Yliopiston tietoturvapolitiikka

Helsingin yliopiston tietoturvapolitiikka linjaa yliopiston johdon tärkeimmät tietoturvatavoitteet ja strategiset painopisteet tietoturvatyölle. Tietoturvapolitiikan ja yliopistolla tehtävän tietoturvatyön perusta on kotimaisessa lainsäädännössä.
Lainsäädäntö politiikan taustalla

Tärkeimmät tietotekniikan käyttöä ja tietotekniikkapalveluja koskettavat lait ovat:

  • Rikoslaki (19.12.1889/39) kuvaa rikosnimikkeet ja niistä langetettavat rangaistukset (tieto- ja viestintärikokset luku 38).
  • Henkilötietolaissa (22.4.1999/523) säädetään henkilötietojen keräämisestä, käsittelystä ja säilytyksestä. Juuri henkilötietolain velvoitteista johtuu se, ettei käyttäjätunnuksia voida myöntää eikä unohtuneita salasanoja vaihtaa tarkastamatta tunnuksen haltijan henkilöllisyyttä.
  • Tietoyhteiskuntakaari (7.11.2014/917) edistää sähköisen viestinnän palvelujen tarjontaa ja käyttöä sekä varmistaa, että viestintäverkkoja ja viestintäpalveluja on kohtuullisin ehdoin jokaisen saatavilla koko maassa.
  • Laki yksityisyyden suojasta työelämässä (13.8.2004/759) suojaa ihmisten yksityisyyttä suhteessa työnantajaan. Lain käsittelemät asiat koskevat myös tietyiltä osin opiskelijoita johtuen heidän kiinteästä suhteestaan yliopistoon.
Tietoturvapolitiikka

Yliopiston johto ilmaisee tietoturvapolitiikassa

  • näkemyksensä tietoturvallisuudesta ja sen liittymisestä yliopiston strategian toteuttamiseen,
  • tärkeimmät linjaukset ja strategiakautta koskevat painopisteet tietoturvatyölle sekä
  • tahtonsa ja sitoutumisensa tietoturvallisuuden toteuttamiseen yliopistossa.

Tietoturvapolitiikan hyväksyy rehtori. Sitä täydentävät politiikat hyväksyy tietohallintojohtaja. Tällä sivulla esitelty tietoturvapolitiikka on vahvistettu rehtorin päätöksellä HY/3764/00.00.06.00/2022.

1.1 Tie­to­tur­val­li­suu­den kol­me ulot­tu­vuut­ta
 

  • Luottamuksellisuus (engl. confidentiality): Luottamuksellisen tiedon tunnistaminen ja sen luottamuksellisuuden turvaaminen.
  • Eheys (engl. integrity): Tiedon oikeellisuuden, ristiriidattomuuden ja oikeakestoisen säilymisen turvaaminen.
  • Saatavuus (engl. availability): Tiedon oikeiden käyttömahdollisuuksien turvaaminen.

1.2 Tietoturvallisuudesta huolehtimisen syyt

Helsingin yliopisto huolehtii tietoturvallisuudesta, koska seuraavat laatutekijät ovat tärkeitä yliopiston toiminnan, etujen ja aseman kannalta:

  • lakien ja muiden sitovien normien noudattaminen
  • yliopiston maineesta ja luottamuksesta huolehtiminen
  • tietoturvallisuusriskien hallitseminen
  • turvallisen ympäristön luominen yliopiston ydintoimintojen tarpeisiin
  • keskeisten toimintojen turvaaminen myös poikkeustilanteissa
  • yhteistyökyvyn turvaaminen ja sopimusten noudattaminen
  • yliopiston järjestelmien väärinkäytön estäminen.

1.3 Tietoturvallisuuden toteuttaminen

Tietoturvallisuus on osa yliopiston toimintaa, sen laatua ja kokonaisturvallisuutta. Tietoturvallisuuden johtamisen, hallinnan ja toteuttamisen periaatteet on määritelty kokonaisarkkitehtuurin osana.

Tietoturvallisuudesta huolehtiminen edellyttää

  • tiedon elinkaaren kaikkiin vaiheisiin sekä näiden aikana tiedon käsittelyyn käytettyihin välineisiin, järjestelmiin ja menetelmiin kohdistettuja oikein valittuja ja toteutettuja toimenpiteitä
  • tietoa käsittelevien henkilöiden toiminnan ohjaamiseen tarkoitettuja sääntöjä, ohjeita ja koulutusta.

Yllä mainittuja nimitetään yhteisesti turvamekanismeiksi.

Tietoturvallisuuden toteuttamisessa on kysymys sopivien turvamekanismien valinnasta ja toimeenpanosta tiedossa oleviin tietoturvallisuusriskeihin nähden. Turvamekanismien kohdistamisessa toiminnan kannalta tärkeimpiin kohteisiin käytetään tukena tiedon luokittelua. Turvamekanismien valinnassa on saavutettava tasapaino tietoturvallisuuden kolmen ulottuvuuden ja turvamekanismien käytöstä aiheutuvien kustannusten tai lisätyn turvallisuuden aiheuttaman toiminnan hankaloitumisen välillä. Kustannukset voivat olla luonteeltaan välittömiä taloudellisia investointeja, mutta niitä voi välillisesti aiheutua myös työn hidastumisesta.

Tietoturvallisuuden tavoitteet asetetaan ja toteuttamistavat valitaan niin, että tietojen turvallisuus, lain takaama tietosuoja ja yksityisyyden suoja toteutuvat yliopiston toiminnassa parhaalla mahdollisella tavalla.

Tietoturvallisuuden tavoitteiden asettamisessa, mittaamisessa ja tietoturvallisuuden hallintajärjestelmän kehittämisessä käytetään pohjana kansainvälisiä ISO/IEC 27000 -sarjan standardeja, kansallisia julkishallinnon ohjeita sekä yliopiston omia sisäisiä linjauksia. Lisäksi huomioidaan Euroopan Unionin ja Suomen lainsäädännön vaatimukset. Tietoturvallisuuden tilannekuvasta ja tavoitteiden toteutumisesta raportoidaan säännöllisesti yliopiston johdolle ja tietotekniikkakeskuksen johtokunnalle.

Helsingin yliopiston järjestelmien tietoturvatasot määritellään toiminnan turvallisuusvaatimusten ja yliopiston tietoturvatavoitteiden perusteella. Tietojärjestelmät suojataan Helsingin yliopiston tietoturvaperiaatteiden mukaisilla tavoilla.

2.1 Vaatimusten mukainen ja turvattu toiminta

Tietoturvallisuusvaatimukset mitoitetaan ja toteutetaan lakien ja yliopiston solmimien sopimusten vaatimalla tavalla tietoturvaperiaatteiden ja -tavoitteiden mukaisesti. Yliopisto varautuu myös tietoturvallisuuden osalta häiriö- ja poikkeusoloihin sekä ennakoimattomiin muutoksiin siten, että ydintoimintaa voidaan jatkaa kaikissa olosuhteissa.

2.2 Yliopiston strategian toteuttaminen

Yliopiston strategia määrittää tietoturvallisuuden toteuttamisen painopisteet. Tietoturvatoiminta tukee yliopiston strategisia linjauksia erityisesti huippututkimuksen tukemisen, kansainvälistymisen ja lisääntyvän yhteiskunnallisen vuorovaikutuksen osalta.

Tietoturvallisuuden kehittämisohjelma laaditaan kullekin strategiakaudelle erikseen ja se tukee strategian toteuttamisohjelmia.

2.3 Hallittu tietoturvallisuus ja tietoriskien käsittely

Tietoturvallisuuden toimeenpano ja siihen liittyvä riskienhallinta organisoidaan ja toteutetaan hallitusti ja järjestelmällisesti. Riskienhallinnassa ja turvamekanismien valinnassa suuntaudutaan tulevaisuuteen. Näin mahdollistetaan uusien tekniikoiden ja järjestelmien turvallinen ja oikea-aikainen käyttöönotto.

Tietoturvallisuuteen liittyvä riskienhallinta organisoidaan ja toteutetaan yliopiston yleisen riskienhallinnan toimintamallin osana ja sen mukaisesti. Yksiköt raportoivat tietoturvallisuusriskit yleisen riskien raportoinnin yhteydessä "tieto- ja IT-riskit" -kategoriassa riskienhallinnan vuosikellon aikataulua noudattaen. Riskienhallinnan havaintoja ja tuloksia käytetään tietoturvan kehittämisohjelman painopistealueiden kehittämiseen ja resurssien priorisointiin.

Toteutuessaan tiedon turvallisuuteen kohdistuvista riskeistä voi seurata merkittäviä maine- ja taloushaittoja. Siksi yliopisto on määritellyt tietoturvallisuuteen liittyvän riskinottohalukkuuden rajat seuraavalla tavalla luottamuksellisuuden, eheyden ja saatavuuden näkökulmista.

2.3.1 Riskinottohalukkuus luottamuksellisuuden suhteen

Sisäisiin väärinkäytöksiin ja laittomaan toimintaan liittyvien luottamuksellisuusriskien osalta yliopiston riskinottohalukkuus on erittäin matala. Henkilötietojen ja salassa pidettävän tiedon luottamuksellisuuden menettämisen osalta yliopiston riskinottohalukkuus on matala. Muiden ei-julkisten tietojen luottamuksellisuuden menettämisen suhteen Helsingin yliopiston riskinottohalukkuus on kohtalainen.

Luottamuksellisuuteen kohdistuvien riskien hallitsemiseksi yliopiston tietojärjestelmien hallinta- ja tietoturvallisuusmenettelyt suunnitellaan ja toteutetaan siten, että järjestelmiin tallennettujen tietojen luottamuksellisuuden menettämisen todennäköisyys on hyväksyttävässä suhteessa järjestelmän tietosisällön vaarantumisen seurauksiin eikä jäännösriskin taso ylitä riskinottohalukkuutta.

2.3.2  Riskinottohalukkuus eheyden suhteen

Helsingin yliopiston riskinottohalukkuus tiedon eheyden menettämisen suhteen on kohtalainen, toiminnalle kriittisen tiedon osalta riskinottohalukkuus on matala. Henkilötiedon osalta riskinottohalukkuus on matala.

Tiedon eheyden varmistamiseksi yliopiston tietojärjestelmien arkkitehtuuri suunnitellaan siten, että niiden sisältämä tieto on varmuuskopioitavissa, poikkeamatilanteessa menetettävän tiedon määrä on hallittu ja tiedonsiirron ja -tallennuksen virheet voidaan havaita. Yliopisto on valmis hyväksymään eheyteen vaikuttavia riskejä silloin kun tiedot on mahdollista tuottaa uudelleen vähäisellä tai kohtalaisella työllä.

2.3.3 Riskinottohalukkuus saatavuuden suhteen

Helsingin yliopiston riskinottohalukkuus pitkäkestoisten tiedon saatavuuteen kohdistuvien riskien suhteen on kohtalainen, pois lukien toiminnalle kriittiseksi katsottujen tietojen osalta, joiden suhteen riskinottohalukkuus on matala. Henkilötietojen saatavuuden menettämisen osalta yliopiston riskinottohalukkuus on matala.

2.4 Tietoturvallisuuden tuki tutkimukselle, opetukselle ja yhteistyölle

Tietoturvallisuuden tavoitteena on mahdollistaa tutkimuksen, opetuksen, opiskelun ja yhteiskunnallisen vaikuttamisen tarvitsemien tiedon käsittely- ja kommunikointimenetelmien turvallinen ja tehokas käyttö. Turvatoimet skaalautuvat yksittäisen tutkijan, opettajan ja opiskelijan tasolta tutkimusprojektien ja -ryhmien, opintojaksojen, oppiaineiden ja yksiköiden kautta kattamaan koko yliopiston.

Tietoturvallisuusmekanismien tavoite on mahdollistaa tutkimuksen, opetuksen, opiskelun ja YVV-toiminnan mahdollisimman tehokas ja samalla turvallinen toiminta. Häiriötilanteita ennalta ehkäistään arvioimalla tilanteita, joissa riskejä voi syntyä, sekä tarjoamalla ohjeita ja koulutusta riskien hallitsemiseen.

2.5 Tietoturvallisuuden tuki hallinnolle ja muille tukitoiminnoille

Yliopiston kokonaisarkkitehtuuri kuvaa uusien tietojärjestelmien toiminnallisen ja teknisen toteutustavan, jonka osana järjestelmille tehdään tietoturvakatselmointi. Tietoturvatoimilla pyritään edistämään uusien, tehokkaiden ja turvallisten järjestelmien ja toimintatapojen käyttöönottoa yliopiston kaikissa toiminnoissa. Yliopiston kannalta tärkeimpien ydinjärjestelmien toiminta pyritään turvaamaan myös poikkeusolosuhteissa.

3.1 Johtaminen

Tietoturvallisuuden johtaminen ja seuranta ovat osa yliopiston yleistä johtamista ja siitä vastaa viime kädessä rehtori. Tietoturvallisuustoimintaa johtaa tietohallintojohtaja.

3.2 Poikkeamatilanteiden käsittely

Kaikista yliopistoon kohdistuvista tietoturvapoikkeamista, eli tietoturvallisuutta vaarantavista tai vaarantaneista asioista ja tapahtumista, on ilmoitettava ensisijaisesti tietohallinnolle ja toissijaisesti omalle esimiehelle. Jokaisen esimiehen vastuulla on varmistaa, että tieto hänelle ilmoitetusta tietoturvapoikkeamasta on myös tietohallinnon tiedossa.

Yliopistolla on velvollisuus ilmoittaa henkilötietoon kohdistuneesta tietoturvaloukkauksesta tietosuojavaltuutetulle 72 tunnin sisällä loukkauksen havaitsemisesta.

Tietoturvapäällikkö tai hänen osoittamansa henkilö koordinoi tietoturvapoikkeamien käsittelyä. Tietoturvapoikkeamatilanteessa tietoturvapäälliköllä on oikeus määrätä tietojärjestelmä, järjestelmän osa tai yksittäisen käyttäjän käyttöoikeus suljettavaksi. Poikkeamaan liittyvän tiedon, järjestelmän tai laitteiston omistajalla on velvollisuus järjestää käyttöön kaikki ne tietoturvapoikkeaman selvittämiseen tarvittavat resurssit, jotka ovat hänen vastuullaan.

Yliopistotasoisissa kriisitilanteissa noudatetaan yliopiston kriisinhallintasuunnitelmaa. Yliopistoon kohdistuneista tieto- ja viestintärikoksista ilmoitetaan Kyberturvallisuuskeskukselle ja tehdään rikosilmoitus.

4.1 Yhteiset vastuut ja velvollisuudet

Tietoturvallisuuden toteuttaminen ja valvonta ovat jokaisen yliopistoyhteisön jäsenen vastuulla. Jokainen yhteisön ryhmä vastaa omaan toimintaansa liittyvien aineistojen turvallisuudesta ja lainmukaisesta käsittelystä ja jokainen päätöksentekijä vastaa päätöstensä vaatimista tietoturvallisuustoimista ja niiden vaikutuksista. Lisäksi jokainen yliopistolainen on vastuussa tietoturvallisuuden toteutumisesta omassa toiminnassaan ja on näin ollen velvoitettu huolehtimaan siitä, että hän,

  • tuntee yliopiston tietoturvallisuudesta annetut ohjeet ja noudattaa niitä,
  • luo ja ylläpitää hyvää tietoturvallisuuskulttuuria päivittäisissä toimissaan,
  • suorittaa yliopistolaisen tietoturvatestin ja perus-tietoturvakurssin säännöllisesti,
  • osallistuu muuhun hänen rooliinsa liittyvään tietoturvallisuuskoulutukseen,
  • tuntee hänelle annetut tai aseman puolesta kuuluvat tietoturvavastuut ja -tehtävät ja toimii niiden edellyttämällä tavalla,
  • ilmoittaa tietoturvallisuuden vaarantumisesta tietohallinnolle sekä mikäli hän kuuluu yliopiston henkilökuntaan, esimiehelleen.

4.2 Erityiset vastuut ja velvollisuudet

Useisiin rooleihin ja työtehtäviin liittyy yliopistolla erityisiä, nimettyjä tietotietoturvavastuita. Nämä vastuut kuvataan tämän politiikan liitteessä Tietoturvavastuut Helsingin yliopistossa.

Tietoturvallisuuteen liittyvässä viestinnässä noudatetaan yliopiston viestintä- ja kriisiviestintäsuunnitelmia. Normaalioloissa yliopiston sisäisestä tietoturvaviestinnästä vastaa tietoturvapäällikkö. Kriisitilanteessa tietoturvaviestinnän vastuut jakautuvat kriisiviestintäsuunnitelman mukaisesti.

Yliopisto voi määrätä yliopistoyhteisön jäsenelle seuraamuksia yliopiston tietoturvallisuutta uhkaavan toiminnan, tietoturvapolitiikan määrittelemien vastuiden tahallisen tai tuottamuksellisen laiminlyönnin tai tietoturvaohjeiden rikkomisen perusteella. Seuraamukset määräytyvät yliopiston yleisten seuraamuskäytäntöjen mukaan olosuhteista ja tilanteen vakavuudesta riippuen.

1. Johdanto

Tietoturvallisuuden toteutuminen yliopistoyhteisössä on riippuvainen sen jäsenten toiminnasta ja heidän päivittäisessä työssään tekemistään valinnoista. Jokaisen yhteisöön kuuluvan on näin ollen tunnettava toimintaansa sisältyvät vastuut ja velvollisuudet

  • tiedon luottamuksellisuuden
  • tiedon säilymisen ja oikeellisuuden
  • tiedon oikea-aikaisen ja käyttövaltuuksiin perustuvan saatavuuden sekä
  • lain edellyttämän tiedon julkisuuden, salassapidon ja tietosuojan turvaamiseksi korkeakouluyhteisössä.

2. Erityiset vastuut, velvollisuudet ja tehtävät

Tietoturvapolitiikassa kuvattujen yleisen tietoturvallisuuden ja tietosuojan toteuttamisvastuun lisäksi tiettyihin työtehtäviin ja -rooleihin liittyy erityisiä vastuita, jotka on kuvattu tiivistetysti alla. Siinä tapauksessa, että yliopistolaisella on useita eri rooleja, koskevat häntä kaikkien rooliensa vastuut.

Rehtori        
  • hyväksyy tietoturvapolitiikan ja tietoturvallisuusvastuiden jaon
Tietotekniikkakeskuksen johtokunta  
  • asettaa vaatimukset tietoturvaraportoinnille
Dekaani ja yksikön johtaja                   
  • vastaa tiedekuntansa tai yksikkönsä toiminnan osalta yliopiston linjausten mukaisesta tietoturvallisuuden ohjauksesta, kehittämisestä ja resursoinnista
  • vastaa tiedekuntansa tai yksikkönsä omistamien palvelujen resursoinnista ja tietoturvallisuudesta
  • vastaa siitä että tiedekuntansa tai yksikkönsä henkilöstö tietää ja tuntee roolinsa tietoturvallisuuteen liittyen
  • nimeää tiedekuntansa tai yksikkönsä palvelujen omistajahenkilöt
  • raportoi yksikön tieto- ja IT-riskeistä yliopiston riskienhallintakäytäntöjen mukaisesti
Hallintojohtaja                 
  • vastaa tietoturvallisuuden huomioimisesta kokonaisturvallisuustoiminnassa
Tietohallintojohtaja         
  • vastaa tietoturvallisuuden päälinjauksista ja strategisesta ohjauksesta
  • vastaa yliopiston keskitetyn tietoturvatoiminnan resursoinnista
Tietohallintoyksikkö       
  • tukee tietoturvallisuuden johtamiseen ja toteuttamiseen osallistuvia heidän vastuualueillaan
Tietoturvapäällikkö         
  • katselmoi tietoturvapolitiikan muutostarpeen vuosittain
  • vastaa yliopiston tietoturvallisuuden kehittämisestä ja seurannasta
  • osallistuu yliopistotason riskienhallintaan tietoturvallisuus- ja tietoriskien osalta
  • osallistuu yliopiston tietoturvan kannalta tärkeisiin yhteistyöverkostoihin
  • tekee yhteistyötä tietosuojaorganisaation kanssa
  • vastaa tietoturvakoulutuksen suunnittelusta ja koordinoinnista,
  • koordinoi tietoturvapoikkeamien käsittelyä
  • toimii yhteyshenkilönä tietoturvallisuuteen ja tietorikoksiin liittyvässä viranomaisyhteistyössä
  • raportoi tietoturvallisuudesta yliopiston johdolle ja tietohallintojohtajalle
Tietoturva-asiantuntija   
  • seuraa yliopiston tietoturvallisuuden tilaa
  • raportoi tietoturvapäällikölle havaituista tietoturvallisuutta vaarantavista tekijöistä
  • osallistuu yliopiston tietoturvan kannalta tärkeisiin yhteistyöverkostoihin
  • osallistuu tietoturva-katselmointeihin sekä -konsultointiin
  • osallistuu riskianalyysien tekemiseen
  • osallistuu tietoturvapoikkeamien käsittelyyn
Tiedon omistaja               
  • vastaa tiedon hallinnan organisoinnista
  • vastaa tiedon rakenteesta ja laadusta
  • vastaa tiedon käytöstä ja elinkaaresta
  • vastaa tiedon suojauksesta, käyttöoikeuksista sekä varmuuskopioinnista
  • vastaa tietoon liittyvästä jatkuvuussuunnittelusta
  • tekee tiedon luokittelupäätökset
  • vastaa tietoon liittyvien riskien hallinnasta
  • raportoi tiedon turvallisuuteen vaikuttavista tekijöistä yksikön johtajalle sekä tietohallinnolle
Palvelun omistaja            
  • vastaa palvelun tieto- ja IT-riskien hallinnasta
  • nimeää palvelun vastuuhenkilöt, heidän varahenkilönsä sekä palvelun hallinnoijat
  • raportoi palvelun tietoturvallisuuteen vaikuttavista tekijöistä yksikön johtajalle sekä tietohallinnolle
  • vastaa palvelun ja sen tietojen suojauksesta, käyttöoikeuksista sekä varmuuskopioinnista
  • seuraa palvelun tietoturvallisuutta
  • vastaa palveluun liittyvästä jatkuvuus- ja toipumissuunnittelusta
  • vastaa, että palvelun käytön ohjeet ja dokumentaatio tuotetaan ja pidetään ajan tasalla
Palvelun hallinnoija (pääkäyttäjät, tietotekniikkahenkilöstö ja ylläpitäjät)
  • valvoo ja ylläpitää palvelun tietoturvallisuutta
  • raportoi palvelun tietoturvallisuudesta ja siihen kohdistuvista häiriöistä palvelun omistajalle ja tietohallinnolle
  • noudattaa hyvää tiedonhallinta-, ylläpito- ja tietoturvallisuustapaa
  • varautuu häiriöihin ja niiden hallinnan vaatimiin toimenpiteisiin
  • huolehtii palvelun varmistus- ja palautusmenettelyistä
Vastuullinen tutkija
  • vastaa johtamansa tutkimuksen tietoturvallisuusvaatimusten tunnistamisesta
  • vastaa johtamansa tutkimuksen tietoturva- ja tietosuojariskien arvioinnista ja raportoinnista tiedekunnalle
  • vastaa johtamansa tutkimuksen tarvitsemien tietoturvallisuusmenettelyjen toteutumisesta
  • vastaa turvallisuusmenettelyjen ohjeistamisesta tutkimukseensa osallistuvalle henkilöstölle
Esihenkilö   
  • huolehtii että alaisilla on työtehtäväänsä riittävä tieto ja osaaminen tietoturvallisuudesta
  • valvoo yliopiston ohjeiden, sääntöjen ja periaatteiden noudattamista päivittäisessä työssä
  • puuttuu havaitsemaansa tietoturvallisuutta vaarantavaan toimintaan
  • arvioi päivittäistoiminnan riskejä
  • raportoi esimiehelleen toiminnassa havaituista riskeistä
Ulkoinen yhteistyökumppani               
  • noudattaa hyvää tietojenkäsittely- ja tietoturvallisuustapaa
  • valvoo ja ylläpitää tietoturvallisuutta omassa toiminnassaan
  • raportoi työnsä tai palvelunsa tietoturvallisuudesta ja siihen vaikuttavista tekijöista yliopistolle
  • noudattaa yliopiston antamia ohjeita yliopistolle kuuluvan tiedon käsittelyssä