MPS-Yhtiöiden tietoturvapolitiikka

Tämä tietoturvapolitiikka koskee kaikkia MPS-yhtiötä huomioiden toimintaympäristön ja sen asettamat lait ja menettelytavat.

Tietoturvallisuudella tarkoitetaan tiedon turvallista käsittelyä, riippumatta tiedon tallennusmuodosta. Näin ollen sen piiriin kuuluu tietojärjestelmien lisäksi esimerkiksi tulosteet ja muut materiaalit. Tietoturvallisuudella varmistetaan tietojen luottamuksellisuus, eheys ja käytettävyys.

MPS-Yhtiöissä käsitellään erittäin luottamuksellista tietoa, joka vaatii ehdotonta luottamuksellisuutta ja häiriötöntä ja turvallista tietojen käsittelyä ja säilöntää. Tietoturvallisuutta valvotaan aktiivisesti ja poikkeamiin reagoidaan yhteisesti sovituilla menetelmillä.

Tietoturvallisuuden toteuttamisessa huomioidaan liiketoiminnan vaatimukset ja riskit. Tietoturvallisuuden kehittäminen tapahtuu määriteltyjen vaatimusten ja riskien kannalta kustannuste-hokkaasti ja tarkoituksenmukaisesti. Toiminnassa huomioidaan aina lain asettamat vaatimukset ja sopimukset asiakkaiden ja yhteistyökumppaneiden kanssa. Luottamuksellisia henkilötietoja käsiteltäessä pitää aina kiinnittää erityistä huomiota yksityisyyden suojaan ja lakeihin, jotka koskevat henkilötietojen käsittelyä.
Tietoturvapolitiikan on hyväksynyt MPS-Yhtiöiden johtoryhmä ja tietohallinto.

1 Vastuut

Tietojärjestelmien tietoturvavaatimuksista määrittämisestä ja riittävästä resursoinnista vastaa liiketoimintayhtiöt. Liiketoimintayhtiön johto vastaa siitä, että kriittisille järjestelmille ja prosesseille on laadittu jatkuvuussuunnitelmat. Näitä suunnitelmia tulee myös ylläpitää ja testata.

Kaikkien yhtiöiden yhteisistä järjestelmistä ja näiden tietoturvallisuudesta vastaa MPS-Yhtiöiden tietohallintojohtaja. Tietohallintojohtajan ja hänen organisaationsa tehtävänä on tukea ja oh-jeistaa liiketoimintayhtiöiden tietoturvallisuutta. Tämä tapahtuu tunnistamalla mahdollisia tietoturvariskejä ja arvioimalla kuin näihin on varauduttu ja onko jatkuvuussuunnitelmat ajan tasalla. MPS-yhtiöiden tietohallinnon tehtävänä on myös teknisesti valvoa, että tietoturvan taso on riittävä. Tietoturvaratkaisua suunniteltaessa ja toteuttaessa tulee aina myös huomioida järjes-telmien ja tiedon käytettävyys, niin että tietoturvaratkaisut eivät haittaa liiketoimintaa.

Kaikilta työntekijöiltä ja yhteistyökumppaneilta edellytetään tietoturvallisuusohjeisiin tutustu-mista ja niiden noudattamista. Poikkeamia, uhkia tai uusia riskejä havaittaessa niistä tulee tie-dottaa liiketoimintayksikön tietoturvasta vastaavia ja MPS-Yhtiöiden tietohallintoa.

2 Tietoturvallisuuden käytännöt

2.1 Riskien arviointi
Riskit arvioidaan niiden liiketoimintavaikutusten perusteella. Riskien arvioinnissa huomioidaan tiedon kriittisyys ja luottamuksellisuus ja riskin toteutuessa haittavaikutusten laajuus. Arvio tulee tehdä uusien järjestelmien määrittelyvaiheessa ja merkittävien muutosten yhteydessä.

2.2 Käyttöoikeudet ja pääsynhallinta
Järjestelmien omistajat määrittelevät käyttöoikeuksien myöntämisperiaatteet ja käyttöoikeustasot. Liiketoimintayhtiöt vastaavat tunnusten luomisesta ja oikeuksien poistamisesta. Jos mahdollista käyttäjänhallinta tehdään keskitetyllä MPS-Yhtiöiden ratkaisulla.

2.3 Tiedon luokittelu ja käsittely
MPS-yhtiöillä on käytössä tietojen turvaluokittelu. Siinä määritellään, miten tieto luokitellaan ja miten luokittelu vaikuttaa tiedon käsittelyyn. Luottamuksellista henkilötietoa sisältäviin järjestelmiin ja niiden käyttöoikeuksiin kiinnitetään erityistä huomiota ja niihin voidaan tehdä erillisiä ja laajempia tietoturvatarkistuksia.

2.4 Tietoverkkojen käyttö
MPS-Yhtiöiden tietoverkkoihin saa kytkeä vain yhtiön omia laitteita tai tietohallinnon hyväk-symiä muita laitteita. Laitteisiin saa asentaa vain tietohallinnon hyväksymiä ohjelmistoja. Ulkopuolisten laitteille on tarjolla oma tietoverkko.

2.5 Tietoturvallisuuden koulutus
Tietoturvallisuudesta tiedotetaan säännöllisesti koko henkilökunnalle ja työntekijöiden tulee kerrata tietoturvallisuusasiat kerran vuodessa.

2.6 Valvonta
Tietoturvallisuutta valvotaan jatkuvasti sovituin menetelmin. Havaituista uusista riskeistä ja uh-katilanteista raportoidaan tietoturvallisuudesta vastaaville henkilöille. Systemaattista teknistä valvontaa tehdään säännöllisesti olemassa oleviin järjestelmiin. Uusien järjestelmien käyttöön-oton yhteydessä suoritetaan järjestelmän kriittisyystason mukaiset testaukset.

2.7 Poikkeamien hallinta
Tietoturvallisuuden poikkeamista tehdään raportti, jossa kuvataan tilanne ja toiminta poik-keaman havainnon jälkeen. Poikkeustilanteessa toimimiseen on suunnitelmat, joita tulee ylläpi-tää ja harjoitella.

3 Tietoturvarikkomukset

Kaikki tietoturvapolitiikan vastainen toiminta katsotaan tietoturvarikkomukseksi. Mahdollisissa tietoturvarikkomuksissa arvioidaan rikkomuksen laajuus ja vaikutus ja määritellään tämän mukaisesti tarvittavat toimet.

Päivitetty 9.5.2018.