Sopimuksen tietoturvaliite

Samankaltaiset tiedostot
PALVELUIDEN TIETOTURVAVAATIMUKSET JA VARAUTUMINEN

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

Vihdin kunnan tietoturvapolitiikka

Tietoturvapolitiikka

Tietoturvapolitiikka

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Sovelto Oyj JULKINEN

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Tietoturvapolitiikka Porvoon Kaupunki

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

Laatua ja tehoa toimintaan

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

TIETOTURVA- POLITIIKKA

Tietoturvavastuut Tampereen yliopistossa

TIETOTURVAPOLITIIKKA

Omavalvontasuunnitelma ja EU-tietosuojadirektiivi

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

PK-yrityksen tietoturvasuunnitelman laatiminen

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Sähköi sen pal l tietototurvatason arviointi

Pilvipalveluiden arvioinnin haasteet

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

Tietoturvapolitiikka. Hattulan kunta

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOTURVAA TOTEUTTAMASSA

Espoon kaupunki Tietoturvapolitiikka

Yritysturvallisuuden perusteet

Tietohallinnon nykytilan analyysi. Analyysimenetelmä (sovitettu Tietohallintomallista)

Auditoinnit ja sertifioinnit

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Case-esimerkki: Miten Valtori hallitsee riskejä? Tommi Simula Riskienhallintapäällikkö

SISÄLTÖ. 1 RISKIENHALLINTA Yleistä Riskienhallinta Riskienhallinnan tehtävät ja vastuut Riskienarviointi...

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Sopimuksiin perustuva toiminnan jatkuvuuden hallinta

Liite 2 : RAFAELA -aineiston elinkaaren hallinta

Espoon kaupunki Tietoturvapolitiikka

Valtioneuvoston asetus

Tietoturvapolitiikka

Kyberturvallisuus kiinteistöautomaatiossa

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

YHTEINEN TYÖPAIKKA, aliurakointi ja ketjutus Kansainvälinen työturvallisuuspäivä

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Tietoturvaa verkkotunnusvälittäjille

Auditointi. Teemupekka Virtanen

Karkkilan kaupungin tietoturvapolitiikka

Tietoturvapolitiikka NAANTALIN KAUPUNKI

SELVITYS TIETOJEN SUOJAUKSESTA

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Kuntarekry.fi. case: pilvipalvelut KL-Kuntarekry Oy / Tuula Nurminen

Periaatteet standardien SFS-EN ISO/IEC 17025:2005 ja SFS-EN ISO 15189:2007 mukaisen näytteenottotoiminnan arvioimiseksi

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Tietosuojakysely 2018

TR 10 Liite PANK-HYVÄKSYNTÄ Lisävaatimukset PTM-mittaukselle. C) mspecta

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Suomen Pelastusneuvonta Oy. konsultointia Suomessa, kotipaikkana Espoo

Tietopalveluiden sisältö ja vastuunjako

Tietosuojakysely 2017

Länsimetron sähköinen huoltokirja osa laajempaa tiedonhallintaa. Entäpä tietomalli?

Tietosuojaseloste (5)

Tietosuojakysely 2016

Case VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio

2.1 Yhteispalveluna tarjottavat avustavat asiakaspalvelutehtävät

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Yritysturvallisuuden johtamisen arviointi ja hallintamalli

Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana. Sami Laaksonen, Propentus Oy

SOTILASILMAILUN TVJ-ALAN TEKNISEN HENKILÖSTÖN KELPOISUUSVAATIMUKSET

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Harri Koskenranta

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Kunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka

Käytäntöjä koulujen turvallisuuden suunnittelussa ja toteuttamisessa Palo- ja pelastusalan toimittajien ajankohtaispäivät 1.10.

Kieku-tietojärjestelmä Työasemavaatimukset sla-

Luonnos LIITE 1

Espoon kaupunki Pöytäkirja 96. Valtuusto Sivu 1 / Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

Tietopyyntö / Markkinakartoitus

Onko sinun yritykselläsi jo tietotekniikka Palveluksessa? vtoasp -palvelun avulla siirrät tietojärjestelmäsi haasteet ammattilaisten hoidettaviksi.

