Viestintäviraston tietoturvapolitiikka

Samankaltaiset tiedostot
Gradian tietoturva- ja tietosuojalinjaukset

Tietoturvapolitiikka

Riskienhallintapolitiikka. Ohje 1 (11) 3/2017

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Vihdin kunnan tietoturvapolitiikka

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Sovelto Oyj JULKINEN

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Laatua ja tehoa toimintaan

SISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

TIETOTURVA- POLITIIKKA

Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Lapin yliopiston tietoturvapolitiikka

TIETOTURVAPOLITIIKKA

Toimitilojen tietoturva

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

SFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen

Tietoturvapolitiikka Porvoon Kaupunki

TIETOTURVAPOLITIIKKA

Espoon kaupunkikonsernin tietoturvapolitiikka

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

Virtu tietoturvallisuus. Virtu seminaari

Tietoturva- ja tietosuojapolitiikka

Keski-Pohjanmaan erikoissairaanhoito- ja peruspalvelukuntayhtymän sisäisen valvonnan ja riskienhallinnan perusteet

Espoon kaupunki Tietoturvapolitiikka

Tietoturvapolitiikka. Hattulan kunta

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Eläketurvakeskuksen tietosuojapolitiikka

Tietoturvavastuut Tampereen yliopistossa

TT-turvallisuusjohtamisjärjestelmän rakentamisen vaiheet

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Pilvipalveluiden arvioinnin haasteet

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Karkkilan kaupungin tietoturvapolitiikka

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Tietoturvaa verkkotunnusvälittäjille

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Varmaa ja vaivatonta viestintää kaikille Suomessa

Sisäisen valvonnan ja Riskienhallinnan perusteet

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Sopimuksiin perustuva toiminnan jatkuvuuden hallinta

Tilaliikelaitos TILALIIKELAITOKSEN VIESTINTÄSUUNNITELMA

Riski tarkoittaa epävarmuuden vaikutusta tavoitteisiin, poikkeamaa odotetusta. Vaikutus voi olla myönteinen tai kielteinen odotettuun verrattuna.

Tietoturvallisuuden johtaminen

Arviointiraportti. Patenttitoimisto Jaakko Väisänen

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

SISÄISEN VALVONNAN PERUSTEET

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Varmaa ja vaivatonta viestintää

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Yritysturvallisuuden johtamisen arviointi ja hallintamalli

Rovaniemen kaupungin Tilaliikelaitoksen strategia 2017

Valtioneuvoston asetus

Riski = epävarmuuden vaikutus tavoitteisiin. Valtionhallinnossa = epävarmuuden vaikutus lakisääteisten tehtävien suorittamiseen ja tavoitteisiin

Sähköi sen pal l tietototurvatason arviointi

Tietoturva hallinnossa Jukka Kuoksa, Johtava vesitalousasiantuntija

Tietosuoja- ja tietoturvapolitiikka

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Sisäinen valvonta ja riskienhallinta. Luottamushenkilöiden perehdytystilaisuus

ISO 9001:2015 JÄRJESTELMÄ- JA PROSESSIAUDITOIN- NIN KYSYMYKSIÄ

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia

Potilasturvallisuuden johtaminen ja auditointi

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

VIRTU ja tietoturvatasot

Yritysturvallisuuden johtamisen arviointi

Liite/Kvalt , 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Isonkyrön kunta

31 Helsingin seurakuntayhtymän käyttöönotettava ICT:n (tietoja viestintäteknologian) ja digitalisaation kehittämisen ohjausmalli

Pohjois-Pohjanmaan sairaanhoitopiirin kuntayhtymäkonsernin sisäisen valvonnan ja riskienhallinnan perusteet

Vieremän kunnan Sisäisen valvonnan ja riskienhallinnan perusteet

Tuotannon esimiestyön erikoisammattitutkinnon perusteet

Utajärven kunta TIETOTURVAPOLITIIKKA

IT-palvelujen ka yttö sa a nnö t

Yritysturvallisuuden johtamisen arviointi

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

Standardit tietoturvan arviointimenetelmät

Sisäisen valvonnan ja riskienhallinnan perusteet

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Transkriptio:

Ohje 1 (7) Juha Salpakari 13.09.2017 Riskienhallinta Viestintäviraston tietoturvapolitiikka 2017-

2 (7) Sisältö 1 Visio tietoturvallisuudesta Viestintävirastossa... 3 2 Tietoturvapolitiikka ja sen velvoittavuus... 3 3 Tietoturvalinjauksia... 3 4 Tietoturvan osa-alueet... 3 5 Tietoturvan hallinta ja organisointi... 4 5.1 Tietoturvan hallinnan ulkoinen toimintaympäristö... 4 5.2 Tietoturvan hallinnan tavoitteet ja mahdollisuudet... 5 5.3 Tietoturvallisuuden hallintajärjestelmä... 5 5.4 Tietoturvallisuuden organisoiminen ja vastuut... 5 5.5 Seuranta... 6 5.6 Tietoturvapolitiikan vastainen toiminta... 7 6 Allekirjoitukset... 7

3 (7) 1 Visio tietoturvallisuudesta Viestintävirastossa TIETOTURVALLISUUS ON VIESTINTÄVIRASTON KRIITTINEN MENESTYSTEKIJÄ JA TOIMINNAN MAHDOLLISTAJA. VIESTINTÄVIRASTO ON TIETOTURVA-ASIOISSA EDELLÄKÄVIJÄ. 2 Tietoturvapolitiikka ja sen velvoittavuus Tietoturvapolitiikka linjaa Viestintäviraston tahtotilan tietoturva-asioissa. Viestintäviraston strategian kriittiset menestystekijät toteutuvat noudattamalla tietoturvapolitiikkaa. Tietoturvapolitiikka koskee kaikkia virastossa työskenteleviä ja se ulotetaan soveltuvin osin myös toimittajiin ja muihin sidosryhmiin. Virastossa on tietoturvapolitiikan lisäksi tietoturvaan liittyviä suunnitelmia, ohjeita ja menetelmäkuvauksia. Tietoturvapolitiikka katselmoidaan säännöllisesti, vähintään kerran vuodessa sen ajantasaisuuden varmistamiseksi. Tietoturvatoimenpiteitä kohdistetaan tarpeellisiksi katsottuihin kohteisiin. Tietoturvariskejä arvioidaan säännöllisesti, tunnistetuille riskeille kohdistetaan riskienhallintakeinoja ja riskienhallintatoimenpiteiden onnistumista seurataan. 3 Tietoturvalinjauksia Viraston tietoturvatavoitteiden saavuttamiseksi asetetaan seuraavia peruslinjauksia: Viraston työtilat ja -välineet ovat lähtökohtaisesti työntekoa varten. Turvallisuutta tai viraston etuja vaarantava toiminta on kiellettyä. Virastossa noudatetaan mahdollisuuksien mukaan puhtaan pöydän politiikkaa. Luokitellut aineistot säilytetään luokituksensa mukaisessa lukitussa tilassa silloin, kun niitä ei käsitellä. Tarvittavat kriittiset toimet viraston tietoturvallisuuden ylläpitämiseksi toteutetaan viipymättä. Viraston toimintaan kohdistuvat tietoturvavaatimukset sisällytetään soveltuvin osin ostopalvelusopimuksissa toimittajille. Toimittajien henkilöstön tulee noudattaa viraston tietoturvaohjeita. Virastoon kohdistuvat tietoturvaloukkaukset annetaan lähtökohtaisesti poliisin tutkittaviksi. 4 Tietoturvan osa-alueet Viestintäviraston tietoturvallisuuteen kuuluu seuraavia osa-alueita: Tietoturvavisio- ja politiikka Tietoturvaorganisaatio Henkilöstöturvallisuus, jolla varmistetaan viraston kanssa toimivien henkilöiden sopivuus tehtäväänsä. Suojattavan omaisuuden hallinta, jolla varmistetaan että omaisuus luokitellaan, merkitään ja käsitellään oikein.

4 (7) Pääsynhallinnalla varmistetaan vain oikeutettujen henkilöiden pääsy tietoon. Salauksella suojataan tietojen luottamuksellisuutta, aitoutta ja eheyttä. Toimitilaturvallisuudella huolehditaan toimitilojen ja ympäröivien alueiden turvallisuudesta. Käyttöturvallisuudella huolehditaan tietojenkäsittelypalveluiden toteuttamista asianmukaisesti, turvallisesti ja häiriöttömästi. Viestintäturvallisuudella varmistetaan tietoliikenneverkkojen ja tietoliikenteen turvallisuus ja häiriöttömyys. Tietojärjestelmien hankinta-, kehitys- ja ylläpitokäytännöillä varmistetaan, että tietojärjestelmien turvallisuudesta huolehditaan kulloinkin oikealla tavalla niiden elinkaaren eri vaiheissa. Toimittajasuhteisiin liittyvät turvallisuusnäkökulmat. Tietoturvahäiriöiden hallinnalla varmistetaan, että toimintamalli häiriöihin reagoimiseksi on johdonmukainen ja vaikuttava, ja että häiriöistä viestitään tarvittavin tavoin. Jatkuvuuden hallinnalla huolehditaan tietoturvatavoitteiden huomioinnista jatkuvuussuunnittelussa ja täyttymisestä kaikissa tilanteissa. Vaatimustenmukaisuudella varmistetaan tietoturvallisuuden hallinnan yhdenmukaisuus säädösten ja sidosryhmävaatimusten kanssa. Viraston tietoturvallisuuden hallintakeinoihin sisältyvät edellä mainittuihin osa-alueisiin liittyvät hallintakeinot luvussa 5.3 mainituista vaatimuslähteistä sekä muita tarpeellisia tietoturvallisuuden hallintakeinoja. 5 Tietoturvan hallinta ja organisointi 5.1 Tietoturvan hallinnan ulkoinen toimintaympäristö Viestintävirasto on liikenne- ja viestintäministeriön (LVM) hallinnonalalla toimiva viranomainen. LVM ohjaa viraston toimintaa tulossopimuksella. Oman toimintansa ohjaamiseksi virasto ylläpitää visiota ja strategisia tavoitteita. Viraston tietoturvallisuuteen liittyviä velvoitteita määrittäviä ulkoisia vaatimuksia ovat: laki viranomaisen toiminnan julkisuudesta, henkilötietolaki, laki kansainvälisistä tietoturvallisuusvelvoitteista sekä valmiuslaki. Tietoturvallisuutta ohjaavat myös asetus tietoturvallisuudesta valtionhallinnossa, hyvä tiedonhallintatapa, valtionhallinnon tietoturvatasojen vaatimukset sekä sidosryhmien kanssa laaditut sopimukset. Virastossa ylläpidetään toimintaympäristöä koskevaa analyysiä tavoitteiden varmistamiseksi ja toimenpiteiden kohdentamiseksi. Käytössä on ulkoisten sekä turvallisuusvaatimuksia asettavien sidosryhmien osalta sidosryhmälinjaukset ja -hallinnan periaatteet. Keskeisimmät viraston tietoturvallisuuteen vaikuttavat toimet viestitään sidosryhmille viraston toiminta- ja taloussuunnitelmassa. Viestintävirasto hyödyntää konserniohjauksen tarjoamia tietoturvapalveluita ja osallistuu aktiivisesti valtionhallinnon tietoturvallisuuden kehittämiseen.

5 (7) 5.2 Tietoturvan hallinnan tavoitteet ja mahdollisuudet Tietoturvapolitiikan tarkoituksena on ylläpitää viraston tietoturvallisuutta sekä suojata viraston ja sen asiakkaiden tietoja. Viestintäviraston tietoturvallisuudella varmistetaan tietojen luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvien tavoitteiden täyttyminen, täytetään virastoon viranomaisena kohdistuvat vaatimukset, lisätään luottamusta virastoon yhteistyökumppanina sekä edesautetaan viraston tavoitteiden saavuttamista. Hyvin hallittu tietoturvallisuus mahdollistaa LVM:n kanssa tehtävän tulossopimuksen tavoitteiden saavuttamisen, viraston strategian mukaisten tavoitteiden saavuttamisen, luotettavien sähköisen asioinnin palveluiden ja viestinnän toteuttamisen viraston asiakkaille ja sidosryhmille, nykyaikaisia joustavia etä-, matka- ja toimistotyöskentelyn tapoja tukevat työvälineet nopean toipumisen ja työskentelyn jatkumisen häiriöistä huolimatta. Viraston tietoturvatoimenpiteillä taataan häiriötön tietojenkäsittely, suojataan viraston ja asiakkaiden salassa pidettäviä tietoja sekä varmistetaan, että viraston toiminnan kannalta keskeiset tiedot, tietojärjestelmät ja palvelut ovat aina saatavissa. 5.3 Tietoturvallisuuden hallintajärjestelmä Viestintäviraston tietoturvallisuuden hallinta- ja johtamisjärjestelmän tarkoituksena on tukea viraston tietoturvavision ja -politiikan mukaisten tavoitteiden saavuttamista. Hallintajärjestelmä on kokoelma prosesseja, toimintatapoja, välineitä ja ohjeita, joilla varmistetaan, että tietoturvatoimenpiteet ovat kulloinkin oikein mitoitettu ja kohdistettu. Hallintajärjestelmän toimintaa parannetaan jatkuvasti poikkeamien, auditointien, saatujen palautteiden, innovaatioiden ja muiden havaintojen kautta. Viestintäviraston tietoturvallisuuden hallinnassa tavoitellaan voimassaolevien ISO/IEC 27001 -standardin vaatimusten, valtionhallinnon tietoturvavaatimusten ja -suositusten sekä kansallisen turvallisuusauditiointikriteeristön (Katakri) mukaisuutta kulloinkin soveltuvalla tavalla. Tavoitteiden saavuttaminen varmistetaan tarvittavilla auditoinneilla. Tietoturvallisuuden hallintatavoitteista ylläpidetään dokumentoitua tietoa. Dokumentaatio voi olla asiakirjamuotoista, tietokannassa, tai muussa muodossa, jossa tehdyt muutokset ovat hallittuja. Olennaiset hallintatavoitteita tai niiden saavuttamista koskevat muutokset käsitellään viraston johtoryhmässä. Riskienhallintapäällikkö voi tehdä vähäisiä täydennyksiä ja korjauksia hallintakeinoja koskeviin kuvailuihin. 5.4 Tietoturvallisuuden organisoiminen ja vastuut Tietoturvallisuus on osa viraston riskienhallintaa. Virastossa on seuraavat roolit ja vastuut tietoturvallisuuteen liittyen:

6 (7) 5.5 Seuranta Pääjohtaja vastaa tietoturvallisuusasioiden johtamisesta ja virastoon kohdistuvien vaatimusten säädöstenmukaisuudesta. Pääjohtaja päättää tietoturvallisuuden linjauksista, organisoinnista, tehtävistä ja vastuista. Viraston johtoryhmä käsittelee viraston turvallisuuteen sekä valmius- ja varautumistoimintaan liittyvät suunnitelmat, raportit, kehityskohteet, politiikat ja ohjeet sekä sisäisen turvallisuuden virastotasoiset asiat. Viraston kriisijohtoryhmä päättää ja käynnistää tarvittavat toimenpiteet viraston toimintaedellytyksiä tai turvallisuutta vaarantavan kriisin vaikutusten torjumiseksi ja rajoittamiseksi, sekä kriisistä palautumiseen tähtäävien toimenpiteiden käynnistämiseksi. Riskienhallinnan ohjausryhmä vastaa viraston riskienhallinnan ja tietoturvallisuuden sovittujen mittarien, raporttien ja sidosryhmäpalautteiden seurannasta, johdon katselmuksista ja muista riskienhallintapolitiikassa kuvatuista asioista. Riskienhallintaryhmä käsittelee viraston toiminnassa tapahtuneiden turvallisuuspoikkeamien yhteenvedot, seuraa tietoturvamittareita, valmistelee turvallisuusohjeita sekä edistää turvallisuustietoisuutta. Muut ryhmän tehtävät on kuvattu riskienhallintapolitiikassa. Johtajat, päälliköt ja esimiehet vastaavat tietoturvallisuudesta ja siitä tiedottamisesta oman toimialueensa, yksikkönsä ja ryhmänsä toiminnassa. Jokainen viraston henkilökuntaan kuuluva vastaa oman lähiympäristönsä ja tehtäviensä tietoturvallisuudesta sekä annettujen ohjeiden noudattamisesta. Virastolaiset ilmoittavat havaitsemistaan puutteista, poikkeamista tai läheltä piti -tilanteista riskienhallintasovellukseen tai kiireellisessä tapauksessa esimiehelleen tai riskienhallintapäällikölle. Riskienhallintapäällikkö ohjaa ja kehittää viraston sisäistä tietoturvatoimintaa, huolehtii tietoturvan hallinnan dokumentoinnista, järjestää suunnitelmien mukaiset auditoinnit sisäisten tai ulkoisten auditoijien kanssa, valmistelee tietoturvan hallintaa koskevat raportit sekä käsittelee poikkeamailmoitukset. Sisäinen auditoija tekee arviointeja viraston turvallisuuden hallinnasta. Viestintäviraston riskienhallintapäällikön sijaisena tietoturvallisuusasioissa toimii viraston tietohallintojohtaja tai muu pääjohtajan määräämä henkilö. Viraston tietojärjestelmille määritellään omistaja, vastuuhenkilö, käyttäjät sekä tietojärjestelmien käytön ja ylläpidon henkilöstö. Omistaja vastaa siitä, että tietojärjestelmästä on kirjattuna hallintodiaariin tietojärjestelmäseloste sekä tarvittaessa voimassaolevan henkilötietolain mukainen rekisteriseloste. Viraston tietoturvallisuuden hallintaa seurataan ja parannetaan jatkuvasti. Riskienhallinnan ohjausryhmä seuraa tietoturvallisuuden tilaa säännöllisen raportoinnin, mittareiden, auditointien ja katselmusten avulla.

7 (7) 5.6 Tietoturvapolitiikan vastainen toiminta Viestintäviraston tietoturvallisuustoiminnassa noudatetaan aina sisäisten ohjeiden lisäksi lakeja, asetuksia ja viranomaismääräyksiä sekä viraston strategian mukaisia, toimintaa ohjaavia periaatteita. Tietoturvapolitiikan vastainen toiminta voi johtaa tapauksesta riippuen virkamieslain tai rikoslain mukaisiin rangaistusseuraamuksiin sekä vahingonkorvauksiin asianomistajille. 6 Allekirjoitukset Tämä ohje tulee voimaan heti ja korvaa aiemmat versiot. Helsingissä 13. syyskuuta 2017 Pääjohtaja Kirsi Karlamaa Riskienhallintapäällikkö Juha Salpakari

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute