Tietoturvapolitiikka

Information Security Policy in English

Vastuu korkeakoulun toimivuudesta on sen ylimmällä johdolla. Korkeakouluyhteisön toiminta ja palvelut ovat riippuvaisia tietotekniikkapalveluiden keskeytyksettömästä saatavuudesta ja niiden turvallisesta toiminnasta. Tietotekniikan hyödyntäminen ja niin tietotekniikan kuin tietoturvallisuuteen panostaminen ovat johdon strategisia päätöksiä, joilla vaikutetaan korkeakoulun toimintakykyyn. Myös lainsäädäntö asettaa omat velvoitteensa tietoturvallisuudesta huolehtimiselle.

Tietoturvapolitiikka on korkeakoulun johdon kannanotto, joka määrittelee tietojen turvaamisen tavoitteet, vastuut ja toteutuskeinot. Tietoturvapolitiikka annetaan tiedoksi kaikille korkeakouluyhteisön jäsenille ja heidän tulee toimia sen mukaisesti. Politiikkaa tarkennetaan tietojen käsittelyn säännöissä ja ohjeissa.

Tiedon turvaaminen on osa toiminnan ja palveluiden laatua, kokonaisturvallisuutta ja päivittäistä tietojen käsittelyä. Tietoturvallisuuden hyvä hallinta edellyttää kaiken toiminnan jatkuvaa seurantaa, pitkäjänteistä suunnittelua, varautumista uhkatilanteisiin, sovittujen toimintatapojen noudattamista, ohjeita, koulutusta ja viestintää. Tavoitteena on luoda ja ylläpitää luotettava ja turvallinen ympäristö niin korkeakouluyhteisön omien kuin sen toimesta käsiteltävien sidosryhmienkin tietojen käsittelyyn.

Määritelmiä

Hallinnoija

Hallinnoijalla tarkoitetaan kaikkia korkeakoulun palveluiden teknisestä ylläpidosta vastaavia henkilöitä sekä muita henkilöitä, jotka vastaavat järjestelmien hallintaan liittyvistä toimista sekä käyttäjien tuesta ja ohjauksesta. Laajasti ymmärrettynä hallinnoijalla tarkoitetaan jokaista henkilöä, jolla on laajoja oikeuksia järjestelmään riippumatta järjestelmän käyttötarkoituksesta. Hallinnoijaksi lasketaan myös opiskelija, jos hän hallinnoi korkeakoulun tietojärjestelmää tai palvelua.

Palvelu

Palvelu tarkoittaa kokonaisuutta, joka muodostuu teknologiasta, ihmisistä ja prosesseista ja jota tuottaa palvelun tarjoaja tai tuottaja.

Muut käsitteet noudattavat yleisesti tunnettujen sanastojen määritelmiä.

Tavoitteet

Tietoturvallisuus koostuu tiedon luottamuksellisuudesta, eheydestä ja käytettävyydestä. Tavoitteena on turvata riittävällä ja tarkoituksenmukaisella tasolla tietojen, tietojärjestelmien, palveluiden ja tietoverkkojen toiminta, estää niiden valtuudeton käyttö sekä tahaton tai tahallinen tiedon tuhoutuminen ja vääristyminen.

Tietojen turvallisuudesta on huolehdittava niin manuaalisesti kuin tietotekniikankin avulla tapahtuvassa tiedon käsittelyssä, tiedon kaikissa muodoissa sen koko elinkaaren ajan. Korkeakoulun kunkin yksikön luonne ja mahdolliset turvallisuuden tehostamistarpeet otetaan huomioon. Tietojen turvaamisesta on huolehdittava yksiköissä, jotka käsittelevät runsaasti luottamuksellista tai turvaluokiteltua tietoa. Tietojen turvaamisessa huomioidaan omina osa-alueinaan hallinnollinen, henkilöstö-, fyysinen, tietoaineisto-, tietoliikenne-, laitteisto-, ohjelmisto- ja käyttöturvallisuus.

Tietoturvallisuustyö on tietojen turvaamiseksi tehtävää jatkuvaa kehittämistä, suunnittelua, toteuttamista ja seurantaa. Sillä pyritään ennalta ehkäisemään sisäisistä ja ulkoisista tietoon kohdistuvista uhkista aiheutuvat vahingot tai rajoittamaan ne hyväksyttävälle tasolle sekä turvata toiminnan jatkuvuus häiriötilanteessa.

Korkeakoulun tietoturvallisuudesta huolehditaan kansallisten ja kansainvälisten tietoturvallisuutta koskevien säädösten mukaisesti sekä noudattaen tietoturvallisuuden parhaita käytäntöjä ja suosituksia.

Tietoturvan organisointi ja vastuut

Tietoturva ja tietosuoja ovat osa kokonaisturvallisuutta. Tietoturvatoimet mitoitetaan riskienarvioihin perustuen. Tietosuojan periaatteet sekä vastuut määritellään tietosuojapolitiikassa

Jokainen palvelun käyttäjä on velvollinen noudattamaan korkeakoulun antamia sääntöjä ja ohjeita.

Keskeisimmät tietoturvallisuuteen liittyvät toimijat ja roolit sekä heidän vastuunsa ja velvollisuutensa on kerrottu erillisessä tietoturvavastuut-dokumentissa.

Toteutuskeinot

Tietoturvallisuuden ylläpito ja kehittäminen on jatkuva prosessi. Käyttäjien toimintaa ohjataan käyttösäännöillä ja toimintaohjeilla sekä tietojen turvallisen käsittelyn koulutuksella ja viestinnällä. Tietojen turvallisesta käsittelystä solmitaan sopimukset korkeakoulun tietoja käsittelevien organisaatioiden sekä yhteistyökumppanien kanssa.

Tiedon käsittely perustuu tiedon luonteen tunnistamiseen ja riskiarviointiin sekä lainsäädännön asettamiin vaatimuksiin.

Tietoturvapolitiikan ja riskikartoituksien pohjalta laaditaan korkeakoulun tietoturvasuunnitelma, jossa kuvataan kehittämistarpeet  ja toteutuskeinot.

Yksiköt vastaavat oman toimintansa osalta tietoturvallisuuden kehittämistarpeista ja toteuttamisesta yhdessä tietoturvaorganisaation kanssa. Yksiköt vastaavat siitä, että heille kriittiset järjestelmät suunnitellaan, ylläpidetään sekä testataan ja ne on huomioitu yksikön jatkuvuussuunnitelmassa.

Henkilökuntaa ja opiskelijoita ohjeistetaan tietoturvallisuudesta. Korkeakouluyhteisön jäsenten tietoturvallisuustietoisuutta kasvatetaan säännöllisesti. Korkeakoulun tietojenkäsittelyn tietoturvallisuuden tasoa arvioidaan sisäisen tai ulkoisen tarkastuksen keinoin.

Viestintä

Mikäli julkista tiedottamista tarvitaan, siitä päättää korkeakouluyhteisön johto yhdessä viestinnän kanssa. Sisäisestä viestinnästä vastaa tietoturvaorganisaatio.

Tietoturvallisuuden seuranta ja ongelmatilanteiden käsittely

Tietoturvaorganisaation tehtävänä on tehdä tietojen käsittelyn turvallisuuteen liittyviä kartoituksia ja ryhtyä toimenpiteisiin havaittujen puutteiden korjaamiseksi. Erikseen nimetyillä henkilöillä on häiriötilanteissa oikeus ryhtyä välittömiin toimenpiteisiin organisaatioon tai sen tietoihin kohdistuvan riskin minimoimiseksi.

Tietoturvallisuuden ylläpito edellyttää jatkuvaa seurantaa ja raportointia. Tietoturvapäällikkö koordinoi tietoturvallisuuden seurantaa ja raportoi säännöllisesti tietoturvallisuudesta korkeakouluyhteisön johdolle.

Yhteisön tulee ilmoittaa havaitsemistaan tietoturvallisuuden puutteista, tietoturvallisuuteen liittyvistä väärinkäytöksistä tai epäilemistään tietoturvarikkomuksista tietoturvaorganisaatiolle. Tietoturvarikkomusten seuraamuksista on omat erilliset sääntönsä.