Tietoturvan johtaminen ja vastuut

Samankaltaiset tiedostot
Vihdin kunnan tietoturvapolitiikka

TIETOTURVAA TOTEUTTAMASSA

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Tietoturvapolitiikka

Tietoturvapolitiikka Porvoon Kaupunki

Kuinka toimin erilaisissa häiriötilanteissa? Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Erja Kinnunen, Verohallinto 2.10.

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Jatkuvuuden varmistaminen

Lapinlahden kunnan tietoturvapolitiikka

Julkisen hallinnon digitaalisen turvallisuuden teemaviikko tiistai Sähköisen asioinnin tietoturvaseminaari

Utajärven kunta TIETOTURVAPOLITIIKKA

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

OULUN KAUPUNGIN TIETOTURVAPOLITIIKKA

TIETOTURVAPOLITIIKKA

Tietoturva- ja tietosuojapolitiikka

Tiedätkö, olet oman elämäsi riskienhallintapäällikkö! Miten sovellat riskienhallintaa omassa työssäsi? Pyry Heikkinen

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Digital by Default varautumisessa huomioitavaa

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Tiedonhallintalaki ja JUHTA:n rooli. JUHTA:n kokous Tommi Oikarinen / VM

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Miten tietoa voisi kysyä vain kerran?

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Tiedonhallintalaki ja JUHTA:n rooli. JUHTA:n kokous Tommi Oikarinen / VM

Karkkilan kaupungin tietoturvapolitiikka

Kooste riskienhallinnan valmistelusta

Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa

Aikamatka digitaaliseen tulevaisuuteen: olemmeko turvassa? Pekka Jykes &

Eläketurvakeskuksen tietosuojapolitiikka

Espoon kaupunki Pöytäkirja 96. Valtuusto Sivu 1 / Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

Tietoturvavastuut Tampereen yliopistossa

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Tiedonhallintalaki ja JUHTA:n rooli. JUHTA:n kokous Heikki Talkkari / VM

Pilvipalvelut ja henkilötiedot

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Tietoturvapolitiikka. Hattulan kunta

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Pilvipalveluiden arvioinnin haasteet

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Sovelto Oyj JULKINEN

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

Konsernirakenne. POPmaakunta

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Kokonaisarkkitehtuuri julkisessa hallinnossa 2016

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Kyberturvallisuus kiinteistöautomaatiossa

Tietoturva hallinnossa Jukka Kuoksa, Johtava vesitalousasiantuntija

Kuntien ICT tuki - suunnitelma - JUHTA Tommi Oikarinen

< Projekti > ICT ympäristön yleiskuvaus

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tiedonhallintalakiehdotus - vaikutukset Tommi Oikarinen / valtiovarainministeriö

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Espoon kaupunki Tietoturvapolitiikka

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

Laatua ja tehoa toimintaan

EU:N TIETOSUOJA-ASETUKSET WALMU

Asiakaspäivät 2018 Turvallisuus- ja riskienhallinta ohjelmalinjan avaus. Marko Ruotsala

Kymenlaakson Kyläportaali

ICT-valmistelun tilannekatsaus Juhani Heikka ICT-vastuuvalmistelija puh:

Espoon kaupunkikonsernin tietoturvapolitiikka

Aikamatka digitaaliseen tulevaisuuteen: olemmeko turvassa? Pekka Jykes &

Maakuntien ja kuntien kansallinen ja alueellinen yhteistyö. Maakuntien Sote ICT muutos isokuva. Selvityshenkilö Pekka Kantola 24.5.

Tietotilinpäätös tietosuojan dokumentoinnissa Parhaat käytännöt: tietotilinpäätösmalli

Tietosuoja- ja tietoturvapolitiikka

Lausunto Ohjausvaikutusten parantamiseksi julkisen hallinnon yhteisten arkkitehtuurilinjausten laatukriteerejä ovat mm:

Eduskunnan hallintovaliokunnan kannanotto tietohallintolain vaikutuksiin. JUHTA Sami Kivivasara

KUJA2: Kuntien ja maakuntien jatkuvuudenhallinta -projekti. Aki Pihlaja Projektipäällikkö

Tietosuojakysely 2019

Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana. Sami Laaksonen, Propentus Oy

VÄESTÖREKISTERIKESKUKSEN DIGITURVAPALVELUT. Kirsi Janhunen, johtava asiantuntija, VRK

Digi Office: tehtävät, toimintamalli ja resursointi

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Helsingin valmiussuunnitelma

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Sisäinen tarkastus, sisäinen valvonta ja riskienhallinta. Valtuustoseminaari

JUHTA-asiantuntijaryhmä tietoturva, tietosuoja, varautuminen Toteuma v. 2017, suunnitelma v. 2018

Tietoturvapolitiikka

Sairaanhoitopiirien ja suurten kaupunkien ajankohtaisia digitalisaatio- ja tietojärjestelmäkehittämishankkeita koskeva johtajatapaaminen 22.3.

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

OPETUS- JA KULTTUURIMINISTERIÖN TOIMIALAN TIETOHALLINNON YHTEISTYÖKOKOUS

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Tietohallintomallin soveltamisohje julkiselle hallinnolle. Säätytalo

Transkriptio:

Tietoturvan johtaminen ja vastuut 9.11.2016 Kari Nykänen, Oulun kaupunki, Aaro Hallikainen, Helsingin kaupunki VAHTI kuntien kyberturvallisuus alueseminaari Julkisen hallinnon ICT, Tieto- ja kyberturvallisuus

Kyberturvallisuus syntyy yhteistyöllä

Tietoturvakäyttäytyminen? Näin ollen hyväksytään normeja rikkova toiminta ja pidetään sitä oikeutettuna! Tietoturvakäyttäytyminen? Tunne Tieto Teko!

Kaupungin toimintaympäristö Kaupunkikonserni on merkittävä toimija nykypäivän tietoyhteiskunnassa - monitoimialakonsernin palvelut heijastuvat laajalle toiminnalliselle alueelle Tietoturva on merkittävä osa kokonaisvaltaista riskienhallintaa Kaupungin palvelutoimintaa tukevaan ICT-infrastruktuuriin ja tietojärjestelmiin kohdistuu erilaisia tietoturvauhkia (mm. kriittiset toimijat) Näitä ovat viime aikoina olleet mm. internet-sivustoihin ja sähköpostiin kohdentuneet tietoturvaloukkaukset, joiden määrän ennustetaan kasvavan tulevaisuudessa merkittävästi! Digitalisaatio ja sähköisen viestinnän tukeminen tuo haasteen tieto- ja kyberturvan sekä tietosuojan hallintaan toimintaympäristössämme! Tiedon kasaantumisvaikutus!

Toimintaympäristö Osakeyhti ö 1 Osakeyhti ö 2 Osakeyhtiö 3 Liikelaitos 1 Liikelaitos 2 Liikelaitos 3 SOTE YYP Kaupunkikons erni Kaupunk i Peruskun ta SIKU Varhaiskasvatus Opetus Konsernipalvelu t KOHA Tietohallinto Taloushallinto Henkilöstöhallin to Kokonaisuutta ohjaa mm. erilaiset hallintosäännöt ja lainsäädännöt!

Organisaatio 6

Kaupungin tietoturvapolitiikka Kaupungin ylimmän johdon hyväksymä strateginen asiakirja Tavoitteena on kehittää ja parantaa kaupungin palvelutoiminnan luotettavuutta, jatkuvuutta ja laatua - kiinteä osa kaupungin johtamista Tietoturvatyön keskeisiä painopisteitä ovat uhkatekijöiden tunnistaminen, ennaltaehkäisy sekä tiedon ja sen arvon suojaaminen Tietoturvapolitiikka ei ratkaise ongelmia - vaan se, miten tietoturvan johtaminen ja käytänteet viedään eteenpäin...

Riskienhallinta

Tietoturvan vastuunjako

Vastuut ja velvollisuudet Tietohallinnon vastuut - strategisten linjausten muodostaminen ja toteuttaminen, ICTpalveluiden järjestäminen ja riskienhallinta sekä tietoturvan ja tietosuojan kehittäminen Palvelualueiden, liikelaitosten ja tytäryhteisöjen vastuu - noudattaa tietoturvapolitiikkaa ja -ohjeita omassa toiminnassa Tietojärjestelmän omistaja - yksilöity omistaja vastaa järjestelmän elinkaaren hallinnasta, tietosuojasta ja tietoturvan toteuttamisesta Tietojärjestelmän pääkäyttäjä - nimetty pääkäyttäjä huolehtii järjestelmän käyttöoikeudet Esimiesten tietoturvavastuu on huolehtia työnantajaa koskevien lakisääteisten tietoturva ja tietosuoja velvoitteiden toteuttamisesta Työntekijän tietoturvavastuut allekirjoittaa tietoturva- ja käyttäjäsitoumus sekä suorittaa hyväksytysti voimassa oleva tietoturva- ja/tai tietosuojakoulutus säännöllisin väliajoin noudattaa hyväksyttyjä tietoturvaohjeita ja huolehtia päivittäisissä työtehtävissä hyvän tiedonhallintatavan käytänteistä huolehtia käsittelemänsä tiedon oikeellisuudesta, saatavuudesta ja luokittelusta työntekijällä on velvollisuus raportoida tietoturvaongelmista tietoturvavastaavalle tai tietoturvapäällikölle

Tietoturvatyön painopisteet esimerkiksi Oulussa PSKYBER, PSKYLMÄ, VAHTI, VIRT, JUHTA, ELVAR Henkilöstön tietoturva- ja tietosuojahavainnot Koulutettuja yli 6000 Tietoturvan hallintamalli, toimintaympäristön auditointi

Miltä pinnan alla näyttää? Lähde: OTT, Marko Niskala

Tietohallintomalli 13

Tietoturvan vastuunjako Vastuunjakomatriisi kuka tekee ja mitä häiriötilanteessa reagointikyky! tilanteen havainnointi ja analyysi vs. puuttuvat kontrollit? tietojärjestelmien kriittisyysluokittelu ja tietojenkäsittelysäännöt varautuminen ICT-riskienhallinta, varmistukset, palautukset, toipumissuunnitelmat ja harjoittelu ostopalvelut ja alihankkijat - riittävä asiantuntemus ja ymmärrys palveluiden riippuvuussuhteista ja niiden vaikutuksista (riippuvuuskartta) Tiedottaminen!

Tietoturvan vastuunjako Sopimusjuridiikka esim. pilvipalvelut oikeudet tietoon ja materiaaliin - lainsäädäntö, tietosuoja, tiedon maantieteellinen sijainti toimittajaosaaminen - ulkoistamien, ostopalvelu tietoturvallinen toimintaympäristö lokitiedot, todentaminen, varmentaminen, toipuminen kriittiset sopimuskumppanit, toimintaympäristön ylläpito ja häiriötilanteiden hallinta alihankinta

16

17

Sosiaalinen media Huomioi työtehtäviesi mukaiset tietosuojaperiaatteet, kun käsittelet kaupungin, kuntalaisten ja työntekijöiden tietoja erilaisissa Internet-palveluissa Sosiaalisen median käyttö tulee olla asiallista muistaen salassapito- ja lojaliteettivelvoite työnantajaa kohtaan Perustuslain mukaan sananvapaus koskee jokaista henkilöä, mutta huomioi "Mikä on kiellettyä työsuhteessa, on myös kiellettyä verkossa" 18

Tietoyhteiskunnan trendit Ovatko työtilat turvalliset? Kuka vastaa tietojen luokittelusta? Otetaanko varmuuskopiot? Toteutuuko tietosuoja? Muodostuuko rekisteri? Tietojen luotettavuus?

X salakirjoittaa tiedostosi Kiristys haittaohjelma leviää mm. laskuiksi naamioitujen sähköpostiviestien avulla Epäilyttäviin sähköpostiviesteihin tulee suhtautua varauksella ja niiden sisältämiä liitetiedostoja ei pidä avata Haittaohjelmaa on levitetty esimerkiksi sähköpostin liitteenä olevien Wordtiedostojen välityksellä, mitkä sisältävät MAKROJA X salaa tietokoneelta ja verkkojaoista löytämänsä tiedostot ja vaatii sen jälkeen lunnaita niiden avaamiseksi. Välttämättä ei ole olemassa keinoja purkaa salattuja tiedostoja

Oikea sähköposti menee hukkaan suodattamisen mukana! Sähköpostin suodattaminen Viestinnän ja palveluiden jatkuvuuden turvaaminen vaatii organisaation toiminnallisten prosessien uudelleen tarkastelua mm. sähköinen asiointi ja lomakkeet 10.3.2016 11.09 KHO: Viisi sekuntia myöhässä tullut valitus jätettiin tutkimatta Tietoliikenneverkon, palveluiden ja tietojärjestelmien tietoturvalle haittaa aiheuttavien häiriöiden havainnointi, estäminen ja selvittäminen! Sähköpostina toimitettu valituskirjelmä oli saapunut tuomioistuimen tietojärjestelmän ensimmäiselle palvelimelle valitusajan viimeisenä päivänä sekunnilleen kello 16.15.05. Valitus jätettiin määräajan jälkeen tehtynä tutkimatta. Hallintolainkäyttölaki 22, 26 1 mom. ja 51 2 mom. Laki sähköisestä asioinnista viranomaistoiminnassa 8 ja 10 Laki säädettyjen määräaikain laskemisesta 6 1 mom. Asetus valtion virastojen aukiolosta (332/1994) 1 KHO 10.3.2016/780 Lähde: edilex.fi 21

Tietoturvatoimintaa johdetaan Tietoturvan tekemiseen tarvitaan verkosto Jokaisen tulee olla osallinen Pitkäjännitteistä kehitystä jatkuvasti edistäen YKSINKERTAISET, KÄYTÄNTÖÖN SIDOTUT OHJEET ja TOIMINTAMALLIT! 22

Jokaisen oman vastuun tietoturvasta oivaltaminen ja osaamisen kasvattaminen yhteistyössä23

Keskustelun pohjaksi Tietoturvaohjelmistot eivät havainnoi tietoturvaan liittyviä ongelmia riittävän nopeasti Mikään teknologia ei korvaa IHMISEN tietoturvakäyttäytymistä Tietomurtokohteissa suurin osa organisaatioista ei havainnut tapahtunutta ja reagointikyky tapahtuneeseen oli riittämätön Tietoturvan tulee myös mahdollistaa toimintaa oikeat ja tarpeiden mukaiset käytännöt tietoturvalliset työtavat onko niitä? Tietoturvassa on kyse INHIMILLISISTÄ tekijöistä! Pohdintaa: Kyberturvallisuuskeskuksen rooli? Kansallisen yhteistyöverkoston rakentaminen? Kuka vastaa toiminnasta ja miten tieto saadaan liikkeelle? VAHTI, VIRT, JUHTA, AVI, ELY, ELVAR, kaupungit, kunnat, yhteiskunnan kriittisen infrastruktuurin toimijat, SOTE uudistus.. Käytetty kuvituksena mm. www.vahtiohje.fi 24

Julkisen hallinnon ICT Tieto- ja kyberturvallisuus http://vm.fi/tieto-ja-kyberturvallisuus Valtiovarainministeriön viestintä vm-viestinta@vm.fi Mediapalvelunumero (arkisin 8 16) 02955 30500

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute