Ohje
Marko Buuri
Riskienhallinta
1 (4)
18.6.2015
Tietoturvapolitiikka (julkinen)
1
Visio tietoturvallisuudesta Viestintävirastossa
Tietoturvallisuus on Viestintäviraston kriittinen menestystekijä
ja toiminnan mahdollistaja. Viestintävirasto on tietoturvaasioissa edelläkävijä.
2
Tietoturvapolitiikka
Tietoturvapolitiikka on Viestintäviraston tietoturvallisuuden hallintajärjestelmän ylin asiakirja, joka linjaa viraston tahtotilan
tietoturva-asioissa. Tämä on julkinen tiivistelmä viraston sisäisestä tietoturvapolitiikasta, joka on osittain salassa pidettävä.
Viraston tietoturvallisuuden hallintamenettely kattavat kaikki viraston viranomais- ja tukitoiminnot ja se ulotetaan soveltuvin
osin myös toimittajiin ja muihin sidosryhmiin määritetyn tietoturvatason ylläpitämiseksi sekä viraston ja sen asiakkaiden tiedon suojaamiseksi.
Viraston tietoturvaohjeistus koostuu politiikan lisäksi tietoturvallisuudesta annetuista viraston tietoturvallisuuden hallintajärjestelmän mukaisista toimintasuunnitelmista, hallintamenettelyistä, ohjeista ja menetelmäkuvauksista. Tietoturvapolitiikkaan
luetaan kuuluvaksi myös viraston tietohallinnon tekniset toteutukset ja määritykset, joilla tavoitellaan viraston tietoturvallisuuden hallintajärjestelmän mukaista tahtotilaa. Viraston tietoturvapolitiikka katselmoidaan säännöllisesti sen ajantasaisuuden varmistamiseksi. Katselmointi tehdään vähintään kerran
vuodessa.
Tietoturvatoimenpiteitä kohdistetaan virastossa tarpeellisiksi
katsottuihin kohteisiin. Tällaisia kohteita ovat esimerkiksi tietojärjestelmät, laitteet, toimitilat, asiakirjat, tiedot, rekisterit, johtamis- ja ohjausjärjestelmät, toiminta, prosessit, projektit, tavoitteet, osaaminen ja henkilöt. Tietoturvallisuuteen vaikuttavien riskien riskiensietokyky määräytyy viraston riskienhallintapolitiikan mukaisesti.
Tietoturvariskejä arvioidaan säännöllisesti, tunnistetuille riskeille kohdistetaan riskienhallintakeinoja ja riskienhallintatoimenpiteiden onnistumista seurataan.
2.1
Tietoturvan hallinnan ulkoinen ja sisäinen toimintaympäristö
Viestintävirasto on liikenne- ja viestintäministeriön hallinnonalalla toimiva viranomainen. Viraston tehtävät määritellään
sen toimintaa koskevissa julkisissa säädöksissä. Viestintävirasto
toimii kansainvälisissä tietoturvallisuusvelvoitteissa tarkoitettui-
DOHA-#4487055-v2-Tietoturvapolitiikka_(julkinen).docx
2 (4)
na määrättyinä turvallisuusviranomaisina (Laki kansainvälisistä
tietoturvavelvoitteista 2004).
Viraston tietoturvallisuuden ulkoisia vaatimuksia ovat tietoturvallisuutta ohjaavat lait ja asetukset, kuten laki viranomaisen
toiminnan julkisuudesta, henkilötietolaki, laki kansainvälisistä
tietoturvallisuusvelvoitteista sekä valmiuslaki. Näiden lisäksi viraston tietoturvallisuutta ohjaavat asetus tietoturvallisuudesta
valtionhallinnossa, hyvä tiedonhallintatapa, valtionhallinnon tietoturvatasojen vaatimukset sekä sidosryhmien kanssa laaditut
sopimukset.
Hallinnonalalla virastoa ohjaa liikenne- ja viestintäministeriön
kanssa laadittava tulossopimus. Oman toimintansa ohjaamiseksi virasto ylläpitää visiota ja strategisia tavoitteita, joihin kytkettyihin kriittisiin menestystekijöihin on sisällytetty muun muassa toimivat ja turvalliset tietojärjestelmät sekä toimitilat.
Virastossa ylläpidetään toimintaympäristöä koskevaa analyysiä
perustehtäviin liittyvien toimenpiteiden tavoitteiden varmistamiseksi ja toimenpiteiden kohdentamiseksi. Virasto ottaa käyttöön ulkoisten sidosryhmien osalta sidosryhmälinjaukset ja hallinnan periaatteet. Osana sidosryhmien hallintaa tunnistetaan ne sidosryhmät, jotka asettavat turvallisuusvaatimuksia
virastolle, tai joille virasto raportoi turvallisuusasioistaan. Näitä
tietoja hyödynnetään sen varmistamiseksi, että viraston turvallisuusjärjestelyt tukevat myös sidosryhmien tavoitteita.
Tietoturvallisuus on osa viraston tulosohjausta. Viraston tietoturvallisuuden toteutumista ja jatkuvaa parantamista vaativat
virastotasoiset toimet viedään osaksi viraston tulospalkkiojärjestelmää sekä toimialojen ja yksiköiden vuosisuunnitelmia.
Keskeisimmät viraston tietoturvallisuuteen vaikuttavat toimet
viestitään sidosryhmille viraston toiminta- ja taloussuunnitelmassa.
Tietoturvallisuus on osa viraston sisäistä riskienhallintaa. Viraston työjärjestyksen mukaisesti pääjohtaja vastaa riskienhallinnan ja tietovallisuuden linjauksista, ja toimialojen johtajat omien vastuualueittensa riskienhallinnan toteutumisesta.
Viestintävirasto hyödyntää mahdollisuuksien mukaan konserniohjauksen tarjoamia tietoturvapalveluita ja pyrkii osallistumaan aktiivisesti valtionhallinnon tietoturvallisuuden kehittämiseen.
Viraston tietoturvallisuuden hallintaa seurataan ja parannetaan
jatkuvasti, totta se olisi kulloinkin viraston tavoitteiden ja vaatimusten edellyttämällä tasolla.
2.2 Tietoturvan hallinnan tavoitteet ja mahdollisuudet
Viestintäviraston tietoturvallisuuden hallinnan täytyy olla tasolla, joka varmistaa tietojen luottamuksellisuuteen, eheyteen ja
saatavuuteen liittyvien tavoitteiden täyttymisen, täyttää virastoon viranomaisena kohdistuvat vaatimukset, lisää luottamusta
3 (4)
virastoon yhteistyökumppanina, sekä muutoin edesauttaa viraston tavoitteiden saavuttamista.
Hyvin hallittu tietoturvallisuus mahdollistaa
– Liikenne- ja viestintäministeriön kanssa tehtävän tulossopimuksen tavoitteiden saavuttamisen,
– viraston strategian mukaisten tavoitteiden saavuttamisen,
– luotettavien sähköisen asioinnin palveluiden ja viestinnän
toteuttamisen viraston asiakkaille ja sidosryhmille,
– nykyaikaisia joustavia etä-, matka- ja toimistotyöskentelyn tapoja tukevat työvälineet virastolaisten käyttöön,
sekä
– nopean toipumisen ja työskentelyn jatkumisen häiriöistä
huolimatta.
Viraston tietoturvatoimenpiteillä taataan häiriötön tietojenkäsittely, suojataan viraston sekä viraston asiakkaiden salassa pidettäviä tietoja, sekä varmistetaan, että viraston toiminnan
kannalta keskeiset tiedot, tietojärjestelmät ja palvelut ovat aina
saatavissa tietojen käsittelyn sijainnista riippumatta.
2.3 Tietoturvallisuuden hallintajärjestelmä
Viestintäviraston tietoturvallisuuden hallintajärjestelmä on johtamisjärjestelmä, jonka tarkoituksena on tukea viraston tietoturvallisuusvision ja -politiikan mukaisten tavoitteiden saavuttamista. Hallintajärjestelmä on kokoelma prosesseja, toimintatapoja, välineitä ja ohjeita, joilla varmistetaan, että tietoturvatoimenpiteet ovat kulloinkin oikein mitoitettu ja kohdistettu.
Hallintajärjestelmän toimintaa parannetaan jatkuvasti poikkeamien, auditointien, saatujen palautteiden, innovaatioiden ja
muiden havaintojen kautta.
Viestintäviraston tietoturvallisuuden hallinnassa tavoitellaan
ISO/IEC 27001:2013 -standardin vaatimusten, valtionhallinnon
tietoturvavaatimusten ja -suositusten sekä kansallisen turvallisuusauditiointikriteeristön (Katakri) mukaisuutta kulloinkin soveltuvalla tavalla. Tavoitteiden saavuttaminen varmistetaan
tarvittavilla auditoinneilla.
Hallintajärjestelmän ISO 27001 -sertifioinnissa tavoitellaan laajuutta, joka kattaa viraston viranomais- ja tukitoiminnot Helsingissä lukuun ottamatta kansallisen tietoturvallisuusviranomaisen tehtäviä (NCSA-FI), viranomaisten tietojärjestelmien arviointitehtävää sekä tietoturvallisuuden arviointilaitosten hyväksyntätehtävää. Virastossa sovelletaan kaikkia standardin liitteessä A kuvattuja hallintatavoitteita ja -keinoja, sillä ne ovat
tarpeellisia viraston tietoturvatavoitteiden saavuttamiselle.
Tietoturvallisuuden hallintatavoitteista ylläpidetään dokumentoitua tietoa. Dokumentaatio voi olla asiakirjamuotoista, tietokannassa, tai muussa muodossa, jossa tehdyt muutokset ovat hallittuja. Olennaiset hallintatavoitteita tai niiden saavuttamista
koskevat muutokset käsitellään viraston johtoryhmässä.
4 (4)
2.4
Seuranta
Tietoturvallisuuden hallintajärjestelmää seuraa riskienhallinnan
ohjausryhmä. Seuranta tapahtuu säännöllisen raportoinnin,
mittareiden, auditointien ja katselmusten avulla.
2.5
Tietoturvapolitiikan vastainen toiminta
Viestintäviraston tietoturvallisuustoiminnassa noudatetaan aina
sisäisten ohjeiden lisäksi lakeja, asetuksia ja viranomaismääräyksiä sekä viraston strategian mukaisia, toimintaa ohjaavia periaatteita.
Viestintävirasto valvoo tietoturvallisuuden toteutumista osana
päivittäistä toimintaansa. Tietoturvapolitiikan vastainen toiminta voi johtaa lievimmillään esimiehen tai riskienhallintapäällikön
puhutteluun, ja pahimmillaan esimerkiksi valtion virkamieslain
tai rikoslain mukaisiin rangaistusseuraamuksiin sekä vahingonkorvauksiin asianomistajille.
3
Tietoturvalinjauksia
Viraston toimintaan kohdistuvat tietoturvavaatimukset siirretään soveltuvin osin ostopalvelusopimuksissa toimittajille. Toimittajien henkilöstön tulee noudattaa viraston tietoturvaohjeita.
Virastoon kohdistuvat tietoturvaloukkaukset annetaan lähtökohtaisesti poliisin tutkittaviksi.