Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

Samankaltaiset tiedostot
Tietoturvapolitiikka

Kunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka

Tietoturva- ja tietosuojapolitiikka

Tietoturva- ja tietosuojapolitiikka

Tietoturva- ja tietosuojapolitiikka

Tietoturvapolitiikka

Tietoturvapolitiikka Porvoon Kaupunki

Vihdin kunnan tietoturvapolitiikka

Tietoturvapolitiikka. Hattulan kunta

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

Espoon kaupunki Tietoturvapolitiikka

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

TIETOTURVAPOLITIIKKA

Espoon kaupunki Tietoturvapolitiikka

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Tietoturvapolitiikka

Tietoturvavastuut Tampereen yliopistossa

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Karkkilan kaupungin tietoturvapolitiikka

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Tietoturva- ja tietosuojapolitiikka

Sovelto Oyj JULKINEN

Tietoturvapolitiikka

Johdanto

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Lapin yliopiston tietoturvapolitiikka

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Laatua ja tehoa toimintaan

Espoon kaupunkikonsernin tietoturvapolitiikka

TIETOTURVA- POLITIIKKA

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET ALKAEN

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Ammattikorkeakoulu 108 Liite 1

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

PUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Kuopion kaupunki Dnro 3720/2018 Elinvoima- ja konsernipalvelu Tietohallinto

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

HEINÄVEDEN KUNNAN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Eläketurvakeskuksen tietosuojapolitiikka

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Toimitilojen tietoturva

Tietoturvapolitiikan käsittely / muutokset:

JOENSUUN KAUPUNGIN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka

TIETOTURVAPOLITIIKKA

1 Tietosuojapolitiikka

Tietosuoja- ja tietoturvapolitiikka

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Tietoturva ja viestintä

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Espoon kaupunki Tietoturva- ja tietosuojapolitiikka

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Utajärven kunta TIETOTURVAPOLITIIKKA

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

Politiikka: Tietosuoja Sivu 1/5

Liite/Kvalt , 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Isonkyrön kunta

Omavalvontasuunnitelma ja EU-tietosuojadirektiivi

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Tietosuoja- ja tietoturvapolitiikka

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

, RAU/475/ /2018

Sisäisen valvonnan ja riskienhallinnan perusteet

TIETOSUOJAPOLITIIKKA. Turun kaupunki

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

SISÄISEN VALVONNAN PERUSTEET

Valtiontalouden tarkastusviraston tietoturvapolitiikka

Sisäisen valvonnan ja Riskienhallinnan perusteet

TIETOTURVA JA TIETOSUOJAPOLITIIKKA

Inarin kunta SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Espoon kaupunki Pöytäkirja 96. Valtuusto Sivu 1 / Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

Verkostokehittäjät-hanke Tietosuoja ja tietoturvallisuus

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

OULAISTEN KAUPUNKI. Oulaisten kaupungin tietoturvapolitiikka

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto

TIETOSUOJAPOLITIIKKA

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

VIRTU ja tietoturvatasot

Transkriptio:

Joroisten kunnan tietoturvapolitiikka Julkinen Tietoturvapolitiikka Joroisten kunta 8.5.2017

2 (8) Sisällysluettelo 1 Johdanto 3 2 Tietoturvapolitiikan tarkoitus ja tausta 3 3 Keitä tietoturvapolitiikka koskee 3 4 Tietoturvallisuus 3 5 Kokonaisturvallisuus 4 6 Riskienhallinta 4 7 Varautuminen ja jatkuvuudenhallinta 4 8 Turvallisuus 5 9 Tietoturvatavoitteet 5 10 Roolit ja vastuut 5 11 Tietojärjestelmien käyttö 6 12 Tietoturvan seuranta, ylläpito ja kehittäminen 6 2 Päivitetty 3.5.2017

3 (8) 1 Johdanto Tietoturva on Joroisten kunnassa kiinteä osa päivittäistä toimintaa, ja lähtökohta luottamukselliselle viranomaistoiminnalle. Tässä tietoturvapolitiikassa ja sen liitteissä määritellään mitä tietoturva kunnassa tarkoittaa. Lisäksi politiikassa ja sen liitteissä kuvataan kunnan keskeiset tietoturvaperiaatteet, -tavoitteet, -roolit ja -vastuut. Tämä politiikka katselmoidaan ja päivitetään tarvittavilta osin vuosittain. Dokumentti on kokonaisuudessaan saatavilla kunnan intranetissä sekä internet-sivuilla. 2 Tietoturvapolitiikan tarkoitus ja tausta Tämä politiikka toimii kunnan ylimpänä turvallisuusasiakirjana, sekä perustana toimialojen omille politiikoille ja ohjeille, jotka tarkentavat tässä politiikassa annettuja määräyksiä. Tämä politiikka kuvaa tietoturvan roolin kunnan toiminnoissa ja palveluissa, perustuen tehtyihin riskiarvioihin ja toimintaa säätelevien lakien vaatimuksiin. 3 Keitä tietoturvapolitiikka koskee Tämä tietoturvapolitiikka on kunnanhallituksen hyväksymä ja koskee koko kuntakonsernia sekä niitä sidosryhmiä (yhteistyö- ja sopimuskumppanit) jotka käsittelevät kunnan omistamaa tai hallinnoimaa tietoa. Politiikassa esitetyt periaatteet ja käytännöt koskevat kaikissa elinkaaren vaiheissa (luonti, säilytys, siirto, poisto) ja kaikissa muodoissa (mm. paperi, sähköinen, optinen, puhuttu) olevaa tietoa. 4 Tietoturvallisuus Tietoturvallisuus kattaa tietoturvaan ja tietosuojaan liittyvät toteutukset. Tietoturvalla kunnassa tarkoitetaan kaikissa muodoissa olevan tiedon (sekä tietojärjestelmien, tietoliikenteen, palveluiden ja niiden käyttöympäristöjen) turvaamista siten, että tiedon luottamuksellisuus, eheys ja saatavuus kyetään varmistamaan. Tietosuojalla kunnassa tarkoitetaan henkilön yksityisyyden ja henkilötietojen suojaamista niin, että henkilön yksilöivää tietoa ei paljastu siihen oikeudettomille tiedon elinkaaren missään vaiheessa (Henkilötietolaki 22.4.1999/523). Periaatteena on, että tietoturvallisuuskäytännöt kattavat kaikki kunnan tietojenkäsittelytehtävät sisältäen myös asiakirjahallinnon sekä arkistoinnin ottaen huomioon toimialojen ja työyksiköiden 3 Päivitetty 3.5.2017

4 (8) perusluonteen ja tietoturvatarpeet. Tietoturvallisuus pyritään integroimaan kiinteästi kunnan palveluihin ja toimintaan, sekä jokaisen käyttäjän työtapoihin. Tietoturvallisuutta toteutetaan käytännössä seuraavilla: Asenne: Tiedon käsittelijä ymmärtää tietoturvan merkityksen ja omat vastuunsa, sekä on motivoinut noudattamaan tätä politiikkaa sekä tästä politiikasta johdettuja tietoturvaohjeita ja -määräyksiä. Eheys: Tieto, tietojärjestelmät ja paperiasiakirjojen arkistot ovat luotettavia, oikeellisia ja ajantasaisia. Toisin sanoen tieto ei ole muuttunut teknisen vian seurauksena tai tietoa ei ole muutettu ihmisen toimesta tahallisesti tai tahattomasti. Kiistämättömyys: Tiedonkäsittelytoimenpiteiden suorittamista siten, että käsittelyn osapuolet voidaan yksiselitteisesti tunnistaa sekä toimenpiteiden aikana että jälkikäteen. Luottamuksellisuus: Tieto on vain siihen oikeutettujen saatavissa eikä sitä paljasteta tai muutoin saateta sivullisten tietoon. Tiedon käsittelyssä noudatetaan julkisuuslakia sekä erikseen, toiminnoittain/järjestelmittäin, hyväksyttyjä tietojen turvaluokituksien mukaisia sääntöjä ja ohjeita. Pääsynvalvonta: Tietoa tai tietojärjestelmää ei voi käyttää ilman lupaa ja ettei arkistotiloihin tai vastaaviin pääse ilman kontrolloitua pääsynvalvontaa. Saatavuus: Tieto ja tietojärjestelmät ovat käytettävissä ja käyttökelpoisia valtuutetuille käyttäjille ja tietojärjestelmille, sovituilla tavoilla ja sovittuun aikaan. Kunnan tietoturvatyön periaatteet ja toteutukset perustuvat ensisijassa Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) ohjeisiin ja suosituksiin, Tietoturvatasojen määrittelemiin Perustaso -vaatimuksiin (Tietoturvallisuusasetus 681/2010) ja tietosuojavaltuutetun toimiston antamiin ohjeisiin. Tietoturvatoteutukset koskien henkilöstö-, tietoaineisto-, fyysistä, tietoliikenne-, laitteisto-, ohjelmisto- ja käyttöturvallisuutta kuvataan tietoturvasuunnitelmassa. 5 Kokonaisturvallisuus Kunnan kokonaisturvallisuus koostuu riskienhallintaan, varautumiseen ja turvallisuuteen liittyvistä prosesseista ja niiden toteutuksista. Tietoturvapolitiikka on osa kunnan kokonaisturvallisuuden hallintaa. 6 Riskienhallinta Riskienhallinta toimii kunnan kokonaisturvallisuuden perustana. Riskienhallinnan avulla kunnan palveluihin ja toimintoihin kohdistuvia riskejä hallitaan järjestelmällisesti ja koko organisaation laajuisesti. Riskienhallinta kuuluu jokaisen työntekijän vastuulle. 4 Päivitetty 3.5.2017

5 (8) 7 Varautuminen ja jatkuvuudenhallinta Kunta on varautunut erilaisiin, toimintaa häiritseviin tai toiminnan keskeyttäviin uhkatilanteisiin, kriiseihin ja niistä toipumiseen ennakolta. Tämä tapahtuu kehittämällä ja ylläpitämällä seuraavia varautumiseen ja jatkuvuudenhallintaan liittyviä suunnitelmia: Valmiussuunnitelma toiminnan, palveluiden ja järjestelmien hallinnoimiseksi poikkeusoloissa joka sisältää: Jatkuvuussuunnitelmat toiminnan kannalta kriittisille palveluille ja toiminnoille niiden jatkuvuuden turvaamiseksi Toipumissuunnitelmat kriittisille tietojärjestelmille ja -verkoille niiden mahdollisimman nopean toipumisen, toiminnan uudelleenaloittamisen ja jatkamisen varmistamiseksi Lakisääteiset pelastussuunnitelmat ihmisten ja omaisuuden suojelemiseksi, sekä vahinkojen minimoimiseksi onnettomuustilanteissa 8 Turvallisuus Tietoturvan ja tietosuojan ohella keskeisimpiä turvallisuuden osa-alueita kunnassa ovat: Turvallisuusjohtaminen on turvallisuuden toteutumisen ohjaamista ja valvomista kaikilla tietoturvaprosessin kuvaamilla osa-alueilla. Henkilöstöturvallisuus on kunnan ja sidosryhmien henkilöstöön kohdistuvien ja henkilöstöstä aiheutuvien riskien hallintaa. Periaatteena on, että tietoturva huomioidaan työ- / virkasuhteen kaikissa vaiheissa. Fyysinen turvallisuus koostuu järjestelyistä joilla kunnan tiloja, ihmisiä, tietoa ja muuta omaisuutta suojataan vahingoilta ja vahingoittamisyrityksiltä. 9 Tietoturvatavoitteet Hyväksyessään tietoturvapolitiikan kunnanhallitus asettaa seuraavat, kuntastrategiaa tukevat ja koko organisaatiota koskevat pitkän tähtäimen tietoturvatavoitteet: 1. Osaava ja hyvinvoiva henkilöstö: Koko kunnan henkilökunta ja luottamushenkilöstö on osallistunut Tietoturvan perusteet -koulutukseen 2. Kuntalaiset ja sidosryhmät asiakkaina ja toimijoina: Salassa pidettävää tai luottamuksellista tietoa ei paljastu tietoon oikeudettomille 5 Päivitetty 3.5.2017

6 (8) 3. Tietoturvan hallinnolliset ja tekniset järjestelyt täyttävät keskeisiltä osin Tietoturvatasojen Perustaso -vaatimukset (Tietoturvallisuusasetus 681/2010) 10 Roolit ja vastuut Tietoturvan toteuttaminen on jatkuvaa, laaja-alaista ja kaikille toimijoille kuuluvaa toimintaa. Periaatteena on, että tietoturvan toteuttamiseen osallistuvat kunnan ja sidosryhmien henkilöstö, osana omaa yleistä toimintavastuutaan. Käytännössä tämä tarkoittaa hyvien tiedonhallintatapojen, tietoturvamääräysten ja -ohjeiden noudattamista, sekä tietoturvan huomioimista kaikessa tekemisessä. Ylin vastuu tietoturvasta, riskienhallinnasta ja varautumisesta on kunnanhallituksella. Tietoturvan ohjaus- ja kehittämistyössä tarvittava muu erityisasiantuntemus ja nimetyt turvallisuusvastuut kuvataan liitteessä 1. 11 Tietojärjestelmien käyttö Kunnan periaatteiden mukaisesti tietojärjestelmät ovat tarkoitettu työtehtävien hoitamiseen eikä niitä tule käyttää kunnan omistaman tai hallinnoiman tiedon vaarantumiseen johtavaan toimintaan. Kunnalle tai sen toiminnalle mahdollisesti aiheutetun haitan korvausvastuussa on ensisijassa vaarantumisen aiheuttaja. Käyttäjien toimintaa ohjataan tästä politiikasta johdetuilla tietoturvamääräyksillä ja -ohjeilla. Tiedon ja tietojärjestelmien väärinkäyttöön puututaan kunnan normaalein kurinpitomenettelyin. 12 Tietoturvan seuranta, ylläpito ja kehittäminen Kunnan tietoturvatavoitteiden toteutumista seurataan säännöllisesti. Seuranta perustuu talousarvio- ja toimintasuunnitelman mukaisiin mitattaviin tavoitteisiin ja raportointikäytäntöihin, sekä yhteisesti sovittuihin teknisen valvonnan keinoihin. Tietoturvan ylläpidossa ja kehittämisessä keskeisessä roolissa on osaaminen mitä toteutetaan säännöllisillä koulutus- ja viestintäkäytännöillä. Tässä politiikassa kuvatut määräykset ja periaatteet koulutetaan koko kunnan henkilöstölle ja luottamushenkilöstölle perehdytysprosessien mukaisesti. Tarvittavien ulkoisten sidosryhmien tietoturvaosaamisesta vastaa kyseisen toimialan johto. Periaate on, että kaikki jotka käsittelevät kunnan omistamaa tai hallinnoimaa tietoa saavat riittävät edellytykset tiedon asianmukaiseen käsittelyyn. Tietoturvatoteutukset sekä asetettujen tietoturvatavoitteiden edellyttämät hallinnolliset, fyysiset ja tekniset ratkaisut kuvataan tietoturvaperiaatteet ja käytännöt -dokumentissa. 6 Päivitetty 3.5.2017

7 (8) LIITE 1: ROOLIT JA VASTUUT Luottamushenkilöstö Vastaa tietoturvallisuuden toteuttamisesta omissa luottamustehtävissään Kunnanhallitus Päättää kunnan tietoturvapolitiikasta Vastaa tietoturvapolitiikan toteutumisesta Kunnanjohtaja Päättää käytännön tietoturvan toteuttamistavoista (tietoturvasuunnitelma) Raportoi ja tekee kehittämisehdotuksen kunnanhallitukselle tietoturvapolitiikkaan liittyen Tietoriskien ja tietoturvapoikkeamien hallinnan koordinointi Kunnan johtoryhmä/toimialajohtajat Valmistelee tietoturvapolitiikan ja tietoturvasuunnitelman kehittämiseen ja käytäntöön viemiseen liittyvät asiat yhteistyössä tietoturvapäällikön kanssa Edistää tietoturvatietoisuutta toimialoilla ja henkilöstön keskuudessa Tietoturvallisuuteen liittyvän viestinnän tukeminen ja toteuttaminen yhdessä tietoturvapäällikön kanssa Tietoturvapäällikkö (tietohallintojohtaja) Valmistelee tietoturvapolitiikan ja tietoturvasuunnitelman kehittämiseen ja käytäntöön viemiseen liittyvät asiat yhteistyössä johtoryhmän kanssa Vastaa henkilöstön tietoturvakoulutusten järjestämisestä Vastaa tietoturvaan liittyvän raportoinnin kunnan johtoryhmälle Tietosuojavastaava Toimii asiantuntijana tietoturvan järjestämissä, hyvän henkilötietojen käsittelytavan ja mahdollisten lakien edellyttämän tietosuojan tason saavuttamiseksi Neuvoo, ohjaa ja viestii tietosuojakysymyksissä Raportoi tietosuojan toteutumisesta ja kehitystarpeista valvoville viranomaisille ja kunnanjohtajalle 7 Päivitetty 3.5.2017

8 (8) Tietosuojavaatimusten täyttämisen ja oikeuksien toteutumisen seuranta ja valvonta Toimialojen johto Tietoturvallisuuden toteuttaminen ja toteutumisen valvonta oma toimialansa osalta Tietoturva- ja tietosuojavastuiden toteuttaminen vastuullaan olevissa tytäryhtiöissä Toimintaa säätelevien lakien, säädösten, direktiivien ja määräysten huomioiminen omassa organisaatiossaan (tietoturvallisuuden osalta) Sisäisen valvonnan raportin tuottaminen vuosittain toimialaansa koskien Esimies Tietoturvallisuuden toteuttaminen ja toteutumisen seuranta vastuullaan olevien yksiköidensä osalta Oman organisaationsa tietoturvaan ja tietosuojaan liittyvän osaamisen ja koulutuksen toteutumisen varmistaminen Tietotekniikan tukihenkilöstö Tietoturvapolitiikan soveltaminen ja toteuttaminen omaa erikoisasiantuntemusta hyödyntäen Tietoturvatoimenpiteiden huomioiminen omalla vastuualueellaan Teknisen valvonnan toteuttaminen tietoturvapäällikön ohjauksessa ja valvonnassa Tietojärjestelmän pää- ja varapääkäyttäjä Tiedon tai tietojärjestelmän suojaamistarpeen määrittäminen ja toteuttaminen Tietojärjestelmäkuvauksien ja tietojärjestelmä- sekä henkilörekisteriselosteiden ylläpito Käyttöoikeuksien hallinta tietojärjestelmissä Henkilöstö Tietoturvallisuuden toteutuminen omissa työtehtävissään Havaitsemiensa tietoturvaan liittyvien ongelmien, uhkien, poikkeamien tai ohjeiden vastaisen menettelyn raportointi 8 Päivitetty 3.5.2017

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute