TIETOTURVALLISUUDEN OHJAUSRYHMÄ Aika: Perjantai 25.8.2017 klo 12.00-14.00 Paikka: Kollegion kokoushuone, Rehtoraatti, yliopiston päärakennus Ohjausryhmän jäsenet: hallintojohtaja Kirsi Moisander (puheenjohtaja) professori Ismo Hakala (Kokkolan yliopistokeskus Chydenius) kehittämispäällikkö Merja Karjalainen (avoin yliopisto) professori Raine Koskimaa (humanistis-yhteiskuntatieteellinen tiedekunta) dekaani Henrik Kunttu (matemaattis-luonnontieteellinen tiedekunta) yliopistonlehtori Riitta Ollila (kauppakorkeakoulu) varadekaani Timo Tiihonen (informaatioteknologian tiedekunta) digijohtaja Ari Hirvonen turvallisuuspäällikkö Olli-Pekka Laakso (asiantuntijajäsen) tietoturvapäällikkö Teijo Roine (sihteeri) suunnittelija Marjo Havila (sihteeri) Muistio 1. Kokouksen avaus Puheenjohtaja avasi kokouksen klo 12.03. 2. Osanottajien tarkistaminen Todettiin osanottajat. 3. Asialistan hyväksyminen Hyväksyttiin asialista. 4. Tietoturvakoulutukset Henkilöstölle suunnattu perehdyttämiskurssi - harjoittelija on tehnyt kesän aikana n. 30 min verkkokurssin - sekä verkkokurssin että vaihtoehtoiseen perehdytysmateriaaliin liittyy verkkotentti - kurssi on lyhyt ja yleistajuinen 1 / 5
- tentillä mitataan koulutukseen osallistuneiden määrää, ei osaamisen tasoa - kurssin pilotointi on meneillään tietoturvaryhmässä - on haastavaa saada koko henkilöstö käymään kurssi - päätettiin muuttaa tentin nimeksi testi tai itsearviointi - Ari Hirvonen tarkistaa miten kurssin saisi pakotettua ponnahdusikkunaksi näytölle konetta avatessa - kurssin markkinointia on mietittävä; sen voisi yhdistää esimerkiksi laitosten muihin koulutuspäiviin - motivaatiota voi lisätä myös kertomalla esim. mitä uhkia tietoturvaongelmat aiheuttavat tutkimukselle Opiskelijoille suunnattu tietoturvan perusteet - toimii aluksi valinnaisena kurssina, mutta myöhemmin pakollisena, jolloin siitä voisi saada opintopisteen - kurssia tullaan pilotoimaan HYTK:ssa Kurssit ja tiedottaminen - yleistä laajempaa, vapaaehtoista tietoturvakoulutusta tarjotaan lähiopetuksena henkilökunnalle - salassa pidettävään tiedon käsittelykurssi on pakollinen tietyille ryhmille, jotka joutuvat käsittelemään salassa pidettävää tietoa ja henkilötietoja. - yksiköille tarjotaan ajankohtaisteemaesityksiä yksiköiden yleiskokouksiin ja kohdennettuina koulutuksina - tietoturvan intra-sivut olisivat tarpeen 5. Sopimusten hallinta Tietoturvan kokonaisvaltainen toteuttaminen edellyttää toimintaympäristön tuntemista. Perustason vaatimuksena on Kumppanin kanssa tehdään kirjallinen sopimus, jossa määritellään yhteistyön tai hankinnan kohteen tietoturvavaatimukset sekä miten tietoturvallisuuden valvonta, seuranta, auditointi ja raportointi tapahtuu 2 / 5
Tietoturvapäällikölle tulisi saada tieto erityisesti uusista sopimuksista sen arvioimiseksi, miten tietoturva on otettava niissä huomioon. Tietoturvapäällikkö käy läpi sopimuspohjat lakimiesten kanssa ja osallistuu sopimuspolitiikan päivittämiseen. 6. Tietoturvan kehittämisen tilanne Tämän vuoden päätavoite on valtionhallinnon tietoturvan perustason saavuttaminen, pois lukien jatkuvuudenhallinta. Painotuksina tänä vuonna ovat tietoturvatietoisuuden lisääminen ja salassa pidettävän tiedon luokittelu ja käsittely. Tietoturvapäällikkö ottaa syksyn aikana käsittelyyn riskien hallinnan. Yliopiston kokonaisarkkitehtuurimallia tullaan viemään eteenpäin. Tietoturva on otettava huomioon myös hankintaohjeissa. Tietoturvapäällikön näkemyksiä vuoden aikana tulleista asioista: - It-palvelut, tietoturvallisuuden ohjausryhmä tietoturvaryhmä toimivat hyvänä tukena tietoturva-asioissa - Sanktioiden puute hankaloittaa toimintaa. Jatketaan tästä keskustelua seuraavassa ohjausryhmän kokouksessa. Käytiin läpi statustaulukkoa: - Tietoturvapolitiikka ja -periaatteet on hyväksytty sekä monta muuta periaatetta saatu käyntiin. Pilvipalvelujen arviointiin tehdään arviointikehikko. Audioinnit ja sisäiset arvioinnit - ROTI auditointi toteutuu syyskuussa. - MEG-auditointi ei toteudu, koska ympäristö ei ole valmis. - MEG:n sijaan päätettiin auditoida peda.net. - Konesalit tullaan käymään läpi syksyllä. 7. Poikkeamat Käytiin läpi poikkeamat. 3 / 5
8. Muut asiat Järjestelmäkartoitus - IT-palvelut käynnistää kokonaisarkkitehtuurityön osana kartoituksen kaikista yliopiston tietojärjestelmistä - Tukee tietoturvan hallintaa Pilvipalveluiden käyttö - Yleiset periaatteet kirjattu tietoturvaperiaatteisiin - Täsmennettävä ja julkaistava palvelukohtaisesti - Googlen ja Microsoftin sopimus tarkistettu tietoturva näkökulmasta: erittäin haastavia sopimuksia VAHTI-tietoturvabarometri - Organisaatioiden koko henkilöstölle suunnattu kysely syys-lokakuussa - Kohteena valtionhallinto ja kunnat, yliopistot voivat osallistua halutessaan - Tulokset organisaatiokohtaisia sekä viiteryhmävertailu (yliopistot) - Antaisi tietoa, miten henkilöstö näkee ja kokee tietoturvan - Päätettiin, että yliopisto osallistuu kyselyyn Kyberturvallisuuden teemaviikko (European Cyber Security Month) 2.-6.10.2017 - VAHTI järjestää tapahtumia julkishallinnolle - Arjen tietosuojaa videokoulutus - Yliopistollakin teemaviikolla olisi hyvä olla aiheeseen liittyvää tiedotusta jne. Teijo Roine ottaa asiasta yhteyttä Panu Moilaseen. Koulutuspaketti lanseerataan teemaviikolla. Muut keskusteluasiat Korppi-järjestelmä on ongelmallinen tietoturvan näkökulmasta. Roti ja Sisu korvaavat sen vähitellen, joka tulee korjaamaan asian. 9. Seuraava kokous 4 / 5
Seuraava kokous pidetään marraskuussa, aika ilmoitetaan myöhemmin. 10. Kokouksen päättäminen Puheenjohtaja päätti kokouksen klo 13.10. 5 / 5