Download   Report
  1. No category

Vihdin kunnan tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka
Kunnanhallitus 2.3.2015 § 50, liite 2
Kunnan johtoryhmä 18.11.2014
Tietohallinnon ohjausryhmä (Thor) 24.9.2014
Sisällys
1
Johdanto............................................................................................................................... 2
2
Mitä tietoturvallisuus on? ................................................................................................... 2
2.1
Tietoturvallisuus on osa kokonaisturvallisuutta ............................................................................ 2
2.2
Tietoturvallisuuden hallinta .......................................................................................................... 3
2.3
Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen .......................................................... 3
3
Tietoturvallisuustavoitteet .................................................................................................. 3
4
Organisointi ja vastuut ........................................................................................................ 3
5
Tiedon ja tietojärjestelmien käyttö ..................................................................................... 4
6
Tietoturvaosaamisen ja -tietoisuuden ylläpito .................................................................. 5
7
Tietoturvallisuuden seuranta, ylläpito ja kehittäminen .................................................... 5
8
Liitteet ................................................................................................................................... 6
Vihdin kunta
Tietoturvapolitiikka 2015
1 Johdanto
Vihdin kunnan toiminta ja palvelut perustuvat enenevässä määrin tietoon. Jotta tieto olisi
tehokkaasti hyödynnettävissä, sen hallintaa ja käyttöä tukevien järjestelyjen tulee toimia
asianmukaisesti kaikissa tilanteissa. Tämä edellyttää tehokasta johtamista, luotettavia tietojen käsittelyn toteutuksia ja osaavaa henkilöstöä.
Tietoturvapolitiikassa kunnan johto määrittelee tietoturvallisuutta koskevat periaatteet, vastuut ja tavoitteet. Politiikka toimii perustana kunnan tietoturvallisuutta koskeville ohjeille, joiden tehtävänä on tarkentaa politiikassa annettuja määräyksiä ja auttaa niiden käytäntöön
soveltamisessa. Tietoturvapolitiikka ja sen soveltamisohjeet pidetään käyttäjien saatavilla
kunnan intranetissä.
Tietoturvapolitiikka koskee kunnan koko organisaatiota sekä niitä kunnan sidosryhmien
edustajia, jotka toimeksiantojensa puitteissa käsittelevät kunnan omistamaa tai hallinnoimaa tietoa. Politiikka kattaa kunnan käyttämän, omistaman ja hallinnoiman tiedon riippumatta tiedon esitystavasta, muodosta, suojaustasosta tai elinkaaren vaiheesta.
2 Mitä tietoturvallisuus on?
2.1 Tietoturvallisuus on osa kokonaisturvallisuutta
Kunnan kokonaisturvallisuus muodostuu useista osa-alueista, joihin kaikkiin liittyy myös tietoturvallisuuden ulottuvuus tai näkökulma (Kuva 1). Tietoturvallisuus on siksi kiinteä osa
kunnan johtamista, palveluita ja toimintoja. Se ulottuu jokaisen työntekijän arkipäivän työtehtäviin ja työtapoihin.
Kuva 1. Kunnan kokonaisturvallisuus
Tietoturvallisuuteen liittyvillä vastuutuksilla ja käytännöillä pyritään varmistamaan, että kunnan omistama ja hallinnoima tieto



on oikeaa ja eheää, eikä muuttunut teknisen tai inhimillisen toiminnan seurauksena
on vain siihen oikeutettujen saatavilla
on saatavilla, kun sitä tarvitaan
2/6
Vihdin kunta
Tietoturvapolitiikka 2015
Tähän liittyen tulee tiedon omistajuus ja käyttöoikeudet määritellä sekä huolehtia tiedon
elinkaaren hallinnasta niin, että tietoon sen käsittelyn eri vaiheissa tehdyt muutokset voidaan tarvittaessa jäljittää ja todentaa.
2.2 Tietoturvallisuuden hallinta
Hyvän tietoturvallisuuden aikaansaaminen ja ylläpito edellyttää tietoista johtamista ja hyvän
hallintotavan noudattamista kunnan kaikissa toiminnoissa. Tietoturvallisuuden osalta tämä
kokonaisuus sisältää suunnitteluun, toteutukseen, seurantaan ja ohjaukseen liittyvät prosessit, asiakirjat, kontrollit ja vastuut.
Kunnan tietoturvatyötä ohjaavat, soveltuvilta osin, seuraavat viitekehykset:





Kuntaa velvoittavat lait ja asetukset
Julkisen hallinnon tietohallinnon neuvottelukunnan (JUHTA) suositukset
Kunnan omat strategiat ja niistä johdetut vaatimukset
Valtionhallinnon Tietoturvallisuuden johtoryhmän (VAHTI) ohjeet
Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010).
2.3 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen
Kunnan turvallisuusjärjestelyiden ja varautumisen perustan muodostavat kunnan riskienhallintapolitiikassa ja -suunnitelmissa kuvatut riskienhallinnan prosessit. Riskienhallinnan
yleisenä tavoitteena on riskien tunnistaminen ja rajoittaminen hyväksyttävälle tasolle niin,
että riskienhallintakeinot ovat suhteessa suojattavan kohteen kriittisyyteen ja riskin suuruuteen. Riskienhallinta kattaa myös tietoon kohdistuvat ja tiedosta tai tietojen käsittelystä aiheutuvat riskit.
Kunnan tulee varautua turvaamaan toimintansa ja palveluidensa jatkuvuus normaalioloissa, normaaliolojen häiriötilanteissa sekä poikkeusoloissa. Varautumisen suunnittelussa kunnan tulee ottaa huomioon myös tietojenkäsittelyprosessien ja tietojärjestelmien turvaaminen.
3 Tietoturvallisuustavoitteet
Kunnan tavoitteena on saavuttaa Tietoturvallisuusasetuksen (681/2010) kuvaaman tietoturvallisuuden perustason vaatimukset koko kunnan laajuisesti ja korotetun tason vaatimukset lainsäädännön edellyttämissä toiminnoissa tai toiminnan muutoin niin vaatiessa.
4 Organisointi ja vastuut
Kunnan keskeisimmät tietoturvallisuuteen liittyvät toimijat ja tehtäväroolit vastuineen on
määritelty seuraavassa. Suurempi valikoima vastuita ja rooleja kuvataan liitteessä 1. Jollei
kunnan hallinto- tai muissa säännöissä ole toisin määritelty, kunnanjohtaja vastaa sopivimman henkilön nimeämisestä kuhunkin rooliin.
Kunnanjohtaja toimii tietoturvallisuuden ja tietosuojan omistajana kunnassa luoden edellytykset niiden asianmukaiselle toteuttamiselle. Tarvittaessa kunnanjohtaja asettaa ryhmän
seuraamaan tietoturvan ja tietosuojan toteutumista, tekemään kehitysehdotuksia sekä toi-
3/6
Vihdin kunta
Tietoturvapolitiikka 2015
mimaan toimialojen tietoturva- ja tietosuojavastaavien sekä järjestelmien pääkäyttäjien tukena.
Toimialan johto vastaa tietoturvallisuuden ja tietosuojan toteutuksesta johtamansa toiminnan osalta.
Esimies vastaa tietoturvallisuuden ja tietosuojan toteutumisesta alaisessaan toiminnassa.
Tiedon ja tietojärjestelmien käyttäjä vastaa omalta osaltaan määräysten ja ohjeiden noudattamisesta. Jokaisen käyttäjän vastuulla on lisäksi tietoturvaan ja tietosuojaan liittyvien
poikkeamien, uhkien ja riskien ilmoittaminen viipymättä joko esimiehelle tai tietotekniikan
palvelupisteeseen (helpdesk).
Tiedon, tietojärjestelmän tai palvelun omistaja vastaa omistukseensa liittyvästä




käyttäjien ja heidän käyttöoikeuksiensa määrittelystä ja hyväksynnästä
riskienhallinnan toteuttamisesta
tiedon eheyden varmistamisesta
tietojen luokittelusta (julkisuuden ja salassapidon määrittely sekä arkistonmuodostus).
Tietoturvapäällikkö vastaa tietoturvallisuuden toteutumisesta ja integroitumisesta muihin
kokonaisturvallisuuden osa-alueisiin. Vastuuseen sisältyy tarvittava suunnittelu, ohjaus,
seuranta ja kehittäminen, sekä tietoturvariskien ja -poikkeamien hallinnan koordinointi. Tietoturvapäällikkö raportoi kunnanjohtajalle.
Tietohallinto vastaa tietoturvallisuuden ja teknisen valvonnan toteutumisesta tietojärjestelmäympäristössä, lain sallimin ja yhteistoimintamenettelyn valtuuttamin menetelmin.
Toimialakohtaiset tietosuoja- tai tietoturvavastaavat huolehtivat toimialajohdon alaisuudessa tietosuojan ja tietoturvan toteutumisesta. He raportoivat toimialajohdon lisäksi tietoturvapäällikölle.
5 Tiedon ja tietojärjestelmien käyttö
Kunnan tietoja ja tietojärjestelmiä käytettäessä tulee noudattaa seuraavia tietoturvallisuutta
edistäviä periaatteita ja sääntöjä:
1. Kunnan käytössä oleva tieto sekä tietojärjestelmät, tietotekniset laitteet ja ohjelmistot on tarkoitettu työtehtävien hoitamista varten.
2. Kunnan tietojärjestelmäympäristössä saa käyttää ainoastaan tietohallinnon hyväksymiä tietojärjestelmiä, laitteita ja ohjelmistoja.
3. Tietotekniset asennustyöt saa suorittaa vain tietohallinto tai sen valtuuttama taho.
4. Kunnan toimintaa ja palveluita tukevat tietojärjestelmät luokitellaan kriittisyyden perusteella ja niille nimetään omistaja.
5. Käyttöoikeudet kunnan tietoon ja tietojärjestelmiin myönnetään työtehtävien hoitoon
tarvittavassa laajuudessa. Käyttöoikeudet hyväksyy käyttäjän esimiehen hakemuksen perusteella tietojärjestelmän omistaja tai hänen valtuuttamansa taho.
4/6
Vihdin kunta
Tietoturvapolitiikka 2015
6. Tietoturvallisuutta koskeviin laiminlyönteihin ja väärinkäytöksiin puututaan välittömästi kunnan normaalein kurinpidollisin keinoin tai lainsäädännön edellyttämällä tavalla.
7. Tiedon turvalliset käsittelytavat ja tietoturvapoikkeamien hallintakäytännöt kuvataan
erillisissä ohjeissa.
6 Tietoturvaosaamisen ja -tietoisuuden ylläpito
Jokainen uudessa tehtävässä aloittava työtekijä perehdytetään tietoturvan perusteisiin ja
siihen, miten tietoturvallisuus tulee huomioida hänen omissa työtehtävissään. Lisäksi tietoturvallisuuden peruskoulutusta on tarjolla säännöllisesti ja tietoturvaohjeet ovat kaikkien
työntekijöiden saatavilla.
Tietoturvallisuuden ja tietosuojan ylläpidosta, kehittämisestä ja johtamisesta vastaaville tarjotaan riittävä hallinnollinen ja tekninen koulutus.
7 Tietoturvallisuuden seuranta, ylläpito ja kehittäminen
Kunnan kokonaisturvallisuutta tukeva tietoturvallisuustyö sisältää toiminnan, teknologian ja
osaamisen jatkuvaa kehittämistä kuvassa 2 esitetyn prosessin mukaisesti.
Kuva 2. Kunnan kokonaisturvallisuusprosessi
Tietoturvallisuustyön tulee olla suunnitelmallista ja käytännön toteutusten tulee vastata toiminnan tarpeisiin, lainsäädännön vaatimuksiin sekä kunnan riskienhallintatyössä asetettuihin muihin tavoitteisiin, ulkoiset toimintaolosuhteet huomioiden. Seurannan ja muutoshallinnan keinoin varmistetaan, että tietoturvallisuuteen liittyvät kokemukset, palaute ja muutokset vaatimuksissa tai olosuhteissa tulevat oikea-aikaisesti huomioon otetuiksi.
5/6
Vihdin kunta
Tietoturvapolitiikka 2015
Kunnan tietoturvapolitiikka katselmoidaan vuosittain ja päivitetään tarvittaessa.
8 Liitteet



LIITE 1: Käsitteet ja roolit
LIITE 2: Lait, asetukset ja direktiivit
LIITE 3: Tietoturvallisuuden perustason toteuttaminen (Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa)
6/6
Tietoturvapolitiikka ja tietoturvaohjeet 2015

Tietoturvapolitiikka ja tietoturvaohjeet 2015

Tietoturvallisuudesta varmuutta ja jatkuvuutta liiketoimintaan

Tietoturvallisuudesta varmuutta ja jatkuvuutta liiketoimintaan

Luovutusrekisteri (pdf) - hematologinenbiopankki.fi

Luovutusrekisteri (pdf) - hematologinenbiopankki.fi

TiVaKo® 2016 -kurssin ohjelma

TiVaKo® 2016 -kurssin ohjelma

Turse Kysymyksia ja vastauksia

Turse Kysymyksia ja vastauksia

Veli-matti laitinen - Vihdin Perussuomalaiset

Veli-matti laitinen - Vihdin Perussuomalaiset

9.3.2015 Yrittäjät ja yhdistykset, jotka työllistävät nuoria

9.3.2015 Yrittäjät ja yhdistykset, jotka työllistävät nuoria

Kesäseteli-info nuorille

Kesäseteli-info nuorille

Täyden palvelun turvatalo

Täyden palvelun turvatalo

Tietoturvallisuuden hallintajärjestelmä: ISO/IEC 27000

Tietoturvallisuuden hallintajärjestelmä: ISO/IEC 27000

Koulunuorisotyö

Koulunuorisotyö

Kivijalkakaupan pärjääminen vaatii yrittäjältä ketteryyttä

Kivijalkakaupan pärjääminen vaatii yrittäjältä ketteryyttä

Tietoturvapolitiikka (julkinen)

Tietoturvapolitiikka (julkinen)

Tietoturvallisuuden hallintajärjestelmän suunnit- telu

Tietoturvallisuuden hallintajärjestelmän suunnit- telu

abcdocz.com

© Copyright 2024