Tietoturvapolitiikka

Tulosta

1. Johdanto

Yhteiskunta ja sen toiminnot ovat riippuvaisia ICT-teknologiasta ja sen toimintavarmuudesta. Tietojen käsittelyyn ja tietotekniikkaan liittyviä riskejä pitää tunnistaa ja hallita prosessinomaisesti. Tietoturvan tärkeyttä lisäävät myös kansalaisille suunnattujen sähköisten palvelujen laajentuminen, tietojärjestelmien etä- ja mobiilikäyttö, pilvipalvelut, organisaatioiden kuten esimerkiksi kuntien yhteistyö palvelujen järjestämisessä sekä laaja palveluntuottajien verkosto.

Tietoturvallisuuteen liittyvillä keskeisillä käsitteillä tarkoitetaan käytännössä seuraavaa:

Luottamuksellisuus; kukaan sivullinen ei saa salassa pidettävää tietoa

Eheys; tiedon yhtäpitävyys alkuperäisen tiedon kanssa

Käytettävyys; tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana

Tietoturvallisuuteen kohdistuvat uhat aiheuttavat riskin tietojen, tietojärjestelmien tai tietoliikenteen luottamuksellisuudelle, eheydelle ja käytettävyydelle.Henkilöiden mahdollinen osaamattomuus, huolimattomuus ja välinpitämättömyys aiheuttavat merkittävimmän uhan organisaation tietoturvallisuudelle. Lisäksi uhkia aiheuttavat tietoisesti tehty tietojen väärinkäyttö, tietomurrot, virheellisesti toimivat ohjelmistot ja laitteet, virukset, haittaohjelmat, palvelunestohyökkäykset sekä tekniset ongelmat. Merkittäviä uhkia voi liittyä myös ulkopuolisten palvelujen tuottamiseen, mikäli palveluntuottajien kanssa ei ole tehty kattavia sopimuksia, joissa huomioidaan tietoturvaan, tietosuojaan ja varautumiseen liittyvät asiat sekä rikkomuksiin liittyvät sanktiot. Jokaisessa organisaatiossa, prosessissa, projektissa ja tietojärjestelmässä tulee huolehtia tietoturvaan ja tietosuojaan sekä laajemminkin tietotekniikkaan liittyvien riskien hallinnasta. Riskien negatiivisia vaikutuksia pitää minimoida teknisillä ja hallinnollisilla keinoilla.

2. Tietoturvapolitiikka ja sen tavoite

Tietoturvapolitiikka on sisäinen määräys, joka pitää jakaa kattavasti tiedoksi ja noudatettavaksi. Tietoturvapolitiikkaan sisältyvät yleensä erikseen hyväksytyt tietoturvaan ja tietosuojaan liittyvät muut määräykset ja ohjeet. Tietoturvallisuuden ensisijaisena päämääränä on organisaatioiden vastuulla olevien palvelujen jatkuvuuden turvaaminen kaikissa olosuhteissa eli tietotekniikkanäkökulmasta mahdollistaa organisaation palveluihin liittyvien ICT-ratkaisujen käytettävyys sekä prosesseissa, rekistereissä ja palveluissa käytettävien tietojen eheys ja luottamuksellisuus kaikissa olosuhteissa. Toimintalähtöisesti painottuvalla tietoturva- ja tietosuoja-asioiden hoidolla tuetaan oman organisaation toiminnalle asetettuja vaatimuksia ja varmistetaan tietojen ja tietojärjestelmien huolellinen käsittely varmistaen samalla kansalaisten yksityisyyden suoja.

3. Tietoturvatoimintaa ohjaavat tekijät

Tietoturvatoimintaa ohjataan säädöksin, määräyksin, ohjein ja suosituksin. Näihin liittyviä päätöksiä tehdään sekä omassa organisaatiossa että sen ulkopuolella. Esimerkkejä toimintaa tietoturvallisuuden ja tietosuojan näkökulmasta ohjaavista säädöksistä ovat:

Lainsäädännön lisäksi tulee noudattaa muita omalle organisaatiolle hyväksyttyjä tietoturvaan ja tietosuojaan liittyviä ohjeita ja määräyksiä. Organisaation omat päätökset, määräykset ja ohjeet eivät koskaan saa olla ristiriidassa tietoturvapolitiikan tai organisaation ylemmän tason määräysten kanssa siten, että tietoturva tai tietosuoja heikkenee.

Toiminnan tietoturvallisuuden kannalta tärkeimmät turvattavat kohteet ovat henkilöt, tilat, laitteet, tietoliikenne, tietojärjestelmät, palvelut sekä tiedot ja tietoaineistot kaikissa olomuodoissaan. Näiden kohteiden turvaamisen tavoitteena on operatiivisten järjestelmien ja sisäisen tietoverkon toiminnan turvaaminen sekä palvelujen tuottaminen normaali- ja poikkeusoloissa.

4. Tietoturvapolitiikan sisältö

Tietoturvapolitiikassa kannattaa ottaa huomioon vähintään tällaiset asiakokonaisuudet:

Tietoja