Tärkeimmät tietotekniikan käyttöä ja tietotekniikkapalveluja koskettavat lait ovat:
Yliopiston johto ilmaisee tietoturvapolitiikassa
Tietoturvapolitiikan hyväksyy rehtori. Sitä täydentävät politiikat hyväksyy tietohallintojohtaja. Tällä sivulla esitelty tietoturvapolitiikka on vahvistettu rehtorin päätöksellä HY/3764/00.00.06.00/2022.
Helsingin yliopisto huolehtii tietoturvallisuudesta, koska seuraavat laatutekijät ovat tärkeitä yliopiston toiminnan, etujen ja aseman kannalta:
Tietoturvallisuus on osa yliopiston toimintaa, sen laatua ja kokonaisturvallisuutta. Tietoturvallisuuden johtamisen, hallinnan ja toteuttamisen periaatteet on määritelty kokonaisarkkitehtuurin osana.
Tietoturvallisuudesta huolehtiminen edellyttää
Yllä mainittuja nimitetään yhteisesti turvamekanismeiksi.
Tietoturvallisuuden toteuttamisessa on kysymys sopivien turvamekanismien valinnasta ja toimeenpanosta tiedossa oleviin tietoturvallisuusriskeihin nähden. Turvamekanismien kohdistamisessa toiminnan kannalta tärkeimpiin kohteisiin käytetään tukena tiedon luokittelua. Turvamekanismien valinnassa on saavutettava tasapaino tietoturvallisuuden kolmen ulottuvuuden ja turvamekanismien käytöstä aiheutuvien kustannusten tai lisätyn turvallisuuden aiheuttaman toiminnan hankaloitumisen välillä. Kustannukset voivat olla luonteeltaan välittömiä taloudellisia investointeja, mutta niitä voi välillisesti aiheutua myös työn hidastumisesta.
Tietoturvallisuuden tavoitteet asetetaan ja toteuttamistavat valitaan niin, että tietojen turvallisuus, lain takaama tietosuoja ja yksityisyyden suoja toteutuvat yliopiston toiminnassa parhaalla mahdollisella tavalla.
Tietoturvallisuuden tavoitteiden asettamisessa, mittaamisessa ja tietoturvallisuuden hallintajärjestelmän kehittämisessä käytetään pohjana kansainvälisiä ISO/IEC 27000 -sarjan standardeja, kansallisia julkishallinnon ohjeita sekä yliopiston omia sisäisiä linjauksia. Lisäksi huomioidaan Euroopan Unionin ja Suomen lainsäädännön vaatimukset. Tietoturvallisuuden tilannekuvasta ja tavoitteiden toteutumisesta raportoidaan säännöllisesti yliopiston johdolle ja tietotekniikkakeskuksen johtokunnalle.
Helsingin yliopiston järjestelmien tietoturvatasot määritellään toiminnan turvallisuusvaatimusten ja yliopiston tietoturvatavoitteiden perusteella. Tietojärjestelmät suojataan Helsingin yliopiston tietoturvaperiaatteiden mukaisilla tavoilla.
Tietoturvallisuusvaatimukset mitoitetaan ja toteutetaan lakien ja yliopiston solmimien sopimusten vaatimalla tavalla tietoturvaperiaatteiden ja -tavoitteiden mukaisesti. Yliopisto varautuu myös tietoturvallisuuden osalta häiriö- ja poikkeusoloihin sekä ennakoimattomiin muutoksiin siten, että ydintoimintaa voidaan jatkaa kaikissa olosuhteissa.
Yliopiston strategia määrittää tietoturvallisuuden toteuttamisen painopisteet. Tietoturvatoiminta tukee yliopiston strategisia linjauksia erityisesti huippututkimuksen tukemisen, kansainvälistymisen ja lisääntyvän yhteiskunnallisen vuorovaikutuksen osalta.
Tietoturvallisuuden kehittämisohjelma laaditaan kullekin strategiakaudelle erikseen ja se tukee strategian toteuttamisohjelmia.
Tietoturvallisuuden toimeenpano ja siihen liittyvä riskienhallinta organisoidaan ja toteutetaan hallitusti ja järjestelmällisesti. Riskienhallinnassa ja turvamekanismien valinnassa suuntaudutaan tulevaisuuteen. Näin mahdollistetaan uusien tekniikoiden ja järjestelmien turvallinen ja oikea-aikainen käyttöönotto.
Tietoturvallisuuteen liittyvä riskienhallinta organisoidaan ja toteutetaan yliopiston yleisen riskienhallinnan toimintamallin osana ja sen mukaisesti. Yksiköt raportoivat tietoturvallisuusriskit yleisen riskien raportoinnin yhteydessä "tieto- ja IT-riskit" -kategoriassa riskienhallinnan vuosikellon aikataulua noudattaen. Riskienhallinnan havaintoja ja tuloksia käytetään tietoturvan kehittämisohjelman painopistealueiden kehittämiseen ja resurssien priorisointiin.
Toteutuessaan tiedon turvallisuuteen kohdistuvista riskeistä voi seurata merkittäviä maine- ja taloushaittoja. Siksi yliopisto on määritellyt tietoturvallisuuteen liittyvän riskinottohalukkuuden rajat seuraavalla tavalla luottamuksellisuuden, eheyden ja saatavuuden näkökulmista.
Sisäisiin väärinkäytöksiin ja laittomaan toimintaan liittyvien luottamuksellisuusriskien osalta yliopiston riskinottohalukkuus on erittäin matala. Henkilötietojen ja salassa pidettävän tiedon luottamuksellisuuden menettämisen osalta yliopiston riskinottohalukkuus on matala. Muiden ei-julkisten tietojen luottamuksellisuuden menettämisen suhteen Helsingin yliopiston riskinottohalukkuus on kohtalainen.
Luottamuksellisuuteen kohdistuvien riskien hallitsemiseksi yliopiston tietojärjestelmien hallinta- ja tietoturvallisuusmenettelyt suunnitellaan ja toteutetaan siten, että järjestelmiin tallennettujen tietojen luottamuksellisuuden menettämisen todennäköisyys on hyväksyttävässä suhteessa järjestelmän tietosisällön vaarantumisen seurauksiin eikä jäännösriskin taso ylitä riskinottohalukkuutta.
Helsingin yliopiston riskinottohalukkuus tiedon eheyden menettämisen suhteen on kohtalainen, toiminnalle kriittisen tiedon osalta riskinottohalukkuus on matala. Henkilötiedon osalta riskinottohalukkuus on matala.
Tiedon eheyden varmistamiseksi yliopiston tietojärjestelmien arkkitehtuuri suunnitellaan siten, että niiden sisältämä tieto on varmuuskopioitavissa, poikkeamatilanteessa menetettävän tiedon määrä on hallittu ja tiedonsiirron ja -tallennuksen virheet voidaan havaita. Yliopisto on valmis hyväksymään eheyteen vaikuttavia riskejä silloin kun tiedot on mahdollista tuottaa uudelleen vähäisellä tai kohtalaisella työllä.
Helsingin yliopiston riskinottohalukkuus pitkäkestoisten tiedon saatavuuteen kohdistuvien riskien suhteen on kohtalainen, pois lukien toiminnalle kriittiseksi katsottujen tietojen osalta, joiden suhteen riskinottohalukkuus on matala. Henkilötietojen saatavuuden menettämisen osalta yliopiston riskinottohalukkuus on matala.
Tietoturvallisuuden tavoitteena on mahdollistaa tutkimuksen, opetuksen, opiskelun ja yhteiskunnallisen vaikuttamisen tarvitsemien tiedon käsittely- ja kommunikointimenetelmien turvallinen ja tehokas käyttö. Turvatoimet skaalautuvat yksittäisen tutkijan, opettajan ja opiskelijan tasolta tutkimusprojektien ja -ryhmien, opintojaksojen, oppiaineiden ja yksiköiden kautta kattamaan koko yliopiston.
Tietoturvallisuusmekanismien tavoite on mahdollistaa tutkimuksen, opetuksen, opiskelun ja YVV-toiminnan mahdollisimman tehokas ja samalla turvallinen toiminta. Häiriötilanteita ennalta ehkäistään arvioimalla tilanteita, joissa riskejä voi syntyä, sekä tarjoamalla ohjeita ja koulutusta riskien hallitsemiseen.
Yliopiston kokonaisarkkitehtuuri kuvaa uusien tietojärjestelmien toiminnallisen ja teknisen toteutustavan, jonka osana järjestelmille tehdään tietoturvakatselmointi. Tietoturvatoimilla pyritään edistämään uusien, tehokkaiden ja turvallisten järjestelmien ja toimintatapojen käyttöönottoa yliopiston kaikissa toiminnoissa. Yliopiston kannalta tärkeimpien ydinjärjestelmien toiminta pyritään turvaamaan myös poikkeusolosuhteissa.
Tietoturvallisuuden johtaminen ja seuranta ovat osa yliopiston yleistä johtamista ja siitä vastaa viime kädessä rehtori. Tietoturvallisuustoimintaa johtaa tietohallintojohtaja.
Kaikista yliopistoon kohdistuvista tietoturvapoikkeamista, eli tietoturvallisuutta vaarantavista tai vaarantaneista asioista ja tapahtumista, on ilmoitettava ensisijaisesti tietohallinnolle ja toissijaisesti omalle esimiehelle. Jokaisen esimiehen vastuulla on varmistaa, että tieto hänelle ilmoitetusta tietoturvapoikkeamasta on myös tietohallinnon tiedossa.
Yliopistolla on velvollisuus ilmoittaa henkilötietoon kohdistuneesta tietoturvaloukkauksesta tietosuojavaltuutetulle 72 tunnin sisällä loukkauksen havaitsemisesta.
Tietoturvapäällikkö tai hänen osoittamansa henkilö koordinoi tietoturvapoikkeamien käsittelyä. Tietoturvapoikkeamatilanteessa tietoturvapäälliköllä on oikeus määrätä tietojärjestelmä, järjestelmän osa tai yksittäisen käyttäjän käyttöoikeus suljettavaksi. Poikkeamaan liittyvän tiedon, järjestelmän tai laitteiston omistajalla on velvollisuus järjestää käyttöön kaikki ne tietoturvapoikkeaman selvittämiseen tarvittavat resurssit, jotka ovat hänen vastuullaan.
Yliopistotasoisissa kriisitilanteissa noudatetaan yliopiston kriisinhallintasuunnitelmaa. Yliopistoon kohdistuneista tieto- ja viestintärikoksista ilmoitetaan Kyberturvallisuuskeskukselle ja tehdään rikosilmoitus.
Tietoturvallisuuden toteuttaminen ja valvonta ovat jokaisen yliopistoyhteisön jäsenen vastuulla. Jokainen yhteisön ryhmä vastaa omaan toimintaansa liittyvien aineistojen turvallisuudesta ja lainmukaisesta käsittelystä ja jokainen päätöksentekijä vastaa päätöstensä vaatimista tietoturvallisuustoimista ja niiden vaikutuksista. Lisäksi jokainen yliopistolainen on vastuussa tietoturvallisuuden toteutumisesta omassa toiminnassaan ja on näin ollen velvoitettu huolehtimaan siitä, että hän,
Useisiin rooleihin ja työtehtäviin liittyy yliopistolla erityisiä, nimettyjä tietotietoturvavastuita. Nämä vastuut kuvataan tämän politiikan liitteessä Tietoturvavastuut Helsingin yliopistossa.
Tietoturvallisuuteen liittyvässä viestinnässä noudatetaan yliopiston viestintä- ja kriisiviestintäsuunnitelmia. Normaalioloissa yliopiston sisäisestä tietoturvaviestinnästä vastaa tietoturvapäällikkö. Kriisitilanteessa tietoturvaviestinnän vastuut jakautuvat kriisiviestintäsuunnitelman mukaisesti.
Yliopisto voi määrätä yliopistoyhteisön jäsenelle seuraamuksia yliopiston tietoturvallisuutta uhkaavan toiminnan, tietoturvapolitiikan määrittelemien vastuiden tahallisen tai tuottamuksellisen laiminlyönnin tai tietoturvaohjeiden rikkomisen perusteella. Seuraamukset määräytyvät yliopiston yleisten seuraamuskäytäntöjen mukaan olosuhteista ja tilanteen vakavuudesta riippuen.
Tietoturvallisuuden toteutuminen yliopistoyhteisössä on riippuvainen sen jäsenten toiminnasta ja heidän päivittäisessä työssään tekemistään valinnoista. Jokaisen yhteisöön kuuluvan on näin ollen tunnettava toimintaansa sisältyvät vastuut ja velvollisuudet
Tietoturvapolitiikassa kuvattujen yleisen tietoturvallisuuden ja tietosuojan toteuttamisvastuun lisäksi tiettyihin työtehtäviin ja -rooleihin liittyy erityisiä vastuita, jotka on kuvattu tiivistetysti alla. Siinä tapauksessa, että yliopistolaisella on useita eri rooleja, koskevat häntä kaikkien rooliensa vastuut.