Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana



Samankaltaiset tiedostot
Tietohallinto mahdollistajana terveydenhuollon, sosiaalitoimen ja ympäristöterveydenhuollon palvelutuotannon kehittämisessä

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOTURVA- POLITIIKKA

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto

Sovelto Oyj JULKINEN

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Vihdin kunnan tietoturvapolitiikka

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Tietoturvapolitiikka

Tietoturvapolitiikan käsittely / muutokset:

Tietoturvapolitiikka Porvoon Kaupunki

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Tietoturvapolitiikka

Tietosuoja- ja tietoturvapolitiikka

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Espoon kaupunkikonsernin tietoturvapolitiikka

Tietoturvavastuut Tampereen yliopistossa

TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET ALKAEN

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

KESKI-POHJANMAAN IT-ALUEKESKUS. KPA:n TIETOTURVAPOLITIIKKA 2012 ja tietoturvamääräykset

Lapin yliopiston tietoturvapolitiikka

Johtokunta Tietoturva- ja tietosuojapolitiikka

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Tietoturvapolitiikka

Seinäjoen kaupungin tietoturvapolitiikka. Kh , 149

T I E TO S U O JA JA T I E TOT U RVA L L I S U U S O M N I A S S A Riina Kirilova, tietosuoja- ja tietoturvapäällikkö

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

TIETOTURVAPOLITIIKKA

Jämsän kaupungin tietoturvapolitiikka

TIETOTURVA JA TIETOSUOJAPOLITIIKKA

Tietoturvapolitiikka

PUUMALAN KUNNAN TIETOTURVAPOLITIIKKA

Tietoturva Kehityksen este vai varmistaja?

KanTa. Kelan KanTa-palvelujen tietoturvapolitiikka. v. 1.1

TIETOTURVAA TOTEUTTAMASSA

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

Palvelujen uudistaminen Päijät-Hämeessä Prosessit tehokkaiksi Heimo-hyvinvointipiirissä

Itä-Savon sairaanhoitopiirin kuntayhtymän KYS erityisvastuualue-tasoinen Tietosuoja- ja tietoturvapolitiikka

TIETOTURVAPOLITIIKKA

Tietoturva- ja tietosuojapolitiikka

Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet

Tietoturva ja viestintä

Utajärven kunta TIETOTURVAPOLITIIKKA

Laatua ja tehoa toimintaan

Viestintäviraston tietoturvapolitiikka

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Etelä-Pohjanmaan sairaanhoitopiirin tietoturva- ja tietosuojapolitiikka

6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA

Karkkilan kaupungin tietoturvapolitiikka

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Valtiontalouden tarkastusviraston tietoturvapolitiikka

Tietoturvapolitiikka. Hattulan kunta

ICT kehitysnäkymät. Pelastustoimen ajankohtaispäivät Ylitarkastaja Teemu Luukko

Hiiden terveydenhuoltoalue - esimerkkejä eri hallinto- ym. malleista

Henkilötietoja sisältävän datan säilytyksen ja käsittelyn tekniset ratkaisut

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

MEIDÄN KIRKON TIETOTURVAPOLITIIKKA Suomen evankelis-luterilaisen kirkon tietojärjestelmien tietoturvapolitiikka

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Järjestelmätoimitusprosessin tietoturva Mikko Jylhä

Suomen evankelis-luterilaisen kirkon tietojärjestelmien tietoturvapolitiikka vuodelle 2011.

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

Ammattikorkeakoulu 108 Liite 1

Tietoturvakartoitus yrityksen Internet-palveluja tuottavassa yksikössä

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus

Tietoturva hallinnossa Jukka Kuoksa, Johtava vesitalousasiantuntija

Muutos ja tietoturvallisuus, alueellistamisesta ulkoistamiseen -hallittu prosessi

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Espoon kaupunki Tietoturvapolitiikka

Tietoturvapolitiikat. Riitta Mäkinen. Extended Abstract. Helsinki HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Tietosuojavastaavan rooli lokivalvonnassa

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

SUONENJOEN KAUPUNKI TIETOSUOJA- JA TIETOTURVAPOLITIIKKA

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

Tietoturvapolitiikka

HEINÄVEDEN KUNNAN TIETOTURVAPOLITIIKKA

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Transkriptio:

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana Terveydenhuollon Atk-päivät Tampere-talo 26.5.2010 Antti-Olli Taipale Tietohallintojohtaja Päijät-Hämeen sosiaali- ja terveysyhtymä etunimi.sukunimi@phsotey.fi

Päijät-Hämeen sosiaali- ja terveysyhtymä organisaationa PHSOTEY Henkilökuntaa 3800 Fyysisiä toimipisteitä 110 Työasemia 3230 Tietojärjestelmiä 120-150 Keskussairaala Peruspalvelukeskus Ensihoitoja päivystyskeskus Tukipalvelukeskus Lääketieteellisten palvelujen keskus Ympäristöterveyskeskus Kuntoutuskeskus Alueen muita sote-toimijoita Yhtymän toimialat: PTH SOS ESH - YMPTH OIVA Heinola Lahti 8 8 15 11 kuntaa hankkivat yhtymältä palveluita 2/13

3/13 Lähteenä on hyödynnetty valtion tietoturvallisuuden johtoryhmän (VAHTI) henkilöstön tietoturvaohjetta, VAHTI 10/2006 http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/01_julkaisut/05_valtionhallinnon_tietoturvallisuus/20061127henkil/name.jsp (verkko-osoitteeseen viitattu 3.5.2010) Tietoturvallisuuden kehittämishaaste teoriassa Hyvä tietoturvallisuus tarkoittaa tilannetta, jossa sekä tietojen, järjestelmien, palveluiden että tietoliikenteen Luottamuksellisuuteen Eheyteen ja Käytettävyyteen kohdistuvat uhat eivät aiheuta merkittävää riskiä. Tietoturva Tietoturvallisuus Tietosuoja Hallinnollinen turvallisuus Fyysinen turvallisuus Tietoaineistoturvallisuus Käyttöturvallisuus Ohjelmistoturvallisuus Henkilöstöturvallisuus Tietoliikenneturvallisuus Laitteistoturvallisuus

Tietoturvallisuuden kehittämishaaste käytännössä Vastuu arjen tietoturvasta on jokaisella yhtymän työntekijällä Oleellista on tietoturvallisuuden toteutuminen kaikessa toiminnassa, prosesseissa ei irrallinen asia vaan keskeinen osa arjen toimintaa tietoturvasta 20 % on teknologiaa ja 80 % ihmisen toimintaa, kuten asenteita, menetelmiä ja osaamista. Kyse on pienistä asioista esimerkiksi siitä, että suljenko työasemani lounaalle lähtiessäni, haenko nopeasti tulostamani paperit tulostimelta, laitanko tietosuojamateriaalille tarkoitettuun roskakoriin silputtavaksi kaikki henkilötietoa sisältävät ylimääräiset tulosteet Verkko-osoitteeseen viitattu 3.5.2010 4/13

5/13 Tapahtunutta tietoturvallisuuden kehittämisen polulla I Keväällä 2008 perustettiin Päijät-Hämeen sosiaali- ja terveysyhtymän tietoturvallisuuden ja tietosuojan ohjaus- ja kehittämisryhmä työryhmässä jäseniä yhtymän eri tulos- ja ammattiryhmistä (muodostaa vastuuhenkilöverkoston) Kesällä 2008 kilpailutettiin tietoturvallisuuden kehittämisen konsultointi, kertaluonteinen työ vuoden 2008 loppuun saakka Tietosuojavastaava nimitettiin elokuussa 2008 (yhtymän sisäisen tarkastajan (hoiti tehtävää oman toimensa ohella) siirtyessä toisen työnantajan palvelukseen syksyllä 2009, on tehtävää siitä asti hoitanut oman toimensa ohella hallintojohtaja) Syksyn 2008 aikana tehtiin konsultin kanssa tietoturvallisuuden kehittämistyötä, jonka pohjalta muun muassa laadittiin tietoturvapolitiikka, tehtiin henkilöstökyselyitä ja riskien kartoitus, suunniteltiin tietoturvatyön organisointia sekä laadittiin perusteet kehittämistyölle Tietoturvallisuuden koulutusasioita aloitettiin systemaattisesti kehittää syksyllä 2008 esityksiä uusin henkilöiden perehdytystilaisuuksissa, atkyhdyshenkilöpäivillä yms. erillinen tietoturvan koulutustyöryhmä aloitti toimia

Tapahtunutta tietoturvallisuuden kehittämisen polulla II Tietoturvapolitiikka laadittiin 01-03.2009 hyväksyttiin yhtymän hallituksessa 30.3.2009 Tietoturvapolitiikka viitoittaa tietoturvallisuuden kehittämistyötä kyse on vuosia kestävästä jatkuvasta työstä, jonka onnistuminen riippuu ennen kaikkea koko henkilöstön osaamisen kehittymisestä ja siitä, että erityisasiantuntemusta vaativien tietoturvallisuustehtävien tekemiseen voidaan kohdistaa riittävästi resursseja hallittu eteneminen askel askeleelta johtaa parhaaseen lopputulokseen. Tietoturvallisuuden kehittäminen on jokaisella organisaatiolla omansa näköistä muiden parhaita ratkaisuja voidaan kylläkin hyödyntää ja mukauttaa, mutta ei sellaisenaan kopioida omiin prosesseihin. Verkko-osoitteeseen viitattu 3.5.2010 6/13

TARKOITUS Tietoturvapolitiikan tarkoituksena on vahvistaa tietojenkäsittelyn perusturvataso eli periaatteet, jotka luovat perustan tietoturvallisuuden kehittämistoimille Turvattavia tietoja ovat sekä manuaalisessa että sähköisessä muodossa olevat tiedot Tietoturvatoimilla estetään tietojen luvaton käyttö ja haltuunotto Tietoturvatoimilla vähennetään ja ennaltaehkäistään tietoturvariskien syntyminen, varmistetaan tietojen saatavuus poikkeuksellisissa olosuhteissa, toiminnan jatkuvuus, asiakkaiden ja potilaiden oikeusturva ja yksityisyyden suoja lainsäädännön ja muiden määräysten edellyttämällä tavalla. Lisäksi varmistetaan tietojen oikeellisuus ja luotettavuus sekä se, että asianosaiset ovat tiedostaneet tietoturvan merkityksen. 7/13

TAVOITE PHSOTEY on tietoturvallinen organisaatio, joka mahdollistaa tiedon luotettavan ja turvallisen hallinnan sekä välityksen kaikille osapuolille. Tietoturvallista organisaatiota rakennetaan eri toimijoiden välisessä yhteistyössä tietoturvariskienhallintaprosessin ohjaamana Tämän päämäärän saavuttamiseksi: Käyttäjien, ylläpitäjien ja johdon tietoturvatietoisuus on oltava hyvä. Kaikki ymmärtävät oman merkityksensä sekä tehtävänsä ja velvollisuutensa tietoturvallisuuden ylläpidossa Tietoturvallisuutta toteutetaan kaikilla tasoilla siten, että se on mukana kaikessa toiminnassa Tietojen luottamuksellisuuden, eheyden ja saatavuuden vaatimus toteutuu kaikessa tietojenkäsittelyssä, mikä mahdollistaa tietoturvallisen asioinnin ja tietojen käytön Varsinaisen toiminnan lisäksi sekä arkistotoimella että tietohallinnolla on yhteisenä tavoitteena tietojen saatavuuden ja käytettävyyden turvaaminen. 8/13

Tietoturvan kehittäminen on ryhmätyötä 9/13

10/13 Tapahtunutta tietoturvallisuuden kehittämisen polulla III Keväällä 2009 organisointiin tietoturvatyötä tietoturvapolitiikan linjausten perusteella, jonka jälkeen vakiinnutettiin kehittämistoimintaa ja laadittiin syksyllä 2009 kehittämistoimenpiteet 2010-2012 Päivitettiin rekisteri- ja tietojärjestelmäselosteita keväällä 2009 Julkaistiin uudet tietoturvallisuussivut yhtymän intranetissä, Infokanavalla kesälomien 2009 kynnyksellä Lähdettiin kehittämään tietoturvaohjeistoa syksyllä 2009 laadittiin ohjeet sähköpostin käsittelystä ja internetin käytöstä sekä päivitettiin vanhaa tietoturva- ja tietosuojasitoumusta ohjeistukset ja uusi sitoumus käyttöön tammikuussa 2010

Tulevaa tietoturvallisuuden kehittämisen polulla IV Tietoturvapolitiikan mukaiset tietoturvatoimet sisällytetään luonnollisena osana kaikkeen toimintaan. Tietoturvan kehittäminen ja ylläpito ovat osa sosiaali- ja terveysyhtymän yleistä turvallisuustoimintaa, riskien hallintaa ja sisäistä valvontaa. Tietoturvallisuutta kehitetään kokonaisvaltaisesti seuraavien osakokonaisuuksien kautta Tietoturvallisuuden kehittämistoimenpiteet vuosille 2010 2012: A. Tietoturvaorganisaation ja hallinnollisten menettelytapojen vakiinnuttaminen B. Riskienhallinnan kehittäminen C. Valmius-, suuronnettomuus-, jatkuvuus- ja toipumissuunnittelutyön ajantasaistaminen suhteessa tietoturvallisuuden kehittämiseen D. Käyttäjähallinnan kehittäminen E. Teknisen tietoturvallisuuden kehittäminen F. Fyysisen turvallisuuden jatkokehittäminen G. Tietoturvallisuuskulttuurin kehittäminen koulutukset, oppimisympäristöt, tietoturvatietoisuuden edistäminen osaamisen kehittäminen 11/13

12/13

Kiitos tietoturvallista päivän jatkoa! 13/13

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute