Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015



Samankaltaiset tiedostot
Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka

Tietoturvapolitiikka

Espoon kaupunki Pöytäkirja 96. Valtuusto Sivu 1 / Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

Tietoturvapolitiikka NAANTALIN KAUPUNKI

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvapolitiikka

TIETOTURVA- POLITIIKKA

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Espoon kaupunkikonsernin riskienhallintapolitiikka

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA

Yhtymähallitus Yhtymävaltuusto Siun sote - kuntayhtymän sisäisen valvonnan ja riskienhallinnan perusteet

SAARIJÄRVEN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VAL- VONNAN JA RISKIENHALLINNAN PERUSTEET

Vihdin kunnan tietoturvapolitiikka

Kaarinan kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan periaatteet. Luonnos 0 (6)

Sisäisen valvonnan ja riskienhallinnan perusteet Hyväksytty: kaupunginvaltuusto xx.xx.2014 xx

SISÄISEN VALVONNAN PERUSTEET

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

VAASAN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Vaasan kaupunginvaltuuston hyväksymät

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Espoon kaupunkikonsernin

KEMIJÄRVEN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Kankaanpään kaupunki SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Uudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Liite/Kvalt , 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Isonkyrön kunta

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Mikkelin kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan perusteet

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Sisäisen valvonnan ja riskienhallinnan perusteet

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Tilintarkastuksen ja arvioinnin symposium

PÄLKÄNEEN KUNNAN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Eläketurvakeskuksen tietosuojapolitiikka

SIILINJÄRVEN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Espoon kaupunki Tietoturva- ja tietosuojapolitiikka

Heinolan kaupungin ja kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan perusteet

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

Standardit tietoturvan arviointimenetelmät

Sisäisen valvonnan ja riskienhallinnan perusteet

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Tietoturvapolitiikka

Sisäisen valvonnan ja riskienhallinnan perusteet

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet

Sisäinen valvonta ja riskienhallinta. Luottamushenkilöiden perehdytystilaisuus

TIETOTILINPÄÄTÖS TILINTARKASTAJAN SILMIN. Ylijohtaja Marjatta Kimmonen VTV

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Sovelto Oyj JULKINEN

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka

Lapin yliopiston tietoturvapolitiikka

Tietoturvavastuut Tampereen yliopistossa

Sisäisen valvonnan ja Riskienhallinnan perusteet

MÄNTSÄLÄN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. 1. Johdanto

Riskit hallintaan ISO 31000

Tietoturvallisuuden johtaminen

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Pohjois-Pohjanmaan sairaanhoitopiirin kuntayhtymäkonsernin sisäisen valvonnan ja riskienhallinnan perusteet

Tietoturva- ja tietosuojapolitiikka

Kuntakonsernin riskienhallinnan arviointi - kommenttipuheenvuoro Tampere Talo, Tilintarkastuksen ja arvioinnin symposium

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Loviisan kaupungin keskusten ja vastuualueiden riskienhallinnan ja valvonnan arviointikehikko (luonnos)

Porvoon kaupungin sisäisen tarkastuksen toiminta- ja arviointisuunnitelma vuodelle 2015

Keski-Pohjanmaan erikoissairaanhoito- ja peruspalvelukuntayhtymän sisäisen valvonnan ja riskienhallinnan perusteet

Tietoturvapolitiikan käsittely / muutokset:

SISÄISEN TARKASTUKSEN TOIMINNAN PAINOPISTEET

Tietosuoja- ja tietoturvapolitiikka

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Joensuun kaupungin ja kaupunkikonsernin Sisäisen valvonnan ja riskienhallinnan perusteet

Kuopion kaupunki Dnro 3720/2018 Elinvoima- ja konsernipalvelu Tietohallinto

Laatua ja tehoa toimintaan

Riski = epävarmuuden vaikutus tavoitteisiin. Valtionhallinnossa = epävarmuuden vaikutus lakisääteisten tehtävien suorittamiseen ja tavoitteisiin

Sisäinen tarkastus, sisäinen valvonta ja riskienhallinta. Valtuustoseminaari

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET SIIKAJO- EN KUNNASSA JA KUNTAKONSERNISSA

TIETOTURVAPOLITIIKKA

JOENSUUN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Dnro TRE: 3417/ /2015 TAMPEREEN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietoturva ja viestintä

Sisäisen valvonnan ohje

Sisäisen valvonnan yleisohje

Toivakan kunnan sisäisen valvonnan ja kokonaisvaltaisen riskienhallinnan perusteet

Riski tarkoittaa epävarmuuden vaikutusta tavoitteisiin, poikkeamaa odotetusta. Vaikutus voi olla myönteinen tai kielteinen odotettuun verrattuna.

Inarin kunta SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Potilasturvallisuuden johtaminen ja auditointi

Kuopion kaupunki Pöytäkirja 5/ (1) Kaupunginhallitus Asianro 8649/ /2013

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Porvoon kaupungin ja kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan perusteet

Transkriptio:

Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015 Espoon kaupunki 2015

Tietoturvapolitiikka 1 (7) Yhteenveto Tietoturvapolitiikka on kaupunginhallituksen ja kaupunginjohdon tahdonilmaisu tietoturvan ja tietosuojan merkityksestä osana kaupungin johtamista ja Espoon tarinan toteuttamista. Tietoturvapolitiikka sisältää keskeiset linjaukset ja periaatteet, vastuut ja velvoitteet ja tietoturvatoiminnan organisoinnin.

Tietoturvapolitiikka 2 (7) Sisällysluettelo 1 Johdanto... 3 1.1 Soveltaminen... 3 1.2 Käsitteitä... 3 2 Tietoturvan periaatteet... 4 3 Tietoturvan keskeiset vastuut... 4 4 Tietoturvan toteuttaminen... 5 4.1 Puitteet... 6 4.2 Prosessi... 6 Versio Laatinut Päiväys Version lyhyt kuvaus 0.1 Juha Kalander 12.12.2014 Tietoturvaryhmän 1. käsittely 0.9 Juha Kalander 23.01.2015 Tietoturvaryhmän 2. käsittely 0.9 Juha Kalander 09.04.2015 Kokonaisarkkitehtuuriryhmä 0.9 Juha Kalander 23.04.2015 IT-kehittämisjohtoryhmä 1.0 Juha Kalander 30.04.2014 Tietoturvaryhmä, lopullinen versio 1.0 Juha Kalander x.05.2014 Kaupungin johtoryhmä 1.0 Juha Kalander x.05.2015 Kaupunginhallitus

Tietoturvapolitiikka 3 (7) 1 Johdanto Kaupunkikonsernin toimintaa ohjaa ja sen kehittämisen suuntaviivat lähivuosiksi määrittää strategia, Espoo-tarina. Yksi Espoo-tarinan toteuttamisen edellytys on tietoturvan ja tietosuojan hyvä hoitaminen. Tietoturva on osa toimintojen laatua, tehokkuutta ja avoimuutta. Sillä saavutetaan henkilöstön, kuntalaisten ja yritysten luottamus kaupungin toimintaan sekä heidän etujensa ja oikeuksiensa toteutuminen. Tietoturvallisuus on hyvää hallintotapaa. Digitaalisten palveluiden lisääntyessä luottamus palveluiden tietoturvaan ja tietosuojaan on keskeinen tekijä. Espoon kaupunginhallitus on hyväksynyt tämän tietoturvapolitiikan. 1.1 Soveltaminen Tietoturvapolitiikka on kaupunkikonsernia sitova ja sitä tarkennetaan kaupunkitason, toimialojen ja tytäryhteisöjen omilla tietoturvaohjeilla ja tietoturvamääräyksillä. 1.2 Käsitteitä Tietoturva: Tietoturva (tai tietoturvallisuus) on tietojen, palveluiden, järjestelmien ja tietoliikenteen suojaamista hallinnollisin ja teknisin toimin. Tietoturvan uhkat ja riskit ovat tiedostettu ja hallinnassa. - uhka on mahdollisesti toteutuva haitallinen tapahtuma tai kehityskulku - Espoon kaupunkikonsernissa riskeillä tarkoitetaan epävarmuustekijöitä, tapahtumia tai tapahtumaketjuja joiden toteutuessa Espoo-konserni tai sen yksikkö ei saavuta sille asetettuja tavoitteita ja/tai kokee huomattavia menetyksiä. (Sisäisen valvonnan ja riskienhallinnan perusteet / Valtuusto 18.11.2013) Tiedon turva: Tiedon eheyttä, luottamuksellisuutta ja käytettävyyttä käsittelevä tietoturvan osa-alue. - eheys on sitä, että tieto ei muutu (tahattomasti tai tahallisesti) tietoa käsiteltäessä tai säilytettäessä - luottamuksellisuus on sitä, että tieto on saatavilla vain niille, joille se on tarkoitettu, ei sivullisille - käytettävyys (saatavuus) on sitä, että tieto on hyödynnettävissä haluttuna aikana Hallinnollinen tietoturva: Organisaation hallinnolliset toimet tietoturvan toteuttamiseksi, kuten tietoturvapolitiikka, koulutus ja tehtävien organisointi.

Tietoturvapolitiikka 4 (7) 2 Tietoturvan periaatteet 3 Tietoturvan keskeiset vastuut Tekninen tietoturva: Organisaation tekniset toimet tietoturvan toteuttamiseksi, kuten pääsynhallinta, palomuurit ja virustorjunta. Tietosuoja: Henkilön yksityisyyden kunnioittamista ja suojaamista hänen henkilötietojaan käsiteltäessä. Kyberturvallisuus: Tila, jossa tietoa käyttävän ja tuottavan, siitä riippuvaisen toimintaympäristön toiminta on turvattu: uhkat ja riskit ovat hallinnassa. Riskienhallinta: Järjestelmällistä toimintaa, joka sisältää riskianalyysin sekä tarvittavien toimenpiteiden suunnittelun, toteutuksen seurannan ja korjaavat toimenpiteet. Tietoturvan tarkoituksena on tukea kaupunkikonsernia sen perustehtävän toteuttamisessa, asetettujen tavoitteiden saavuttamisessa sekä kuntalaisten, henkilöstön ja toimintojen tietojen suojaaminen erilaisilta tietoon kohdistuvilta uhkilta. Tietoturva on teknologiasta riippumatonta, koska tietoa käsitellään paperilla, sähköisessä muodossa tai suullisesti. Tietoturvalla varmistetaan, että kaupunkikonsernin tietoa hyödyntävät ja tuottavat toiminnot jatkuvat keskeytyksittä ja häiriöittä laadukkaasti ja kustannustehokkaasti. Tietoturvan toteuttaminen on osa riskienhallintaa ja perustyö tehdään riskienhallintaprosessissa. Espoon riskienhallinnan periaatteet ovat kaupunkikonsernin riskienhallintapolitiikassa. Kaupunginhallitus omistaa tietoturvapolitiikan Kaupunginhallituksella on vastuu osana riskienhallinnan järjestämisestä myös tietoturvaturvan toteuttaminen, joka kuvataan tietoturvapolitiikassa. Kaupungin johtajalla on asemansa perusteella kokonaisvastuu tietoturvan ja tietoturvapolitiikan toteuttamisesta ja raportoinnista kaupunginhallitukselle. Toimialajohto vastaa toimialansa tietoturvan toteuttamisesta ja toteutumisen valvonnasta ja riittävästä osaamisesta. Toimialat ovat toimialansa tiedon ja tietojärjestelmien omistajia, vastuu suojaamistarpeen määrittelystä ja toteuttamisesta on omistajalla. Toimialajohto raportoi kaupungin johtoryhmälle tietoturvan toteutumisen.

Tietoturvapolitiikka 5 (7) Kaupungin johtoryhmä toimii tietoturvan ja tietosuojan johtoryhmänä. Kaupungin johtoryhmä hyväksyy kaupunkitasoiset ohjeet ja linjaukset. Tytäryhteisöjen hallitukset ja toimitusjohtajat vastaavat yhteisöjensä tietoturvan toteuttamisesta ja toteutumisen valvonnasta ja riittävästä osaamisesta. Henkilöstö on tietoturvallisuuden toteuttamisessa keskeisessä asemassa. Jokainen käyttäjä omalla toiminnallaan vaikuttaa hyvän hallintotavan, tietoturvan ja tietosuojan toteutumiseen. Henkilöstölle on annettava vastuidensa mukainen riittävä tietoturva- ja tietosuojakoulutus. Espoo Tietotekniikka vastaa teknisestä tietoturvasta, sitä tukevien tietoturvalinjauksien tekemisestä, ja asetettujen tietoturvavaatimusten toteuttamisesta. Espoo Tietotekniikka seuraa ja raportoi tietoturvaryhmälle ja IT-kehittämisjohtoryhmälle vastuualueensa tietoturvan toteutumisen. Asiakirjahallinto vastaa asiakirjallisen tiedon hallinnasta ja siihen liittyvästä ohjeistuksesta. Tietoturvaryhmä vastaa tietoturvapolitiikan ja kaupunkitasoisten ohjeiden ja suunnitelmien valmistelusta ja kehittämisestä sekä tietoturvatietouden edistämisestä. Tietoturvaryhmä vastaa tietoturvapolitiikkaa tukevista ohjeista ja linjauksista. Tietoturvapäällikkö vastaa tietoturvaryhmän toiminnasta ja ylläpitää tietoturvan hallintajärjestelmää. Tietoturvapäällikkö raportoi kaupungin johtoryhmälle tietoturvan toteutumisesta. Sisäinen tarkastus vastaa toiminnan tuloksellisuuden tarkastamisesta ja arvioinnista. Tähän prosessiin kuuluu myös tietoturvatoiminnan asianmukaisuuden ja riittävyyden arviointi ja tarkastaminen. Yleinen vastuu: Jokainen kaupungin tai konserniyhteisön palveluksessa oleva sitoutuu noudattamaan tietoturvapolitiikkaa ja sitä täydentäviä ohjeita. Jokaisen kaupungin tai konserniyhteisön palveluksessa olevan on ilmoitettava viivytyksettä esimiehelleen havaitsemistaan ongelmista, uhkista tai ohjeiden vastaisesta menettelystä. 4 Tietoturvan toteuttaminen Tietoturvapolitiikka toteutetaan ja viedään käytäntöön luomalla ja ylläpitämällä tietoturvatoiminnalle puitteet ja tietoturvaprosessi. Tietoturvapolitiikkaa toteutetaan toimintokohtaisilla tietoturvalinjauksilla ja -ohjeilla. Tietoturvalinjauksiin ja -ohjeisiin vaatimukset saadaan lainsäädännöstä, yleisesti suosituksista ja toiminnon omista tarpeista.

Tietoturvapolitiikka 6 (7) Tietoturvalinjausten ja -ohjeiden tehtävä on viedä tietoturvapolitiikan periaatteet osaksi jokapäiväistä toimintaa ja hyvää hallintotapaa. Toteuttaminen koskee kaupunkikonsernia. 4.1 Puitteet Tietoturvatyön puitteet luodaan johtamisella ja riskienhallinnalla. Johdon tehtävä on järjestää riskienhallinta ja huolehtia, että riskienhallinnan prosessissa otetaan myös tietoturva- ja tietosuojariskit huomioon. Riittävien resurssien ja osaamisen järjestäminen on osa johtamista ja merkittävä tekijä toimivan tietoturvaprosessin ylläpitämiseksi. Tietoturvaryhmällä on yhteistyöverkostona keskeinen asema tietoturvan toteuttamisen puitteiden luomisessa. Tietoturvaryhmän tehtäviin kuuluu tietoturvatietoisuuden ylläpitäminen ja lisääminen. Tietoturvaryhmä vastaa, että tietoturvapolitiikka ja sitä täydentävät ohjeet ovat kaikkien saatavilla ja niistä tiedotetaan. 4.2 Prosessi Tietoturvaprosessi on jatkuva prosessi, jonka perustana on riskienhallintaprosessin riskikartoitus. Prosessin toteutukseen kuuluu PDCA-mallin mukaisesti myös raportointi ja seuranta vaikuttavuuden ja muutostarpeiden toteamiseksi. SIDOSRYHMÄT SIDOSRYHMÄT Ylläpito Suunnittelu Tietoturvan ja tietosuojan vaatimukset ja odotukset Seuranta Toteuttaminen Hallittu tietoturva ja tietosuoja, luotettavat ja toimivat palvelut Kuva 1: Tietoturvaprosessin PDCA-malli Kuvassa 1 on tietoturvaprosessin PDCA-malli, jossa Suunnittelu (Plan) sisältää vaikuttavan sääntelyn selvittämisen, käytettävien tietojen ja tietoaineistojen määrittelyn, riippuvuuksien kartoituksen ja riskienkartoituksen. Näiden perusteella määritellään vaatimustaso ja tarvittavat mittarit (määrälliset ja/tai laadulliset) halutulle

Tietoturvapolitiikka 7 (7) 4.3 Tietoturva kehitysprojekteissa tietoturvan ja tietosuojan tasolle toteutusta ja seurantaa varten. Teknisen seurannan tarve ja taso on myös määriteltävä. Toteuttaminen (Do) sisältää haluttuun vaatimustasoon tarvittavien hallinnollisten ja teknisten toimenpiteiden valinnan ja käyttöönoton sekä sovittujen mittareiden käyttöönoton seurantaa varten. Seuranta (Check) sisältää sovittujen toimenpiteiden seurannan mittareiden ja auditointien (hallinnollisten ja teknisten) avulla. Lisäksi toimintaympäristön ja lainsäädännön ja muiden vaatimusten muutosten seuranta kuuluu tähän. Ylläpito (Act) sisältää seurannan perusteella havaittujen muutostarpeiden ja kehityskohteiden toteaminen ja tarvittavien uusien toimenpiteiden suunnittelun käynnistäminen. Vaikuttavuuden arviointi on tärkeää kustannusten hallitsemiseksi. Tietoturvaryhmä tekee vuosittaisen toimintasuunnitelman, jossa jatkuvan prosessin tueksi valitaan keskeinen tietoturvan ja/tai tietosuojan kehittämiskohde. Kohteen, joka voi olla hallinnollinen (esimerkiksi henkilöstön osaaminen) tai tekninen (esimerkiksi pääsynhallintaratkaisut), keskeiset tavoitteet ja linjaukset tarkistetaan ja päivitetään. Tehokkaiden ja järkevien tietoturvatoimenpiteiden toteuttamiseksi on oleellista, että tietototurvaan ja tietosuojaan liittyvät vaatimusmäärittelyt tehdään kehitysprojektin ja ICT-ratkaisukehityksen alkuvaiheessa. Tietoturvaryhmä huolehtii, että ICT-ratkaisukehityksen tekijöillä on tarvittavat työkalut käytettävissään. Tietoturvaryhmän asiantuntijat tukevat toimialojen asiantuntijoita vaatimusmäärittelyiden tekemisessä.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute