Johtokunta 7.12.2009 193. Tietoturva- ja tietosuojapolitiikka



Samankaltaiset tiedostot
Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietosuoja- ja tietoturvapolitiikka

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

TIETOTURVA- POLITIIKKA

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus

Tietoturvapolitiikka

Utajärven kunta TIETOTURVAPOLITIIKKA

Sovelto Oyj JULKINEN

Etelä-Pohjanmaan sairaanhoitopiirin tietoturva- ja tietosuojapolitiikka

Eläketurvakeskuksen tietosuojapolitiikka

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

TIETOSUOJAPOLITIIKKA

Ammattikorkeakoulu 108 Liite 1

Vihdin kunnan tietoturvapolitiikka

Tietosuojatehtävät. Järvenpään kaupungissa

Tietoturvapolitiikka

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

Tietoturvapolitiikka Porvoon Kaupunki

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Tietoturvapolitiikka. Hattulan kunta

Tietoturvapolitiikka

Politiikka: Tietosuoja Sivu 1/5

Espoon kaupunki Tietoturvapolitiikka

Pilvipalveluiden arvioinnin haasteet

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Tietoturva- ja tietosuojapolitiikka

Tietoturva ja viestintä

Sisällysluettelo: TIETOSUOJAPOLITIIKKA 1 (6)

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Liperin kunnan päätöksenteko- ja asianhallinta (hallinnolliset asiat)

TIETOTURVAPOLITIIKKA

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

IT-palvelujen ka yttö sa a nnö t

Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen rekisteriseloste

Lapin yliopiston tietoturvapolitiikka

MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA

1 Tietosuojapolitiikka

TIETOSUOJAPOLITIIKKA. Turun kaupunki

Haminan tietosuojapolitiikka

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

Rekisteriseloste. Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen asiakasrekisterin rekisteriseloste

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tampereen Aikidoseura Nozomi ry

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Rekisteriseloste. Kehitysvammaisten asumispalvelujen asiakasrekisterin rekisteriseloste

Tietosuojaseloste. Trimedia Oy

Kehitysvammaisten asumispalvelujen rekisteriseloste

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Olemme sitoutuneet suojaamaan asiakkaidemme yksityisyyttä ja tarjoamme mahdollisuuden vaikuttaa henkilötietojen käsittelyyn.

Rekisteriseloste. Vanhusten ympärivuorokautisen hoidon ja hoivan asiakasrekisterin rekisteriseloste

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Kolarin kunnan tietosuojapolitiikka

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Salon kaupunki / /2018

SASTAMALAN KOULUTUSKUNTAYHTYMÄN TIETOTURVAOHJEET

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:

TIETOTURVA- JA TIETOSUOJARIKKOMUSTEN SEURAAMUSTAULUKKO

Henkilötietojesi käsittelyn tarkoituksena on:

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Salon kaupunki / /2018

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Espoon kaupunkikonsernin tietoturvapolitiikka

MIKÄ ON TIETOSUOJAVASTAAVA?

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

TIETOTURVAPOLITIIKKA

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET ALKAEN

PUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietosuojakysely 2018

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

T I E TO S U O JA JA T I E TOT U RVA L L I S U U S O M N I A S S A Riina Kirilova, tietosuoja- ja tietoturvapäällikkö

Laatua ja tehoa toimintaan

Valtiontalouden tarkastusviraston tietoturvapolitiikka

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Salon kaupunki , 1820/ /2018

Transkriptio:

Johtokunta 7.12.2009 193 Tietoturva- ja tietosuojapolitiikka

Sisällys: 1. Johdanto 3 2. Tietoturvapolitiikan tavoitteet ja toteutuksen periaatteet 4 3. Tietosuojapolitiikan tavoitteet ja toteutuksen periaatteet 5 4. Organisaatio ja vastuut 6 5. Tietoturvallisuuden seuranta ja ongelmatilanteiden käsittely 7

1. JOHDANTO Tietoturva- ja tietosuojapolitiikka asiakirjana sisältää Suupohjan peruspalveluliikelaitoskuntayhtymän mainitun alueen toimintaperiaatteet. Yksityiskohtaisemmat ohjeet sisältyvät Henkilöstön tietoturvaohjeisiin. Lisäksi kussakin yksikössä voi olla toiminnan erityisluonteesta johtuen yleisiä tietoturvaohjeita koskevia lisäyksiä ja täsmennyksiä, joita tulee noudattaa esimiehen ohjeiden mukaisesti. Tätä politiikkaa ja sen pohjalta laadittuja tietoturvaohjeita sovelletaan Suupohjan peruspalveluliikelaitoskuntayhtymän kaikissa toiminnoissa ja toimipaikoissa. Liikelaitoskuntayhtymän johto ja koko henkilöstö ovat sitoutuneet tietoturvalliseen toimintaan ja toimii tässä asiakirjassa julkaistujen periaatteiden mukaisesti. Tietoturva- ja tietosuojapolitiikka on voimassa toistaiseksi ja voimassaolo jatkuu, ellei sitä nimenomaisesti kumota. Tietoturva- ja tietosuojapolitiikasta voidaan tarvittaessa julkaista uusi versio, joka korvaa tämän asiakirjan julkaisuhetkellä. Tietoturva- ja tietosuojapolitiikka sekä Henkilöstön tietoturvaohjeet ovat asiakirjoina julkisia ja saatavissa sekä liikelaitoskuntayhtymän ulkoisilta että sisäisiltä verkkosivuilta. 3

2. TIETOTURVAPOLITIIKAN TAVOITTEET JA TOTEUTUK- SEN PERIAATTEET Tietoturvatoimenpiteiden tavoitteena on turvata ja suojata tietoa, tietojärjestelmiä ja tiedonvälitystä sekä niitä käyttäviä palveluita tietojen olemassaolon, oikeellisuuden, käytettävyyden, luottamuksellisuuden ja palveluiden jatkuvuuden vaarantumiselta. Turvaaminen ja suojaaminen tapahtuvat erilaisten hallinnollisten, fyysisten ja teknisten ratkaisujen avulla. Hallinnollisten ja teknisten päätösten, periaatteiden, menettelytapojen ja toimenpiteiden avulla varaudutaan tietoihin kohdistuviin uhkiin, pyritään vähentämään tietoturvariskejä ja vähennetään niiden vaikutuksia. Suojaamistoimet koskevat kaikkien sähköisessä, kirjallisessa tai muussa muodossa olevien tietojen käsittelyä, siirtoa ja säilytystä riippumatta siitä, onko tietoihin kohdistuva uhka tahallista tai tahatonta, esimerkiksi järjestelmän vikaantuminen, tapaturma tai luonnonkatastrofi. Tietoturvallisuuden toteutuksen keskeiset periaatteet ovat Organisaation asiakirjat, tietovälineet, tekniset laitteet ja suullinen informaatio ovat organisaation omaisuutta ja niiden käsittely saa tapahtua vain erikseen määritellyn ohjeen mukaisesti. Liikelaitoskuntayhtymällä on erilliset, kirjalliset henkilöstön tietoturvaohjeet, jotka esimies antaa tiedoksi ja sovellettavaksi jokaiselle työntekijälle työsopimuksen solmimisen tai toimeksiannon yhteydessä. Jokainen työntekijä noudattaa tietoturvallisuudesta annettuja ohjeita ja vastaa omalta osaltaan tietoturvallisuudesta liikelaitoskuntayhtymässä. Tietoturvallisuustyö on tietoturvallisuuden saavuttamiseksi tehtävien toimenpiteiden suunnittelua ja toteuttamista, jonka päämääränä on turvata liikelaitoskuntayhtymän toiminnalle tärkeiden tietojärjestelmien ja tietoverkkojen oikeanlainen ja keskeytymätön toiminta, estää tietojen ja tietojärjestelmien joutuminen ulkopuolisille, estää niiden luvaton käyttö, tahaton tai tahallinen tietojen tuhoutuminen tai vääristyminen sekä vähentää tietoturvariskejä ja minimoida niistä aiheutuvat vahingot. Tietoturvallisuustyöhön kuuluu oleellisena osana turvattavien tietojen ja tietojärjestelmien määrittely ja luokittelu, näihin kohdistuvien uhkien ja riskien kartoitus sekä niiltä suojautuminen. Tietoturvallisuusriskit tulee tunnistaa ja kartoittaa sekä ryhtyä tarvittaviin kustannustehokkaisiin toimenpiteisiin riskien pienentämiseksi. Suojautuminen kattaa sekä riskien toteutumista ehkäisevät toimenpiteet, toiminnan jatkuvuutta suojaavat toimet että poikkeustilanteita varten laadittujen valmiussuunnitelmien mukaiset toimet. Tietoturvan hallintamenettelyjä ja tietoturvariskejä arvioidaan sisäisillä tarkastuksilla ja tarvittaessa ulkoista tarkastusta käyttäen. Havaitut puutteet analysoidaan ja tarvittavat kehittämistoimet toteutetaan. 4

Liikelaitoskuntayhtymä sitouttaa henkilökunnan hyvän tietoturvatyön toteuttamiseen. Henkilökuntaan kohdistetun tietoturvaohjeistuksen, tiedottamisen ja tietoturvakoulutuksen avulla varmistetaan, että henkilökunta on sitoutunut noudattamaan liikelaitoskuntayhtymän tietoturvakäytäntöjä organisaation, asiakkaiden ja muiden sidosryhmien hyväksi ja että henkilökunnalla on riittävät valmiudet tietoturvariskien ja tietoturvaloukkausten tunnistamiseksi ja torjumiseksi. Kaikissa tietoturvallisuusasioissa voi kääntyä esimiehen, tietosuojavastaavan tai atk-henkilöstön puoleen. 3. TIETOSUOJAPOLITIIKAN TAVOITTEET JA TOTEUTUK- SEN PERIAATTEET Tietosuoja on oleellinen osa tietoturvallisuutta. Sillä tarkoitetaan henkilötietojen ja muiden henkilön luottamuksellisten tai arkaluonteisten tietojen suojaamista. Lähtökohtaisesti kaikki viranomaisen toiminta on julkista. Toisaalta laki myös edellyttää, että henkilön yksityisyydensuoja on turvattava. Tämän yksityisyydensuojan takaamiseksi kaikki liikelaitoskuntayhtymän hallussa olevat henkilöä koskevat tiedot on suojattu ja niiden käsittelyä koskevat keskeiset periaatteet ovat Tietoja säilytetään siten, että ulkopuolisilla ei ole mahdollisuutta päästä tietoihin käsiksi. Tietoihin ja tietojärjestelmiin pääsy on tarkoin määritelty käyttäjätunnus- ja salasanamenettelyllä. Henkilöä koskevia tietoja voidaan käsitellä ainoastaan valtuutettujen henkilöiden toimesta ja siinä käyttötarkoituksessa ja laajuudessa kuin on välttämätöntä. Tietoja voi luovuttaa ainoastaan henkilön itsensä suostumuksella tai erityislainsäädännön nojalla. Henkilökunnan toimintaa ohjaavat lain- ja määräysten mukaiset velvollisuudet ja oikeudet sekä näiden lisäksi ammattietiikka, johon sisältyy vastuu hyvästä toimintatavasta ja velvollisuus tietojen salassapidosta ja vaitiolosta. Tietosuojalainsäädännön mukaisesti liikelaitoskuntayhtymässä henkilötietojen käsittely on turvattava ja henkilötiedot on suojattava asiattomalta käsittelyltä. Tietojen ja tietojärjestelmien käyttöä seurataan ja kaikkiin väärinkäytöksiin on puututtava. Henkilötietojen oikeellisuus on varmistettava, ne on pidettävä salassa ulkopuolisilta, niitä ei saa tuhota tai käsitellä asiattomasti ja niiden on oltava tarpeen mukaan käytettävissä. Väärien, vanhentuneiden ja virheellisten tietojen käsittely on kielletty, ja näiden oikaiseminen on tehtävä tarpeen mukaan. Tietosuojalainsäädännössä säädetään lisäksi monista oikeuksista, joita henkilöllä on omiin tietoihinsa liittyen. 5

4. ORGANISAATIO JA VASTUUT Tietoturvallisuus on koko liikelaitoskuntayhtymän yhteinen asia. Tietoturvallisuutta johtaa ja siitä ensisijaisesti vastaa ylin johto eli johtokunta ja liikelaitoskuntayhtymän johtaja. Vastuu on riippumatonta siitä, onko joitakin organisaation toimintoja ulkoistettu vai ei. Ylin johto päättää liikelaitoskuntayhtymän kokonaisturvallisuuden eri osa-alueiden kehittämistoiminnan tavoitteista, organisoinnista, resursseista ja toimintavalmiuksista. Tietosuojaa johtaa ja siitä vastaa kukin palvelujohtaja omalla palvelualueellaan. Tietosuojavastaavan/tietosuojavastaavien tehtävänä on organisaation erityisasiantuntijana auttaa ylintä johtoa velvoitteittensa toteuttamisessa, tukea ja ohjata henkilökuntaa ja rekisteröityjä tietosuoja-asioissa sekä seurata ja raportoida tietoturvallisuuden tilasta ja kehittämistarpeista. Tietosuojavastaavan/tietosuojavastaavien apuna toimii tietosuojatyöryhmä. Tietoturvallisuuden kehittämisestä vastaa atk-palvelujen organisaatio ja erikseen nimetyt tietojärjestelmien vastuuhenkilöt. He vastaavat tietojärjestelmien toiminnasta, hoidosta, turvallisuudesta ja käytön riittävästä ohjeistuksesta sekä rekisterinpitäjää koskevien velvoitteiden täyttymisestä ylimmän johdon päätösten ja ohjeistuksen mukaisesti. Atk-palveluiden organisaatio ja tietosuojatyöryhmä tekevät yhteistyötä. Tietoturvaohjeiden noudattamisesta omassa yksikössään vastaa yksikön esimies. Esimies antaa jokaiselle työntekijälle tiedoksi erilliset kirjalliset Henkilöstön tietoturvaohjeet työsopimuksen solmimisen tai toimeksiannon yhteydessä. Esimiehen tehtävänä on valvoa tietosuojan toteutumista omassa yksikössään. Jokaisella työntekijällä on henkilökohtainen vastuu huolehtia oman toimintansa turvallisuudesta ja noudattaa tehtäviensä hoidossa annettuja ohjeita ja määräyksiä. Henkilöstön tietoturvaosaamista ylläpidetään ja seurataan sähköisen koulutusympäristön avulla. 6

5. TIETOTURVALLISUUDEN SEURANTA JA ONGELMA- TILANTEIDEN KÄSITTELY Sisäisen tukipalvelun johtajalla on yhdessä atk-palveluiden henkilökunnan kanssa ja osaltaan tietosuojavastaavalla/tietosuojavastaavilla on liikelaitoskuntayhtymän ylimmän johdon antama valtuutus ja velvollisuus tehdä liikelaitoskuntayhtymän tietojärjestelmien tietoturvallisuuden ja tietosuojan kartoituksia ja ryhtyä toimenpiteisiin havaittujen tietoturvallisuuden ja tietosuojan heikkouksien parantamiseksi. Tietoturvalainsäädäntöä, Suupohjan peruspalveluliikelaitoskuntayhtymän tietoturva- ja tietosuojapolitiikkaa sekä henkilöstön tietoturvaohjeita vastaan havaitut rikkomukset raportoidaan organisaation johdolle ja tiedotetaan kyseistä esimiestä. Jos kyseessä on toistuva tai vakava rikkomus, ryhdytään tapauksen edellyttämiin jatkotoimiin. Jos rikkomuksesta aiheutuu välittömästi tai välillisesti taloudellisia menetyksiä, voidaan päätyä vahingonkorvausvaatimuksiin. Tietojen väärinkäyttö tai tahallinen ohjeiden vastainen toiminta voi johtaa muun ohella rikosoikeudellisiin seuraamuksiin. Seurauksena voi olla myös irtisanominen tai palvelussuhteen purkaminen. \tietoturva\ohjeet\tietoturva_ja_tietosuojapolitiikka.doc 7.12.2009 / A. Alavillamo 7

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute