1. Johdanto

1.1 Määritelmät

Ylläpidolla tarkoitetaan näissä säännöissä

  • tietojärjestelmien pitämistä toimintakuntoisina ja tietoturvallisina
  • tarpeelliseksi havaittujen muutosten tai korjausten tekemistä tietojärjestelmiin
  • tietojärjestelmien ja niiden muutosten dokumentointia
  • käyttäjätunnusten sekä käyttö- ja pääsyoikeuksien hallinnointia tietojärjestelmissä sekä
  • tietojärjestelmien toiminnan ja käytön seurantaa ja tilastointia.

Tietojärjestelmällä tai järjestelmällä tarkoitetaan näissä säännöissä

  • yksittäistä yliopiston omistamaa tai sen järjestelmiin kytkettynä olevaa atk-laitetta tai -laitteistoa tai niiden muodostamaa kokonaisuutta
  • yliopiston tietoliikenneverkkoa
  • yllä olevissa toimivia ohjelmistoja ja palveluita sekä
  • niissä olevaa tietosisältöä.

Yliopiston yksiköllä tarkoitetaan yliopiston tiedekuntaa, laitosta, osastoa tai muuta toiminnallista vastuualuetta.

Yliopiston tietojärjestelmän vastuullinen omistaja on se yliopiston yksikkö, jonka toimintaa ja tietojenkäsittelyä varten järjestelmä on hankittu ja joka määrittelee järjestelmän käyttöön oikeutetut. Aineiston omistajana voi tekijänoikeuslain mukaisesti olla myös aineiston tekijä.

Yliopiston tietojärjestelmän hallinnoijan tehtävänä on huolehtia tietojärjestelmästä. Tietojärjestelmän omistaja on myös sen hallinnoija, ellei hallinnointivastuuta ole sopimuksella siirretty yliopiston toiselle yksikölle tai ulkopuoliselle palveluntarjoajalle. Tietojärjestelmän hallinnoija ei yleensä ole järjestelmän ylläpitäjä.

 Ylläpitäjällä tarkoitetaan kaikkia yliopiston tietojärjestelmien tietoteknisestä ylläpidosta vastaavia henkilöitä sekä muita yliopiston atk-tukihenkilöitä, jotka näiden kanssa vastaavat järjestelmien ylläpitoon liittyvistä toimista sekä käyttäjien tuesta ja ohjauksesta. Laajasti ymmärrettynä ylläpitäjällä tarkoitetaan jokaista henkilöä, jolla on pääkäyttäjän oikeuksia järjestelmään.

1.2 Ylläpitäjän valtuudet

Ylläpitäjällä on tietojärjestelmien toiminnallisuuden takaamiseksi kattavat oikeudet tutkia järjestelmien tilaa ja tarvittaessa myös puuttua järjestelmien toimintaan, yksittäisen käyttäjän tietojärjestelmien käyttöön sekä tietojärjestelmissä oleviin tietoaineistoihin, joiden voidaan epäillä rikkovan voimassa olevaa säännöstöä tai Tietojärjestelmien käyttösääntöjä (esimerkiksi laittomiin kopioihin musiikista tai elokuvista).

Tietoturvallisuuteen kohdistuvien häiriöiden poistamiseksi ja tietoturvaloukkausten torjumiseksi ylläpitäjällä on oikeus ja velvollisuus ryhtyä välttämättömiin toimiin tietoturvallisuuden varmistamiseksi. Tietoturvapoikkeamissa toimitaan tietoturvapolitiikan ja Tietoturvapoikkeamiin reagoiminen -ohjeen mukaisesti.

Jotta ylläpitäjän erioikeudet eivät olisi ristiriidassa järjestelmän käyttäjien oikeusturvan kanssa, ylläpitäjän erioikeuksien käyttöä säädellään ohjeilla ja määräyksillä, jotka perustuvat voimassa olevaan säännöstöön[1]. Yliopiston tietoturvasääntöjä ylläpitää tietotekniikkakeskus. Tämä ja muut voimassaolevat tietoturvasäännöt sekä muita ohjeita yliopiston tietojärjestelmien käytöstä julkaistaan yliopiston verkkosivuilla. Yksiköissä voi olla myös tarkentavia, järjestelmäkohtaisia ylläpitosääntöjä tai -ohjeita.

Nämä säännöt sitovat yliopiston kaikkia ylläpitäjiä, myös opiskelijaa, jos hän ylläpitää yliopiston verkkoon kytkettyä tietojärjestelmää tai sen osaa.

2. Vastuut

Yksikön on dokumentoitava omistamansa tietojärjestelmät tai järjestelmäkokonaisuudet, tärkeysluokiteltava ne tarvittavilta osin sekä nimettävä ja dokumentoitava niiden hallinnoijat ja ylläpitäjät. Omistaja vastaa tietojärjestelmäselosteiden olemassaolosta, ajantasaisuudesta ja saatavuudesta.

Tietojärjestelmän omistaja ja viime kädessä yksikön esimies vastaa siitä, että järjestelmässä noudatetaan voimassa olevaa lainsäädäntöä, hyvää ylläpitotapaa sekä yliopiston voimassaolevia periaatteita ja sääntöjä. Omistajalla on aina lopullinen vastuu järjestelmän ylläpidosta. Tietojärjestelmän hallinnoija vastaa järjestelmien hyvän ylläpitotavan mukaisesta teknisestä ylläpidosta. Jokaisella järjestelmällä on oltava nimetyt ylläpitäjät. Ylläpitotehtävät jaetaan mahdollisuuksien mukaan usealle henkilölle, joilla on eri käyttövaltuudet. Myös ylläpitäjien toimenpiteistä kerätään tarvittavaa lokitietoa.

Tietojärjestelmän omistaja tai hallinnoija ei ole vastuussa käyttäjän henkilökohtaisten aineistojen sisällöstä, vaan käyttäjä itse vastaa aineistojensa laillisuudesta ja suojaa ne yliopiston antamien ohjeiden mukaisesti. Järjestelmän hallinnoijalla on kuitenkin oikeus ja velvollisuus puuttua käyttäjän aineistoihin, jos on perusteltua syytä epäillä, että ne vaarantavat tietoturvallisuutta tai sisältävät lainvastaisuuksia.

Jos ylläpitäjän epäillään tai havaitaan väärinkäyttäneen erioikeuksiaan, otetaan yhteyttä yksikön esimieheen tai esimiehen ennalta määräämään yhdyshenkilöön, joka raportoi asiasta kampuksen tietoturvakoordinaattorille. Mahdolliset jatkotoimenpiteet käsitellään tietoturvapolitiikan mukaisesti.

3. Toimintaperiaatteet

3.1 Hyvä ylläpitotapa

Tietojärjestelmiä on ylläpidettävä hyvän ylläpitotavan mukaisesti. Hyvä ylläpitotapa tarkoittaa suunnitelmallista, vastuuntuntoista ja ammattitaitoista ylläpitoa, jossa otetaan huomioon julkisuuslaissa ja -asetuksessa säädetty hyvä tiedonhallintatapa [1].

3.2 Yksityisyyden suojan kunnioittaminen

Yliopiston tietojärjestelmien hallinnoinnissa otetaan huomioon käyttäjien ja heidän viestintäkumppaniensa oikeus yksityisyyteen ja viestintäsalaisuuteen. Yliopistolla on kuitenkin nämä perusoikeudet huomioon ottaen oikeus määrätä itse omistamiensa tietojärjestelmien tietosisällöstä ja käyttötarkoituksesta. Tämä koskee myös yliopiston omistaman tietoliikenneverkon liikennettä. Käyttötarkoituksesta on säädetty tarkemmin yliopiston Tietojärjestelmien käytön säännöissä tai järjestelmäkohtaisissa säännöissä.

Jos käyttäjä pyytää ylläpitäjää käsittelemään sähköpostiaan tai muita tiedostojaan, ylläpitäjän tulee varmistua käyttäjän henkilöllisyydestä asianmukaisella tavalla, esimerkiksi virallisen henkilöllisyystodistuksen avulla.

Kun ylläpitäjällä on tarve ottaa yhteyttä käyttäjään, voidaan se tehdä joko yliopiston tietojärjestelmistä löytyvään puhelinnumeroon tai sähköpostilla. Jos on kuitenkin syytä epäillä käyttäjätunnuksen olevan väärissä käsissä, ei sähköpostia tule käyttää.

3.3 Vaitiolovelvollisuus

Ylläpitäjällä on vaitiolovelvollisuus ja hyväksikäyttökielto työtehtäviä hoitaessaan tietoonsa saamistaan, työtehtäviin liittymättömistä asioista sekä niiden olemassaolosta. Työtehtäviin liittyvistä ei-julkisista asioista saa keskustella vain sellaisten henkilöiden tai viranomaisten kanssa, joita sitoo sama vaitiolovelvollisuus ja joiden työtehtäviin käsiteltävä asia liittyy.

Ylläpitäjää sitoo erityisesti rikoslain 40 luvun 5 §. Sen mukaan ylläpitäjä ei saa oikeudettomasti paljastaa tai hyödyntää palvelusuhteensa aikana tai sen päätyttyä tehtävänsä tai asemansa vuoksi tietoonsa saamiaan, salassa pidettäviä tai muita sellaisia asioita, joita ei saa lain mukaan paljastaa kuten käyttäjien yksityisasioita.

Ylläpitäjä tekee salassapitositoumuksen [2].

4. Toimintakäytännöt

4.1 Identiteetit, salasanat

Ylläpitäjä ei tehtäviensä hoitamiseksi tarvitse käyttäjän salasanaa eikä hänen tule sitä käyttäjältä tiedustella.

Mikäli ongelman selvitys edellyttää käyttäjän identiteetin hetkellistä käyttöä, tulee joko käyttäjän olla itse paikalla antamassa salasana autentikointipalvelulle tai ylläpitäjän on otettava käyttäjän identiteetti käyttöönsä ylläpitäjän erioikeuksien avulla. Jälkimmäisestä on ilmoitettava käyttäjälle ennalta tai niin pian jälkikäteen kuin se on mahdollista. Identiteettiä ei saa käyttää kauemmin, kuin ongelman ratkaisemiseksi on välttämätöntä.

Ylläpitäjän on käyttäjän identiteetin hetkellisen käytön tilanteissa varmistauduttava käyttäjän henkilöllisyydestä asianmukaisella tavalla.

Ylläpitäjän tulee käyttää pääkäyttäjän oikeuksia vain, kun niitä tarvitaan ylläpitotehtäviin. Muissa tapauksissa tulee käyttää omia henkilökohtaisia tunnuksia.

4.2 Käyttölupien rajoittaminen selvitysmenettelyn ajaksi

Mikäli epäillään yliopiston tietoturvallisuuden vaarantuneen, käyttäjän syyllistyneen käyttösääntöjen vastaiseen menettelyyn tai muuhun väärinkäytökseen, on ylläpitäjällä oikeus rajoittaa käyttäjän oikeuksia järjestelmiin selvittelymenettelyn ajaksi.

Todetun väärinkäytön selvitys- ja jatkotoimenpiteet käsitellään tietoturvapolitiikan mukaisesti.

4.3 Sähköpostin käsittely

Henkilökohtaisen kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on Suomen perustuslain mukaan loukkaamaton, ellei laissa toisin säädetä. Sähköposti on rinnastettavissa kirjeeseen. Sähköposti on luottamuksellinen, ellei sitä ole tarkoitettu yleisesti vastaanotettavaksi.

Sähköpostin normaalit käsittelyperiaatteet säädetään Sähköpostin käsittelysäännöissä. Näissä Tietojärjestelmien ylläpitosäännöissä säädellään erikoistilanteita, joissa ylläpitäjän on puututtava postin kulkuun järjestelmän palvelutason tai turvallisuuden takaamiseksi.  

Ylläpitäjällä ei ole oikeutta nähdä käyttäjän sähköpostia. Ylläpitäjä voi joutua avaamaan käyttäjien sähköpostia sisältäviä tiedostoja seuraavissa tilanteissa:

  • Jos käyttäjä pyytää sitä ylläpitäjältä. Pyyntö voidaan esittää esimerkiksi tilanteessa, jossa sähköpostilaatikko ei aukea käyttäjän käytettävissä olevilla ohjelmilla. Lupa koskee vain yhtä nimenomaista kertaa. Mikäli käyttäjä pyytää tietoa postilaatikon sisällöstä, ylläpitäjän on ehdottomasti varmistuttava pyytäjän henkilöllisyydestä (ks. luku 3.2).
  • Jos käyttäjän postilaatikko aiheuttaa häiriötilanteita esimerkiksi suuren koon tai vaurioituneen rakenteen vuoksi.
  • Suuren kokonsa takia postinkulkua haittaava postilaatikko tulee ensisijaisesti siirtää avaamattomana muualle. Käyttäjälle on ilmoitettava, missä postilaatikko sijaitsee, mikäli postijärjestelmä ei automaattisesti löydä sitä uudesta sijaintipaikasta. Jos postilaatikkoa ei voida suuren kokonsa takia sijoittaa käyttäjän tavoitettavissa olevaan paikkaan, on käyttäjän kanssa sovittava toimenpiteistä viestien luovuttamiseksi käyttäjälle. Siirretyn postilaatikon saa pakata vähemmän tilaa vievään muotoon, mikäli käyttäjälle annetaan tarkat ohjeet kuinka postiviesteihin pääsee jälleen käsiksi. Suuri postilaatikko voidaan erityisessä poikkeustilanteessa myös tuhota, ellei sille kohtuudella voida tehdä muuta. Päätöksen tekee järjestelmää hallinnoivan yksikön ylläpitoryhmän esimies.
  • Ylläpitäjä saa korjata rakenteeltaan rikkinäisen postilaatikon kysymättä käyttäjältä erikseen lupaa. Ylläpitäjällä ei ole kuitenkaan lupaa lukea vain vastaanottajalle tarkoitettua tekstisisältöä.
  • Postilaatikkoon kohdistuvista ei-automaattisista toimenpiteistä ilmoitetaan käyttäjälle viipymättä.
  • Kun postijärjestelmä ei kykene toimittamaan viestiä eteenpäin puutteellisen tai vaurioituneen rakenteen vuoksi. Tällöin ylläpitäjällä on lupa tutkia ja korjata viestin teknisiä ohjaustietoja, mutta ylläpitäjän tulee mahdollisuuksien mukaan olla tutustumatta viestin vastaanottajalle tarkoitettuun tekstisisältöön.

Ylläpitäjällä on myös oikeus poistaa välitettävänä olevan sähköpostin jonosta postijärjestelmän toiminnan vaarantavat sekä ilmeisen tarpeettomat teknisestä virheestä aiheutuneet viestit.

4.4 Muiden tiedostojen käsittely

Ylläpitäjällä ei ole yleistä oikeutta lukea tai muuten käsitellä käyttäjien omistuksessa olevien tiedostojen sisältöä.

Ylläpitäjällä on kuitenkin oikeus käsitellä tiedostoja esimerkiksi seuraavissa tilanteissa:

  • Kun käyttäjä on antanut siihen luvan ongelmatilanteen selvittämiseksi.
  • Erityisestä kirjallisesta pyynnöstä, esimerkiksi mikäli yliopiston tehtävien hoito on vaarassa vaikeutua poissaolon vuoksi, voidaan poissaolevan työntekijän tai opiskelijan omistuksessa olevia, muilta suojattuja tiedostoja joutua käsittelemään. Yksikön esimies voi määrätä ylläpitäjän antamaan nimetylle henkilölle käyttöoikeuden tarvittaviin tiedostoihin.
  • Jos käyttäjätunnuksen hallussa, omistuksessa tai vastuulla on ohjelmia tai tiedostoja, jotka aiheuttavat häiriöitä järjestelmän toiminnalle, turvallisuudelle tai muiden käyttäjien tietosuojalle. Tällöin ylläpitäjä voi tarkistaa ohjelmatiedostojen sisällön ja tarvittaessa estää niiden toiminnan.
  • Jos on perusteltu syy epäillä, että käyttäjätunnus on joutunut vääriin käsiin ja että sen omistuksessa on tiedostoja tai ohjelmia, jotka aiheuttavat vaaraa tai uhkaa yliopiston toimintakyvylle tai turvallisuudelle.
  • Mikäli ylläpitäjä epäilee tunnuksen olevan väärissä käsissä, on ylläpitäjällä oikeus tilapäisesti sulkea tunnus. Muutoin tilanteessa toimitaan Tietoturvapoikkeamiin reagoiminen -ohjeen mukaisesti. Yleisperiaatteena on, että käyttäjään pyritään saamaan yhteys ennen toimenpiteitä, mutta suojaus- ja korjaustoimenpiteet voidaan joutua tekemään välittömästi ennen yhteydenottoa.
  • Jos on perusteltu syy epäillä, että käyttäjätunnuksen haltija on itse syyllistynyt väärinkäytökseen ja voidaan olettaa, että tietyissä käyttäjän omistamissa tiedostoissa on todisteita väärinkäytöksestä.
  • Ylläpitäjällä on oikeus tilapäisesti sulkea tunnus väärinkäyttötapauksessa. Käyttäjän väärinkäytös käsitellään yliopiston tietoturvapolitiikan, Tietojärjestelmien käyttösääntöjen sekä Tietoturvapoikkeamiin reagoimisohjeen mukaisesti.
  • Ylläpidolla on oikeus estää sellaisten verkkojulkaisujen näkyminen, jotka ovat lainsäädännön tai Tietojärjestelmien käytön sääntöjen vastaisia.
  • Kun tiedostojen suojaus sen muutenkin sallii, ellei kyseessä ole selvä käyttäjän virhe, jolla hän on tahtomattaan antanut kaikille oikeudet lukea tiedostojaan. Tällöin ylläpitäjä on velvollinen ilmoittamaan käyttäjälle, että hänen tiedostojensa suojaus ei ole riittävä.

Edellä mainitun lisäksi ylläpitäjällä on aina oikeus:

  • lukea ja muuttaa käyttäjien kotihakemistoissa sijaitsevia alustustiedostoja, postinohjaus- tai lajittelutiedostoja sekä muita järjestelmän toimintaan vaikuttavia tiedostoja, mikäli niiden havaitaan uhkaavan järjestelmän toimintaa, turvallisuutta tai käyttäjien tietosuojaa. Jos mahdollista muutosta ei pystytä tekemään ilman, että käyttäjän itse tekemät muutokset häviävät, käyttäjän tekemä vanha versio siirretään toiselle nimelle ja käyttäjälle ilmoitetaan muutoksesta.
  • tutkia, ettei yhteisillä levyalueilla ole laittomia tai järjestelmän toimintaa, turvallisuutta tai käyttäjien tietosuojaa uhkaavia tiedostoja. Tällaisia ovat esimerkiksi haittaohjelmat, tekijänoikeuksia loukkaavat tallenteet sekä rikoslaissa lainvastaisiksi nimetyt aineistot.
  • tuhota väliaikaistallennukseen tarkoitetusta tallennustilasta manuaalisesti tai automaattisesti tiedostoja ennalta määriteltyjen periaatteiden mukaisesti. Poistamisperiaatteiden tulee olla käyttäjien saatavilla, mutta periaatteiden mukaisista poistoista ei tarvitse ilmoittaa käyttäjälle.
  • poistaa käyttäjien töitä tulostusjonoista mikäli ne haittaavat palvelun toimintaa. Poistoista ei tarvitse ilmoittaa käyttäjille.

4.5 Hakemistojen ja tiedostolistausten seuranta

Ylläpitäjä ei voi normaalissa ylläpidossa kokonaan välttää käyttäjien omistamien hakemistojen tiedostolistausten suorittamista ja näkemistä. Hakemistorakenteiden, tiedostojen nimien, muutospäivämäärien, koon ja suojaustason sekä muiden tiedostoa koskevien tietojen käsittely on osa normaalia ylläpitoa, joka tehdään hyvää ylläpitotapaa noudattaen.

Mikäli havaitaan, että jonkin tiedoston tai hakemiston suojaukset ovat sen luonteeseen nähden liian heikot, ylläpitäjällä on velvollisuus muuttaa suojaus riittäväksi.

Ylläpitotehtävien hoidossa pyritään siihen, ettei tiedostojen, hakemistojen tai muiden vastaavien nimiä näytetä tarpeettomasti. Esimerkiksi kun ongelmatapausten käsittelyssä tarvitaan tiedostolistauksia, poistetaan tulosteesta mahdollisuuksien mukaan ne tiedostonimet, jotka eivät liity käsittelyssä olevaan asiaan.

4.6 Ohjelmien ja prosessien seuranta

Ylläpitäjä määrittelee järjestelmän hallinnoijan kanssa, mitkä ohjelmistot ovat järjestelmässä käytettävissä. Ohjelmia voidaan kieltää tai poistaa käytöstä, mikäli niiden käyttö ei ole yliopiston toiminnan kannalta tarpeellista tai ne ovat uhka palvelutasolle tai turvallisuudelle. Päätöksen tekee järjestelmää hallinnoivan yksikön ylläpitoryhmän esimies.

Ylläpitäjä seuraa tietojärjestelmissä ajettavia ohjelmia osana normaalia ylläpitoa.

Ylläpitäjä saa muuttaa suorituksessa olevan prosessin suoritusprioriteettia, mikäli se kuluttaa järjestelmän resursseja kohtuuttomasti.

Ylläpitäjä saa päättää prosessin suorituksen, mikäli

  • prosessin toiminta on selvästi häiriintynyt,
  • prosessi haittaa muun järjestelmän toimintaa,
  • prosessi liittyy ohjelmistoon, jonka käyttö on ylläpitäjän antamien ohjeiden ja määräysten vastainen. Tällöin käyttäjälle ilmoitetaan prosessin päättämisestä ja kyseisistä määräyksistä,
  • prosessin haltijan käyttäjätunnus on vanhentunut.

4.7 Tietoliikenneverkon seuranta

Yliopiston tietoliikenneverkon ylläpitäjä seuraa muun muassa verkonkuunteluohjelmilla ja lokitietojen perusteella yliopistoverkon ja ulkoyhteyksien liikennettä. Seurannan tarkoituksena voi olla:

  • teknisten ongelmien selvittäminen
  • tietoturvan varmistaminen
  • tietoliikenteen infrastruktuurin suunnittelu ja ylläpito
  • haittaliikenteen selvittäminen
  • liikennetietojen tallentaminen viranomaisia varten
  • tilastointi

 Tästä toiminnasta muodostuu henkilörekistereitä, joista on tehty rekisteriseloste (ks. tietoliikenteen rekisteriseloste).

Liikennettä voidaan seurata eri järjestelmien välillä HY:n verkon sisäpuolella sekä järjestelmistä HY:n verkon ulkopuolelle. Liikenteen monitorointi perustuu pääasiassa ns. otsikko-tietoihin, mutta perustelluista syistä se voi kohdistua myös itse liikenteen sisältöön. Monitorointia ei erikseen kohdenneta yksittäiseen laitteeseen kuin perustelluista syistä tai laitteen käyttäjän kanssa erikseen sovittavalla tavalla tai ilmoitetulla tavalla.

Monitoroinnissa käytetään pääasiassa automaattisia ja tilastollisia työkaluja, mutta tapauksesta riippuen voi manuaalinen käsittely kohdistua yksittäiseen verkkosegmenttiin, laitteeseen tai palveluun. Manuaalisesta käsittelystä tehdään aina käsittelyilmoitus sisäisten ohjeiden mukaan. Mikäli manuaalisessa käsittelyssä puututaan yksittäisen käyttäjän viestin sisältöön, ilmoitetaan asiasta perusteluineen käyttäjälle henkilökohtaisesti.

Tietoliikenneverkon ylläpitäjä voi ottaa yhteyttä suuren liikennemäärän tai muun poikkeaman aiheuttaneen laitteen vastuuhenkilöön mahdollisen häiriö- tai väärinkäytöstilanteen selvittämiseksi.

Tietoliikenneverkon ylläpitäjällä on lupa estää tietoliikenneyhteydet tai tietyn palvelun käyttö laitteeseen tai verkon osaan - joka aiheuttaa verkkoliikenteen palvelutasoa tai turvallisuutta uhkaavaa liikennettä, - jonka voidaan perustellusti epäillä olevan haittaohjelmien saastuttama tai - johon liitetty laite tai laitteen osa on väärissä käsissä - jossa rikotaan Tietojärjestelmien käyttösääntöjä tai - joka ei ole erityisesti tietoturvallisuuden suhteen asianmukaisesti ylläpidetty.

Kaikissa tapauksissa laitteen tai verkon osan vastuulliseen ylläpitäjään on otettava viipymättä yhteyttä liikenteen estämisen jälkeen.

 

4.8 Lokitietojen käsittely

 

Yliopiston tietojärjestelmät tallentavat lokitietoja järjestelmän toiminnan dokumentoimiseksi, mahdollisten häiriö- tai väärinkäyttötilanteiden selvittämiseksi sekä laskutus- ja tilastotiedon keräämiseksi. Yliopistossa lokitietoja käytetään normaalisti vain teknisluontoisiin ylläpitotehtäviin ja laskutuksen ja tilastoinnin mahdollistamiseksi. Lokitiedot voivat muodostaa henkilörekisterin, josta säädetään henkilötietolaissa (HetiL 523/1999) tai sisältää tunnistamistietoja, joista säädetään sähköisen viestinnän tietosuojalaissa (SVTSL 516/2004).

4.9 Tietojen säilytys

Tietojärjestelmäpalvelujen tarjoajan tulee osana ylläpitoa huolehtia järjestelmiensä varmuuskopioinnista. Varmuuskopioita on otettava esimerkiksi levyrikkojen varalta riittävän usein järjestelmän tärkeyden mukaisesti.

Varmuuskopiot tulee säilyttää asianmukaisesti ja ylläpitäjän on huolehdittava varmuuskopioiden lukukelpoisuudesta. Varmuuskopioilla olevia tietoja tulee käsitellä samoilla periaatteilla kuin vastaavia tietojärjestelmissä olevia tietoja. Varmuuskopioiden tuhoamisen tulee tapahtua siten, että niiden sisältämien tietojen luottamuksellisuus ei vaarannu.

5. Näiden sääntöjen valvonta

Näiden sääntöjen valvonnasta vastaavat tietotekniikkakeskuksen sekä muiden mahdollisten yliopiston yksiköiden tietojärjestelmien omistajat. Sääntörikkomusten käsittely tapahtuu tietoturvapolitiikan mukaisesti. Tietotekniikkakeskus päivittää sääntöjä, ja tietoturvapäällikkö seuraa niiden päivitystarvetta. Sääntöjen uusin versio on saatavilla tietotekniikkakeskuksen verkkosivuilta.

 

Liitteet

 

Liite 1: Ohjaava lainsäädäntö

Kaikessa ylläpidossa noudatetaan voimassa olevaa säännöstöä.

Ylläpitoa ohjaavaa lainsäädäntöä on esimerkiksi:

  • Perustuslaki (731/1999), yksityiselämän suojaa sekä sananvapautta ja julkisuutta koskevat säädökset
  • Henkilötietolaki (523/1999)
  • Laki viranomaisen toiminnan julkisuudesta (621/1999)
  • Asetus julkisuudesta viranomaistoiminnassa ja hyvästä tiedonhallintatavasta (1030/1999)
  • Sähköisen viestinnän tietosuojalaki (516/2004)
  • Laki yksityisyyden suojasta työelämässä (759/2004)
  • Laki yhteistoiminnasta valtion virastoissa ja laitoksissa annetun lain (651/1988) muuttamisesta (479/2001), Muutos 7 §:ssä (762/2004)
  • Laki tietoyhteiskuntapalveluiden tarjoamisesta (458/2002)
  • Rikoslaki (39/1889)
  • Pakkokeinolaki (450/1987)

    sekä edellisten perusteella annetut muut lait, asetukset, säädökset ja määräykset.

 

Liite 2: Salassapitositoumus

Sitoudun siihen, että en Helsingin yliopiston palveluksessa ollessani tai muuten yliopistossa tai sen toimeksiannosta toimiessani paljasta sivulliselle asiakirjojen salassa pidettävää sisältöä enkä muutakaan tietoon saamaani seikkaa, josta lailla tai asetuksella on säädetty vaitiolo- tai salassapitovelvollisuus.

Sitoudun siihen, että en käytä väärin tehtävieni vuoksi saamiani ei-julkisia ja salassa pidettäviä tietoja ja enkä jätä niitä sivullisten nähtäville tai muuten helposti saataville.

Vaitiolo- ja salassapitovelvollisuus on voimassa myös palvelus- tai toimeksiantosuhteen päätyttyä.

Salassapidon piiriin kuuluvia tietoja ovat esimerkiksi useat henkilötiedot ja turvallisuusjärjestelyihin liittyvät tiedot sekä yhteistyökumppaneiden liike- ja ammattisalaisuudet. Sivullisia ovat myös ne Helsingin yliopistossa tai sen yhteistyökumppaneilla työskentelevät henkilöt, jotka eivät heille määrättyjen tai sovittujen tehtävien perusteella tarvitse asiaa tietoonsa.

Palvelus- tai toimeksiantosuhteen päättyessä luovutan hallussani olevat Helsingin yliopistoa tai sen yhteistyötahoja koskevat ei-julkista tai salassa pidettävää tietoa sisältävät asiakirjat ja tietovälineet sekä niiden mahdolliset kopiot Helsingin yliopistolle.

Olen perehtynyt minulle esitettyihin, voimassaoleviin laissa säädettyihin vaitiolovelvollisuus- ja hyväksikäyttökieltosäännöksiin, yliopiston Tietoturvapolitiikkaan ja Tietojärjestelmien ylläpitosääntöihin. Sitoudun noudattamaan kulloinkin voimassa olevia ohjeita tai määräyksiä, jotka julkaistaan tietotekniikkakeskuksen verkkosivuilla.  

Niiden rikkominen saattaa eräissä tapauksissa täyttää rikoksen tunnusmerkit.