Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Samankaltaiset tiedostot
Lapin yliopiston tietoturvapolitiikka

TIETOTURVA JA TIETOSUOJAPOLITIIKKA

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Tietoturvapolitiikka

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Eläketurvakeskuksen tietosuojapolitiikka

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Etelä-Pohjanmaan sairaanhoitopiirin tietoturva- ja tietosuojapolitiikka

TIETOTURVAPOLITIIKKA

TIETOTURVA- POLITIIKKA

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

Valtiontalouden tarkastusviraston tietoturvapolitiikka

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietoturvapolitiikka

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Tietosuoja- ja tietoturvapolitiikka

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

Espoon kaupunkikonsernin tietoturvapolitiikka

Laatua ja tehoa toimintaan

Sovelto Oyj JULKINEN

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Tietoturvavastuut Tampereen yliopistossa

Tietoturvapolitiikka. Hattulan kunta

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Tietoturva ja viestintä

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Tietoturvapolitiikka Porvoon Kaupunki

PUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Utajärven kunta TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Ammattikorkeakoulu 108 Liite 1

Vihdin kunnan tietoturvapolitiikka

Tietoturvapolitiikka

HEINÄVEDEN KUNNAN TIETOTURVAPOLITIIKKA

JOENSUUN KAUPUNGIN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Espoon kaupunki Tietoturvapolitiikka

Tietoturva- ja tietosuojapolitiikka

Karkkilan kaupungin tietoturvapolitiikka

Kunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Espoon kaupunki Tietoturvapolitiikka

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

OULAISTEN KAUPUNKI. Oulaisten kaupungin tietoturvapolitiikka

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Johtokunta Tietoturva- ja tietosuojapolitiikka

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

KanTa. Kelan KanTa-palvelujen tietoturvapolitiikka. v. 1.1

Tietoturva Kehityksen este vai varmistaja?

Viestintäviraston tietoturvapolitiikka

Muutos ja tietoturvallisuus, alueellistamisesta ulkoistamiseen -hallittu prosessi

6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA

Politiikka: Tietosuoja Sivu 1/5

TIETOSUOJAPOLITIIKKA

Hallitus HÄMEENKYRÖN HYVÄN HALLINNON OHJE

Jatkuvuuden varmistaminen

Kuopion kaupunki Dnro 3720/2018 Elinvoima- ja konsernipalvelu Tietohallinto

Lapinlahden kunnan tietoturvapolitiikka

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta. 1 Ohjeen soveltamisala, tavoitteet ja rajaukset. 2 Jatkuvuuden hallinnan säädösympäristö

Itä-Savon sairaanhoitopiirin kuntayhtymän KYS erityisvastuualue-tasoinen Tietosuoja- ja tietoturvapolitiikka

Henkilötietoja sisältävän datan säilytyksen ja käsittelyn tekniset ratkaisut

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Seinäjoen kaupungin tietoturvapolitiikka. Kh , 149

1 Käsitteet ja termit

Pilvipalveluiden arvioinnin haasteet

TIETOTURVAPOLITIIKKA

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

Jämsän kaupungin tietoturvapolitiikka

KESKI-POHJANMAAN IT-ALUEKESKUS. KPA:n TIETOTURVAPOLITIIKKA 2012 ja tietoturvamääräykset

Transkriptio:

Tietoturvapolitiikka 1 (6) 26.1.2017 Hyväksytty Vahvistettu hallituksen päätöksellä 26.1.2017 n tietoturvapolitiikka Sisällysluettelo: 1. Johdanto... 2 2. Tietoturvapolitiikan tavoite... 2 2.1. Tietoturvallisuuden käsite ja merkitys... 2 2.2. Määritelmät... 2 3. Tietoturvatoimintaa ohjaavat tekijät... 3 4. Tietoturvallisuuteen kohdistuvat uhat... 3 5. Tietoturvallisuuden merkitys organisaatiolle... 3 5.1. Toiminnan kannalta elintärkeät palvelutehtävät ja turvattavat kohteet... 3 5.2. Tietoturvaperiaatteet... 3 5.3. Tietoturvallisuuden toteutumista tukevia käytäntöjä... 4 6. Turvatoimien priorisointi... 4 7. Tietoturvallisuuden hallintajärjestelmä... 4 8. Tietoturvavastuut... 5 8.1. Organisaation tietoturvavastuut... 5 8.2. Organisaation yhteistyökumppaneiden vastuut... 5 9. Tietoturvakoulutus ja ohjeet... 5 10. Tietoturvallisuudesta tiedottaminen... 5 11. Tietoturvallisuuden toteutumisen valvonta... 5 12. Toiminta poikkeustilanteissa ja oloissa... 5 /redu

