Tietoturvapolitiikka. Hattulan kunta

Samankaltaiset tiedostot
Kunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka

Tietoturvapolitiikka

Tietoturvapolitiikka Porvoon Kaupunki

Vihdin kunnan tietoturvapolitiikka

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

TIETOTURVAPOLITIIKKA

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Tietoturva- ja tietosuojapolitiikka

Karkkilan kaupungin tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Espoon kaupunki Tietoturvapolitiikka

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Lapinlahden kunnan tietoturvapolitiikka

Tietoturvapolitiikka

Tietoturvapolitiikka

Tietoturva- ja tietosuojapolitiikka

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Tietoturvapolitiikan käsittely / muutokset:

Johdanto

TIETOTURVA- POLITIIKKA

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Eläketurvakeskuksen tietosuojapolitiikka

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Sovelto Oyj JULKINEN

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

, RAU/475/ /2018

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietoturva- ja tietosuojapolitiikka

Tietoturvavastuut Tampereen yliopistossa

Kuopion kaupunki Dnro 3720/2018 Elinvoima- ja konsernipalvelu Tietohallinto

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

TIETOTURVAPOLITIIKKA

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

PUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Utajärven kunta TIETOTURVAPOLITIIKKA

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Johtokunta Tietoturva- ja tietosuojapolitiikka

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

Laatua ja tehoa toimintaan

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Kauhavan kaupunki. Tietoturvapolitiikka ja tietosuojaohjeistukset

TIETOSUOJAPOLITIIKKA

Tietoturvapolitiikka

Tietosuoja- ja tietoturvapolitiikka

Tietosuoja- ja tietoturvapolitiikka

1 Tietosuojapolitiikka

Tietoturva- ja tietosuojapolitiikka

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Espoon kaupunki Tietoturva- ja tietosuojapolitiikka

Espoon kaupunkikonsernin tietoturvapolitiikka

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Lapin yliopiston tietoturvapolitiikka

Politiikka: Tietosuoja Sivu 1/5

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

Sisäisen valvonnan ja Riskienhallinnan perusteet

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

OULUNKAAREN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Liite/Kvalt , 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Isonkyrön kunta

Tietoturvapolitiikka

TIETOTURVAA TOTEUTTAMASSA

Toimitilojen tietoturva

Potilastietojärjestelmien käytön osaamisen turvaaminen organisaatioissa

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

SUONENJOEN KAUPUNKI TIETOSUOJA- JA TIETOTURVAPOLITIIKKA

T I E TO S U O JA JA T I E TOT U RVA L L I S U U S O M N I A S S A Riina Kirilova, tietosuoja- ja tietoturvapäällikkö

Pilvipalveluiden arvioinnin haasteet

Valtiontalouden tarkastusviraston tietoturvapolitiikka

TIETOTURVA JA TIETOSUOJAPOLITIIKKA

Yritysturvallisuuden perusteet

IT-palvelujen ka yttö sa a nnö t

T Henkilöturvallisuus ja fyysinen turvallisuus, k-04

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

GDPR Tietosuoja-asetus

Transkriptio:

Tietoturvapolitiikka Hattulan kunta Versio 1.0 Muutoshistoria: Versio Tekijä Sisältö Hyväksytty 1.0 Kuntien Tiera Oy Hattulan kunnan tietoturvapolitiikka 11.5.2015 Hattulan kunta Pappilanniementie 9 www.hattula.fi 13880 Hattula puh. 03 67 311

Sisällys 1 Johdanto... 3 2 Tietoturvapolitiikan kattavuus ja sen soveltaminen... 3 3 Tietoturvallisuus... 3 4 Tietoturvallisuustavoitteet... 4 5 Roolit ja vastuut... 4 6 Tietojärjestelmien käyttö... 6 7 Tietoturvallisuuden seuranta, ylläpito ja kehittäminen... 6 8 Riskienhallinta... 7 9 Jatkuvuudenhallinta ja varautuminen... 7 2/7

1 Johdanto Hattulan kunnan toiminnan ja palvelutuotannon keskeisimpiä resursseja on tieto. Kunnan tiloissa ja niiden ulkopuolella tietoa käsittelevät kunnan henkilöstön lisäksi ulkoiset sidosryhmät ja asiakkaat. Tietoa esiintyy muiden muassa paperille tulostettuna, tallennettuna tietojärjestelmiin, kannettaviin laitteisiin ja muistivälineille sekä käyttäjien muistiin tallentuneena. Tiedon sijainnista ja olomuodosta riippuen, sitä pyritään turvaamaan hallinnollisin ja/tai teknisin menetelmin. Kunnanhallitus on hyväksynyt kunnan johtoryhmän tässä tietoturvapolitiikassa kuvaamat, kunnan strategian mukaiset periaatteet, tavoitteet ja vastuut. Tietoturvapolitiikan onnistuneen käyttöönoton edellytyksenä on, että kunnan ylin johto sitoutuu toteuttamaan tätä politiikkaa yhdessä osaavan ja tietoturvallisuuteen perehdytetyn henkilöstön sekä sidosryhmien kanssa. 2 Tietoturvapolitiikan kattavuus ja sen soveltaminen Tämä tietoturvapolitiikka kattaa kaiken kunnan käyttämän tiedon riippumatta esitystavasta tai elinkaaren vaiheesta ja toimii perustana muille tietoturvaan liittyville ohjeille ja määräyksille. Lisäksi politiikka koskee jokaista kunnan kanssa palvelussuhteessa olevaa viranhaltijaa, työntekijää ja määräaikaista henkilöä, harjoittelijaa sekä luottamushenkilöä ja tarvittavilta osin yhteistyökumppania. Politiikka saatetaan koko henkilöstön tietoon kunnan perehdytys- ja koulutuskäytäntöjen avulla. Yhteistyökumppanien ohjeistamisesta vastaa tilaaja. Periaatteena on, että kaikki jotka käsittelevät kunnan tietoa, ovat saaneet riittävän perehdytyksen tiedon turvallisen käsittelyn varmistamiseksi. 3 Tietoturvallisuus Kunnassa tietoturvallisuudella tarkoitetaan tiedon, tietojärjestelmien, tietoliikenteen ja palveluiden, sekä niiden käyttöympäristöjen ja käyttäjän itsensä turvaamista siten, että niihin kohdistuvat uhat eivät aiheuta merkittävää riskiä tiedon elinkaaren missään vaiheessa. Periaatteena on, että tietoturvallisuus on luonnollinen, sisäänrakennettu osa kunnan palveluita ja toimintaa sekä jokaisen käyttäjän työtapoja. Tietoturvallisuuteen liittyvillä käytännöillä pyritään varmistamaan, että kunnan käyttämä tieto on: oikeaa ja eheää, eikä muuttunut tahallisen tai tahattoman teknisen tai inhimillisen toiminnan seurauksena vain siihen oikeutettujen saatavilla saatavilla aina sitä tarvittaessa. Lisäksi tietoon sen käsittelyn eri vaiheissa tehdyt muutokset on tarvittaessa kyettävä todentamaan. Kunnan tietoturvallisuuteen liittyvää toimintaa johdetaan ja kehitetään osana kunnan hallintojärjestelmää ja se liittyy kiinteästi kunnan kokonaisturvallisuuteen, joka muodostuu seuraavista osaalueista: 3/7

Turvallisuusjohtaminen on turvallisuuden toteutumisen ohjaamista ja valvomista kaikilla turvallisuuden osa-alueilla, mukaan lukien riskienhallinta ja varautuminen. Henkilöstöturvallisuus on henkilöstöön kohdistuvien ja henkilöstöstä aiheutuvien riskien hallintaa. Henkilöstöturvallisuuden perustana on osaava ja sitoutunut henkilöstö, jolle tietoturvavastuut ja - tehtävät on selkeästi perehdytetty. Henkilöstöturvallisuuteen pyritään vaikuttamaan palvelussuhteen kaikissa vaiheissa rekrytointivaiheessa, työsuhteen aikana ja työsuhteen päätyttyä tehtävillä toimenpiteillä. Fyysinen turvallisuus käsittää toimenpiteet, järjestelmät ja rakenteet, joiden avulla kunnan tiloja, ja siellä olevia ihmisiä, tietoa ja muuta omaisuutta, suojataan fyysisiltä vahingoilta, vahingoittamisyrityksiltä, oikeudettomilta henkilöiltä ja erilaisilta kiinteistövahingoilta. Fyysistä turvallisuutta toteutetaan mm. vartioinnilla, kameravalvonnalla, kulunvalvonnalla ja turvallisilla rakenteilla. Tietosuoja tarkoittaa henkilön yksityisyyden ja henkilötietojen suojaamista niin, että henkilön yksilöiviä tietoja ei paljastu asiattomille käsittelyprosessin missään vaiheessa. Kuntalaisia koskevat yksilöivät henkilötiedot ovat kunnan keskeisimpiä suojattavia tietoja ja vaativat siten käsittelijöiltä erityistä huomiota. Työturvallisuus ja -suojelu kattavat sekä henkilöstöön kohdistuvien että henkilöstön aiheuttamien, tahallisten ja tahattomien, vahingontekojen estämiseen tähtäävät toimenpiteet. Perustana kunnan tietoturvatyössä käytetään ensisijassa Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) suosituksia ja Tietoturvatasojen kuvaaman Perustason vaatimuksia (LIITE 1: Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa 681/2010). 4 Tietoturvallisuustavoitteet Kunnan tietoturvallisuustavoitteet ovat tärkeysjärjestyksessä seuraavat: 1. Kunnan henkilökunnalla on vähintään Tietoturvatasojen Perustason tietoturva- ja tietosuojaosaaminen tehtäviensä suorittamiseksi. 2. Tekniset ja hallinnolliset tietoturvajärjestelyt täyttävät keskeisiltä osin Perustason vaatimukset. 3. Kunnan käyttämää tietoa ei paljastu tietoon oikeudettomille tahoille. 5 Roolit ja vastuut Kunnan tietoturvallisuuteen liittyvät roolit ja vastuut ovat: Kunnanhallitus Tietoturvapolitiikan hyväksyminen Kunnanjohtaja Tietoturvan ja tietosuojan järjestäminen ja toimintaedellytysten luominen 4/7

Poikkeusolojen viestinnän johtaminen Varautuminen ja jatkuvuudenhallinta yhdessä kunnan johtoryhmän kanssa Tietoturvaohjeiden ja muiden vastaavien ohjeiden vahvistaminen Yksiköiden päälliköt Omistajan nimeäminen tietojärjestelmille Tietoturvallisuuden toteutuminen omalla toimialallaan Tietohallinto Tietoturvallisuuden suunnittelu, ohjaus, seuranta ja kehittäminen Teknisen tietoturvallisuuden minimivaatimusten määrittely, toteutus, ohjaus ja valvonta kunnan tietojärjestelmäympäristössä Tietoturvallisuuden teknisen valvonnan toteutuminen tietojärjestelmäympäristössä, lain sallimin ja yhteistoimintamenettelyn valtuuttamin menetelmin Tietoturvariskien ja -poikkeamien hallinnan koordinointi Tietoturvallisuuden tilan raportointi kunnanjohtajalle Konsernipalvelut Kunnan tietouden ylläpitäminen koskien tietoturvallisuuteen vaikuttavia lakeja, säädöksiä ja määräyksiä, sekä huolehtiminen niiden huomioimisesta tietoturvallisuustoiminnassa Henkilöstöturvallisuuden ja henkilöstötietojen käytön ohjaus ja koordinointi työntekijän palvelussuhteen kaikissa vaiheissa Tietosuojavastaavat Auttaa rekisterinpitäjää saavuttamaan hyvän henkilötietojen käsittelytavan ja mahdollisten erityislakien edellyttämän tietosuojan tason Tietojärjestelmän, tiedon tai prosessin omistaja Omistamaansa tai hallinnoimaansa järjestelmään, tietoon tai prosessiin liittyvä: o Pääkäyttäjän nimeäminen ko. järjestelmän osalta o Käyttäjien ja käyttöoikeuksien hyväksyntä ko. järjestelmään o Riskien- ja jatkuvuudenhallintatoimenpiteiden toteuttaminen omalta osaltaan o Tiedon oikeellisuuden ja oikeiden käsittelytapojen varmistaminen o Tietojen julkisuuden ja salassapidon määrittely mukaan lukien arkistonmuodostus Pääkäyttäjä Tietoturvan toteutumisen valvonta omalla vastuualueellaan Sovelluksen ylläpitotoiminnoista huolehtiminen ja varmistaminen, että järjestelmää käytetään lakien, säädösten ja ohjeiden mukaisesti Tietosuojavastaavien avustaminen, henkilöstön neuvonta ja kouluttaminen Käyttäjien ja käyttöoikeuksien toteuttaminen Esimies Tietoturvallisuuden toteutuminen alaisessaan toiminnassa Tiedon ja tietojärjestelmien käyttäjä 5/7

Määräysten ja ohjeiden noudattaminen sekä tietoturvaan liittyvien poikkeuksien, uhkien ja riskien välitön ilmoittaminen joko esimiehelle, tietohallintoon tai tietosuojavastaaville Asianhallintatiimi Yksiköiden arkistonmuodostuksen ohjaaminen ja neuvonta Kunnanarkistoon siirretyistä asiakirjoista huolehtiminen ja niistä tietojen antaminen 6 Tietojärjestelmien käyttö Kunnan käytössä olevat ICT-palvelut, -järjestelmät, -laitteet ja -ohjelmistot, on tarkoitettu työtehtävien hoitamista varten. Kunnan tietojärjestelmiä ei tule käyttää toimintaan mikä saattaa, välittömästi tai välillisesti, vaarantaa kunnan vastuulla olevan tiedon ja/tai järjestelmien turvallisuuden ja aiheuttaa haittaa kunnalle, sen toiminnalle tai käyttäjälle itselleen. Tietojärjestelmien vähäinen käyttö henkilökohtaisiin tarkoituksiin on sallittu omalla ajalla. Henkilökohtainen käyttö ei kuitenkaan saa aiheuttaa ylimääräisiä kustannuksia kunnalle, eikä vaarantaa kunnan tietoa tai tietojärjestelmiä. Tietojärjestelmiä, laitteita ja ohjelmistoja kunnan tietoverkkoon saa asentaa vain tietohallinto tai sen valtuuttama taho. Käyttöoikeudet kunnan tietojärjestelmiin ja tietoon myönnetään vain kunnan tehtävien hoitoon liittyen. Pääsääntöisesti tarvittavat oikeudet määrittelee esimies. Tietojärjestelmien turvallinen käyttäminen etätyötä tehdessä vaati etätyöntekijältä erityistä huolellisuutta ja sitoutumista tietoturvaohjeiden noudattamiseen. Väärinkäytöksiin puututaan välittömästi kunnan normaalein kurinpitomenettelyin. Kunnan tietoverkkojen toimintaa valvotaan erityisillä valvontamenetelmillä ja -ohjelmistoilla. Toiminnan ja turvallisuuden takaamiseksi tietoliikenteestä suodatetaan palomuurijärjestelmän avulla haittaohjelmat ja muu asiaton sisältö sekä estetään pääsy haitalliseksi luokitelluille sivustoille. 7 Tietoturvallisuuden seuranta, ylläpito ja kehittäminen Kunnan tietoturvallisuustavoitteiden toteutumista ja järjestelyjen riittävyyttä seurataan säännöllisesti hallintojärjestelmän mukaisesti. Tietoturvallisuuden ylläpito ja kehittäminen sovitetaan yhteen palveluiden, toimintatapojen ja teknisten ratkaisujen kehittämisen kanssa. Lisäksi säännöllinen tiedottaminen, osaamisen ylläpito ja koulutus ovat olennaisessa roolissa tietoturvallisuuden kehittämisessä. 6/7

8 Riskienhallinta Tietoturvallisuus on kiinteä osa kunnan säännöllisiä ja koko organisaation laajuisia riskienhallintakäytäntöjä ja kuuluu jokaisen työntekijän vastuulle. Riskienhallinnan avulla palveluihin, toimintaan ja tietoon kohdistuvia riskejä kartoitetaan, analysoidaan ja hallitaan järjestelmällisesti. Riskienhallintakäytäntöjen tavoitteena on riskien rajoittaminen hyväksyttävälle tasolle niin, että käytetyt keinot ovat suhteessa suojattavan kohteen kriittisyyteen ja riskin suuruuteen. 9 Jatkuvuudenhallinta ja varautuminen Kunta pyrkii varmistamaan toimintansa ja palveluidensa jatkuvuuden normaalioloissa, normaaliolojen häiriötilanteissa sekä poikkeusoloissa. Poikkeusoloja varten kunta ylläpitää valmiussuunnitelmaa. 7/7

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute