MPS-Yhtiöiden tietoturvapolitiikka
Sisältö
Tietoturvapolitiikka
Päivitetty 9.5.2018.
Tämä tietoturvapolitiikka koskee kaikkia MPS-yhtiötä huomioiden toimintaympäristön ja sen asettamat lait ja menettelytavat.
Tietoturvallisuudella tarkoitetaan tiedon turvallista käsittelyä, riippumatta tiedon tallennusmuodosta. Näin ollen sen piiriin kuuluu tietojärjestelmien lisäksi esimerkiksi tulosteet ja muut materiaalit. Tietoturvallisuudella varmistetaan tietojen luottamuksellisuus, eheys ja käytettävyys.
MPS-Yhtiöissä käsitellään erittäin luottamuksellista tietoa, joka vaatii ehdotonta luottamuksellisuutta ja häiriötöntä ja turvallista tietojen käsittelyä ja säilöntää. Tietoturvallisuutta valvotaan aktiivisesti ja poikkeamiin reagoidaan yhteisesti sovituilla menetelmillä.
Tietoturvallisuuden toteuttamisessa huomioidaan liiketoiminnan vaatimukset ja riskit. Tietoturvallisuuden kehittäminen tapahtuu määriteltyjen vaatimusten ja riskien kannalta kustannustehokkaasti ja tarkoituksenmukaisesti. Toiminnassa huomioidaan aina lain asettamat vaatimukset ja sopimukset asiakkaiden ja yhteistyökumppaneiden kanssa. Luottamuksellisia henkilötietoja käsiteltäessä pitää aina kiinnittää erityistä huomiota yksityisyyden suojaan ja lakeihin, jotka koskevat henkilötietojen käsittelyä.
Tietoturvapolitiikan on hyväksynyt MPS-Yhtiöiden johtoryhmä ja tietohallinto.
1 Vastuut
Tietojärjestelmien tietoturvavaatimuksista määrittämisestä ja riittävästä resursoinnista vastaa liiketoimintayhtiöt. Liiketoimintayhtiön johto vastaa siitä, että kriittisille järjestelmille ja prosesseille on laadittu jatkuvuussuunnitelmat. Näitä suunnitelmia tulee myös ylläpitää ja testata.
Kaikkien yhtiöiden yhteisistä järjestelmistä ja näiden tietoturvallisuudesta vastaa MPS-Yhtiöiden tietohallintojohtaja. Tietohallintojohtajan ja hänen organisaationsa tehtävänä on tukea ja ohjeistaa liiketoimintayhtiöiden tietoturvallisuutta. Tämä tapahtuu tunnistamalla mahdollisia tietoturvariskejä ja arvioimalla kuin näihin on varauduttu ja onko jatkuvuussuunnitelmat ajan tasalla. MPS-yhtiöiden tietohallinnon tehtävänä on myös teknisesti valvoa, että tietoturvan taso on riittävä. Tietoturvaratkaisua suunniteltaessa ja toteuttaessa tulee aina myös huomioida järjestelmien ja tiedon käytettävyys, niin että tietoturvaratkaisut eivät haittaa liiketoimintaa.
Kaikilta työntekijöiltä ja yhteistyökumppaneilta edellytetään tietoturvallisuusohjeisiin tutustu-mista ja niiden noudattamista. Poikkeamia, uhkia tai uusia riskejä havaittaessa niistä tulee tiedottaa liiketoimintayksikön tietoturvasta vastaavia ja MPS-Yhtiöiden tietohallintoa.
2 Tietoturvallisuuden käytännöt
2.1 Riskien arviointi
Riskit arvioidaan niiden liiketoimintavaikutusten perusteella. Riskien arvioinnissa huomioidaan tiedon kriittisyys ja luottamuksellisuus ja riskin toteutuessa haittavaikutusten laajuus. Arvio tulee tehdä uusien järjestelmien määrittelyvaiheessa ja merkittävien muutosten yhteydessä.
2.2 Käyttöoikeudet ja pääsynhallinta
Järjestelmien omistajat määrittelevät käyttöoikeuksien myöntämisperiaatteet ja käyttöoikeustasot. Liiketoimintayhtiöt vastaavat tunnusten luomisesta ja oikeuksien poistamisesta. Jos mahdollista käyttäjänhallinta tehdään keskitetyllä MPS-Yhtiöiden ratkaisulla.
2.3 Tiedon luokittelu ja käsittely
MPS-yhtiöillä on käytössä tietojen turvaluokittelu. Siinä määritellään, miten tieto luokitellaan ja miten luokittelu vaikuttaa tiedon käsittelyyn. Luottamuksellista henkilötietoa sisältäviin järjestelmiin ja niiden käyttöoikeuksiin kiinnitetään erityistä huomiota ja niihin voidaan tehdä erillisiä ja laajempia tietoturvatarkistuksia.
2.4 Tietoverkkojen käyttö
MPS-Yhtiöiden tietoverkkoihin saa kytkeä vain yhtiön omia laitteita tai tietohallinnon hyväksymiä muita laitteita. Laitteisiin saa asentaa vain tietohallinnon hyväksymiä ohjelmistoja. Ulkopuolisten laitteille on tarjolla oma tietoverkko.
2.5 Tietoturvallisuuden koulutus
Tietoturvallisuudesta tiedotetaan säännöllisesti koko henkilökunnalle ja työntekijöiden tulee kerrata tietoturvallisuusasiat kerran vuodessa.
2.6 Valvonta
Tietoturvallisuutta valvotaan jatkuvasti sovituin menetelmin. Havaituista uusista riskeistä ja uhkatilanteista raportoidaan tietoturvallisuudesta vastaaville henkilöille. Systemaattista teknistä valvontaa tehdään säännöllisesti olemassa oleviin järjestelmiin. Uusien järjestelmien käyttöönoton yhteydessä suoritetaan järjestelmän kriittisyystason mukaiset testaukset.
2.7 Poikkeamien hallinta
Tietoturvallisuuden poikkeamista tehdään raportti, jossa kuvataan tilanne ja toiminta poikkeaman havainnon jälkeen. Poikkeustilanteessa toimimiseen on suunnitelmat, joita tulee ylläpitää ja harjoitella.
3 Tietoturvarikkomukset
Kaikki tietoturvapolitiikan vastainen toiminta katsotaan tietoturvarikkomukseksi. Mahdollisissa tietoturvarikkomuksissa arvioidaan rikkomuksen laajuus ja vaikutus ja määritellään tämän mukaisesti tarvittavat toimet.