Tietoturvapolitiikka 2 (6) 26.1.2017 Hyväksytty 1. Johdanto Tietoturvapolitiikka on n hallituksen vahvistama sisäinen toimintatapamääräys, joka jaetaan tiedoksi ja noudatettavaksi koko henkilöstölle. Tietoturvapolitiikan periaatteita noudatetaan myös n yhteistyökumppaneiden kanssa tehtävissä sopimuksissa sekä sidosryhmien käyttäjille laadittavissa ohjeissa. Tätä tietoturvapolitiikkaa täydentävät erikseen laaditut käyttö- ja ylläpito-ohjeet ja se tulee huomioida kaikessa n ohjeistuksessa. 2. Tietoturvapolitiikan tavoite ssä tietototurvallisuuden ensisijaisena päämääränä on n vastuulla olevien palveluiden jatkuvuuden turvaaminen. Toimintalähtöisesti painottuvalla tietoturva-asioiden hoidolla tuetaan n ydintoiminnoille asetettuja vaatimuksia. 2.1. Tietoturvallisuuden käsite ja merkitys Tietoturvallisuus kattaa järjestelyt, joilla pyritään varmistamaan tiedon käytettävyys, eheys ja luottamuksellisuus. Se edellyttää tietojen, järjestelmien, palveluiden ja tietoliikenteen asianmukaista suojaamista sekä normaali-, että poikkeusoloissa hallinnollisilla, teknisillä ja muilla toimenpiteillä. Tietojen luottamuksellisuutta, eheyttä ja käytettävyyttä turvataan laitteisto- ja ohjelmistovikojen, luonnontapahtumien sekä tahallisten, tuottamuksellisten tai tapaturmaisten tekojen aiheuttamilta uhkilta ja vahingoilta. Tietoturvallisuus on toimintatapa, jonka tavoitteena on tietojärjestelmien ja toiminnan jatkuvuutta uhkaavien riskien hallinta. Se on edellytys n ydintoimintojen hoitamiselle. 2.2. Määritelmät Tietoturvallisuuden keskeisillä käsitteillä tarkoitetaan seuraavaa: Luottamuksellisuus: tietojen säilyminen luottamuksellisina ja tietoihin, tietojenkäsittelyyn ja tietoliikenteeseen kohdistuvien oikeuksien säilyminen vaarantumiselta ja loukkauksilta. Eheys: tietojen tai tietojärjestelmän aitous, väärentämättömyys, sisäinen ristiriidattomuus, kattavuus, ajantasaisuus, oikeellisuus ja käyttökelpoisuus sekä ominaisuus, että tietoa tai viestiä ei ole valtuudettomasti muutettu, ja että mahdolliset muutokset voidaan todentaa kirjausketjusta. Käytettävyys: ominaisuus, että tieto, tietojärjestelmä tai palvelu on siihen oikeutetuille saatavilla ja hyödynnettävissä haluttuna aikana ja vaaditulla tavalla. Todentaminen (autentikointi): varmistuminen kohteen todenmukaisuudesta, oikeellisuudesta ja alkuperästä tai varmistuminen käyttäjän aitoudesta halutulla luottamustasolla. Kiistämättömyys; tietoverkossa eri menetelmin saatava näyttö siitä, että tietty henkilö on lähettänyt tietyn viestin (alkuperän kiistämättömyys), vastaanottanut tietyn viestin (luovutuksen kiistämättömyys), tai että tietty viesti tai tapahtuma on jätetty käsiteltäväksi. /redu

Tietoturvapolitiikka 3 (6) 26.1.2017 Hyväksytty 3. Tietoturvatoimintaa ohjaavat tekijät Tietoturvatoimintaa ohjataan säädöksin, ohjein ja suosituksin. Tärkeimmät n toimintaa tietoturvallisuuden ja tietosuojan näkökulmasta ohjaavat säädökset ovat laki ammatillisesta koulutuksesta, hallintolaki, yhteistoimintalaki, henkilötietolaki, laki viranomaisten toiminnan julkisuudesta, asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta, laki sähköisestä asioinnista viranomaistoiminnassa, laki yksityisyyden suojasta työelämässä ja tietoyhteiskuntakaari sekä n hallintosääntö. 4. Tietoturvallisuuteen kohdistuvat uhat Tietoturvallisuuteen kohdistuvat uhat aiheuttavat riskin tietojen, tietojärjestelmien tai tietoliikenteen luottamuksellisuudelle, eheydelle ja käytettävyydelle. Henkilöiden mahdollinen osaamattomuus, huolimattomuus ja välinpitämättömyys aiheuttavat merkittävän uhan n tietoturvallisuudelle. Lisäksi uhkia aiheuttavat tietoisesti tehty tietojen väärinkäyttö, tietomurrot, virheellisesti toimivat ohjelmistot ja laitteet, tekniset ongelmat sekä lle palveluita tuottavien ulkopuolisten palveluiden tarjoajien toimet. 5. Tietoturvallisuuden merkitys organisaatiolle n operatiivinen toiminta on huomattavan tieto- ja järjestelmäriippuvaista. Siitä syystä tietoriskien hallintaan tulee kiinnittää erityistä huomiota. 5.1. Toiminnan kannalta elintärkeät palvelutehtävät ja turvattavat kohteet n toiminnan tietoturvallisuuden kannalta tärkeimmät turvattavat kohteet ovat henkilöt, tilat, laitteet, tietoliikenne, tietojärjestelmät, palvelut sekä tiedot ja tietoaineistot kaikissa olomuodoissaan. Näiden kohteiden turvaamisen tavoitteena on operatiivisten järjestelmien ja sisäisen verkon toiminnan turvaaminen sekä palveluiden tuottaminen n sidosryhmille ja palveluiden tuottajille. 5.2. Tietoturvaperiaatteet Tietojenkäsittelyn turvaamisperiaatteita ovat ennaltaehkäisy, turvatoimien ajantasainen seuranta ja kehittäminen sekä tietojärjestelmien toiminnan ja käytön valvonta. n tietojärjestelmien määrittely-, suunnittelu- ja toteutusvaiheissa on huomioitava mahdolliset järjestelmien käyttöön kohdistuvat riskit ja varauduttava niiden ennaltaehkäisyyn. Toteutusvaiheessa varmistetaan tarkoituksenmukaiset suojausmenettelyt, jolloin järjestelmien käyttäjillä on tietotarpeita vastaava käyttöympäristö. Periaatteena ssä on tietojärjestelmien tietojen käytön salliminen vain työtehtävien hoitamiseen, kumppaneilla sopimusten ja lupien mukaisten tehtävien hoitamiseen. /redu

Tietoturvapolitiikka 4 (6) 26.1.2017 Hyväksytty 5.3. Tietoturvallisuuden toteutumista tukevia käytäntöjä Toiminnan jatkuvuus tulee turvata jatkuvuussuunnittelulla, joka sisältää häiriöiden ennalta estämisen ja mahdollistaa niistä nopean toipumisen. Tietojärjestelmien turvasuunnitelmissa, -järjestelyissä ja -ohjeissa varaudutaan tietoturvallisuutta koskevien laiminlyöntien, vahinkojen tai virheiden jälkikäteisselvittämiseen periaatteena kustannusten kohtuullisuus saatuun hyötyyn nähden. Periaatteet toteutetaan tietoturvasuunnitelmassa kuvatulla tavalla. 6. Turvatoimien priorisointi n turvatoimien järjestys tilanteissa, joissa joudutaan toteuttamaan priorisointia: henkilön hengen tai terveyden turvaaminen arkaluonteisen tai muuten erittäin merkittävän tiedon luottamuksellisuuden turvaaminen tietojärjestelmien ja rekistereiden eheyden turvaaminen käyttö- ja toimintaympäristön käytettävyyden turvaaminen. 7. Tietoturvallisuuden hallintajärjestelmä Tietoturvallisuuden hallintajärjestelmä on luonteeltaan viitekehys, joka koostuu mm. seuraavista toimintamalleista ja dokumenteista: tietoturvapolitiikka, tietoturvakäytännöt ja -periaatteet, tietoturvallisuuden perus- ja lisäohjeistus, tietoturvakoulutus, tietoturvapoikkeamien käsittely, tietoturvaraportointi johdolle, jatkuvuus- ja valmiussuunnitelmat, toimintaan liittyvät tietoturvaprosessit Hallintajärjestelmä toteuttaa n strategiaa ja strategian toimeenpanosuunnitelmaa. Se kattaa tietoturvallisuuden yksityiskohtaisen organisoinnin, politiikat, suunnittelun, vastuut, menettelytavat, prosessit ja tarvittavat resurssit. Sen avulla myös seurataan ja arvioidaan tietoturvatoimien tehokkuutta ja tarkoituksenmukaisuutta. Järjestelmän jatkuva kehittäminen parantaa valmiuksia hallita tietoturvallisuutta systemaattisesti. /redu

Tietoturvapolitiikka 5 (6) 26.1.2017 Hyväksytty 8. Tietoturvavastuut 8.1. Organisaation tietoturvavastuut Tietoturvallisuuden kehittäminen on jatkuvaa laaja-alaista toimintaa, jossa eri vastuuhenkilöryhmillä on omat tehtävänsä. Tietoturvatoiminnassa noudatetaan n mukaista organisointia ja vastuunjakoa. Tulosalueet vastaavat tietoturvallisuuden toteutumisesta omalla vastuualueellaan. Tietoturvatoiminnan ja tietoturvallisuuden hallintajärjestelmän kehittämisestä vastaa n tietohallinto-organisaatio ja Lapin korkeakoulukonsernin palvelukeskuksen IT-palvelualue. 8.2. Organisaation yhteistyökumppaneiden vastuut lle palveluita tuottavat yritykset tulee velvoittaa nimeämään yritykseen tietoturvayhteyshenkilö, joka vastaa n ohjeistaman tietoturvatason noudattamisesta yrityksessä. Kumppaneille asetettavat tietoturvavaatimukset on kuvattu kunkin sopimuksen erillisessä liitteessä. 9. Tietoturvakoulutus ja ohjeet Tietoturvallisuus on sisällytetty n perehdytysprosessiin. Tietoturvakoulutusta järjestetään tarvittaessa. Tietoturvaohjeistuksen sisällöstä ja ajantasaisuudesta vastaa n tietohallintoorganisaatio. Kumppaneille laaditaan erillistä tietoturvaohjeistusta ja tietoturva-asiat sisällytetään kumppaneille järjestettävään koulutukseen. 10. Tietoturvallisuudesta tiedottaminen Tietoturva-asioista tiedotetaan tarpeen mukaan. Tietoturva-asioiden sisäisestä tiedottamisesta vastaa Rovaniemen koulutuskuntayhtymän tietohallinto-organisaatio yhdessä viestinnästä vastaavien suunnittelijoiden kanssa. Viestinnästä vastaavat suunnittelijat ovat vastuussa n ulkoisesta tiedottamisesta. Tietoturva-asioista ei aktiivisesti tiedoteta koulutuskuntayhtymän ulkopuolelle, mutta jos tiedottamistarvetta ilmenee, se hoidetaan kuten muukin ulkoinen tiedottaminen. 11. Tietoturvallisuuden toteutumisen valvonta Jokainen n henkilöstöön kuuluva on velvollinen ilmoittamaan havaitsemistaan tietoturvallisuuden puutteista, uhkista tai menettelyvirheistä ICT-palvelupisteen kautta. Tietoturvallisuudesta annettujen ohjeiden toteutumisesta vastaa ja seuraa kukin tulosalue tai lle palveluja tuottava yritys omalla vastuualueellaan. 12. Toiminta poikkeustilanteissa ja oloissa Poikkeusoloissa toimitaan n valmiussuunnitelman menettelytapojen mukaisesti. Poikkeusolojen toiminnan suunnittelusta vastaa kuntayhtymän johtaja. Liitteet /redu Liite 1: Liitteen nimi

Tietoturvapolitiikka 6 (6) 26.1.2017 Hyväksytty Jakelu Tiedoksi Prosessi Tallennusnimi 0.5 Asiakirjapohjat REDU Asiakirjapohja pysty, sisältää asetteluohjeet v1.docx Tulostettu: 27.1.2017 klo 08:06 /redu

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute