Tuoconin tietoturvapolitiikka

Ihmiset ylittämässä katua Helsingissä.

Tässä politiikassa kuvataan Tuocon Oy:n ja sen partneriyritysten (”Tuocon”) tietoturvapolitiikan päämäärä, periaatteet ja menetelmät sekä vastuut ja organisointi, joilla varmistamme tietosuojan korkean tason, henkilötietojen lainmukaisen käsittelyn, riskienhallinnan, vastuullisen toiminnan ja laadukkaiden palveluiden toteutumisen. Tässä politiikassa tietoturvalla tarkoitetaan tiedon luottamuksellisuuden, eheyden ja käytettävyyden varmistamista sen esitystavasta riippumatta.

Tämä politiikka määrittelee tietoturvan perusvaatimukset ja luo pohjan politiikan mukaisen toiminnan suunnittelulle ja jalkauttamiselle. Politiikan läpiviennin tukemiseksi laaditaan lisäksi tarkempaa ohjeistusta tietoturvan eri osa-alueille.

Tietoturvallisuutta toteutetaan ja kehitetään riskilähtöisesti käyttäen tarkoituksenmukaisia ja kustannustehokkaita ratkaisuja. Tietoturvapolitiikan tarkoituksenmukaisuutta arvioidaan Tuoconin johtoryhmässä vuosittain.

Tietoturvapolitiikan päämäärä

Tietoturvan ensisijaisena päämääränä on turvata riittävällä ja tarkoituksenmukaisella tasolla tietojen, tietojärjestelmien, palveluiden ja tietoverkkojen toiminta, estää niiden luvaton käyttö sekä estää tiedon tuhoutuminen. Tarkoituksenmukainen ja tehokas tietoturva mahdollistaa IT-ratkaisujemme käytettävyyden sekä prosesseissa ja palveluissa käytettävien tietojen eheyden ja luottamuksellisuuden läpi konsernin.

Toimintojemme tuottaman ja käsittelemän datan turvaaminen on keskeinen osa vastuullista toimintaa. Tietojen turvallisuudesta on huolehdittava niin manuaalisesti kuin digitaalisesti tapahtuvissa tiedon käsittelyssä tiedon kaikissa muodoissa sen koko elinkaaren ajan. Tietojen turvaamisessa huomioidaan omina osa-alueinaan hallinnollinen, henkilöstö-, fyysinen, tietoaineisto-, tietoliikenne-, laitteisto-, ohjelmisto- ja käyttöturvallisuus. Jokaisen Tuoconin työntekijän kaikissa yrityksissä ja toimipisteissä on noudatettava tietoturvapolitiikkaa, ohjeita sekä soveltuvaa lainsäädäntöä.

Tietoturvan toteuttaminen

Riskien arviointi

Tietoturvariskejä arvioidaan ja analysoidaan jatkuvasti sekä erityisesti uusien järjestelmien määrittelyvaiheessa ja järjestelmäkumppanivalinnoissa sekä prosesseissa tapahtuvien merkittävien muutosten yhteydessä.

Tietojen luokittelu ja käsittely

Tuoconilla on käytössä tietojen luokittelumenetelmä, jossa ohjeistetaan, miten tiedot tulee luokitella ja miten kussakin luokassa olevia tietoja tulee käsitellä. Kuhunkin luokkaan kuuluvaa tietoa käsitellään ohjeessa määritetyllä tavalla.

Henkilötietojen käsittely

Tietosuojaohjeistuksissa määritellään, miten henkilötietoja käsitellään Tuoconissa. Osana järjestelmähankinta- ja kehitysprosesseja analysoimme henkilötietojen käyttötarkoituksiin sovellettavat tietosuojavaatimukset ja suunnittelemme teknisen toteutuksen ja liiketoimintaprosessit vastaamaan käsittelyn riskitasoa.

Tietoturvavaatimukset

Tuoconin tietoturvavaatimuksen määrittävät sopimuskumppaneilta vaadittavan tason tietoturvan osalta. Tietoturvan taso arvioidaan ennen kumppanuussuhteen solmimista sekä tarvittaessa kumppanuussuhteen aikana auditoinnein.

Organisaation tietoturvaosaaminen

Jokainen konsernin uusi työntekijä suorittaa työsuhteen alussa tietoturvakoulutuksen, joka uusitaan vuosittain. Työntekijöiden käytettävissä on henkilöstön tietoturva- ja tietosuojaopas, minkä lisäksi intranetissä ja kuukausipalavereissa käydään läpi ajankohtaiset tietoturvauhat ja annetaan vinkkejä tietoturvalliseen toimintaan arjessa.

Tietoturvan seuranta ja ongelmatilanteiden käsittely

Tietoturvatason parantamisen ja ylläpitämisen edellytyksenä on tietojärjestelmien toiminnan systemaattinen ja jatkuva valvonta. Valvontaa toteuttavat henkilöt ovat lain mukaan vaitiolovelvollisia työssään käsittelemistä tiedoista. Tietoturvatilanteesta raportoidaan sisäisen valvonnan ja ulkoisten tarkastusten yhteydessä. Teknistä tietoturvaa arvioidaan jatkuvasti.

Tietoturvapoikkeamien käsittely

Tietoturvapoikkeamassa jokin kolmesta tietoturvan peruselementistä (luottamuksellisuus, eheys ja saatavuus) vaarantuu. Tuoconilla on menettelytavat tietoturvapoikkeamien havaitsemiseksi ja toimintamallit mahdollisten tietoturvaloukkausten käsittelyksi. Jokainen, jolla on pääsy Tuoconin tietoihin, on velvollisuus ilmoittaa havaitsemistaan tietoturvapoikkeamista välittömästi tietoturvavastaavalle ja omalle esihenkilölleen.

Tietoturvarikkomukset

Tietoturvarikkomukseksi lasketaan tietoturvapolitiikan ja -ohjeistuksen vastainen toiminta. Tuocon on määritellyt menettelytavat rikkomustilanteille.

Vastuut ja organisointi

Kaikki Tuoconissa työskentelevät henkilöt vastaavat tietoturvallisuusasioista osana muita työtehtäviään oman toimenkuvansa ja vastuualueidensa mukaisesti. Tämä tarkoittaa sitä, että henkilökohtaista vastuuta tietoturvasta huolehtimisesta ei voida siirtää muille eikä ulkoistaa. Tietoturvallisuuden laiminlyönti voi aiheuttaa vakavaa haittaa Tuoconin maineelle, menestystekijöille ja asiakassuhteille. Politiikan noudattamatta jättämiseen tai vaatimusten vastaiseen toimintaan puututaan matalalla kynnyksellä.

IT-vastaava kehittää Tuoconin tietoturvan johtamista, henkilöstön tietoturvaosaamista ja tietojärjestelmien tietoturvallisuutta kokonaisvaltaisesti, sekä avustaa tietoturvakysymyksissä. IT-vastaava vastaa tietoturvapolitiikan, sen liitteiden ja muun tietoturvadokumentaation ajantasaisuudesta. Riskienhallintaryhmä käsittelee tietoturvariskejä systemaattisesti osana riskienhallinnan periaatteiden mukaista toimintaansa. Johtoryhmä hyväksyy tietoturvapolitiikan vuosittain ja seuraa sen toteutumista riskienhallintaryhmän raportin perusteella, sekä päättää heille esitettävien tietoturvatoimien hyväksymisestä ja myöntää hyväksytyille toimille tarvittavat resurssit.

Kaikkien Tuoconin työntekijöiden tulee noudattaa tietoturvapolitiikkaa ja ohjeita työssään, koska ne ovat osa henkilöstön työtehtäviä ja edellytyksiä työn turvalliseksi tekemiseksi. Henkilöstön tulee myös ilmoittaa havaitsemistaan tietoturvaongelmista, rikkomuksista ja riskeistä esihenkilölleen ja IT-vastaavalle.

Palvelutoimittajia koskeviin sopimuksiin liitetään tämän politiikan tietoturvavaatimuksia soveltuvin osin. Näiden tahojen vastuulla on noudattaa sopimuksellisia tietoturvavaatimuksia siten kuin eri tahojen välillä on sovittu. Toimittajille tehdään riskiperusteisesti tarkastuksia tietoturvan toteutumisen varmistamiseksi.

Yhteydenotto

Mikäli tahdot lisätietoja, olethan yhteydessä

Katso kaikki yhteystietomme