja välillisiä menetyksiä, joista vähäisin ei olisi mahdollinen negatiivinen julkisuus. 4. Organisaatio ja vastuut 4.1. Johdanto Vaasan kaupungin tietoturva on koko henkilöstön ja sidosryhmien yhteinen asia. Tietoturvan tavoitteiden asettamisesta vastaa Vaasan kaupungin ylin johto. Tietoturvan käytännön toteutumisesta vastaa Vaasan kaupungin hallinnollinen linjaorganisaatio, joten kaikki henkilöt vastaavat tietoturvasta oman toimenkuvansa puitteissa. Operatiivinen vastuu tietoturvan yleisestä kehittämisen ohjaamisesta kuuluu Vaasan kaupungin tietohallinnon johtoryhmälle ja sen nimeämälle tietoturvapäällikölle. 4.2. Luottamushenkilöt Luottamushenkilöt ovat vastuussa tietoturvasta niiltä osin kuin se suoraan tai välillisesti liittyy heidän toimintaansa tai heidän edustamiensa yhteisöjen toimintaan. Luottamushenkilöt vastaavat omalla toiminnallaan ja päätöksillään Vaasan tietoturvan toteutumisesta. Heidän on ymmärrettävä tietoturvan merkitys päätöksentekoa ja resurssointia ohjaavana kriteerinä ja edustamansa yhteisön toimintaan vaikuttavana arvona. 4.3. Vaasan johto Tietoturvasta vastaa aina Vaasan kaupungin johto organisaatiorakenteiden ja erikseen myönnettyjen ja vahvistettujen valtuuksien ja vastuiden (esimerkkinä prosessien omistajat) mukaisesti. 4.4. Yksiköt, johtajat ja esimiehet Johtajat vastaavat siitä, että heidän yksikkönsä täyttää Vaasan kaupungin yleiset ja yhteiset tietoturvaperiaatteet ja että yksiköllä on sen oman toiminnan erityisvaatimukset huomioiden tarkennetut tietoturvatavoitteet ja ohjeistukset. Yleisen valvontavelvoitteen mukaisesti johtajat vastaavat myös siitä, että käytettävissä olevat resurssit kohdistetaan myös tietoturvan osalta tarkoituksenmukaisimmalla mahdollisella tavalla. Johtajien edellytetään ymmärtävän tietoturvan merkitys johtamissaan toiminnoissa ja niiden kehittämisessä. Johtajien ja esimiesten tietoturvatyötä tukee tietohallinnon johtoryhmä ohjaajana ja valvojana sekä atk-osasto osaamiskeskittymänä. Esimiehet vastaavat siitä, että heidän alaisensa ovat tietoturvatietoisia ja -osaavia. Esimiehet hyväksyvät osaltaan kaikki alaisten tietoturvaoikeudet ja muutokset näissä oikeuksissa, vastaavasti kuin yleisestikin alaistensa työssään tarvitsemat resurssit. Esimiehet ohjaavat ja valvovat tietoturvaa osana yleistä ohjaus- ja valvontavelvollisuuttaan. 4.5. Prosessin ja tiedon omistajuus Vaasan kaupunki kehittää toimintaansa prosessijohtamisen kautta. Tätä yleistä kehittämistavoitetta tuetaan tietoturvarakenteilla siten, että jokaiselle Vaasan kaupungin prosessille nimetään omistaja, joka viime kädessä vastaa siitä, että tietoturvan vaatimustaso on mietitty ja asetettu prosessin optimoinnin kannalta oikein.
