Tietoturvapolitiikka
Turun yliopiston tietoturvapolitiikka 


1 Yleistä

1.1 Tietoturvallisuuden kolme ulottuvuutta

  • Luottamuksellisuus (engl. confidentiality): tiedot ovat vain niiden käy​ttöön oikeutettujen saatavilla. 

  • Eheys (engl. integrity): tietoja ei voida muuttaa muiden kuin siihen oikeutettujen toimesta. Tiedon oikeellisuus, ristiriidattomuus ja oikeakestoinen säilyminen turvataan.

  • Saatavuus (engl. availability): tiedot ja tietojärjestelmät ovat niiden käyttöön oikeutettujen hyödynnettävissä. 

Tietoturvallisuuden kolme ulottuvuutta koskevat kaikkea tietoa, jolla on arvo, sekä sen käsittelyä välineestä riippumatta. Luottamuksellisuudella turvataan, että ti​edot luovutetaan tai julkaistaan vain suunniteltujen väylien kautta. Eheydellä turvataan tietojen arvon säilyminen ja hyödynnettävyys. Saatavuudella turvataan tietojen hyödyntäminen ennalta suunnitellun aikaviiveen puitteissa. 

1.2 Tavoitteet

Tietoriskit hallitaan hyödyntäen hyviä kansallisia ja kansainvälisiä käytäntöjä. Palvelut ja järjestelmät toteutetaan niin toimintavarmoiksi ja hyvin suojatuiksi, että ne sellaisinaan kestävät kohtuudella odotettavissa olevat kyberuhkat. Varmistetaan lakien ja m​uiden sitovien normien sekä sopimusvelvoitteiden noudattaminen. Ylläpidetään laadukasta ja tietoturvallista työ- ja opiskeluympäristöä. Vaalitaan yliopiston mainetta ja luottamusta yliopiston toimintaan ja tuotoksiin. Turvataan yliopiston toimintaedellytykset kaikissa olosuhteissa, myös häiriö- ja poikkeusoloissa.

2 Organisointi

2.1 Johtaminen ja valtuudet

Tietoturvallisuuden johtaminen, sen ylläpitäminen ja toteutumisen seuranta nivoutuvat osaksi yliopiston yleistä johtamista. Jokainen toteuttaa tietoturvallisuutta omien johtamis- ja toimintavaltuuksiensa puitteissa. Palveluiden pääkäyt​täjillä on oikeus suorittaa lain sallimat toimet palvelun toimintaa ja tietoturvallisuutta vaarantavien poikkeamien paikallistamiseksi ja korjaamiseksi. Tietoturvapäälliköllä on oikeus keskeyttää toiminta, josta aiheutuu olennaista vaaraa yliopiston tietoturvallisuudelle. 

2.2 Vastuut

Pääsääntö on, että valta ja vastuu ovat samoissa käsissä. Siltä osin, kuin on mahdollisuudessa päättää, miten asia toteutetaan tai käsitellään, on myös vastuu toteutuksen tietoturvallisuudesta. Tietohallinnon ja tietoturvapäällikön tehtävä on auttaa kaikkia tämän vastuun kantamisessa.

  • Jokainen vastaa hallittavissaan olevan tiedon tietoturvallisuudesta omalta osaltaan.

    • Jokainen on velvollinen noudattamaan sääntöjä ja käyttöohjeita.

    • Jokainen on velvollinen joko korjaamaan tai edelleenilmoittamaan havaitsemansa tietoturvaongelman. 

  • Päävastuu tietyn tiedon tai palvelun tietoturvallisuudesta on sen omistajalla. 

    • Omistaja on se yksikkö tai henkilö, joka vastaa kyseisen tiedon tai tietokokonaisuuden käsittelystä tai palvelun tietosisällön tuottamisesta. Päävastuu säilyy tiedon omistajalla riippumatta siitä, missä tai kenen toimesta tietoa käsitellään.

    • Omistaja päättää käyttötarkoituksesta sekä sallituista käyttötavoista, mikäli tietojen luonne sitä edellyttää. 

    • Omistaja vastaa palvelun ja siihen liittyvien prosessien suunnittelusta ja toteutuksen vaatimustenmukaisuudesta ja palveluun sopivien turvamekanismien valinnasta. 

    • Omistaja vastaa tarvittavista selosteista, riskianalyysista ja jatkuvuussuunnittelusta. Omistaja vastaa siitä, että tietoja edelleenluovutettaessa annetaan myös tieto mahdollisista tietoihin liittyvistä suojaus- ja muista velvoitteista.

    • Omistaja vastaa käyttöohjeiden laatimisesta ja niiden välittämisestä palvelun käyttäjille. 

  • Tietoteknisen järjestelmän tai palvelun tuottaja vastaa palvelun tietoturvallisuudesta.

    • Tiedon omistajalla ja käsittelijällä on oltava mahdollisuus saada riittävä käsitys, täyttävätkö järjestelmän ominaisuudet tiedon käsittelylle asetetut tietoturvatarpeet. 

    • Tietohallinto vastaa yliopiston yleiseen käyttöön tuottamiensa ja hankkimiensa palvelujen tietoturvallisuudesta ja tarjoaa niiden turvalliseen hyödyntämiseen ohjeet ja koulutusta. 

    • Palveluntuottaja vastaa ilmoittamansa tietoturvatason toteutumisesta ja palvelun tietoturvallisuuteen liittyvien teknisten riskien tai poikkeamien hallinnasta ja raportoinnista.

    • Palvelun pääkäyttäjät vastaavat ylläpitosäännön noudattamisesta.

  • Esimies vastaa siitä, että alainen on saanut riittävän perehdytyksen tietoturvallisuuteen ja sen toteuttamisen merkitykseen.

  • Tietohallinto vastaa yliopiston tietoliikenneturvallisuuden valvonnasta ja käynnistää tarvittaessa selvitys- ja suojatoimet tietoturvallisuuden palauttamiseksi. 

  • Tietoturvapäällikkö vastaa tietoturvallisuuden kehittämisestä, sen toteutumisen valvonnasta ja tietoturvatietouden edistämisestä yliopistossa sekä tietoturvallisuutta koskevasta ulkoisesta yhteistyöstä.

3 Tietoturvallisuuden toteuttaminen

3.1 Turvamekanismit

Tietoturvallisuudesta huolehtiminen edellyttää tiedon elinkaaren kaikkiin vaiheisiin sekä näiden aikana tiedon käsittelyyn k​äytettyihin välineisiin, järjestelmiin ja menetelmiin kohdistettuja oikein valittuja ja toteutettuja toimenpiteitä sekä tietoa käsittelevien henkilöiden toiminnan ohjaamiseen tarkoitettuja sääntöjä ja ohjeita sekä koulutusta. Yhteisellä nimellä näitä kaikkia kutsutaan turvamekanismeiksi (engl. controls).

Turvamekanismeilla varmistetaan kullekin tiedolle hyväksyttävä saatavuusviive eli aika, jonka kuluessa tiedon on oltava saatavissa ja käsiteltävissä ilman, että viiveestä aiheutuu haittaa työlle. Joissakin tiedoissa hyväksyttävä saatavuusviive voi olla sekunteja, joissakin useita päiviä. Jos tiedon eheyttä on syytä epäillä, saatavuusviiveen laskentaan on laskettava mukaan tiedon palauttaminen eheäksi.

Turvamekanismien valinnassa haetaan tasapaino tietoturvallisuuden kolmen ulottuvuuden ja turvamekanismien käytöstä aiheutuvien kustannusten välillä. Kustannukset voivat olla luonteeltaan välittömiä taloudellisia investointeja, mutta ne voivat aiheutua myös välillisesti työn hidastumisesta.

Tietoturvallisuuden tavoitteet asetetaan ja sen toteuttamistavat valitaan niin, että lain takaama tietosuoja ja yksityisyyden suoja toteutuvat yliopiston toiminnassa parhaalla mahdollisella tavalla.

3.2 Ennakkosuunnittelu

Palveluja tai tietojärjestelmiä suunniteltaessa on ennen käyttöönottoa suunniteltava seuraavat asiat:

  • Palvelusta on oltava riittävä dokumentaatio. Dokumentaatiosta käy ilmi palvelun rakenne, käyttötarkoitus, käyttöohjeet, pääkäyttäjän ohjeet, riippuvuudet toisista palveluista, turvamekanismit, sopimusasiat, palvelun suunniteltu elinkaari sekä palveluun liittyvät mahdolliset erityisvelvoitteet. Dokumentaation suojaus on suunniteltava (salassapidettävä osa, esim turvamekanismit, ja julkinen osa selosteita, palvelukuvauksia, toimintakäsikirjoja ja käyttöohjeita varten).

  • On arvioitava, onko palvelu siinä määrin tarpeellinen että sen on toimittava myös häiriö- ja poikkeusoloissa. Yliopiston opetus- ja tutkimustoiminnan tulee jatkua mahdollisimman häiriöttömästi kaikissa olosuhteissa. Jatkuvuusvaatimus on otettava huomioon  sellaisten palvelujen tuottamisessa, joihin opetus- tai tutkimustoiminta merkittävässä määrin nojaa.

  • Tarvittavat selosteet on laadittava  ja niiden ajanmukaisuudesta on huolehdittava. Tällaisia ovat henkilötietoja käsittelevien järjestelmien tietosuojaselosteet (rekisteriselosteet) ja julkisuuslain tarkoittamat tietojärjestelmäselosteet. Palveluun voi kohdistua myös muita velvoitteita (sertifioinnit, kumppanuussopimuksen auditointipykälät, potilastietoja tai muita arkaluonteisia tietoja koskevat erityismääräykset jne.), jotka tulee huomioida suunnitteluvaiheessa.

Yliopistolla on tiedonkäsittelyn jatkuvuussuunnitelma, jonka ajantasaisuudesta huolehtii tietohallinto. Siinä kuvataan keskeisimmät palvelut, joiden jatkuvuudesta ja tietoturvallisuudesta koko yliopiston toiminta on riippuvainen, sekä keinot niiden tuottamiseksi kaikissa olosuhteissa. Muiden yksiköiden, joilla on itsenäisiä tiedonkäsittelyjärjestelmiä, tulee ilmoittaa niistä tietoturvapäällikölle, jos järjestelmä on tarpeellista huomioida jatkuvuussuunnitelmassa.


4 Viestintä

Tietoturvallisuuteen liittyvään viestintään noudatetaan yliopiston viestintä- ja kriisiviestintäsuunnitelmia.

Normaalioloissa yliopiston sisäisestä tietoturvaviestinnästä vastaa tietoturvapäällikkö. Yksittäisen palvelun tietoturvaviestinnästä vastaa palvelun omistaja. Yksikön sisäisestä tietoturvaviestinnästä vastaa yksikön johtaja. Kriisitilanteessa tietoturvaviestinnän vastuut jakautuvat kriisiviestintäsuunnitelman mukaisesti.


​​​​​​​​​​​​​Hyväksytty Turun yliopiston turvallisuuden johtoryhmässä 25.10.2013​​
Asiasana:
Tagit:

20014 Turun yliopisto, Finland
Puhelinvaihde: 02 333 51



Seuraa meitä: 
Facebook   Twitter   Instagram   Youtube   LinkedIn
Opiskelu Tutkimus Palvelut ja yhteistyö Yliopisto Tiedekunnat ja yksiköt Ajankohtaista Lahjoita
© Turun yliopisto