-------- Seinäjoen kaupungin tietoturvapolitiikka 1. Johdanto Tietoturva nähdään julkishallinnon organisaatioissa oleellisena osana normaalia toimintaa ja palveluiden laatua, kokonaisturvallisuutta ja organisaatiossa tapahtuvaa tietojenkäsittelyä. Tietoturvapolitiikka on katsottu organisaation johdon kannanotoksi, joka määrittelee tietojen turvaamisen tavoitteet, vastuut ja toteutuskeinot organisaatiossa. Politiikkaa tyypillisesti täsmennetään lisäksi erikseen mm. tietojen käsittelyn säännöissä, ohjeissa ja käytänteissä. Tässä asiakirjassa määritellään Seinäjoen kaupungin tietoturvapolitiikka. Tietoturvapolitiikkaa täydentävät tarkennetut ohjeistukset mm. terveydenhuollon, sosiaalihuollon, sähköpostin käsittelysääntöjen ja teknisen tietoturvan osalta. Seinäjoen kaupungin tietoturvapolitiikan hyväksyy kaupunginhallitus ja sitä ovat velvoitettuja noudattamaan kaikki kaupunkiorganisaatiossa toimivat eri henkilöt ja tahot. Tämä ehto koskee myös ulkopuolisia osapuolia, joiden tehtävät edellyttävät pääsyä kaupungin tietojärjestelmiin ja tietoaineistoihin. Tietoturvapolitiikan periaatteita noudatetaan myös ulkopuolisia järjestelmiä käytettäessä niiden sisältäessä kaupungin tuottamaa tietoa. Seinäjoen kaupungin hankinnat toteutetaan niin, että tarjouspyynnöissä ja hankintasopimuksissa huomioidaan Seinäjoen kaupungin tietoturvapolitiikka. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet Tietoturvallisuudella tarkoitetaan tietojen, järjestelmien ja palvelujen suojaamista sekä normaali- että poikkeusoloissa hallinnollisten ja teknisten toimenpiteiden avulla. Tietoturvallisuus rakentuu tiedon kolmen ominaisuuden luottamuksellisuuden, eheyden ja käytettävyyden - turvaamisesta. Luottamuksellisuudella tarkoitetaan sitä, että tiedot, järjestelmät ja palvelut ovat vain niihin oikeutettujen saatavissa eikä niitä luvatta paljasteta tai muutoin saateta sivullisten tietoon. Eheydellä tarkoitetaan sitä, etteivät tiedot, järjestelmät tai palvelut ole laitteisto- tai ohjelmistovikojen, luonnontapahtumien tai oikeudettoman inhimillisen toiminnan seurauksena muuttuneet tai tuhoutuneet. Käytettävyydellä tarkoitetaan sitä, että tiedot, järjestelmät ja palvelut ovat tarvittaessa niihin oikeutettujen esteettä hyödynnettävissä. = LV! "17
------- SEINÄJOKI Tietoturvallisuustyö on tietoturvallisuuden saavuttamiseksi tehtävien toimenpiteiden suunnittelua ja toteuttamista, jonka päämääränä on Seinäjoen kaupungilla: Turvata organisaation toiminnalle tärkeiden tietojärjestelmien oikeanlainen ja keskeytymätön toiminta Varautua toimintaa vaarantaviin riskeihin ja niistä toipumiseen Estää tietojärjestelmien ja tietojen joutuminen ulkopuolisille Estää tietojärjestelmien ja tietojen luvaton käyttö Estää tahaton tai tahallinen tietojen tuhoutuminen tai vääristyminen Vähentää tietoturvariskejä ja minimoida niistä aiheutuvat vahingot 3. Tietosuojaan liittyvät tavoitteet ja periaatteet Osana tietoturvallisuutta tietosuojaan kuuluvat ihmisten yksityiselämän suoja ja muut sitä turvaavat oikeudet henkilötietoja käsiteltäessä. Lainsäädäntö suojaa henkilötietoja usein tarkemmin kuin organisaation käytössä olevia muita luottamuksellisia tietoja. Tietosuojalainsäädäntö edellyttää, että henkilötietojen käsittely on turvattava ja henkilötiedot on suojattava asiattomalta käsittelyitä. Henkilötietojen oikeellisuus on varmistettava, ne on pidettävä salassa ulkopuolisilta, niitä ei saa tuhota tai käsitellä asiattomasti ja niiden on oltava tarpeen mukaan käytettävissä. Tietosuojalainsäädännössä säädetään lisäksi monista oikeuksista, joita henkilöllä on omiin tietoihinsa liittyen. Terveydenhuollon ammattihenkilökunnan toimintaa ohjaavat lain- ja määräysten mukaiset velvollisuudet ja oikeudet sekä näiden lisäksi ammattietiikka, johon sisältyy vastuu hyvästä toimintatavasta ja velvollisuus tietojen salassapidosta ja vaitiolosta. 4. Tietosuojaan kuuluvien tietojen säilytys ja luovutuksen periaatteet Tietosuojan piiriin kuuluvien tietojen käsittelystä, säilytyksestä sekä tietojen luovutuksen periaatteista tietosuojavastaavat laativat voimassaolevan lainsäädännön mukaiset toimintaohjeet. Erityisesti potilastietojen käsittelyyn on tarkennetut ohjeistukset toimiala kohta isissa tietosuojaohjeistuksissa. 5. Lainsäädäntö Seinäjoen kaupungin tietoturvapolitiikka noudattaa kulloinkin voimassa olevaa lainsäädäntöä ja annettuja asetuksia. Tietoturvapolitiikka noudattaa mm. seuraavia lakeja. = ifal "1 gzn
---- Perustuslain (731/ 1999) mukaan kaikki ihmiset ovat yhdenvertaisia lain edessä, ketään ei saa asettaa eri asemaan. Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton. Henkilötietolain (523/1999) mukaisista henkilörekistereistä on laadittava rekisteriseloste. Puuttuvien rekisteriselosteiden osalta lähtökohtana on, että jos kunnan tietojärjestelmän tietosisältö on kopio toisen viranomaisen alkuperäistietokannasta, ao. viranomainen toimittaa rekisteriselosteen. Jos kunnassa on tehty tietojärjestelmän käyttöoikeuksista yksityiskohtaisia päätöksiä, näiden keskeiset kohdat on lisättävä selosteeseen. Täydellinen rekisteriseloste tehdään vain kokonaan kunnan omista tietojärjestelmistä. Muista kuin henkilötietolain alaisista tietojärjestelmistä tulee laatia tietojärjestelmäseloste. Julkisuuslain edellyttämä tietojärjestelmäluettelon ja rekisteriselosteiden seuranta- ja valvontatehtävä tulee liittää osaksi tietosuojavastaavan tehtäväkenttää. Laki viranomaisen toiminnan julkisuudesta (621/1999) edellyttää, että viranomaisten tulee laatia ja pitää saatavilla kuvaukset pitämistään tietojärjestelmistä sekä niistä saatavissa olevista julkisista tiedoista, jollei tiedon antaminen ole vastoin ko. lain 24 tai muun lain säännöksiä. Järjestelmien kuvaustarvetta arvioitaessa lähdetään siitä, että julkisuuslain mukainen tietojärjestelmäseloste tarvitaan vain, jos järjestelmästä ei ole tehty tai ei ole tarvinnut tehdä henkilötietolain mukaista rekisteriselostetta tai jos tietojärjestelmäselostetta vastaavat tiedot eivät sisällyarkistolain mukaiseen arkistonmuodostussuunnitelmaan. Laki sähköisen viestinnän tietosuojasta (516/2004) säätää sähköpostin luottamuksellisuudesta ja asettaa rajat sähköisessä muodossa tapahtuvalie suoramarkkinoinnilie sekä mahdollisuudelle suodattaa häiritsevää roskapostia. Laki yksityisyyden suojasta työelämässä (759/2004) puolestaan säätää työnantajan velvollisuudesta kunnioittaa työntekijän sähköpostin luottamuksellisuutta, mutta antaa työnantajalle tietyin edellytyksin oikeuden hakea ja avata työntekijän sähköpostia. Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003) pyrkii lisäämään asioinnin sujuvuutta ja joustavuutta samoin kuin tietoturvallisuutta mm. hallinnossa. Arkistolaki (831/ 1994) Ohjeet ja suositukset sähköpostin ja lokitietojen käsittelyssä huomioitavista asioista perustuvat Suomen lakiin sekä valtionhallinnon tietoturvallisuuden johtoryhmän ohjeeseen "JHS 132 SÄHKÖPOSTI ASIOINNISSA".
Suosituksen ensisijaisena tavoitteena on antaa ohjeita ja suositella yleisiä menettelytapasääntöjä liittyen sähköpostin käyttöön viestintätapana viranomaisen ja viranomaisen asiakkaan (yritys, yhteisö tai kansalainen) välillä sekä viranomaisten välisissä palveluketjuissa. Lisäksi mm. sosiaali- ja terveydenhuollon toimintaa ohjaavat useat eri lait, asetukset ja ohjeistukset, joiden osalta tietoturvapolitiikkaa täydentävät niiden osalta tehdyt tarkennetut tietosuojaohjeistukset. Sosiaali- ja terveydenhuoltoon liittyviä lakeja ovat mm. Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 9.2.2007/159 20 : "Sosiaalihuollon ja terveydenhuollon toimintayksikön vastaavan johtajan tulee antaa kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehtia henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta asiakastietojen käsittelyssä. Lisäksi jokaisella palvelujen antajalla, Kansaneläkelaitoksella ja Terveydenhuollon oikeusturvakeskuksella on oltava seuranta- ja valvontatehtävää varten tietosuojavastaava" Laki potilaan asemasta ja oikeuksista (potilaslaki, 785 / 1992). Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) Laki sähköisestä lääkemääräyksestä (61 / 2007) Terveydenhuoltolaki (1326/ 2010) 6. Toiminnan organisointi Tietoturvallisuus koskee koko Seinäjoen kaupungin organisaatiota. Tietoturvallisuutta johtaa kaupunginjohtaja. Ylin vastuu tietoturvallisuudesta on kaupunginhallituksella, joka päättää kaupungin turvallisuuden kehittämistoiminnan tavoitteista, organisoinnista, resursseista ja toimintavaltuuksista. Kaupunginhallitus myös hyväksyy kaupungin tietoturvapolitiikan ja siihen liittyvät tarkemmat ohjeistukset. Tietosuojaa johtaa ja siitä vastaa. Kaupungin tietosuojavastaavana on kaupunginlakimies lukuun ottamatta sosiaali- ja terveyskeskusta, jonka osalta tietosuojavastaavat nimetään erikseen. Kaupunginlakimiehen apuna toimii tietosuojatyöryhmä, jonka nimeää kaupunginjohtaja. Tietoturvallisuuden kehittämisestä vastaa tietohallintoyksikkö yhteistyössä tietosuojatyöryhmän kanssa. Tietoturvallisuuden toteutuksen teknisestä valvonnasta vastaa tietohallinto. Tietoturvatietouden edistämisestä vastaa tietosuojatyöryhmä ja tietohallinto. Kukin tietojärjestelmien ja niiden sisältämien tietojen haltija vastaa tietojensa ja tietojärjestelmiensä suojaamisesta. = ei: ti'l.
---- Rekisteriselosteisiin liittyvää työtä johtaa koko organisaation tasolla. Yksittäisiin rekistereihin liittyvä vastuu selosteista on ko. rekisterin rekisterinpitäjällä. Rekisteriasioita hoitava henkilö on normaalisti ko. rekisteriin liittyvän t ietojärjestelmän pääkäyttäjä, jonka tulee huolehtia selosteiden ja kuvausten laadinnasta sekä lähettämisestä edelleen tietosuojaa johtavan henkilön osoittamalie koko organisaation po. tietojen ylläpitäjälie. Alla on taulukkomuodossa tietoturvallisuuden organisointi kaupungin organisaatioissa: Tehtävä Tietoturvallisuudesta vastaa Tietoturvallisuutta johtaa Tietoturvallisuutta kehittää Tietoturvallisuuden teknistä toteutusta valvoo Tietoturvallisuuden ed istämisestä vastaa Tietosuojasta vastaa Tietosuojaa johtaa Tietosuojan seuranta ja valvonta Tietojärjestelmäluettelon ylläpidosta vastaa Vastuutaho Kaupunginhallitus Kaupunginjohtaja Tietohallinto, tietosuojatyöryhmä Tietohallinto Tietohallinto, t ietosuojatyöryhmä tietosuojavastaavat Tietojärjestelmäluettelon ylläpitää tietopaivel uasia ntuntijat Tietojärjestelmien tiedot luettelon ylläpitäjälie toimittaa Rekisteriselosteisiin liittyvää työtä iohtaa Rekisteriselosteista vastaa Tietojärjestelmäluettelon ja rekisteriselosteiden seuranta ja valvonta Koko organisaation tasolla tietojärjestelmäluetteloa ja rekisteriselosteita vlläpitää Järjestelmäkohtaiset rekisteriselosteet ylläpitää ja toimittaa tietopalveluasiantuntijalle järjestelmän pääkäyttäjä rekisterinpitäjä tietosuojavastaavat tietopalveluasiantuntijat järjestelmän pää käyttäjä = ei: "1
------- 7. Tietoturvan toteutus Tietoturvan toteuttamista ohjaa tämä tietoturvapolitiikka_sekä sitä täydentävät ohjeistukset. Tietoturvapolitiikka tuodaan kaikkien kaupunkiorganisaatiossa toimivien eri henkilöiden ja tahojen tietoon. Tietoturvan toteuttaminen ja ylläpito on jatkuvasti osa normaalia organisaation toimintaa. Tietoturvan toteutuksessa huomioidaan vaatimukset, joita toiminnan ja palveluiden sisältö sekä kunkin tiedon ja tietojärjestelmän käyttötarkoitus asettavat tietojenkäsittelyn varmuudelle, käytettävyydelle, salassapidolle, laadulle ja toiminnan jatkuvuudelle sekä toimintaan kohdistuvien riskien arvioinnille. Tietoturvan tavoitteiden saavuttaminen on jatkuva prosessi, jota tuetaan hallinnollisten ja teknisten ratkaisujen avulla. Käyttäjien toimintaa ohjataan henkilökohtaisella ja riittävällä perehdytyksellä, saatavilla olevilla toimintaohjeilla sekä tietoturvakoulutuksella. Lähimmän esimiehen tehtävänä on huolehtia, että työntekijällä on riittävä tietämys tietoturva-asioista. Jokainen käyttäjä sitoutuu noudattamaan tietoturva- ja tietosuojaohjeita saadessaan oikeuden tehtäviensä mukaiseen tietojärjestelmien ja tietoaineistojen käyttöön. Jokainen on henkilökohtaisesti vastuussa omalta osaltaan tietoturvan toteutumisesta. = iwcl "1