Karkkilan kaupungin tietoturvapolitiikka Kaupunginhallitus 25.9.2017 Kaupungin johtoryhmä 18.4.2017 Yhteistyöryhmä 7.6.2017 Tietohallinnon ohjausryhmä (Kartio) 13.12.2016 Sisällys 1 Johdanto... 2 2 Mitä tietoturvallisuus on?... 2 2.1 Tietoturvallisuus on osa kokonaisturvallisuutta... 2 2.2 Tietoturvallisuuden hallinta... 3 2.3 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen... 3 3 Tietoturvallisuustavoitteet... 3 4 Organisointi ja tietoturvavastuut... 4 5 Tiedon ja tietojärjestelmien käyttö... 5 6 Tietoturvaosaamisen varmistaminen... 5 7 Tietoturvapoikkeamien käsittely ja niistä tiedottaminen... 6 8 Tietoturvallisuuden seuranta, ylläpito ja kehittäminen... 6 9 Liitteet... 7
1 Johdanto 1.1 Tiedon ja tietoturvallisuuden merkitys Karkkilan kaupungin toiminta ja palvelut perustuvat enenevässä määrin tietoon. Jotta tieto olisi tehokkaasti hyödynnettävissä, sen hallintaa ja käyttöä tukevien järjestelyjen tulee toimia asianmukaisesti kaikissa tilanteissa. Tämä edellyttää tehokasta johtamista, luotettavia tietojen käsittelyn toteutuksia ja osaavaa henkilöstöä. Tietoturvapolitiikassa kaupungin johto määrittelee tietoturvallisuutta koskevat periaatteet, vastuut ja tavoitteet. Politiikka toimii perustana kaupungin tietoturvallisuutta koskeville ohjeille, joiden tehtävänä on tarkentaa politiikassa annettuja määräyksiä ja auttaa niiden käytäntöön soveltamisessa. Tietoturvapolitiikka ja sen soveltamisohjeet pidetään käyttäjien saatavilla kaupungin intranetissä. 1.2 Kohderyhmä ja soveltamisala Tietoturvapolitiikka koskee kaupungin koko organisaatiota niin työntekijöitä kuin luottamushenkilöitäkin sekä niitä kaupungin sidosryhmien edustajia, jotka toimeksiantojensa puitteissa käsittelevät kaupungin omistamaa tai hallinnoimaa tietoa. Politiikka kattaa kaupungin käyttämän, omistaman ja hallinnoiman tiedon riippumatta tiedon esitystavasta, muodosta, suojaustasosta tai elinkaaren vaiheesta. 2 Mitä tietoturvallisuus on? 2.1 Tietoturvallisuus on osa kokonaisturvallisuutta Kaupungin kokonaisturvallisuus muodostuu useista osa-alueista, joihin kaikkiin liittyy myös tietoturvallisuuden ulottuvuus tai näkökulma (Kuva 1). Tietoturvallisuus on siksi kiinteä osa kaupungin johtamista, palveluita ja toimintoja. Se ulottuu jokaisen työntekijän arkipäivän työtehtäviin ja työtapoihin sekä luottamushenkilöiden toimintaan kaupungin asioiden käsittelijöinä. Kuva 1. Kaupungin kokonaisturvallisuus Tietoturvallisuuteen liittyvillä vastuutuksilla ja käytännöillä pyritään varmistamaan, että kaupungin omistama ja hallinnoima tieto on oikeaa ja eheää, eikä muuttunut teknisen tai inhimillisen toiminnan seurauksena on vain siihen oikeutettujen saatavilla 2/7
on saatavilla, kun sitä tarvitaan Tähän liittyen tulee tiedon omistajuus ja käyttöoikeudet määritellä sekä huolehtia tiedon elinkaaren hallinnasta niin, että tietoon sen käsittelyn eri vaiheissa tehdyt muutokset voidaan tarvittaessa jäljittää ja todentaa. 2.2 Tietoturvallisuuden hallinta Hyvän tietoturvallisuuden aikaansaaminen ja ylläpito edellyttävät tietoista johtamista ja hyvän hallintotavan noudattamista kaupungin kaikissa toiminnoissa. Tietoturvallisuuden osalta tämä kokonaisuus sisältää suunnitteluun, toteutukseen, seurantaan ja ohjaukseen liittyvät prosessit, asiakirjat, kontrollit ja vastuut. Kaupungin tietoturvatyötä ohjaavat, soveltuvilta osin, seuraavat viitekehykset: Kuntia velvoittavat lait ja asetukset EU:n tietosuoja-asetus (General Data Protection Regulation, GDPR) Kaupungin omat voimassa olevat strategiat, hallinto- ja ohjesäännöt, riskienhallinta-, valmius- ja viestintäsuunnitelmat (tietoturvallisuutta koskevilta tai sivuavilta osiltaan) sekä näistä johdetut vaatimukset Julkisen hallinnon tietohallinnon neuvottelukaupungin (JUHTA) suositukset Valtionhallinnon Tietoturvallisuuden johtoryhmän (VAHTI) ohjeet Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010). 2.3 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen Kaupungin turvallisuusjärjestelyiden ja varautumisen perustan muodostavat kaupungin riskienhallintapolitiikassa ja -suunnitelmissa kuvatut riskienhallinnan prosessit. Riskienhallinnan yleisenä tavoitteena on riskien tunnistaminen ja rajoittaminen hyväksyttävälle tasolle niin, että riskienhallintakeinot ovat suhteessa suojattavan kohteen kriittisyyteen ja riskin suuruuteen. Riskienhallinta kattaa myös tietoon kohdistuvat ja tiedosta tai tietojen käsittelystä aiheutuvat riskit. Nämä tietoriskit kartoitetaan säännöllisesti osana kaupungin yleistä riskienkartoitustyötä, tarvittaessa useamminkin. Kaupungin on varauduttava turvaamaan toimintansa ja palveluidensa jatkuvuus normaalioloissa, normaaliolojen häiriötilanteissa sekä poikkeusoloissa. Varautumisen suunnittelussa kaupungin tulee ottaa huomioon myös tietojenkäsittelyprosessien ja tietojärjestelmien turvaaminen. Varautumiseen liittyvät asiat eritellään tarkemmin kaupungin valmiussuunnitelmassa. 3 Tietoturvallisuustavoitteet Kaupungin tavoitteena on saavuttaa Tietoturvallisuusasetuksen (681/2010) kuvaaman tietoturvallisuuden perustason vaatimukset koko kaupungin laajuisesti ja korotetun tason vaatimukset lainsäädännön edellyttämissä toiminnoissa tai toiminnan muutoin niin vaatiessa. 3/7
4 Organisointi ja tietoturvavastuut Kaupungin keskeisimmät tietoturvallisuuteen liittyvät toimijat ja tehtäväroolit vastuineen on määritelty seuraavassa. Suurempi valikoima vastuita ja rooleja kuvataan liitteessä 1. Jollei kaupungin hallinto- tai muissa säännöissä ole toisin määritelty, kaupunginjohtaja vastaa sopivimman henkilön nimeämisestä kuhunkin rooliin. Kaupunginhallitus vastaa tietoturva-asioiden johtamisesta ja resursoinnista sekä valvonnasta. Kaupunginjohtaja toimii tietoturvallisuuden ja tietosuojan omistajana kunnassa luoden edellytykset niiden asianmukaiselle toimeenpanolle. Tarvittaessa kaupunginjohtaja asettaa ryhmän seuraamaan tietoturvan ja tietosuojan toteutumista, tekemään kehitysehdotuksia sekä toimimaan toimialojen tietoturva- ja tietosuojavastaavien sekä järjestelmien pääkäyttäjien tukena. Tietoturvapäällikkö vastaa tietoturvaprosessien ohjauksesta ja integroitumisesta muihin kokonaisturvallisuuden osa-alueisiin sekä tietoturvaa koskevasta viestinnästä johdolta saamiensa resurssien ja toimivaltuuksien puitteissa. Tehtävään sisältyy tietoturvatyön suunnittelu, ohjeistus, seuranta ja kehittäminen, sekä tietoturvariskien ja -poikkeamien hallinnan koordinointi. Tietoturvapäällikkö raportoi kaupunginjohtajalle. Tietoturvapäällikkönä toimii talousjohtaja. Tietosuojavastaava vastaa henkilörekisterien suojauksesta ja valvonnasta sekä muusta käyttöturvallisuudesta. Lisäksi hänelle kuuluvat EU:n tietosuoja-asetuksessa tietosuojavastaavalle osoitetut tehtävät. Tietosuojavastaavana toimii hallintopäällikkö. Kaupungin keskeisten toimintojen tietoturvanäkemystä edustamaan ja yhteensovittamaan voidaan perustaa tietoturvatyöryhmä. Kaupunginjohtaja nimeää ryhmän päätöksellään. Toimialan johto vastaa tietoturvallisuuden ja tietosuojan toteutuksesta johtamansa toiminnan osalta. Kukin esimies vastaa tietoturvallisuuden ja tietosuojan toteutumisesta alaisessaan toiminnassa. Esimiehet raportoivat näistä asioista toimialajohdon lisäksi tietoturvapäällikölle. Tiedon, tietojärjestelmän tai palvelun omistaja vastaa omistukseensa liittyvästä käyttäjien ja heidän käyttöoikeuksiensa määrittelystä ja hyväksynnästä riskienhallinnan toteuttamisesta tiedon eheyden varmistamisesta tietojen luokittelusta (julkisuuden ja salassapidon määrittely sekä arkistonmuodostus). Tiedon ja tietojärjestelmien käyttäjä vastaa omalta osaltaan määräysten ja ohjeiden noudattamisesta. Jokaisen käyttäjän vastuulla on lisäksi tietoturvaan ja tietosuojaan liittyvien 4/7
poikkeamien, uhkien ja riskien ilmoittaminen viipymättä joko esimiehelle tai tietotekniikan palvelupisteeseen (helpdesk). Tietohallintojohtaja ja tietotekniikan palveluntuottajat hänen ohjeistamanaan vastaavat tietoturvallisuuden ja teknisen valvonnan toteutumisesta tietojärjestelmäympäristössä, lain sallimin ja yhteistoimintamenettelyn valtuuttamin menetelmin. 5 Tiedon ja tietojärjestelmien käyttö Kaupungin tietoja ja tietojärjestelmiä käytettäessä tulee noudattaa seuraavia tietoturvallisuutta edistäviä periaatteita ja sääntöjä: 1. Kaupungin käytössä oleva tieto sekä tietojärjestelmät, tietotekniset laitteet ja ohjelmistot on tarkoitettu työtehtävien hoitamista varten. 2. Kaupungin tietojärjestelmäympäristössä saa käyttää ainoastaan tietohallinnon 1 hyväksymiä tietojärjestelmiä, laitteita ja ohjelmistoja. 3. Tietotekniset asennustyöt saa suorittaa vain tietohallinto tai sen valtuuttama taho. 4. Kaupungin toimintaa ja palveluita tukevat tietojärjestelmät luokitellaan kriittisyyden perusteella ja niille nimetään omistaja. 5. Käyttöoikeudet kaupungin tietoon ja tietojärjestelmiin myönnetään työtehtävien hoitoon tarvittavassa laajuudessa. Käyttöoikeudet hyväksyy käyttäjän esimiehen hakemuksen perusteella tietojärjestelmän omistaja tai hänen valtuuttamansa taho. 6. Tietoturvallisuutta koskeviin laiminlyönteihin ja väärinkäytöksiin puututaan välittömästi kaupungin normaalein kurinpidollisin keinoin tai lainsäädännön edellyttämällä tavalla. 7. Tiedon turvalliset käsittelytavat ja tietoturvapoikkeamien hallintakäytännöt kuvataan erillisissä ohjeissa. 6 Tietoturvaosaamisen varmistaminen Johdon tehtävänä on varmistaa koulutuksen ja ohjeiden avulla, että henkilöstön tietoturvaosaaminen on riittävää. Myös osaamisen ylläpidosta on huolehdittava niin, että se vastaa kulloinkin vallitsevia tilanteita ja toimintaympäristön vaatimuksia. Jokainen uudessa tehtävässä aloittava työtekijä perehdytetään tietoturvan perusteisiin ja siihen, miten tietoturvallisuus tulee huomioida hänen omissa työtehtävissään. Lisäksi tietoturvallisuuden peruskoulutusta tarjotaan säännöllisesti, ja tietoturvaohjeet pidetään kaikkien työntekijöiden saatavilla esimerkiksi kaupungin intranetin kautta. Jokaisen Karkkilan kaupungin työntekijän on suoritettava omatoiminen tietoturvakoulutus ja siihen liittyvä testi. Testi tehdään henkilökohtaisesti, ja esimiehet tarkistavat alaistensa osalta sen suorittamisen. Testi on uusittava 2-3 vuoden välein. 1 Kaupungin tietohallinto on tätä politiikkaa vahvistettaessa organisoitu seuraavasti: Talousjohtajalla on virkavastuu ja -valta tietohallintoon liittyvistä asioista. Tietohallinnollisia suunnittelu-, kehittämis-, ohjaus- ja koordinointitehtäviä hoitaa hänen apunaan osa-aikainen tietohallintojohtaja ostopalveluna. Tietohallinnon ohjausryhmä valmistelee ja katselmoi tarpeen mukaan tietohallinnollisia linjauksia ja suunnitelmia. Operatiivisia tietohallinnollisia toimeenpanotehtäviä voidaan delegoida tietotekniikan palveluntuottajille tai tietojärjestelmien pääkäyttäjille. 5/7
Myös luottamushenkilöiden tulee osallistua kaupungin järjestämään tietoturvakoulutukseen (osana luottamustoimen hoitamiseen perehtymistä) ja sitoutua noudattamaan luottamustoimessaan kaupungin tietoturva- ja tietosuojaohjeita. Tietoturvallisuuden ja tietosuojan ylläpidosta, kehittämisestä ja johtamisesta vastaaville tarjotaan heidän tehtäviinsä nähden riittävä hallinnollinen ja tekninen koulutus. 7 Tietoturvapoikkeamien käsittely ja niistä tiedottaminen Tietoturva- ja tietosuojaohjeiden noudattamista valvotaan sekä säännöllisin rutiinein tai automaattisesti että pistokokein. Väärinkäytöksiin puututaan. Väärinkäytöksiä tai rikoksia epäiltäessä tietoturvavastaava ja epäillyn esimies ratkaisevat, mikä on oikea ja sopiva tapa käsitellä asiaa. Sekä odottamattomista että ennalta tiedetyistä palvelukatkoksista ja muista tietojärjestelmien käytön häiriöistä tiedotetaan tietohallinnon tiedotussuunnitelman mukaisesti kaupungin tavanomaisia tiedotuskanavia hyödyntäen. Tietoturvapoikkeamat käsitellään ja niistä raportoidaan johdolle kaupunginjohtajan ja tietoturvavastaavan erikseen tarkemmin ohjeistamalla tavalla. Muulle organisaatiolle havaituista poikkeamista tiedotetaan niiden luonteen ja laajuuden edellyttämällä tavalla. 8 Tietoturvallisuuden seuranta, ylläpito ja kehittäminen Kaupungin kokonaisturvallisuutta tukeva tietoturvallisuustyö sisältää toiminnan, teknologian ja osaamisen jatkuvaa kehittämistä kuvassa 2 esitetyn prosessin mukaisesti. 6/7
Kuva 2. Kaupungin kokonaisturvallisuusprosessi 9 Liitteet Tietoturvallisuustyön tulee olla suunnitelmallista ja käytännön toteutusten tulee vastata toiminnan tarpeisiin, lainsäädännön vaatimuksiin sekä kaupungin riskienhallintatyössä asetettuihin muihin tavoitteisiin, ulkoiset toimintaolosuhteet huomioiden. Seurannan ja muutoshallinnan keinoin varmistetaan, että tietoturvallisuuteen liittyvät kokemukset, palaute ja muutokset vaatimuksissa tai olosuhteissa tulevat oikea-aikaisesti huomioon otetuiksi. Kaupungin tietoturvapolitiikka katselmoidaan vuosittain ja päivitetään tarvittaessa. LIITE 1: Käsitteet ja roolit LIITE 2: Lait, asetukset ja direktiivit LIITE 3: Tietoturvallisuuden perustason toteuttaminen (Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa) 7/7