PUUMALAN KUNNAN TIETOTURVAPOLITIIKKA

Samankaltaiset tiedostot
6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA

Jämsän kaupungin tietoturvapolitiikka

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

TIETOTURVA- POLITIIKKA

Sovelto Oyj JULKINEN

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Vihdin kunnan tietoturvapolitiikka

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Tietoturvapolitiikka Porvoon Kaupunki

Eläketurvakeskuksen tietosuojapolitiikka

Tietoturvapolitiikan käsittely / muutokset:

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Utajärven kunta TIETOTURVAPOLITIIKKA

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietoturva- ja tietosuojapolitiikka

Tietoturvapolitiikka. Hattulan kunta

Tietoturvapolitiikka

TIETOTURVAPOLITIIKKA

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET ALKAEN

Tietoturvavastuut Tampereen yliopistossa

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Ammattikorkeakoulu 108 Liite 1

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Askolan kunnan tietoturvapolitiikka

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Tietosuoja- ja tietoturvapolitiikka

IT-palvelujen ka yttö sa a nnö t

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Tietoturvapolitiikka

Lapin yliopiston tietoturvapolitiikka

Toimitilojen tietoturva

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Johtokunta Tietoturva- ja tietosuojapolitiikka

Espoon kaupunki Tietoturvapolitiikka

KESKI-POHJANMAAN IT-ALUEKESKUS. KPA:n TIETOTURVAPOLITIIKKA 2012 ja tietoturvamääräykset

Espoon kaupunki Tietoturvapolitiikka

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Itä-Savon sairaanhoitopiirin kuntayhtymän KYS erityisvastuualue-tasoinen Tietosuoja- ja tietoturvapolitiikka - Tietoturvallisuuden osa-alueet

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Karkkilan kaupungin tietoturvapolitiikka

Laatua ja tehoa toimintaan

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Valtiontalouden tarkastusviraston tietoturvapolitiikka

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka

1 Johdanto. Dokumentin käyttötarkoitus. 1.1 Yleistä TIETOTURVAPOLITIIKKA, ESIMERKKI MUISTIO 1(18)

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Tietoturva ja viestintä

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

Kunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka

HELSINGIN KAUPUNKI MUISTIO Numero 1 TALOUS- JA SUUNNITTELUKESKUS Tietotekniikkaosasto

TIETOTURVALLISUUSPOLITIIKKA

TIETOTURVAPOLITIIKKA

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

Politiikka: Tietosuoja Sivu 1/5

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Tietosuojaseloste. Trimedia Oy

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto

Seinäjoen kaupungin tietoturvapolitiikka. Kh , 149

Pilvipalveluiden arvioinnin haasteet

Kymenlaakson Kyläportaali

IT-palveluiden käyttöperiaatteet. (työsopimuksen osa)

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Korkeakoulujen valtakunnallinen tietovaranto. Ilmari Hyvönen

sekä yksittäistä atk-laitetta tai -laitteistoa että niiden muodostamaa kokonaisuutta

Lapinlahden kunnan tietoturvapolitiikka

PK-yrityksen tietoturvasuunnitelman laatiminen

Tietoturvapolitiikka

PUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOSUOJAPOLITIIKKA

TIETOTURVA JA TIETOSUOJAPOLITIIKKA

Transkriptio:

Kunnanhallitus 20.2.2017 37 LIITE NRO 1 PUUMALAN KUNNAN TIETOTURVAPOLITIIKKA

2 SISÄLLYSLUETTELO 1. Johdanto... 3 2. Tietoturvan tavoitteet... 3 3. Tietoturvan perustaso... 4 3.1. Hallinnollinen turvallisuus... 4 3.2. Ohjelmistoturvallisuus... 4 3.3. Tietoaineistoturvallisuus... 5 3.4. Käyttöturvallisuus... 5 3.5. Laitteistoturvallisuus... 6 3.6. Fyysinen turvallisuus... 6 3.7. Tietoliikenneturvallisuus... 7 3.8. Henkilöstöturvallisuus... 8 3.9. Tietosuoja... 8 4. Tietoturvatehtävät ja tietoturvatyön organisointi... 8 4.1. Johto... 9 4.2. Tietojärjestelmien ja laitteistojen omistajat ja vastuuhenkilöt... 9 4.3. Arkisto... 9 4.4. Pääkäyttäjät... 10 4.5. Henkilöstö... 10 5. Tietoturvallisuuden seuranta... 10 6. Tietoturvallisuuden voimassaolo... 10

