Tietoturvapolitiikka

Tietoturvapolitiikka on yrityksen tietoturvallisuuden hallintajärjestelmän ylin ohjausasiakirja, joka on välttämätön osa hyvän tiedonkäsittelytavan ja hallintotavan noudattamista.

Ohjausasiakirja määrittelee mm. yrityksen tietoturvallisuustyön päämäärät, tavoitteet, vastuut ja yhdenmukaiset toteuttamisperiaatteet.

Tietoturvapolitiikalla ei voida rajoittaa yrityksen henkilöstön tai sidosryhmien lainsäädäntöön perustuvia oikeuksia. Lainsäädännön noudattaminen on kaiken yritystoiminnan vähimmäisvaatimus.

Parhaimmillaan tietoturvapolitiikka ohjaa ja edistää yrityksen turvallisuuskulttuurin muotoutumista ja luo läpinäkyvyyttä, jolla lujitetaan sidosryhmien luottamusta yrityksen tietojenkäsittelykäytänteitä kohtaan.

Asia Malli ISMS-malli

Tietoturvapolitiikasta pitää ilmetä henkilöstölle yksiselitteisesti ja selkeällä tavalla yrityksen johdon tahtotila ja toimintaperiaatteet tietoturvan toteuttamisessa. Tietoturvapolitiikassa tulee välttää kaikenlaista turhaa jargoniaa, jappastelua ja lakipykäliin viittauksia, koska tietoturvapolitiikka ei ole sepitteellinen kirjallinen teos tai lakikirja, vaan yrityksen eräs keskeisimpiä ohjausasiakirjoja.

Esipuheissa huomioitava
Tietoturvapolitiikkaa laadittaessa on ymmärrettävä sen toimintaa ohjaava luonne. Tietoturvapolitiikka on ohjausasiakirja, eli johdon julkilausuma tahtotila, joka toimintaa ohjaavana asiakirjana ei tuo turvaa tai varmista yhtään mitään, jos toimeenpano jää puuttumaan. Ainoastaan tietoturvapolitiikan toimeenpano ja periaatteiden mukainen operatiivinen toiminta on merkitysellistä. Tämän johdosta tietoturvapolitiikan esipuheissa on vältettävä ohjausasiakirjan tarpeetonta vaikuttavuuden liioittelua tai ylikorostamista, kuten esimerkiksi seuraavan kaltaisia lauseita:

Tietoturvapolitiikalla varmistetaan lakien ja muiden sitovien normien sekä sopimusvelvoitteiden noudattaminen.
Tietoturvapolitiikan avulla varmistetaan kaikilla liiketoiminnan osa-alueilla hallintavelvoitteen toteutuminen, riskien hallinta sekä vahinkojen ja väärinkäytösten ennaltaehkäisy.
Tietoturvapolitiikan avulla turvataan palveluiden laadukas ja turvallinen toteuttaminen.
Tietoturvapolitiikalla turvataan yrityksen toimintaedellytykset kaikissa olosuhteissa, myös häiriö- ja poikkeusoloissa.

Tietoturvapolitiikasta poikkeaminen
Lähtökohta on, että yritys noudattaa kaikessa liiketoiminnassaan tietoturvapolitiikan periaatteita. Tämän johdosta tietoturvapolitiikassa ei tule kuvata ratkaisuja, vaan ainoastaan periaatteita, koska työelämän prosesseissa joudutaan moninaisten ongelmien eteen. Ongelmatilanteissa on kyettävä järkeviin päätöksiin ja rationaalisiin ratkaisuihin, jotka vastaavat tietoturvapolitiikan periaatteita.

Mikäli liiketoiminto katsoo, ettei tietoturvapolitiikka mahdollista tietyssä liiketoimintaoperaatiossa järkevää ratkaisua, pitää olla mahdollisuus hakea toimitusjohtajalta päätös poikkeamalle. Toimitusjohtajan tehtävänä on arvioida poikkeavan menettelyn asianmukaisuus ja kantaa poikkeamisesta seuraavat riskit. Tämän johdosta tietoturvapolitiikasta tulee ilmetä maininta, että liiketoiminto voi poiketa toimitusjohtajan hyväksymällä päätöksellä tietoturvapolitiikan periaatteesta.

Käyttäjien tunnistaminen
Käyttäjien tunnistaminen kaikissa yrityksen IT-palveluiden käytössä on välttämätön vaatimus esimerkiksi toimistoverkkoon kirjauduttaessa ja käsiteltäessä mitä tahansa yrityksen tietoja eri järjestelmissä. Muussa tapauksessa yritys menettää kontrollin omiin järjestelmiin ja väärinkäytösten selvittäminen muodostuu mahdottomaksi.

Mobiililaitteiden rooli
Yrityksen palveluita ja tietoja käytetään rutiininomaisesti myös mobiililaitteiden avulla. Näiden päätelaitteiden avulla on mahdollista päästä myös yrityksen ja yhteistyökumppaneiden tietoverkkoihin. Ei ole poikkeuksellista, että yrityksissä mobiililaitteiden tietoturva muodostaa heikoimman lenkin.

Mobiililaitteiden tietoturvaratkaisut tulee sisällyttää tietoturva-arkkitehtuuriin. Keskitetty mobiililaitteiden hallintapalvelu on perusratkaisu, joka kuuluu hyvään tiedonhallintatapaan. Keskitetyn hallintaratkaisun avulla yrityksellä on mahdollisuus seurata ja löytää kadonneet laitteet sekä tuhota mobiililaitteeseen tallennetut tiedot, jos vaarana on niiden joutuminen vääriin käsiin. Hallintaratkaisun avulla on myös mahdollista päivittää mobiililaitteiden ohjelmistoja ja tietoturvakäytäntöjä.

Omassa henkilökohtaisessa käytössä olevat ohjelmat ja laitteet
Omien ohjelmien ja/tai laitteiden asentaminen käyttäjien toimesta vaarantaa yrityksen tietojärjestelmien luottamuksellisuuden ja eheyden. Tietoturvapolitiikassa on otettava selkeä kanta omatoimisiin asennuksiin, mutta vain yleisellä tasolla.

Lähtökohta on, ettei käyttäjällä ole valtuuksia asentaa mitään ohjelmistoja työasemaympäristöön, eikä siihen liitettäville laitteille. Elävässä elämässä tällaisia tarpeita saattaa kuitenkin joskus tulla eteen. Jos näitä tilanteita halutaan yrityksessä ennakoida, on työasemaympäristöön asennettavien ohjelmien tai lisälaitteiden asennuksen periaatteet kirjattava tietoturvapolitiikkaan mm. seuraavin periaattein:

Käyttäjän on keskusteltava esimiehen kanssa, onko ohjelmiston tai laitteen asentamiselle olemassa työsuorituksen kannalta perusteltu syy.
Ohjelmiston tai laitteen asentaminen on perusteltua, jos se on työnteon kannalta välttämätöntä.
Ohjelmiston tai laitteen tulee soveltua ongelmitta yrityksen ICT-ympäristöön.
Ohjelmiston tulee olla myös keskitetysti hallittava ja päivitettävä (mm. lisenssien hallinta).
Ohjelmisto tai laite ei saa vaarantaa yrityksen ICT-järjestelmien tietoturvaa, kuten luottamuksellisuutta ja eheyttä.
Ohjelmiston saa asentaa vain yrityksen ICT-tukihenkilö.
Kaikki tietoverkkoyhteydet on määriteltävä kulkemaan yrityksen palomuurin kautta.

Siirtymäajan määrittely
Siirtymäajan tarve saadaan selville vertaamalla tietoturvapolitiikkaan kirjattuja toteutusperiaatteita toimintojen nykykäytäntöihin. Vertailun tuloksena ilmenneet poikkeamat ovat liiketoimintokohtaisia kehittämiskohteita, jotka on ratkaistava sovitun siirtymäajan kuluessa. Liiketoiminnot priorisoivat itse mahdolliset kehittämiskohteensa ja vastaavat tietoturvapäällikön tuella niiden toteuttamisesta.

Tietoturvapolitiikan jalkauttaminen
Tietoturvapolitiikan julkaisu ei yksinomaan riitä. Henkilöstö on perehdytettävä ja sitoutettava tietoturvapolitiikkaan. Tietoturvapolitiikan jalkauttaminen tarkoittaa tietoturvapolitiikan tavoitteiden viemistä liiketoimintoihin.

Jalkauttamisen tavoitteet

Sitoutuneisuuden aikaansaaminen ts. henkilöstö sitoutuu tietoturvapolitiikan toimintatapoihin ja tavoitteisiin.
Henkilöstö ymmärtää ja hyväksyy tietoturvapolitiikan edellyttämät toimintatapamuutokset.
Tietoturvapolitiikka ohjaa jatkossa koko yrityksen toimintakulttuuria.
Tietoturvapolitiikka huomioidaan kaikissa toiminnoissa.