Tietoturvapolitiikan käsittely / muutokset: Versio Muutoksen kuvaus Tekijä Päiväys 0.7 Luonnoksen laadinta Tietoturvaryhmä 07.11.2016 0.8 Kommentointi Tulosalueiden johtoryhmät 14.11.2016 0.9 Tarkastus Kaupunginjohtajan johtoryhmä 22.11.2016 0.94 Valmistelu Tietoturvaryhmä 27.2.2017 0.95 Hyväksyntä Kaupunginjohtajan strateginen johtor. 28.3.2017 1.0 Hyväksyntä Kaupunginhallitus 3.4.2017 Heinolan kaupunki Rauhankatu 3, 18100 Heinola Puh. (03) 849 30 (vaihde), kirjaamo@heinola.fi Y-tunnus 1068892-9 www.heinola.fi
2/ 7 Sisällys 1 Yleistä... 3 1.1 Tietoturvatyön tavoite... 3 1.2 Tietoturvatyötä ohjaavat tekijät... 3 2 Tietoturvan periaatteet...4 2.1 Tietoturvan osa-alueet ja käsitteet...4 3 Tietoturva osana Heinolan kaupungin toimintaa... 6 4 Organisointi ja vastuut... 6 4.1 Tietoturvatyön johtaminen... 6 4.2 Käytännön tietoturvatyö ja tietoturvan kehittäminen... 6 5 Tietoturvasta tiedottaminen ja toteutumisen valvonta... 7
3/ 7 1 Yleistä Tietoturvapolitiikka on Heinolan kaupunginhallituksen hyväksymä strateginen asiakirja. Politiikka toimii perustana muille kaupungin tietoturvallisuutta koskeville asiakirjoille, joiden tehtävänä on tarkentaa tätä politiikkaa ja auttaa sen käytäntöön soveltamisessa. Jokaisen Heinolan kaupungin viranhaltijan, työntekijän ja luottamushenkilön sekä muun kaupungin tietojen ja tietojärjestelmien käyttäjän on tunnettava tämä tietoturvapolitiikka sekä noudatettava sen perusteella annettuja ohjeita ja määräyksiä. Tietoturvapolitiikkaa sovelletaan kaikkeen Heinolan kaupungin hallussa olevaan tietoon ja muuhun dataan (myöh. tieto) riippumatta sen esitystavasta, muodosta, suojaustasosta, elinkaaren vaiheesta, esiintymisympäristöstä tai siirtotiestä. Tämä politiikka katselmoidaan vuosittain ja lisäksi sitä päivitetään tarvittaessa. 1.1 Tietoturvatyön tavoite Heinolan kaupungin palvelutuotannossa ja sitä tukevissa sisäisissä toiminnoissa tarvitaan eri muodoissa olevaa ja eri lähteiden tuottamaa tietoa. Tiedon lisäksi tärkeässä roolissa ovat osaavan henkilöstön asianmukainen toiminta, erilaiset tekniset järjestelmät sekä sujuvan ja turvallisen työskentelyn mahdollistavat toimitilat. Nämä yhdessä muodostavat kokonaisuuden, jonka tieto- ja kyberturvallisuudesta sekä tietosuojasta huolehtiminen on tärkeää kaupungin palvelujen laadun takaamiseksi. Heinolan kaupungin tietoturvatyön tavoitteena on osaltaan varmistaa palvelutoiminnan luotettavuus, jatkuvuus ja laatu siten, että kuntalaisille tarjottavia palveluja voidaan tuottaa keskeytyksettä. Heinolan kaupungin tietoturvatyön tavoitteena on turvata kaupungin toiminnalle tärkeiden tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, estää tietojen ja tietojärjestelmien oikeudeton käyttö, tiedon tahaton tai tahallinen tuhoutuminen tai vääristyminen sekä minimoida mahdollisesti aiheutuvat vahingot. Tietoturvatyön tavoitteena on myös toteuttaa lainsäädännön tietojen käsittelyyn kohdistamat vaatimukset, kuten yksityisyydensuojan asianmukainen toteuttaminen. Normaaliajan toiminnan tietojenkäsittelyn turvaamisen lisäksi varaudutaan toiminnan keskeyttäviin uhkatilanteisiin ja niistä toipumiseen. Kaupungin tiedot ja tietojenkäsittelyjärjestelmät pidetään asianmukaisesti suojattuina sekä normaali- että poikkeusoloissa hallinnollisten ja teknisten toimenpiteiden avulla. Heinolan kaupunki varautuu turvaamaan ensi sijassa kriittisten toimintojensa ja palveluidensa jatkuvuuden normaalioloissa, normaaliolojen häiriötilanteissa sekä poikkeusoloissa. Varautumista toteutetaan ylläpitämällä, harjoittelemalla ja testaamalla tarvittavia suunnitelmia. Tavoitteena on varautua toiminnan häiriöihin ja keskeytyksiin niin, että toimintaa voidaan jatkaa mahdollisimman normaalisti, rajoittaa häiriöiden haittavaikutuksia sekä toipua häiriöistä mahdollisimman nopeasti. 1.2 Tietoturvatyötä ohjaavat tekijät
4/ 7 Kaupungin tietoturvaa velvoittavat ja ohjaavat kansallinen ja kansainvälinen lainsäädäntö ja toimialakohtainen erityislainsäädäntö. Kaupungin tietoturvalle asettaa vaatimuksia ja tavoitteita kaupungin strategia. Lisäksi tietoturvaa ohjaavat soveltuvilta osin Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010, 5 ) sekä Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmän (VAHTI) ohjeet. 2 Tietoturvan periaatteet Heinolan kaupungissa tietoturvalla tarkoitetaan keinoja, joilla tietoa suojataan normaalitilanteissa, normaaliolojen häiriötilanteissa ja poikkeusoloissa. Tiedon turvallisuudesta huolehtiminen on kiinteä osa kaupungin kaikkia toimintoja ja liittyy siksi jokaisen työntekijän arkipäivän työtehtäviin ja työtapoihin. Tietoturva rakentuu seuraavien, painoarvoltaan tapauskohtaisesti vaihtelevien periaatteiden varaan. Luottamuksellisuus: Tieto on vain siihen oikeutettujen käytettävissä. Eheys: Tieto on oikeaa ja eheää eikä sitä ole muutettu tahallisesti tai tahattomasti, eikä tieto ole muuttunut teknisen häiriön seurauksena. Saatavuus: Tieto, tietojärjestelmä tai palvelu on siihen oikeutettujen henkilöiden ja järjestelmien saatavilla silloin kun sitä tarvitaan. Kiistämättömyys: Eri menetelmin saatava näyttö siitä, että tiedonkäsittelytoimenpiteet suoritetaan niin, että käsittelyn osapuolet voidaan yksiselitteisesti tunnistaa ja mahdolliset muutokset todentaa. 2.1 Tietoturvan osa-alueet ja käsitteet Tietoturvatyössä on huomioitava seuraavat osa-alueet ja käsitteet: Fyysinen turvallisuus Fyysiseen turvallisuuteen kuuluvat mm. kulunvalvonta, työasemien murtosuojaus ja turvamerkintä, palvelintilojen lukitseminen ja paloturvallisuus, varmuuskopioiden ja lisenssien turvallinen säilytys, hälytysjärjestelmät ja vartiointi sekä verkkokaapeloinnin ja laitekaappien suojaus ulkopuolisilta. Fyysisen turvallisuuden varmistaminen sisältää ne toimenpiteet, järjestelmät ja rakenteet, joiden avulla kaupungin tiloja, siellä olevia ihmisiä, tietoa ja muuta omaisuutta suojataan fyysisiltä ja kiinteistövahingoilta, vahingoittamisyrityksiltä ja oikeudettomilta henkilöiltä. Hallinnollinen tietoturva Hallinnollisella tietoturvalla tarkoitetaan johdon hyväksymiä periaatteita, vastuunjakoa, resursointia sekä riskien arviointia. Hallinnollisen tietoturvan tavoitteena on luoda kaupungille toimintatapa, jolla tietoturvariskit vältetään.
5/ 7 Henkilöstöturvallisuus Henkilöstöturvallisuuden tavoite on estää ennakolta työntekijöistä aiheutuvat tietoturvariskit. Henkilöstöturvallisuuden riskeiksi voivat muodostua esimerkiksi liian laajat käyttöoikeudet, välinpitämätön asenne tietoturvallisuutta kohtaan sekä motivaation puute ja tyytymättömyys työhön. Myös tietojen kalastelu ja urkkiminen sekä niiden kohteeksi joutuminen on riski, johon tulee varautua. Riskejä estetään mm. sisällyttämällä tietoturva-asiat perehdytykseen, tarjoamalla riittävästi tietoturvaan ja suojaan liittyvää koulutusta ja ohjeistusta sekä luomalla tietoturvaa ylläpitävät työskentelytavat. Henkilöstöstä, joiden tehtäviin sisältyy erityisesti salassa pidettävän tiedon käsittelyä tai pääsy sellaiseen tietoon, voidaan tarvittaessa tehdä turvallisuusselvitys. Kyberturvallisuus Kyberturvallisuudella pyritään turvaamaan kaupungin sähköisen ja verkottuneen ympäristön, kuten energiantuotannon, vedenjakelun ja kiinteistötekniikan turvallisuus. Tietoturvaan sisältyvät myös ne toimenpiteet, joilla turvataan kybertoimintaympäristön luottamuksellisuus, eheys, saatavuus ja jatkuvuus. Käyttöturvallisuus Käyttöturvallisuudella luodaan ja ylläpidetään tietotekniikan turvallisen käytön vaatimat toimintaolosuhteet. Tämä toteutetaan huolehtimalla mm. toimivuuden valvonnasta, käyttöoikeuksien hallinnasta, käytön ja lokien valvonnasta, ohjelmistotukeen, ylläpito- ja kehitystoimintoihin liittyvistä turvallisuustoimenpiteistä, varmuuskopioinnista sekä häiriöraportoinnista. Laitteistoturvallisuus Laitteistoturvallisuudella tarkoitetaan tietoteknisten laitteiden sisäisiä turvallisuusominaisuuksia, joilla varmistetaan laitteiden luotettava ja häiriötön toiminta. Ongelmia voivat aiheuttaa esimerkiksi väärät käyttöolosuhteet, laitteistovirheet tai laitteiden virheellinen käyttö. Laitteistoturvallisuuden varmistamisen keinoja ovat mm. huollon sekä varaosien ja tarvikkeiden nopea saatavuus. Ohjelmistoturvallisuus Ohjelmistoturvallisuus tarkoittaa käyttöjärjestelmien sekä muiden sovellusten tunnistamis- ja suojausominaisuuksia, valvonta- ja lokimenettelyjä sekä ohjelmistojen ylläpitoon ja päivitykseen liittyviä turvallisuustoimenpiteitä. Ohjelmistojen turvallisuuteen vaikuttavat mm. käytönaikaiset asetukset sekä käyttäjien saama koulutus ja ohjeistus. Tietoaineistoturvallisuus Tietoaineistoturvallisuudella tarkoitetaan sekä paperimuodossa että sähköisessä muodossa olevien tietojen (asiakirjojen, tiedostojen) luottamuksellisuuden säilyttämistä sekä tietojen tuhoutumisen tai tahallisen sekä tahattoman muuttumisen estämistä.
6/ 7 Tietoliikenneturvallisuus Tietoliikenneturvallisuuden keskeisenä tavoitteena on varmistaa verkossa välitettävien viestien alkuperäisyys, koskemattomuus ja luottamuksellisuus. Kyse on kaikista toimenpiteistä, joilla varmistetaan tietojen turvallisuus tiedon liikkuessa organisaation sisällä tai organisaatioiden välillä. Tietosuoja Tietosuoja tarkoittaa henkilön yksityisyyden ja henkilötietojen turvaamista. Tietosuojan varmistaminen sisältää velvoittavien tietosuojasäädösten mukaiset toimenpiteet, joilla varmistetaan henkilön yksityisyyden suojan sekä muiden sitä turvaavien oikeuksien toteutuminen henkilötietoja käsiteltäessä. 3 Tietoturva osana Heinolan kaupungin toimintaa Tietoturvapolitiikka sekä sen perusteella annetut muut ohjeet sisällytetään kiinteäksi osaksi kaupungin johtamista ja käytännön toimintaa. Tietoturvatyö on osa Heinolan kaupungin riskienhallinta. Riskienhallinnan tavoitteena on riskien rajoittaminen hyväksyttävälle tasolle niin, että riskienhallintakeinot ovat suhteessa suojattavan kohteen kriittisyyteen ja riskin suuruuteen. Riskienhallinta kattaa kaikki riskit, mukaan lukien tietoon kohdistuvat ja tiedosta aiheutuvat riskit. Tietoturvatyö edellyttää koko henkilöstöltä tietoturvakäytänteiden tuntemista ja ohjeiden noudattamista. Tietoturvakoulutukset ja tietoturvatietoisuuden lisääminen ovat osa säännöllistä kehittämis- ja perehdyttämistoimintaa. Jokainen työntekijä on velvollinen osallistumaan kaupungin järjestämiin koulutuksiin. Tietoturva ja siitä annettu ohjeistus on otettava huomioon Heinolan kaupungin hankinnoissa ja sopimuksissa siten, että tietoturvan toteutuminen varmistetaan myös sidosryhmien kanssa tehtävässä yhteistyössä. 4 Organisointi ja vastuut 4.1 Tietoturvatyön johtaminen Kaupunginhallitus seuraa tietoturvan toteutumista kaupungissa. Kaupunginhallitus hyväksyy kaupungin yhteisen tietoturvapolitiikan. Kaupunginhallituksella on vastuu kaupungin sisäisen valvonnan ja riskienhallinnan järjestämisestä. Hallitus päättää aloittavan tietoturvaryhmän kokoonpanosta. Tietoturvaryhmän kokoonpano on esitetty luvussa 4.2 Käytännön tietoturvatyö ja tietoturvan kehittäminen. Kaupunginjohtajalla on kokonaisvastuu tietoturvan toteuttamisesta ja tietoturvan toteutumisen raportoinnista kaupunginhallitukselle osana kaupungin kokonaisriskienhallintaa. Kaupunginjohtaja hyväksyy kaupunkitasoiset ohjeet ja linjaukset sekä päättää muutoksista tässä politiikassa nimetyn tietoturvaryhmän kokoonpanoon. 4.2 Käytännön tietoturvatyö ja tietoturvan kehittäminen
7/ 7 Heinolan kaupungin tietoturvan operatiivisen organisaation muodostavat Tietohallintopäällikkö ja tietoturvaryhmä. Tietohallintopäällikkö vastaa kaupungin tietoturvaryhmän toiminnasta ja tietoturvan toteuttamisesta eli tietoturvan hallintamallin toimivuudesta tietoturvapolitiikan ja kaupunkitasoisen tietoturvadokumentaation valmistelusta ja kehittämisestä tietoturvaan liittyvästä viestinnästä tietoturvakoulutusten ja -perehdytysten organisoinnista Tietohallintopäällikkö raportoi tietoturvan toteutumisesta osana kaupungin kokonaisriskienhallintaa. Tietoturvaryhmän jäsenet tekevät tietoturvan toteuttamiseksi tarkoitettuja tehtäviä ja kehittävät tietoturvaa omalla vastuualueellaan organisaatiotasoisesti. Ryhmä toimii koko kaupungin tukena tietoturva-asioissa. Tietoturvaryhmän muodostavat: Asianhallintapäällikkö Kaupunginlakimies/tietosuojavastaava Kiinteistöpäällikkö Sisäinen tarkastaja Sosiaali- ja terveystoimen tietohallintokoordinaattori Tietohallintoasiantuntija Tietohallintopäällikkö Kaupunginlakimies toimii EU:n tietosuoja-asetuksen mukaisena kaupungin tietosuojavastaavana. Tietosuojavastaava raportoi tietosuoja-asetuksen mukaisista asioista suoraan kaupungin ylimmälle johdolle. Sen lisäksi tietosuoja-asioita käsitellään tietoturvaryhmässä. Vastuu tietoturvaohjeiden mukaisesta toiminnasta on omalta osaltaan jokaisella Heinolan kaupungin luottamushenkilöllä, työntekijällä ja kaupungin lukuun tai toimeksiannosta toimivalla. Esimies vastaa tietoturvallisuuden toteutumisesta omalla vastuualueellaan sekä oman organisaationsa perehdyttämisestä kaupungin tietoturvaohjeisiin sekä jokaisen työntekijän työtehtäviin liittyviin tietoturvavastuisiin. 5 Tietoturvasta tiedottaminen ja toteutumisen valvonta Kaupungin sisäisestä tietoturvatiedottamisesta vastaa tietohallintopäällikkö. Operatiivisista ongelmatilanteista kuten esimerkiksi käyttökatkoista tiedottaa joko ICT-palvelut tai sovelluksen pääkäyttäjä. Tietoturvapolitiikan ja ohjeiden noudattaminen, seuranta ja niistä raportointi on osa kaupungin sisäistä valvontaa ja riskienhallintaa. Kaupunki laatii vuosittain tietotilinpäätöksen osana sisäisen valvonnan ja riskienhallinnan raportointia.