Hyväksytty Lapin yliopiston hallituksessa 30.03.2000

Lapin yliopiston tietoturvapolitiikka

  • Tietoturvapolitiikka määrittelee yliopiston tietoturvallisuuden tavoitteet, vastuut ja toteutuskeinot. Tietoturvallisuustyö nähdään osana toiminnan laatua ja se koskee jokaista yliopistossa työskentelevää ja opiskelevaa.
  • Uusi viranomaisen toiminnan julkisuutta koskeva laki ja henkilötietolaki edellyttävät hyvää ja turvattua tietojenkäsittely- ja tiedonhallintatapaa.
  • Valtioneuvosto on tehnyt periaatepäätöksen valtionhallinnon tietoturvallisuudesta ja edellyttää viranomaisilta sen noudattamista.

Päämäärä ja tavoitteet 

  • Yliopiston tietoturvallisuustyön päämäärä on turvata yliopiston toiminnalle tärkeiden tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta,
  • Estää tietojen ja tietojärjestelmien valtuudeton käyttö,
  • Tahaton tai tahallinen tiedon tuhoutuminen tai vääristyminen sekä minimoida aiheutuvat vahingot.
  • Normaaliajan toiminnan tietojenkäsittelyn turvaamisen lisäksi varaudutaan toiminnan keskeyttäviin uhkatilanteisiin ja niistä toipumiseen.
  • Yliopiston tiedot, tietojenkäsittelyjärjestelmät ja -palvelut pidetään asianmukaisesti suojattuina sekä normaali- että poikkeusoloissa hallinnollisten, teknisten ja muiden toimenpiteiden avulla.
  • Yliopiston tavoitteena on, että tietoturvajärjestelyt ovat hyvää kansallista ja kansainvälistä tasoa.
  • Toisena tavoitteena on, että tietoturvallisuuden perustaso kattaa yliopiston kaiken tietojenkäsittelyn huomioiden yksikköjen perusluonteen ja mahdollisen tarpeen tietoturvallisuuden tehostamiseen.

Tietoturvallisuus

  • Tietoturvallisuus tarkoittaa tietojenkäsittelyn turvaamista.
  • Tietoturvallisuus rakentuu tiedon luottamuksellisuudesta, eheydestä ja käytettävyydestä sekä lisäksi soveltuvilta osin pääsynvalvonnasta ja kiistämättömyydestä.
  • Luottamuksellisuus tarkoittaa, että tiedot ovat vain niiden käyttöön oikeutettujen saatavissa sovituilla tavoilla ja sovittuun aikaan eikä niitä paljasteta tai muutoin saateta sivullisten tietoon.
  • Eheys tarkoittaa, että tiedot ja tietojärjestelmät ovat luotettavia, oikeellisia ja ajantasaisia, eivät laitteisto- tai ohjelmistovikojen, luonnontapahtumien tai oikeudettoman inhimillisen toiminnan seurauksena muuttuneet tai vahingoittuneet.
  • Käytettävyys tarkoittaa, että tiedot ja tietojenkäsittelyjärjestelmät ovat käytettävissä ja käyttökelpoisia valtuutetuille käyttäjille, toiminnan kannalta hyväksyttävän ajan kuluessa.
  • Pääsynvalvonta tarkoittaa, että tietoa tai tietojärjestelmää ei voi käyttää ilman lupaa.
  • Kiistämättömyys tarkoittaa todisteiden luomista sen varmistamiseksi, ettei yksikään tietojen käsittelyn tai siirron osapuoli voi jälkikäteen kiistää osuuttaan siihen.
  • Tietoturvallisuustyö on tietoturvallisuuden saavuttamiseksi tehtävien toimenpiteiden suunnittelua ja toteuttamista. Toimintaan kuuluvat tietojen turvaamisen menetelmät, välineet ja toimenpiteet, työhön osoitetut resurssit sekä välineistön tietoturvaominaisuudet.
  • Tietoturvallisuus kattaa kaikenlaiset yliopiston tietojenkäsittelytehtävät sisältäen myös toimistotyön tehtävät ja niihin sisältyvän arkistoinnin.
  • Tietoturvallisuustoimet koskevat sähköisessä, puhutussa ja kirjallisessa muodossa olevan tiedon käsittelyä, luovutusta ja siirtoa.

Vastuut

  • Tietoturvallisuus on osa yliopiston kokonaisturvallisuutta. Vastuu kokonaisturvallisuudesta on rehtorilla.
  • Tietohuoltoyksikön johtokunta vastaa tietoturvallisuuden kehittämisestä, toteutuksen valvonnasta ja tietoturvatietouden edistämisestä. Johtokunnan apuna toimii atk-yksikkö.
  • Dekaani vastaa tiedekunnan ja laitoksen johtaja laitoksen tietoturvallisuudesta.
  • Jokainen yliopiston tietoja käsittelevä, tietojärjestelmien ja tietoverkkojen ylläpitäjä ja käyttäjä on viime kädessä vastuussa tietoturvallisuuden toteutumisesta omalta osaltaan. Kukin yliopiston tietojärjestelmien ja niiden sisältämien tietojen haltija vastaa tietojensa ja tietojärjestelmiensä suojaamisesta.

Toteutuskeinot

  • Tietoturvapolitiikka annetaan tiedoksi kaikille yliopistossa työskenteleville.
  • Tietoturvallisuuden tavoitteiden saavuttaminen on jatkuva prosessi, joka tapahtuu hallinnollisten, fyysisten ja teknisten ratkaisujen avulla. Ne kuvataan tietoturvallisuuden kehittämissuunnitelmissa.
  • Käyttäjien toimintaa ohjataan niihin sisältyvillä käyttösäännöillä ja toimintaohjeilla sekä tietoturvakoulutuksella. Yliopiston yhteiset tietoverkkojen ja tietokoneiden käyttösäännöt sekä tietoturvan kehittämissuunnitelmat vahvistaa tietohuoltoyksikön johtokunta.
  • Yliopistossa on käytössä johtokunnan vahvistamien periaatteiden mukaisesti laadittu tietojen ja tietojärjestelmien turvallisuusluokitus. Kullekin turvallisuusluokalle on määritelty vaadittava tietoturvallisuustaso ja sen mukaiset tietoturvatoimenpiteet.
  • Jokaiselle tietojärjestelmälle tai sen osalle on oltava yksikäsitteinen vastuuhenkilö, jota sanotaan järjestelmän pääkäyttäjäksi.
  • Yliopiston tietoturvallisuusasioista tiedottamisesta vastaa atk-yksikkö.

Tietoturvallisuuden seuranta ja ongelmatilanteiden käsittely

  • Atk-yksikkö tekee yliopiston tietojärjestelmien tietoturvallisuuden kartoituksia ja voi ryhtyä toimenpiteisiin havaittujen puutteiden korjaamiseksi.
  • Jokainen yliopiston tietojenkäsittelyjärjestelmien käyttäjä on velvollinen noudattamaan yliopiston antamia tietokoneiden ja tietoverkkojen käyttösääntöjä sekä tietoturvaohjeita.
  • Käyttäjien ja ylläpitäjien tulee ilmoittaa havaitsemistaan tietoturvallisuuden puutteista, tietoturvallisuuteen liittyvistä väärinkäytöksistä tai epäilemistään tietoturvarikkomuksista yksikön johtajalle tai atk-yksikölle.