JYVÄSKYLÄN KAUPUNKI Tietohallinto JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA VERSIO 1.0 11.5.2009
SISÄLLYSLUETTELO 1 JOHDANTO... 1 2 KATTAVUUS... 1 3 MITÄ TIETOTURVA ON... 1 4 MIKSI TIETOTURVAA... 1 5 TIETOTURVA JA LAATU... 2 6 TIETOTURVAN KEHITTÄMINEN... 2 7 FYYSINEN TURVALLISUUS... 2 8 TIETOJEN LUOTTAMUKSELLISUUS... 3 9 TIETOJÄRJESTELMÄT, SÄHKÖPOSTI JA INTERNETIN KÄYTTÖ... 3 10 TIETOTURVAOHJEET... 3 11 TIETOTURVA JA VASTUUT... 4 12 TIETOTURVAN VALVONTA... 4 13 TIETOTURVA JA YHTEISTYÖ... 5 14 POIKKEUSMENETTELY... 5 15 HYVÄKSYMISMENETTELY... 5 LIITE 1. TIETOTURVAAN LIITTYVÄÄ LAINSÄÄDÄNTÖÄ
1 1 JOHDANTO Tässä dokumentissa määritellään Jyväskylän kaupunkikonsernin tietoturvapolitiikka. Tietoturvapolitiikassa määritellään ne periaatteet ja vastuut, joita Jyväskylän kaupunkikonsernissa noudatetaan tietoturvan kehittämisessä, ylläpidossa sekä valvonnassa. Tietoturvapolitiikkaa täydentävät yksityiskohtaisemmat tietoturvastandardit ja ohjeet määritellään erikseen. 2 KATTAVUUS Jokaisen Jyväskylän kaupunkikonsernin viranhaltijan, työntekijän ja luottamushenkilön sekä muun kaupunkikonsernin tietojen ja tietojärjestelmien käyttäjän on tunnettava tämä tietoturvapolitiikka ja noudatettava sen perusteella annettuja ohjeita ja määräyksiä. 3 MITÄ TIETOTURVA ON Tietoturvan tarkoituksena on osaltaan varmistaa Jyväskylän kaupunkikonsernin kyky tarjota palveluita kaupunkilaisille sekä sidosryhmille, vähentää toiminnalle aiheutuvat vahingot estämällä ja minimoimalla tietoturvaan liittyvien tapahtumien vaikutus sekä suojata asianmukaisesti tiedot, tietojärjestelmät ja palvelut. Jyväskylän kaupunkikonsernin tietoturvaperiaatteet perustuvat tietoturvan kolmeen osatekijään: Luottamuksellisuus eli arkaluontoisen informaation suojaaminen luvattomalta paljastumiselta ja salakuuntelulta Eheys eli informaation ja tietokoneohjelmien oikeellisuuden, täydellisyyden ja muuttumattomuuden suojaaminen Käytettävyys eli informaation ja oleellisten tärkeiden palveluiden käytettävyyden varmistaminen. 4 MIKSI TIETOTURVAA Tieto ja tietojärjestelmät ovat tärkeitä Jyväskylän kaupunkikonsernin voimavaroja. Tietoturvan avulla Jyväskylän kaupunkikonserni ylläpitää ja tarjoaa kaupunkilaisille ja muille sidosryhmille entistä parempaa palvelua ja varmistaa lakien, asetuksien ja säädöksien mukaisen toiminnan. Tietoturvan tavoitteena on Jyväskylän kaupunkikonsernin toimintaan liittyvien tärkeiden tietojen turvaaminen ja niiden luottamuksellisuuden, oikeellisuuden sekä ajantasaisuuden varmistaminen. Lisäksi tietoturvalla varmistetaan toiminnan jatkuvuus kaikissa olosuhteissa.
2 Jyväskylän kaupunkikonsernin tietoturvapolitiikan avulla osoitetaan kaupunkilaisille, yhteistyökumppaneille sekä sidosryhmille, että kaupunkikonsernin hallussa olevia tietoja käsitellään kaikissa vaiheissa asianmukaisesti. 5 TIETOTURVA JA LAATU Jyväskylän kaupunkikonsernin kaikissa toiminnoissa kiinnitetään huomiota siihen, että palvelut ja päivittäinen toiminta täyttävät myös tietoturvan osalta riittävät laatukriteerit. Tietoturvan huomioon ottaminen kaikissa tilanteissa vähentää häiriöiden ja virheiden määrää. Näin vaikutetaan myönteisesti sisäiseen työympäristöön, asiakassuhteisiin ja työn tuottavuuteen. 6 TIETOTURVAN KEHITTÄMINEN Jyväskylän kaupunkikonsernin tietojärjestelmien kehittämisen tavoitteena on hyvän tietojenkäsittelytavan ja turvallisuustason luominen ja ylläpito sekä tietojen turvaaminen niihin kohdistuvilta uhkilta ja riskeiltä. Jyväskylän kaupunkikonserni ylläpitää ja kehittää järjestelmällisesti koko henkilöstön tietoturvan tietämystä ja osaamista tiedottamalla ja kouluttamalla. Tietoturvan ylläpitoon ja kehittämiseen osallistuu koko henkilöstö. Kaikki tietoturvaan liittyvät väärinkäytökset ja epäkohdat raportoidaan Jyväskylän kaupunkikonsernin tietoturvasta vastaavalle henkilölle. Tietoturva on osa Jyväskylän kaupunkikonsernin riskienhallintaa, jonka avulla toimintaan kohdistuvia tietoturvariskejä kartoitetaan sekä analysoidaan järjestelmällisesti. Näin määritellään ne periaatteet ja toimintamallit, joilla tietoturvan korkea taso saadaan varmistettua. Jyväskylän kaupunkikonserni ylläpitää ja kehittää yhteistyötä sidosryhmien kanssa tietoturvan osalta sekä seuraa tietoturvaan liittyvää alan kehitystä sekä hyödyntää uutta tietoa toiminnan kehittämiseksi. 7 FYYSINEN TURVALLISUUS Fyysinen turvallisuus ja toimitilojen kulunvalvonnasta huolehtiminen ovat merkittäviä tekijöitä tietoturvan kannalta. Jyväskylän kaupunkikonsernissa huolehditaan isännänvelvollisuuksista vierailujen yhteydessä ja estetään asiattomien henkilöiden liikkuminen konsernin tiloissa. Jyväskylän kaupunkikonserni on valmistautunut myös ympäristötekijöiden aiheuttamiin häiriötekijöihin. Jyväskylän kaupunkikonsernissa käytetään fyysisen turvallisuuden takaamiseksi automaattisia, tietoteknisiä turvallisuus- ja valvontaratkaisuja.
3 8 TIETOJEN LUOTTAMUKSELLISUUS Tietojärjestelmissä olevan tiedon käytettävyyden perusajatuksena on, että tiedot ovat oikeita ja ajantasaisia, ja ne ovat niiden käytettävissä, joilla on niihin oikeudet. Tämän vuoksi tiedot luokitellaan, käsitellään sovittujen sääntöjen mukaisesti ja varmistetaan säännöllisesti. Toiminnan jatkuvuus varmistetaan huolellisella suunnittelulla. Lisäksi kaupunkikonsernin sisällä on tietojen käyttöoikeus rajattu tiukasti kunkin henkilön tehtävän mukaisesti. Jokaisen Jyväskylän kaupunkikonsernin viranhaltijan, työntekijän ja luottamushenkilön on muistettava, että hänellä voi olla hallussaan tietoa, jonka joutuminen ulkopuolisten käsiin voi olla vahingollista. Tämän takia jokaisen tulee käsitellä hallussaan olevia tietoja niin, ettei vahinkoa pääse sattumaan. Jokaisen on myös muistettava, ettei työhön tai Jyväskylän kaupunkikonserniin liittyvistä luottamuksellisista asioista pidä keskustella ulkopuolisten kuullen. Jokainen Jyväskylän kaupunkikonsernin viranhaltija, työntekijä ja luottamushenkilö sitoutuvat luottamuksellisuuteen asianomaisen lainsäädännön puitteissa. 9 TIETOJÄRJESTELMÄT, SÄHKÖPOSTI JA INTERNETIN KÄYTTÖ Jyväskylän kaupunkikonsernin tietojärjestelmiä, tietoverkkoa ja sähköpostijärjestelmää käytetään työtehtävien hoitamiseen. Konsernin tietojärjestelmiä, tietoverkkoa tai sähköpostijärjestelmää ei saa käyttää yksityisten liikeasioiden hoitamiseen. Jokainen Jyväskylän kaupunkikonsernin sähköpostijärjestelmän käyttäjä on vastuussa siitä, miten ja mihin hän sähköpostia käyttää. Sähköpostin avulla luottamuksellisten tietojen lähettäminen ilman Jyväskylän kaupunkikonsernin standardin mukaista salausta on kielletty. Sähköpostin ja tietoverkon käsittelyyn sovelletaan teletoiminnan tietosuojalain mukaisia käsittelysääntöjä. Sähköpostia käsitellään kirjesalaisuuden perusperiaatteiden mukaisesti. Sähköpostin ja tietoverkon käyttöön liittyviä lokitietoja käytetään vain virhetilanteiden tai tietoturvaan liittyvien väärinkäytösten selvittämiseen. Sähköpostin ja tietoverkon käyttöön liittyvien lokitietojen käyttö muuhun tarkoitukseen edellyttää Jyväskylän kaupungin tietoturvan vastuuhenkilön kirjallisen hyväksynnän. 10 TIETOTURVAOHJEET Jyväskylän kaupunginhallituksen hyväksymissä tietoturvapolitiikassa, tietoturvastandardeissa ja ohjeissa kuvataan ne toimintaperiaatteet ja tavat, joita kaupunkikonsernissa noudatetaan tietoturvaan liittyvissä asioissa. Näitä tulee jokaisen Jyväskylän kaupunkikonsernin viranhaltijan, työntekijän ja luottamushenkilön tai Jyväskylän kaupunkikonsernissa työtä tekevän noudattaa. Korkeatasoisen tietoturvan takaamiseksi jokaisen on huolehdittava osaltaan tietoturvasta.
4 11 TIETOTURVA JA VASTUUT Jyväskylän kaupunkikonsernin tietoturvaorganisaatio koostuu Jyväskylän kaupunkikonsernin tietoturvan vastuuhenkilöstä, tietoturvan työryhmästä sekä tytäryhtiöiden, liikelaitosten ja eri palvelualueiden tietoturvan vastuuhenkilöistä. Jyväskylän kaupunkikonsernin tietoturvan toteutumisesta vastaa konserninlaajuisesti kaupunkikonsernin johto. Jyväskylän kaupunkikonsernin tietoturvan vastuuhenkilö vastaa konserninlaajuisesti tietoturvaan liittyvien asioiden kehittämisestä, ohjeistamisesta, tiedottamisesta, toteutuksen valvonnasta yhdessä tietoturvan työryhmän kanssa. Tietoturvan työryhmä koostuu eri palvelualueiden tietoturvasta vastaavista henkilöistä ja sisäisen tarkastuksen edustajasta. Työryhmä valmistelee tietoturvallisuuden linjaukset, arvioi tietoturvaan liittyvät poikkeustilanteet ja niiden jatkotoimenpiteet sekä konsernin toimintaan liittyvät riskit. Eri palvelualueiden johto, yhteistyössä palvelualueiden tietoturvan vastuuhenkilöiden kanssa, vastaa tietoturvaan liittyvien asioiden kehittämisestä, ohjeistamisesta, tiedottamisesta ja valvonnasta omalla palvelualueellaan konsernin tietoturvapolitiikan mukaisesti. Palvelualueiden johto ja tietoturvan vastuuhenkilöt vastaavat myös heidän tietoonsa tulleiden tietoturvaan liittyvien uhkien ja poikkeamien raportoinnista Jyväskylän kaupunkikonsernin tietoturvan vastuuhenkilölle. Jokaiselle tietojärjestelmälle määritellään omistaja sekä järjestelmävastuussa oleva palvelualue/yksikkö. Tietohallinto vastaa Jyväskylän kaupunkikonsernin eri tietojärjestelmäympäristöissä teknisen turvallisuuden arvioinnista, ylläpidosta ja toteutumisesta. Jokainen Jyväskylän kaupunkikonsernin viranhaltija, työntekijä ja luottamushenkilö vastaavat tietoturvan toteuttamisesta sekä tietoturvaohjeiden noudattamisesta. Edelleen jokainen henkilö on velvollinen tietoturvaan liittyvien uhkien ja poikkeamien raportoimisesta esimiehelleen, oman palvelualueensa tietoturvan vastuuhenkilölle tai Jyväskylän kaupunkikonsernin tietoturvan vastuuhenkilölle. 12 TIETOTURVAN VALVONTA Tietoturvan toteutuminen edellyttää myös tehokasta valvontaa ja ohjausta. Tietoturvaan liittyvästä valvonnasta vastaa konsernitasolla Jyväskylän kaupunkikonsernin johto yhteistyössä tietoturvan vastuuhenkilön sekä sisäisen tarkastuksen kanssa. Palvelualueella tietoturvan valvonnasta vastaa palvelualueen johto ja tietoturvan vastuuhenkilö. Tietohallinto vastaa tekniseen tietoturvaan liittyvästä tietoturvan valvonnasta konsernin tietojärjestelmäympäristöissä. Tietoturvan varmistaminen edellyttää myös jatkuvaa seurantaa ja kehittämistä. Tätä varten Jyväskylän kaupunkikonsernin tietoturvaohjeistus ja käytännöt arvioidaan säännöllisesti ja tarvittavat muutokset otetaan käyttöön välittömästi.
5 13 TIETOTURVA JA YHTEISTYÖ Jyväskylän kaupunkikonsernin tietoturva riippuu myös kaikista ulkopuolisista käyttäjistä. Kaikki sidosryhmät, toimittajat ja muut Jyväskylän kaupunkikonsernin ulkopuoliset tahot, joilla on pääsy konsernin tietojärjestelmiin ja niiden sisältämiin tietoihin, sitoutuvat noudattamaan Jyväskylän kaupunkikonsernin tietoturvapolitiikkaa, standardeja sekä ohjeita. 14 POIKKEUSMENETTELY Poikkeusluvan Jyväskylän kaupunkikonsernin tietoturvapolitiikassa, standardeissa ja ohjeissa kuvattuihin menettelytapoihin myöntää Jyväskylän kaupunginhallitus. 15 HYVÄKSYMISMENETTELY Jyväskylän kaupunkikonsernin tietoturvaa koskevan politiikan sekä siihen kohdistuvat muutokset hyväksyy Jyväskylän kaupunginhallitus. Tietoturvastandardit sekä tietoturvaohjeet ja niitä koskevat muutokset hyväksyy tietototurvan työryhmä.
LIITE 1 TIETOTURVAAN LIITTYVÄÄ LAINSÄÄDÄNTÖÄ Arkistolaki (831/1994) Asetus sähköisen viestinnän varautumisesta (1297/1997) Asetus viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999) Hallintolaki (434/2003) Henkilötietolaki (523/1999) Kansanterveyslaki (66/1972) Kuntalaki (365/1995) Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) Laki potilaan asemasta ja oikeuksista (785/1992) Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000) Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) Laki sähköisistä allekirjoituksista (14/2003) Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003) Laki turvallisuusselvityksistä (177/2002) Laki yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta (723/1999) Laki yksityisyyden suojasta työelämässä (759/2004) Laki valmiuslain muuttamisesta (198/2000) Laki viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (621/1999) Lukiolaki (629/1998), Perusopetuslaki (628/1998) Rikoslaki (39/1889) Sosiaalihuoltolaki(710/1982) Sosiaali- ja terveysministeriön asetus potilasasiakirjojen laatimisesta ja niiden muun hoitoon liittyvän materiaalin säilyttämisestä (99/2001) Sähköisen viestinnän tietosuojalaki (516/2004) Telemarkkinalaki (396/1997), Telemarkkina-asetus (424/1997) Valmiuslaki (1080/1991) Väestötietolaki (507/1993)