Esityslistat/pöytäkirjat

Tietoturvallisuuden hallintapolitiikka

Sosiaali- ja terveystoimen tarkennukset koko kaupungin tietoturvallisuuden hallintapolitiikkaan on merkitty lihavoinnilla.

Soveltamisala Tämä dokumentti on osa Turun kaupungin tietoturvallisuuden hallintajärjestelmää. Tätä Tietoturvallisuuden hallintapolitiikkaa noudattaa koko kaupungin hallinnollinen organisaatio mukaan lukien kunnalliset liikelaitokset. Politiikkaa noudatetaan kaikessa viranomais- ja palvelutoiminnassa ja se koskee kaikkia kaupungin palveluksessa olevia henkilöitä sekä luottamushenkilöitä. Politiikkaa noudatetaan myös yhteistyössä kaupungin organisaation ulkopuolisten osapuolten kanssa. Politiikkaa suositellaan noudatettavaksi myös niistä yhtiöissä ja muissa yhteisöissä, joissa kaupunki on mukana.

Tässä hallintapolitiikassa erikseen mainitut dokumentit vaaditaan kaikilta tietoturvallisuuden hallintajärjestelmään liittyneiltä hallintokunnilta tai muilta kaupungin organisaatioilta.

Yleinen suhtautuminen tietoturvaan

Keskeisintä tietoturvatyössä ovat asenteet, eli henkilöstö ja luottamushenkilöt ymmärtävät tietoturvan merkityksen ja ovat motivoituneet noudattamaan tietoturvaohjeita ja tietoturvamääräyksiä. Henkilökunnan tietoturvatietoisuutta lisätään mm. säännönmukaisella tietoturvakoulutuksella.

Tietoturvallisuuden yleistavoitteet ja merkitys

Sosiaali- ja terveystoimessa käsitellään erittäin arkaluonteista tietoa, joiden luvaton paljastuminen saattaa aiheuttaa sosiaali- ja terveystoimen asiakkaiden maineelle ja taloudelle merkittävää haittaa.

Tietojen turvaaminen on osa sosiaali- ja terveydenhuollon toiminnan turvallisuutta ja sillä on suuri merkitys koko toiminnalle varsinkin, kun sosiaali- ja terveydenhuollon useat yksiköt ovat riippuvaisia sekä sähköisestä että manuaalisesta tietojenkäsittelystä.

Sosiaali- ja terveystoimen on kyettävä selviytymään tietojenkäsittelyyn liittyvistä mahdollisista häiriötekijöistä hallitusti ja ripeästi sekä toimimaan myös poikkeuksellisissa oloissa. Tietoon kohdistuvat riskit on tunnistettava ja niitä on hallittava.

Tietoturvallisuuden keskeisimpänä tavoitteena on taata sosiaali- ja terveystoimessa palvelutoiminnan jatkuvuus sekä asiakas- ja potilasturvallisuus.

Sosiaali- ja terveystoimen tulee säilyttää maineensa ja luotettavuutensa sille uskottujen tietojen ja asioiden hoitajana.

Turun kaupungin tietoturvatoiminnan tavoitteena on vastata siitä, että oikea tieto (eheys) on oikeassa paikassa (luottamuksellisuus) oikeaan aikaan (käytettävyys).

Tietoturvallisuudella tarkoitetaan tietojen, järjestelmien, palveluiden ja tietoliikenteen asianmukaista suojaamista sekä normaali- että poikkeusoloissa hallinnollisilla, teknisillä ja muilla toimenpiteillä. Tietojen luottamuksellisuutta, eheyttä ja käytettävyyttä turvataan laitteisto- ja ohjelmistovikojen, luonnontapahtumien sekä tahallisten, tuottamuksellisten tai tapaturmaisten tekojen aiheuttamilta uhkilta tai vahingoilta. Tietoturvallisuudella vähennetään ja ehkäistään tietoturvariskien syntymistä, varmistetaan tietojen käytettävyys kaikissa olosuhteissa, toiminnan jatkuvuus, asiakkaiden oikeusturva ja yksityisyyden suoja lainsäädännön ja muiden määräysten edellyttämällä tavalla, tietojen oikeellisuus ja luotettavuus sekä se, että asianosaiset ovat tiedostaneet tietoturvan merkityksen.

Luottamuksellisuus merkitsee, että tieto ja järjestelmät ovat vain niiden käyttöön oikeutettujen käytettävissä. Eheys merkitsee, että tiedot ja järjestelmät ovat luotettavia, oikeita ja ajantasaisia. Käytettävyys merkitsee, että tiedot ja palvelut ovat niihin oikeutettujen käytettävissä etukäteen määritellyssä vasteajassa.

Tietoa voi olla monessa muodossa, kuten paperidokumenttina tai elektronisesti tallennettuna, postitse tai sähköisesti lähetettynä, keskusteluissa puhuttuna. Tiedon tulee olla aina asianmukaisesti suojattua, riippumatta siitä, missä muodossa se esitetään, tallennetaan tai jaetaan. Tietoturvatoimenpiteitä sovelletaan tietoon sen kaikissa vaiheissa: tiedon luonti, tiedon käsittely, tiedon siirto, tiedon säilytys ja arkistointi, tiedon luovuttaminen, tiedon poisto ja tuhoaminen. Tietojen käyttöoikeudet määrittyvät henkilön todellisen työtehtävän mukaisesti. Asianmukainen tiedon säilytys on osa luottamuksellisuutta.

Keskeiset periaatteet

Turun kaupunki noudattaa tietoturvallisuuden hallintajärjestelmässään ISO/IEC 27001 -standardia.

Tarkemmat tietoturvallisuuden tavoitteet ja niiden saavuttamiseksi laaditut turvamekanismit kuvataan tietoturvallisuuden Soveltamissuunnitelmissa, joita ylläpitävät kaupungin ja hallintokuntien tai kaupungin muiden organisaatioiden tietoturvaryhmät tietoturvavastaaviensa johdolla.

Kaikessa kaupungin tietojenkäsittelyssä noudatetaan voimassa olevaa lainsäädäntöä ja sen perusteella annettuja määräyksiä sekä hyvää rekisterinpitotapaa.

Riskienhallinta

Riskienhallinnalla tarkoitetaan koordinoituja toimenpiteitä, joilla johdetaan ja ohjataan organisaation riskien käsittelyä.

Tietoturvallisuuden hallintajärjestelmään sisältyy riskianalyysi, joka tehdään tai päivitetään säännöllisesti ja aina kun toimintaympäristössä tai teknologissa tapahtuu merkittäviä muutoksia. Tietoturvallisuuteen liittyvä riskianalyysi voi olla osana laajempaa riskianalyysiä.

Riskianalyysin tuloksena syntyy Tietoturvallisuuden kehittämissuunnitelma, jonka organisaation johto hyväksyy ja jonka toteuttamiseen se myöntää tarvittavat resurssit. Samalla johto hyväksyy mahdolliset jäännösriskit, joiden käsittely tietoisesti jätetään kehittämissuunnitelman ulkopuolelle.

Koulutus

Tietoturva otetaan huomioon henkilöstön koulutuksessa ja henkilöstön työhönotossa. Uusien työntekijöiden perehdyttämiseen kuuluu perustason tietoturvallisuuskoulutus. Tavoitteena on, että jokainen työntekijä osallistuu tietoturvakoulutukseen säännöllisesti.

Palvelutoiminnan jatkuvuuden hallinta

Toiminnan kannalta kriittisimpien tietojärjestelmien osalta tehdään Jatkuvuus- ja toipumissuunnitelmat. Keskeisiä näissä käsiteltäviä asioita ovat katkon pituuden tai ajankohdan mukaan arvioidut vaikutukset toimintaan, varajärjestelmät, varmuuskopiointi, huoltosopimukset, dokumentaatio, vastuut, tiedottaminen ja suunnitelman testaaminen.

Tietojen säilyttämisestä on määrätty kaupungin hallintokuntien arkistosäännöissä.

Poikkeusoloihin ja normaaliolojen erityistilanteisiin varaudutaan valmiussuunnittelulla.

Tietoturvahäiriöistä raportointi

Työntekijä raportoi havaitsemistaan tietoturvahäiriöistä esimiehelleen, ellei muusta menettelystä ole sovittu.

Hallintokunnan tai kaupungin muun organisaation tietoturvavastaava pitää yllä tietoturvallisuutta koskevaa tilannekuvaa ja raportoi siitä johtoryhmälle vähintään kerran vuodessa.

Tietoturvallisuutta koskevista poikkeustilanteista edellytetään raportointia myös sopimuskumppaneilta.

Lainsäädäntö, kaupungin säännöstö ja sopimukset

Keskeinen kaupungin tietoturvallisuutta ohjaava lainsäädäntö:

-laki viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta 621/1999

-asetus viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintotavasta 1030/1999

-henkilötietolaki 523/1999

-väestötietolaki 507/1993

-henkilökorttilaki 829/1999

-laki sähköisestä asioinnista viranomaistoiminnassa 13/2003

-laki sähköisistä allekirjoituksista 14/2003

-sähköisen viestinnän tietosuojalaki 516/2004

-viestintämarkkinalaki 393/2003

-laki yksityisyyden suojasta työelämässä 759/2004

-laki tietoyhteiskunnan palvelujen tarjoamisesta 458/2002

-laki lasten kanssa työskentelevien rikostaustan selvittämisestä 504/2002

-arkistolaki 831/1994

-hallintolaki 434/2003

-kuntalaki 365/1995 (9. luku)

-laki kunnallisesta viranhaltijasta 304/2003

-työehtosopimuslaki 436/1946

-laki julkisista hankinnoista 348/2007

-tekijänoikeuslaki 404/1961

-laki turvallisuusselvityksistä 177/2002

-laki kansainvälisistä tietoturvallisuusvelvoitteista 588/2004

-valmiuslaki 1080/1991

-rikoslaki 39/1889

-Suomen perustuslaki 731/1999 (6. luku)

-sosiaalihuoltolaki 710/1982, 1005/2008

-kansanterveyslaki 66/1972

-erikoissairaanhoitolaki 1062/1989

-työterveyshuoltolaki 1383/2001

-sosiaalihuoltolain nojalla annetut palvelukohtaiset erityislait

-laki sosiaalihuollon asiakkaan asemasta ja oikeuksista 812/2000

-sosiaali- ja terveysministeriön asetus potilasasiakirjojen laatimisesta sekä niiden ja muun hoitoon liittyvän materiaalin säilyttämisestä 298/2009

-laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 159/2007

-laki potilaan asemasta ja oikeuksista 785/1992

-laki sähköisestä lääkemääräyksestä 61/2007 ja sen nojalla annetut asetukset 485/3008, 490/2008

-laki ja asetukset terveydenhuollon ammattihenkilöistä (559/1994), 564/1994, 46/2009, 48/2009

Turun kaupungin säännöstöstä löytyvät mm. seuraavat tietoturvaan liittyvät ohjeet:

-tietoturvallisuuden hallintapolitiikka (kaupunginhallitus 14.4.2008)

-tietoturvallisuuden organisoiminen (kaupunginhallitus 14.4.2008)

-esityslistoihin, pöytäkirjoihin ja muihin kokousasiakirjoihin sisältyvien henkilötietojen käsittely kaupungin internetsivuilla (kaupunginhallitus 17.3.2008 § 165)

-sähköpostin, sisäisen tietoverkon ja Internetin käytön yleiset periaatteet Turun kaupungissa (kaupunginhallitus 29.1.2007 § 67)

-riskienhallintaopas (riskienhallintapäällikkö 13.3.2006 § 1), jossa käsitellään yleisesti riskienhallintaa kaupungin organisaatiossa

-tietoliikenteen liittymäpolitiikka (tietohallintojohtaja 19.5.2005 § 12)

-sisäisen valvonnan opas (kaupunginhallitus 17.4.2001 § 434), jonka yhtenä kohtana ovat myös atk-toiminnot ja niiden suojaaminen

-sähköistä asiointia koskevat menettelytavat (kaupunginhallitus 6.6.2000 § 686)

-arkistoinnin toimintaohje (tietopalveluosasto 30.5.2000) ja ohjeet asiakirjojen suojaamisesta poikkeuksellisissa oloissa, toimintaohjeeseen liittyy myös hallintokuntakohtaisia liitteitä

-tietohallintosääntö (kaupunginhallitus 6.3.2000 § 403)

-tietojärjestelmien kehittämiskaava (kaupunginhallitus 22.12.1997 § 1436)

Kaupungin organisaation ulkopuolisten osapuolten kanssa tehtäviin sopimuksiin on sisällytettävä tarpeelliset määräykset tietosuojasta ja tietoturvasta.

Tietoturvapolitiikan rikkomusten seuraukset

Tietojärjestelmien suojaus hoidetaan lainsäädännön ja muiden säännösten edellyttämällä tavalla. Tietojärjestelmien käyttö rekisteröidään ja käyttöä seurataan. Poikkeavaan käyttöön puututaan viipymättä. Seuraamukset rikkomuksista työtehtävissä löytyvät kaupungin säännöstöstä (kaupunginhallituksen hallintojaosto 15.8.2006 § 261).

Sosiaali- ja terveystoimessa järjestetään säännöllisesti tarkastuksia, joilla varmistetaan, että tietoturvapolitiikkaa ja käyttöohjeistuksia noudatetaan. Myös yhteistyökumppanien tietoturvatasoa ja tietoturvapolitiikan noudattamista valvotaan tarkastuksin.

Tietoturvallisuus on sosiaali- ja terveystoimelle erittäin merkittävä asia ja siitä syystä sosiaali- ja terveystoimen johto käsittelee jokaisen tietoturvarikkomuksen. Poikkeavaan käyttöön puututaan viipymättä ja periaatteena on, että ensimmäisestä rikkomuksesta annetaan varoitus ja seuraava johtaa työ- tai virkasuhteen päättymiseen.

Tietoturvaa koskeva dokumentaatio

Tietoturvallisuuden hallintajärjestelmään liittyvät dokumentit on lueteltu asiakirjassa Tietoturvallisuuden hallintajärjestelmän dokumentaatio. Tietoturvallisuuden hallintajärjestelmään liittyvä organisaatio on kuvattu dokumentissa Tietoturvallisuuden organisoiminen.

Tietoturvallisuuden hallintapolitiikan ylläpito ja päivitys

Tämä Tietoturvallisuuden hallintapolitiikka katselmoidaan kaupunginhallituksessa kolmen vuoden välein tai aiemmin, mikäli kaupungin tietoturvavastaava esittää siihen muutoksia. Tietoturvallisuuden hallintajärjestelmässä mukana olevien hallintokuntien tai kaupungin muiden organisaatioiden osalta Tietoturvallisuuden hallintapolitiikka organisaatiokohtaisine tarkennuksineen katselmoidaan vähintään kerran vuodessa johtoryhmässä ja kolmen vuoden välein hallintokuntaa johtavassa lautakunnassa tai vastaavassa päättävässä toimielimessä. Vastuu tästä on tietoturvavastaavalla.