Tietoturvapolitiikka

Tietoturvallisuuden ohjeistukseksi yrityksen tulee laatia omaan toimintaansa soveltuva tietoturvapolitiikka, johon nojautuvat kaikki tietoturvallisuuden toimenpiteet.

Päätös tietoturvapolitiikaksi

Virtain kaupungin kaupunginhallitus on päätöksellään §299/2004 hyväksynyt alla esitetyn sisällön kaupungin tietoturvapolitiikaksi.

Politiikan sisältö

Tietoturvapolitiikka määrittelee organisaation tietoturvallisuuden päämäärät, tavoitteet, vastuut ja toteutuskeinot.

Tietoturvapolitiikan luomisen ehdoton edellytys on, että johto sitoutuu olemaan mukana prosessissa sekä ymmärtää tietoturvan ja suojausmekanismien tärkeyden toiminnan jatkuvuuden kannalta. Johdon on oltava tietoinen suojausten toteuttamisen tärkeydestä ja sen on tuettava tietoturvallisuuden edistämistä.

Päämäärä ja tavoitteet

Tietoturvallisuustyön päämäärä on turvata kaupungin toiminnalle tärkeiden tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, estää tietojen ja tietojärjestelmien valtuudeton käyttö, tahaton tai tahallinen tiedon tuhoutuminen tai vääristyminen sekä minimoida mahdollisesti aiheutuvat vahingot. Normaaliajan toiminnan tietojenkäsittelyn turvaamisen lisäksi varaudutaan toiminnan keskeyttäviin uhkatilanteisiin ja niistä toipumiseen. Kaupungin tiedot, tietojenkäsittelyjärjestelmät ja -palvelut pidetään asianmukaisesti suojattuina sekä normaali- että poikkeusoloissa hallinnollisten ja teknisten toimenpiteiden avulla.

Tietoturvallisuustyön tavoitteena on, että tietoturvallisuuden perustaso kattaa kaupungin kaiken tietojenkäsittelyn huomioiden yksikköjen perusluonteen ja mahdollisen tarpeen tietoturvallisuuden tehostamiseen.

Tietoturvallisuustyö on tietoturvallisuuden saavuttamiseksi tehtävien toimenpiteiden suunnittelua ja toteuttamista. Toimintaan kuuluvat tietojen turvaamisen menetelmät, välineet ja toimenpiteet, työhön osoitetut resurssit sekä välineistön tietoturvaominaisuudet. Tietoturvallisuus kattaa kaikki kaupungin tietojenkäsittelytehtävät sisältäen myös toimistotyön tehtävät ja niihin sisältyvän arkistoinnin. Tietoturvallisuustoimet koskevat sähköisessä, suullisessa ja kirjallisessa muodossa olevan tiedon käsittelyä, luovutusta ja siirtoa.

Tietoturvallisuus

Tietoturvallisuus tarkoittaa tietojenkäsittelyn turvaamista. Tietoturvallisuus rakentuu seuraavien perustekijöiden varaan: tiedon luottamuksellisuus, tiedon eheys, tiedon saatavuus sekä tiedon tarkastettavuus. Edelleen tietoturvallisuus jaotellaan seuraaviin pienempiin kokonaisuuksiin (ISO/IEC 17799):

  • hallinnollinen tietoturvallisuus
  • henkilöstöturvallisuus
  • fyysinen turvallisuus
  • tietoliikenneturvallisuus
  • laitteistoturvallisuus
  • ohjelmistoturvallisuus
  • tietoaineistoturvallisuus ja
  • käyttöturvallisuus.

Vastuut

Tietoturvallisuus on osa kokonaisturvallisuutta. Tietohallinto vastaa tietoturvallisuuden kehittämisestä, toteutuksen valvonnasta ja tietoturvatietouden edistämisestä. Jokainen kaupungin tietoja käsittelevä, tietojärjestelmien ja tietoverkkojen ylläpitäjä ja käyttäjä on viime kädessä vastuussa tietoturvallisuuden toteutumisesta omalta osaltaan. Kukin tietojärjestelmien ja niiden sisältämien tietojen haltija vastaa tietojensa ja tietojärjestelmiensä suojaamisesta.

Toteutuskeinot

Tietoturvapolitiikka annetaan tiedoksi kaikille kaupungilla työskenteleville. Tietoturvallisuuden tavoitteiden saavuttaminen on jatkuva prosessi, joka tapahtuu hallinnollisten, fyysisten ja teknisten ratkaisujen avulla. Käyttäjien toimintaa ohjataan niihin sisältyvillä käyttösäännöillä ja toimintaohjeilla sekä tietoturvakoulutuksella. Kullekin turvallisuusluokalle määritellään vaadittava tietoturvallisuustaso ja sen mukaiset tietoturvatoimenpiteet. Jokaiselle tietojärjestelmälle tai sen osalle on oltava yksiselitteinen vastuuhenkilö, jota sanotaan järjestelmän pääkäyttäjäksi.

Kaupungin tietoturvallisuusasioiden tiedottamisesta vastaa tietohallinto.

Tietoturvallisuuden seuranta ja ongelmatilanteiden käsittely

ATK-kehittäminen tekee kaupungin tietojärjestelmien tietoturvallisuuden kartoituksia ja voi ryhtyä toimenpiteisiin havaittujen puutteiden korjaamiseksi. Jokainen kaupungin tietojenkäsittelyjärjestelmien käyttäjä on velvollinen noudattamaan työnantajan antamia tietokoneiden ja tietoverkkojen käyttösääntöjä sekä tietoturvaohjeita. Käyttäjien ja ylläpitäjien tulee ilmoittaa havaitsemistaan tietoturvallisuuden puutteista, tietoturvallisuuteen liittyvistä väärinkäytöksistä tai epäilemistään tietoturvarikkomuksista hallinto-osaston päällikölle sekä tietohallinnolle.