Tietoturvapolitiikka

Samankaltaiset tiedostot
Seinäjoen kaupungin tietoturvapolitiikka. Kh , 149

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvapolitiikka

TIETOTURVAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Vihdin kunnan tietoturvapolitiikka

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

Espoon kaupunki Tietoturvapolitiikka

Tietoturva- ja tietosuojapolitiikka

Karkkilan kaupungin tietoturvapolitiikka

TIETOSUOJAPOLITIIKKA. Turun kaupunki

Lapin yliopiston tietoturvapolitiikka

TIETOTURVA- POLITIIKKA

Tietoturvapolitiikka. Hattulan kunta

Kuopion kaupunki Dnro 3720/2018 Elinvoima- ja konsernipalvelu Tietohallinto

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Espoon kaupunki Tietoturvapolitiikka

Sovelto Oyj JULKINEN

Tietoturvapolitiikan käsittely / muutokset:

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Tietoturvapolitiikka

Tietoturvapolitiikka

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

Eläketurvakeskuksen tietosuojapolitiikka

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietoturvavastuut Tampereen yliopistossa

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Tietoturvapolitiikka

Ulvilan kaupungin tietosuojapolitiikka

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

SUONENJOEN KAUPUNKI TIETOSUOJA- JA TIETOTURVAPOLITIIKKA

PUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Ylöjärven kaupungin tietosuojapolitiikka

Uudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET ALKAEN

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Kunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka

TIETOTURVA JA TIETOSUOJAPOLITIIKKA

Haminan tietosuojapolitiikka

Tietosuojapolitiikka

Valtiontalouden tarkastusviraston tietoturvapolitiikka

Sähköi sen pal l tietototurvatason arviointi

Laatua ja tehoa toimintaan

Politiikka: Tietosuoja Sivu 1/5

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Utajärven kunta TIETOTURVAPOLITIIKKA

Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Espoon kaupunkikonsernin tietoturvapolitiikka

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

Tietosuoja- ja tietoturvapolitiikka

Kuhmon kaupungin tietosuoja- ja tietoturvapolitiikka. Kaupunginhallitus, (176 )

Lapinlahden kunnan tietoturvapolitiikka

Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Johdanto

Tietoturva Kehityksen este vai varmistaja?

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Tietosuoja- ja tietoturvapolitiikka

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

TIETOTURVAPOLITIIKKA

Espoon kaupunki Tietoturva- ja tietosuojapolitiikka

EU:N TIETOSUOJA-ASETUKSET WALMU

Johtokunta Tietoturva- ja tietosuojapolitiikka

Tietoturva- ja tietosuojapolitiikka

KESKI-POHJANMAAN IT-ALUEKESKUS. KPA:n TIETOTURVAPOLITIIKKA 2012 ja tietoturvamääräykset

Ammattikorkeakoulu 108 Liite 1

TIETOSUOJAPOLITIIKKA

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

VAASAN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Vaasan kaupunginvaltuuston hyväksymät

Tietoturva- ja tietosuojapolitiikka

PK-yrityksen tietoturvasuunnitelman laatiminen

TIETOTURVAPOLITIIKKA. Hyväksytty

Tietoturva- ja tietosuojapolitiikka

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

1 Käsitteet ja termit

Kaupunginhallitus Liite 2 203

Transkriptio:

Tietoturvapolitiikka 1(17) Tietoturvapolitiikka KH 403 Tietoturvallisuus on koko Kotka-konsernin yhteinen asia

Tietoturvapolitiikka 2(17) Sisällys Johdanto... 3 Tietoturvallisuuden merkitys organisaatiolle... 3 Tietoturvallisuuden määritelmä ja tavoitteet... 4 Tietoturvatoimintaa ohjaavat tekijät... 5 Tietoturvallisuuden organisointi ja vastuut... 5 Tiedon ja tietojärjestelmien käyttö... 5 Tietojen luokittelu... 6 Tietoturvaosaamisen ja -tietoisuuden ylläpito... 6 Tietoturvallisuudesta tiedottaminen... 6 Tietoriskien hallinta... 7 Toiminta poikkeustilanteissa ja -oloissa... 8 Turvatoimien priorisointi... 8 Tietoturvallisuuden seuranta, ylläpito ja kehittäminen... 9 Liite 1 Lakiluettelo....11 Liite 2 Tietoturvavastuut.. 12 Liite 3 Keskeiset käsitteet.15 Liite 4 Tietoturvallisuuden osa -alueet 16

Tietoturvapolitiikka 3(17) Johdanto Kotkan kaupungin palveluiden perustana ovat kuntalaisten tarpeet. Palveluiden tuottaminen perustuu tietoon ja sen käsittelyyn Kotkan kaupungin ja sen konsernin toimintaympäristöissä. Kaupungin palvelutuotanto on riippuvainen ICT-teknologiasta ja -palveluiden keskeytyksettömästä ja turvallisesta toiminnasta. Kotkan kaupungin tietohallintostrategia tähtää kaupunkistrategian mukaisesti laajaan digitalisaatioon vuoteen 2020 mennessä. Kustannustehokas digitalisointi edellyttää tietoturvallisuuden kaikkien osa-alueiden, kokonaisarkkitehtuurin ja yhteentoimivuuden laajaa huomioimista jo suunnitteluvaiheessa. Kotkan kaupungin johto määrittelee tässä politiikassa Kotkan kaupungin johtamista, palveluita ja toimintoja koskevat tietoturvallisuuden periaatteet, vastuut ja tavoitteet. Politiikka toimii perustana Kotkan kaupungin tietoturvallisuutta koskeville alapolitiikoille ja ohjeille, joiden tehtävänä on tarkentaa politiikassa annettuja määräyksiä ja ohjeistaa niiden soveltamista käytäntöön. Tietoturvapolitiikka koskee koko kaupunkiorganisaatiota sen työntekijää ja luottamushenkilöä mukaan lukien kaupunkikonsernin sekä niitä Kotkan kaupungin sidosryhmien edustajia, jotka työnsä tai toimeksiantojensa puitteissa käsittelevät Kotkan kaupungin omistamaa tai hallinnoimaa tietoa. Politiikka kattaa Kotkan kaupungin omistaman tiedon riippumatta sen esitystavasta, muodosta, suojaustasosta tai elinkaaren vaiheesta. Tämä politiikka on saatavissa asianhallintajärjestelmä Hallissa ja Intranetin Tietoturva- ja Tietosuoja sivulla. Politiikka liitetään tarvittaessa Kotkan kaupungin toimeksiantosopimuksiin ja huomioidaan hankinnoissa. Tietoturvallisuuden merkitys organisaatiolle Lainsäädäntömuutokset, esimerkiksi EU:n yleinen tietosuoja - asetus, tietosuojalaki ja EU:n saavutettavuusdirektiivi tähtäävät tietoturvan, tietosuojan, riskienarvioinnin, kokonaisarkkitehtuurin ja yhteentoimivuuden huomioimiseen suunnittelun aikaisessa vaiheessa, sekä suunnittelun kautta saatavaan kustannustehokkuuteen, tietojen käytettävyyteen ja tietoturvallisuuden tilintekokykyisyyteen. Tietoturvallisuuden toteutumiseksi organisaation tulee tunnistaan sen toiminnan kannalta elintärkeät palvelutehtävät ja määritellä sekä kuvata näiden turvaamiseksi riittävät tietoturvaperiaatteet. Tietoturvallisuuden toteutumista tukevat periaatteista johdetut käytännöt joita ovat mm.; hanke ja projektisuunnittelun tietoturvan ja tietosuojan tarkastuslistat, puite-, palvelu- ja toimitussopimukset sekä niihin liittyvät turvallisuus- tai tietoturvasopimukset, kuvaukset organisaation toimintaympäristön tietokriittisyydestä sekä keskeisistä palveluista, prosesseista ja toiminnoista sekä näiden jatkuvuuden ja toimintavarmuuden hallintamekanismeista. Suunniteltujen ja kuvattujen käytäntöjen toteutumista valvotaan säännöllisesti.

Tietoturvapolitiikka 4(17) Tietoturvallisuuden määritelmä ja tavoitteet Tietoturvallisuus koostuu tietoturvaan ja tietosuojaan liittyvistä vastuista ja käytännöistä, joilla pyritään varmistamaan tietojen, tietojärjestelmien ja liiketoiminnan palvelujen turvaaminen siten, että niiden luottamuksellisuus, eheys ja käytettävyys voidaan taata ja osoittaa toteutuneen. Luottamuksellisuus: Tieto on vain siihen oikeutettujen saatavilla. Eheys: Tieto on oikeaa ja eheää, eikä muuttunut tahallisen tai tahattoman teknisen tai inhimillisen toiminnan seurauksena. Käytettävyys: Tieto on saatavilla aina sitä tarvittaessa. Kiistämättömyys: Tietoon tehdyt muutokset sen käsittelyn eri vaiheissa pystytään tarvittaessa todentamaan. Tietosuojaa käsitellään tarkemmin Kotkan kaupungin tietosuojapolitiikassa. Kuva 1. Tietoturvallisuus integroituu kuvan mukaisesti kaikkiin kokonaisuuden osa-alueisiin: turvallisuus, riskienhallinta sekä jatkuvuudenhallinta ja varautuminen. Kaupungin johdon vastuulla on huolehtia tietoturvallisuuden integroimisesta kaupungin operatiiviseen toimintaan.

Tietoturvapolitiikka 5(17) Tietoturvatoimintaa ohjaavat tekijät Kotkan kaupungin tietoturvallisuutta velvoittavat ja ohjaavat kansalliset ja kansainväliset yleiset lainsäädäntövelvoitteet sekä toimialakohtaiset erityislainsäädäntövelvoitteet. Lisäksi muut tietoturvallisuutta ohjaavat velvoitteet, määräykset ja ohjeet kuten esimerkiksi toimittajien kanssa tehdyt turvallisuussopimukset. Kotkan kaupungin johdon tehtävänä on ohjata tietoturvallisuuden kehittämistä strategisella tasolla yhdessä tietoturvasta vastaavan kanssa. Kotkan kaupungin tietoturvan hallinnan prosessi on kuvattu tarkemmin toiminnanohjausjärjestelmän (IMS) prosessikuvauksessa ja Kotkan kaupunkia koskeva lainsäädäntö Liitteessä 1. Tietoturvallisuuden organisointi ja vastuut Kotkan kaupungin tietoturvavastuut on kuvattu Liitteessä 2. Tietoturvavastuut ja niiden jakautuminen Kotkan kaupungin ja keskeisten sidosryhmien ja yhteistyökumppaneiden osalta tulee kuvata ja sopia kirjallisesti. Tästä vastaavat palveluista vastaavat henkilöt. Poikkeusluvan Kotkan kaupunkikonsernin tietoturvapolitiikassa, standardeissa ja ohjeissa kuvattuihin menettelytapoihin myöntää Kotkan kaupunginhallitus. Kotka-konsernin tietoturvaa koskevan politiikan sekä siihen kohdistuvat muutokset hyväksyy kaupunginhallitus. Tietoturvastandardit sekä tietoturvaohjeet ja niitä koskevat muutokset hyväksyy tietosuojatyöryhmä. Tiedon ja tietojärjestelmien käyttö Kotkan kaupungin henkilöstönsä käyttöön luovuttamat laitteet, ohjelmistot, tietojärjestelmät sekä tieto on tarkoitettu työtehtävien hoitamiseen. Kotkan kaupungin tietojärjestelmäympäristössä saa käyttää ainoastaan tietohallinnon ja tietohallinnon johtoryhmän hyväksymiä tietojärjestelmiä, laitteita ja ohjelmistoja. Asennustyöt suorittavat Kotkan kaupungin kanssa sopimussuhteessa olevat toimijat, esimerkiksi ICT-palveluntuottajat, järjestelmä- ja laitetoimittajat. Kaupungin ja näiden toimijoiden välisissä sopimuksissa tulee huomioida tietoturvaan ja tietosuojaan liittyvät vastuut ja velvoitteet. Jokainen Kotkan kaupungin henkilöstöön kuuluva sitoutuu tietojen ja tietojärjestelmien tietoturvalliseen ja ohjeiden mukaiseen käyttöön allekirjoittamalla tätä koskevan sitoumuksen. Vastaavasti em. sitoumus edellytetään niiltä Kotkan kaupungin luottamushenkilöiltä, joille sallitaan oikeus käyttää Kotkan kaupungin omistamia tietojärjestelmiä. Kotkan kaupungin omistamat tietojärjestelmät tunnistetaan, luokitellaan kriittisyyden perusteella ja niille nimetään omistaja, jonka vastuulla on kuvata tietojärjestelmän käyttövaltuushallinta. Käyttövaltuushallintaa koskevat määräykset on kuvattu tarkemmin Käyttövaltuuspolitiikassa.

Tietoturvapolitiikka 6(17) Tietojen luokittelu Tietoturvallinen toimintatapa on kuvattu Loppukäyttäjän tietoturvaohjeessa ja muissa tietoturvaohjeissa. Laiminlyönteihin ja väärinkäytöksiin puututaan välittömästi Tietoturvarikkomusten tulkinta ja seuraamussäännöstön mukaisesti. Kotkan kaupungin omistamat tiedot luokitellaan tiedon omistajan toimesta. Tietojen luokittelu perustuu lakiin viranomaisten toiminnan julkisuudesta ja Asianhallintayksikön antamiin ohjeisiin lain soveltamisesta. Pilvipalveluiden käytössä tulee huomioida, että luokittelematonta ja omistajatonta tietoa ei saa viedä pilvipalveluun. Tietoturvaosaamisen ja -tietoisuuden ylläpito Jokainen Kotkan kaupungille tuleva uusi työntekijä suorittaa perehdytyskäytäntöjen mukaisen tietoturvan perusteet sisältävän verkkokoulutuksen sekä saa opastuksen tietoturvaohjeiden sijainnista sekä tietoturvan organisoinnista Kotkan kaupungissa. Tietoturvaohjeet ovat jokaisen henkilöstöön kuuluvan saatavissa asianhallintajärjestelmässä (Halli) ja Intrassa. Tietoturvallisuuden ylläpidosta, kehittämisestä ja johtamisesta vastaaville tulee tarjota mahdollisuus riittävän perus- ja jatkokoulutuksen hankkimiseen. Tietoturvallisuudesta tiedottaminen Tietoturvallisuuteen liittyvä henkilöstön tiedottaminen ajankohtaisasioista, ohjeista ja poikkeamatilanteista tehdään pääsääntöisesti Intrassa. Jokainen esimies on velvollinen seuraamaan ja varmistamaan, että henkilöstö seuraa tiedotteita. Teknistä tietoturvaa (esim. virustorjunta, palomuurit, roskapostisuodatus) toteuttavan ICTpalveluntuottajan / -tuottajien kanssa sovitaan kirjallisesti poikkeamatilanteiden tiedotusmenettelyistä ja yhteyshenkilöistä.

Tietoturvapolitiikka 7(17) Tietoriskien hallinta Tietoriskien hallinnan perusta on uhkien tunnistus ja vaikutusanalyysin muodostaminen sekä tarvittavista toimenpiteistä päättäminen riskien hallitsemiseksi. Kuva 2. Kotkan kaupungin tietoriskien hallintaprosessi.

Tietoturvapolitiikka 8(17) Toiminta poikkeustilanteissa ja -oloissa Turvatoimien priorisointi Kaupungin toiminta kriisitilanteissa perustuu lakisääteiseen valmiussuunnitteluun. Kaupungin palveluista vastaavat palvelu- ja vastuualueet sekä yksiköt ja liikelaitokset, laativat kukin omat suunnitelmansa kriisien varalle. Suunnitelmat kootaan yhteen Kotkan kaupungin valmiussuunnitelman yleiseen osaan. Varautumistyötä johtaa kaupunginjohtaja yhdessä kaupunginhallituksen kanssa. Suunnittelussa tulee varautua pieneen, keskisuureen ja suureen toimintahäiriöön sekä soveltuvin osin poikkeusoloihin. Poikkeusoloissa toimintaa johtaa viranomainen (johtovastuu voi muuttua tilanteen edetessä) ja kaupungin valmiussuunnitelma / häiriötilanteiden suunnittelu ja organisaatio tukevat sen toimintaa. Poikkeusolojen ja vakavien häiriötilanteiden varalta päätökset käskyvaltasuhteiden muutoksista on valmisteltava huolellisesti ennakolta, jotta tilanteen niin vaatiessa siirtyminen toimimaan linjaorganisaationa on nopeasti toteutettavissa. Huolellista ennakkovalmistelua edellyttävät erityisesti sopimusohjaustilanteet. Kotkan kaupunginvaltuusto hyväksyy kaupunkikonsernia koskevat Sisäisen valvonnan ja riskienhallinnan periaatteet. Periaatteissa on kuvattu eri toimijoiden tehtävät ja vastuut sisäisen valvonnan ja riskienhallinnan jatkuvassa prosessissa. Kotkan kaupungissa on määritetty toimintaprosessi ja ohje liittyen toimintaan tietoturvaloukkausten tapahtuessa. Ohje on nimeltään Kotkan kaupungin tietoturva- ja tietosuojapoikkeamien ilmoittaminen ja hallinta ja se löytyy Intranetistä Tietoturva ja Tietosuoja-sivuilta sekä asianhallintajärjestelmä Hallista. Tämän prosessin mukaista toimintatapaa noudatetaan tietosuojapoikkeamien sattuessa. Henkilötietojen tietoturvaloukkauksen sattuessa Kotkan kaupungilla on rekisterinpitäjänä ilmoitusvelvollisuus valvontaviranomaisen sekä rekisteröidyn suuntaan. Valvontaviranomaiselle tehdään ilmoitus tietosuoja-asetuksen mukaisesti 72 tunnin kuluessa siitä, kun henkilötietojen tietoturvaloukkaus on tullut ilmi. Rekisteröidylle henkilötietojen tietoturvaloukkaus ilmoitetaan ilman aiheetonta viivytystä. Kotkan kaupungin käytössä olevista tietojärjestelmistä ja palveluista on määriteltävä ja kuvattava suojattavat kohteet. Näiden toipumis- ja jatkuvuussuunnitelmissa tulee huomioida tietoturvallisuuteen kohdistuvat uhat ja toiminta poikkeamatilanteissa (esim. palvelunestohyökkäysten vaikutus). Suojattavat kohteet on priorisoitava.

Tietoturvapolitiikka 9(17) Tietoturvallisuuden seuranta, ylläpito ja kehittäminen Kotkan kaupungin tietoturvallisuustyö perustuu toiminnan, teknologian ja osaamisen jatkuvaan kehittämiseen tietoturvan hallinnan prosessin kuvauksen mukaisesti noudattaen jatkuvan kehittämisen periaatteita: SUUNNITTELU - vaiheessa tuotetaan johdon ja tietoturvasta vastaavan toimesta analyysien ja arvioiden perusteella politiikkoja, periaatteita ja suunnitelmia. Tälle vaiheelle vaatimuksia asettavat mm. lainsäädäntö, riskienhallinnan tulokset, vaatimukset (sopimukset, asiakkaat ja sidosryhmät) sekä toimintaolosuhteet. TOTEUTUS - vaiheessa edellisen vaiheen päätökset ja suunnitelmat otetaan käyttöön, tiedotetaan ja jalkautetaan niin henkilökunnalle kuin myös kumppaneille ja asiakkaille. SEURANTA - vaiheessa suoritetaan tietoturvallisuuden teknistä valvontaa ja raportointia sekä arvioidaan ratkaisevatko toteutetut toimenpiteet tunnistettuja tietoturvariskejä ja vähenivätkö ne suunnitellulle tasolle. MUUTOSHALLINTA - vaiheessa toteutetaan muutoshallintaprosessin mukaista normaalia muutoshallintaa seurantavaiheen tuloksista opitun perusteella.

Tietoturvapolitiikka 10(17) Kuva 3. Kotkan kaupungin tietoturvallisuustyön jatkuva kehittäminen

Tietoturvapolitiikka 11(17) Liitteet Liite 1 Lakiluettelo Liite 2 Tietoturvavastuut Liite 3 Keskeiset käsitteet Liite 4 Tietoturvallisuuden osa-alueet

Liite 1 Lakiluettelo 12(17) Tietoturvaan liittyvää lainsäädäntöä Perustuslaki (731/1999) Kuntalaki (410/2015) Hallintolaki (434/2003) Arkistolaki (831/1994) Asetus viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999) Laki viranomaisen toiminnan julkisuudesta (621/1999) Henkilötietolaki (523/1999) Euroopan unionin yleinen tietosuoja-asetus luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (EU 679/2016) Euroopan parlamentin ja neuvoston direktiivi, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta (EU 680/2016) Laki yksityisyyden suojasta työelämässä (759/2004) Laki kunnallisesta viranhaltijasta (304/2003) Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) Laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista (661/2009) Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) Laki julkisista hankinnoista ja käyttöoikeussopimuksista (1397/2016) Rikoslaki (39/1889) Työsopimuslaki (55/2001) Valmiuslaki (1552/2011) Tietoyhteiskuntakaari (917/2014) Tekijänoikeuslaki (404/1961) Lukiolaki (629/1998) Perusopetuslaki (628/1998) Oppilas- ja opiskelijahuoltolaki (1287/2013) Kansanterveyslaki (66/1972) Laki potilaan asemasta ja oikeuksista (785/1992) Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000) Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) Laki sosiaali- ja terveydenhuollon palvelusetelistä (569/2009) Laki sähköisestä lääkemääräyksestä (61/2007) Laki terveydenhuollon ammattihenkilöstä (559/1994) Sosiaalihuoltolaki (1301/2014), sosiaalihuoltolain (710/1982) 2 luku, 25, 26, 26 a, 27 d, 27 e ja 40 sekä 5 ja 8 luku jäävät voimaan Sosiaali- ja terveysministeriön asetus potilasasiakirjoista (298/2009) Terveydenhuoltolaki (1326/2010)

Liite 2 Tietoturvavastuut 13(17) Tietoturvavastuut Kotkan kaupungissa Tämä dokumentti kuvaa tietoturvallisuuden vastuut ja velvollisuudet Kotkan kaupungissa. Tietoturvallisuuden vastuujärjestelyn tulee seurata kaupungin toiminnan mahdollisia muutoksia. Monet alla mainituista vastuista voivat kuulua samankin henkilön tehtäviin ja vastuisiin. Olennaista on, että näiden tehtävien hoito on järjestetty, myös varahenkilöiden osalta. Yleinen vastuu tietoturvallisuuden valvonnasta ja ylläpitämisestä Tietoturvallisuuden valvontaan ja ylläpitämiseen osallistuu jokainen kaupungin henkilöstöön ja järjestelmien ja palveluiden käyttäjiin kuuluva osana omaa yleistä toimintavastuutaan. Turvallisuus on osa työtehtäviä Suurin osa tietoturvallisuuden toteuttamiseksi tehdystä työstä sisältyy Kotkan kaupungissa työskentelevien normaaleihin tehtäviin. Tietoturvallisuuden ohjaustehtävissä ja kehittämisessä tarvitaan sen lisäksi erityisasiantuntemusta ja nimettyjä turvallisuusvastuuhenkilöitä. Tietoturvallisuuden erityisvastuut Rooli Vastuu valvontavastuu Kaupunginhallitus Tietoturvapolitiikan hyväksyminen Tietoturva- / tietosuojaryhmä Kaupunginjohtajan johtoryhmä Kansliapäällikkö Tietoturvaorganisaatio (riskienhallinnan johtoryh- Tietoturvapolitiikan käsittely Tietojen turvaluokittelujärjestelmä Tietojen omistajien määrittäminen - yksikkökohtaisten erityisvaatimusten määrittäminen Tiedon ja tietojärjestelmien omistajien nimeäminen tietoturvan tason ja niihin liittyvien mittarien määrittely sekä toteutumisen valvonta Tietoturvapolitiikan valmistelu Tietoturvapolitiikan ylläpitäminen Tietoturva/tietosuojaryhmän johtaminen Tietoturvan hallinnointi, ohjeistus ja koordinointi Organisaation järjestelmien tietoturvan toteutumisen valvonta Organisaation tietoturvaan liittyvä tiedottaminen Tietoturvakoulutuksen suunnittelu yhdessä HR:n kanssa Tietoturvatietämyksen hankkiminen ja ajan tasalla pitäminen sekä tietämyksen jakaminen Poikkeustilanteiden koordinointi Organisaation tietoturvaratkaisujen määrittäminen, kehittäminen ja muutoksien hyväksyminen Valmistelija vie kaupunginsihteerille johtoryhmäkäsittelyä varten. Tietoturva- / tietosuojaryhmä valvoo, että asia valmistellaan ja viedään päätöksentekoon. Kaupunginjohtaja Kansliapäällikkö

Liite 2 Tietoturvavastuut 14(17) mä) Henkilöstöyksikkö Vastata keskitettyjen tietoturvallisuuden kehittämishankkeiden valmistelusta ja toteutuksesta Viestiä tietoturva-asioista ja huolehtia tietoturvapuuteiden ja poikkeamien käsittelyn käynnistämisestä Osallistua tietoturvaperiaatteiden määrittelyyn Avustaa johtoa ja yksiköitä tietoturvallisuuden toimeenpanossa Valmistella tietoturvastrategia (tietoturvasuunnitelma) osana kaupungin riskienhallintasuunnitelmaa Valmistella tietoturvallisuuden mittaristo ja järjestää tietoturvallisuutta koskeva seuranta Raportoida ylimmälle johdolle tietoturvallisuudesta Yrityksen tietoturvaohjeiden- ja käytäntöjen kehittäminen, valmistelu ja muutosten hallinta Vastuu poikkeustilanteiden käsittelystä Tietoturvakoulutuksen suunnittelu, organisointi ja seuranta Henkilöstöjohtaja Isännöinti Tilaturvallisuus ja vartiointi Toimitilahallinto Esimies Tiedon omistaja Tiedon käsittelijä Tietojärjestelmien omistajat Vastuualueiden ja toimintayksiköiden johtajat Tietoturvan toteutumisen valvonta Tiedon omistajien määrittäminen johtamisjärjestelmän vastuiden mukaisesti Oman yksikkönsä tietoturvakoulutukseen osallistumisesta huolehtiminen Vastaa, että yksiköllä on sen oman toiminnan erityisvaatimukset huomioiden tarkennetut tietoturvatavoitteet ja periaatteet Nimeää tietoturvayhteyshenkilön, joka raportoi tietoturvaryhmälle yksikön aikaansaannoksista ja tekemistä Tietojen luottamuksellisuuden ja käytettävyyden varmistaminen lakien, asetusten, tietoturvapolitiikan ja ohjeiden mukaisesti. Pääkäyttäjien nimeäminen vastuullaan olevien järjestelmien osalta. Tiedon huolellinen käsitteleminen ja ohjeiden noudattaminen Käyttövaltuushallinnan määrittely, kuvaaminen ja ohjeistus Tietoturvallisuuden toteutuminen alaisessaan toiminnassa Yksikönjohtaja tai ao. esimies Ao. esimies Ao. esimies Ao. esimies Johtoryhmä

Liite 2 Tietoturvavastuut 15(17) Liikelaitosten johtajat Palveluyksikön johtaja tai päällikkö Alihankkijat ja konsultit Tietoturvallisuuden toteutuminen alaisessaan toiminnassa Ostopalvelut, joissa palvelun toteutus on sopimuspohjaisesti luovutettu, ICT palvelun operatiivisesta ja teknisestä tietoturvasta ja sen ohjeistamisesta vastaaminen Vastuualueiden tai toimintayksiköiden johtajat Sopimuksen vastuuhenkilö(t)

Liite 3 Keskeiset käsitteet 16(17) Tietoturva (information security) Järjestelyt, joilla pyritään varmistamaan tiedon käytettävyys, eheys ja luottamuksellisuus. Tietoturvallisuus on riskienhallintaa ja osa yritysturvallisuutta. Tietosuoja (privacy protection) Tietosuojalla tarkoitetaan toimenpiteitä, joiden tarkoituksena on suojata henkilön yksityisyys henkilötietojen käsittelyssä. Tietoturvapolitiikka (information security policy) Johdon hyväksymä näkemys tietoturvallisuuden päämääristä, periaatteista ja toteutuksesta. Tietoturvasuunnittelu (information security planning) Suunnitteluprosessi, johon kuuluu muun muassa uhka-analyysi, perusturvallisuuden määrittely sekä toipumisvalmiuden ja poikkeusolojen valmissuunnittelu, ja jonka tuloksena on tietoturvasuunnitelmia, -linjauksia ja - ohjeistoja. Tietoaineistoturvallisuus (data security) Tietoturvallisuuteen tähtäävät toimet asiakirjojen, tiedostojen ja muiden tietoaineistojen käytettävyyden, eheyden ja luottamuksellisuuden ylläpitämiseksi keinoina muun muassa tietoaineistojen luettelointi ja luokitus sekä tietovälineiden ohjeistettu hallinta, käsittely, säilytys ja hävittäminen. Eheys (integrity) Ominaisuus, että tietoa tai viestiä ei ole valtuudettomasti muutettu, ja että mahdolliset muutokset voidaan todentaa kirjausketjusta. Käytettävyys (availability) Ominaisuus, että tieto, tietojärjestelmä tai palvelu on siihen oikeutetuille saatavilla ja hyödynnettävissä haluttuna aikana ja vaaditulla tavalla. Luottamuksellisuus (confidential) Vain tietyn henkilön tai tiettyjen henkilöiden tietoon tarkoitettu. Fyysinen turvallisuus (physical security) Henkilöiden, laitteiden, aineistojen, postilähetysten, toimitilojen ja varastojen suojaaminen tuhoja ja vahinkoja vastaan. Fyysinen turvallisuus sisältää muun muassa kulun ja tilojen valvonnan, vartioinnin, palo-, vesi-, sähkö-, ilmastointi- ja murtovahinkojen torjunnan sekä kuriirien ja tietoaineistoja sisältävien lähetysten turvallisuuden. Hallinnollinen tietoturva (administrative and organizational information security) Tietoturvaan tähtäävät hallinnolliset keinot, kuten organisaatiojärjestelyt, tehtävien ja vastuiden määrittely sekä henkilöstön ohjeistus, koulutus ja valvonta. Henkilöstöturvallisuus (personnel security) Henkilöstön luotettavuuteen ja soveltuvuuteen, oikeuksien hallintaan, sijaisjärjestelyihin, henkilöstön suojaamiseen ja työsuhteen sekä työyhdistelmien järjestelyihin liittyvien turvallisuustekijöiden hoitamista. https://www.vahtiohje.fi/web/guest/8/2008-valtionhallinnon-tietoturvasanasto

Liite 4 Tietoturvallisuuden osa - alueet 17(17) Tietoturvallisuuden osa-alueet Hallinnollinen turvallisuus Hallinnollinen tietoturva koostuu johdon hyväksymistä periaatteista, vastuunjaosta, tarkoitukseen varatuista resursseista sekä riskien arvioinnista ja valvonnasta. Ohjelmistoturvallisuus Käyttöjärjestelmiin ja muihin ohjelmistoihin kohdistuvat toimet, kuten ohjelmistojen tunnistamis-, eristämis-, pääsynvalvonta- ja varmistusmenettelyt, tarkkailu- ja paljastustoimet, lokimenettelyt ja laadunvarmistus sekä ohjelmistojen ylläpitoon ja päivitykseen liittyvät toimet tietoturvallisuuden parantamiseksi. Tietoaineistoturvallisuus Tietoaineistoturvallisuudella säilytetään asiakirjojen, tietueiden ja tiedostojen luottamuksellisuus sekä estetään tietojen tuhoutuminen tai tahaton muuttuminen. Oleellista on myös tallenteiden suojaaminen ja oikeanlainen säilyttäminen. Tietoaineistoturvallisuuteen liittyvät tiedon jatkuva varmistaminen, asianmukainen säilytys sekä hävittäminen. Käyttöturvallisuus Käyttöturvallisuutta ovat salasanat, käytössä olevien ohjelmien osaaminen ja virustentorjunta. Annettujen käyttöoikeuksien tulee olla mukautettu työtehtäviin. Käyttöturvallisuus koostuu järjestelmien turvallisista käyttöperiaatteista, tietojenkäsittelytapahtumien valvonnasta sekä jatkuvuuden turvaamisesta. Laitteiden käyttövarmuus on myös käyttöturvallisuutta. Laaditaan ns. toipumissuunnittelu, jonka avulla varmistetaan toiminnan jatkuminen jonkun yllättävän tilanteen ilmaantuessa. Laitteistoturvallisuus Tietojenkäsittely- ja tietoliikennelaitteiden ja tilojen käytettävyyteen, toimivuuteen, kokoonpanojen määrittelyyn ja pääsynvalvontaan sekä varaosien ja tarvikkeiden saatavuuteen liittyvät toimet tietoturvallisuuden toteuttamiseksi. Fyysinen turvallisuus Henkilöiden, laitteiden, aineistojen, postilähetysten, toimitilojen ja varastojen suojaaminen tuhoja ja vahinkoja vastaan. Fyysinen turvallisuus sisältää muun muassa kulun ja tilojen valvonnan, vartioinnin, palo-, vesi-, sähkö-, ilmastointi- ja murtovahinkojen torjunnan sekä kuriirien ja tietoaineistoja sisältävien lähetysten turvallisuuden. Fyysinen turvallisuus koostuu monesta eri osatekijästä, turvallisuuden perusta kuitenkin luodaan jo rakennusvaiheessa. Tietoliikenneturvallisuus Tietoliikenneturvallisuudella pyritään varmistamaan tietoturvan perustavoitteet eli verkossa välitettävien tietojen luottamuksellisuus, eheys ja käytettävyys. Keskeisenä tavoitteena on varmistaa viestien alkuperäisyys, koskemattomuus ja luottamuksellisuus. Tietoliikenneturvallisuudessa on kyse kaikista niistä toimenpiteistä, joilla varmistetaan tietojen turvallisuus tiedon liikkuessa järjestelmän sisällä tai organisaatioiden välillä. Henkilöstöturvallisuus Henkilöstöturvallisuuden tavoite on, ettei työntekijä tietämättömyyden, huonon motivaation tai pahantahtoisuuden vuoksi pääse muuttamaan tai tuhoamaan tietoa, tai mahdollista jonkun ulkopuolisen käyttämään sitä. Henkilöstöturvallisuuden pääpaino on riskien välttäminen ennakkoon ja synnyn estäminen.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute