Tietoturvapolitiikka - SecMeter

Sisältöön

Tietoturvapolitiikka

Yritysturvallisuus > Tietoturvallisuus
Tietoturvapolitiikka on yrityksen tietoturvallisuuden hallintajärjestelmän ylin ohjausasiakirja, joka on välttämätön osa hyvän tiedonkäsittelytavan ja hallintotavan noudattamista.

Ohjausasiakirja määrittelee mm. yrityksen tietoturvallisuustyön päämäärät, tavoitteet, vastuut ja yhdenmukaiset toteuttamisperiaatteet.

Tietoturvapolitiikalla ei voida rajoittaa yrityksen henkilöstön tai sidosryhmien lainsäädäntöön perustuvia oikeuksia. Lainsäädännön noudattaminen on kaiken yritystoiminnan vähimmäisvaatimus.

Parhaimmillaan tietoturvapolitiikka ohjaa ja edistää yrityksen turvallisuuskulttuurin muotoutumista ja luo läpinäkyvyyttä, jolla lujitetaan sidosryhmien luottamusta yrityksen tietojenkäsittelykäytänteitä kohtaan.

Tietojenkäsittelyn osalta tulisi mainita, että yritys noudattaa hyvää tiedonhallintatapaa huolehtimalla asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta käytettävyydestä, luottamuksellisuudesta ja eheydestä sekä muista tietojen laatuun vaikuttavista tekijöistä.

Yrityksellä on asianhallintajärjestelmä, jonka avulla huolehditaan toimintojen käsiteltäviksi otetuista asioista ja ratkaisuista sekä muutoinkin huolehditaan siitä, että asiakirjat ovat vaivattomasti löydettävissä.

Tietojärjestelmien osalta tulisi todeta, että yritys auditoi ennen tietojärjestelmien käyttöönottoa lainsäädännön asettamat vaatimukset, kyberturvallisuuden, vaikutukset asiakirjojen julkisuuteen, salassapitoon ja tietosuojaan.

Käyttövaltuushallinnon osalta tulisi todeta, että yrityksellä on asianmukainen käyttövaltuushallinto, joka huolehtii tietoon liittyvien käyttövaltuuksien ajantasaisesta hallinnoinnista.

Tietoturvapolitiikkaan ei ole mahdollista kirjata toteutusperiaatetta, jota ei käytännössä voida noudattaa tai joiden kohdalla on pyydettävä toistuvasti lupaa poiketa tietoturvapolitiikasta. Suositeltava menettelytapa on siirtää yksityiskohtaisemmat toimintoja koskevat toteutusperiaatteet tietoturvapolitiikasta tietoturvaohjeistukseen.

Tietoturvapolitiikan vastainen toimintatapa on riskienhallinnan näkökulmasta poikkeama, joka tietoturvapäällikön tai sisäisen tarkastuksen on se havaittuaan raportoitava johdolle.

Esipuheissa huomioitava
Tietoturvapolitiikkaa laadittaessa on ymmärrettävä sen toimintaa ohjaava luonne. Tietoturvapolitiikka on ohjausasiakirja, eli johdon julkilausuma tahtotila, joka asiakirjana ei varmista tai turvaa mitään. Tietoturvapolitiikan esipuheissa on vältettävä ohjausasiakirjan tarpeetonta vaikuttavuuden liioittelua tai ylikorostamista, kuten esimerkiksi seuraavan kaltaisia lauseita:

  • Tietoturvapolitiikalla varmistetaan lakien ja muiden sitovien normien sekä sopimusvelvoitteiden noudattaminen.
  • Tietoturvapolitiikan avulla varmistetaan kaikilla liiketoiminnan osa-alueilla hallintavelvoitteen toteutuminen, riskien hallinta sekä vahinkojen ja väärinkäytösten ennaltaehkäisy.
  • Tietoturvapolitiikan avulla turvataan palveluiden laadukas ja turvallinen toteuttaminen.
  • Tietoturvapolitiikalla turvataan yrityksen toimintaedellytykset kaikissa olosuhteissa, myös häiriö- ja poikkeusoloissa.

Tietoturvapolitiikasta poikkeaminen
Tietoturvapolitiikan toteutusperiaatteita ei pitäisi rajata liian yksityiskohtaisesti, koska työelämän prosesseissa joudutaan moninaisten ongelmien eteen. Ongelmatilanteissa on kyettävä järkeviin päätöksiin ja rationaalisiin ratkaisuihin.

Mikäli toiminto katsoo, ettei tietoturvapolitiikka mahdollista järkevää ratkaisua, pitää olla mahdollisuus hakea johtoryhmältä päätös poikkeamalle. Johtoryhmän tehtävänä on arvioida poikkeavan menettelyn asianmukaisuus ja siitä seuraavat riskit ja hyödyt. Tietoturvapolitiikasta tulee ilmetä maininta, että yritysjohto voi toimitusjohtajan hyväksymällä päätöksellä poiketa tietoturvapolitiikan velvoitteista.

Käyttäjien tunnistaminen
Henkilökohtaisten (yksilöllisten) käyttäjätunnusten käyttöä tulee edellyttää niiden palveluiden osalta, joissa käyttäjän tunnistaminen on perusteltua, kuten mm. toimistoverkkoon kirjauduttaessa, käsiteltäessä luottamuksellisia tai salassa pidettäviä tietoja (mm. henkilötietoja, luottamuksellisia asiakirjoja ja liikesalaisuuksia).

Yritykset käsittelevät eri yhteyksissä myös yleisiä tietoja, joihin pääsyä yrityksellä ei ole tarvetta käyttäjätasolla todentaa. Näissä käyttötapauksissa voi riittää myös yhteiskäyttöinen käyttäjätunnus.

Tietoaineiston turvaluokitusmerkinnät
Tietoaineiston turvaluokitusmerkintöjä tulee edellyttää liikesalaisuuksien osalta ja niiden tietoaineistojen osalta, jotka ovat sopimusten ja lain perusteella (esim. julkisuuslaki) luottamuksellisia tai salassa pidettäviä. Kaiken tietoaineiston kattava turvaluokitusvelvollisuus on usein epätarkoituksenmukainen ja ylivoimainen haaste toteuttaa sekä ylläpitää.

Mobiililaitteiden rooli
Yrityksen palveluita ja tietoja käytetään rutiininomaisesti myös mobiililaitteiden avulla. Näiden päätelaitteiden avulla on mahdollista päästä myös yrityksen ja yhteistyökumppaneiden tietoverkkoihin. Ei ole poikkeuksellista, että yrityksissä mobiililaitteiden tietoturva muodostaa heikoimman lenkin.

Mobiililaitteiden tietoturvaratkaisut tulee sisällyttää tietoturva-arkkitehtuuriin. Keskitetty mobiililaitteiden hallintapalvelu on perusratkaisu, joka kuuluu hyvään tiedonhallintatapaan. Keskitetyn hallintaratkaisun avulla yrityksellä on mahdollisuus seurata ja löytää kadonneet laitteet sekä tuhota mobiililaitteeseen tallennetut tiedot, jos vaarana on niiden joutuminen vääriin käsiin. Hallintaratkaisun avulla on myös mahdollista päivittää mobiililaitteiden ohjelmistoja ja tietoturvakäytäntöjä.

Omassa henkilökohtaisessa käytössä olevat ohjelmat ja laitteet
Omien ohjelmien ja/tai laitteiden asentaminen käyttäjien toimesta vaarantaa yrityksen tietojärjestelmien luottamuksellisuuden ja eheyden. Tietoturvapolitiikassa on otettava selkeä kanta omatoimisiin asennuksiin, mutta vain yleisellä tasolla.

Työasemaympäristöön asennettavien ohjelmien tai lisälaitteiden asennuksen periaatteet tulee kirjata esimerkiksi käyttäjälle annettavaan yksityiskohtaisempaan ohjeistukseen, jossa voidaan nostaa esiin mm. seuraavia periaatteita:

  • Käyttäjän on keskusteltava esimiehen kanssa, onko ohjelmiston tai laitteen asentamiselle olemassa työsuorituksen kannalta perusteltu syy.
  • Ohjelmiston tai laitteen asentaminen on perusteltua, jos se on työnteon kannalta välttämätöntä.
  • Ohjelmiston tai laitteen tulee soveltua ongelmitta yrityksen ICT-ympäristöön.
  • Ohjelmiston tulee olla myös keskitetysti hallittava ja päivitettävä (mm. lisenssien hallinta).
  • Ohjelmisto tai laite ei saa vaarantaa yrityksen ICT-järjestelmien tietoturvaa, kuten luottamuksellisuutta ja eheyttä.
  • Ohjelmiston saa asentaa vain yrityksen tukihenkilö.
  • Kaikki tietoverkkoyhteydet on määriteltävä kulkemaan yrityksen palomuurin kautta.

Siirtymäajan määrittely
Siirtymäajan tarve saadaan selville vertaamalla tietoturvapolitiikkaan kirjattuja toteutusperiaatteita toimintojen nykykäytäntöihin. Poikkeamat ovat toimintokohtaisia kehittämiskohteita, jotka on toteutettava sovitun siirtymäajan kuluessa. Toiminnot priorisoivat itse mahdolliset kehittämiskohteensa ja vastaavat tietoturvapäällikön tuella niiden toteuttamisesta.

Tietoturvapolitiikan jalkauttaminen
Tietoturvapolitiikan julkaisu ei yksinomaan auta. Henkilöstö on perehdytettävä ja sitoutettava tietoturvapolitiikkaan. Tietoturvapolitiikan jalkauttaminen tarkoittaa tietoturvapolitiikan tavoitteiden viemistä toimintoihin.

Jalkauttamisen tavoitteet

  • Sitoutuneisuuden aikaansaaminen ts. henkilöstö sitoutuu tietoturvapolitiikan toimintatapoihin ja tavoitteisiin.
  • Henkilöstö ymmärtää ja hyväksyy tietoturvapolitiikan edellyttämät toimintatapamuutokset.
  • Tietoturvapolitiikka ohjaa jatkossa koko yrityksen toimintakulttuuria.
  • Tietoturvapolitiikka huomioidaan kaikissa toiminnoissa.

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön