Tietoturvallisuuden hallintapolitiikka

Konserni 1.1

 

 

 

Soveltamisala                    Tämä dokumentti on osa Turun kaupungin tietoturvallisuuden hallintajärjestelmää. Tätä Tietoturvallisuuden hallintapolitiikkaa noudattaa koko kaupungin hallinnollinen organisaatio mukaan lukien kunnalliset liikelaitokset. Politiikkaa noudatetaan kaikessa viranomais- ja palvelutoiminnassa ja se koskee kaikkia kaupungin palveluksessa olevia henkilöitä sekä luottamushenkilöitä. Politiikkaa noudatetaan myös yhteistyössä kaupungin organisaation ulkopuolisten osapuolten kanssa. Politiikkaa suositellaan noudatettavaksi myös niistä yhtiöissä ja muissa yhteisöissä, joissa kaupunki on mukana.

 

Tässä hallintapolitiikassa erikseen mainitut dokumentit vaaditaan kaikilta tietoturvallisuuden hallintajärjestelmään liittyneiltä hallintokunnilta tai muilta kaupungin organisaatioilta.

 

Yleinen suhtautuminen tietoturvaan

 

Keskeisintä tietoturvatyössä ovat asenteet, eli henkilöstö ja luottamushenkilöt ymmärtävät tietoturvan merkityksen ja ovat motivoituneet noudattamaan tietoturvaohjeita ja tietoturvamääräyksiä. Henkilökunnan tietoturvatietoisuutta lisätään mm. säännönmukaisella tietoturvakoulutuksella.

 

Tietoturvallisuuden yleistavoitteet ja merkitys

 

Turun kaupungin tietoturvatoiminnan tavoitteena on vastata siitä, että oikea tieto (eheys) on oikeassa paikassa (luottamuksellisuus) oikeaan aikaan (käytettävyys).

 

Tietoturvallisuudella tarkoitetaan tietojen, järjestelmien, palveluiden ja tietoliikenteen asianmukaista suojaamista sekä normaali- että poikkeusoloissa hallinnollisilla, teknisillä ja muilla toimenpiteillä. Tietojen luottamuksellisuutta, eheyttä ja käytettävyyttä turvataan laitteisto- ja ohjelmistovikojen, luonnontapahtumien sekä tahallisten, tuottamuksellisten tai tapaturmaisten tekojen aiheuttamilta uhkilta tai vahingoilta. Tietoturvallisuudella vähennetään ja ehkäistään tietoturvariskien syntymistä, varmistetaan tietojen käytettävyys kaikissa olosuhteissa, toiminnan jatkuvuus, asiakkaiden oikeusturva ja yksityisyyden suoja lainsäädännön ja muiden määräysten edellyttämällä tavalla, tietojen oikeellisuus ja luotettavuus sekä se, että asianosaiset ovat tiedostaneet tietoturvan merkityksen.

 

Luottamuksellisuus merkitsee, että tieto ja järjestelmät ovat vain niiden käyttöön oikeutettujen käytettävissä. Eheys merkitsee, että tiedot ja järjestelmät ovat luotettavia, oikeita ja ajantasaisia. Käytettävyys merkitsee, että tiedot ja palvelut ovat niihin oikeutettujen käytettävissä etukäteen määritellyssä vasteajassa.

 

Tietoa voi olla monessa muodossa, kuten paperidokumenttina tai elektronisesti tallennettuna, postitse tai sähköisesti lähetettynä, keskusteluissa puhuttuna. Tiedon tulee olla aina asianmukaisesti suojattua, riippumatta siitä, missä muodossa se esitetään, tallennetaan tai jaetaan. Tietoturvatoimenpiteitä sovelletaan tietoon sen kaikissa vaiheissa: tiedon luonti, tiedon käsittely, tiedon siirto, tiedon säilytys ja arkistointi, tiedon luovuttaminen, tiedon poisto ja tuhoaminen. Tietojen käyttöoikeudet määrittyvät henkilön todellisen työtehtävän mukaisesti. Asianmukainen tiedon säilytys on osa luottamuksellisuutta.

 

Keskeiset periaatteet

 

Turun kaupunki noudattaa tietoturvallisuuden hallintajärjestelmässään ISO/IEC 27001 -standardia.

 

Tarkemmat tietoturvallisuuden tavoitteet ja niiden saavuttamiseksi laaditut turvamekanismit kuvataan tietoturvallisuuden Soveltamissuunnitelmissa, joita ylläpitävät kaupungin ja hallintokuntien tai kaupungin muiden organisaatioiden tietoturvaryhmät tietoturvavastaaviensa johdolla.

 

Kaikessa kaupungin tietojenkäsittelyssä noudatetaan voimassa olevaa lainsäädäntöä ja sen perusteella annettuja määräyksiä sekä hyvää rekisterinpitotapaa.

 

Riskienhallinta

 

Riskienhallinnalla tarkoitetaan koordinoituja toimenpiteitä, joilla johdetaan ja ohjataan organisaation riskien käsittelyä.

 

Tietoturvallisuuden hallintajärjestelmään sisältyy riskianalyysi, joka tehdään tai päivitetään säännöllisesti ja aina kun toimintaympäristössä tai teknologissa tapahtuu merkittäviä muutoksia. Tietoturvallisuuteen liittyvä riskianalyysi voi olla osana laajempaa riskianalyysiä.

 

Riskianalyysin tuloksena syntyy Tietoturvallisuuden kehittämissuunnitelma, jonka organisaation johto hyväksyy ja jonka toteuttamiseen se myöntää tarvittavat resurssit. Samalla johto hyväksyy mahdolliset jäännösriskit, joiden käsittely tietoisesti jätetään kehittämissuunnitelman ulkopuolelle.

 

Koulutus

 

Tietoturva otetaan huomioon henkilöstön koulutuksessa ja henkilöstön työhönotossa. Uusien työntekijöiden perehdyttämiseen kuuluu perustason tietoturvallisuuskoulutus. Tavoitteena on, että jokainen työntekijä osallistuu tietoturvakoulutukseen säännöllisesti.

 

Palvelutoiminnan jatkuvuuden hallinta

 

Toiminnan kannalta kriittisimpien tietojärjestelmien osalta tehdään Jatkuvuus- ja toipumissuunnitelmat. Keskeisiä näissä käsiteltäviä asioita ovat katkon pituuden tai ajankohdan mukaan arvioidut vaikutukset toimintaan, varajärjestelmät, varmuuskopiointi, huoltosopimukset, dokumentaatio, vastuut, tiedottaminen ja suunnitelman testaaminen.

 

Tietojen säilyttämisestä on määrätty kaupungin hallintokuntien arkistosäännöissä.  

 

Poikkeusoloihin ja normaaliolojen erityistilanteisiin varaudutaan valmiussuunnittelulla.

 

Tietoturvahäiriöistä raportointi

 

Työntekijä raportoi havaitsemistaan tietoturvahäiriöistä esimiehelleen, ellei muusta menettelystä ole sovittu.

 

Hallintokunnan tai kaupungin muun organisaation tietoturvavastaava pitää yllä tietoturvallisuutta koskevaa tilannekuvaa ja raportoi siitä johtoryhmälle vähintään kerran vuodessa. Mikäli erityistä tietoturvavastaavaa ei ole nimetty, tietoturvavastaavana toimii virastopäällikkö tai vastaava.

 

Tietoturvallisuutta koskevista poikkeustilanteista edellytetään raportointia myös sopimuskumppaneilta.

 

Lainsäädäntö, kaupungin säännöstö ja sopimukset

 

Keskeinen kaupungin tietoturvallisuutta ohjaava lainsäädäntö:

 

-laki viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta 621/1999

-asetus viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintotavasta 1030/1999

-henkilötietolaki 523/1999

-väestötietolaki 507/1993

-henkilökorttilaki 829/1999

-laki sähköisestä asioinnista viranomaistoiminnassa 13/2003

-laki sähköisistä allekirjoituksista 14/2003

-sähköisen viestinnän tietosuojalaki 516/2004

-viestintämarkkinalaki 393/2003

-laki yksityisyyden suojasta työelämässä 759/2004

-laki tietoyhteiskunnan palvelujen tarjoamisesta 458/2002

-laki lasten kanssa työskentelevien rikostaustan selvittämisestä 504/2002

-arkistolaki 831/1994

-hallintolaki 434/2003

-kuntalaki 365/1995 (9. luku)

-laki kunnallisesta viranhaltijasta 304/2003

-työsopimuslaki 55/2001

-työehtosopimuslaki 436/1946

-laki julkisista hankinnoista 348/2007

-tekijänoikeuslaki 404/1961

-laki turvallisuusselvityksistä 177/2002

-laki kansainvälisistä tietoturvallisuusvelvoitteista 588/2004

-valmiuslaki 1080/1991

-rikoslaki 39/1889

-Suomen perustuslaki 731/1999 (6. luku)

 

Turun kaupungin säännöstöstä löytyvät mm. seuraavat tietoturvaan liittyvät ohjeet:

 

-tietoturvallisuuden hallintapolitiikka (tämä dokumentti)

-tietoturvallisuuden organisoiminen (kaupunginhallitus 14.4.2008 § 220)

-viranhaltijan päätösasiakirjojen arkistointia ja seulontaa koskevat ohjeet (asianhallintapäällikkö 8.1.2010 § 1)

-riskienhallintaopas (kansliapäällikkö 4.1.2010 § 1), jossa käsitellään yleisesti riskienhallintaa kaupungin organisaatiossa

-sisäisen valvonnan yleisohje (kaupunginhallitus 12.1.2009 § 142)

-etätyön ja liikkuvan työn tietoturvaohje (tietohallintojohtaja 14.12.2008 § 1)

-salassapidon vaatimusten ottaminen huomioon kokousasiakirjojen käsittelyssä (asianhallintapäällikkö 7.9.2004)

-esityslistoihin, pöytäkirjoihin ja muihin kokousasiakirjoihin sisältyvien henkilötietojen käsittely kaupungin internetsivuilla (kaupunginhallitus 17.3.2008 § 165)

-sähköpostin, sisäisen tietoverkon ja Internetin käytön yleiset periaatteet Turun kaupungissa (kaupunginhallitus 29.1.2007 § 67)

-tietoliikenteen liittymäpolitiikka (tietohallintojohtaja 19.5.2005 § 12)

-sähköisen kirjapitoaineiston arkistoinnissa käytettävät tietovälineet ja menettelytavat (Laskentapäällikkö 28.6.2004)

-menettelytavat sähköiselle asioinnille (kaupunginhallitus 6.6.2000 § 686)

-arkistoinnin toimintaohje (tietopalveluosasto 30.5.2000) ja ohjeet asiakirjojen suojaamisesta poikkeuksellisissa oloissa, toimintaohjeeseen liittyy myös hallintokuntakohtaisia liitteitä

-tietohallintosääntö (kaupunginhallitus 6.3.2000 § 403)

 

Kaupungin organisaation ulkopuolisten osapuolten kanssa tehtäviin sopimuksiin on sisällytettävä tarpeelliset määräykset tietosuojasta ja tietoturvasta.

 

Tietoturvapolitiikan rikkomusten seuraukset

 

Tietojärjestelmien suojaus hoidetaan lainsäädännön ja muiden säännösten edellyttämällä tavalla. Tietojärjestelmien käyttö rekisteröidään ja käyttöä seurataan. Poikkeavaan käyttöön puututaan viipymättä. Seuraamukset rikkomuksista työtehtävissä löytyvät kaupungin säännöstöstä (kaupunginhallituksen hallintojaosto 15.8.2006 § 261).

 

Tietoturvaa koskeva dokumentaatio

 

Tietoturvallisuuden hallintajärjestelmään liittyvät dokumentit on lueteltu asiakirjassa Tietoturvallisuuden hallintajärjestelmän dokumentaatio. Tietoturvallisuuden hallintajärjestelmään liittyvä organisaatio on kuvattu dokumentissa Tietoturvallisuuden organisoiminen.

 

Tietoturvallisuuden hallintapolitiikan ylläpito ja päivitys

 

Tämä Tietoturvallisuuden hallintapolitiikka katselmoidaan kaupunginhallituksessa valtuustokauden ensimmäisenä vuotena tai aiemmin, mikäli kaupungin tietoturvavastaava esittää siihen muutoksia. Tietoturvallisuuden hallintajärjestelmässä mukana olevien hallintokuntien tai kaupungin muiden organisaatioiden osalta Tietoturvallisuuden hallintapolitiikka organisaatiokohtaisine tarkennuksineen katselmoidaan vähintään kerran vuodessa johtoryhmässä ja valtuustokauden ensimmäisenä vuotena hallintokuntaa johtavassa lautakunnassa tai vastaavassa päättävässä toimielimessä. Vastuu tästä on tietoturvavastaavalla.