Valtiontalouden tarkastusviraston tietoturvapolitiikka



Samankaltaiset tiedostot
Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Lapin yliopiston tietoturvapolitiikka

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

TIETOTURVA- POLITIIKKA

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietoturvapolitiikka

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET ALKAEN

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Sovelto Oyj JULKINEN

Tietoturvavastuut Tampereen yliopistossa

Vihdin kunnan tietoturvapolitiikka

TIETOTURVA JA TIETOSUOJAPOLITIIKKA

Tietoturvapolitiikka

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Tietoturvapolitiikka Porvoon Kaupunki

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Eläketurvakeskuksen tietosuojapolitiikka

Johtokunta Tietoturva- ja tietosuojapolitiikka

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Espoon kaupunkikonsernin tietoturvapolitiikka

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

tiedon ja ihmisten johtamisen, asiakirjahallinnon osaamisen, ja jokaisen työntekijän sitoutumisen avulla.

Tietosuoja henkilöstön rekrytoinnissa

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

Espoon kaupunki Tietoturvapolitiikka

Tietoturvapolitiikka. Hattulan kunta

Lokipolitiikka (v 1.0/2015)

Tietoturvapolitiikka

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus

Pilvipalveluiden arvioinnin haasteet

Sähköi sen pal l tietototurvatason arviointi

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Politiikka: Tietosuoja Sivu 1/5

SÄHKÖPOSTIN KÄYTÖSTÄ SOSIAALIHUOLLOSSA

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

Laatua ja tehoa toimintaan

Utajärven kunta TIETOTURVAPOLITIIKKA

TIETOSUOJAPOLITIIKKA

TIETOTURVAPOLITIIKKA

1 Käsitteet ja termit

Tietoturvapolitiikan käsittely / muutokset:

Tietoturvapolitiikka

Karkkilan kaupungin tietoturvapolitiikka

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

1 Käsitteet ja termit

Espoon kaupunki Tietoturvapolitiikka

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Tietosuoja- ja tietoturvapolitiikka

6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA

Webinaarin sisällöt

Tietoturvapolitiikka NAANTALIN KAUPUNKI

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Tietoturva Kehityksen este vai varmistaja?

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Jämsän kaupungin tietoturvapolitiikka

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

TIETOTURVAPOLITIIKKA

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

1 Käsitteet ja termit

Ammattikorkeakoulu 108 Liite 1

Kunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka

Korkeakoulujen valtakunnallinen tietovaranto. Ilmari Hyvönen

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

KESKI-POHJANMAAN IT-ALUEKESKUS. KPA:n TIETOTURVAPOLITIIKKA 2012 ja tietoturvamääräykset

6) tietojen käytettävyys, eheys ja laatu viranomaisen tehtävän hoidossa ja viranomaisten yhteistyössä;

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Tampereen yliopiston arkistotoimen johtosääntö

Kunnan järjestämisvastuu, tietohallinto ja digitalisaatio. julkisoikeuden professori, IT-oikeuden dosentti Tomi Voutilainen Itä-Suomen yliopisto

Tietoturva- ja tietosuojapolitiikka

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Tietoturvapolitiikka

VAASAN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Vaasan kaupunginvaltuuston hyväksymät

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

TIETOTURVAA TOTEUTTAMASSA

ASIAKIRJAHALLINNON JA ARKISTOTOIMEN TOIMINTAOHJE. Itä-Savon koulutuskuntayhtymä (SAMIedu)

Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu

Transkriptio:

Valtiontalouden tarkastusviraston tietoturvapolitiikka

Valtiontalouden tarkastusvirasto on tänään vahvistanut oheisen tietoturvapolitiikan. Päätös on voimassa 1.5.2008 lukien toistaiseksi. Helsingissä 30. päivänä huhtikuuta 2008. Pääjohtaja Tuomas Pöysti Tietoturvapäällikkö Tuomo Salminen

1 Johdanto 1.1 Tietoturvapolitiikan strategiset tavoitteet Valtiontalouden tarkastusviraston tietoturvapolitiikassa määritellään tietoturvallisuuden tavoitteet, strategiset painopistealueet, vastuut, turvaamisperiaatteet ja tiedottaminen tarkastusvirastossa. Tarkastusviraston strategiset tavoitteet on määritelty 25.1.2007 hyväksytyssä asiakirjassa "Valtiontalouden tarkastusviraston strategia vuosille 2007-2012". Tietoturvapolitiikka tukee tarkastusviraston strategisten tavoitteiden saavuttamista. Tietoturvapolitiikkaa täydentävät tarkastusviraston omat ja eduskunnan tietoturvamääräykset ja -ohjeet. Tietoturvakäytännöt ja toimenpiteet, joilla tietoturvallisuutta ylläpidetään ja kehitetään, on koottu viraston suunnitelmiin ja ohjeisiin (mm. tietoturva-, arkistonmuodostus-, viestintä-, henkilöstö-, kriisiviestintä- ja valmiussuunnitelmat sekä tietosuoja- ja hankintaohjeet). Tarkastusviraston tietoturva-asiakirjoja laadittaessa huomioidaan soveltuvin osin valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) antama ohjeistus. Tarkastusviraston tietoturvallisuuden strategisena tavoitteena on se, että virasto toimii esimerkkinä hallinnossa hyvän tietoturvakulttuurin kehittämisessä ja ylläpitämisessä. Painopistealueita ovat hyvän tiedonhallintatavan toteuttaminen kaikissa viraston toiminnoissa, henkilöstön tietoturvaosaamisen ylläpitäminen ja kehittäminen sekä sitouttaminen tietoturvalliseen toimintaan ja tietoturvaohjeisiin. Tietoturvallisuuden operatiiviset painopistealueet ovat järjestelmien käytettävyys, tiedon salaus, luotettava käyttäjän tunnistus, käyttöoikeushallinta, tietoturvakoulutuksen järjestäminen ja ohjeistus sekä ulkopuolisten hyökkäyksien torjunta, roskapostin suodattaminen ja haittaohjelmien torjunta. Tarkastusvirasto noudattaa vähintään eduskunnan määrittelemää tietoturvatasoa sekä lisäksi huomioidaan tarvittavilta osin ulkoiset vaatimukset tietoturvallisuuden toteuttamiseksi. 1.2 Tietoturvallisuuden käsite ja merkitys Tietoturvallisuudella tarkoitetaan tietojen, tietojärjestelmien ja niiden palveluiden luottamuksellisuuden, eheyden, saatavuuden ja käytettävyyden suojaamista siten, että niihin kohdistuvat uhat eivät aiheuta merkittävää vahinkoa Valtiontalouden tarkastusviraston toiminnoille. Tarkastusviraston toiminnoissa on otettava huomioon sään- 2

nöksissä, määräyksissä sekä ohjeissa olevat velvoitteet ja vaatimukset, jotka ovat keskeisiä kriteereitä tietoturvallisuustoimenpiteiden laadun arvioimisessa. Tietoturvallisuuden tavoitteena on huolehtia siitä, että tarkastusviraston tarkastuskohteilta saatuja ja omassa toiminnassa syntyneitä tietoaineistoja käsitellään koko elinkaaren ajan säännösten, määräysten ja ohjeiden mukaisesti. Tarkastusviraston henkilöstön velvollisuutena on huolehtia omassa työssään tietoturvallisuuden riittävästä ja asianmukaisesta toteuttamisesta sekä kiinnittää huomiota tietoaineistoihin ja tietojärjestelmiin kohdistuviin uhkiin. Jokaisen velvollisuutena on tuoda esiin tietoturvallisuuteen kohdistuvat riskit suunnitelmissa ja ohjeissa kuvatuilla tavoilla. 2 Tietoturvatoimintaa ohjaavat tekijät Viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 18.1 :ssä säädetään viranomaiselle toisaalta velvollisuudesta huolehtia siitä, että julkinen tieto on oikeaan aikaan käytettävissä ja toisaalta velvollisuudesta suojata salassa pidettävät tiedot väärinkäytöltä. Henkilötietolain (523/1999) 32.1 :n rekisterinpitäjällä on velvollisuus toteuttaa tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Arkistolaissa (831/1994) säädetään arkistonmuodostajan velvollisuudesta huolehtia asiakirjojen säilytyksestä siten, että ne ovat turvassa tuhoutumiselta, vahingoittumiselta ja asiattomalta käytöltä (ArkL 12.1 ). Sähköisestä asioinnista viranomaistoiminnassa annetun lain (13/2003) yhdeksi tarkoitukseksi on määritelty tietoturvallisuuden lisääminen hallinnossa, millä pyritään puolestaan mahdollistamaan sähköisten tiedonsiirtomenetelmien käyttö asiointivälineenä (1 ). Viranomaisten on järjestettävä tietoturvallisuus riittävälle tasolle niin kansalaisille, yrityksille kuin yhteisöillekin tarkoitetuissa sähköisissä palveluissa ja viranomaisten välisessä sähköisessä tiedonsiirrossa ja asioinnissa (5.3 ). Yksityisyyden suojasta työelämässä annetun lain (759/2004) tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia työelämässä. Laissa säädetään erityisesti henkilöstöturvallisuuteen liittyvistä asioista, kuten työntekijää koskevien henkilötietojen käsittelystä, työntekijälle tehtävistä testeistä ja tarkastuksista sekä niitä koskevista vaatimuksista, teknisestä valvonnasta työpaikalla sekä työntekijän sähköpostiviestin hakemisesta ja avaamisesta. Valtiontalouden tarkastusviraston arkistonmuodostussuunnitelma (446/01/05) käsittää perustiedot viraston toiminnan tuloksena syntyvien tietoaineistojen käsittelystä, 3

rekisteröinnistä, säilytystavoista ja -muodoista, julkisuudesta sekä maininnat tietojärjestelmistä ja muista asiakirjojen käsittelyyn liittyvistä ohjeista. 3 Tietoturvallisuuteen kohdistuvat uhat ja riskit Tietoturvauhat kohdistuvat sähköisiin ja paperimuotoisiin tietoaineistoihin, henkilöstöön, fyysiseen turvallisuuteen, laitteistoihin, ohjelmistoihin, tietoliikennepalveluihin ja järjestelmien käyttöön. Uhkia seurataan jatkuvasti ja niistä raportoidaan johdolle ja muille vastuuhenkilöille. Tietoturvallisuuteen kohdistuvat uhat ja riskit on määritelty viraston tietoturvasuunnitelmassa. Tietoturvariskit kartoitetaan ja tietoturvatoimenpiteet priorisoidaan siten, että riskien toteutuminen vaikuttaa mahdollisimman vähän viraston toimintaan. Tietoturvatoimenpiteet on priorisoitu viraston tietoturvasuunnitelmassa. 4 Tietoturvallisuuden merkitys organisaatiolle Perustuslain (731/1999) 90.2 :n mukaan tarkastusviraston tehtävänä on valtion taloudenhoidon ja valtion talousarvion noudattamisen tarkastaminen. Valtiontalouden tarkastusvirastosta annetun lain (676/2000) 1 :n mukaan tarkastusviraston tehtävänä on tarkastaa valtion taloudenhoidon laillisuutta ja tarkoituksenmukaisuutta sekä valtion talousarvion noudattamista. Lisäksi eräistä Suomen ja Euroopan yhteisöjen välisistä varainsiirroista annetun lain (353/1995) 2-3 :ssä on säädetty tarkastusvirastolle oikeus tarkastaa laissa määriteltyjä varainsiirtoja. Valtiontalouden tarkastusvirastosta annetun lain 6 :n mukaan tarkastusviraston velvollisuutena on antaa eduskunnalle vuosittain syyskuun loppuun mennessä kertomus toiminnastaan. Tarkastusviraston tehtävänä on raportoida tarkastuskohteille tarkastuksessa ilmenneistä havainnoista. Tarkastusvirasto tukee tarkastus- ja asiantuntijatoiminnallaan eduskunnan työskentelyä tarjoamalla riippumatonta tarkastustietoa. Tarkastustoiminnalla vaikutetaan hallinnon toiminnan kehittymiseen. Tietoturvatoimenpiteillä turvataan lainsäädännössä asetettujen tehtävien suorittaminen, jolla toteutetaan eduskunnalle annettavan kertomuksen tietoaineiston muodostumista sekä tarkastuskohteille tehtävää raportointia. Lisäksi tietoturvatoimenpiteiden suunnittelussa ja toteutuksessa otetaan huomioon tarkastusviraston strategiset tavoitteet. Tarkastusviraston ydintehtävien suorittamista tukee laadukkaat ja toimivat tukipalvelut. 4

5 Tietoturvallisuuden hallintajärjestelmä Tietoturvallisuuden hallintajärjestelmän toteuttaminen on kuvattu tarkemmin tarkastusviraston tietoturvasuunnitelmassa. Tietoturvallisuuden hallintajärjestelmää ylläpidetään lainsäädännön, ohjeistuksen ja menettelyiden muuttuessa. Hallintajärjestelmä on kuvattu pääpiirteissään alla olevassa kuviossa ja siinä sovelletaan standardia IEC/ISO 27001: 2005. KUVIO 1. TIETOTURVALLISUUDEN HALLINTAJÄRJESTELMÄ 6 Tietoturvavastuut 6.1 Tarkastusviraston tietoturvavastuut Tarkastusvirastossa noudatettava tietoturvapolitiikka ja tietoturvasuunnitelma ovat pääjohtajan hyväksymiä. Tarkastusviraston ylin johto vastaa tietoturvallisuuden huomioonottamisesta viraston strategisissa tavoitteissa. Tietoturvapäällikkö valvoo, että tarkastusviraston tietoturvallisuutta noudatetaan tietoturvapolitiikan ja tietoturvasuunnitelman mukaisesti. 5

Tietohallinnolla on yleisvastuu tietoliikenne-, ohjelmisto- ja laitteistotietoturvallisuudesta. Asiakirjahallinnolla ja toimintayksiköillä on yleisvastuu tietoaineistoturvallisuudesta. Henkilöstö- ja fyysisestä turvallisuudesta vastaa hallintopäällikkö. Tarkastusvirastossa toimii tietoturvaryhmä, jonka tehtävänä on kehittää viraston tietoturvallisuuteen liittyviä menettelyitä, kehittää ohjeistusta ja käsitellä tietoturvahavaintoja. Vastuut on määritelty tarkemmin tarkastusviraston työjärjestyksessä. 6.2 Yhteistyökumppaneiden vastuut Eduskunnan ns. yhteisten järjestelmien osalta noudatetaan eduskunnan sisäisiä käytäntöjä. Ulkoistettujen palvelujen toimittajien on noudatettava soveltuvin osin tarkastusviraston tietoturvaohjeita ja -määräyksiä ja ne on otettava huomioon sopimuksia tehtäessä. 7 Tietoturvakoulutus ja tiedottaminen Tarkastusvirastossa tietoturvallisuusasioiden tiedottamisesta vastaa yleisellä tasolla viraston johtoryhmä yhteistyössä tietoturvapäällikön ja tiedotuksen kanssa. Tarkastusviraston julkinen tietoaineisto on julkaistu viraston internet-sivuilla (www.vtv.fi). Tarkastusviraston kriisiviestinnässä noudatetaan viraston viestintäsuunnitelmaa. Tietoturvallisuuteen liittyvästä ulkoisesta viestinnästä vastaa tiedottaja. Tietoturvallisuus on olennainen osa viraston jatkuvaa osaamisen kehittämistä, josta huolehditaan asianmukaisella ja suunnitellulla tietoturvakoulutuksella. Uusille työntekijöille järjestetään perehdytys viraston tietoturvamenettelyihin ja - ohjeistukseen ennen työtehtävien aloittamista. Tietoturvakoulutuksen suunnittelussa ja toteutuksessa huomioidaan tehtävien, tuotteiden ja palveluiden kehittyminen. Tietoturvallisuuteen liittyvien ohjeiden päivityksistä tiedotetaan aktiivisesti ja tarvittaessa järjestetään erillisiä koulutustilaisuuksia kohderyhmittäin. 6

8 Tietoturvallisuuden toteutumisen valvonta Henkilökunnasta jokainen on velvollinen ilmoittamaan tietoturvahavainnoistaan. Tietoturvallisuuden valvontaan osallistuvat henkilökunnan lisäksi eri yhteistyötahot. Valvonnassa korostuu johdon, esimiesten, tietohallinnon ja järjestelmien vastuuhenkilöiden rooli. Virastolla on sidosryhmiensä kanssa sopimuksia valvontatehtävistä. Tällainen valvonta kohdistuu erityisesti palvelimiin ja tietoliikenteeseen. 9 Toiminta poikkeustilanteissa ja -oloissa Normaaliolojen palo- ja pelastustilanteissa toimitaan suojelusuunnitelman mukaisesti. Henkilökunnalle on jaettu kirjalliset toimintaohjeet uhka- ja hälytystilanteita varten. Poikkeusoloissa virastossa toimitaan valmiussuunnitelman mukaisesti. Asiakirjojen poikkeusolojen suojeluryhmät on määritelty arkistonmuodostussuunnitelmassa. 7

Liite 1: Määritelmät Fyysinen turvallisuus tarkoittaa niitä toimenpiteitä, joilla tietojenkäsittelyyn liittyviä kohteita suojellaan fyysisiltä tapaturmilta tai vahingoittamisyrityksiltä. Laitteet ja tietovarastot suojataan asiaankuulumattomilta henkilöiltä ja erilaisilta palo-, vesi- ja kiinteistövahingoilta. Hallinnollinen tietoturvallisuus on tietoturvallisuuden johtamistoiminto ja organisaation koko tietoturvatoiminnan lähtökohta Henkilöstöturvallisuus on henkilöstöön liittyvien riskien hallintaa henkilöstön soveltuvuuden, toimenkuvien, sijaisuuksien, tiedonsaanti- ja käyttöoikeuksien, suojaamisen, turvallisuuskoulutuksen ja valvonnan osalta. Hyvällä tiedonhallintatavalla tarkoitetaan sitä, että asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen saatavuudesta, käytettävyydestä, suojaamisesta, eheydestä ja muista tietojen laatuun vaikuttavista tekijöistä huolehditaan riittävin toimenpitein. Julkisuuslain mukaan hyvään tiedonhallintatapaan sisältyy diaarin ja tietojärjestelmäselosteiden huolellinen ylläpito, asiakirjajulkisuuden vaatimat järjestelyt, asianmukainen tietosuoja ja tietoturvallisuus, henkilökunnan koulutus ja informointi näistä seikoista, niitä koskevien ohjeiden noudattamisen valvonta, sekä varautuminen suunniteltujen hallintouudistusten vaikutuksiin asiakirjain julkisuuteen, salassapitoon ja suojaan sekä tietojen laatuun. Käyttöturvallisuudella tarkoitetaan tietotekniikan käyttöön, käyttöympäristöön, tietojenkäsittelyyn ja sen jatkuvuuteen sekä tuki-, ylläpito-, kehittämis- ja huoltotoimintoihin liittyvää turvallisuutta. Laitteistoturvallisuudella tarkoitetaan tietoturvallisuuden osa-aluetta, joka käsittää tietojenkäsittely- ja tietoliikennelaitteiden käytettävyyden, toiminnan, kokoonpanon, kunnossapidon ja laadunvarmistuksen. Ohjelmistoturvallisuus on tietoturvallisuuden osa-alue, joka käsittää käyttöjärjestelmät, väliohjelmistot (middle ware), sovellusohjelmat ja tietoliikenneohjelmistot. Alueeseen kuuluvat ohjelmistojen tunnistamis-, eristämis-, pääsynvalvonta- ja varmistusmenettelyt, tarkkailu- ja paljastustoimet, lokimenettelyt, ohjelmistojen laadunvarmistus sekä niiden ylläpitoon ja päivitykseen liittyvät turvallisuustoimet. Riskillä tarkoitetaan todennäköisyyttä, että uhka toteutuu aiheuttaen tietyn menetyksen tai vahingon uhkaan liittyvää vahingon rahallista arvoa tai odotusarvoa Tiedon ja tietojenkäsittelyn eheys tarkoittaa aitous, väärentämättömyys, sisäinen ristiriidattomuus, kattavuus, ajantasaisuus, oikeellisuus ja käyttökelpoisuus ominaisuus, että tietoa tai viestiä ei ole valtuudettomasti muutettu, ja että mahdolliset muutokset voidaan todentaa kirjausketjusta 8

Tiedon ja tietojenkäsittelyn luottamuksellisuudella tarkoitetaan tietojen luottamuksellista säilyttämistä ja tietoihin, tietojenkäsittelyyn ja tietoliikenteeseen kohdistuvien oikeuksien säilymistä vaarantumiselta ja loukkaukselta sitä, missä määrin luottamuksellisuutta pidetään tärkeänä Tiedon ja tietojenkäsittelyn saatavuudella ja käytettävyydellä tarkoitetaan ominaisuus, että tieto, tietojärjestelmä tai palvelu on siihen oikeutetuille saatavilla ja hyödynnettävissä haluttuna aikana ja vaaditulla tavalla Tietoaineistoturvallisuudella tarkoitetaan tietojen ja niitä sisältävien järjestelmien tunnistusta, luokittelua ja valvontaa käsittelyn eri vaiheissa. Tietoliikenneturvallisuudella tarkoitetaan toimenpiteitä, joilla varmistetaan tietojen turvallisuus niiden liikkuessa järjestelmästä toiseen joko organisaation sisällä tai organisaatioiden välillä. Tietoturvapolitiikka tarkoitetaan organisaation tasolla johdon hyväksymä näkemystä tietoturvallisuuden päämääristä, periaatteista ja toteutuksesta 9

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute