Oulun yliopiston tietoturvapolitiikka
Käsitelty turvallisuusjohtoryhmän kokouksessa 29.4.2008
ja YT-neuvottelukunnassa 19.5.2008.
Hyväksytty yliopiston hallituksen päätöksellä
21.5.2008
Tämä tietoturvapolitiikka korvaa v. 1998 hyväksytyn
tietoturvapolitiikan.
Johdanto
Tavoitteet
Organisointi ja vastuut
Toteutuskeinot
Tietoturvallisuuden seuranta ja ongelmien
käsittely
Liitteet:
Keskeiset yliopiston omat tietoturvallisuuteen
liittyvät määräykset, säännöt
ja ohjeet
Yliopiston tietoturvallisuutta
ohjaavia säädöksiä, suosituksia ja ohjeita
Tietoturvallisuuteen liittyvää
käsitteistöä
Johdanto
Yliopiston toiminta ja palvelut ovat yhä enemmän riippuvaisia
tietotekniikkapalveluiden saatavuudesta ja luotettavasta toiminnasta.
Tietotekniikan hyödyntäminen ja tietoturvallisuuteen
panostaminen ovat johdon strategisia päätöksiä,
joilla vaikutetaan yliopiston toimintakykyyn merkittävällä
tavalla.
Yliopiston toiminta perustuu tietoon. Tiedon turvaaminen on oleellinen
osa yliopiston toiminnan ja palveluiden laatua, kokonaisturvallisuutta
ja yliopistossa tapahtuvaa päivittäistä tietojen
käsittelyä. Tietoturvallisuuden hyvä hallinta edellyttää
kaiken toiminnan jatkuvaa seurantaa, pitkäjänteistä
suunnittelua, varautumista uhkatilanteisiin, sovittujen toimintatapojen
noudattamista, ohjeita, koulutusta ja viestintää. Tavoitteena
on luoda ja ylläpitää luotettava ja turvallinen
ympäristö henkilökunnan, opiskelijoiden sekä
muun yliopistoyhteisön ja sen piirissä toimivien sidosryhmien
tietojen käsittelyyn.
Tietoturvapolitiikka on Oulun yliopiston johdon kannanotto, joka
määrittelee tietojen turvaamisen tavoitteet, vastuut
ja toteutuskeinot yliopistossa.
Tietoturvapolitiikka annetaan tiedoksi kaikille yliopistoyhteisön
jäsenille tietoturvan perusasiakirjana. Politiikkaa tarkennetaan
erikseen annetuissa tietoturvallisuuden toteutuksen periaatteissa,
tietojen käsittelyn säännöissä, ohjeissa
ja käytänteissä. Nämä ovat koottuna osoitteessa
http://tietoturva.oulu.fi.
1 Tavoitteet
Tietoturvallisuus koostuu tiedon luottamuksellisuudesta, eheydestä
ja käytettävyydestä. Yliopiston tavoitteena on
turvata riittävällä ja tarkoituksenmukaisella tasolla
toiminnalleen tärkeiden tietojen, tietojärjestelmien,
palveluiden ja tietoverkkojen toiminta, estää niiden
valtuudeton käyttö sekä tahaton tai tahallinen
tiedon tuhoutuminen ja vääristyminen.
Tietojen turvallisuudesta on huolehdittava manuaalisesti ja tietotekniikan
avulla tapahtuvassa tiedon käsittelyssä, tiedon kaikissa
olomuodoissa ja tiedon koko elinkaaren ajan.
Tietoturvatyö on jatkuvaa kehittämistä, suunnittelua,
toteuttamista ja seurantaa koko yliopiston osalta. Sillä
pyritään ehkäisemään sisäisistä
ja ulkoisista tietoon kohdistuvista uhkista aiheutuvat vahingot
tai rajoittamaan ne hyväksyttävälle tasolle sekä
varautumaan poikkeamatilanteista toipumiseen. Yliopisto varautuu
tietoturvatoimillaan häiriö- ja poikkeustiloihin siten,
että yliopiston toimintaa voidaan jatkaa mahdollisimman häiriöttömästi
kaikissa olosuhteissa.
Yliopiston kunkin yksikön perusluonne ja tarpeet turvallisuuden
tehostamiseen otetaan huomioon tietoturvan suunnittelussa ja toteutuksissa.
Yliopiston tietoturvallisuudesta huolehditaan Suomessa voimassa
olevien kansallisten ja kansainvälisten tietoturvallisuutta
koskevien säädösten mukaisesti sekä noudattaen
valtionhallinnon tietoturvallisuudesta annettuja ohjeita ja suosituksia.
2 Organisointi ja vastuut
Tietoturvallisuuden kehittäminen ja toteuttaminen on jatkuvaa
laaja-alaista toi-mintaa, jota ei voida asettaa vain muutaman
vastuuhenkilön kannettavaksi, vaan johon tarvitaan tiivistä
ja rakentavaa yhteistyötä kaikkien yliopistoyhteisöön
kuuluvien henkilöiden ja ryhmien kesken. Tietoturvallisuus
toteutuu tehokkaimmin, kun toimintaa ohjaavat nimetyt vastuuhenkilöt
ja kaikki tiedon käsit-telijät huolehtivat oman tehtäväkenttänsä
turvallisuudesta parhaalla mahdollisella tavalla.
Jokaisella yliopistoyhteisön jäsenellä on siten
vastuu tietoturvallisuuden toteuttamisesta ja valvonnasta ja velvollisuus
noudattaa yliopiston antamia tietoturvallisuuteen liittyviä
sääntöjä ja ohjeita.
Vastuu yliopiston toiminnasta ja myös sen turvallisuudesta
on yliopiston ylimmällä johdolla. Hallitus hyväksyy
yliopiston tietoturvapolitiikan sekä päättävät
yliopiston tietoturvallisuuden kehittämisen linjauksista,
strategisesta ohjauksesta ja resursseista.
Tietoturvallisuus on osa yliopiston kokonaisturvallisuutta. Turvallisuusjohtoryhmä
koordinoi tietoriskien hallintaa ja tietoturvallisuuden kehittämisen
toimenpiteitä osana yliopiston kokonaisturvallisuuden kehittämistä.
Hallintojohtaja vastaa tietoturvallisuuden toimeenpanosta yliopiston
laajuudessa.
Dekaani vastaa tiedekunnan tietoturvallisuudesta. Tiedekuntien
yksiköiden ja erillisten laitosten esimiehet vastaavat kukin
yksikkönsä tietoturvallisuudesta.
Yksikön johtaja vastaa yksikkönsä tietoturvallisuuden
kehittämistoimien resursoinnista ja toimeenpanosta yliopistolle
hyväksyttyjen tietoturvaperiaatteiden ja tavoitteiden mukaisesti.
Yksikön johtaja nimeää yksikkönsä omistamien
tietojärjestelmien ja palveluiden vastuuhenkilöt ja
yksikön tietoturvavastaavan.
Tietojärjestelmien omistajat vastaavat tietoturvallisuuden
toteutumisesta järjestelmissä.
Tietoturvavastaava valvoo ja avustaa tietoturvallisuuden toteutumista
yksiköissä.
Yliopiston yksiköt varautuvat toimintasuunnitelmissaan oman
ympäristönsä tietoturvallisuuden toteuttamisen
kustannuksiin.
Tietoturvapäällikkö vastaa yliopiston tietoturvallisuuden
toimintajärjestelmästä. Tähän kuuluvat
toiminnasta ja säädöksistä syntyneiden tarpeiden
tunnistaminen, tietoriskien arvioinnin menettely ja tietoturvatietouden
edistäminen, hallintajärjestelmään kuuluvat
suunnitelmat ja niiden päivittäminen, to-teutuneen toiminnan
seuranta sekä tietoturvallisuuden tason raportointi johdolle
ja turvallisuusjohtoryhmälle. Tietoturvapäällikköä
avustavat yksiköiden johtajien nimeämät tietoturvavastaavat.
Tietohallintojohtaja vastaa tietohallintopalvelut-yksikön
hallinnoimien ja tuottamien järjestelmien ja palveluiden
kuten tietoliikenneverkon sekä keskeisten järjestelmien
ja verkkopalveluiden tietoturvan toteutumisesta.
3 Toteutuskeinot
Yliopiston tietojärjestelmien ja toimintojen tulee täyttää
yliopiston tietoturvasuunnitelmassa kuvatut tietoturvallisuuden
perustason toimenpiteet.
Tietoturvallisuuden ylläpito ja kehittäminen on jatkuva
prosessi, jossa käytetään hallinnollisia, fyysisiä
ja tietoteknisiä ratkaisuja.
Tietoturvatoimien riittävä ja oikea taso varmistetaan
tietoturvallisuuden riskienhallinnan keinoin. Toimintaan, palveluihin
ja järjestelmiin kohdistuva riskienarviointi toteutetaan
säännöllisin väliajoin ja merkittävien
muutosten yhteydessä. Tunnistettujen puutteiden korjaamiseen
ja riskien pienentämiseen tarvittavat toimenpiteet kootaan
tietoturvallisuuden kehittämisohjelmaksi. Korjaavien ja ehkäisevien
toimenpiteiden suorittamisesta vastaavat tietojen ja järjestelmien
omistajat. Yksiköiden tietoturvatoteutukset kuvataan tarvittaessa
erillisissä suunnitelmissa.
Yksiköitä avustetaan tietoriskien hallinnassa menettelyohjeilla,
suosituksilla sekä riskejä tunnistavalla ja ehkäisevällä
välineistöllä. Henkilökunnalle ja opiskelijoille
tiedotetaan ja heille järjestetään koulutusta tietoturvallisuudesta
ja heitä koskevista säännöistä ja suosituksista.
Toiminnan muutoksiin ja palveluiden tai järjestelmien hankintoihin
tulee sisällyttää tietoriskien arviointi ja tietoturvavaatimusten
määrittely jo suunnitteluvaiheessa ja valvoa vaatimusten
täyttyminen ennen hankkeen hyväksyntää. Keskeisiin
hankkeisiin tulee ottaa tietoturvallisuuden asiantuntija mukaan
alkuvaiheista lähtien.
Tietojen turvallisesta käsittelystä solmitaan sopimukset
myös yliopiston tietoja käsittelevien organisaatioiden
sekä muiden yhteistyökumppanien kanssa.
Tietoturvallisuus tulee huomioida yliopiston toimintaprosessien
kehittämisessä ja toiminnan ja yksiköiden vuosisuunnittelussa.
Yliopiston tietoturvallisuutta koskevat asiat eivät ole aktiivisen
ulkoisen tiedottamisen aihe. Tietoturvallisuuteen liittyvästä
tiedottamisesta vastaa tietoturvapäällikkö.
4 Tietoturvallisuuden seuranta ja
ongelmien käsittely
Tietoturvallisuudesta huolehtiminen edellyttää jatkuvaa
seurantaa sekä turvallisuustason ja poikkeamien raportointia.
Seurantaa toteutetaan teknisin ja hallinnollisin toimin. Tietoturvapäällikkö
koordinoi tietoturvallisuuden seurantaa ja raportoi tietoturvallisuuden
tasosta ja poikkeamista yliopiston johdolle ja turvallisuusjohtoryhmälle.
Tietoturvapäällikkö voi tarvittaessa käynnistää
yliopiston tietojen käsittelyn turvallisuuteen liittyviä
kartoituksia ja ryhtyä toimenpiteisiin havaittujen puutteiden
korjaamiseksi.
Yliopiston tietojenkäsittelyä ja tietojärjestelmien
tietoturvallisuuden tasoa arvioidaan omavalvonnan ja sisäisen
tarkastuksen keinoin, tarvittaessa myös ulkoista tarkastusta
käyttäen, lain ja toiminnan vaatimusten mukaisuuden
toteamiseksi sekä parannettavien kohteiden havaitsemiseksi.
Kunkin tietojärjestelmän, aineiston tai palvelun turvallisuuden
valvonnan toteutumisesta on vastuussa sen omistaja.
Jokaisen tiedonkäsittelijän velvollisuus on viipymättä
ilmoittaa havaitsemistaan tietoturvallisuuden puutteista ja epäilemistään
väärinkäytöksistä tai tietoturvarikkomuksista
tiedon tai tietojärjestelmän omistajalle tai yksikkönsä
tietoturvavastaavalle.
Yksiköissä tietoturvallisuuden seurannasta vastaa yksikön
johtaja tietoturvavastaavan avulla. Seuranta on kattavaa ja jatkuvaa.
Yksiköt raportoivat puutteista ja poikkeamista tietoturvapäällikölle.
Jos tietojärjestelmästä tai tiedon hallintatavasta
on uhkaa yliopiston tai sen sidosryhmän tietoturvallisuudelle,
voi tietoturvapäällikkö määrätä
sille teknisiä tai hallinnollisia rajoituksia.
Tietoturvapäällikkö vastaa tietoturvapoikkeamien
jatkotoimenpiteistä. Vähäiset poikkeamat käsitellään
yksikössä, mutta raportoidaan tietoturvapäällikölle.
Tietoturvapäällikkö johtaa merkittävien poikkeamien
sisäistä tutkintaa ja vastaa yhteydenpidosta viranomaisiin.
Tietotekniikkarikkomusten seuraamuskäytännöstä
määritellään erillisessä ohjeessa.
|
