Tietoturvapolitiikka
Tässä politiikassa kuvataan Ziirto Oy:n tietoturvapolitiikan päämäärä, periaatteet ja menetelmät sekä vastuut ja organisointi, joilla varmistamme tietosuojan korkean tason, henkilötietojen lainmukaisen käsittelyn, riskienhallinnan, vastuullisen toiminnan ja laadukkaiden palveluiden toteutumisen. Tässä politiikassa tietoturvalla tarkoitetaan tiedon luottamuksellisuuden, eheyden ja käytettävyyden varmistamista sen esitystavasta riippumatta.
Tämä politiikka määrittelee tietoturvan perusvaatimukset ja luo pohjan politiikan mukaisen toiminnan suunnittelulle ja jalkauttamiselle. Politiikan läpiviennin tukemiseksi laaditaan lisäksi tarkempaa ohjeistusta tietoturvan eri osa-alueille.
Tietoturvallisuutta toteutetaan ja kehitetään riskilähtöisesti käyttäen tarkoituksenmukaisia ja kustannustehokkaita ratkaisuja. Tietoturvapolitiikan tarkoituksenmukaisuutta arvioidaan Ziirron johtoryhmässä vuosittain.
Tietoturvapolitiikan päämäärä
Tietoturvan ensisijaisena päämääränä on turvata riittävällä ja tarkoituksenmukaisella tasolla tietojen, tietojärjestelmien, palveluiden ja tietoverkkojen toiminta, estää niiden luvaton käyttö sekä estää tiedon tuhoutuminen. Tarkoituksenmukainen ja tehokas tietoturva mahdollistaa IT-ratkaisujemme käytettävyyden sekä prosesseissa ja palveluissa käytettävien tietojen eheyden ja luottamuksellisuuden läpi konsernin.
Toimintojemme tuottaman ja käsittelemän datan turvaaminen on keskeinen osa vastuullista toimintaa. Tietojen turvallisuudesta on huolehdittava niin manuaalisesti kuin digitaalisesti tapahtuvissa tiedon käsittelyssä tiedon kaikissa muodoissa sen koko elinkaaren ajan. Tietojen turvaamisessa huomioidaan omina osa-alueinaan hallinnollinen, henkilöstö-, fyysinen, tietoaineisto-, tietoliikenne-, laitteisto-, ohjelmisto- ja käyttöturvallisuus. Jokaisen Ziirron työntekijän kaikissa yrityksissä ja toimipisteissä on noudatettava tietoturvapolitiikkaa, ohjeita sekä soveltuvaa lainsäädäntöä.
Tietoturvan toteuttaminen
Riskien arviointi
Tietoturvariskejä arvioidaan ja analysoidaan jatkuvasti sekä erityisesti uusien järjestelmien määrittelyvaiheessa ja järjestelmäkumppanivalinnoissa sekä prosesseissa tapahtuvien merkittävien muutosten yhteydessä.
Tietojen luokittelu ja käsittely
Ziirrolla on käytössä tietojen luokittelumenetelmä, jossa ohjeistetaan, miten tiedot tulee luokitella ja miten kussakin luokassa olevia tietoja tulee käsitellä. Kuhunkin luokkaan kuuluvaa tietoa käsitellään ohjeessa määritetyllä tavalla.
Henkilötietojen käsittely
Tietosuojaohjeistuksissa määritellään, miten henkilötietoja käsitellään Ziirrossa. Osana järjestelmähankinta- ja kehitysprosesseja analysoimme henkilötietojen käyttötarkoituksiin sovellettavat tietosuojavaatimukset ja suunnittelemme teknisen toteutuksen ja liiketoimintaprosessit vastaamaan käsittelyn riskitasoa.
Tietoturvavaatimukset
Ziirron tietoturvavaatimuksen määrittävät sopimuskumppaneilta vaadittavan tason tietoturvan osalta. Tietoturvan taso arvioidaan ennen kumppanuussuhteen solmimista sekä tarvittaessa kumppanuussuhteen aikana auditoinnein.
Organisaation tietoturvaosaaminen
Jokainen konsernin uusi työntekijä suorittaa työsuhteen alussa tietoturvakoulutuksen, joka uusitaan vuosittain. Työntekijöiden käytettävissä on henkilöstön tietoturva- ja tietosuojaopas, minkä lisäksi intranetissä uutisoidaan ajankohtaisista tietoturvauhista.
Tietoturvan seuranta ja ongelmatilanteiden käsittely
Tietoturvatason parantamisen ja ylläpitämisen edellytyksenä on tietojärjestelmien toiminnan systemaattinen ja jatkuva valvonta. Valvontaa toteuttavat henkilöt ovat lain mukaan vaitiolovelvollisia työssään käsittelemistä tiedoista. Tietoturvatilanteesta raportoidaan sisäisen valvonnan ja ulkoisten tarkastusten yhteydessä. Teknistä tietoturvaa arvioidaan jatkuvasti.
Tietoturvapoikkeamien käsittely
Tietoturvapoikkeamassa jokin kolmesta tietoturvan peruselementistä (luottamuksellisuus, eheys ja saatavuus) vaarantuu. Ziirrolla on menettelytavat tietoturvapoikkeamien havaitsemiseksi ja toimintamallit mahdollisten tietoturvaloukkausten käsittelyksi. Jokainen, jolla on pääsy Ziirron tietoihin, on velvollisuus ilmoittaa havaitsemistaan tietoturvapoikkeamista välittömästi tietoturvavastaavalle ja omalle esihenkilölleen.
Tietoturvarikkomukset
Tietoturvarikkomukseksi lasketaan tietoturvapolitiikan ja -ohjeistuksen vastainen toiminta. Ziirto on määritellyt menettelytavat rikkomustilanteille.
Vastuut ja organisointi
Kaikki Ziirrossa työskentelevät henkilöt vastaavat tietoturvallisuusasioista osana muita työtehtäviään oman toimenkuvansa ja vastuualueidensa mukaisesti. Tämä tarkoittaa sitä, että henkilökohtaista vastuuta tietoturvasta huolehtimisesta ei voida siirtää muille eikä ulkoistaa. Tietoturvallisuuden laiminlyönti voi aiheuttaa vakavaa haittaa Ziirron maineelle, menestystekijöille ja asiakassuhteille. Politiikan noudattamatta jättämiseen tai vaatimusten vastaiseen toimintaan puututaan matalalla kynnyksellä.
IT-vastaava kehittää Ziirron tietoturvan johtamista, henkilöstön tietoturvaosaamista ja tietojärjestelmien tietoturvallisuutta kokonaisvaltaisesti, sekä avustaa tietoturvakysymyksissä. IT-vastaava vastaa tietoturvapolitiikan, sekä sen liitteiden ja muun tietoturvadokumentaation ajantasaisuudesta. Riskienhallintaryhmä käsittelee tietoturvariskejä systemaattisesti osana riskienhallinnan periaatteiden mukaista toimintaansa. Johtoryhmä hyväksyy tietoturvapolitiikan vuosittain ja seuraa sen toteutumista riskienhallintaryhmän raportin perusteella, sekä päättää heille esitettävien tietoturvatoimien hyväksymisestä ja myöntää hyväksytyille toimille tarvittavat resurssit.
Kaikkien Ziirron työntekijöiden tulee noudattaa tietoturvapolitiikkaa ja ohjeita työssään, koska ne ovat osa henkilöstön työtehtäviä ja edellytyksiä työn turvalliseksi tekemiseksi. Henkilöstön tulee myös ilmoittaa havaitsemistaan tietoturvaongelmista, rikkomuksista ja riskeistä esihenkilölleen ja IT-vastaavalle.
Palvelutoimittajia koskeviin sopimuksiin liitetään tämän politiikan tietoturvavaatimuksia soveltuvin osin. Näiden tahojen vastuulla on noudattaa sopimuksellisia tietoturvavaatimuksia siten kuin eri tahojen välillä on sovittu. Toimittajille tehdään riskiperusteisesti tarkastuksia tietoturvan toteutumisen varmistamiseksi.