Versions Compared

Old Version 11

changes.mady.by.user Unknown User (kimmosv)

Saved on

compared with

New Version 12

changes.mady.by.user Unknown User (kimmosv)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

METROPOLIA AMMATTIKORKEAKOULU TIETOTURVALLISUUSPOLITIIKKA

Tämä politiikka kuvaa Tietoturvallisuuspolitiikka määrittelee Metropolian tietoturvallisuuden vastuut ja tavoitteet , vastuut ja toteutuskeinot. Tietoturvallisuus on osa Metropolian kokonaisturvallisuutta.

Huom. Tietoturvallisuuspolitiikasta julkaistaan päivitetty versio 2022 kesän aikana.

...

sekä miten hallinnoimme ja suhtaudumme tietoturvallisuuteen.

Metropolian tietoturvallisuuspolitiikka on jatkuvasti ylläpidettävä ja päivitettävä kokonaisuus, joka sisältää korkeakoulun ydintoiminnan tarpeista lähtevän pelkistetyn politiikan (= tämä dokumentti) sekä siihen liitettävät ohjeet ja kaaviot.

Tietoturvapolitiikasta on tällä sivulla luettavissa tiivistetympi ohjeistus, joka sisältää keskeisimmät asiat politiikasta. Tiivistetty ohjeistus on käännetty myös englannin kielelle.

Tietoturvallisuuspolitiikka ja sen tavoite

Metropolian toimintaa ohjaa olemassa olevat viranomaisten lainsäädännöt, jotka ohjeistavat asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja eheydestä huolehtimisesta. Näitä käytäntöjä on jatkuvasti kehitettävä, seurattava ja tarvittaessa parannettava. Kehitystä tehdään yhteistyössä kaikkien Metropolian yksiköiden kanssa.

Digitaalisuuden kasvu merkitsee sitä, että tietoturvallisuutta säännellään enenevässä määrin lainsäädännöillä.

Tietoturvallisuuspolitiikan tavoite on, että se kuvaa Metropolian henkilöstölle, opiskelijoille ja sidosryhmille selkeästi ja ajantasaisesti miten hallinnoimme ja suhtaudumme tietoturvallisuuteen.

  • Metropoliassa kokonaisvastuu operatiivisen toiminnan turvallisuudesta kuuluu toimitusjohtaja-rehtorille ja huolehtimisvastuu varatoimitusjohtajalle.
  • Toimitusjohtaja-rehtori on myös vastuussa tietoturvasta, mutta sen käytännön organisointi hoidetaan tietohallinnossa.
  • Johdon ja tietohallintoyksikön vastuulla on antaa henkilöstölle ja opiskelijoille riittävät ohjeet tietosuojasta ja tietoturvasta.
  • Opiskelijat, henkilöstö, yhteistyökumppanit ja sidosryhmät ovat vastuussa noudattamaan Metropolian tietoturvaohjeistuksia ja sääntöjä.
  • Tietoturvan roolit ja vastuut on jaoteltu tietoturvallisuuspolitiikan lopussa olevaan taulukkoon. Taulukon tarkoitus on selventää eri roolituksien työtehtäviä, toimintoja ja vastuita.

Opiskelijoiden ja henkilöstön tietoturvaosaamisen tavoite

Metropolian IT-strategian yhtenä painopisteenä on tietoturvallisen kulttuurin luominen Metropoliaan.

Tavoitteenamme on, että jokaisella henkilöstön jäsenellä on perustason mukaiset tietoturvataidot. Perustasolla tarkoitetaan tasoa, jolloin henkilö ymmärtää: 

  • salasanaturvallisuuden
  • turvallisen tietoaineiston käsittelyn
  • haittaohjelmilta ja kalasteluviesteiltä suojautumisen.

Henkilöstön perustason tietoturvaosaamista tullaan ylläpitämään tietoturvakoulutuksella Moodle palvelussa sekä erillisinä koulutuksina, tiedotteilla ja ohjeilla.

Opiskelijoiden tietoturvallisuusosaamista tuetaan samoilla tavoilla. Tavoitteena on myös luoda opiskelijoille pakollinen tietoturvakoulutus, joka on suoritettava opintojen aikana.

Tietosuoja- ja tietoturvallisuustoimenpiteiden toteuttaminen hankintojenyhteydessä

  • EU:n yleinen tietosuojaasetus (GDPR) 2016/679, kansallinen tietosuojalaki (1050/2018) sekä 1.1.2020 voimaanastunut tiedonhallintalaki (906/2019) velvoittavat organisaatiot kontrolloimaan uusien digitaalisten työvälineiden (IT-järjestelmät, sähköiset palvelut ja ohjelmistot) käyttöönottoa.
  • Digitaalisten työvälineiden käyttöönotto on luvallista vain hallitusti. Ennen kuin digitaalinen työväline otetaan käyttöön, on riskienhallintaprosessin läpikäynti pakollista.
  • Metropolian johtoryhmän päätöksellä kaikkien tietokoneohjelmien, mobiilisovellusten ja IT-järjestelmien hankinnoista on noudatettava hankintaprosessia, jotta Metropolian on mahdollista noudattaa edellä mainittua, lakien määräämää riskienhallintaprosessia.

  • Henkilötietoja koskeva lainsäädännöt on listattu Metropolia.fi verkkosivulla - tietosuoja ja GDPR-osiossa.

Tietoturvallisuuden ylläpito ja toiminta häiriötilanteissa

  • Tietohallintojohtaja raportoi tietoturvatilanteesta johdolle normaalin toiminnan arvioinnin ja suunnittelun yhteydessä ja aina silloin kun on aiheellista.
  • Tämä ohjeistus (siis tietoturvapolitiikka) katselmoidaan ja päivitetään tarpeen mukaan kerran vuodessa valmiussuunnitelman mukaisesti.
  • Tapauksissa, joissa verkkojen ja/tai tietojärjestelmien toimivuudessa ilmenee laajempia tai pitkäkestoisempia ongelmia, toimitaan Metropolian valmiussuunnitelman mukaisesti.
  • Laajemmista häiriöistä tiedotetaan häiriön havaitsemisen jälkeen käyttäjille. Toipumisen jälkeen käyttäjille tiedotetaan toipumisen onnistumisesta sekä annetaan lyhyt selvitys häiriön syystä.

...