15.11.2018

Vertian tietoturvapolitiikka

1. Päämäärä

Vertian tietoturvatiimi huolehtii Vertian tietojärjestelmien ja niiden käytön häiriöttömyydestä ja turvallisuudesta.

Tietoturvallisuudella tarkoitetaan kaikkien tietojen, missä tahansa muodossa ne esiintyvätkään, turvallista käsittelyä. Tietoturvallisuus on tietojen luottamuksellisuuden, eheyden ja käytettävyyden varmistamista.

Vertian liiketoiminta edellyttää tietojärjestelmien häiriötöntä ja turvallista toimintaa. Tämän varmistamiseksi tietoturvallisuutta seurataan aktiivisesti ja poikkeamiin puututaan nopeasti ennalta määriteltyjen menetelmien mukaisesti.

Tietoturvallisuutta toteutetaan ja kehitetään käyttäen riskien kannalta tarkoituksenmukaisia ja kustannustehokkaita ratkaisuja. Toiminnassa huomioidaan työntekijöiden, asiakkaiden ja yhteistyökumppanien sopimukset, yksityisyyden suoja sekä muut lakien vaatimukset. Tietoturvatoimenpiteillä hallitaan uusien toimintatapojen ja teknologioiden käyttöönottoon liittyvät riskit.

Asiakas- ja muita henkilötietoja käytetään vain sopimusten ja lainsäädännön sallimiin tarkoituksiin ja ne ovat vain niitä työhönsä tarvitsevien käytössä.

 

2. Vastuut ja organisointi

Liiketoiminta vastaa tietojärjestelmien tietoturvavaatimusten määrittämisestä sekä tietoturvan riittävästä resursoinnista. Tietoturvatiimi vastaa siitä, että liiketoiminnan kannalta kriittisille prosesseille laaditaan jatkuvuussuunnitelmat. Suunnitelmia ylläpidetään ja testataan ja harjoitellaan säännöllisesti niiden ajantasaisuuden varmistamiseksi.

Tietoturvatiimi varmistaa, että tietoturvallisuusriskit on tunnistettu, arvioitu sekä riskien edellyttämät toimenpiteet toteutettu, jotta tietoturvallisuus pysyy ajan tasalla. Tietoturvatiimin tehtävänä on varmistaa, että liiketoiminta huolehtii lakeihin ja muihin ulkoisiin vaatimuksiin perustuvien vaatimusten toteuttamisesta toiminnassaan. Tietoturvatiimi vastaa tietoturvallisuuden ohjeistamisesta, yleisten tietoturvavaatimusten määrittämisestä sekä tietoturvan teknisestä valvonnasta. Tietoturvallisuusratkaisut toteutetaan ajanmukaisin ratkaisuin, joiden käyttäjien kokemaan käytettävyyteen kiinnitetään erityistä huomiota.

Tietoturvatiimin kaikkien osapuolien tehtävänä on huolehtia työntekijöiden tietoturvatietoisuudesta, jotta he voivat tunnistaa tietoturvauhat ja toimia oikein niitä kohdatessaan.

Kaikilta työntekijöiltä edellytetään annettuihin ohjeisiin tutustumista ja niiden noudattamista sekä havaitsemiensa tietoturvauhkien ja -riskien tiedottamista. Tietoturvatiimin tehtävänä on valvoa osana normaalia toimintaa työntekijöiden tietoturvaohjeistukseen tutustumista sekä tarvittaessa puuttua tietoturvapolitiikan ja -ohjeiden vastaiseen toimintaan.


3. Tietoturvakäytännöt


Riskien arviointi

Tietoturvariskejä arvioidaan ja analysoidaan niiden liiketoimintavaikutusten perusteella. Arvio tulee laatia uusien järjestelmien määrittelyvaiheessa ja merkittävien toiminnan kriittisyyteen vaikuttavien muutosten yhteydessä.

Keskitetty käyttäjäoikeuksien hallinta

Tavoitteena on, että kaikkien järjestelmien pääkäyttäjät ja tietoturvatiimi määrittelevät käyttöoikeuksien myöntämisperiaatteet. Ulkopuolisten käyttäjien oikeudet hallinnoidaan keskitetysti.

Tietojen luokittelu ja käsittely

Vertialla on käytössä tietojen turvaluokittelumenetelmä, jolla määritellään miten tieto luokitellaan ja miten eri luokkiin kuuluvaa tietoa käsitellään.

Henkilötietojen käsittely

Henkilötietojen käsittely etäyhteyden kautta on kielletty ilman erityismenettelyitä. Poikkeukset hyväksyy tietoturvatiimi ja ne voidaan toteuttaa erikseen sovittavien menetelmien mukaisesti.

Tietoturvakoulutus

Jokaisen Vertian työntekijä osallistuu tietoturvallisuus -koulutukseen tai tutustuu tietoturvaohjeistuksiin.

Valvonta ja seuranta

Tietoturvatason parantaminen ja ylläpitäminen edellyttää tietojärjestelmien toiminnan systemaattista ja jatkuvaa valvontaa. Valvontaa toteuttavat henkilöt ovat vaitiolovelvollisia työssään käsittelemistä tiedoista. Heiltä edellytetään vaitiolositoumusta, olivat he sitten Vertian tai kolmannen osapuolen palveluksessa.

Tietoturvatilanteesta raportoidaan normaalin sisäisen seurannan yhteydessä. Teknistä tietoturvaa arvioidaan jatkuvasti.

Tietoturvapoikkeamien käsittely

Vertialla on tehokkaat menettelytavat ja välineet tietoturvapoikkeamien havaitsemiseksi. Lisäksi käytössä on suunnitelmat toimille poikkeustilanteissa ja niitä harjoitellaan.

 

4. Palvelutoimittajien seuranta

Toimittajien on sitouduttava noudattamaan Vertian määrittämiä tietosuojavaatimuksia ja niistä sovitaan palvelusopimusten tietosuojaliitteessä.

 

5. Tietoturvarikkomukset

Tietoturvarikkomukseksi lasketaan kaikki tietoturvapolitiikan ja tietoturvaohjeistuksen vastainen toiminta. Tietoturvallisuutta seurataan hyvien valvontaperiaatteiden mukaisesti.

 

6. Viestiminen henkilöstölle ja kumppaneille

Tietoturvapolitiikasta julkaistaan sisäinen ja julkinen versio. Sisäinen versio tiedotetaan koko henkilöstölle. Julkinen versio julkaistaan suomeksi Vertian kotisivuilla ja annetaan tiedoksi kumppaneille.

 

7. Tietoturvapolitiikan hyväksyntä ja vahvistaminen

 

Tämä ohje tulee voimaan heti.

 

Helsingissä 14. toukokuuta 2018