Ohita valintanauhan komennot
Siirry pääsisältöön
SharePoint

Skip Navigation LinksTietoturvapolitiikka

TIETOTURVAPOLITIIKKA

 

PäivitysTekijäPäiväys
HyväksynytRehtori Martti Lampela18.3.2014
LUC tietojen tallennusohjeet lisätty liitteeksiEsa Mätäsaho, Markku Taipale hyväksytty rehtori Martti Lampelan päätöksellä16.11.2017
Sanktioluettelo poistettu, korvattu viittauksella "väärinkäytökset viedään tarvittaessa viranomaiskäsittelyyn"Markku Taipale29.5.2018
Pieniä tarkennuksia ja korjauksiaMarkku Taipale29.5.2018

 

Liitteet:

IT-palveluiden käyttösäännöt

Sähköpostin käyttösäännöt

Ylläpitosääntö

Työntekijän sähköpostin hakeminen ja avaaminen – ohjeistus

Kaikista epäilyistä tietoturva- ja tietosuojaloukkauksista tulee viipymättä ottaa yhteyttä Lapin AMKin tietosuojavastaavaan ja tietohallintopäällikköön:

tietosuoja@lapinamk.fi

tietoturva@lapinamk.fi

 

Sisällysluettelo

1. Yleistä

    1.1 Tietoturvallisuuden kolme ulottuvuutta

    1.2 Tietoturvallisuuden toteuttaminen

    1.3 Tietoturvallisuudesta huolehtimisen motiivit

 2. Suuntaviivat

    2.1 Vaatimustenmukainen ja turvattu toiminta

    2.2 Lapin Ammattikorkeakoulun strategian toteuttaminen

    2.3 Hallittu tietoturvallisuus ja tietoriskien käsittely

    2.4 Tietoturvallisuuden sopeuttaminen avoimeen kansainväliseen toimintaan

    2.5 Tietoturvallisuuden tuki tutkimukselle, opetukselle ja yhteistyölle

    2.6 Tietoturvallisuuden tuki hallinnolle ja muille tukitoiminnoille

    2.7 Hyvien käytäntöjen siirtäminen Lapin Ammattikorkeakoulusta yhteiskuntaan

 3. Organisointi

    3.1 Johtaminen

    3.2 Vastuut

 4. Viestintä

 

1. Yleistä

 1.1 Tietoturvallisuuden kolme ulottuvuutta

Luottamuksellisuus (engl. confidentiality): Luottamuksellisen tiedon tunnistaminen ja sen luottamuksellisuuden turvaaminen.

Eheys (engl. integrity): Tiedon oikeellisuuden, ristiriidattomuuden ja oikeakestoisen säilymisen turvaaminen.

Saatavuus (engl. availability): Tiedon oikeiden käyttömahdollisuuksien turvaaminen.

 1.2 Tietoturvallisuuden toteuttaminen

Tietoturvallisuudesta huolehtiminen edellyttää tiedon elinkaaren kaikkiin vaiheisiin sekä näiden aikana tiedon käsittelyyn käytettyihin välineisiin, järjestelmiin ja menetelmiin kohdistettuja oikein valittuja ja toteutettuja toimenpiteitä sekä tietoa käsittelevien henkilöiden toiminnan ohjaamiseen tarkoitettuja sääntöjä ja ohjeita sekä koulutusta. Yhteisellä nimellä näitä kaikkia kutsutaan turvamekanismeiksi (engl. controls).

Tietoturvallisuuden toteuttamisessa on kysymys tiedossa oleviin tietoturvallisuusriskeihin nähden sopivien turvamekanismien valinnasta ja toimeenpanosta. Turvamekanismien valinnassa joudutaan hakemaan tasapainoa tietoturvallisuuden kolmen ulottuvuuden ja turvamekanismien käytöstä aiheutuvien kustannusten välillä. Kustannukset voivat olla luonteeltaan välittömiä taloudellisia investointeja, mutta ne voivat aiheutua myös välillisesti työn hidastumisesta.

Tietoturvallisuuden tavoitteet asetetaan ja sen toteuttamistavat valitaan niin, että lain takaama tietosuoja ja yksityisyyden suoja toteutuvat Lapin ammattikorkeakoulun toiminnassa parhaalla mahdollisella tavalla.

 1.3 Tietoturvallisuudesta huolehtimisen motiivit

• Lakien ja muiden sitovien normien noudattaminen

• Toimintaedellytysten turvaaminen kaikissa tilanteissa

• Yhteistyökyvyn turvaaminen ja sopimusten noudattaminen

• Hyvän työ- ja opiskeluympäristön luominen

• Maineen ja luottamuksen vaaliminen

2. Suuntaviivat 

 2.1 Vaatimustenmukainen ja turvattu toiminta

Tietoturvallisuus mitoitetaan ja toteutetaan lain ja Lapin ammattikorkeakoulun solmimien sopimusten vaatimalla tavalla. Lapin ammattikorkeakoulu varautuu myös häiriö- ja poikkeusoloihin siten, että toimintaa voidaan jatkaa mahdollisimman häiriöttömästi kaikissa olosuhteissa.

 2.2 Lapin Ammattikorkeakoulun strategian toteuttaminen

Lapin ammattikorkeakoulun strategia määrittää tietoturvallisuuden toteuttamisen painopisteiden valintaa. 

 2.3 Hallittu tietoturvallisuus ja tietoriskien käsittely

Tietoturvallisuus ja tietoon ja tietojärjestelmiin liittyvä riskienhallinta organisoidaan ja toteutetaan hallitusti ja järjestelmällisesti kirjallisesti dokumentoiduilla tavoilla. Riskienhallinnassa ja turvamekanismien valinnassa suuntaudutaan myös tulevaisuuteen uusien tekniikoiden ja järjestelmien turvallisen ja oikea-aikaisen käyttöönoton mahdollistamiseksi.

Lapin ammattikorkeakoululla on kirjallisesti dokumentoitu tietoturvallisuuden hallintajärjestelmä, joka kattaa mm.

• tietoon ja tietojärjestelmiin liittyvän riskienhallinnan organisoinnin,

• normiympäristöstä ja Lapin ammattikorkeakoulua sitovista sopimuksista tietoturvallisuudelle aiheutuvien vaatimusten seurannan organisoinnin sekä

• tietoturvallisuuteen liittyvät roolit ja niihin kohdistetut vastuut ja valtuutukset.

Tietoturvallisuus kuuluu osana toiminnan laatuun. Tietoturvallisuuden hallinta integroituu Lapin ammattikorkeakoulun yleiseen laadunhallintaan. 

 2.4 Tietoturvallisuuden sopeuttaminen avoimeen kansainväliseen toimintaan

Tietoturvallisuuden tason määrittämisessä voi hyödyntää alan kansainvälisiä standardeja. Tietoturvallisuuden tavoitteiden asettelussa, mittaamisessa ja turvamekanismien valinnassa käytetään hyväksi kansainvälisiä ja kansallisia standardeja ja suosituksia ja niissä omaksuttua terminologiaa.

Kansainvälistymistä tuetaan tarjoamalla Lapin ammattikorkeakoulun tietoturvallisuuteen liittyvää aineistoa ja koulutusta tarvittaessa myös englanninkielisinä. 

 2.5 Tietoturvallisuuden tuki tutkimukselle, opetukselle ja yhteistyölle

Tietoturvallisuuden tavoitteena on mahdollistaa tutkimuksen, opetuksen ja yhteistyön tarvitsemien tiedon käsittely- ja kommunikointimenetelmien turvallinen ja tehokas käyttö. Turvatoimet skaalautuvat yksittäisen tutkijan tai opettajan tasolta tutkimusprojektien ja -ryhmien, opintojaksojen, oppiaineiden ja yksiköiden kautta koko Lapin ammattikorkeakoulua koskeviksi. 

 2.6 Tietoturvallisuuden tuki hallinnolle ja muille tukitoiminnoille

Tietoturvallisuudesta huolehditaan osana hallinnon järjestelmä- ja prosessikehitystä. Tietoturvatoimilla pyritään edistämään uusien ja tehokkaiden järjestelmien ja toimintatapojen käyttöönottoa Lapin ammattikorkeakoulun kaikissa toiminnoissa. 

 2.7 Hyvien käytäntöjen siirtäminen Lapin Ammattikorkeakoulusta yhteiskuntaan

Tietoturvallisuudessa noudatetaan soveltuvia kotimaisia standardeja ja suosituksia. Tietoturvaohjeistusta ja -koulutusta kohdennetaan eri henkilöstö- ja opiskelijaryhmille ja organisaation eri tasoille. Lapin ammattikorkeakoulun turvakäytännöt omaksuneet opiskelijat ja henkilöstö siirtävät hyviä käytäntöjä ympäröivään yhteiskuntaan.

3 Organisointi 

 3.1 Johtaminen

Tietoturvallisuus ja sen ylläpitäminen ovat osa Lapin ammattikorkeakoulun toiminnan laadunvarmistusta. Tietoturvallisuuden johtaminen ja seuranta nivoutuvat osaksi Lapin ammattikorkeakoulun yleistä johtamista.

  3.2 Vastuut

Lapin ammattikorkeakoulun tietoturvallisuudesta vastaa viime kädessä toimitusjohtaja. Yksiköiden johtajat vastaavat tietoturvallisuudesta yksiköissään. Teknisestä tietoturvallisuudesta vastaa Lapin korkeakoulukonsernin IT-palvelualue. Tietohallintopäällikkö vastaa tietoturvallisuuden kehittämisestä ja seurannan toteuttamisesta sekä tietoturvallisuutta koskevasta ulkoisesta yhteistyöstä. Tietohallinnon ohjausryhmä valmistelee tietoturvallisuuden kehittämistoimenpiteitä.

Jokainen Lapin ammattikorkeakoululainen on vastuussa tietoturvallisuuden toteutumisesta omassa toiminnassaan ja on myös velvollinen ilmoittamaan tietohallintopäällikölle tietoturvallisuudessa havaitsemistaan puutteista.

Tietoturvatyön organisointi ja vastuun jakautuminen kuvataan tarkemmin tietoturvallisuuden hallintajärjestelmässä.

4 .Viestintä

Tietoturvallisuuteen liittyvästä viestinnästä vastaa tietohallintopäällikkö.