Prosessin omistajan on kyettävä määrittämään, mitä tietoa ja miten prosessissa hyödynnetään. Tämä luokittelu on kaiken toiminnallisen priorisoinnin ja kehittämisen kulmakivi. Jokaisella tiedolla, tietojärjestelmällä ja tietoliikenneyhteydellä on oltava nimetty omistaja. Omistaja vastaa seuraavista tietoturvamäärityksistä, milloin näitä ei ole jo määrätty ja vahvistettu muiden hallintorakenteiden toimesta tai esimerkiksi osana erillistä palvelutasosopimusta. - Tietoturvan tavoitetason määrittäminen ja hyväksyminen. - Tietoturvainvestointien tason määrittäminen ja hyväksyminen. - Oikeuksien asettaminen ja hyväksyminen. - Vastuiden nimeäminen, delegointi. - Kaiken edellisen kuvaaminen. Omistajuuden käsite ja merkitys, omistajuuteen liittyvät vastuut ja velvollisuudet ja tiedon luokittelu- ja käsittelyperiaatteet ohjaavat oleellisesti jokapäiväistä toimintaa. Tämän vuoksi kaikkien näiden rakenteiden kehittämiseen kiinnitetään jatkuvasti huomioita. 4.6. Henkilöstö ja henkilöstöjohtaminen Vaasan kaupungin henkilöstön tulee ymmärtää tietoturvan merkitys yksilöä, työyhteisöä, sidosryhmiä ja henkilöä itseään palvelevana laaturakenteena. Henkilöstön on kaikessa toiminnassaan noudatettava Vaasan kaupungin yleisiä ja yhteisiä sekä kunkin prosessin / yksikön / ryhmän jne asettamia erityisiä tietoturvaohjeita. Henkilöstö on saatettava tietoiseksi näistä vaatimuksista ja osaaviksi täyttämään ne. 4.7. Tietohallinnon johtoryhmä ja tietoturvapäällikkö Ylintä ohjausvaltaa Vaasan kaupungin tietohallinnon ja tietoturvan kehittämisessä käyttää tietohallinnon johtoryhmä. Sen tehtävänä on varmistaa, että tiedonhallintaa kehitetään kokonaisvaltaisesti, ammattimaisesti ja yleisesti hyviksi todettuja käytäntöjä noudattaen. Tietohallinnon johtoryhmä ohjaa tiedonhallinnan laatua, tehokkuutta ja turvallisuutta. Se vastaanottaa säännöllisesti tiedot jokaisen yksikön tietohallinnon tilannekuvasta ja ohjaa tämän tilannekuvan perusteella kaikkia yksiköitä ja näiden tietoturvaan vaikuttavia päätöksiä. Tietohallinnon johtoryhmä ohjaa, ohjeistaa ja valvoo tietoturvan kehittämistä. Tietohallinnon johtoryhmän esityksestä nimetään tietoturvapäällikkö. Tietoturvapäällikkö keskittyy tiedonhallinnan tietoturvakysymyksiin ja vastaa täten asemansa antamien mahdollisuuksien mukaisesti siitä, että tietohallinnon johtoryhmän tehtävä tulee täytettyä ja Vaasan kaupungin tietoturva kehittyy sen strategiaa ja toimintaa tukevalla tavalla. 4.8. Tietopalveluyksikkö Vaasan kaupungin tiedon hallinnasta (asianhallinta) vastaa tietopalveluyksikkö, jonka linjauksissa tiedon elinkaaren hallinnasta (esimerkkinä arkistonmuodostamissuunnitelma) on huomioitu myös tietoturvavaatimukset ja tietosuojakysymykset. Myös sähköisen asioinnin koordinointi- ja kehittämisvastuu on tietopalveluyksiköllä. 4.9. Atk-osasto Atk-osaston johtaja ja atk-osasto vastaavat tietoteknisen tietoturvan seurannasta, valvonnasta, ohjaamisesta ja kehittämisestä myönnettyjen resurssien ja asetettujen vaatimusten mukaisesti. Atk-osasto raportoi tekemisistään ja saavutuksistaan tietohallinnon johtoryhmälle. Atk-osasto toimii kaikkia yksiköitä ja prosesseja palvelevana osaajana ja tietoturvan ohjaajana. Tämän vuoksi atk-osastossa on oltava kattava ja jäsennelty kokonaisosaaminen tietoturvasta.
Atk-osasto toteuttaa omat tehtävänsä siten, että ne täyttävät tinkimättä kaikki Vaasan kaupungin yleiset ja tilannekohtaisesti asetetut erityiset tietoturvatavoitteet. Atk-osasto hyödyntää omassa työssään yleisesti hyväksyttyjä kehittämismalleja, minkä vuoksi sen toiminta on yhteismitallisesti valvottavissa. Atk-osasto tarkastuttaa toimintansa säännöllisesti itseensä nähden riippumattomilla tahoilla. 4.10. Yhteistyö kolmansien osapuolten kanssa Kolmansien osapuolten kanssa pyritään aina noudattamaan Vaasan kaupungin virallistamia ja ohjeistamia tietoturvavaatimuksia ja tietoturvakäytäntöjä. Milloin yhteistyössä ei kaupallisten, juridisten tai muiden syiden vuoksi voida täsmällisesti noudattaa edellä mainittuja käytäntöjä, on menettelytavat ja vastuut kirjattava yksiselitteisesti. Nämä menettelyt on erikseen hyväksytettävä kaikkien osapuolten välillä ja niihin tulee hankkia hyväksyntä tietoturvapäälliköltä. 4.11. Laatuasiat Vaasan kaupunki näkee tietoturvan yhtenä prosessien kontrollirakenteena ja siten osana nykyisiä ja tulevia laatujärjestelmiä. Vaasan kaupungin tietoturva pyritään aina ohjeistamaan siten, että käytännöt voidaan kirjoittaa osaksi laatukuvauksia. Jotta tähän tavoitteeseen päästäisiin, on laatuvastaavilla oltava yhteys tietohallinnon johtoryhmään, ja tietoturvapäällikön on tehtävä tiivistä yhteistyötä laatuvastaavien kanssa. Laatuvastaavat vastaavat oman alansa dokumentaation virallisesta ajantasaisuudesta ja niiden yhteensopivuudesta ja linkittämisestä Vaasan kaupungin toiminnan, laadun ja tietoturvan kuvauksiin. 4.12. Tarkastustoimi Vaasan kaupunki näkee tietoturvan osana hyvää hallintotapaa. Tämän vuoksi sitä arvioidaan ja seurataan osana kaupungin talouden ja hallinnon tarkastustoimintaa. Sekä keskushallinto että yksiköt velvoitetaan ja oikeutetaan suorittamaan ja suorituttamaan myös tietoturvan erityistarkastuksia tarpeen ja tilanteen mukaisesti. 5. Tietoturvan osa-alueet 5.1. Johdanto Vaasan kaupunki kehittää tietoturvaansa yleisesti hyväksyttyjä malleja, suosituksia ja periaatteita noudattaen. Esimerkkejä hyödynnettävistä malleista ovat VAHTI-ryhmän suositukset, ISO17799, ITIL, COBIT ja ISF. Käytäntöjen hyödyntäminen varmistaa myös hallinnon läpinäkyvyyden. Tässä luvussa esitetään Vaasan kaupungin tietoturvan kehittämisen perustavoitteet johtamisen näkökulmasta. Luvun jäsentely perustuu standardiin ISO17799. 5.2. Tietoturvan ohjeistaminen Vaasan kaupungin tietoturvaohjeistus muodostuu hierarkisista dokumenteista, jotka liitetään mahdollisimman yhteismitallisesti osaksi prosessien kuvauksia ja mahdollisia laatujärjestelmiä. Ylimmän tason dokumenteissa kuvataan johdon tahtotila, operatiivissa dokumenteissa toteutustavat, ohjaavissa dokumenteissa toimintaa erityistilanteissa ja loppukäyttäjän dokumenteissa jokapäiväistä toimintaa omassa työympäristössä.
5.3. Organisaatio Vaasan kaupunki ja kaikki sen yksiköt määrittävät tietoturvan vastuut kiistattomasti korostaen tavoitteiden asettamisessa oman yksikön erityispiirteitä, tavoitteiden täyttämisessä prosessiajattelua ja operatiivisessa toteutuksessa linjaorganisaatiota. 5.4. Tietoaineiston luokittelu- ja käsittelyperiaatteet Vaasan kaupungin tietoaineisto on luokiteltu ja sitä käsitellään vastaavan ohjeistuksen mukaisesti. Omistajuutta ja omistajan vastuuta korostetaan osana johtamista. 5.5. Henkilöstöturvallisuus Henkilöstöturvallisuutta ohjataan ja kehitetään henkilöstöjohtamisen keinoin. Tietoturva huomioidaan kiinteänä osana työ- tai toimeksiantosuhdetta. Tietoturvavaatimukset sisältyvät toimenkuvaan, ne huomioidaan jo rekrytoinnissa ja niihin kiinnitetään huomiota työsuhteen päättymiseen saakka. Soveltuvasti ja tarpeen mukaisesti myös työsuhteen päättymisen jälkeen. 5.6. Fyysinen ja ympäristön turvallisuus Vaasan kaupungin muuta toimintaympäristöä kehitetään siten, että turvallisuuden ja tietoturvallisuuden vaatimukset huomioidaan osana tilasuunnittelua. Tietotekniikkaa sisältävät tilat on suojattava ja varustettava valvonnalla siten, että estetään tarkoituksenmukaisella tasolla tietoteknisten resurssien väärinkäyttö. 5.7. Tietoliikenne ja hallinta Tietoliikenneratkaisuja ja tietoliikenteen hallintaa kehitetään yleisesti hyväksyttyjen rakenteiden mukaisesti, hyödyntäen erityisesti hyvää hallintotapaa korostavia malleja kuten ISF, ITIL ja COBIT. Tietoliikenteen turvallisuustasot pyritään liittämään osaksi palvelutasomäärityksiä. 5.8. Pääsynvalvonta Jokainen pääsy ja valtuutus Vaasan kaupungin hallinnoimiin tietojärjestelmiin perustuu erikseen vahvistettuun anomus- ja myöntöprosessiin 5.9. Järjestelmät ja hallinta Järjestelmiä ja niiden hallintaa kehitetään yleisesti hyväksyttyjen rakenteiden mukaisesti, hyödyntäen erityisesti hyvää hallintotapaa korostavia malleja kuten ISF, ITIL ja COBIT. Järjestelmien turvallisuustasot pyritään liittämään osaksi palvelutasomäärityksiä. 6. Jatkuvuus ja kehittyminen Toimintojen jatkuvuus ja kehittyminen on Vaasan kaupungille keskeinen tavoite ja periaate. Vaasan kaupungilla ja kaikilla yksiköillä tulee olla ajantasainen jatkuvuussuunnitelma, joka perustuu tiedon elinkaaren hallintaan ja toiminnalliseen priorisointiin. 7. Kontrollit Koska tietoturvan kehittäminen integroidaan osaksi toiminnan yleistä kehittämistä ja laatujärjestelmiä, sitä mitataan ja arvotetaan säännöllisesti osana johtamista ja tarkastustoimintaa.