1. Tietoturvapolitiikan tarkoitus

Yliopiston johto ilmaisee tietoturvapolitiikassa

  • näkemyksensä tietoturvallisuudesta ja sen liittymisestä yliopiston strategian toteuttamiseen,
  • tärkeimmät linjaukset ja strategiakautta koskevat painopisteet tietoturvatyölle sekä
  • tahtonsa ja sitoutumisensa tietoturvallisuuden toteuttamiseen yliopistossa.

Tietoturvapolitiikan hyväksyy yliopiston Tietotekniikkakeskuksen johtokunta. Sitä täydentävät tarkemmat ohjeistukset käsittelee ja hyväksyy tietotekniikkakeskuksen johtokunta.

1.1 Tietoturvallisuuden kolme ulottuvuutta
 

  • Luottamuksellisuus (engl. confidentiality): Luottamuksellisen tiedon tunnistaminen ja sen luottamuksellisuuden turvaaminen.
  • Eheys (engl. integrity): Tiedon oikeellisuuden, ristiriidattomuuden ja oikeakestoisen säilymisen turvaaminen.
  • Saatavuus (engl. availability): Tiedon oikeiden käyttömahdollisuuksien turvaaminen.

1.2 Tietoturvallisuuden toteuttaminen

Tietoturvallisuudesta huolehtiminen edellyttää tiedon elinkaaren kaikkiin vaiheisiin sekä näiden aikana tiedon käsittelyyn käytettyihin välineisiin, järjestelmiin ja menetelmiin kohdistettuja oikein valittuja ja toteutettuja toimenpiteitä sekä tietoa käsittelevien henkilöiden toiminnan ohjaamiseen tarkoitettuja sääntöjä ja ohjeita sekä koulutusta. Yhteisellä nimellä näitä kaikkia kutsutaan turvamekanismeiksi.

Tietoturvallisuuden toteuttamisessa on kysymys tiedossa oleviin tietoturvallisuusriskeihin nähden sopivien turvamekanismien valinnasta ja toimeenpanosta. Turvamekanismien valinnassa joudutaan hakemaan tasapainoa tietoturvallisuuden kolmen ulottuvuuden ja turvamekanismien käytöstä aiheutuvien kustannusten tai lisätyn turvallisuuden aiheuttaman toiminnan hankaloitumisen välillä. Kustannukset voivat olla luonteeltaan välittömiä taloudellisia investointeja, mutta ne voivat aiheutua myös välillisesti työn hidastumisesta.

Tietoturvallisuuden tavoitteet asetetaan ja sen toteuttamistavat valitaan niin, että lain takaama tietosuoja ja yksityisyyden suoja toteutuvat yliopiston toiminnassa parhaalla mahdollisella tavalla. Tietoturvallisuuden tavoitteista ja tilannekuvasta raportoidaan säännöllisesti tietotekniikkakeskuksen johtokunnalle.

Helsingin yliopiston järjestelmien tietoturvatasot määritellään valtionhallinnon VAHTI -ohjeiden mukaisesti ja tietojärjestelmät suojataan Helsingin yliopiston tietoturva-arkkitehtuurissa kuvatuilla tavoilla. Lisäksi huomioidaan EU:n ja Suomen nykyiset ja tulevat lait sekä asetukset.

1.3 Tietoturvallisuudesta huolehtimisen motiivit
 

  • lakien ja muiden sitovien normien noudattaminen
  • keskeisten toimintojen turvaaminen myös poikkeustilanteissa
  • yhteistyökyvyn turvaaminen ja sopimusten noudattaminen
  • turvallisen ympäristön luominen yliopiston ydintoimintojen tarpeisiin
  • yliopiston maineesta ja luottamuksesta huolehtiminen
  • pyritään estämään yliopiston järjestelmien käyttäminen haitan tuottamiseen muille tahoille

 

2. Suuntaviivat

2.1 Vaatimustenmukainen ja turvattu toiminta

Tietoturvallisuus mitoitetaan ja toteutetaan lakien ja yliopiston solmimien sopimusten vaatimalla tavalla tietoturva-arkkitehtuuriperiaatteiden mukaisesti. Yliopisto varautuu myös häiriö- ja poikkeusoloihin sekä ennakoimattomiin muutoksiin siten, että toimintaa voidaan jatkaa mahdollisimman häiriöttömästi kaikissa olosuhteissa.

2.2 Yliopiston strategian toteuttaminen

Yliopiston strategia määrittää tietoturvallisuuden toteuttamisen painopisteiden valintaa. Tietoturvatoiminta tukee yliopiston strategisia linjauksia erityisesti huippututkimuksen tukemisen, kansainvälistymisen ja lisääntyvän yhteiskunnallisen vuorovaikutuksen osalta. Tietoturvan kehittämisohjelma laaditaan kullekin strategiakaudelle ja se tukee strategian toteuttamisohjelmia.

2.3 Hallittu tietoturvallisuus ja tietoriskien käsittely

Tietoturvallisuuden toimeenpano ja siihen liittyvä riskienhallinta organisoidaan ja toteutetaan hallitusti ja järjestelmällisesti. Riskienhallinnassa ja turvamekanismien valinnassa suuntaudutaan myös tulevaisuuteen uusien tekniikoiden ja järjestelmien turvallisen ja oikea-aikaisen käyttöönoton mahdollistamiseksi.

Tietohallinto ylläpitää tietoturvaan liittyvää dokumentaatiota, joka kattaa mm.

  • tietoon ja tietojärjestelmiin liittyvän riskienhallinnan organisoinnin
  • normiympäristöstä ja yliopistoa sitovista sopimuksista tietoturvallisuudelle aiheutuvien vaatimusten seurannan organisoinnin
  • tietoturvallisuuteen liittyvät roolit ja niihin kohdistetut vastuut ja valtuutukset

Tietoturvallisuus kuuluu yliopiston kokonaisturvallisuuteen. Tietoturvariskien hallinnasta raportoidaan yliopiston hallituksen tarkastusvaliokunnalle.

2.4 Tietoturvallisuuden sopeuttaminen avoimeen kansainväliseen toimintaan

Tietoturvallisuuden tavoitteiden asettelussa ja tason määrittämisessä, mittaamisessa ja turvamekanismien valinnassa käytetään hyväksi kansainvälisiä ja kansallisia standardeja ja suosituksia (esim. ISO, KATAKRI, VAHTI) sekä yliopiston sisäisiä ohjeita.

Kansainvälistymistä tuetaan tarjoamalla yliopiston tietoturvallisuuteen liittyvää aineistoa ja koulutusta myös englanninkielisinä. Kansainvälistyvän yliopiston käyttöön valitaan riittävän turvallisia, käyttäjäystävällisiä työvälineitä ja tarjotaan niihin liittyvää neuvontaa.

2.5 Tietoturvallisuuden tuki tutkimukselle, opetukselle ja yhteistyölle

Tietoturvallisuuden tavoitteena on mahdollistaa tutkimuksen, opetuksen ja yhteistyön tarvitsemien tiedon käsittely- ja kommunikointimenetelmien turvallinen ja tehokas käyttö. Turvatoimet skaalautuvat yksittäisen tutkijan tai opettajan tasolta tutkimusprojektien ja -ryhmien, opintojaksojen, oppiaineiden ja yksiköiden kautta koko yliopistoa koskeviksi. Tietoturvatoiminnan tavoite on mahdollistaa tutkimuksen, opetuksen ja YVV -toiminnan mahdollisimman tehokas mutta samalla turvallinen toiminta. Häiriötilanteita ennaltaehkäistään arvioimalla riskien syntymistilanteita sekä tarjoamalla ohjeita ja koulutusta riskien hallitsemiseen.

2.6 Tietoturvallisuuden tuki hallinnolle ja muille tukitoiminnoille

Tietoturvallisuudesta huolehditaan osana hallinnon järjestelmäkehitystä. Yliopiston kokonaisarkkitehtuuri kuvaa uusien hallinnon järjestelmien toiminnallisen ja teknisen toteutustavan, jonka osana järjestelmille tehdään turvallisuusauditointi. Tietoturvatoimilla pyritään edistämään uusien ja tehokkaiden järjestelmien ja toimintatapojen käyttöönottoa yliopiston kaikissa toiminnoissa. Yliopiston kannalta tärkeimpien ydinjärjestelmien toiminta pyritään turvaamaan myös poikkeusolosuhteissa.

 

3. Organisointi

3.1 Johtaminen

Tietoturvallisuuden johtaminen ja seuranta nivoutuvat osaksi yliopiston yleistä johtamista ja siitä vastaa viime kädessä rehtori. Tietoturvallisuustoimintaa johtaa tietohallintojohtaja.

3.2 Vastuut

Tietohallintojohtaja vastaa tietoturvallisuuden päälinjauksista, strategisesta ohjauksesta, seurannasta sekä yliopiston keskitetyn tietoturvatoiminnan riittävästä resursoinnista.

Yliopiston tietohallinto vastaa tietoturvaan liittyvien ohjeistusten ja toimintojen kehittämisestä.

Tietoturvapäällikkö vastaa tietoturvallisuuden kehittämisestä ja seurannan toteuttamisesta sekä tietoturvallisuutta koskevasta ulkoisesta yhteistyöstä sekä suunnittelee tietoturvallisuuden kehittämistoimenpiteitä. Tietoturvapäällikkö valvoo tietoturvallisuuden toteutumista, puuttuu havaittuihin tietoturvapoikkeamiin sekä johtaa poikkeamiin liittyvää tutkintaa. Tietoturvapoikkeamatilanteessa tietoturvapäälliköllä on oikeus määrätä tietojärjestelmä, järjestelmän osa tai yksittäisen käyttäjän käyttöoikeus suljettavaksi. Tietoturvapäällikkö johtaa tietoturvaryhmää, joka tukee ja avustaa laitoksia tietoturvan toteutuksessa sekä järjestää säännöllistä tietoturvakoulutusta ja tietoturva-auditointeja.

Kunkin laitoksen johtaja vastaa oman laitoksensa omistamien järjestelmien turvallisuudesta ja määräystenmukaisuudesta sekä niiden kustannuksista. Tietoturvallisuuden toteuttaminen ja valvonta kuuluu jokaiselle yliopistoyhteisön jäsenelle. Jokainen yliopistolainen on vastuussa tietoturvallisuuden toteutumisesta omassa toiminnassaan ja on myös velvollinen ilmoittamaan tietoturvapäällikölle tietoturvallisuudessa havaitsemistaan puutteista.
 

4. Viestintä

Tietoturvallisuuteen liittyvään viestintään noudatetaan yliopiston viestintä- ja kriisiviestintäsuunnitelmia. Normaalioloissa yliopiston sisäisestä tietoturvaviestinnästä vastaa tietoturvapäällikkö. Yksikön sisäisestä tietoturvaviestinnästä vastaa yksikön johtaja. Kriisitilanteessa tietoturvaviestinnän vastuut jakautuvat kriisiviestintäsuunnitelman mukaisesti.