3 1. Johdanto Tietoturvapolitiikka on lähtökohta tietoturvallisuuden ja valmiuden kehittämiselle organisaatiossa. Sen avulla määritellään tietoturvallisuuden periaatteet ja toimintatavat sekä ohjataan tietoturvallisuuden huomioon ottamista, suunnittelua ja toimeenpanoa organisaation eri tasoilla. Tietoturvapolitiikka on kunnan johdon kannanotto, joka määrittelee tietojen turvaamisen tavoitteet, vastuut ja toteutuskeinot. Tietoturvapolitiikka annetaan tiedoksi kaikille kunnan hallintokunnille ja heidän tulee toimia sen mukaisesti. Kunnan päivittäinen toiminta on erittäin riippuvaista tiedosta ja tietoresursseista. Tämä koskee kaikkea tietoa, riippumatta siitä, miten se on tuotettu, saatu, jaettu tai tallennettu ja riippumatta siitä, onko tieto tuotettu tietokoneella, käsin, tulostamalla, kopioimalla, kuvaamalla tai puhumalla. On tärkeää, että tietoresurssien käyttäjät ymmärtävät näiden resurssien merkityksen kunnan palvelutavoitteiden saavuttamisessa. Tiedon turvaaminen on oleellinen osa kunnan toiminnan ja palveluiden laatua, kokonaisturvallisuutta ja kunnassa tapahtuvaa päivittäistä tietojen käsittelyä. Tietoturvallisuuden hyvä hallinta edellyttää kaiken toiminnan jatkuvaa seurantaa, pitkäjänteistä suunnittelua, varautumista erilaisiin uhkatilanteisiin, sovittujen toimintatapojen noudattamista, ohjeita, koulutusta ja viestintää. 2. Tietoturvan tavoitteet Kunnan tietoturvallisuuden lähtökohtina ovat säädökset, valtiovarainministeriön VAHTI -ohjeet sekä organisaation toiminnan varmistaminen ja laatu. Kunnan ja koko yhteiskunnan toiminnan edellytyksenä on toimiva ja hyvin hoidettu tietoturvallisuus, jolla taataan mm. sähköisen asioinnin luotettavuus. Tietoturvallisuus on yksi hallinnon toiminnan ja riskien hallinnan kulmakivistä, sen edistäessä hallinnon ja palvelun luotettavuutta, laatua, jatkuvuutta ja asioiden sujuvuutta. Tietoturvallisuus koostuu tiedon luottamuksellisuudesta, käytettävyydestä ja eheydestä. Puumalan kunnan tavoitteena on turvata toiminnalleen tärkeiden tietojen, tietojärjestelmien, palveluiden ja tietoverkkojen toiminta, estää niiden valtuudeton käyttö sekä tahaton tai tahallinen tiedon tuhoutuminen. Kunnan kaikkien toimialojen perusluonne ja mahdolliset tarpeet turvallisuuden tehostamiseen tulee ottaa huomioon. Tieto kaikissa muodoissaan, riippumatta siitä onko se tallennettua tai välitettyä, on tärkeä suojattava kohde koko sen elinkaaren ajan. Tietoturvapolitiikka sitoo kunnan kaikkia palvelualoja ja kaikkia työntekijöitä.

4 3. Tietoturvan perustaso 3.1. Hallinnollinen turvallisuus Hallinnollisella turvallisuudella tarkoitetaan tietoturvan yleistä organisointia, suunnittelua, tiedottamista ja valvontaa. Puumalan kunnan hallinnollisen turvallisuuden perustaso edellyttää, että kunnassa on hyväksytty tietoturvaperiaatteet, laadittu tietoturvaohjeet ja toipumissuunnitelmat, järjestetty tietoturvakoulutusta, määritelty tietoturvavastuut ja -tehtävät, nimetty vastuuhenkilöt ja heille varamiehet. 3.2. Ohjelmistoturvallisuus Ohjelmistoturvallisuudella tarkoitetaan tietojenkäsittelyohjelmien määrittelyyn, suunnitteluun, kehittämiseen ja hankintaan sekä ennen käyttöönottoa tapahtuvaan toimintaan liittyvää turvallisuutta. Keskeisiä vaatimuksia ovat: saatavuuden turvaaminen käytettävyys luottamuksellisuus yhteensopivuus eheys Ohjelmiston suunnittelijan, valmistajan ja myyjän vastuut ohjelmistotuotteista määräytyvät hankinta- ja käyttöoikeussopimusten mukaan. Ohjelmistoturvallisuuden perustaso edellyttää: tietojärjestelmien ylläpidosta huolehtimista ohjelmistotoimittajien kanssa tehtyjen ylläpitosopimusten mukaisesti ohjelmistotoimittajilta vaaditaan tuotteille tietosuojaselvitys, tietoturvasuunnitelma sekä ICT-valmiussuunnitelma järjestelmämuutokset toteutetaan ohjelmiston toimittajien ja käyttäjien toiveista ja kaikki uudet ohjelmistot ja tarvittavat muutokset testataan toimittajan ja käyttäjien toimesta testaukset suoritetaan laaditun testaussuunnitelman mukaisesti Puumalan kunnassa määritellään ohjelmistojen käyttöön liittyvät velvollisuudet seuraavasti: paperiset asiakirjat, sähköiset tietovarannot, tietojärjestelmät, tietotekniset laitteet, tietoverkot ja niihin liittyvät palvelut on pidettävä asianmukaisesti suojattuina sekä normaali- että poikkeusoloissa Kaikki ohjelmamuutokset ja -päivitykset kirjataan asiamukaisesti ja tehdyistä muutoksista tiedotetaan käyttäjille. Ohjelmien kopioinnissa noudatetaan tekijänoikeuslakia.

5 Varmuuskopiointi keskuskoneille on sovittu järjestelmäkohtaisesti, kopioinnista ja säilytyksestä vastaa atk-tuki. Ohjelmien asentaminen ja hankinta on keskitetty atk-tuelle, joka hyväksyy kaikki työasemille asennettavat ohjelmat. Työasemien käyttäjät vastaavat omien työhön liittyvien tiedostojen varmistamisesta. Palvelimella on käyttäjäkohtaisesti suojattu kotihakemisto, joka varmistetaan palvelimen varmuuskopiointien yhteydessä automaattisesti. Muiden kuin työhön liittyvien tiedostojen tallentaminen tietoverkkoon on kielletty. Tavoitteena on varmistaa tietojärjestelmien jatkuva toiminta ja luotettavuus. 3.3. Tietoaineistoturvallisuus Tietoaineistoturvallisuuteen kuuluvat ne ulkoiset normit, jotka rajoittavat tai ohjaavat tietosisällön perusteella tehtävää tietojen käsittelyä. Näitä normeja ovat lait, asetukset, viranomaismääräykset, tietojärjestelmien käsittelysäännöt, tietojen luokitteluun liittyvät salassapitosäännökset ja arkistointiohjeet. Tietoaineistoturvallisuuden perustason edellytyksenä on, että henkilökunta tuntee ja noudattaa toiminnassaan: henkilötietojen käsittelyä koskevia yleisiä periaatteita, sääntöjä vaitiolovelvollisuudesta ja salassapidosta. yksikkönsä toimintaa ohjaavia ja rajoittavia normeja, luottamuksellisten tietojen käsittelyohjeita tietojärjestelmän sisältämän tietoaineiston käsittelyä koskevia turvasääntöjä. tietojen ja asiakirjojen suojaamisluokitteluun liittyviä ohjeita Suojaamatonta sähköpostia ja faksia käytettäessä varmistetaan, että tieto menee oikeaan osoitteeseen, tunnistettavaa henkilötietoa ei välitetä ja lähetyksen ja vastaanoton suorittaa siihen oikeutettu henkilö. Erityistä huomiota on kiinnitettävä asiakirjojen suojaamisvelvoitteeseen. Tiedot säilytetään ja hävitetään arkistonmuodostussuunnitelman mukaisesti. Poistettavasta tai myyntiin luovutettavasta laitteesta poistetaan tai puhdistetaan aina kiintolevy. Salassa pidettävien tietojen osalta salassapitovelvollisuus säilyy palvelussuhteen päättymisen jälkeenkin. 3.4. Käyttöturvallisuus Käyttöturvallisuudella tarkoitetaan kunnassa olevan aineiston, tietojärjestelmien ja niiden käytön turvallisuutta.

6 Käyttöturvallisuuden perustaso edellyttää: hyväksyttyä asiakirjojen suojelusuunnitelmaa tietojenkäsittelyn toipumis- ja valmiussuunnitelmaa vastuu- ja varahenkilöiden nimeämistä ohjeistoa päivittäin hoidettavista rutiineista varasuunnitelmaa käyttökatkoihin turvallisuusohjeita ja käyttöoikeuskäytäntöjä tietojärjestelmiä käyttävien henkilöiden tunnistamista käyttäjätunnusten, salasanojen ja pin-koodimenettelyn käyttöä tietokonevirusten ja haittaohjelmien torjuntaohjeita suojausten riittävyyden varmistamista käytönvalvontaa väärinkäytösten ennaltaehkäisemiseksi tiedostojen sisällön käyttökelpoisuuden varmistamista, tietojen saatavuutta ohjelmien ylläpidon ja huollon saatavuutta 3.5. Laitteistoturvallisuus Laitteistoturvallisuudella tarkoitetaan ICT-laitteistojen, tietoverkon rakenteeseen, varusohjelmiin, käyttöjärjestelmiin, laite- ja varusohjelmahuoltoon, varmistuksiin sekä pääsynsuojaukseen liittyvää turvallisuutta. Laitteistoturvallisuuden perustaso edellyttää: ICT-laitteistojen ja tietoverkkojen dokumentoimista toipumissuunnitelmaan varajärjestelmien käytettävyyden varmistamista poikkeusoloja varten laitteistojen fyysisen kunnon ylläpitämistä huolto- ja ylläpitosopimusten ylläpitämistä 3.6. Fyysinen turvallisuus Fyysisellä turvallisuudella tarkoitetaan Puumalan kunnan tietoaineistojen, ICT-laitteiden sekä niitä tukevien lämpö-, vesi-, ilmastointi- ja sähkölaitteiden fyysisen kunnon ja tilaratkaisuiden turvaamista. Fyysiseen turvallisuuteen liittyy myös erilaisten riskien ennaltaehkäisy, sattuneen vahingon haittojen minimointi, kulunvalvonta ja murto-suojaus.

7 Fyysisen turvallisuuden perustaso edellyttää, että: tietojen luovuttaminen luvattomiin käsiin on kielletty tilojen suunnittelussa otetaan huomioon tietosuoja-, tietoturva- ja työturvallisuusnäkökohdat tietokone lukitaan aina kun työhuoneesta poistutaan, puhelimet ja tabletit suojataan pin-koodilla tai suojakuviolla. työhuone lukitaan sen jäätyä tyhjäksi palvelimet on keskitetty niihin soveltuviin omiin tiloihin palvelintila on erillinen lukittu tila ja sinne määritellään kulkuoikeudet työasemat on sijoitettu valvottuihin tiloihin Asiointitilanne on järjestettävä siten, ettei asiakkaan nähtävillä ja saatavilla ole toisten salassa pidettäviä tietoja. laitteistot on merkitty yksilöidysti kriittiset työasemat on nimetty ja niille on tehty toipumissuunnitelma varmuuskopiot on sijoitettu fyysisesti eri palotiloihin kaapeloinnit suoritetaan voimassa olevan yleiskaapelointiohjeen mukaisesti lähiverkon käytönvalvonta on järjestetty lähiverkolle on tehty toipumis- ja valmiussuunnitelma 3.7. Tietoliikenneturvallisuus Tietoliikenneturvallisuudella tarkoitetaan Puumalan kunnan tietoliikennelaitteiden, -ohjelmien ja tietoverkon turvallisuutta. Tietoliikenneturvallisuuden perustaso edellyttää, että: tietoverkot on dokumentoitu ja niiden asennus tapahtuu suunnitellusti tietoihin ja tietojärjestelmiin pääsy on tarkoin määritelty käyttöoikeudet tarkistetaan säännöllisesti luvaton käyttö on estetty tietoliikennelokia ja käyttöhäiriöitä seurataan säännöllisesti työasemiin asennettavien varus-, sovellus- ja tietoliikenneohjelmien osalla noudatetaan annettuja ohjeita varmistetaan tietoliikenneohjelmien ja -laitteiden turvallisuus, tietoliikenneviestien sisällön muuttumattomuus, luottamuksellisten viestien lähettäjän ja vastaanottajan todentaminen sovitaan viestien tietosuoja- ja vastuukysymykset omassa verkossa sekä eri tietoliikenneoperaattorien ja huollon välillä

8 3.8. Henkilöstöturvallisuus Henkilöstöturvallisuudella tarkoitetaan sekä oman henkilökunnan että ulkopuolisten henkilöiden virka- tai työsuhteen alkaessa, sen aikana ja sen päättyessä sopimuksilla ja valvonnalla huomioon otettavaa turvallisuuden hallintaa. Henkilöstöturvallisuuden perustaso edellyttää, että: 3.9. Tietosuoja kaikkiin tarpeellisiin tietojenkäsittelytehtäviin on nimetty vastuu- ja varahenkilöt esimiesten ja työntekijöiden vastuista, velvollisuuksista ja oikeuksista on laadittu ohjeisto uusi työntekijä on perehdytettävä tietoturva-asioihin vastuuhenkilön toimesta esimies seuraa, että henkilön oikeudet ovat sen hetken työtehtäviä vastaavat. henkilökunta noudattaa annettuja tietoturvaohjeita ja käytäntöjä henkilökunta on aina vastuussa asiakkaistaan ja vieraistaan, eikä heitä saa jättää valvomatta työhuoneeseen. Tietosuojaan kuuluvat yksityiselämän suoja ja sitä turvaavat oikeudet henkilötietojen käsittelyssä ja ovat siten osa tietoturvallisuutta. Tietosuojan toteuttamiseksi mm. laaditaan henkilötietolain mukaiset rekisteriselosteet henkilörekistereistä sekä julkisuuslain mukainen tietojärjestelmäluettelo käytössä olevista tietojärjestelmistä ja tarvittavat tietojärjestelmäselosteet, jotka liitetään osaksi arkistonmuodostussuunnitelmaa ja pidetään jokaisen saatavilla. Käyttöoikeuksista vastaa rekisterinpitäjä ja niitä hallinnoivat ohjelmien pääkäyttäjät. Esimiehen tehtävä on huolehtia, että käyttäjän käyttöoikeudet ovat työtehtävien mukaiset. Tietojärjestelmien käytöstä kertyy sormenjälkitietoa ja järjestelmien käyttöä seurataan. Kukin käyttäjä vastaa käyttäjätunnuksellaan tehdyistä merkinnöistä ja tapahtumista. Käyttöoikeudet tarkistetaan säännöllisesti. Esimies on velvollinen ilmoittamaan alaisen työsuhteen päättymisestä tunnusten ja oikeuksien ylläpitäjille. 4. Tietoturvatehtävät ja tietoturvatyön organisointi Tietoturvallisuustyö on oleellinen ja kiinteä osa tietojärjestelmäkehittämisen tehtävistä. Kaikilla tietojärjestelmien käyttäjillä ja niiden kehittämiseen osallistuvilla tulee olla tietoturvallisuuden perustuntemus. Vastuunjakojen tarkka määrittely on organisaatiokohtainen. Tärkeää on, että organisaatiossa on jaettu selkeästi vastuut eri osapuolien kesken.

9 4.1. Johto Ylin johto määrittelee tietoturvallisuuden keskeiset periaatteet osana kunnan toiminta- ja tietohallintostrategiaa sekä päättää merkittävistä hankkeista ja hankinnoista sekä vastaa omalla hallinnonalallaan tietoturvan valvonnasta ja tapahtuvien rikkomusten raportoinnista atk-tuelle. Johto osallistuu myös toiminnalle kriittisten järjestelmäkehityshankkeiden tavoitteenasetteluun ja valvontaan. Johdon sitoutuminen tietoturvallisuuskulttuurin ja tietoturvallisuushankkeiden edistämiseen on ensiarvoisen tärkeää. Puumalan kunnan tietoturvaperiaatteet hyväksytään kunnanhallituksessa, jonka pohjalta tietohuoltoa toteutetaan. Tietohallinto on keskitetty hallintopalvelujen tehtäväalueeksi, jossa vastaavana viranhaltijana toimii kunnanjohtaja apunaan atk-tuki. Tietohallinto ohjeistaa ja avustaa henkilöstöä tietoaineiston ja tietojärjestelmien käytössä sekä siihen liittyvässä tietoturvassa. Viime kädessä vastuu valmius- ja toipumissuunnitelmien toimivuudesta on ylimmällä johdolla. Tietoturvaan liittyvät Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) laatimat tietoturvaohjeet ja määräykset. Ohjeet ja määräykset löytyvät VAHTI-internetsivuilta www.vm.fi/vahti 4.2. Tietojärjestelmien ja laitteistojen omistajat ja vastuuhenkilöt Kaikille tietojärjestelmille ja -laitteistoille sekä ulkoistetulle palvelulle on määritelty omistajat ja vastuuhenkilöt, jotka vastaavat niiden palvelutason varmistamisesta, kehittämisestä ja hyväksikäytöstä. Omistaja vastaa tietoturvallisuudesta myös yksittäisen tietojärjestelmän toiminnan ja käytön osalta. Puumalan kunnassa tietojärjestelmän vastuullinen omistaja on se hallintokunta, jonka toimintaa ja tietojenkäsittelyä varten järjestelmä on hankittu. Tietojärjestelmän omistajaa edustaa vastuualueen esimies. Omistajalla on velvollisuus huolehtia tietojensa ja tietojärjestelmiensä suojaamisesta sekä lakien, hyvän ylläpitotavan ja kunnassa voimassaolevien sääntöjen ja ohjeiden noudattamisesta. Vastuu on riippumaton siitä, hoidetaanko tietojen käsittely tai tietojärjestelmien ylläpito yksikössä vai hankitaanko se palveluna. 4.3. Arkisto Asiakirjallisten tietojen hallintaan ja laatuun liittyvät vaatimukset ovat myös osa tietoturvallisuutta.

10 Keskusarkistonhoitajan johdolla toimivan arkiston vastuulla on varmistaa asiakirjojen käytettävyys, säilyminen ja lainmukainen säilyttäminen. Asiakirja- ja tietohallinnon suunnittelu ja toteutus tapahtuvat kunnan arkistotoimen ja tietohallinnon yhteistyönä, jossa huomioidaan sekä arkistotoimeen että tietoturvaan kohdistuvat vaatimukset. 4.4. Pääkäyttäjät Tietojärjestelmien pääkäyttäjien tietoturvallisuustehtäviä ovat sovellusten käytettävyydestä ja kehittämisestä, käyttöoikeuksista sekä järjestelmän tietoturvallisuudesta huolehtiminen. Pääkäyttäjä on mukana myös jatkuvuussuunnitteluun liittyvissä projekteissa. 4.5. Henkilöstö Henkilöstön on otettava huomioon järjestelmien ja tietojen käyttämisen yhteydessä niihin liittyvien salassapitovelvollisuuksien ja muiden tietoturvallisuusvelvoitteiden noudattaminen. Käyttöoikeuksien luovuttaminen eteenpäin on kielletty. Hallintokunnittain on huolehdittava siitä, että käyttäjät ovat saaneet työyhteisön ja tietojärjestelmän käytön edellyttämää tietoturvallisuuskoulutusta. Järjestelmän käyttäjä arvioi järjestelmän käytettävyyttä ja raportoi ongelmista välittömästi omalle esimiehelleen. Esimiehen vastuulla on saattaa kaikki tietosuojarikkomukset tietohallinnolle tiedoksi toimenpiteitä varten. Teknisistä puutteista ja mahdollisista vääristä ja puutteellisista käyttöoikeuksista (työntekijän toimenkuva muuttunut, työntekijä siirtynyt osastolta toiselle tms.) esimies informoi pääkäyttäjiä ja atk-tukea. 5. Tietoturvallisuuden seuranta Tietoturvatavoitteiden ja sovittujen toimenpiteiden toteutumista seurataan ja valvotaan ja mahdollisiin ongelmiin puututaan. Jokaisen kunnan henkilökuntaan kuuluvan velvollisuutena on ilmoittaa havaitsemistaan tietoturvallisuuteen liittyvistä puutteista, väärinkäytöksistä ja muista tietoturvallisuutta vaarantavista seikoista joko esimiehelle tai atk-tuelle. 6. Tietoturvallisuuden voimassaolo Tämä tietoturvapolitiikka tulee voimaan 1.3.2017 ja on voimassa toistaiseksi.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute