Turun kaupunki § Kokouspvm Asia 1
Kulttuurilautakunta 184 13.10.2010 8

4757-2008 (015, 010, 065)

Tietoturvallisuuden hallintapolitiikka

Tiivistelmä: -

Kultlk § 184

Kulttuuriasiainkeskus 1.0/Konserni 1.0

(hyväksymätön)

 

Kulttuuriasiainkeskuksen tarkennukset koko kaupungin tietoturvallisuuden hallintapolitiikkaan on merkitty lihavoinnilla.

 

Soveltamisala                    Tämä dokumentti on osa Turun kaupungin tietoturvallisuuden hallintajärjestelmää. Tätä Tietoturvallisuuden hallintapolitiikkaa noudattaa koko kaupungin hallinnollinen organisaatio mukaan lukien kunnalliset liikelaitokset. Politiikkaa noudatetaan kaikessa viranomais- ja palvelutoiminnassa ja se koskee kaikkia kaupungin palveluksessa olevia henkilöitä sekä luottamushenkilöitä. Politiikkaa noudatetaan myös yhteistyössä kaupungin organisaation ulkopuolisten osapuolten kanssa. Politiikkaa suositellaan noudatettavaksi myös niistä yhtiöissä ja muissa yhteisöissä, joissa kaupunki on mukana.

 

Tässä hallintapolitiikassa erikseen mainitut dokumentit vaaditaan kaikilta tietoturvallisuuden hallintajärjestelmään liittyneiltä hallintokunnilta tai muilta kaupungin organisaatioilta.

 

Yleinen suhtautuminen tietoturvaan

 

Keskeisintä tietoturvatyössä ovat asenteet, eli henkilöstö ja luottamushenkilöt ymmärtävät tietoturvan merkityksen ja ovat motivoituneet noudattamaan tietoturvaohjeita ja tietoturvamääräyksiä. Henkilökunnan tietoturvatietoisuutta lisätään mm. säännönmukaisella tietoturvakoulutuksella.

 

Tietoturvallisuuden yleistavoitteet ja merkitys

 

Kulttuuriasiainkeskus hallinnoi erilaisia kokoelmia ja luetteloi niitä sekä järjestää erilaisia tapahtumia, näyttelyitä ja esityksiä. Niiden järjestäminen edellyttää mm. toimivaa lipunmyynti- ja paikanvarausjärjestelmää. Toiminnassa korostuu tietojen oikeellisuus ja käytettävyys. On aina oltava tiedossa, mistä mikäkin esine tai asia löytyy. Osa aineistosta saadaan tai lainataan ulkopuolisilta/-lle, joiden tiedot tulee pitää salaisina. Tämän luottamuksen säilyttäminen on edellytyksenä korkeatasoiselle toiminnalle. Tekijänoikeuksia tulee kunnioittaa. Tietojärjestelmien pettäminen haittaa ratkaisevasti toimintaa ja tekee sen osin jopa mahdottomaksi.

 

Turun kaupungin tietoturvatoiminnan tavoitteena on vastata siitä, että oikea tieto (eheys) on oikeassa paikassa (luottamuksellisuus) oikeaan aikaan (käytettävyys).

 

Tietoturvallisuudella tarkoitetaan tietojen, järjestelmien, palveluiden ja tietoliikenteen asianmukaista suojaamista sekä normaali- että poikkeusoloissa hallinnollisilla, teknisillä ja muilla toimenpiteillä. Tietojen luottamuksellisuutta, eheyttä ja käytettävyyttä turvataan laitteisto- ja ohjelmistovikojen, luonnontapahtumien sekä tahallisten, tuottamuksellisten tai tapaturmaisten tekojen aiheuttamilta uhkilta tai vahingoilta. Tietoturvallisuudella vähennetään ja ehkäistään tietoturvariskien syntymistä, varmistetaan tietojen käytettävyys kaikissa olosuhteissa, toiminnan jatkuvuus, asiakkaiden oikeusturva ja yksityisyyden suoja lainsäädännön ja muiden määräysten edellyttämällä tavalla, tietojen oikeellisuus ja luotettavuus sekä se, että asianosaiset ovat tiedostaneet tietoturvan merkityksen.

 

Luottamuksellisuus merkitsee, että tieto ja järjestelmät ovat vain niiden käyttöön oikeutettujen käytettävissä. Eheys merkitsee, että tiedot ja järjestelmät ovat luotettavia, oikeita ja ajantasaisia. Käytettävyys merkitsee, että tiedot ja palvelut ovat niihin oikeutettujen käytettävissä etukäteen määritellyssä vasteajassa.

 

Tietoa voi olla monessa muodossa, kuten paperidokumenttina tai elektronisesti tallennettuna, postitse tai sähköisesti lähetettynä, keskusteluissa puhuttuna. Tiedon tulee olla aina asianmukaisesti suojattua, riippumatta siitä, missä muodossa se esitetään, tallennetaan tai jaetaan. Tietoturvatoimenpiteitä sovelletaan tietoon sen kaikissa vaiheissa: tiedon luonti, tiedon käsittely, tiedon siirto, tiedon säilytys ja arkistointi, tiedon luovuttaminen, tiedon poisto ja tuhoaminen. Tietojen käyttöoikeudet määrittyvät henkilön todellisen työtehtävän mukaisesti. Asianmukainen tiedon säilytys on osa luottamuksellisuutta.

 

Keskeiset periaatteet

 

Turun kaupunki noudattaa tietoturvallisuuden hallintajärjestelmässään ISO/IEC 27001 -standardia.

 

Tarkemmat tietoturvallisuuden tavoitteet ja niiden saavuttamiseksi laaditut turvamekanismit kuvataan tietoturvallisuuden Soveltamissuunnitelmissa, joita ylläpitävät kaupungin ja hallintokuntien tai kaupungin muiden organisaatioiden tietoturvaryhmät tietoturvavastaaviensa johdolla.

 

Kaikessa kaupungin tietojenkäsittelyssä noudatetaan voimassa olevaa lainsäädäntöä ja sen perusteella annettuja määräyksiä sekä hyvää rekisterinpitotapaa.

 

Yhteys kaupungin strategiaan

 

Turku-strategian mukaan kaupungissa pyritään johtamisen tukiprosessien yhtenäistämiseen. Myös tietoturvan osalta pyritään yhtenäiseen hallintamalliin, mikä tehostaa tietoturvaan liittyviä prosesseja ja rakenteita. Kaupungin tietoturvatoiminta on suunniteltua ja johdettua toimintaa, joka perustuu palvelutoiminnan tarpeisiin tavoitteena hyvä tietoturva.

 

Riskienhallinta

 

Riskienhallinnalla tarkoitetaan koordinoituja toimenpiteitä, joilla johdetaan ja ohjataan organisaation riskien käsittelyä.

 

Tietoturvallisuuden hallintajärjestelmään sisältyy riskianalyysi, joka tehdään tai päivitetään säännöllisesti ja aina kun toimintaympäristössä tai teknologissa tapahtuu merkittäviä muutoksia. Tietoturvallisuuteen liittyvä riskianalyysi voi olla osana laajempaa riskianalyysiä.

 

Riskianalyysin tuloksena syntyy Tietoturvallisuuden kehittämissuunnitelma, jonka organisaation johto hyväksyy ja jonka toteuttamiseen se myöntää tarvittavat resurssit. Samalla johto hyväksyy mahdolliset jäännösriskit, joiden käsittely tietoisesti jätetään kehittämissuunnitelman ulkopuolelle.

 

 

Koulutus

 

Tietoturva otetaan huomioon henkilöstön koulutuksessa ja henkilöstön työhönotossa. Uusien työntekijöiden perehdyttämiseen kuuluu perustason tietoturvallisuuskoulutus. Tavoitteena on, että jokainen työntekijä osallistuu tietoturvakoulutukseen säännöllisesti.

 

Palvelutoiminnan jatkuvuuden hallinta

 

Toiminnan kannalta kriittisimpien tietojärjestelmien osalta tehdään Jatkuvuus- ja toipumissuunnitelmat. Keskeisiä näissä käsiteltäviä asioita ovat katkon pituuden tai ajankohdan mukaan arvioidut vaikutukset toimintaan, varajärjestelmät, varmuuskopiointi, huoltosopimukset, dokumentaatio, vastuut, tiedottaminen ja suunnitelman testaaminen.

 

Tietojen säilyttämisestä on määrätty kaupungin hallintokuntien arkistosäännöissä.  

 

Poikkeusoloihin ja normaaliolojen erityistilanteisiin varaudutaan valmiussuunnittelulla.

 

Tietoturvahäiriöistä raportointi

 

Työntekijä raportoi havaitsemistaan tietoturvahäiriöistä esimiehelleen, ellei muusta menettelystä ole sovittu.

 

Hallintokunnan tai kaupungin muun organisaation tietoturvavastaava pitää yllä tietoturvallisuutta koskevaa tilannekuvaa ja raportoi siitä johtoryhmälle vähintään kerran vuodessa. Mikäli erityistä tietoturvavastaavaa ei ole nimetty, tietoturvavastaavana toimii virastopäällikkö tai vastaava.

 

Tietoturvallisuutta koskevista poikkeustilanteista edellytetään raportointia myös sopimuskumppaneilta.

 

Lainsäädäntö, kaupungin säännöstö ja sopimukset

 

Keskeinen kaupungin tietoturvallisuutta ohjaava lainsäädäntö:

 

-laki viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta 621/1999

-asetus viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintotavasta 1030/1999

-henkilötietolaki 523/1999

-väestötietolaki 507/1993

-henkilökorttilaki 829/1999

-laki sähköisestä asioinnista viranomaistoiminnassa 13/2003

-laki sähköisistä allekirjoituksista 14/2003

-sähköisen viestinnän tietosuojalaki 516/2004

-viestintämarkkinalaki 393/2003

-laki yksityisyyden suojasta työelämässä 759/2004

-laki tietoyhteiskunnan palvelujen tarjoamisesta 458/2002

-laki lasten kanssa työskentelevien rikostaustan selvittämisestä 504/2002

-arkistolaki 831/1994

-hallintolaki 434/2003

-kuntalaki 365/1995 (9. luku)

-laki kunnallisesta viranhaltijasta 304/2003

-työehtosopimuslaki 436/1946

-laki julkisista hankinnoista 348/2007

-tekijänoikeuslaki 404/1961

-laki turvallisuusselvityksistä 177/2002

-laki kansainvälisistä tietoturvallisuusvelvoitteista 588/2004

-valmiuslaki 1080/1991

-rikoslaki 39/1889

-Suomen perustuslaki 731/1999 (6. luku)

-Kirjastolaki 904/1998 ja kirjastoasetus 1078/1998

-Museolaki 729/1992 ja museoasetus 1192/2005

-Muinaismuistolaki 295/1963

-Laki kulttuuriesineiden maastaviennin rajoittamisesta 115/1999

-Rakennussuojelulaki

-Maankäyttö- ja rakennuslaki

 

Turun kaupungin säännöstöstä löytyvät mm. seuraavat tietoturvaan liittyvät ohjeet:

 

-tietoturvallisuuden hallintapolitiikka (kaupunginhallitus 14.4.2008)

-tietoturvallisuuden organisoiminen (kaupunginhallitus 14.4.2008)

-esityslistoihin, pöytäkirjoihin ja muihin kokousasiakirjoihin sisältyvien henkilötietojen käsittely kaupungin internetsivuilla (kaupunginhallitus 17.3.2008 § 165)

-sähköpostin, sisäisen tietoverkon ja Internetin käytön yleiset periaatteet Turun kaupungissa (kaupunginhallitus 29.1.2007 § 67)

-riskienhallintaopas (riskienhallintapäällikkö 13.3.2006 § 1), jossa käsitellään yleisesti riskienhallintaa kaupungin organisaatiossa

-tietoliikenteen liittymäpolitiikka (tietohallintojohtaja 19.5.2005 § 12)

-sisäisen valvonnan opas (kaupunginhallitus 17.4.2001 § 434), jonka yhtenä kohtana ovat myös atk-toiminnot ja niiden suojaaminen

-sähköistä asiointia koskevat menettelytavat (kaupunginhallitus 6.6.2000 § 686)

-arkistoinnin toimintaohje (tietopalveluosasto 30.5.2000) ja ohjeet asiakirjojen suojaamisesta poikkeuksellisissa oloissa, toimintaohjeeseen liittyy myös hallintokuntakohtaisia liitteitä

-tietohallintosääntö (kaupunginhallitus 6.3.2000 § 403)

-tietojärjestelmien kehittämiskaava (kaupunginhallitus 22.12.1997 § 1436)

 

Kaupungin organisaation ulkopuolisten osapuolten kanssa tehtäviin sopimuksiin on sisällytettävä tarpeelliset määräykset tietosuojasta ja tietoturvasta.

 

Tietoturvapolitiikan rikkomusten seuraukset

 

Tietojärjestelmien suojaus hoidetaan lainsäädännön ja muiden säännösten edellyttämällä tavalla. Tietojärjestelmien käyttö rekisteröidään ja käyttöä seurataan. Poikkeavaan käyttöön puututaan viipymättä. Seuraamukset rikkomuksista työtehtävissä löytyvät kaupungin säännöstöstä (kaupunginhallituksen hallintojaosto 15.8.2006 § 261).

 

Tietoturvaa koskeva dokumentaatio

 

Tietoturvallisuuden hallintajärjestelmään liittyvät dokumentit on lueteltu asiakirjassa Tietoturvallisuuden hallintajärjestelmän dokumentaatio. Tietoturvallisuuden hallintajärjestelmään liittyvä organisaatio on kuvattu dokumentissa Tietoturvallisuuden organisoiminen.

 

Tietoturvallisuuden hallintapolitiikan ylläpito ja päivitys

 

Tämä Tietoturvallisuuden hallintapolitiikka katselmoidaan kaupunginhallituksessa kolmen vuoden välein tai aiemmin, mikäli kaupungin tietoturvavastaava esittää siihen muutoksia. Tietoturvallisuuden hallintajärjestelmässä mukana olevien hallintokuntien tai kaupungin muiden organisaatioiden osalta Tietoturvallisuuden hallintapolitiikka organisaatiokohtaisine tarkennuksineen katselmoidaan vähintään kerran vuodessa johtoryhmässä ja kolmen vuoden välein hallintokuntaa johtavassa lautakunnassa tai vastaavassa päättävässä toimielimessä. Vastuu tästä on tietoturvavastaavalla.

 

Kulttuurijohtaja Minna Sartes:

 

Ehdotus       Merkitään kulttuurilautakunnalle tiedoksi.

 

 

PäätösEhdotus hyväksyttiin.

Jakelu

tiedKunnas Heikki
tiedSatopää Jouni