Transkriptio:

LIITE 3 Varhaiskasvatuksen sähköisten palveluiden kehittäminen/ Tietopyyntö 21.5.2015 Kirkkonummen kunta Ervastintie 2 www.kirkkonummi.fi 02400 Kirkkonummi puh. (09) 296 71

Hyväksyntä Julkisuusluokka Sijainti Versio 1.0 2/11

Sisällys 1 Johdanto... 4 2 Palvelun laatu... 4 3 Hallinnollinen tietoturvallisuus... 4 3.1 Dokumentointi... 5 3.2 Riskienhallinta... 5 3.3 Varautuminen... 5 4 Henkilöstöturvallisuus... 6 4.1 Turvallisuusosaaminen... 6 4.2 Roolit ja vastuut... 6 4.3 Taustaselvitykset ja salassapito... 6 4.4 Resursointi... 7 4.5 Sidosryhmien hallinta... 7 5 Fyysinen turvallisuus... 7 6 Käytön ja ylläpidon tietoturva... 8 6.1 Kapasiteetin hallinta... 8 6.2 Muutoksenhallinta... 8 6.3 Poikkeamatilanteiden hallinta... 9 7 Tietoverkkojen ja tietoliikenteen turvallisuus... 9 8 Laitteistoturvallisuus... 9 8.1 Laitehallinta... 9 9 Ohjelmistoturvallisuus... 10 9.1 Järjestelmäarkkitehtuuri... 10 9.2 Versiohallinta... 10 10 Tietoaineiston turvallisuus... 11 11 Asiakirjat... 11 3/11

1 Johdanto Tämä liite kuvaa ne tietoturvaperiaatteet ja -käytännöt sekä osapuolten menettelyt ja minimivaatimukset, joilla sopimus x (myöh. Palvelu) ja siihen liittyvien projektien tietoturvallisuus varmistetaan normaalioloissa ja normaaliolojen häiriötilanteissa. Tämä liite perustuu pääosin Kirkkonummen kunnan (myöh. Tilaaja) tietoturvaperiaatteisiin ja -vaatimuksiin, sekä VAHTI -ohjeistuksessa (Valtionhallinnon Tietoturvallisuuden Johtoryhmä) ja KATAKRI -kriteeristössä (Kansallinen Turvallisuusauditointikriteeristö) kuvattuihin Perustason vaatimuksiin ja käytäntöihin. Tämän liitteen kuvaamat vaatimukset ja käytännöt arvioidaan, ellei toisin mainita, Tilaajan toimesta, Palvelun tarkastuksen yhteydessä yhteisesti erikseen sovittavana ajankohtana. X Oy:n, Y-tunnus 1234567-8, (myöh. Toimittaja) tulee kuvata tässä asiakirjassa esitettyjen vaatimusten toteutuminen joko Palvelun Tietoturvasuunnitelmassa tai muissa turvallisuuden hallintaan liittyvissä asiakirjoissa. Toimittajan tulee pitää asiakirjat jatkuvasti ajan tasalla sekä Tilaajan saatavissa koko Palvelun ajan. Tässä liitteessä kuvatut menettelyt ja vaatimukset koskevat Palvelusopimuksen mukaista Toimittajan tuottamaa Palvelua. Palvelun piiriin kuulumattomat kokonaisuudet kuten z-laitteiden ja qohjelmistojen hankinta sekä niiden hallinnointi eivät kuulu tämän liitteen mukaisten velvoitteiden piiriin. 2 Palvelun laatu Toimittajan tulee tuottaa ja toimittaa Palvelua hyvien tiedonhallinta- ja tietoturvallisuuskäytäntöjen mukaisesti. Toimittaja on Palvelua tuottaessaan velvollinen noudattamaan Tilaajan kanssa sovittuja turvallisuusperiaatteita, -ohjeita ja -käytäntöjä. 3 Hallinnollinen tietoturvallisuus Hallinnolliset tietoturvatoimet sisältävät menettelyitä tietoturvan osa-alueiden ohjaamiseksi ja seuraamiseksi. Toimittajan tulee johtaa ja kehittää tietoturvatoimintoja samoin kuin muitakin prosesseja ja toimintaa sekä dokumentoida seuraavat tuotokset jotka todennetaan Tilaajan tekemässä tarkastuksessa: Johdon hyväksymä tietoturvapolitiikka ja periaatteet on dokumentoitu ja saatettu koko henkilökunnan ja tarvittavien sidosryhmien tiedoksi. Politiikassa kuvataan muut tietoturvan osa-alueet sekä riskienhallinta ja varautuminen minimivaatimuksineen. 4/11

Tietoturvatoiminnalle on asetettu realistiset mitattavat tavoitteet joita seurataan vähintään vuositasolla. Tietoturvaan liittyvät roolit ja vastuut on määritelty ja dokumentoitu. Liiketoiminnan kannalta kriittisimmät toiminnot ja -prosessit on tunnistettu, luokiteltu turvallisuustason mukaisesti ja niille on nimetty omistaja joka on vastuussa prosessien riskienhallinnasta, turvallisuudesta ja jatkuvuudesta. Tietoturvaa käsitellään säännöllisesti yhteistyöryhmässä jonka toimintaan osallistuvat sekä johto että tietoturvallisuuden vastuuhenkilöt. 3.1 Dokumentointi Toimittajan tulee laatia ja ylläpitää Palveluun liittyvä dokumentaatio riittävän kattavalla tasolla, sekä käsitellä dokumentaatiota sen luokittelun mukaisesti. Dokumentoinnista ja yhteisistä käytännöistä dokumentointiin liittyen on sovittu tarkemmin Palvelusopimuksessa. Dokumentoinnin yhteiset menettelytavat pitävät sisällään mm. määräykset aineiston käsittelystä ja hallinnasta, materiaalin luokittelusta, säilytyksestä sekä historiatietojen ja muutosten kirjaamisesta. 3.2 Riskienhallinta Kokonaisvaltaisilla riskienhallintakäytännöillä luodaan perusta turvallisuustyölle ja -suunnittelulle. Toimittajan tulee kuvata riskienhallintakäytännöt prosessina tai muuten havainnollisella tavalla, niin että kuvauksesta käy ilmi vähintään: Riskienhallintaan liittyvät toiminnot Vastuuhenkilöt Tuotokset (esim. riskienhallintasuunnitelma) Turvallisuusdokumentaation tulee sisältää Palvelun yleinen riskikartoitus (mahdolliset, tunnistettavissa olevat riskit). Toimittajan tulee ylläpitää jatkuvia riskien hallintakäytäntöjä, kattaen myös tietoon liittyvät riskit, koko sopimuskauden. 3.3 Varautuminen Toimittajan tulee kuvata varautumiseen liittyvät menettelyt, joilla varmistetaan Palvelun tuottamiseen tarkoitettujen tilojen, laitteiden ja henkilökunnan toimintaedellytykset normaaliolojen häiriö- ja poikkeamatilanteissa niin, että Palvelun tuotanto ei häiriinny. Toimittajalla on oltava vähintään Varautumissuunnitelma, joka kattaa sekä Toimittajan oman toiminnan että Palvelun tuottamiseen liittyvän toiminnan jatkuvuuden varmistamisen. Havainnollisempaa on kuitenkin käyttää esim. seuraavan kaltaista rakennetta: Jatkuvuussuunnitelma kaikille toiminnan kannalta kriittisille palveluille, tiloille ja toiminnoille niiden jatkuvuuden turvaamiseksi Toipumissuunnitelmat kriittisille tietojärjestelmille (erityisesti Palvelun tuotantoa ajatellen) niiden mahdollisimman nopean toipumisen sekä toiminnan uudelleenaloittamisen ja jatkamisen varmistamiseksi Pelastussuunnitelma: Ihmisten ja omaisuuden suojelemiseksi ja pelastamiseksi onnettomuustilanteissa 5/11

4 Henkilöstöturvallisuus Henkilöstöturvallisuus koostuu työsuhteen koko elinkaaren aikana henkilöstöön liittyvistä ja henkilöstön suorittamista toimenpiteistä. 4.1 Turvallisuusosaaminen Toimittajan tulee huolehtia turvallisuuteen, riskienhallintaan ja varautumiseen liittyvän osaamisen ja tietoisuuden kehittämisestä sekä kannustaa ja motivoida henkilöstöään ja käyttämiään kolmansia osapuolia noudattamaan ja kehittämään turvallisuuskäytäntöjä. Toimittajan tulee huolehtia siitä, että uusien työntekijöiden perehdytysprosessi kattaa myös turvallisuuteen, riskienhallintaan ja jatkuvuuteen liittyvät järjestelyt ja määräykset. Toimittaja vastaa sekä omasta että käyttämiensä kolmansien osapuolten puolesta siitä, että Palvelussa käytettävä henkilökunta on osallistunut vähintään kerran vuodessa turvallisuuskoulutukseen, joka kattaa tässä liitteessä esitetyt minimivaatimukset ja niistä johdetut käytännöt. Koulutukset tulee dokumentoida vähintään niissä käytetyn materiaalin ja osallistujien osalta. 4.2 Roolit ja vastuut Palvelun tuotantoon osallistuvien henkilöiden ja heidän varahenkilöidensä roolit ja vastuut tulee kuvata ennalta ja henkilöt tulee nimetä ennalta sovitun tehtäväjaon mukaisesti. Toimittajan tulee varmistaa, että vaarallisia työketjuja tai -yhdistelmiä ei pääse syntymään. Mikäli vaarallista työketjua tai -yhdistelmää ei voida välttää, tulee asiasta tiedottaa Tilaajan yhteyshenkilöitä viipymättä. 4.3 Taustaselvitykset ja salassapito Henkilöihin liittyviin taustaselvityksiin ja salassapitosopimuksiin liittyvät käytännöt tulee toteuttaa ennen Palvelun tuotannon alkamista sekä Palvelun tuotantoaikana seuraavasti: Taustaselvitykset: Uusien työntekijöiden opinto- ja työhistoria tulee tarkistaa oppilaitoksista ja edellisiltä työnantajilta. Toimittajan henkilöstöä koskevan turvallisuusselvityksen tekoa viranomaisilta pyytää tarvittaessa Tilaaja. Salassapitosopimukset: Salassapitosopimus (vaitiolositoumus) tulee tehdä jokaisen, sekä nykyisen että uuden, työntekijän kanssa. Sopimus voi sisältyä työsopimukseen tai olla erillinen. Toimittajan (työnantajan) alkuperäiset kappaleet tulee säilyttää niiden luottamuksellisuusvaatimusten mukaisesti. Salassapitosopimuksen tulee vastata Palvelusopimuksessa sovittuja salassapitovelvoitteita. 6/11

4.4 Resursointi Avainhenkilöiden vaihtamiseen liittyvistä ehdoista tulee sopia palvelusopimuksessa. Toimittajan tulee hyväksyttää Tilaajalla ennalta kaikki Palvelun tuotantoon osallistuvat henkilöt. Kaikista Palvelun tuotantoon osallistuvista henkilöistä tulee pitää ajantasaista henkilöstöluetteloa joka on jatkuvasti myös Tilaajan saatavilla. Toimittajan tulee kuvata resursointimallinsa Toimitusprojektiin sekä Palvelutuotantoon ja varmistaa, että resurssien ristiin käytettävyys on olemassa (projektin työntekijät voivat toimia toistensa tehtävissä, rooleissa ja vastuissa). 4.5 Sidosryhmien hallinta Toimittaja vastaa siitä, että kaikki Palvelun tuotantoon osallistuvat sidosryhmät (kuten alihankkijat, ja muut sisäiset ja ulkoiset toimijat) noudattavat omalta osaltaan tässä liitteessä sekä Palvelusopimuksessa ja sen liitteissä kuvattuja vaatimuksia. Toimittajan tulee määritellä ulkoisia ja sisäisiä sidosryhmiä koskevat yhteiset ja yksilölliset vastuut ja tavoitteet tietoturvan toteuttamiseksi. Palvelun käyttöönottoon ja Palvelutuotantoon liittyvä pääsynhallinta (oikeudet, myöntämisperusteet, muutokset, poisto) tulee kuvata vähintään Toimittajan, hallinnan / valvonnan sekä Tilaajan ja käyttäjäorganisaatioiden osalta. Lisäksi tulee kirjata saman käyttäjän usean tunnuksen hallinta sekä menettelyt usean käyttäjän jakaman tunnuksen suhteen. 5 Fyysinen turvallisuus Tietoturvan näkyy myös fyysisen turvallisuuden ratkaisuissa, tietovälineiden käsittelyssä, sekä henkilökunnan ja vieraiden pääsyoikeuksien hallinnassa. Toimittajan tulee huolehtia vähintään niiden omistamiensa ja hallinnoimiensa toimitilojen turvallisuudesta joissa, tai joista käsin, käsitellään Tilaajan tietoa tai tietojärjestelmiä. Toimittajalla tulee olla kuvattuna edellä mainittujen tilojen osalta vähintään seuraavat: Kulunvalvonnan hallintakäytännöt: Oikeuksien ja kulkuavaimien (kortti, metalliavain) hallinta: hakeminen, myöntäminen, muuttaminen ja poistaminen, sekä kirjanpito ja valvonta Rakenteelliseen turvallisuuteen ja lukitukseen liittyvät ratkaisut: Seinä-, katto- ja lattiarakenteiden palon- ja murronkesto (mukaan lukien ovet, ikkunat ja muut kuoressa olevat aukot) Tilat ja turvallisuusvyöhykkeet: Esim. yleiset tilat, neuvottelutilat, toimisto, tuotekehitys, tietojärjestelmät, laboratorio ja varasto Vartiointikäytännöt ja vastuut LVIS -tekniikkaan liittyvät ratkaisut ovat riittävän vikasietoisia Palontorjunnan järjestelyt, jotka täyttävät vähintään lakisääteiset vaatimukset Tilaajalla on niin halutessaan oikeus suorittaa tarkastus toimittajan tiloissa. 7/11

6 Käytön ja ylläpidon tietoturva Käyttöön ja ylläpitoon liittyvä tietoturva tarkoittaa mm. valmiutta siirtää tietotekninen ratkaisu tuotantoon, hallita tarvittavaa kapasiteettia ja muutoksia, sekä kuvata menettelyt poikkeamatilanteissa. Palvelusopimuksessa kuvatun lisäksi tulee turvallisuuden osalta huolehtia, että tietoturvallisuusominaisuuksien testaussuunnitelma on dokumentoitu ja että on sovittu menettelystä, jolla hyväksytään testien havainnot. Käytettävien kehitys-, tuotanto- ja testiympäristöjen tulee olla erilliset ja Toimittajan tulee kuvata ne selkeästi. 6.1 Kapasiteetin hallinta Toimittajan tulee kuvata Palveluun liittyvät kapasiteetin hallintatoiminnot. Toimittajan tulee valvoa kapasiteettia ja tarvittavista korvaavista menettelyistä (kuten ratkaisun skaalautuvuus käytön huippukohdissa) tulee sopia. Tilaajalla on oikeus saada kuormitusraportit tai vastaavat, joista Tilaaja voi arvioida Toimittajan ratkaisujen turvallisuutta ja kyvykkyyttä. Toimittajan tulee päivittää Palvelun tuotantoon liittyvien järjestelyiden kapasiteettilaskelmat aina Palveluun tehtyjen muutosten jälkeen. 6.2 Muutoksenhallinta Muutoksenhallinnan tulee ulottua kaikkeen Palveluun liittyvään toimintaan niin, että muutokset tietojärjestelmiin, järjestelmäympäristöihin, tiloihin ym. saadaan toteutettua hallitusti, ja tarvittaessa voidaan palata alkuperäiseen tilanteeseen. Toimittajan tulee kuvata muutoksenhallintamenettelyt kattavasti (prosessi, työkalut, ohjeet) sekä kouluttaa / tiedottaa niiden mukaiset käytännöt tarvittaville sidosryhmille. Muuttuneista kuvauksista ja käytännöistä tulee tiedottaa koko organisaatiolle sekä tarvittaville sidosryhmille viipymättä. Toimittajan tulee toimittaa suunniteltujen huoltokatkosten ajankohdat ja tehtävien sisällöt etukäteen Tilaajalle ja nämä hyväksytään yhteisesti. Käyttäjähallinnasta, sisältäen käyttöoikeuksien hallinnan ja päivityksen, on aina sovittava osapuolten kesken ennen tehtäviä muutoksia. Toimittajan on huomioitava, että erityisen kriittisiä tilanteita syntyy mm. varusohjelmien ja ratkaisun versionvaihdon yhteydessä. Toimittajan tulee testata muutokset sovitun ja dokumentoidun testausmenettelyn avulla. Toimittajan tulee ylläpitää lokikirjaa tai muutoksenhallintajärjestelmää, johon kaikki muutospyynnöt kirjataan (miksi, mitä, kuka, hyväksyntä, toimenpide). 8/11

6.3 Poikkeamatilanteiden hallinta Toimittajalla tulee olla sovitut, dokumentoidut ja koulutetut toimintatavat turvallisuuspoikkeamien, häiriöiden sekä väärinkäytöksien hallinnoimiseksi ja käsittelemiseksi. Poikkeamatilanteet tulee raportoida Tilaajalle viivytyksettä. Palvelun tuottamiseen liittyvän henkilöstön tulee tietää, kenelle tietoturvapoikkeamista ja -tapauksista tai niiden uhkista tulee ilmoittaa. Molempien osapuolten tulee välittömästi raportoida havaitsemansa (sekä omasta että muiden toiminnasta aiheutuneet) virheet, uhkat ja riskit, jotka saattavat vaikuttaa turvallisuuteen, Palvelun toimintaan tai jatkuvuuteen. Toimittajan tulee kuvata toimintaa ja Palvelun tuotantoa uhkaavat tekijät (Esim. Tietoturvasuunnitelmassa tai Riskienhallintasuunnitelmassa). Jokaisen tietoteknisen ratkaisun yhteydessä Toimittajan tulee määritellä ratkaisun toimivuuteen ja organisaation toimintaan mahdollisesti vaikuttavat häiriöt, niiden hallinta ja tarvittava dokumentointi. Määritysten tulee pitää sisällään kriittisyysluokitukset ja niitä vastaavan toipumisen sekä ratkaisun jatkuvuussuunnitelma. Dokumentoinnin tulee kattaa ongelman tunnistaminen, ratkaisun kuvaukset, palautuminen sekä tarvittavat varajärjestelyt. 7 Tietoverkkojen ja tietoliikenteen turvallisuus Tiedon siirtämisen ja liikkumisen on oltava tunnistettavaa. Tämä edellyttää että tietojen siirrossa käytettävät siirtotiet ja reitit tunnetaan, ja niiden rakenteet (arkkitehtuurit) on kuvattu. Tiedon siirron turvallisuus koostuu laitteista, palvelurakenteesta ja käyttäjistä, sekä niitä ja niiden toimintaa kuvaavasta dokumentaatiosta. Toimittajan tulee kuvata käytettävän tietoverkon rakenne. Tilaaja hyväksyy kuvauksen. 8 Laitteistoturvallisuus Laitteistoturvallisuuteen liittyvät seikat on tarpeen määritellä kokonaisuuden hallinnoimiseksi (kuten laitehallinta ja häiriöistä toipuminen). Toimittajan tulee määritellä ja kuvata laitteistoturvallisuuteen liittyvät tietoturvamenettelyt vähintään seuraavilta osin: Laiterekisteri ja sen ylläpito (mm. omistajuus ja ylläpitotoimenpiteet) Laitteiden ja järjestelmien toipumissuunnitelmat Varusohjelmistot, niiden versiot, sekä käyttöoikeudet / lisenssit 8.1 Laitehallinta Tarvittavat laitteet tulee hankkia tunnetuilta valmistajilta ja samalla varmistaa niiden rakenteellinen soveltuvuus tarkoitukseen sekä tekniseen arkkitehtuuriin. Palvelun toimittamiseen käytettävän laitteiston osalta Toimittajan tulee kuvata 9/11

suunniteltu elinkaari, joka kattaa vähintään toipumisen ja laitteiston turvallisen käytöstä poistamisen. Toimittajan tulee valvoa jokaista laitetta ja sen toimivuutta ennakkoon kuvatulla menetelmällä. Valvontaan käytetään mm. laitteiden omia lokitiedostoja. Tilaajalla on oikeus saada käyttöönsä Toimittajalta em. lokitietoja sellaisessa muodossa, että Tilaaja tai Tilaajan määrittelemä henkilö kykenee tulkitsemaan saatua lokitietoa. 9 Ohjelmistoturvallisuus Ohjelmistoturvallisuuden tavoitteena on turvata ohjelmistojen käyttöoikeuksien lisäksi ohjelmistojen käytettävyys kaikissa olosuhteissa. Toimittajan tulee kyetä: Esittämään luettelo käytössä olevista ohjelmistoista ja niiden lisensseistä sekä kuvaus käytön valvonnasta Esittämään henkilö/henkilöt, jotka toimivat palvelussa käytettävien ohjelmistojen osalta omistajan roolissa Kuvaamaan miten havaittuja uhkia käsitellään, sekä miten poikkeamat hallitaan Kuvamaan miten versio- ja revisiohallinta toteutetaan Pitämään ajan tasalla riskikarttaa liittyen versiohallintaan. 9.1 Järjestelmäarkkitehtuuri Järjestelmäarkkitehtuuriin lasketaan kehitysohjelmistot, varusohjelmistot ja tarvittavat integraatioratkaisut. Valittujen ratkaisujen tulee olla yleisesti käytössä olevia ja standardien mukaisia. Harvinaisten, suljettujen ratkaisujen käyttöä tulee välttää. Ohjelmistoihin liittyvien aineettomien oikeuksien ja niihin liittyvien määritysten tulee olla kaikkien osapuolten tiedossa. Toimittajan tulee tiedottaa Tilaajaa viipymättä kaikista turvallisuuteen vaikuttavista muutoksista. Tehtyjen valintojen vaikutus Palvelun kokonaisturvallisuuteen tulee hyväksyä Tilaajan toimesta. 9.2 Versiohallinta Versiohallinnan osalta Toimittajan tulee varmistaa, että tuotanto- ja kehitysversiot ovat samalla tasolla. Toimittajan tulee arvioida versiovaihdon merkitys koko järjestelmäarkkitehtuuriin ennen ratkaisun käyttöönottoa. Toimittajan tulee huomioida eri rajapintojen mahdolliset päivitystarpeet. Versiovaihdosta sovittaessa Toimittajan tulee kuvata ratkaisun riskit ja niiden hallinta. Toimittajan tulee luoda elinkaari jokaiselle ratkaisulle ja kuvata sen hallinta. 10/11

10 Tietoaineiston turvallisuus 11 Asiakirjat Tietoaineiston turvallisuus koostuu aineiston koko elinkaaren kattavista, tiedon luokittelun huomioivista käsittelykäytännöistä ja niiden noudattamisesta. Fyysisten tietovälineiden käsittelyyn tulee kiinnittää erityistä huomiota. Tietovälineiksi luetaan sekä kiinteät (mm. palvelinten, työasemien ja levyjärjestelmien kiintolevyt) että kannettavat / siirrettävät välineet (mm. matkapuhelin, kannettava- / kämmentietokone, tabletti, erilaiset muistikortit ja -tikut, CD, DVD). Esimerkkejä turvallisuuteen, riskienhallintaan ja varautumiseen liittyvistä dokumenteista, joiden avulla Toimittaja voi ylläpitää vaadittujen järjestelyjen kuvauksia: Tietoturvapolitiikka Tietoturvasuunnitelma (+ strategia, kehityssuunnitelma, jne.) Koulutussuunnitelma Koulutusmateriaali (tietoturvan perusteet, ym.) + osallistujarekisteri Riskienhallintapolitiikka Riskienhallintasuunnitelma Jatkuvuudenhallintapolitiikka / Varautuminen Jatkuvuussuunnitelma (palveluille, toiminnoille) Toipumissuunnitelma (järjestelmille, konesaliympäristölle) Varautumissuunnitelma Pelastussuunnitelma Tiedon käsittely- ja luokitteluohje Tietovälineiden tuhoamisprosessi Tietosuojaohje Tilaturvallisuusohje (fyysinen pääsynhallinta, vierailijakäytännöt, hälytys-järjestelmät) Käyttövaltuushallinta (politiikka / ohje) Haavoittuvuuksien hallinta (prosessi / ohje) Lokien hallintaohje Varmuuskopiointi (varmistusten ottaminen ja palauttaminen) Konesaliympäristön minimivaatimukset (sisäiset ja kolmannen osapuolen salit) Tietoverkkoarkkitehtuuri / segmentoidun verkon turvallisuusohje Muut arkkitehtuurikuvaukset Järjestelmien koventamisohje + konfiguraatiotiedot Muutoksen- ja Poikkeamien hallintaprosessi + ohjeet Henkilöstöluettelo Omaisuuden / inventaarion hallintaan liittyvä dokumentaatio (luettelot järjestelmistä, laitteista, ohjelmistoista, lisensseistä) Olennaisten, kuten konesalien, LVIS -järjestelyjen tekniset kuvaukset, huolto- / testausohjeet sekä lokitiedot Aulapalvelu- / vartiointiohje Ohjeet hälytysjärjestelmien, kulunvalvontajärjestelmän ja kameravalvonnan operoimiseksi Avaintenhallinta (luettelo + kuittaus metalliavaimista ja kulkuavaimista / -korteista). 11/11