Siirry sisältöön

Tietoturvapolitiikka

Teoston tietoturvallisuustoiminnan tavoitteena on tukea Teoston liiketoimintaa, suojata yhdistyksen mainetta ja vastata lain, asiakkaiden ja muiden yhteistyökumppaneiden asettamiin turvallisuusvaatimuksiin.

Tietoturvallisuudella tarkoitetaan kaikkien tietojen luottamuksellisuuden, eheyden ja käytettävyyden varmistamista. Tämä politiikka ilmaisee yhdistyksen johdon tahtotilan, jota tarkennetaan politiikkaa täydentävien linjausten ja käytännön ohjeiden avulla. Teoston johtoryhmä on hyväksynyt tämän politiikan ja valvoo sen toteutumista. Politiikan tarkoituksenmukaisuutta arvioidaan vuosittain.

Tämä politiikka voidaan antaa tiedoksi Teoston kumppaneille, asiakkaille ja alihankkijoille turvallisuusasioista viestimiseksi palveluiden hankinnan tai toimittamisen yhteydessä. Ulkoisten osapuolten kuten alihankkijoiden ja palveluntoimittajien osalta tämän politiikan vaatimukset sisällytetään soveltuvilta osin hankintasopimuksiin.

Tietoturvallisuuden käytännön toteutus Teostossa edellyttää sitä, että ihmiset ymmärtävät miksi tietoturvallisuus on tärkeää. Käytännön työn riskien ymmärtäminen ja niiden hallitseminen edellyttää tarkentavien ohjeiden antamista Teoston työntekijöille sekä jatkuvaa tietoturvakouluttamista ja työntekijöiden perehdyttämistä.

Tietoturvavastuut ja organisointi

Kaikki Teostossa työskentelevät henkilöt vastaavat tietoturvallisuusasioista osana muita työtehtäviään oman toimenkuvansa ja vastuualueidensa mukaisesti. Tämä tarkoittaa sitä, että henkilökohtaista vastuuta tietoturvasta huolehtimisesta ei voida siirtää muille eikä ulkoistaa. Tietoturvallisuuden laiminlyönti voi aiheuttaa vakavaa haittaa Teoston maineelle, menestystekijöille ja asiakassuhteille. Politiikan noudattamatta jättämiseen tai vaatimusten vastaiseen toimintaan puututaan matalalla kynnyksellä.

Tietoturvallisuuden johtaminen

Tietoturvapäällikkö kehittää Teoston tietoturvan johtamista, henkilöstön tietoturvaosaamista ja tietojärjestelmien tietoturvallisuutta kokonaisvaltaisesti, sekä avustaa tietoturvakysymyksissä. Tietoturvapäällikkö vastaa tietoturvapolitiikan, sekä sen liitteiden ja muun tietoturvadokumentaation ajantasaisuudesta. Riskienhallintaryhmä käsittelee tietoturvariskejä systemaattisesti osana riskienhallinnan periaatteiden mukaista toimintaansa. Tietoturvapäällikkö raportoi puolivuosittain Teoston riskienhallintaryhmälle tietoturvan tilasta ja tehdyistä toimenpiteistä ja esittää toimintasuunnitelman seuraavalle raportointikaudelle. Johtoryhmä hyväksyy tietoturvapolitiikan ja seuraa sen toteutumista puolivuosittain riskienhallintaryhmän raportin perusteella, sekä päättää heille esitettävien tietoturvatoimien hyväksymisestä ja myöntää hyväksytyille toimille tarvittavat resurssit.

Kaikki työntekijät

Kaikkien Teoston työntekijöiden tulee noudattaa tietoturvapolitiikkaa ja ohjeita työssään, koska ne ovat osa henkilöstön työtehtäviä ja edellytyksiä työn turvalliseksi tekemiseksi. Henkilöstön tulee myös ilmoittaa havaitsemistaan tietoturvaongelmista, rikkomuksista ja riskeistä esimiehelleen tai Tietoturvapäällikölle.

Ulkopuoliset tahot

Ulkopuolisia tahoja, kuten palvelutoimittajia koskeviin sopimuksiin liitetään tämän politiikan tietoturvavaatimuksia soveltuvin osin. Näiden tahojen vastuulla on noudattaa sopimuksellisia tietoturvavaatimuksia siten kuin eri tahojen välillä on sovittu. Toimittajille tehdään riskiperusteisesti tarkastuksia tietoturvan toteutumisen varmistamiseksi.

Johtamisjärjestelmä

Tietoturvajohtaminen Teostossa perustuu tietoturvan johtamisen vuosikelloon, joka katselmoidaan vuosittain.

Riskien arviointi

Tietoturvariskejä arvioidaan riskienhallinnan periaatteiden mukaisesti vähintään puolivuosittain osana riskienhallintaryhmän toimintaa, sekä uusien järjestelmien määrittelyvaiheessa ja merkittävien toiminnan kriittisyyteen vaikuttavien muutosten yhteydessä. Tietoturvariskit arvioidaan ja analysoidaan niiden liiketoimintavaikutusten perusteella. Riskianalyysin perusteella päätetään hallintakeinoista, joiden avulla riskit tuodaan hyväksyttävälle tasolle.

Pääsynhallinta

Teoston pääsynhallinta noudattaa vähimpien oikeuksien periaatetta. Kullakin henkilöllä on pääsy vain työtehtävien suorittamiseen vaadittuihin resursseihin. Kaikki pääsyoikeudet on kirjattu ylös ja niiden myöntämisessä, poistamisessa ja muuttamisessa noudatetaan Teoston pääsynhallintaprosessia. Yhteiskäyttötunnuksia käytetään vain poikkeustapauksissa, jotka tulee hyväksyttää tietoturvapäälliköllä.

Tietojen luokittelu ja käsittely

Teoston käsittelemät aineistot luokitellaan tietojen luokitteluohjeen mukaisesti. Kuhunkin luokkaan kuuluvaa tietoa käsitellään ohjeessa määritellyllä tavalla.

Teoston tietoverkon ja laitteiston käyttö

Teoston verkko on jaettu loogisiin, toisistaan eriytettyihin osiin. IT-tuotanto vastaa työasemien, laitteiden ja palvelinten ylläpidosta. Teoston tietoverkkoa ja laitteita tulee käyttää ensisijaisesti vain työhön liittyvien asioiden hoitamiseen, ja henkilökohtaisen asioiden hoitamista näillä välineillä tulee välttää.

Kaikki Teoston ICT-omaisuus on kirjattu keskitettyyn rekisteriin, jonka ylläpidosta vastaa IT-tuotantopalvelut. ICT-omaisuuden elinkaarenhallinnassa pyritään noudattamaan alan parhaita käytäntöjä ja ICT-omaisuuden käytöstä poistaminen seuraa turvallista poistoprosessia, joka on dokumentoitu. Kaikki ICT-hankinnat noudattavat Teoston hankintapolitiikkaa.

Jatkuvuudenhallinta

Teoston jatkuvuus- ja toipumissuunnittelun tavoitteena on varmistaa Teoston toiminnan kannalta tärkeiden ICT-palveluiden ja järjestelmien toiminta häiriötilanteissa, sekä järjestelmien toipuminen. Teoston jatkuvuudenhallintaa toteutetaan jatkuvuussuunnitelman mukaisesti. Lisäksi jatkuvuussuunnittelun piirissä oleville järjestelmille on laadittu toipumissuunnitelmat. Jatkuvuus- ja toipumissuunnitelmat katselmoidaan osana tietoturvan johtamisen vuosikelloa. Palvelut tietoturvatestataan aina kun siihen on olemassa riskiperusteinen syy.

Ilmoitusvelvollisuus ja sanktiot

Jokaisella työntekijällä on velvollisuus ilmoittaa havaitsemistaan tietoturvaongelmista, rikkomuksista ja riskeistä esimiehelleen tai tietoturvapäällikölle. Politiikan noudattamatta jättäminen voi johtaa sanktioihin, kuten esimerkiksi huomautukseen, varoitukseen tai ääritapauksessa työsuhteen purkamiseen, mikäli kyseessä on tahallinen toiminta.

LUE MYÖS

Annathan meille palautetta!

Kehitämme verkkosivujamme ja otamme mielellämme vastaan palautetta. Vastaaminen onnistuu nopeasti!

Evästeet Teoston verkkosivustolla

Eväste on pieni tekstitiedosto, joka tallentuu tietokoneellesi tai muulle laitteellesi ja tallentaa tietoa käynnistäsi Verkkosivustolla. Evästeiden avulla Teosto parantaa palveluidensa käytettävyyttä.

Evästeillä kerättyjä tietoja ei lähtökohtaisesti yhdistetä tunnistettuun henkilöön liittyviin henkilötietoihin, mutta jotkut evästeillä kerättävät tiedot saattavat olla välillisesti yhdistettävissä tunnistettuun henkilöön liittyviin henkilötietoihin.

Lue lisää tietosuojalausekkeestamme ja evästeselosteestamme.

Evästekategoriat
Välttämättömät evästeet

Nämä evästeet ovat välttämättömiä verkkosivustomme saatavuuden varmistamiseksi. Ne esimerkiksi lataavat osan verkkosivustomme toiminnoista etukäteen nopeuttaakseen verkkosivuston latautumista. Välttämättömiä evästeitä käytetään myös valitsemiesi asetusten määrittämiseen ja muistamiseen. Voit kieltää välttämättömien evästeiden käytön selainasetuksissasi, mutta huomioithan, etteivät verkkosivuston kaikki toiminnot ja osat sen jälkeen toimi välttämättä kunnolla.
Lisätietoja evästeistä

Analytiikkaevästeet

Käytämme analytiikkaevästeitä kehittääksemme verkkosivustomme toimintaa. Analytiikkaevästeillä kerätään tietoa muun muassa siitä, miten käyttäjät käyttävät verkkosivustoamme ja miten he navigoivat verkkosivuston eri välilehtien välillä. Tietoja käytetään lähtökohtaisesti anonyymissä muodossa.
Lisätietoa: tietosuojalauseke ja evästeseloste

Toiminnalliset evästeet

Toiminnallisten evästeiden avulla voimme tarjota verkkosivustollamme erilaisia toimintoja, kuten soittolistoja ja reaaliaikaisen chatin. Jos kiellät toiminnallisten evästeiden käytön, osa tai kaikki näistä toiminnoista ei välttämättä toimi oikein.
Lisätietoa evästeistä

Markkinointievästeet

Markkinointievästeet auttavat meitä räätälöimään markkinointia ja tarjoamaan verkkosivustomme käyttäjille tulevaisuudessa yksilöllisempiä palveluita. Keräämme markkinointievästeiden avulla tietoja esimerkiksi käyttäjän käyttäytymisestä ja mieltymyksistä verkkosivustollamme.
Lisätietoa evästeistä