Teatterikorkeakoulun tietoturvapolitiikka

Tietoturvapolitiikka on yliopiston johdon kannanotto, joka määrittelee yliopiston tietoturvallisuuden tavoitteet, vastuut ja toteutuskeinot. Tietoturvallisuus on osa yliopiston laatujärjestelmää ja tietoturvallisuustyö nähdään osana toiminnan laatua. Päämäärä ja tavoitteet Yliopiston tietoturvallisuustyön päämäärä on turvata yliopiston toiminnalle tärkeiden tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, estää tietojen ja tietojärjestelmien valtuudeton käyttö, tahaton tai tahallinen tiedon tuhoutuminen tai vääristyminen sekä minimoida aiheutuvat vahingot. Normaaliajan toiminnan tietojenkäsittelyn turvaamisen lisäksi varaudutaan toiminnan keskeyttäviin uhkatilanteisiin ja niistä toipumiseen. Yliopiston tiedot, tietojenkäsittelyjärjestelmät ja -palvelut pidetään asianmukaisesti suojattuina sekä normaali- että poikkeusoloissa hallinnollisten, teknisten ja muiden toimenpiteiden avulla. Yliopiston tavoitteena on, että tietoturvajärjestelyt ovat hyvää kansallista ja kansainvälistä tasoa. Toisena tavoitteena on, että tietoturvallisuuden perustaso kattaa yliopiston kaiken tietojenkäsittelyn huomioiden yksikköjen perusluonteen ja mahdollisen tarpeen tietoturvallisuuden tehostamiseen. Tietoturvallisuus Tietoturvallisuus tarkoittaa tietojenkäsittelyn turvaamista. Tietoturvallisuus rakentuu tiedon luottamuksellisuudesta, eheydestä ja käytettävyydestä sekä lisäksi soveltuvilta osin pääsynvalvonnasta ja kiistämättömyydestä. Luottamuksellisuus tarkoittaa, että tiedot ovat vain niiden käyttöön oikeutettujen saatavissa sovituilla tavoilla ja sovittuun aikaan eikä niitä paljasteta tai muutoin saateta sivullisten tietoon. Eheys tarkoittaa, että tiedot ja tietojärjestelmät ovat luotettavia, oikeellisia ja ajantasaisia, eivät laitteisto- tai ohjelmistovikojen, luonnontapahtumien tai oikeudettoman inhimillisen toiminnan seurauksena muuttuneet tai vahingoittuneet. Käytettävyys tarkoittaa, että tiedot ja tietojenkäsittelyjärjestelmät ovat käytettävissä ja käyttökelpoisia valtuutetuille käyttäjille, toiminnan kannalta hyväksyttävän ajan kuluessa. Pääsynvalvonta tarkoittaa, että tietoa tai tietojärjestelmää ei voi käyttää ilman lupaa. Kiistämättömyys tarkoittaa todisteiden luomista sen varmistamiseksi, ettei yksikään tietojen käsittelyn tai siirron osapuoli voi jälkikäteen kiistää osuuttaan siihen. Tietoturvallisuustyö on tietoturvallisuuden saavuttamiseksi tehtävien toimenpiteiden suunnittelua ja toteuttamista. Toimintaan kuuluvat tietojen turvaamisen menetelmät, välineet ja toimenpiteet, työhön osoitetut resurssit sekä välineistön tietoturvaominaisuudet. Tietoturvallisuus kattaa kaikenlaiset yliopiston tietojenkäsittelytehtävät sisältäen myös toimistotyön tehtävät ja niihin sisältyvän arkistoinnin. Tietoturvallisuustoimet koskevat sähköisessä, puhutussa ja kirjallisessa muodossa olevan tiedon käsittelyä, luovutusta ja siirtoa. Yliopiston tietoturvallisuuden rakentaminen tapahtuu kansallisten ja kansainvälisten tietoturvallisuutta koskevien lakien ja asetusten pohjalta sekä valtionhallinnon tietoturvallisuudesta annettuja ohjeita ja suosituksia noudattaen. Vastuut Tietoturvallisuus on koko yliopiston yhteinen asia. Tietoturvallisuutta johtaa yliopiston rehtori. Hänen kanssaan ylin vastuu tietoturvallisuudesta on yliopiston hallituksella, joka päättää yliopiston kokonaisturvallisuuden eri osa-alueiden kehittämistoiminnan tavoitteista, organisoinnista, resursseista ja toimintavaltuuksista. Kokonaisturvallisuuden kehittämisestä vastaa turvallisuusasiain johtoryhmä. Sen vastuulla ovat erityisesti muut turvallisuuden osa-alueet kuin tietoturvallisuus kuten yliopiston kiinteistö- ja toimitilaturvallisuus, henkilöturvallisuus, työsuojelu, ympäristöturvallisuus, palo- ja pelastustoiminta sekä varautuminen poikkeusoloihin. Tietoturvallisuuden kehittämisestä, toteutuksen valvonnasta ja tietoturvatietouden edistämisestä yliopistossa vastaa yliopiston johdolta saamiensa resurssien ja toimintavaltuuksien puitteissa yliopiston tietoturvavastaava. Jokainen yliopiston tietoja käsittelevä, tietojärjestelmien tai tietoverkkojen ylläpitäjä ja käyttäjä on viime kädessä vastuussa tietoturvallisuuden toteuttamisesta omalta osaltaan. Kukin yliopiston tietojärjestelmien ja niiden sisältämien tietojen omistaja vastaa tietojensa ja tietojärjestelmiensä suojaamisesta. Toteutuskeinot Tietoturvallisuuden toteuttamisen perusta on tämä yliopiston johdon hyväksymä kirjallinen tietoturvapolitiikka, joka annetaan tiedoksi jokaiselle yliopiston henkilökunnan jäsenelle, opiskelijalle ja tietojärjestelmien käyttäjälle. Tietoturvallisuuden tavoitteiden saavuttaminen on jatkuva prosessi, joka tapahtuu hallinnollisten, fyysisten ja teknisten ratkaisujen avulla. Ne kuvataan käyttöympäristöille ja tarvittaessa yksiköille laadituissa tietoturvallisuuden kehittämissuunnitelmissa. Käyttäjien toimintaa ohjataan niihin sisältyvillä käyttösäännöillä ja toimintaohjeilla sekä tietoturvakoulutuksella. Yliopistossa tulee olla käytössä tietojen ja tietojärjestelmien turvallisuusluokitus. Kullekin turvallisuusluokalle on määritelty vaadittava tietoturvallisuustaso ja sen mukaiset tietoturvatoimenpiteet. Jokaisella tietojärjestelmällä tai sen osalla on oltava yksikäsitteinen omistaja. Tietoturvallisuuden toteuttamista ohjaavat dokumentit ovat vahvistettuja ja asianomaisten kohderyhmien saatavissa. Tiedottaminen Yliopiston tietoturva-asioista tiedottamisesta yliopiston ulkopuolelle ja yliopiston sisällä yleisellä tasolla vastaa yliopiston tietoturvavastaava. Tietoturvallisuuden seuranta ja ongelmatilanteiden käsittely Tietoturvavastaavalla on yliopiston ylimmän johdon antama valtuutus ja velvollisuus tehdä yliopiston tietojärjestelmien tietoturvallisuuden kartoituksia ja ryhtyä toimenpiteisiin havaittujen tietoturvallisuuden heikkouksien parantamiseksi. Jokainen yliopiston tietojenkäsittelyjärjestelmien käyttäjä on velvollinen noudattamaan yliopiston johdon hyväksymiä käyttösääntöjä ja tietoturvaohjeita. Käyttäjien ja ylläpitäjien tulee ilmoittaa havaitsemistaan tietoturvallisuuden puutteista, tietoturvallisuuteen liittyvistä väärinkäytöksistä tai epäilemistään tietoturvarikkomuksista tietoturvavastaavalle, joka reagoi niihin erikseen määriteltävällä tavalla. Teatterikorkeakoulun hallitus 2/2001, 29.3.2001