Tietoturva- ja tietosuojaohjelma

Omnian tietoturva- ja tietosuojaohjelma koskee Omnian kaikkia työntekijöitä ja opiskelijoita.

1 Tietoturva ja tietosuojaohjelman päämäärät osana Omnian strategiaa

Tietoturva- ja tietosuojaohjelma on osa Espoon seudun koulutuskuntayhtymä Omnian strategiaa ja osaltaan tukee sen tavoitteiden toteuttamista. Ohjelmalla määritellään koulutuskuntayhtymän tietoturvallisuuden ja tietosuojan tavoitteet, vastuut sekä toteutuskeinot.

Omnian tietoturva- ja tietosuojaohjelma koskee Omnian kaikkia työntekijöitä ja opiskelijoita. Se käsittää erityisesti sähköisesti käsiteltäviä rekistereitä ja aineistoja, mutta myös muita aineistoja ja tuotoksia.

Tietoturva- ja tietosuojaohjelma tukee osaltaan Omnian kokonaisturvallisuutta ja turvallisuusohjelman toteutusta.

2 Tietoturvan ja tietosuojan organisointi ja vastuut

Henkilökunnalla ja opiskelijoilla on vastuu tietoturvallisuuden ja tietosuojan toteuttamisesta omalta osaltaan. Jokainen koulutuskuntayhtymän tietojenkäsittelyjärjestelmien käyttäjä on velvollinen noudattamaan koulutuskuntayhtymän käyttösääntöjä ja tietoturva- sekä tietosuojaohjeita.

Tietoturvallisuutta ja tietosuojaa johtaa koulutuskuntayhtymän johtaja. 

Tietojärjestelmien omistajilla on vastuu omien järjestelmiensä tietoturvallisuuden ja tietosuojan toteuttamisessa.

Omnian tietoturvaryhmä vastaa tietoturva- ja tietosuojaohjelman laatimisesta sekä sen päivittämisestä, koulutuskuntayhtymää koskevista yleisistä ohjeistuksista sekä tietoturvan ja tietosuojan kehittämissuunnitelmasta.

Tietoturvavastaava vastaa koulutuskuntayhtymän tietoturvallisuuden kartoittamisesta ja tietoturvallisuustietouden edistämisestä.

Tietosuojavastaava vastaa erityisesti tietosuojan kehittämisestä, toteutuksen valvonnasta sekä tietosuojatietouden edistämisestä.

Tietoturva- ja tietosuojavastaavan velvollisuutena on ilmoittaa väärinkäytöksistä tietoturvaryhmälle ja ryhtyä toimenpiteisiin havaittujen heikkouksien korjaamiseksi.

Omnian turvallisuusryhmä vastaa Omnian kokonaisturvallisuudesta. Sen vastuulla ovat erityisesti kriisitilanteiden hallinta sekä kiinteistö-, palo-, henkilö- ja ympäristöturvallisuus.

3 Käsitteitä

Tietosuoja tarkoittaa ihmisten yksityisyyden kunnioittamista ja suojelemista oikeudellisia säännöksiä noudattavien periaattein ja toimintakäytännöin.

Tietoturvallisuus tarkoittaa tietojenkäsittelyn ja tietoliikenteen turvaamista.

Tietoturvallisuus rakentuu tiedon luottamuksellisuudesta, eheydestä ja käytettävyydestä sekä soveltuvilta osin pääsynvalvonnasta ja kiistämättömyydestä.

Tietoturvallisuus kattaa kaikenlaiset kuntayhtymän tietojenkäsittelytehtävät sisältäen myös toimistotyöt ja arkistoinnin. Tietoturvallisuustoimet koskevat sähköisessä, audiovisuaalisessa, suullisessa ja kirjallisessa muodossa olevan tiedon käsittelyä, siirtoa ja säilyttämistä.

Luottamuksellisuus tarkoittaa, että tiedot ovat sovituilla tavoilla ja sovittuun aikaan vain niiden käyttöön oikeutettujen saatavissa ja ettei tietoja paljasteta tai muutoin saateta sivullisten tietoon.

Eheys tarkoittaa, että tiedot ja tietojärjestelmät ovat luotettavia, oikeellisia ja ajantasaisia eivätkä ole muuttuneet tai vahingoittuneet laitteisto- tai ohjelmistovikojen, luonnontapahtumien tai oikeudettoman inhimillisen toiminnan seurauksena.

Käytettävyys tarkoittaa, että tiedot ja tietojenkäsittelyjärjestelmät ovat toiminnan kannalta hyväksyttävän ajan kuluessa käytettävissä ja käyttökelpoisia valtuutetuille käyttäjille.

Kiistämättömyys tarkoittaa todisteiden luomista sen varmistamiseksi, ettei yksikään tietojen käsittelyn tai siirron osapuoli voi jälkikäteen kiistää osuuttaan siihen.

Pääsynvalvonnalla huolehditaan siitä, että vain tietoon tai resurssiin oikeutetut henkilöt pääsevät tietoon tai resurssiin käsiksi

Tietoturvallisuustyö on tietoturvallisuuden saavuttamiseksi tehtävien toimenpiteiden suunnittelua ja toteuttamista. Toimintaan kuuluvat tietojen turvaamisen menetelmät, välineet ja toimenpiteet, työhön osoitetut resurssit sekä välineistön tietoturvaominaisuudet.

4 Tavoitteet

Kuntayhtymän tietoturvallisuus- ja tietosuojatyön tavoitteena on kuntayhtymän keskeisten toimintojen turvaaminen, estää tietojen ja tietojärjestelmien valtuudeton käyttö sekä estää tiedon tahallinen tai tahaton tuhoutuminen tai vääristyminen sekä minimoida aiheutuvat vahingot.

Tietoturvallisuus kattaa koulutuskuntayhtymän kaiken tietojenkäsittelyn huomioiden yksikköjen perusluonteen ja mahdollisen tarpeen myös tietoturvallisuuden tehostamiseen.

Koulutuskuntayhtymän tavoitteena on, että tietoturva ja tietosuoja ovat hyvää kansallista tasoa, tämän lisäksi tietoturvallisuuden perustaso kattaa koulutuskuntayhtymän koko tietojenkäsittelyn.

5 Toteutuskeinot

Tietoturvallisuuden ja tietosuojan toteuttamisen perusta on tämä ohjelma. Tämä ohjelma saatetaan tiedoksi koko henkilöstölle sekä opiskelijoille.

Kuntayhtymässä on käytössä tietoverkon käyttösäännöt, joiden ylläpidosta ja päivittämisestä vastaa tietohallintojohtaja.

Koulutuskuntayhtymässä laaditaan tietoturvan- ja tietosuojan kehittämissuunnitelma, joilla täsmennetään koulutuskuntayhtymän tietoturvallisuus ja tietosuojatyötä.

Tietoturvallisuutta ja tietosuojaa koskevat ohjeet ja dokumentit ovat asianomaisten kohderyhmien saatavilla Omnian www-sivuilla ja henkilöstön intranet-sivuilla.

Jokaiselle tietojärjestelmälle ja sen osalle on määriteltävä omistaja ja nimettävä Omnian pääkäyttäjä. Omistajille ja pääkäyttäjille on tiedotettava heidän vastuistaan. Järjestelmistä, joissa käsitellään henkilötietoja, laaditaan tietosuojaselosteet, jotka julkaistaan Omnian www-sivuilla.

Omnian asiakirjat sekä tieto on luokiteltava. Asiakirjoja tulee käsitellä luokituksen mukaisesti.

Henkilöstöä sekä opiskelijoita tiedotetaan tietoturvallisuudesta ja tietosuojasta. Henkilöstön ja opiskelijoiden tietoturvallisuus- ja tietosuojatietoutta lisätään tiedottein sekä koulutuksin.

Kumppanien kanssa laadituissa sopimuksissa on otettava tietoturva- ja tietosuoja huomioon.

5.1 Tiedottaminen

Kuten muustakin koulutuskuntayhtymän ulkoisesta viestinnästä, myös tietoturva- ja tietosuoja-asioista tiedottamisesta koulutuskuntayhtymän ulkopuolelle vastaa koulutuskuntayhtymän johtaja. 

Tietoturvallisuuden sisäisestä viestinnästä vastaa tietoturvavastaava ja tietosuoja-asioiden sisäisestä viestinnästä puolestaan tietosuojavastaava.

5.2 Seuranta ja ongelmien käsittely

Jokaisen käyttäjän tulee ilmoittaa havaituista puutteista, tietoturvarikkomuksista tai epäilemistään tietoturvarikkomuksista tietohallinnon ylläpidolle, koulutuskuntayhtymän tietoturvavastaavalle tai tietosuojavastaavalle.

Tietoturva- ja tietosuojavastaava raportoivat Omnian tietoturvaryhmälle tietoturvallisuuden- ja tietosuojan rikkomuksista tai sellaisten epäilyksistä.

Tietoturvarikkomusten seuraamukset määritellään erikseen tietoverkon käyttösäännöissä.

5.3 Kehittäminen

Koulutuskuntayhtymän Tietoturva- ja tietosuojaohjelma ohjaa koulutuskuntayhtymän tietoturvallisuuden ja tietosuojan kehittämistä ja tietoturvaryhmä tarkistaa ohjelman vuosittain.

Koulutuskuntayhtymän tietoturvallisuuden ja tietosuojan kehittämistarpeiden ja -tavoitteiden määrittelemiseksi koulutuskuntayhtymän tietoturvallisuus- ja tietosuojariskit kartoitetaan vuosittain. Kartoituksien tavoitteena on toimintaa vaarantavien uhkien tunnistaminen.

Tietoturva- ja tietosuojaperiaatteiden sekä riskikartoituksen pohjalta laaditaan tietoturvan- ja tietosuojan kehittämissuunnitelma, jonka Omnian tietoturvaryhmä päivittää vuosittain.

 

Vahvistettu kuntayhtymän johtajan päätöksellä 12.3.2014 § 19.

Lisätietoja antaa
Helpdesk
+358400223112
ithelp@omnia.fi

Lisätietoa:
Helpdesk-sivut