Siirry sisältöön

Teoston tietoturva

Teoston tietoturvallisuustoiminnan tavoitteena on

  • tukea Teoston liiketoimintaa,
  • suojata Teoston omaisuutta ja mainetta,
  • vastata lain, asiakkaiden ja muiden yhteistyökumppaneiden asettamiin turvallisuusvaatimuksiin sekä
  • varmistaa toiminnan jatkuvuus.

Tietoturvallisuudella tarkoitetaan kaikkien tietojen luottamuksellisuuden, eheyden ja käytettävyyden varmistamista. Tämä politiikka ilmaisee yhdistyksen johdon tahtotilan, jota tarkennetaan politiikkaa täydentävien linjausten ja käytännön ohjeiden avulla.

Jokaisen työntekijän tulee ymmärtää tietoturvan merkitys ja noudattaa tietoturvapolitiikkaa, sitä täydentäviä linjauksia ja ohjeita sekä soveltuvaa lainsäädäntöä.

Tietoturvan toteuttaminen

Riskien arviointi

Tietoturvariskejä arvioidaan säännöllisesti riskienhallinnan periaatteiden mukaisesti, sekä uusien järjestelmien määrittelyvaiheessa ja merkittävien toiminnan kriittisyyteen vaikuttavien muutosten yhteydessä. Tietoturvariskit arvioidaan ja analysoidaan niiden liiketoimintavaikutusten perusteella. Riskianalyysin perusteella päätetään hallintakeinoista, joiden avulla riskit tuodaan hyväksyttävälle tasolle.

Tietoturvapoikkeamien käsittely

Mahdollisten tietoturvaloukkauksien käsittely ja raportointi tehdään tietoturvapoikkeama prosessin mukaisesti.

Tietoturvakoulutus

Henkilöstön ja toimittajien kouluttaminen tapahtuu ensisijaisesti verkkokoulutuksella, huijausviestisimulaatiolla sekä uutisoinnilla TEAMS ja intranet-ympäristöissä.

Tarkentavat linjaukset ja ohjeet

Tietoturvapolitiikka ja siihen liittyvät tarkentavat linjaukset, sekä ohjeet julkaistaan Teoston intranetissa ja ne koskevat kaikkia Teoston työntekijöitä, palveluntoimittajia ja muita henkilöitä, joille on myönnetty pääsy Teoston hallinnoimiin tietojärjestelmiin tai tietoihin. Tämä politiikka voidaan antaa tiedoksi Teoston kumppaneille, asiakkaille ja alihankkijoille turvallisuusasioista viestimiseksi palveluiden hankinnan tai toimittamisen yhteydessä. Ulkoisten osapuolten kuten alihankkijoiden ja palveluntoimittajien osalta tietoturvavaatimukset sisällytetään soveltuvilta osin hankintasopimuksiin.

Pääsynhallinta

Teoston pääsynhallinta noudattaa vähimpien oikeuksien periaatetta. Kullakin henkilöllä on pääsy vain työtehtävien suorittamiseen vaadittuihin resursseihin. Kaikki pääsyoikeudet on kirjattu ylös ja niiden myöntämisessä, poistamisessa ja muuttamisessa noudatetaan Teoston pääsynhallintaprosessia. Yhteiskäyttötunnuksia käytetään vain poikkeustapauksissa, jotka tulee hyväksyttää tietoturvapäälliköllä.

Tietojen luokittelu ja käsittely

Teoston käsittelemät aineistot luokitellaan tietojen luokitteluohjeen mukaisesti. Kuhunkin luokkaan kuuluvaa tietoa käsitellään luokitteluohjeessa määritellyllä tavalla.

Teoston tietoverkon ja laitteiston käyttö

Teoston verkko on jaettu loogisiin, toisistaan eriytettyihin osiin. Teoston tietoverkkoa ja laitteita tulee käyttää ensisijaisesti vain työhön liittyvien asioiden hoitamiseen, ja henkilökohtaisen asioiden hoitamista näillä välineillä tulee välttää.

Kaikki Teoston ICT-omaisuus on kirjattu keskitettyyn rekisteriin, jonka ylläpidosta vastaa IT-toiminto. ICT-omaisuuden elinkaarenhallinnassa pyritään noudattamaan alan parhaita käytäntöjä ja ICT-omaisuuden käytöstä poistaminen seuraa turvallista poistoprosessia, joka on dokumentoitu.

Jatkuvuudenhallinta

Teoston jatkuvuus- ja toipumissuunnittelun tavoitteena on varmistaa Teoston toiminnan kannalta tärkeiden ICT-palveluiden ja järjestelmien toiminta häiriötilanteissa, sekä järjestelmien toipuminen. Teoston jatkuvuudenhallintaa toteutetaan jatkuvuussuunnitelman mukaisesti. Lisäksi jatkuvuussuunnittelun piirissä oleville järjestelmille on laadittu toipumissuunnitelmat. Jatkuvuus- ja toipumissuunnitelmat katselmoidaan osana tietoturvan johtamisen vuosikelloa.

Valvonta ja seuranta

Teknisen tietoturvan tason parantaminen ja ylläpitäminen edellyttävät tietojärjestelmien toiminnan systemaattista ja jatkuvaa automaattista valvontaa. Teknistä tietoturvaa arvioidaan jatkuvasti automaattisin työkaluin ja tärkeimpiin ympäristöihin tehdään erillisiä tietoturvatarkastuksia.

Tietoturvavastuut ja organisointi

Kaikki Teostossa työskentelevät henkilöt vastaavat tietoturvallisuusasioista osana muita työtehtäviään oman toimenkuvansa ja vastuualueidensa mukaisesti. Tämä tarkoittaa sitä, että henkilökohtaista vastuuta tietoturvasta huolehtimisesta ei voida siirtää muille eikä ulkoistaa. Tietoturvallisuuden laiminlyönti voi aiheuttaa vakavaa haittaa Teoston maineelle, menestystekijöille ja asiakassuhteille. Politiikan noudattamatta jättämiseen tai vaatimusten vastaiseen toimintaan puututaan matalalla kynnyksellä.

Tietoturvallisuuden johtaminen

Tietoturvapäällikkö kehittää Teoston tietoturvan johtamista, henkilöstön tietoturvaosaamista ja tietojärjestelmien tietoturvallisuutta kokonaisvaltaisesti, sekä avustaa tietoturvakysymyksissä. Tietoturvapäällikkö vastaa tietoturvapolitiikan, sekä sen liitteiden ja muun tietoturvadokumentaation ajantasaisuudesta. Riskienhallintaryhmä käsittelee tietoturvariskejä systemaattisesti osana riskienhallinnan periaatteiden mukaista toimintaansa. Tietoturvapäällikkö raportoi neljännesvuosittain Teoston riskienhallintaryhmälle tietoturvan tilasta ja tehdyistä toimenpiteistä. Johtoryhmä hyväksyy tietoturvapolitiikan ja seuraa sen toteutumista vuosittain tietosuoja- ja tietoturvaryhmän raportin perusteella, sekä päättää esitettävien tietoturvatoimien hyväksymisestä ja myöntää hyväksytyille toimille tarvittavat resurssit.

LUE MYÖS

Annathan meille palautetta!

Kehitämme verkkosivujamme ja otamme mielellämme vastaan palautetta. Vastaaminen onnistuu nopeasti!