Versions Compared

Old Version 17

changes.mady.by.user Unknown User (kimmosv)

Saved on

compared with

New Version Current

changes.mady.by.user Roope Rannikko

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Tiivistelmä

Metropolian tietoturvapolitiikka

METROPOLIA AMMATTIKORKEAKOULU TIETOTURVALLISUUSPOLITIIKKA - Päivitetty 7.6.2022

Tämä politiikka kuvaa Metropolian tietoturvallisuuden vastuut ja tavoitteet sekä miten hallinnoimme ja suhtaudumme tietoturvallisuuteen.

...

on jatkuvasti ylläpidettävä ja päivitettävä kokonaisuus, joka sisältää korkeakoulun ydintoiminnan tarpeista lähtevän pelkistetyn politiikan (= tämä dokumentti) sekä siihen liitettävät ohjeet ja kaaviot.

...

Tietoturvapolitiikasta on tällä sivulla luettavissa tiivistetympi ohjeistus, joka sisältää keskeisimmät asiat politiikasta. Tiivistetty ohjeistus on käännetty myös englannin kielelle.

Tietoturvallisuuspolitiikka ja sen tavoite

Metropolian toimintaa ohjaa olemassa olevat viranomaisten lainsäädännöt, jotka ohjeistavat asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja eheydestä huolehtimisesta. Näitä käytäntöjä on jatkuvasti kehitettävä, seurattava ja tarvittaessa parannettava. Kehitystä tehdään yhteistyössä kaikkien Metropolian yksiköiden kanssa.

Digitaalisuuden kasvu merkitsee sitä, että tietoturvallisuutta säännellään enenevässä määrin lainsäädännöillä.

Tietoturvallisuuspolitiikan tavoite on, että se kuvaa Metropolian henkilöstölle, opiskelijoille ja sidosryhmille selkeästi ja ajantasaisesti miten hallinnoimme ja suhtaudumme tietoturvallisuuteen.

...

Tietoturvapolitiikka johdetaan Metropolian kokonaisriskienhallintapolitiikasta, jonka hyväksyy Metropolian hallitus. Tietoturvan johtamisessa korostetaan ylimmän johdon vastuuta siten, että johdolla on oltava selkeä näkemys tietoturvan roolista ydintoiminnoille, ja että noudatettava tietohallintostrategia on riittävän liiketoimintalähtöinen. Tietoturvallisuuspolitiikan avulla Metropolian johtoryhmä ilmaisee tahtonsa ja näkemyksensä tietoturvasta. Opiskelijat, henkilöstö, yhteistyökumppanit ja sidosryhmät ovat vastuussa

...

sääntöjen noudattamisesta. Sen lisäksi jokaisen opiskelijan ja henkilökuntaan kuuluvan on ilmoitettava esimiehelleen/tietohallinnolle havaitsemistaan tietoturvallisuusriskeistä, poikkeama- tai vaaratilanteista, kuten vakavista tietoturvapoikkeamista. Mikäli julkista tiedottamista tarvitaan, siitä päättää Metropolian johtoryhmä yhdessä viestinnän kanssa. Sisäisestä viestinnästä vastaa tietohallinto. Tietotekniikkarikkomukseksi katsotaan sellainen toiminta, joka rikkoo Metropolian asettamia sääntöjä tietopalveluiden käyttämiseksi, tietoturvan toimintaperiaatteita tai sellainen toiminta, joka on Suomen lakien vastaista. Tietohallinnossa käydään kerran vuodessa läpi tietoturvaan liittyvät toimintaperiaatteet ja ohjeistukset.


View file
nameMetropolia_Tietoturvapolitiikka_FI_V9.pdf
height250


Metropolia's Information security policy in English

Opiskelijoiden ja henkilöstön tietoturvaosaamisen tavoite

Metropolian IT-strategian yhtenä painopisteenä on tietoturvallisen kulttuurin luominen Metropoliaan.

Tavoitteenamme on, että jokaisella henkilöstön jäsenellä on perustason mukaiset tietoturvataidot. Perustasolla tarkoitetaan tasoa, jolloin henkilö ymmärtää: 

  • salasanaturvallisuuden
  • turvallisen tietoaineiston käsittelyn
  • haittaohjelmilta ja kalasteluviesteiltä suojautumisen

Henkilöstön perustason tietoturvaosaamista tullaan ylläpitämään tietoturvakoulutuksella Moodle palvelussa sekä erillisinä koulutuksina, tiedotteilla ja ohjeilla.

Opiskelijoiden tietoturvallisuusosaamista tuetaan samoilla tavoilla. Tavoitteena on myös luoda opiskelijoille pakollinen tietoturvakoulutus, joka on suoritettava opintojen aikana.

Tietosuoja- ja tietoturvallisuustoimenpiteiden toteuttaminen hankintojenyhteydessä

  • EU:n yleinen tietosuojaasetus (GDPR) 2016/679, kansallinen tietosuojalaki (1050/2018) sekä 1.1.2020 voimaanastunut tiedonhallintalaki (906/2019) velvoittavat organisaatiot kontrolloimaan uusien digitaalisten työvälineiden (IT-järjestelmät, sähköiset palvelut ja ohjelmistot) käyttöönottoa.
  • Digitaalisten työvälineiden käyttöönotto on luvallista vain hallitusti. Ennen kuin digitaalinen työväline otetaan käyttöön, on riskienhallintaprosessin läpikäynti pakollista.
  • Metropolian johtoryhmän päätöksellä kaikkien tietokoneohjelmien, mobiilisovellusten ja IT-järjestelmien hankinnoista on noudatettava hankintaprosessia, jotta Metropolian on mahdollista noudattaa edellä mainittua, lakien määräämää riskienhallintaprosessia.

  • Henkilötietoja koskevat lainsäädännöt on listattu Metropolia.fi verkkosivulla - tietosuoja ja GDPR-osiossa.

Tietoturvallisuuden ylläpito ja toiminta häiriötilanteissa

  • Tietohallintojohtaja raportoi tietoturvatilanteesta johdolle normaalin toiminnan arvioinnin ja suunnittelun yhteydessä ja aina silloin kun on aiheellista.
  • Tämä ohjeistus (siis tietoturvapolitiikka) katselmoidaan ja päivitetään tarpeen mukaan kerran vuodessa valmiussuunnitelman mukaisesti.
  • Tapauksissa, joissa verkkojen ja/tai tietojärjestelmien toimivuudessa ilmenee laajempia tai pitkäkestoisempia ongelmia, toimitaan Metropolian valmiussuunnitelman mukaisesti.
  • Laajemmista häiriöistä tiedotetaan häiriön havaitsemisen jälkeen käyttäjille. Toipumisen jälkeen käyttäjille tiedotetaan toipumisen onnistumisesta sekä annetaan lyhyt selvitys häiriön syystä.

Metropolia Information security policy