Tietoturvallisuuden organisoiminen

Konserni 1.1

Vastuu Turun kaupungin tietoturvasta ja sen kehittämisestä on kaupunginjohtajalla.  

Tietoturvavastaavat

Kaupungin tietoturvavastaava

Kaupungin tietoturvavastaavana toimii kaupungin riskienhallintapäällikkö. Hän vastaa kaupungin tietoturvallisuuden hallintajärjestelmän yhteisistä ja keskitetyistä osista, niihin liittyvän dokumentaation ajantasaisuudesta sekä tietoturvatoiminnan ohjauksesta ja seurannasta. Kaupungin tietoturvavastaava huolehtii yhteydenpidosta muihin tietoturvavastaaviin.

Hallintokunnan tai muun organisaation tietoturvavastaavat

Hallintokunnissa ja kaupungin muissa organisaatioissa kokonaisvastuu on virastopäälliköllä tai vastaavalla, eli hän on hallintokunnan tai organisaation tietoturvavastaava, ellei muuta ole päätetty. Hallintokunta/organisaatio voi määritellä myös erillisen tietoturvavastaavan esimerkiksi toimintasäännössä tai virastopäällikön päätöksellä. Hallintokunnat/organisaatiot voivat harkintansa mukaan päättää myös yhteisen tietoturvavastaavan valinnasta.

Tietoturvavastaavien tehtävät

Tietoturvavastaavat vastaavat toimialueellaan siitä, että tietoturva on järjestetty tietoturvallisuuden hallintajärjestelmään liittyvien dokumenttien mukaan. Tietoturvavastaava vastaa toimialueellaan siitä, että tietojärjestelmien ja muiden suojattavien kohteiden omistajat nimetään ja että henkilötietolain edellyttämät henkilörekisteriselosteet ovat ajan tasalla. Tietoturvavastaava käsittelee merkittävät tietoturvarikkomukset. Tietoturvavastaava koordinoi tietoturvaan liittyviä toimia ja jakaa käytännön tehtäviä muille soveltuvin osin, esimerkiksi tietoturvakoulutuksen järjestäminen, teknisen tietoturvan toteutus ja kulunvalvonta, sekä valvoo, että nämä tulevat tehdyiksi. Tietoturvavastaava hyväksyy kaikki toimialueelleen kuuluvat tietoturvallisuuden hallintajärjestelmän dokumentit lukuun ottamatta Tietoturvallisuuden hallintapolitiikkaa ja Tietoturvallisuuden organisoimista, jotka hyväksyy kaupunginhallitus, hallintokuntaa johtava lautakunta tai vastaava päättävä toimielin.

Tietojärjestelmän omistaja

Tietojärjestelmän omistaja (haltija) vastaa mm. henkilötietolaissa mainitun rekisterinpitäjän velvollisuuksista sekä oman tietojärjestelmänsä tietoturvallisuudesta dokumentoinnin, turvaluokittelun, käyttäjäoikeusrekisterin ylläpidon, käyttöoikeuksien, käytön, varmistusten, tuen, koulutuksen, ylläpidon, kehittämisen ja jatkuvuussuunnittelun osalta.

Suojattavan kohteen omistaja

Tietojärjestelmien omistajien lisäksi voi olla myös muita suojattavien kohteiden omistajia (haltijoita). Suojattavan kohteen omistaja vastaa siitä, että suojattavaa kohteeseen liittyvät riskit tulevat huomioitua riskianalyysissä. Omistaja vastaa Tietoturvallisuuden kehittämissuunnitelmassa mainituista mahdollisesti hänelle osoitetuista tehtävistä.

Pääkäyttäjä/Valvoja

Tietojärjestelmän tai muun suojattava kohteen omistaja voi antaa tehtäväksi jokapäiväisten ja selkeästi määrittelemiensä toimenpiteiden suorittamisen nimetylle pääkäyttäjälle tai muulle asian valvojalle.

Esimies

Esimiehet vastaavat siitä, että oma henkilökunta on selvillä tietoturvan vaatimuksista ja säännöistä sekä noudattaa niitä. Esimies vastaa uusien työntekijöiden ja sijaisten perehdytyksestä yksikössä noudatettaviin tietoturva- ja tietosuojaperiaatteisiin. Esimies käsittelee vähäpätöiset ja tahattomat tietoturvarikkomukset.  Kaikki merkittävät, törkeät ja tuottamukselliset tietoturva- ja tietosuojarikkomukset on saatettava tietoturvavastaavan tietoon. Esimies vastaa yksikkönsä avainhenkilöriskeistä, esimerkiksi osoittamalla tarvittavat varahenkilöt.

Henkilöstö

Henkilöstö vastaa omalta osaltaan siitä, että tietoturva toteutuu. Henkilöstön tulee viipymättä raportoida havaitsemistaan niin tahallisista kuin tahattomistakin rikkomuksista ja tietoturvallisuuden puutteista esimiehelleen ellei muusta menettelytavasta ole sovittu.

Ulkopuoliset

Kaupungin ulkopuoliset työntekijät ovat velvollisia noudattamaan kaupungin tietoturvapolitiikkaa ja periaatteita. Ulkopuolisen työn tilaajan vastuulla on valvoa tietoturvapolitiikan ja periaatteiden noudattamista.

Tietoturvaryhmä

Sekä kaupungilla että tietoturvallisuuden hallintajärjestelmässä mukana olevilla hallintokunnilla ja muilla kaupungin organisaatioilla on tietoturvaryhmä, jonka puheenjohtajana toimii sen tietoturvavastaava. Kaupunginjohtaja, hallintokunnan virastopäällikkö tai vastaava nimittää ryhmään kuuluvat henkilöt niin, että kaikki tietoturvaan liittyvät toiminnot ja vaatimukset tulee katettua.

Tietoturvaryhmä edustaa organisaation eri tahojen tietoturvanäkemyksiä, sovittaa yhteen tietoturvatoimenpiteet ja turvallisuustason sekä ohjaa tietoturvatoimenpiteitä organisaation tuottamisen palvelujen rajapinnoissa.

Tietoturvaryhmän keskeisiä tehtäviä ovat riskianalyysin toteuttaminen, Tietoturvallisuuden kehittämissuunnitelman laadinta ja sen toteutuksen seuranta, auditoinnin järjestäminen sekä johdon katselmuksen valmistelu.

Kaupungin tietoturvavastaava järjestää vähintään kerran vuodessa tilaisuuden, johon kutsutaan kaupungin tietoturvaryhmä ja kaikki kaupungin tietoturvavastaavat. Kokouksessa keskustellaan ja sovitaan tietoturvallisuuden kehittämisestä ja koordinoinnista kaupungissa.

Kaupungin IT-toiminnan rooli

Kaupungin IT-toiminnan yhtenä asiantuntijuusalueena on tietoturvallisuus. IT-toiminta osallistuu aktiivisesti tietoturvan suunnitteluun ja tietoturvatyön toteuttamiseen. IT-toiminta ylläpitää tietoturvaosaamistaan, joka on kaikkien hallintokuntien käytettävissä. IT-toiminta järjestää tietoturvaan liittyviä asiantuntija- ja konsultointipalveluja. Tietoturvakoulutusta järjestetään yhteistyössä henkilöstökoulutuksesta vastaavien kanssa.

Sisäisen tarkastuksen rooli

Sisäinen tarkastus avustaa toimivaa johtoa sen valvontavelvollisuuden täyttämisessä ja organisaatiolle asetettujen tavoitteiden saavuttamisessa tekemällä samalla hyvää yhteistyötä ulkoisen tarkastuksen kanssa. Sisäinen tarkastuksen tehtäviin kuuluu sisäisen tarkastuksen palvelujen tuottaminen kaupunkikonsernin yhteisöille.