Ammattikorkeakoulu 108 Liite 1



Samankaltaiset tiedostot
KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

TIETOTURVA- POLITIIKKA

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Sovelto Oyj JULKINEN

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Utajärven kunta TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka

JOENSUUN KAUPUNGIN TIETOTURVAPOLITIIKKA

HEINÄVEDEN KUNNAN TIETOTURVAPOLITIIKKA

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET ALKAEN

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Tietoturvapolitiikka

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Johtokunta Tietoturva- ja tietosuojapolitiikka

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka

Tietosuoja- ja tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka

Tietoturvapolitiikka Porvoon Kaupunki

Laatua ja tehoa toimintaan

Tietoturvapolitiikka

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Lapin yliopiston tietoturvapolitiikka

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

Espoon kaupunki Tietoturvapolitiikka

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Eläketurvakeskuksen tietosuojapolitiikka

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Espoon kaupunki Tietoturvapolitiikka

TIETOTURVAPOLITIIKKA

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Espoon kaupunkikonsernin tietoturvapolitiikka

Etelä-Pohjanmaan sairaanhoitopiirin tietoturva- ja tietosuojapolitiikka

6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

KESKI-POHJANMAAN IT-ALUEKESKUS. KPA:n TIETOTURVAPOLITIIKKA 2012 ja tietoturvamääräykset

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Tietoturvapolitiikan käsittely / muutokset:

TIETOSUOJAPOLITIIKKA

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Tietoturvapolitiikka

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Tietoturvapolitiikka

Kunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka

Jämsän kaupungin tietoturvapolitiikka

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

TIETOTURVAPOLITIIKKA

PUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietoturva- ja tietosuojapolitiikka

Politiikka: Tietosuoja Sivu 1/5

Itä-Savon sairaanhoitopiirin kuntayhtymän KYS erityisvastuualue-tasoinen Tietosuoja- ja tietoturvapolitiikka

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

SUONENJOEN KAUPUNKI TIETOSUOJA- JA TIETOTURVAPOLITIIKKA

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Tietoturva- ja tietosuojapolitiikka

Tietoturva- ja tietosuojapolitiikka

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

PK-yrityksen tietoturvasuunnitelman laatiminen

Tietoturvavastuut Tampereen yliopistossa

Tietoturvapolitiikka. Hattulan kunta

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Pilvipalveluiden arvioinnin haasteet

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

TIETOTURVATASOVAATIMUKSET HANKINNOISSA

Korkeakoulujen valtakunnallinen tietovaranto. Ilmari Hyvönen

TIETOTURVA JA TIETOSUOJAPOLITIIKKA

PUUMALAN KUNNAN TIETOTURVAPOLITIIKKA

MEIDÄN KIRKON TIETOTURVAPOLITIIKKA Suomen evankelis-luterilaisen kirkon tietojärjestelmien tietoturvapolitiikka

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Tietojärjestelmien varautuminen

Johdanto

Tietoturva ja viestintä

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

Valtiontalouden tarkastusviraston tietoturvapolitiikka

Karkkilan kaupungin tietoturvapolitiikka

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Tietosuoja Copyright (c) 2005 ACE LAW Offices

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

Suomen evankelis-luterilaisen kirkon tietojärjestelmien tietoturvapolitiikka vuodelle 2011.

Kuopion kaupunki Dnro 3720/2018 Elinvoima- ja konsernipalvelu Tietohallinto

SISÄLTÖ. 1 RISKIENHALLINTA Yleistä Riskienhallinta Riskienhallinnan tehtävät ja vastuut Riskienarviointi...

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Transkriptio:

2 (7) Tietoturvapolitiikka Johdanto Tietoturvapolitiikka on ammattikorkeakoulun johdon kannanotto, joka määrittelee ammattikorkeakoulun tietoturvallisuuden tavoitteet, vastuut ja toteutuskeinot. Ammattikorkeakoululla on sidosryhmiä, jotka asettavat vaatimuksia, velvoitteita, määräyksiä ja ohjeita tietoturvallisuuden suhteen. Tällaisia ovat mm. asiakkaat, sopimuskumppanit ja lainsäätäjä. Tavoitteet ja päämäärä Tavoitteet Päämäärä Tietoturvallisuuden käsite ja merkitys Tietoturvauhkien huomioiminen on tärkeää, koska ammattikorkeakoulun päivittäinen toiminta perustuu pitkälle tietojärjestelmien ja tietoverkkojen turvalliseen ja luotettavaan toimintaan. Normaaliajan toiminnan tietojenkäsittelyn turvaamisen lisäksi varaudutaan toiminnan keskeyttäviin uhkatilanteisiin ja niistä toipumiseen. Ammattikorkeakoulu suhteuttaa tietoturvatoimensa uhkien vakavuuteen, tekniseen kehitystasoon ja kustannuksiin. Tietoturvaa pitää jatkuvasti kehittää vastaamaan muuttuvia toimintariskejä, vaatimuksia ja ympäristöjä. Ammattikorkeakoulun tiedot, tietojenkäsittelyjärjestelmät, tietoverkko ja sen palvelut pidetään asianmukaisesti suojattuina normaali-, häiriö- ja erityistilanteissa sekä poikkeusoloissa hallinnollisten, teknisten ja muiden toimenpiteiden avulla. Ammattikorkeakoulun tietoturvallisuustyön päämäärä on turvata ammattikorkeakoulun toiminnalle tärkeiden tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, estää tietojen ja tietojärjestelmien valtuudeton käyttö, tahaton tai tahallinen tiedon tuhoutuminen tai vääristyminen sekä minimoida aiheutuvat vahingot. Tietoturvallisuus tarkoittaa tietojenkäsittelyn turvaamista. Tietoturvallisuustyö on tietoturvallisuuden saavuttamiseksi tehtävien toimenpiteiden suunnittelua, toteuttamista, valvontaa, seurantaa ja ohjausta. Toimintaan kuuluvat tietojen turvaamisen menetelmät, välineet ja toimenpiteet, työhön osoitetut resurssit sekä välineistön tietoturvaominaisuudet.

3 (7) Tietoturvatoimintaa ohjaavat tekijät Yhteisötilaaja Tietoturvallisuus rakentuu tiedon luottamuksellisuudesta, eheydestä ja käytettävyydestä sekä lisäksi soveltuvilta osin pääsynvalvonnasta ja kiistämättömyydestä. Luottamuksellisuus tarkoittaa, että tiedot ovat vain niiden käyttöön oikeutettujen saatavissa sovituilla tavoilla ja sovittuun aikaan eikä niitä paljasteta tai muutoin saateta sivullisten tietoon. Eheys tarkoittaa, että tiedot ja tietojärjestelmät ovat luotettavia, oikeellisia ja ajantasaisia eivätkä ole muuttuneet tai vahingoittuneet laitteistotai ohjelmistovikojen, luonnontapahtumien tai oikeudettoman inhimillisen toiminnan seurauksena. Käytettävyys tarkoittaa, että tiedot ja tietojenkäsittelyjärjestelmät ovat käytettävissä ja käyttökelpoisia valtuutetuille käyttäjille, toiminnan kannalta hyväksyttävän ajan kuluessa. Pääsynvalvonta tarkoittaa, että tietoa tai tietojärjestelmää ei voi käyttää ilman lupaa. Kiistämättömyys tarkoittaa todisteiden luomista sen varmistamiseksi, ettei yksikään tietojen käsittelyn tai siirron osapuoli voi jälkikäteen kiistää osuuttaan siihen. Tietoturvallisuus kattaa kaikenlaiset ammattikorkeakoulun tietojenkäsittelytehtävät sisältäen myös erityyppisten dokumenttien arkistoinnin. Tietoturvallisuustoimet koskevat sähköisessä, puhutussa ja kirjallisessa muodossa olevan tiedon käsittelyä, säilyttämistä, luovutusta ja siirtoa. Ammattikorkeakoulun tietoturvallisuutta hoidetaan kansallisten ja kansainvälisten tietoturvallisuutta koskevien säädösten pohjalta sekä valtionhallinnon tietoturvallisuudesta annettuja ohjeita ja suosituksia, että CSC - Tieteen tietotekniikan keskuksen tietoturvavaatimuksia, noudattaen. Ammattikorkeakoululla on yhteisötilaajana velvollisuus huolehtia toiminnan turvallisuuden, tietoliikenne-, laitteisto-, ohjelmisto- ja tietoaineistoturvallisuuden varmistamisesta. Ammattikorkeakoulu käsittelee viestintäverkossaan luottamuksellisia viestejä, tunnistamis- ja sidosryhmätietoja sekä henkilötietoja. Ammattikorkeakoulussa käsitellään henkilötietoja, joista osa on arkaluontoisia, kuten opiskelijoita ja heidän terveydentilaansa koskevat arvioinnit (ammattikorkeakoululaki 351/2003). Tietojen käsittely ja luovutus eri sidosryhmille tulee ohjeistaa selkeästi. Ammattikorkeakoulun opetuksen eri osa-alueilla käsitellään todellisia työelämän tietoja, jotka ovat osin salassa pidettäviä, kuten potilas-, katsastus- ja tilitiedot sekä harjoittelupaikkojen ja opinnäytetöiden toimeksiantajaorganisaatioiden liikesalaisuudet. Ammattikorkeakoulu noudattaa toiminnassaan julkisuuslain (621/1999) mukaista hyvää tiedonhallintatapaa ja henkilötie-

4 (7) Vastuut Hyvä ylläpitotapa tolakia (523/1999). Muita tietosuojan kannalta keskeisiä säädöksiä ovat sähköisen viestinnän tietosuojalaki (516/2004) ja yksityisyyden suoja työelämässä (759/2004). Tietoturvallisuustyö omalta osaltaan toteuttaa tietojärjestelmien ja - verkkojen hyvää ylläpitotapaa, joka tarkoittaa suunnitelmallista, vastuuntuntoista ja ammattitaitoista ylläpitoa sekä, jossa otetaan huomioon julkisuuslaissa ja -asetuksessa säädetty hyvä tiedonhallintatapa. Vararehtori ja AMK:n hallitus AMK:n tietoturvaryhmä Tietoturvallisuutta johtaa ammattikorkeakoulun vararehtori. Hänen kanssaan ylin vastuu tietoturvallisuudesta on ammattikorkeakoulun hallituksella, joka vastaa tietoturvallisuuden toteutumisesta ja tarvittavien edellytyksien luomisesta. Vararehtori nimittää tietoturvaryhmään kuuluvat henkilöt niin, että kaikki tietoturvaan liittyvät toiminnot ja vaatimukset tulee katettua. Tietoturvaryhmä edustaa ammattikorkeakoulun eri tahojen tietoturvanäkemyksiä, sovittaa yhteen tietoturvatoimenpiteet ja turvallisuustason sekä ohjaa tietoturvatoimenpiteitä. Tietoturvaryhmän keskeisiä tehtäviä ovat riskianalyysin toteuttaminen, tietoturvallisuuden kehittämissuunnitelman laadinta ja sen toteutuksen seuranta, auditoinnin järjestäminen sekä johdon katselmuksen valmistelu. AMK:n tietoturvavastaava Ammattikorkeakoulussa on rehtorin päätöksellä nimetty tai toimintasäännössä määritelty ammattikorkeakoulun tietoturvavastaava. Ammattikorkeakoulun tietoturvavastaava vastaa tietoturvallisuuden seurannasta, raportoinnista, toteutuksen valvonnasta sekä kehittämishankkeiden toteutuksesta ja tietoturvatietouden edistämisestä. Ammattikorkeakoulun tietoturvavastaava toimii saamiensa resurssien ja toimintavaltuuksien puitteissa apunaan säännöllisesti kokoontuva tietoturvaryhmä, jonka puheenjohtajana toimii tietoturvavastaava.

5 (7) Toimipisteen tietoturvayhteyshenkilö Esimiehet Tietoturvallisuuden toteuttamista ammattikorkeakoulun toimipisteissä ja niiden tietojenkäsittelyjärjestelmissä ohjaa ja valvoo nimetty toimipisteen tietoturvayhteyshenkilö. Esimiehet vastaavat siitä, että oma henkilökunta on selvillä tietoturvan vaatimuksista ja säännöistä sekä noudattaa niitä. Esimies vastaa uusien työntekijöiden ja sijaisten perehdytyksestä yksikössä noudatettaviin tietoturva- ja tietosuojaperiaatteisiin. Esimies käsittelee vähäpätöiset ja tahattomat tietoturvarikkomukset. Kaikki merkittävät, törkeät ja tuottamukselliset tietoturva- ja tietosuojarikkomukset on saatettava tietoturvavastaavan tietoon. Tietojärjestelmien ja -verkkojen ylläpitäjä ja käyttäjä Jokainen ammattikorkeakoulun tietoja käsittelevä, tietojärjestelmien tai tietoverkkojen ylläpitäjä ja käyttäjä on viime kädessä vastuussa tietoturvallisuuden toteuttamisesta omalta osaltaan. Tietojärjestelmien ja tietojen omistaja AMK:n yksiköt Tietojärjestelmän omistaja (haltija) vastaa mm. henkilötietolaissa mainitun rekisterinpitäjän velvollisuuksista sekä oman tietojärjestelmänsä tietoturvallisuudesta dokumentoinnin, turvaluokittelun, käyttäjäoikeusrekisterin ylläpidon, käyttöoikeuksien, käytön, varmistusten, tuen, koulutuksen, ylläpidon, kehittämisen ja jatkuvuussuunnittelun osalta sekä varautumisesta poikkeustilanteisiin. Vastuiden tunnettavuutta edistetään säännöllisin koulutuksin ja harjoituksin. Ammattikorkeakoulun yksiköt varautuvat oman ympäristönsä tietoturvallisuuden toteuttamisen kustannuksiin. Alihankintasuhteet ja ulkoistaminen Ammattikorkeakoulun tietoturvaa koskevasta vastuusta ja tietoturvavaatimuksista johdetut menettelyt ulotetaan alihankintasuhteisiin ja ulkoistettujen palvelujen toimittajaan. Toteutuskeinot Tietoturvallisuuden toteuttamisen perusta on tämä ammattikorkeakoulun johdon hyväksymä kirjallinen tietoturvapolitiikka, joka annetaan tie-

6 (7) Riskikartoitus Tietoturvasuunnitelma doksi ammattikorkeakoulun WWW-sivuilla ja intranetissä jokaiselle ammattikorkeakoulun henkilökunnan jäsenelle, opiskelijalle ja tietojärjestelmien käyttäjälle. Tietoturvallisuuden tavoitteiden saavuttaminen on jatkuva prosessi, joka tapahtuu hallinnollisten, fyysisten ja teknisten ratkaisujen avulla. Ammattikorkeakoulun tietoturvallisuuden kehittämistarpeiden ja tavoitteiden määrittelemiseksi tietoturvaryhmä kartoittaa ammattikorkeakoulun tietoturvallisuusriskit säännöllisin väliajoin. Kartoituksen tavoitteena on tunnistaa toimintaa vaarantavat uhat, kartoittaa tietojenkäsittelyn haavoittuvat kohdat ja arvioida menetykset uhan toteutuessa sekä arvioida tietoturvallisuuden rakentamisen kustannukset riskien vähentämiseksi. Tietoturvaperiaatteiden ja riskikartoituksen pohjalta tietoturvaryhmä laatii ammattikorkeakoulun tietoturvasuunnitelman, jota tarkistetaan säännöllisesti. Tietoturvaperiaatteet sisällytetään ammattikorkeakoulun kokonaisarkkitehtuuriin ja ne otetaan sitä kautta huomioon mm. tietojärjestelmähankinnoissa. Tietoaineistojen ja tietojärjestelmien luokittelu Tietoturvaryhmä huolehtii asiantuntijoita käyttäen ammattikorkeakoulun tietoaineistojen ja tietojärjestelmien luokittelusta tietoaineistojen luottamuksellisuuden ja tietojärjestelmien tärkeyden mukaan. Kullekin turvallisuusluokalle määritellään vaadittava tietoturvallisuustaso ja sen mukaiset tietoturvatoimenpiteet. Tietojärjestelmän omistaja IT-toiminta Vararehtori nimeää jokaiselle tietojärjestelmälle tai sen osalle yksikäsitteisen omistajan. Järjestelmien perehdyttämisvastuu on järjestelmän omistajalla. Perustietotekniikkaan liittyvästä teknisestä tietoturvasta vastaa ITtoiminta. IT-toiminnan yhtenä asiantuntijuusalueena on tietoturvallisuus. IT-toiminta osallistuu aktiivisesti tietoturvan suunnitteluun ja tietoturvatyön toteuttamiseen. IT-toiminta ylläpitää tietoturvaosaamistaan, joka on kaikkien yksikköjen käytettävissä. IT-toiminta järjestää tietoturvaan liittyviä asiantuntija- ja konsultointipalveluja. Tietoturvakoulutusta järjestetään yhteistyössä henkilöstökoulutuksesta vastaavien kanssa.

7 (7) Tiedottaminen Dokumentit Tietoturvallisuuden toteuttamista ohjaavat dokumentit ovat vahvistettuja ja asianomaisten kohderyhmien saatavissa. Ammattikorkeakoulun tietoturva-asioista tiedottamisesta ammattikorkeakoulun ulkopuolelle ja ammattikorkeakoulun sisällä yleisellä tasolla vastaa ammattikorkeakoulun tietoturvavastaava. Toimipisteiden sisäiseen tiedottamiseen osallistuvat myös toimipisteiden tietoturvayhteyshenkilöt. Tietoturvaryhmä tiedottaa ammattikorkeakoulun opiskelijoille ja henkilökunnalle tietoturvallisuudesta ja heitä koskevista säännöistä ja ohjeista. Tietoturvallisuuden seuranta ja ongelmatilanteiden käsittely Tietoturvallisuuden toteutumisen valvonta Tietoturvasta vastaamaan nimetyillä henkilöillä on ammattikorkeakoulun valtuutus ja velvollisuus tehdä ammattikorkeakoulun tietojärjestelmien tietoturvallisuuden kartoituksia ja ryhtyä toimenpiteisiin havaittujen tietoturvallisuuden heikkouksien parantamiseksi. Jokainen ammattikorkeakoulun tietojenkäsittelyjärjestelmien käyttäjä on velvollinen noudattamaan hyväksyttyjä käyttösääntöjä ja tietoturvaohjeita. Toiminta häiriötilanteissa ja raportointi Käyttäjien ja ylläpitäjien tulee ilmoittaa havaitsemistaan tietoturvallisuuden puutteista, tietoturvallisuuteen liittyvistä väärinkäytöksistä tai epäilemistään tietoturvarikkomuksista toimipisteensä tietoturvayhteyshenkilölle tai suoraan ammattikorkeakoulun tietoturvavastaavalle. Ammattikorkeakoulun tietoturvavastaava raportoi ammattikorkeakoulun ylimmälle johdolle ja tarvittaessa johtoryhmälle vakavista tietoturvallisuuden rikkomisista tai sellaisten epäilyistä. Tietoturvapolitiikka tulee voimaan hyväksymispäivänä. Turussa 18.12.2012 Juha Kettunen rehtori

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute