Tietoturvavastuut

Information Security Responsibilities in English

Yleinen vastuu tietoturvallisuuden ylläpitämisestä korkeakouluyhteisössä

Jokainen yhteisön jäsen on vastuussa siitä, että hän

  • tuntee häntä koskevat tietoturvallisuudesta annetut ohjeet ja noudattaa niitä,
  • luo ja toteuttaa hyvää tietoturvallisuuskulttuuria päivittäisissä toimissaan,
  • osallistuu hänelle suunnattuun tietoturvallisuuskoulutukseen ja
  • tuntee hänelle annetut tai asemansa puolesta kuuluvat tietoturvavastuut ja -tehtävät ja toimii niiden edellyttämällä tavalla
  • ilmoittaa tietoturvan vaarantumisesta ja vakavista poikkeamista tietoturvaorganisaatiolle, ylläpitohenkilöstölle tai esimiehelleen.

Tietoturvallisuus on mukana yhteisön työssä

Suuri osa tietoturvallisuuden toteuttamiseksi yhteisössä tehdystä työstä sisältyy osana yhteisössä työskentelevien normaaleihin tehtäviin.

Jokaisen yhteisössä työskentelevän on tunnettava työhönsä sisältyvä vastuu

  • tiedon luottamuksellisuuden,
  • tiedon säilymisen ja oikeellisuuden,
  • tiedon oikea-aikaisen ja käyttövaltuuksiin perustuvan saatavuuden sekä
  • lain edellyttämän tiedon julkisuuden, salassapidon sekä tietosuojan turvaamiseksi korkeakouluyhteisössä

Yleisen tietoturvallisuuden ja tietosuojan toteuttamisvastuun lisäksi tiettyihin työtehtäviin ja -rooleihin liittyy erityisiä vastuita.

Erityiset tietoturvatehtävät ja -vastuut

Korkeakouluyhteisössä erityisiä tietoturvaan liittyviä tehtäviä ja vastuita on seuraavilla työrooleilla ja -tehtävillä, joiden vastuut kuvataan alla.

  • Johto
  • Tietohallinto
  • Tietoturvapäällikkö
  • Tietoturva-asiantuntija
  • Tietoturvaryhmä
  • Yksikön johtaja
  • Palvelun omistaja
  • Palvelun hallinnoija
  • Toimeksiantoa suorittavat konsultit ja palveluyritykset 

Johdon tehtävänä on

  • hyväksyä tietoturvapolitiikka
  • vastata politiikan toteutuksen edellytyksistä ja resursoinnista
  • vastaa tietoturvaan liittyvästä ulkoisesta viestinnästä

Tietohallinnon tehtävänä on

  • vastata tietoturvan teknisestä toteuttamisesta ja sen teknisestä valvonnasta
  • vastata omien palveluidensa tietoturvasta

Tietoturvapäällikön tehtävänä on  

  • korkeakoulun tietoturvallisuuden kokonaisvaltainen kehittäminen, ohjaaminen, seuranta ja johtaminen,
  • osallistua kokonaisriskienhallintaa tietoturvallisuus- ja tietoriskien osalta
  • tietoturvan koordinoiminen hankinnoissa, projektoinnissa sekä järjestelmätyössä yhdessä palvelujen omistajien ja tietoturvaorganisaation kanssa,
  • osallistua palvelun tietoturvan kannalta tärkeisiin verkostoihin
  • yhteistyö tietosuojaorganisaation kanssa
  • tietoturvakoulutuksen suunnittelu ja koordinointi,
  • tietoturva-auditointien koordinointi
  • tietoturvahäiriöiden käsittelyn koordinointi,
  • viranomaisyhteistyön koordinointi
  • raportointi korkeakouluyhteisön johdolle
  • vastaa tietoturvaan liittyvästä sisäisestä viestinnästä

Tietoturva-asiantuntijan tehtävänä on

  • seurata lainsäädäntöä ja siihen liittyvää ohjeistusta
  • seurata valtionhallinnon ohjeistusta
  • laatia tietoturvaohjeistusta ja –tiedotteita korkeakoululle ja sen yksiköille
  • osallistua tietoturvakoulutuksen suunnitteluun
  • osallistua tietoturvasuunnitelman toteuttamiseen
  • osallistua korkeakoulujen, valtionhallinnon ja muihin  tietoturvan kannalta tärkeisiin verkostoihin (mm. CERT-FI, FUNET-CERT, sec-ryhmä)
  • osallistua jatkuvuussuunnittelutyöhön
  • osallistua tietoturva-auditointiin sekä konsultointiin
  • osallistua turvallisuusselvityksien ja riskianalyysien tekemiseen
  • osallistua tietoturvahäiriöiden käsittelyyn
  • toimia tietoturvallisuuden teknisenä asiantuntijana
  • osallistua tietoturvaan liittyvään sisäiseen viestintään

Tietoturvaryhmän tehtävänä on

  • edustaa korkeakoulun eri tahojen tietoturvanäkemyksiä
  • sovittaa yhteen vaadittu turvallisuustaso ja turvallisuustoimenpiteet
  • tehdä ehdotuksia tietoturvallisuuden parantamiseksi
  • osallistua korkeakoulun tietoturvasuunnitelman ja jatkuvuussuunnitelman valmisteluun
  • tukea tietoturvapäällikköä tietoturvallisuuden kehittämisessä
  • tietoturvallisuuden seuranta
  • tehdä esityksiä henkilöstön tietoturvallisuustietoisuuden lisäämisestä ja tietoturvakoulutuksesta

Yksikön johtajan tehtävänä on

  • vastata yksikkönsä tietoturvallisuuden ohjauksesta, kehittämisestä ja resursoinnista
  • vastaa että yksikön henkilöstö on perehtynyt tieto-turvallisuusohjeistoon ja heillä on riittävä tietoturvallisuuskoulutus

Palvelun omistajan tehtävänä on

  • vastata palvelun tietoriskien hallinnasta
  • nimetä palvelun vastuuhenkilöt ja heidän varahenkilönsä sekä hallinnointihenkilöt
  • raportoida palvelun tietoturvallisuuteen vaikuttavista tekijöistä yksikön johtajalle sekä korkeakoulun tietoturvaorganisaatiolle
  • vastata lain mukaisista palvelua koskevista selosteista
  • vastata palvelun ja sen tietojen suojauksesta, käyttöoikeuksista sekä varmuus- ja suojakopioinnista
  • toimeenpanna palveluunsa liittyvät turvallisuustoimenpiteet ja kehittää niitä
  • seurata palvelun tietoturvallisuutta
  • vastaa palveluun liittyvästä jatkuvuussuunnittelusta
  • huolehtia palveluun käyttöön liittyvästä koulutuksesta
  • vastata tietoturvasuunnitelmien laadinnasta yhdessä palvelun kehittäjän kanssa
  • vastata, että palvelusta ylläpidetään ajan tasainen dokumentaatio

Palvelun hallinnoijan tehtävänä on

  • seurata ja ylläpitää palvelun turvallisuutta
  • raportoida tietoturvallisuudesta ja siihen kohdistuvista häiriöistä palvelun omistajalle ja tietoturvaorganisaatiolle
  • noudattaa hyvää tiedonhallinta- ja tietoturvallisuustapaa
  • soveltaa ja toteuttaa korkeakouluyhteisön tietoturvapolitiikkaa omaa erityisasiantuntemustaan hyödyntäen
  • varautua häiriöihin ja niiden vaatimiin toimenpiteisiin
  • laatia käyttöohjeet ja huolehtia niiden ajantasaisuudesta
  • huolehtia jatkuvuussuunittelun menettelyohjeista koskien mm. palvelun varmistus- ja palautusmenettelyjä
  • osallistua palvelun tietoturvan kannalta tärkeisiin verkostoihin

Konsulteilta ja palveluyrityksiltä edellytetään

  • hyvän tietojenkäsittely- ja tietoturvallisuustavan noudattamista
  • tietoturvallisuuden valvontaa ja ylläpitoa omassa toiminnassaan
  • tietoturvallisuuden ja siihen vaikuttavien tekijöiden raportointia toimeksiantajalle
  • toimeksiantajan ohjeistuksien noudattamista