Följande är de viktigaste lagarna rörande användning av informationsteknik och IT-tjänster:
• Strafflagen (19.12.1889/39) beskriver brottsbeteckningarna och straffen för dem (informations- och kommunikationsbrott, kapitel 38).
• Personuppgiftslagen (22.4.1999/523) föreskriver om insamling, behandling och förvaring av personuppgifter. Det är just på grund av skyldigheterna i personuppgiftslagen som användarnamn inte kan beviljas eller glömda lösenord bytas utan att innehavarens identitet kontrolleras.
• Lagen om tjänster inom elektronisk kommunikation (7.11.2014/917) främjar tillhandahållandet och användningen av elektroniska kommunikationstjänster och säkerställer att alla har tillgång till kommunikationsnät och kommunikationstjänster på rimliga villkor i hela landet.
• Lagen om integritetsskydd i arbetslivet (13.8.2004/759) skyddar människors integritet i relation till arbetsgivaren. De frågor som lagen tar upp gäller även till vissa delar studerande på grund av deras nära förhållande till universitetet.
I datasäkerhetspolicyn uttrycker universitetets ledning
Datasäkerhetspolicyn godkänns av rektorn. Policyer som kompletterar den godkänns av informationsförvaltningsdirektören.
1.1 Datasäkerhetens tre dimensioner
Datasäkerheten består av tre centrala dimensioner
1.2 Skäl till att säkerställa datasäkerheten
Helsingfors universitet tar hand om datasäkerheten, eftersom följande kvalitetsfaktorer är viktiga för universitetets verksamhet, förmåner och ställning:
1.3 Förverkligande av datasäkerhet
Datasäkerhet är en del av universitetets verksamhet, dess kvalitet och helhetsmässiga säkerhet. Principerna för ledning, hantering och förverkligande av datasäkerheten har definierats som en del av helhetsarkitekturen.
Tryggande av datasäkerheten förutsätter
Ovanstående benämns gemensamt som säkerhetsmekanismer.
Förverkligandet av datasäkerhet handlar om att välja och verkställa lämpliga säkerhetsmekanismer med tanke på de kända datasäkerhetsriskerna. För att rikta säkerhetsmekanismerna mot de objekt som är viktigast för verksamheten tar man hjälp av en klassificering av data. I valet av säkerhetsmekanismer måste man uppnå en balans mellan datasäkerhetens tre dimensioner och kostnaderna för användning av säkerhetsmekanismerna eller de olägenheter som ökad säkerhet orsakar för verksamheten. Kostnaderna kan ha karaktären av direkta ekonomiska investeringar, men de kan indirekt också leda till att arbetet bromsas upp.
Målen för datasäkerheten ställs upp och metoderna för genomförandet väljs så att informationens säkerhet samt det data- och integritetsskydd som lagen garanterar förverkligas på bästa möjliga sätt i universitetets verksamhet.
Uppställandet och mätningen av mål för datasäkerheten samt utvecklingen av ett system för hantering av datasäkerheten grundar sig på de internationella standarderna i serien ISO/IEC 27000, nationella anvisningar för den offentliga förvaltningen samt universitetets egna interna riktlinjer. Man beaktar också kraven i Europeiska unionens och Finlands lagstiftning. Lägesbilden i fråga om datasäkerhet och förverkligandet av målen rapporteras regelbundet till universitetets ledning och IT-centrets direktion.
Datasäkerhetsnivåerna för Helsingfors universitets system definieras utifrån verksamhetens säkerhetskrav och universitetets datasäkerhetsmål. Datasystemen skyddas i enlighet med Helsingfors universitets datasäkerhetsprinciper.
2.1 Tryggad verksamhet som uppfyller kraven
Datasäkerhetskraven dimensioneras och förverkligas i enlighet med lagen och de avtal som universitetet ingått, i enlighet med datasäkerhetsprinciperna och -målen. Universitetet har också beredskap för störningar och undantagsförhållanden samt oförutsedda förändringar i fråga om datasäkerhet så att kärnverksamheten kan fortsätta i alla omständigheter.
2.2 Genomförande av universitetets strategi
Universitetets strategi definierar valet av tyngdpunkter för förverkligandet av datasäkerheten. Datasäkerhetsarbetet stöder universitetets strategiska riktlinjer, i synnerhet när det gäller främjandet av toppforskning, internationalisering och utökandet av samverkan med samhället.
Ett program för utvecklande av datasäkerheten görs upp för varje strategiperiod och det stöder programmen för genomförande av strategin.
2.3 Kontrollerad datasäkerhet och hantering av informationsrisker
Förverkligandet av datasäkerheten och anknytande riskhantering organiseras och genomförs kontrollerat och systematiskt. I riskhanteringen och valet av säkerhetsmekanismer blickar man mot framtiden. På så sätt möjliggör man att ny teknik och nya system kan tas i bruk i rätt tid och på ett tryggt sätt.
Riskhanteringen i anknytning till datasäkerheten organiseras och förverkligas som en del av och i enlighet med universitetets allmänna verksamhet för riskhantering. Enheterna rapporterar datasäkerhetsriskerna i samband med rapporteringen av allmänna risker i kategorin ”informations- och IT-risker”, i enlighet med tidtabellen i riskhanteringens årsklocka. Observationerna och resultaten från riskhanteringen används för att utveckla fokusområdena i utvecklingsprogrammet för datasäkerheten och för att prioritera resurserna.
Risker som berör datasäkerheten kan, om de förverkligas, medföra betydande skador på universitetets anseende och ekonomiska skador. Därför har universitetet definierat gränserna för sin villighet att ta risker på följande sätt ur konfidentialitetens, integritetens och tillgänglighetens perspektiv.
2.3.1 Villighet att ta risker i förhållande till konfidentialitet
När det gäller konfidentialitetsrisker som anknyter till interna oegentligheter och olaglig verksamhet är universitetets villighet att ta risker mycket låg. När det gäller förlust av konfidentialitet för personuppgifter och sekretessbelagd information är universitetets villighet att ta risker låg. När det gäller förlust av konfidentialitet för andra icke-offentliga uppgifter är Helsingfors universitets villighet att ta risker måttlig.
För att hantera risker som berör konfidentialiteten planeras och förverkligas hanterings- och datasäkerhetsförfarandena för universitetets datasystem så att sannolikheten för förlust av konfidentialitet för de uppgifter som finns sparade i systemen är godtagbar i förhållande till följderna av äventyrande av systemets datainnehåll, och nivån på den återstående risken inte överskrider villigheten att ta risker.
2.3.2 Villighet att ta risker i förhållande till integritet
Helsingfors universitets villighet att ta risker i fråga om förlust av informationens integritet är måttlig. När det gäller information som är kritisk för verksamheten är villigheten att ta risker låg. När det gäller personuppgifter är villigheten att ta risker låg.
För att säkerställa informationens integritet planeras arkitekturen i universitetets datasystem så att den information som finns i dem kan säkerhetskopieras, mängden information som går förlorad vid en avvikelse är kontrollerad samt fel i överföring och sparande av information kan upptäckas. Universitetet är redo att godta risker som påverkar integriteten när informationen kan produceras på nytt med litet eller måttligt arbete.
2.3.3 Villighet att ta risker i förhållande till tillgänglighet
Helsingfors universitets villighet att ta risker i fråga om tillgängligheten hos långvariga uppgifter är måttlig, förutom när det gäller information som anses kritisk för verksamheten. För sådan information är villigheten att ta risker låg. När det gäller förlust av personuppgifters tillgänglighet är universitetets villighet att ta risker låg.
2.4 Datasäkerhetens stöd för forskning, undervisning och samarbete
Datasäkerhetens mål är att möjliggöra säker och effektiv användning av de verktyg för informationsbehandling och kommunikation som behövs för forskning, undervisning, studier och samhällelig påverkan. Säkerhetsåtgärderna varierar i nivå från åtgärder gällande enskilda forskare eller lärare, forskningsprojekt och grupper, studieavsnitt, ämnen och enheter till universitetsövergripande åtgärder.
Målet för datasäkerhetsmekanismerna är att möjliggöra att forskningen, undervisningen, studierna och samverkan med samhället fungerar så effektivt och samtidigt säkert som möjligt. Man förebygger störningar genom att utvärdera situationer där risker kan uppstå samt erbjuda anvisningar och utbildning för att kontrollera riskerna.
2.5 Datasäkerhetens stöd för administrationen och andra stödfunktioner
Universitetets helhetsarkitektur beskriver hur nya datasystem förverkligas verksamhetsmässigt och tekniskt. Som en del av detta genomgår systemen en datasäkerhetsutvärdering. Genom datasäkerhetsåtgärderna vill man främja att nya, effektiva och trygga system och rutiner tas i bruk i alla funktioner vid universitetet. Man strävar efter att trygga funktionen hos de centrala system som är viktigast för universitetet även i undantagsförhållanden
3.1 Ledning
Ledningen och uppföljningen av datasäkerheten är en del av universitetets allmänna ledning, och det är i sista hand rektorn som ansvarar för detta. Datasäkerhetsarbetet leds av informationsförvaltningsdirektören.
3.2 Hantering av avvikelser
Alla datasäkerhetsavvikelser, det vill säga företeelser och händelser som äventyrar eller äventyrat datasäkerheten, som berör universitetet ska i första hand anmälas till informationsförvaltningen och i andra hand till den närmaste chefen. Alla chefer ansvarar för att se till att information om datasäkerhetsavvikelser som anmälts till dem även kommit informationsförvaltningen till kännedom.
Universitetet har en skyldighet att anmäla personuppgiftsincidenter till dataombudsmannen inom 72 timmar efter att incidenten upptäckts.
Datasäkerhetschefen eller en person som utsetts av datasäkerhetschefen samordnar hanteringen av datasäkerhetsavvikelser. I händelse av en datasäkerhetsavvikelse har datasäkerhetschefen rätt att bestämma att ett datasystem, en del av ett system eller en enskild användares användningsrättigheter ska stängas av. Ägaren till information, ett system eller utrustning som anknyter till en avvikelse har en skyldighet att ordna tillgång till alla de resurser som behövs för utredning av datasäkerhetsavvikelsen, som hen ansvarar för.
I krissituationer på universitetsnivå följer man universitetets krishanteringsplan. Informations- och kommunikationsbrott mot universitetet anmäls till Cybersäkerhetscentret och en brottsanmälan görs.
4.1 Gemensamt ansvar och gemensamma skyldigheter
Varje medlem i universitetssamfundet ansvarar för förverkligande och tillsyn av datasäkerheten. Varje grupp inom samfundet ansvarar för att material som hör till dess egen verksamhet är säkerhet och behandlas på lagenligt sätt, och varje beslutsfattare ansvarar för de datasäkerhetsåtgärder som de egna besluten kräver och effekterna av dem. Var och en vid universitetet ansvarar också för förverkligande av datasäkerhet i sin egen verksamhet, och är därmed skyldig att säkerställa att hen
4.2 Särskilt ansvar och särskilda skyldigheter
Till många roller och arbetsuppgifter vid universitetet hör särskilda namngivna ansvarsområden inom datasäkerhet. Dessa ansvarsområden beskrivs i bilagan Datasäkerhetsansvar vid Helsingfors universitet, som bifogats till denna policy.
I kommunikation som rör datasäkerhet följer man universitetets kommunikations- och kriskommunikationsplaner. Under normala omständigheter är det datasäkerhetschefen som ansvarar för den interna kommunikationen om datasäkerhet vid universitetet. I krissituationer fördelas ansvaret för kommunikationen om datasäkerhet i enlighet med planen för kriskommunikation.
Universitetet kan ålägga en medlem av universitetssamfundet påföljder på grund av verksamhet som hotar universitetets datasäkerhet, avsiktlig eller oaktsam underlåtenhet att uppfylla de skyldigheter som anges i datasäkerhetspolicyn eller brott mot datasäkerhetsanvisningarna. Påföljderna fastställs i enlighet med universitetets allmänna rutiner för påföljder, beroende på omständigheterna och situationens allvar.
1 Inledning
Förverkligandet av datasäkerhet inom universitetssamfundet är beroende av dess medlemmars agerande och de val som de gör i sitt dagliga arbete. Alla medlemmar i samfundet måste därför känna till de ansvar och skyldigheter som ingår i deras arbete för tryggande av
2 Särskilda ansvarsområden, skyldigheter och uppgifter
Vid sidan av det allmänna ansvar för förverkligande av datasäkerhet och dataskydd som beskrivs i datasäkerhetspolicyn finns särskilda ansvarsområden för vissa arbetsuppgifter och roller. Dessa sammanfattas nedan. Om en person vid universitetet har flera olika roller har hen ansvar enligt alla sina roller.
Rektor
IT-centrets direktion
Dekan och enhetschef
Förvaltningsdirektör
Informationsförvaltningsdirektör
Enheten för informationsadministration
Datasäkerhetschef
Datasäkerhetsexpert
Ägare till information
Ägare till tjänst
Tjänstens förvaltare (administratörer och IT-personal)
Ansvarig forskare
Chef
Extern samarbetspartner