top of page

Fyysinen turvallisuus  


Estä luvaton fyysinen pääsy tiloihin ja luottamuksellisen tiedon ääreen.  

  

Kiinteistöjen turvallisuus    

Fyysisen pääsyn valvonta rakennuksiin, toimistoihin ja muihin toimipaikkoihin  

 Organisaation turva-alueille ei pääse huomaamatta, vaan tilat on suojattu asianmukaisella kulunvalvonnalla. Vain luvan saaneet henkilöt pääsevät turva-alueille.  

  

Ilmoitusprosessi fyysisten tunnisteiden häviämisen varalle  

Henkilöstöllä on toimintaohjeet ja työkalut, joiden avulla he voivat ilmoittaa kadonneesta fyysisestä tunnisteesta (esim. avaimenperä, älykortti, älytarra).  

  

Laitteiden suojaus ja käyttö 


 

Häiriöiden hallinta  


Havaitse, viesti ja käsittele tietoturvahäiriöt johdonmukaisesti.  

    

Häiriöiden hallinta ja ilmoittaminen   

Ohjeistukset ja ilmoitusprosessi häiriöiden ilmoittamiseen henkilöstölle  

  

Häiriöiden ilmoittamiseen ylläpidetään prosessia, joka auttaa henkilöstöä ilmoittamaan häiriöistä tehokkaasti ja johdonmukaisesti.  


Häiriönä ilmoitettavia asioita ovat mm.:  

  • luvaton pääsy tietoihin / tiloihin  

  • tietoturvaohjeiden vastainen toiminta  

  • epäilty tietoturvaongelma (esim. tietojenkalastelu, haittaohjelmatartunta)  

  • tietojärjestelmän käyttökatko  

  • tietojen tuhoutuminen / muuttuminen vahingossa tai tahallaan  

  • kadonnut tai varastettu laite  

  • vaarantunut salasana  

  • kadonnut fyysinen tunniste (esim. avaimenperä, älykortti, älytarra)  

  • epäilty tietoturvaheikkous (esim. käytetyssä tietojärjestelmässä tai muissa toimintatavoissa)  

  

Henkilöstön ohjeissa korostetaan velvollisuutta raportoida tietoturvahäiriöistä mahdollisimman pian sovitun prosessin mukaisesti. Ohjeistus kuvaa myös muun toiminnan häiriön tapauksessa (mm. virheilmoitusten ja muiden yksityiskohtien kirjaaminen ylös).  

  

 Tapahtuneiden tietoturvahäiriöiden käsittelyprosessi ja dokumentointi  

Kaikki tietoturvahäiriöt käsitellään johdonmukaisesti, jotta tietoturvaa voidaan parantaa tapahtuneen perusteella. 

 

Häiriöiden käsittelyprosessissa:  

  • vahvistetaan raportoitu häiriö (tai todetaan tarpeettomaksi kirjata ylös)  

  • dokumentoidaan häiriön tyyppi ja syy  

  • dokumentoidaan häiriöön liittyneet riskit  

  • käsitellään riskit, mikäli häiriön perusteella niiden käsittelyä täytyy päivittää  

  • määritellään ja dokumentoidaan toimenpiteet riskien pienentämiseksi tai päätös niiden hyväksymisestä  

  • määritellään tahot, joille on tärkeää tiedottaa käsittelyn tuloksista (myös organisaation ulkopuoliset)  

  • määritetään tarve häiriön jälkianalyysille  


 

Tietoaineistojen hallinta  


Tunnista järjestelmien ulkopuoliset tiedot ja varmista niiden turvallinen käsittely.  

    

Tietoaineistojen hallinta   

  

Tietoaineistojen dokumentointi tietovarannoille  

  

Organisaation on ylläpidettävä listaa sen hallinnoimiin tietovarantoihin sisältyvistä tietoaineistoista.  

Dokumentaation on sisällettävä vähintään seuraavat tiedot:  

  • Aineiston käsittelyyn käytetyt tietojärjestelmät ja muut keinot  

  • Keskeiset tietoryhmät aineistossa (ja sisältääkö henkilötietoja)  

  • Tietojen säilytysaika (käsitellään tarkemmin erillisessä tehtävässä)  

  • Tarvittaessa tieto aineistojen arkistoinnista / hävittämisestä (käsitellään tarkemmin erillisessä tehtävässä)  

  

  

Tietoaineistojen omistajien nimeäminen  

Jokaiselle tietoaineistolle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.  

Omistajan tehtäviin kuuluu mm.:  

  • varmistaa omaisuuden dokumentointi  

  • varmistaa omaisuuden asianmukainen suojaus  

  • pääsyoikeuksien säännöllinen katselmointi  

  • varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa  


Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.  


 

Kehitys ja digipalvelut  


Varmista tietoturvanäkökulmien huomiointi omien IT-palvelujen kehityksessä.  



Kumppanihallinta  


Varmista sopimusten mukainen toiminta ja toimittajien käyttämän omaisuuden suojaus.  

    

Ohjeita 

  

Mobiililaitteiden ohjelmistot ja päivitykset  

Käyttäessäsi mobiililaitteita, noudata seuraavia päivityksiin liittyviä sääntöjä:  

  • En asenna ohjelmistoja tai tee niiden asetusmuutoksia, kun se ei kuulu työtehtäviini  

  • Asennan luotettavasti pyydetyt, olemassa olevien ohjelmistojen päivitykset ja tietoturvakorjaukset viipymättä  

  • Tarvitessani käyttöön uutta ohjelmistoa, pyydä siihen lupaa IT-osastolta   

  

Mobiililaitteiden valvonta  

Vastaan seuraavista asioista mobiililaitetta käyttäessäni:  

  • En jätä luottamuksellista tietoa sisältävää laitetta ilman valvontaa  

  • Ilmoitan välittömästi kadonneesta laitteesta  

  • En säilytä mobiililaitteita autossa 

  • Varmistan, että laitteen käyttöohjeen mukaiset automaattiset lukitukset ovat käytössä  

  • Huolehdin varmuuskopioinnista ja synkronoinnista ohjeiden mukaisesti  

  • Varmistan laitteen käyttöjärjestelmän ajantasaisuuden  

  

Ongelmatilanteet mobiililaitteiden käytössä  

Kun kohtaan ongelmatilanteita käyttämieni laitteiden kanssa, noudatan seuraavia sääntöjä:  

  • Toimin ohjeiden mukaisesti järjestelmän toiminnan keskeydyttyä  

  • Raportoin kaikki tietoturvaongelmat IT:lle ohjeiden mukaisesti (esim. epäillessäni virustartuntaa tai tietojen kalastelua)  

  • Ilmoitan kadonneesta / varastetuista laitteesta tai tunnisteista ilmoitusprosessin mukaisesti   


Mobiililaitteiden hyväksyttävä käyttö  


Käyttäessäni organisaation mobiililaitetta noudatan seuraavia sääntöjä:  

  • En käytä työlaitteita työn ulkopuolisiin asioihin  

  • En muuta oletusasetuksia laitteen turvallisuuteen liittyen ilman lupaa  

  • Sammutan tai siirrän laitteen virransäästötilaan työpäivän päättyessä, ellei muuta ole ohjeistettu (esim. tietoturvapäivitysten johdosta)  

  • En poista tai ohita laitteen haittaohjelmasuojausta  

 

Etätyön yleiset toimintaohjeet  

Tehdessäni etätyötä noudatan seuraavia sääntöjä:  


  • En anna ulkopuolisen henkilön, edes tutun, käyttää päätelaitettasi  

  • En käytä julkisia päätteitä työasioihin  

  • Minimoin mukana olevien tietojen määrän etätyössä  

  • En tallenna henkilökohtaisia tiedostoja tarpeettomasti työnantajan palvelimille  

  

Kadonneesta tunnisteesta ilmoittaminen  

Ilmoitan kadonneesta fyysisestä tunnisteesta (esim. avaimenperä, älykortti, älytarra) ilmoitusprosessin mukaisesti.  

  

Kulunvalvonta ja vierailijat  

  

Vierailijakäytännöt 

Vierailijoihin liittyen noudatan seuraavia sääntöjä:  


  • Käytän vierailukäyttöön ainoastaan siihen tarkoitettuja neuvottelutiloja  

  • En jätä neuvottelutiloihin arkaluonteisesta materiaalia esimerkiksi vierailun ajaksi tai sisäisen neuvottelun jälkeen  

  • Kerron tarvittaessa vierailijalle käytäntöjen tarpeellisuudesta hänen oman tietoturvan, tietosuojan ja muun turvallisuuden näkökulmasta  

  

Häiriöiden ilmoittaminen  

Tietoturvahäiriöiden ilmoittamisen säännöt on määritelty ja niiden noudattamista valvotaan. 


Säännöt voivat sisältää mm. seuraavia asioita:  


  • Ilmoita kaikista tietoturvahäiriöistä sekä epäillyistä tietoturvaheikkouksista aina ilmoitusprosessin mukaisesti  

  • Älä koskaan yritä todistaa epäiltyä tietoturvaheikkoutta, vaan ilmoita siitä eteenpäin sovitusti  

  • Muista havaitessasi häiriön: älä hätiköi, älä sulje laitetta, irrota verkkokaapeli ja katkaise langaton yhteys, kirjoita ylös mahdolliset ilmoitukset tai ota niistä kuva ja kuvaa ilmoittaessasi asiasta eteenpäin tarkasti, mitä olit tekemässä häiriön tapahtuessa.  


 

Tietojärjestelmien käyttö  

Esimiesten on ilmoitettava etukäteen tietojärjestelmien omistajille merkittävistä muutoksista alaisten työsuhteissa, kuten ylennyksistä, alennuksista, työsuhteen päättymisestä tai muista muutoksista työroolissa.  

  

Salasanojen yksityisyys  

Noudatan salasanojen yksityisyyteen liittyen seuraavia sääntöjä:  


  • En koskaan jaa kirjautumistietojani muille  

  • En kirjaa tunnistautumistietojani muualle kuin salasanojen hallintajärjestelmään (esim. paperille tai tekstitiedostoon)  

  

Vaarantuneiden tunnistautumistietojen vaihtaminen  


Noudatan seuraavia sääntöjä tunnistautumistietoihini liittyen:  


  • Seuraan palveluntarjoajien tiedotusta mahdollisista tietovuodoista  

  • Vaihdan tunnistautumistietoni välittömästi, mikäli on mahdollista, että tiedot ovat vuotaneet  

  

Salasanojen vahvuus ja oikeaoppinen käyttö  


Noudatan salasanojen vahvuuteen liittyen seuraavia sääntöjä:  


  • Tunnen kriteerit salasanojen riittävälle kompleksisuudelle ja käytän tarpeeksi vahvoja salasanoja  

  • En käytä samaa salasanaa useissa eri palveluissa  

  • Mikäli palvelu käyttää minulle annettua oletussalasanaa, asetan sen uusiksi ensimmäisellä kirjautumiskerralla  

  • Käsittelen salasanan palauttamiseen käytettyjä turvakysymyksiä ja niiden vastauksia yhtä luottamuksellisina ja ei-arvattavina kuin salasanoja  

  

Tunnistautumiseen liittyvät yleiset säännöt  

Noudatan tunnistautumistietoihin liittyen seuraavia sääntöjä:  


  • Suosin organisaation tukemia, keskitettyjä tunnistautumistapoja aina kun mahdollista ja vältän paikallisten käyttäjätunnus + salasana -yhdistelmien luomista  

  • En anna ulkopuoliselle pääsyä laitteeseeni, myöskään etäyhteydellä, jos en ole saanut lupaa ennalta  

  • Huomioin selaimen antamat varoitukset kirjautuessa  

  • Raportoin kaikki luvattomat pääsyt tietoihin tietoturvahäiriönä eteenpäin  

  

Viestintä ja tietojenkalastelu  

Työsähköpostin harkittu käyttö  

Tarkista sähköpostia lähetettäessä, että toimit seuraavien ohjeiden mukaan:  


  • Käytä työsähköpostia ainoastaan työasioiden hoitamiseen  

  • Varmista oikea vastaanottajan osoite sähköpostia lähetettäessä  

  • Älä välitä salassa pidettäviä tietoja suojaamattomassa sähköpostissa

  • Älä jaa turhaan sähköpostin vastaanottajatietoja ja käytä to, cc ja bcc kenttiä oikein  

  • Älä ohjaa työsähköposteja eteenpäin henkilökohtaisiin osoitteisiin  

  

  

Huijausten vastaisten toiminnan säännöt  

Noudatan aina seuraavia toimintasääntöjä:  


  • En lataa / asenna ohjelmistoja verkosta, mikäli se ei kuulu työtehtäviini  

  • Estän popup-ikkunat oletuksena ja hyväksyn ne vain tarvittaessa 

  • En jätä online-tilejä olemaan olemassa käyttämättöminä 

  • En täytä luottamuksellista tietoa sähköpostiin saamani linkin kautta 

  • En lähetä luottamuksellisia tietoja sähköpostiviestissä  

  

Verkko-osoitteen varmistaminen  

Mikäli epäilet saamasi viestin tai muun ilmoituksen oikeellisuutta, tee aina seuraavat tarkistukset ennen klikkaamista tai luottamuksellisten tietojen luovuttamista:  


  • Tarkista, että linkki osoittaa tuttuun verkkotunnukseen  

  • Huomioi kaikki selaimen antamat varoitukset  

  • Ollessasi sivustolla tarkista sivuston https-suojaus ja verkko-osoitteen muoto osoiteriviltä  

  

Henkilötietojen käyttö  

Tietosuojapyyntöjen vastaanottaminen ja käsittely  


Aina kun käsittelemme henkilötietoja, rekisteröidyllä on tiettyjä oikeuksia, mm. saada pääsy tietoihinsa ja tietyissä tilanteissa vastustaa käsittelyä tai saada tietonsa poistetuksi.  


Tunnen toimintatavat tietosuojapyyntöjen suhteen, jotka voivat sisältää mm.:  


  • tavat, joilla rekisteröity voi tietopyynnön tehdä  

  • tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan ennen pyynnön vastaanottamista  

  • henkilöt, joille tietopyynnöt välitetään eteenpäin kuhunkin rekisteriin liittyen  

  

Henkilötietojen käsittely ei-tuetuissa järjestelmissä  


En siirrä tai tallenna luottamuksellista tietoa henkilökohtaiseen pilvipalveluun (kuten Dropbox- tai Evernote-tilille), mikäli organisaatiolla ei ole sopimusta palvelun tarjoamisesta.  

  

Järjestelmien sisältämien henkilötietojen käytön yleiset säännöt  

 

​Hyödyntäessäni tietojärjestelmien sisältämiä henkilötietoja, noudatan seuraavia sääntöjä:  


  • Käytän tietoja ainoastaan käyttöön, johon ne on tarkoitettu  

  • Käytän ainoastaan tietoja, jotka ovat omiasi, julkisesti saatavissa tai joihin minulle on annettu pääsy  

  • Älä lisää uusia tietokenttiä palveluihin ilman ajatusta ja muiden informointia  

  • Älä vie tietoja pois tietojärjestelmistä paikallisille levyille ilman tärkeää syytä, ja poista ne heti kuin mahdollista  


 

Tietosuojan hallinta 


Tietosuojatiimi, joka kokoontuu säännöllisesti tietosuojavastaavan johdolla. Tiimissä on jäseniä eri koulutusaloilta/yksiköistä. joka seuraa ja ohjeistaa aiheeseen liittyvissä asioissa.  

  

Tiimi kokoontuu kerran kuukaudessa päivittämään ohjeistuksia, keskustelemaan havaituista uhista tai poikkeamista, sopimaan tiedotuksesta jne. Henkilöstöä on ohjeistettu olemaan yhteydessä tietosuojatiimiin havaitessaan tieto- tai kyberturva uhkia tai poikkeamia.  

  

Kyberturvallisuusohjeistuksen laadinta on juuri työn alla. Tekeillä step-by-step ohjeistus, miten reagoidaan uhkatilanteissa. Vaatii yhteistoimintaa ulkopuolisten toimijoiden kanssa.  

  

Kouluttautuminen  

Koko henkilöstö on suorittanut ns. Arjen tietosuojakoulutuksen ja tehneet arjen tietosuojatestin, uudet työntekijät suorittavat testin osana orientaatiota.   

  

Henkilöstön tulee suorittaa Tietosuojan ABC julkishallinnon henkilöstölle -koulutus ja palauttaa hyväksytty suoritustodistus henkilöstöhallintoon  

  

Koko henkilöstön on tutustuttava tietosuojapolitiikkaan, joka on nähtävillä intrassa  

  

Tietosuojatiimin tiedotuskanavalla on nähtävillä kyberturvallisuuskeskuksen kuukausittainen kybersää  

  

Henkilöstölle pyritään pitämään vähintään kaksi kertaa vuodessa tietosuoja iltapäivä, jossa käydään läpi yhteisiä tietosuojakäytänteitä, sekä ajankohtaisia kyberturvallisuus uutisia.  

  

  

Tietoturvaohjeistus henkilöstölle sekä tietysti tietosuojaan liittyvät rekisteriotteet. Tarkoitus on tehdä alkuvuodesta tietoturvakartoitus ja sen perusteella suunnitella toimenpiteitä.   

  

 Käytetään henkilötietoja sisältävien salassa pidettävien viestien välittämiseen turvapostia  

  

Turvatulostus käytössä kopiokoneilla (vaatii tulostuskorttia tai tunnistautumista)  

  

Henkilöstön tulee suorittaa Tietosuojan ABC julkishallinnon henkilöstölle -koulutus ja palauttaa hyväksytty suoritustodistus henkilöstöhallintoon.


 

Päivitetty 9.4.2024

Tekijät


Tietoturva ja kyberturva

Text

Text

Text

Text

Text

Text

Text

Text

bottom of page