VAASAN KAUPUNKI TIETOTURVAPOLITIIKKA



Samankaltaiset tiedostot
Tietoturvapolitiikka

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Espoon kaupunkikonsernin tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka

Sovelto Oyj JULKINEN

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvapolitiikka

Lapin yliopiston tietoturvapolitiikka

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

TIETOTURVAPOLITIIKKA

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

TIETOTURVAPOLITIIKKA

Laatua ja tehoa toimintaan

Keski-Pohjanmaan erikoissairaanhoito- ja peruspalvelukuntayhtymän sisäisen valvonnan ja riskienhallinnan perusteet

Yhtymähallitus Yhtymävaltuusto Siun sote - kuntayhtymän sisäisen valvonnan ja riskienhallinnan perusteet

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Uudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

SISÄLTÖ. 1 RISKIENHALLINTA Yleistä Riskienhallinta Riskienhallinnan tehtävät ja vastuut Riskienarviointi...

Lausunto Ohjausvaikutusten parantamiseksi julkisen hallinnon yhteisten arkkitehtuurilinjausten laatukriteerejä ovat mm:

Karkkilan kaupungin tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka

Eläketurvakeskuksen tietosuojapolitiikka

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Tietoturvapolitiikka

SISÄISEN VALVONNAN PERUSTEET

TIETOTURVA- POLITIIKKA

Sosiaali- ja terveydenhuollon tiedonhallinnan alueellista kehittämistä ohjaava viitearkkitehtuuri Kuntajohtajakokous

Sisäisen valvonnan ja Riskienhallinnan perusteet

Tietoturvapolitiikka NAANTALIN KAUPUNKI

KEMIJÄRVEN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Loviisan kaupungin keskusten ja vastuualueiden riskienhallinnan ja valvonnan arviointikehikko (luonnos)

Sisäisen valvonnan ja riskienhallinnan perusteet Hyväksytty: kaupunginvaltuusto xx.xx.2014 xx

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Tietoturvapolitiikka. Hattulan kunta

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Turun kaupungin tietohallintostrategia Tiivistelmä

Ammattikorkeakoulu 108 Liite 1

Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet

VAASAN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Vaasan kaupunginvaltuuston hyväksymät

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Sisäinen tarkastus, sisäinen valvonta ja riskienhallinta. Valtuustoseminaari

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Sisäisen valvonnan ja riskienhallinnan perusteet

Kankaanpään kaupunki SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Tietoturvapolitiikka

Kuntasektorin asianhallinnan viitearkkitehtuuri 1.0. Kuntamarkkinat Tuula Seppo, erityisasiantuntija

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Kaupunginhallitus Liite Tulevaisuuden kunta - Mikkelin ratkaisut

Vapaaehtoistoiminnan linjaus

JHS 179 ICT-palvelujen kehittäminen: Kokonaisarkkitehtuurimenetelmä

1 Tietosuojapolitiikka

Espoon kaupunki Tietoturvapolitiikka

Tietoturva ja viestintä

Seinäjoen ammattikorkeakoulun työsuojelu- ja turvallisuusorganisaatio. SeAMKin johtoryhmän hyväksymä

Tietoturvallisuuden johtaminen

T Henkilöturvallisuus ja fyysinen turvallisuus, k-04

Sisäinen valvonta ja riskienhallinta. Luottamushenkilöiden perehdytystilaisuus

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Tietoturvavastuut Tampereen yliopistossa

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Tietoturva- ja tietosuojapolitiikka

Lapuan kaupunki. Henkilöstöstrategia 2015

Julkisen hallinnon kokonaisarkkitehtuurijaoston työsuunnitelma 2014

Kuntakonsernin riskienhallinnan arviointi - kommenttipuheenvuoro Tampere Talo, Tilintarkastuksen ja arvioinnin symposium

SFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen

Nolla tapaturmaa Kulmakivet (luonnos) Tilannekatsaus Etera Ahti Niskanen

Väliaikaishallinnon tiedonohjaussuunnitelma ja tehtäväluokitus projekti

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Sisäisen valvonnan ja riskienhallinnan perusteet

SASKIN HENKILÖSTÖSTRATEGIA Tausta

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Riskit hallintaan ISO 31000

Miten suunnittelu- ja kehitystyötä toteutetaan arkkitehtuurilähtöisesti

Liite/Kvalt , 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Isonkyrön kunta

Sisäisen valvonnan ohje

Kaarinan kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan periaatteet. Luonnos 0 (6)

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat. Diplomityöesitelmä Juha Kalander

LOVIISAN KAUPUNGIN KONSERNIOHJEET. Hyväksytty kaupunginvaltuuston kokouksessa.. 1. Konserniohjeen tarkoitus ja soveltamisala

TIETOTURVAN KEHITTÄMISHANKE LOPPURAPORTTI LUOVUTETTU YLIOPISTON LAADUNKEHITTÄMISRYHMÄLLE JYVÄSKYLÄN YLIOPISTO

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

OMAVALVONTA ISO 9001 ISO / FSSC ISO OHSAS SATAFOOD KEHITTÄMISYHDISTYS RY Marika Kilpivuori

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Tietoturvapolitiikka

Transkriptio:

VAASAN KAUPUNKI TIETOTURVAPOLITIIKKA Ohjausryhmän mukaisesti 04.05.2005 Tietohallinnon johtoryhmän hyväksymä 21.06.2005 Kaupunginhallituksen hyväksymä 22.8.2005 Tiedotettu kaupunginvaltuustolle 5.9.2005

1. Johdanto... 3 2. Visio... 3 3. Tietoturvan merkitys... 3 4. Organisaatio ja vastuut... 4 4.1. Johdanto... 4 4.2. Luottamushenkilöt... 4 4.3. Vaasan johto... 4 4.4. Yksiköt, johtajat ja esimiehet... 4 4.5. Prosessin ja tiedon omistajuus... 4 4.6. Henkilöstö ja henkilöstöjohtaminen... 5 4.7. Tietohallinnon johtoryhmä ja tietoturvapäällikkö... 5 4.8. Tietopalveluyksikkö... 5 4.9. Atk-osasto... 5 4.10. Yhteistyö kolmansien osapuolten kanssa... 6 4.11. Laatuasiat... 6 4.12. Tarkastustoimi... 6 5. Tietoturvan osa-alueet... 6 5.1. Johdanto... 6 5.2. Tietoturvan ohjeistaminen... 6 5.3. Organisaatio... 7 5.4. Tietoaineiston luokittelu- ja käsittelyperiaatteet... 7 5.5. Henkilöstöturvallisuus... 7 5.6. Fyysinen ja ympäristön turvallisuus... 7 5.7. Tietoliikenne ja hallinta... 7 5.8. Pääsynvalvonta... 7 5.9. Järjestelmät ja hallinta... 7 6. Jatkuvuus ja kehittyminen... 7 7. Kontrollit... 7

1. Johdanto Tässä dokumentissa esitetään Vaasan kaupungin tietoturvatoiminnan perusrakenteet. Tietoturvapolitiikka on kaupunginhallituksen hyväksymä. Tietoturvapolitiikan periaatteita tulee soveltaa Vaasan kaupungin hallinnossa ja konserniyhtiöissä ja kaupungin vaikutuspiirissä olevissa sidosryhmissä. Tietoturvapolitiikka muodostaa pohjan muulle tietoturvaohjeistukselle, jota tuotetaan ja julkaistaan tarpeen ja kohderyhmän mukaisesti. Tämän dokumentin omistajan nimeää Vaasan kaupungin tietohallinnon johtoryhmä, jonka vastuulla on myös Vaasan kaupungin tietoturvaohjeistusten hyväksyttäminen ja ajantasaisuus. Tietohallinnon johtoryhmä vastaa hyväksyttyjen ja vahvistettujen ohjeistusten liitättämisestä Vaasan kaupungin laatujärjestelmiin, milloin tämä on mahdollista ja tarkoituksenmukaista. Tietoturvaohjeistuksissa kuvatuista käytännöistä tinkiminen edellyttää aina erillistä hyväksyntää tietohallinnon johtoryhmältä. Milloin poikkeama vaatisi yhteisten linjausten muuttamista, asia viedään päätettäväksi Vaasan kaupunginhallituksen yleisjaostolle. 2. Visio Tietoturva tukee osaltaan yksilön oikeudenmukaista ja tasa-arvoista kohtelua sekä ohjaa ja tehostaa palvelujen taloudellista hallintaa. Tietoturvan tulee tukea Vaasan kaupunkia sen järjestäessä laadukkaita palveluja kuntalaisille. 3. Tietoturvan merkitys Tieto kaikissa olomuodoissa, yhtä lailla esimerkiksi paperimuotoisena kuin tietoteknisenä, on keskeinen resurssi kaupungin toiminnassa. Tämän vuoksi tietoturva tukee Vaasan kaupungin arvojen ja tavoitteiden mukaista toiminnan kehittämistä ja tehostamista. Tietoturvatoiminta varmentaa ja kehittää seuraavia arvoja: - Käytettävyys tieto on kulloisenkin tarvitsijan saatavilla. - Eheys tieto on väärentymätöntä, luotettavaa ja yhdenmukaista. - Luottamuksellisuus julkinen on aina avointa, luottamuksellinen pysyy suljettuna. - Todennus tiedon hyödyntäjä on tunnettu, todennettu ja valtuutettu. - Kiistämättömyys mitä näytti tapahtuvan, näin tapahtui ja on todistettavissa. Tietoturvatoiminnalla tarkoitetaan kaikkea toimintaa, yhtä lailla esimerkiksi koulutusta kuin tietoteknisten turvajärjestelmien hyödyntämistä, mikä osaltaan varmentaa ja kehittää edellä mainittuja arvoja. Tietoturvatoiminta on osa riskienhallintaa ja se on nähtävä kaikkia koskevana ohjausrakenteena. Tietoturvan kehittäminen Vaasan kaupungissa mahdollistaa jouhevan, tehokkaan ja luotettavan toiminnan. Tietoturvan tulee olla kaikkien mittarien mukaisesti tarkoituksenmukaista, ja koko organisaation on sitouduttava myös tietoturvan jatkuvaan kehittämiseen.

Mikäli tietoturva ei ole asianmukaisella tasolla, se voi aiheuttaa Vaasan kaupungin toiminnan ja palvelujen laadun heikentymistä, päätöksenteon epätarkkuutta ja toiminnan tehottomuutta. Täten tietoturvan puutteet aiheuttavat välittömiä ja välillisiä menetyksiä, joista vähäisin ei olisi mahdollinen negatiivinen julkisuus. 4. Organisaatio ja vastuut 4.1. Johdanto Vaasan kaupungin tietoturva on koko henkilöstön ja sidosryhmien yhteinen asia. Tietoturvan tavoitteiden asettamisesta vastaa Vaasan kaupungin ylin johto. Tietoturvan käytännön toteutumisesta vastaa Vaasan kaupungin hallinnollinen linjaorganisaatio, joten kaikki henkilöt vastaavat tietoturvasta oman toimenkuvansa puitteissa. Operatiivinen vastuu tietoturvan yleisestä kehittämisen ohjaamisesta kuuluu Vaasan kaupungin tietohallinnon johtoryhmälle ja sen nimeämälle tietoturvapäällikölle. 4.2. Luottamushenkilöt Luottamushenkilöt ovat vastuussa tietoturvasta niiltä osin kuin se suoraan tai välillisesti liittyy heidän toimintaansa tai heidän edustamiensa yhteisöjen toimintaan. Luottamushenkilöt vastaavat omalla toiminnallaan ja päätöksillään Vaasan tietoturvan toteutumisesta. Heidän on ymmärrettävä tietoturvan merkitys päätöksentekoa ja resurssointia ohjaavana kriteerinä ja edustamansa yhteisön toimintaan vaikuttavana arvona. 4.3. Vaasan johto Tietoturvasta vastaa aina Vaasan kaupungin johto organisaatiorakenteiden ja erikseen myönnettyjen ja vahvistettujen valtuuksien ja vastuiden (esimerkkinä prosessien omistajat) mukaisesti. 4.4. Yksiköt, johtajat ja esimiehet Johtajat vastaavat siitä, että heidän yksikkönsä täyttää Vaasan kaupungin yleiset ja yhteiset tietoturvaperiaatteet ja että yksiköllä on sen oman toiminnan erityisvaatimukset huomioiden tarkennetut tietoturvatavoitteet ja ohjeistukset. Yleisen valvontavelvoitteen mukaisesti johtajat vastaavat myös siitä, että käytettävissä olevat resurssit kohdistetaan myös tietoturvan osalta tarkoituksenmukaisimmalla mahdollisella tavalla. Johtajien edellytetään ymmärtävän tietoturvan merkitys johtamissaan toiminnoissa ja niiden kehittämisessä. Johtajien ja esimiesten tietoturvatyötä tukee tietohallinnon johtoryhmä ohjaajana ja valvojana sekä atk-osasto osaamiskeskittymänä. Esimiehet vastaavat siitä, että heidän alaisensa ovat tietoturvatietoisia ja -osaavia. Esimiehet hyväksyvät osaltaan kaikki alaisten tietoturvaoikeudet ja muutokset näissä oikeuksissa, vastaavasti kuin yleisestikin alaistensa työssään tarvitsemat resurssit. Esimiehet ohjaavat ja valvovat tietoturvaa osana yleistä ohjaus- ja valvontavelvollisuuttaan. 4.5. Prosessin ja tiedon omistajuus Vaasan kaupunki kehittää toimintaansa prosessijohtamisen kautta. Tätä yleistä kehittämistavoitetta tuetaan tietoturvarakenteilla siten, että jokaiselle Vaasan kaupungin prosessille nimetään omistaja, joka viime kädessä vastaa siitä, että tietoturvan vaatimustaso on mietitty ja asetettu prosessin optimoinnin kannalta oikein.

Prosessin omistajan on kyettävä määrittämään, mitä tietoa ja miten prosessissa hyödynnetään. Tämä luokittelu on kaiken toiminnallisen priorisoinnin ja kehittämisen kulmakivi. Jokaisella tiedolla, tietojärjestelmällä ja tietoliikenneyhteydellä on oltava nimetty omistaja. Omistaja vastaa seuraavista tietoturvamäärityksistä, milloin näitä ei ole jo määrätty ja vahvistettu muiden hallintorakenteiden toimesta tai esimerkiksi osana erillistä palvelutasosopimusta. - Tietoturvan tavoitetason määrittäminen ja hyväksyminen. - Tietoturvainvestointien tason määrittäminen ja hyväksyminen. - Oikeuksien asettaminen ja hyväksyminen. - Vastuiden nimeäminen, delegointi. - Kaiken edellisen kuvaaminen. Omistajuuden käsite ja merkitys, omistajuuteen liittyvät vastuut ja velvollisuudet ja tiedon luokittelu- ja käsittelyperiaatteet ohjaavat oleellisesti jokapäiväistä toimintaa. Tämän vuoksi kaikkien näiden rakenteiden kehittämiseen kiinnitetään jatkuvasti huomioita. 4.6. Henkilöstö ja henkilöstöjohtaminen Vaasan kaupungin henkilöstön tulee ymmärtää tietoturvan merkitys yksilöä, työyhteisöä, sidosryhmiä ja henkilöä itseään palvelevana laaturakenteena. Henkilöstön on kaikessa toiminnassaan noudatettava Vaasan kaupungin yleisiä ja yhteisiä sekä kunkin prosessin / yksikön / ryhmän jne asettamia erityisiä tietoturvaohjeita. Henkilöstö on saatettava tietoiseksi näistä vaatimuksista ja osaaviksi täyttämään ne. 4.7. Tietohallinnon johtoryhmä ja tietoturvapäällikkö Ylintä ohjausvaltaa Vaasan kaupungin tietohallinnon ja tietoturvan kehittämisessä käyttää tietohallinnon johtoryhmä. Sen tehtävänä on varmistaa, että tiedonhallintaa kehitetään kokonaisvaltaisesti, ammattimaisesti ja yleisesti hyviksi todettuja käytäntöjä noudattaen. Tietohallinnon johtoryhmä ohjaa tiedonhallinnan laatua, tehokkuutta ja turvallisuutta. Se vastaanottaa säännöllisesti tiedot jokaisen yksikön tietohallinnon tilannekuvasta ja ohjaa tämän tilannekuvan perusteella kaikkia yksiköitä ja näiden tietoturvaan vaikuttavia päätöksiä. Tietohallinnon johtoryhmä ohjaa, ohjeistaa ja valvoo tietoturvan kehittämistä. Tietohallinnon johtoryhmän esityksestä nimetään tietoturvapäällikkö. Tietoturvapäällikkö keskittyy tiedonhallinnan tietoturvakysymyksiin ja vastaa täten asemansa antamien mahdollisuuksien mukaisesti siitä, että tietohallinnon johtoryhmän tehtävä tulee täytettyä ja Vaasan kaupungin tietoturva kehittyy sen strategiaa ja toimintaa tukevalla tavalla. 4.8. Tietopalveluyksikkö Vaasan kaupungin tiedon hallinnasta (asianhallinta) vastaa tietopalveluyksikkö, jonka linjauksissa tiedon elinkaaren hallinnasta (esimerkkinä arkistonmuodostamissuunnitelma) on huomioitu myös tietoturvavaatimukset ja tietosuojakysymykset. Myös sähköisen asioinnin koordinointi- ja kehittämisvastuu on tietopalveluyksiköllä. 4.9. Atk-osasto Atk-osaston johtaja ja atk-osasto vastaavat tietoteknisen tietoturvan seurannasta, valvonnasta, ohjaamisesta ja kehittämisestä myönnettyjen resurssien ja asetettujen vaatimusten mukaisesti. Atk-osasto raportoi tekemisistään ja saavutuksistaan tietohallinnon johtoryhmälle. Atk-osasto toimii kaikkia yksiköitä ja prosesseja palvelevana osaajana ja tietoturvan ohjaajana. Tämän vuoksi atk-osastossa on oltava kattava ja jäsennelty kokonaisosaaminen tietoturvasta.

Atk-osasto toteuttaa omat tehtävänsä siten, että ne täyttävät tinkimättä kaikki Vaasan kaupungin yleiset ja tilannekohtaisesti asetetut erityiset tietoturvatavoitteet. Atk-osasto hyödyntää omassa työssään yleisesti hyväksyttyjä kehittämismalleja, minkä vuoksi sen toiminta on yhteismitallisesti valvottavissa. Atk-osasto tarkastuttaa toimintansa säännöllisesti itseensä nähden riippumattomilla tahoilla. 4.10. Yhteistyö kolmansien osapuolten kanssa Kolmansien osapuolten kanssa pyritään aina noudattamaan Vaasan kaupungin virallistamia ja ohjeistamia tietoturvavaatimuksia ja tietoturvakäytäntöjä. Milloin yhteistyössä ei kaupallisten, juridisten tai muiden syiden vuoksi voida täsmällisesti noudattaa edellä mainittuja käytäntöjä, on menettelytavat ja vastuut kirjattava yksiselitteisesti. Nämä menettelyt on erikseen hyväksytettävä kaikkien osapuolten välillä ja niihin tulee hankkia hyväksyntä tietoturvapäälliköltä. 4.11. Laatuasiat Vaasan kaupunki näkee tietoturvan yhtenä prosessien kontrollirakenteena ja siten osana nykyisiä ja tulevia laatujärjestelmiä. Vaasan kaupungin tietoturva pyritään aina ohjeistamaan siten, että käytännöt voidaan kirjoittaa osaksi laatukuvauksia. Jotta tähän tavoitteeseen päästäisiin, on laatuvastaavilla oltava yhteys tietohallinnon johtoryhmään, ja tietoturvapäällikön on tehtävä tiivistä yhteistyötä laatuvastaavien kanssa. Laatuvastaavat vastaavat oman alansa dokumentaation virallisesta ajantasaisuudesta ja niiden yhteensopivuudesta ja linkittämisestä Vaasan kaupungin toiminnan, laadun ja tietoturvan kuvauksiin. 4.12. Tarkastustoimi Vaasan kaupunki näkee tietoturvan osana hyvää hallintotapaa. Tämän vuoksi sitä arvioidaan ja seurataan osana kaupungin talouden ja hallinnon tarkastustoimintaa. Sekä keskushallinto että yksiköt velvoitetaan ja oikeutetaan suorittamaan ja suorituttamaan myös tietoturvan erityistarkastuksia tarpeen ja tilanteen mukaisesti. 5. Tietoturvan osa-alueet 5.1. Johdanto Vaasan kaupunki kehittää tietoturvaansa yleisesti hyväksyttyjä malleja, suosituksia ja periaatteita noudattaen. Esimerkkejä hyödynnettävistä malleista ovat VAHTI-ryhmän suositukset, ISO17799, ITIL, COBIT ja ISF. Käytäntöjen hyödyntäminen varmistaa myös hallinnon läpinäkyvyyden. Tässä luvussa esitetään Vaasan kaupungin tietoturvan kehittämisen perustavoitteet johtamisen näkökulmasta. Luvun jäsentely perustuu standardiin ISO17799. 5.2. Tietoturvan ohjeistaminen Vaasan kaupungin tietoturvaohjeistus muodostuu hierarkisista dokumenteista, jotka liitetään mahdollisimman yhteismitallisesti osaksi prosessien kuvauksia ja mahdollisia laatujärjestelmiä. Ylimmän tason dokumenteissa kuvataan johdon tahtotila, operatiivissa dokumenteissa toteutustavat, ohjaavissa dokumenteissa toimintaa erityistilanteissa ja loppukäyttäjän dokumenteissa jokapäiväistä toimintaa omassa työympäristössä.

5.3. Organisaatio Vaasan kaupunki ja kaikki sen yksiköt määrittävät tietoturvan vastuut kiistattomasti korostaen tavoitteiden asettamisessa oman yksikön erityispiirteitä, tavoitteiden täyttämisessä prosessiajattelua ja operatiivisessa toteutuksessa linjaorganisaatiota. 5.4. Tietoaineiston luokittelu- ja käsittelyperiaatteet Vaasan kaupungin tietoaineisto on luokiteltu ja sitä käsitellään vastaavan ohjeistuksen mukaisesti. Omistajuutta ja omistajan vastuuta korostetaan osana johtamista. 5.5. Henkilöstöturvallisuus Henkilöstöturvallisuutta ohjataan ja kehitetään henkilöstöjohtamisen keinoin. Tietoturva huomioidaan kiinteänä osana työ- tai toimeksiantosuhdetta. Tietoturvavaatimukset sisältyvät toimenkuvaan, ne huomioidaan jo rekrytoinnissa ja niihin kiinnitetään huomiota työsuhteen päättymiseen saakka. Soveltuvasti ja tarpeen mukaisesti myös työsuhteen päättymisen jälkeen. 5.6. Fyysinen ja ympäristön turvallisuus Vaasan kaupungin muuta toimintaympäristöä kehitetään siten, että turvallisuuden ja tietoturvallisuuden vaatimukset huomioidaan osana tilasuunnittelua. Tietotekniikkaa sisältävät tilat on suojattava ja varustettava valvonnalla siten, että estetään tarkoituksenmukaisella tasolla tietoteknisten resurssien väärinkäyttö. 5.7. Tietoliikenne ja hallinta Tietoliikenneratkaisuja ja tietoliikenteen hallintaa kehitetään yleisesti hyväksyttyjen rakenteiden mukaisesti, hyödyntäen erityisesti hyvää hallintotapaa korostavia malleja kuten ISF, ITIL ja COBIT. Tietoliikenteen turvallisuustasot pyritään liittämään osaksi palvelutasomäärityksiä. 5.8. Pääsynvalvonta Jokainen pääsy ja valtuutus Vaasan kaupungin hallinnoimiin tietojärjestelmiin perustuu erikseen vahvistettuun anomus- ja myöntöprosessiin 5.9. Järjestelmät ja hallinta Järjestelmiä ja niiden hallintaa kehitetään yleisesti hyväksyttyjen rakenteiden mukaisesti, hyödyntäen erityisesti hyvää hallintotapaa korostavia malleja kuten ISF, ITIL ja COBIT. Järjestelmien turvallisuustasot pyritään liittämään osaksi palvelutasomäärityksiä. 6. Jatkuvuus ja kehittyminen Toimintojen jatkuvuus ja kehittyminen on Vaasan kaupungille keskeinen tavoite ja periaate. Vaasan kaupungilla ja kaikilla yksiköillä tulee olla ajantasainen jatkuvuussuunnitelma, joka perustuu tiedon elinkaaren hallintaan ja toiminnalliseen priorisointiin. 7. Kontrollit Koska tietoturvan kehittäminen integroidaan osaksi toiminnan yleistä kehittämistä ja laatujärjestelmiä, sitä mitataan ja arvotetaan säännöllisesti osana johtamista ja tarkastustoimintaa.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute