Tietoturvapolitiikka

Teoston tietoturvallisuustoiminnan tavoitteena on tukea Teoston liiketoimintaa, suojata yhdistyksen mainetta ja vastata lain, asiakkaiden ja muiden yhteistyökumppaneiden asettamiin turvallisuusvaatimuksiin.

Tietoturvallisuudella tarkoitetaan kaikkien tietojen luottamuksellisuuden, eheyden ja käytettävyyden varmistamista. Tämä politiikka ilmaisee yhdistyksen johdon tahtotilan, jota tarkennetaan politiikkaa täydentävien linjausten ja käytännön ohjeiden avulla. Teoston johtoryhmä on hyväksynyt tämän politiikan ja valvoo sen toteutumista. Politiikan tarkoituksenmukaisuutta arvioidaan vuosittain.

Tämä politiikka voidaan antaa tiedoksi Teoston kumppaneille, asiakkaille ja alihankkijoille turvallisuusasioista viestimiseksi palveluiden hankinnan tai toimittamisen yhteydessä. Ulkoisten osapuolten kuten alihankkijoiden ja palveluntoimittajien osalta tämän politiikan vaatimukset sisällytetään soveltuvilta osin hankintasopimuksiin.

Tietoturvallisuuden käytännön toteutus Teostossa edellyttää sitä, että ihmiset ymmärtävät miksi tietoturvallisuus on tärkeää. Käytännön työn riskien ymmärtäminen ja niiden hallitseminen edellyttää tarkentavien ohjeiden antamista Teoston työntekijöille sekä jatkuvaa tietoturvakouluttamista ja työntekijöiden perehdyttämistä.

Tietoturvavastuut ja organisointi

Kaikki Teostossa työskentelevät henkilöt vastaavat tietoturvallisuusasioista osana muita työtehtäviään oman toimenkuvansa ja vastuualueidensa mukaisesti. Tämä tarkoittaa sitä, että henkilökohtaista vastuuta tietoturvasta huolehtimisesta ei voida siirtää muille eikä ulkoistaa. Tietoturvallisuuden laiminlyönti voi aiheuttaa vakavaa haittaa Teoston maineelle, menestystekijöille ja asiakassuhteille. Politiikan noudattamatta jättämiseen tai vaatimusten vastaiseen toimintaan puututaan matalalla kynnyksellä.

Tietoturvallisuuden johtaminen

Tietoturvapäällikkö kehittää Teoston tietoturvan johtamista, henkilöstön tietoturvaosaamista ja tietojärjestelmien tietoturvallisuutta kokonaisvaltaisesti, sekä avustaa tietoturvakysymyksissä. Tietoturvapäällikkö vastaa tietoturvapolitiikan, sekä sen liitteiden ja muun tietoturvadokumentaation ajantasaisuudesta. Riskienhallintaryhmä käsittelee tietoturvariskejä systemaattisesti osana riskienhallinnan periaatteiden mukaista toimintaansa. Tietoturvapäällikkö raportoi puolivuosittain Teoston riskienhallintaryhmälle tietoturvan tilasta ja tehdyistä toimenpiteistä ja esittää toimintasuunnitelman seuraavalle raportointikaudelle. Johtoryhmä hyväksyy tietoturvapolitiikan ja seuraa sen toteutumista puolivuosittain riskienhallintaryhmän raportin perusteella, sekä päättää heille esitettävien tietoturvatoimien hyväksymisestä ja myöntää hyväksytyille toimille tarvittavat resurssit.

Kaikki työntekijät

Kaikkien Teoston työntekijöiden tulee noudattaa tietoturvapolitiikkaa ja ohjeita työssään, koska ne ovat osa henkilöstön työtehtäviä ja edellytyksiä työn turvalliseksi tekemiseksi. Henkilöstön tulee myös ilmoittaa havaitsemistaan tietoturvaongelmista, rikkomuksista ja riskeistä esimiehelleen tai Tietoturvapäällikölle.

Ulkopuoliset tahot

Ulkopuolisia tahoja, kuten palvelutoimittajia koskeviin sopimuksiin liitetään tämän politiikan tietoturvavaatimuksia soveltuvin osin. Näiden tahojen vastuulla on noudattaa sopimuksellisia tietoturvavaatimuksia siten kuin eri tahojen välillä on sovittu. Toimittajille tehdään riskiperusteisesti tarkastuksia tietoturvan toteutumisen varmistamiseksi.

Johtamisjärjestelmä

Tietoturvajohtaminen Teostossa perustuu tietoturvan johtamisen vuosikelloon, joka katselmoidaan vuosittain.

Riskien arviointi

Tietoturvariskejä arvioidaan riskienhallinnan periaatteiden mukaisesti vähintään puolivuosittain osana riskienhallintaryhmän toimintaa, sekä uusien järjestelmien määrittelyvaiheessa ja merkittävien toiminnan kriittisyyteen vaikuttavien muutosten yhteydessä. Tietoturvariskit arvioidaan ja analysoidaan niiden liiketoimintavaikutusten perusteella. Riskianalyysin perusteella päätetään hallintakeinoista, joiden avulla riskit tuodaan hyväksyttävälle tasolle.

Pääsynhallinta

Teoston pääsynhallinta noudattaa vähimpien oikeuksien periaatetta. Kullakin henkilöllä on pääsy vain työtehtävien suorittamiseen vaadittuihin resursseihin. Kaikki pääsyoikeudet on kirjattu ylös ja niiden myöntämisessä, poistamisessa ja muuttamisessa noudatetaan Teoston pääsynhallintaprosessia. Yhteiskäyttötunnuksia käytetään vain poikkeustapauksissa, jotka tulee hyväksyttää tietoturvapäälliköllä.

Tietojen luokittelu ja käsittely

Teoston käsittelemät aineistot luokitellaan tietojen luokitteluohjeen mukaisesti. Kuhunkin luokkaan kuuluvaa tietoa käsitellään ohjeessa määritellyllä tavalla.

Teoston tietoverkon ja laitteiston käyttö

Teoston verkko on jaettu loogisiin, toisistaan eriytettyihin osiin. IT-tuotanto vastaa työasemien, laitteiden ja palvelinten ylläpidosta. Teoston tietoverkkoa ja laitteita tulee käyttää ensisijaisesti vain työhön liittyvien asioiden hoitamiseen, ja henkilökohtaisen asioiden hoitamista näillä välineillä tulee välttää.

Kaikki Teoston ICT-omaisuus on kirjattu keskitettyyn rekisteriin, jonka ylläpidosta vastaa IT-tuotantopalvelut. ICT-omaisuuden elinkaarenhallinnassa pyritään noudattamaan alan parhaita käytäntöjä ja ICT-omaisuuden käytöstä poistaminen seuraa turvallista poistoprosessia, joka on dokumentoitu. Kaikki ICT-hankinnat noudattavat Teoston hankintapolitiikkaa.

Jatkuvuudenhallinta

Teoston jatkuvuus- ja toipumissuunnittelun tavoitteena on varmistaa Teoston toiminnan kannalta tärkeiden ICT-palveluiden ja järjestelmien toiminta häiriötilanteissa, sekä järjestelmien toipuminen. Teoston jatkuvuudenhallintaa toteutetaan jatkuvuussuunnitelman mukaisesti. Lisäksi jatkuvuussuunnittelun piirissä oleville järjestelmille on laadittu toipumissuunnitelmat. Jatkuvuus- ja toipumissuunnitelmat katselmoidaan osana tietoturvan johtamisen vuosikelloa. Palvelut tietoturvatestataan aina kun siihen on olemassa riskiperusteinen syy.

Ilmoitusvelvollisuus ja sanktiot

Jokaisella työntekijällä on velvollisuus ilmoittaa havaitsemistaan tietoturvaongelmista, rikkomuksista ja riskeistä esimiehelleen tai tietoturvapäällikölle. Politiikan noudattamatta jättäminen voi johtaa sanktioihin, kuten esimerkiksi huomautukseen, varoitukseen tai ääritapauksessa työsuhteen purkamiseen, mikäli kyseessä on tahallinen toiminta.

Lue myös