Tietoturva- ja tietosuojapolitiikka
1. Johdanto
Kyyjärven kunnan tietoturvapolitiikka, ohjeet ja määräykset, koskevat kaikkia kunnan työntekijöitä, luottamushenkilöitä, työryhmiä, toimielimiä ja sidosryhmän edustajaa, joka työnsä tai toimeksiantonsa puitteissa käsittelee kunnan omistamaa tai hallinnoimaa tietoa.
Kunnan johto määrittelee tässä politiikassa tietoturvallisuutta ja tietosuojaa koskevat periaatteet, linjaukset, vastuut ja tavoitteet. Politiikka toimii perustana kunnan tietoturvallisuutta ja tietosuojaa koskeville ohjeille, joiden tehtävänä on tarkentaa politiikkaa ja auttaa sen käytäntöön soveltamisessa. Kunnan tietoturvatyötä tehdään tiiviissä yhteistyössä Saarijärven-Viitasaaren seutukunnan kuntien ja niiden yhdessä omistaman Pohjoisen Keski-Suomen Verkkopalvelut Oy:n kanssa sekä Joki ICT Oy:n, jolta kunta ostaa tietosuojavastaavan palvelut 1.2.2020 lukien.
Kunnan toiminnassa käsitellään paljon eri muodoissa olevaa julkista ja salaista tietoa. Tieto on keskeisessä roolissa kunnan toiminnassa ja palvelutuotannossa. Jotta tieto on tehokkaasti hyödynnettävissä, tulee tiedon hallinta- ja käsittelykäytäntöjen toimia asianmukaisesti kaikissa tilanteissa. Tietoturvallisuuden ja tietosuojan parantaminen on myös osa kunnan toiminnan kehittämistä, jatkuvuuden varmistamista ja valvontaa.
Tietosuojapolitiikkaa sovelletaan kaikkeen tietoon ja muuhun dataan (myöh. tieto) riippumatta sen esitystavasta, muodosta, suojaustasosta, elinkaaren vaiheesta, esiintymisympäristöstä tai siirtotiestä.
2. Vaatimustenmukaisuus ja tavoitteet
Velvoittavan lainsäädännön lisäksi kunnan tietoturvallisuudelle ja tietosuojalle asettaa vaatimuksia kunnan toimintaympäristö. Kunta on valinnut tietoturvallisuutta ja tietosuojaa ohjaaviksi tekijöiksi, soveltuvilta osin, seuraavat säädöstöt ja ohjeet:
-EU:n yleinen tietosuoja-asetus: (EU) 2016/679 ja sitä täydentävä tietosuojalaki (1020/2018)
-Laki julkisen hallinnon tiedonhallinnasta 906/2019
- Julkisen hallinnon digitaalisen turvallisuuden johtoryhmän (VAHTI) ohjeet
Kunnan tietoturva- ja tietosuojatyön tavoitteena on:
-yhdenmukaistaa kunnan sisäisiä turvallisuuskäytäntöjä kehittämällä kunnan turvallisuuskulttuuria
- varmistaa seudullinen turvallisuuskäytäntöjen yhteensopivuus tekemällä yhteistyötä sidosryhmien kanssa
Tavoitteiden saavuttamiseksi toteutetut ja suunnitellut toimenpiteet, kuvataan erillisissä suunnitelmissa.
3. Tietoturvallisuus ja tietosuoja
Tietoturvallisuudella tarkoitetaan kunnassa hallinnollisia, teknisiä ja muita keinoja, joilla suojataan kunnan omistamaa tai hallinnoimaa tietoa normaali- ja häiriötilanteissa sekä poikkeusoloissa. Toteutuakseen tietoturvallisuus vaatii seuraavien, painoarvoltaan tapauskohtaisesti vaihtelevien asioiden, toteutumista:
Luottamuksellisuus: Tieto on vain tietoon oikeutettujen käytettävissä.
Eheys: Tietoa ei ole muutettu tahallisesti tai tahattomasti, eikä tieto ole muuttunut teknisen häiriön seurauksena.
Saatavuus: Tieto, tietojärjestelmä tai palvelu on siihen oikeutettujen henkilöiden ja järjestelmien saatavilla ja käytettävissä silloin kun sitä tarvitaan.
Kiistämättömyys: Todisteiden keräämistä sen varmistamiseksi, ettei yksikään tietojen käsittelyn tai siirron osapuoli voi jälkikäteen kiistää osuuttaan siihen.
Tietosuojalla tarkoitetaan kunnassa velvoittavien tietosuojasäädösten mukaisia toimenpiteitä, joilla varmistetaan henkilön riittävä yksityisyyden suoja, ja muut sitä turvaavat oikeudet, henkilötietoja käsiteltäessä.
Henkilötiedot, joita kunta rekisterinpitäjänä kerää ja käsittelee, kuvataan kunnan tietosuojasivuilla.
Tietoturvallisuus ja tietosuoja, sekä niihin liittyvät kunnan määrittelemät vaatimukset, tulee huomioida mahdollisimman varhaisessa vaiheessa osana toiminnan, hankintojen ja teknisten järjestelmien suunnittelua.
4. Kokonaisturvallisuus
Kokonaisturvallisuudella tarkoitetaan kunnan määrittelemiä turvallisuuden, riskienhallinnan ja varautumisen osa-alueita, jotka yhdessä tietoturvallisuuden ja tietosuojan kanssa muodostavat eheän kokonaisuuden kunnan tiedon suojaksi:
Kyberturvallisuus: Toimenpiteet, joilla turvataan kybertoimintaympäristön[1] luottamuksellisuus, eheys, saatavuus ja jatkuvuus.
Fyysinen turvallisuus: Toimenpiteet, järjestelmät ja rakenteet, joiden avulla kunnan tiloja, siellä olevia ihmisiä, kuljetuksia, matkatyötä sekä tietoa ja muuta omaisuutta suojataan fyysisiltä ja kiinteistö- ja ympäristövahingoilta, vahingoittamisyrityksiltä ja oikeudettomilta henkilöiltä.
Henkilöstöturvallisuus: Tietoturvallisuuteen vaikuttavat toimenpiteet, joita suoritetaan henkilöstöprosessissa ennen palvelussuhdetta, sen aikana ja sen päättymisen yhteydessä.
Riskien hallinta: Järjestelmällistä toimintaa riskien hallitsemiseksi niin, että ne ovat optimisuhteessa riskien rajoittamisen kustannuksiin samalla kun kunnan toiminnalle asetetut tavoitteet voidaan saavuttaa.
Varautuminen: Tekniset järjestelyt ja toimintatavat, joilla kunnan toimintojen ja palveluiden jatkuvuus turvataan normaalioloissa, häiriötilanteissa sekä poikkeusoloissa.
Asianmukaisilla ja ajantasaisilla sopimuksilla varmistetaan tässä politiikassa kuvattujen periaatteiden toteutuminen myös sidosryhmien kanssa tehtävässä yhteistyössä.
5. Organisointi, roolit ja vastuut
Tietoturvallisuuteen ja tietosuojaan liittyvät roolit vastuineen on organisoitu kunnassa seuraavasti.
Kunnanhallitus seuraa tietoturvallisuuden ja tietosuojan toteutumista kunnassa. Kunnanhallitus hyväksyy tietoturvapolitiikan. Lisäksi hallituksella on vastuu kunnan sisäisen valvonnan ja riskienhallinnan järjestämisestä.
Kunnanjohtajalla on kokonaisvastuu tietoturvallisuuden ja tietosuojan toteuttamisesta ja niiden toteutumisen raportoinnista hallitukselle. Kunnanjohtaja omistaa tietoturvapolitiikan ja hyväksyy siitä johdetut tarkentavat ohjeet ja määräykset. Lisäksi hän vastaa kunnan turvallisuussuunnittelusta, varautumisesta sekä tietoturvallisuuden ja tietosuojan toteutumisesta henkilöstöprosessissa.
Toimialajohtaja vastaa toimialansa sisäisten toimintojen ja tuottamien palveluiden (prosessien) sekä tietojärjestelmien riskienhallinnasta, varautumisesta sekä tietoturvallisuuden ja tietosuojan toteutumisesta.
Pääkäyttäjä vastaa järjestelmänsä tai sovelluksensa osalta tietoturvallisuuden ja tietosuojan toteuttamisesta toimialajohtajan ohjauksessa.
Tytäryhteisöjen hallitukset ja toimitusjohtajat vastaavat tietoturvallisuuden ja tietosuojan toteutumisesta sekä kokonaisturvallisuuden toteutumisesta omissa organisaatioissaan.
Esimies vastaa tietoturvallisuuden ja tietosuojan toteutumisesta omalla vastuualueellaan. Esimiehen keskeisimmät tehtävät ovat huolehtia:
-oman organisaationsa perehdyttämisestä kunnan tietoturva- ja tietosuojaohjeisiin sekä jokaisen työntekijänsä työtehtäviin liittyviin tietoturva- ja tietosuojavastuisiin.
-
työntekijän palvelussuhteen päättyessä tai henkilön siirtyessä toisiin tehtäviin:
-kunnan tiedon ja muun omaisuuden palauttamisesta
-ilmoittamisesta ICT-tukihenkilölle työntekijän käyttöoikeuksien
ja -valtuuksien poistamiseksi
Henkilöstö vastaa omalta osaltaan määräysten ja ohjeiden noudattamisesta. Jokaisen vastuulla on lisäksi poikkeamien, uhkien ja riskien ilmoittaminen välittömästi omalle esimiehelleen, tietosuojavastaavalle tai IT-vastuuhenkilölle.
Tiedon omistaja vastaa tiedon luokittelusta (julkisuuden ja salassapidon määrittely) ja eheyden varmistamisesta sekä tallentamisesta luokituksen edellyttämään ympäristöön.
Tietojärjestelmän tai muun teknisen kokonaisuuden omistaja vastaa järjestelmänsä ja sen sisältämän tiedon riskienhallinnasta ja varautumisesta sekä tietoturvallisuuden ja tietosuojan toteutumisesta.
Joki ICT Oy:ltä ostettava tietosuojavastaavan palvelu edistää tietoturvallisuuden ja tietosuojan toteutumista kunnassa. Tietosuojavastaava on riippumaton toimija, joka seuraa tietosuojaa ohjaavan lainsäädännön noudattamista kunnassa. Lisäksi tietosuojavastaava tekee yhteistyötä valvonta- ja muiden viranomaisten kanssa sekä tukee ja neuvoo tietoturva- ja tietosuoja -asioissa. Tietosuojavastaava raportoi tietoturvallisuuden ja tietosuojan toteutumisesta kunnanjohtajalle ja sekä vastaa tietoturvallisuuteen ja tietosuojaan liittyvästä viestinnästä yhdessä viestintätoimen kanssa.
Tietosuojaryhmä toimii tietosuojavastaavan tukena kunnassa. Tietosuojaryhmä seuraa tietoturvallisuuden ja tietosuojan yleistä kehittymistä, uhkia ja riskejä sekä tietoturvallisuuden ja tietosuojan toteutumista kunnassa. Ryhmä analysoi ja arvioi em. kokonaisuutta ja tekee siihen perustuen kehitysehdotuksia kunnan tietoturvallisuuden ja tietosuojan parantamiseksi. Lisäksi ryhmä toimii, yhdessä tietosuojavastaavan kanssa, kunnan tukena tietoturva- ja tietosuoja -asioissa.
Kunnan ICT-tukihenkilö vastaa teknisen tietoturvallisuuden suunnittelusta, ohjauksesta ja toteuttamisesta yhteistyössä PKSV Oy:n ja Joki ICT Oy:n kanssa. Hän raportoi kunnanjohtajalle ja tietosuojavastaavalle sekä tarvittaessa sidosryhmille.
TSR ryhmän tehtäviin kuuluu tietoturvallisuuden ja tietosuojan toteutumisen asianmukaisuuden ja riittävyyden arviointi.
Ulkoiset sidosryhmät vastaavat omalta osaltaan tietoturvallisuuden ja tietosuojan toteuttamisesta, sopimuksissa kuvattujen kunnan asettamien vaatimusten mukaisesti. Tämä huomioitava hankintoja tehtäessä.
6. Tiedon ja tietojärjestelmien käyttö
Kunnan tietojärjestelmäympäristössä käytetään kunnan hyväksymiä tietojärjestelmiä, laitteita ja ohjelmistoja, jotka on tarkoitettu pääsääntöisesti työtehtävien hoitamista varten. Kunnan tietojärjestelmäympäristöön saa tehdä asennuksia ja muutoksia vain kunnan ICT-tukihenkilö tai muu kunnan valtuuttama taho.
Pääsyoikeudet kunnan tietoverkkoon ja -järjestelmiin sekä käyttöoikeudet kunnan omistamaan ja hallinnoimaan tietoon myönnetään työtehtävien hoitoon tarvittavassa laajuudessa.
7. Tietoturvallisuuden ja tietosuojan toteuttaminen
Tietoturvallisuutta ja tietosuojaa toteutetaan kunnan hallintojärjestelmässä kuvattavilla jatkuvaan parantamiseen tähtäävillä johtamis- ja muilla käytännöillä. Keskeistä toteuttamisessa on, että kunnalla on riittävät kyvykkyydet kehittää ja ylläpitää turvallisuuskulttuuriaan mm. seuraavasti:
-Tietoturvallisuutta ja tietosuojaa johdetaan järjestelmällisesti
-Henkilöstön osaamisesta huolehditaan jatkuvilla koulutuskäytännöillä
-Toimintaympäristön tilaa seurataan aktiivisesti
-Uhka- ja riskiympäristöä arvioidaan säännöllisesti ja reagoidaan tilanteen edellyttämällä tavalla
-Poikkeamiin ja häiriöihin varaudutaan ennakolta ylläpitämällä, harjoittelemalla ja testaamalla tarvittavia jatkuvuus- ja muita suunnitelmia.
8. Dokumentin ylläpito
Tämän politiikan säännöllisestä katselmoinnista ja päivittämisestä vastaa kunnanjohtaja tai hänen nimeämänsä taho. Politiikka on julkisesti saatavilla osoitteessa www.kyyjarvi.fi. Kunnan tietoturva- ja tietosuojadokumentaatiota kokonaisuudessaan pidetään henkilöstön saatavilla kunnan sisäisissä informaatiokanavissa työtehtävien edellyttämässä laajuudessa.
Dokumentti hyväksytty kunnanhallituksessa 10.2.2020 § 27
[1] Toistensa kanssa eri teknologioiden avulla vuorovaikutuksessa olevien henkilöiden, järjestelmien sekä palveluiden muodostama ympäristö.