Tässä dokumentissa kuvataan Hilla IT:n tietoturvapolitiikan päämäärä ja linjaukset sekä vastuut ja sen organisointi. Tässä politiikassa tietoturvalla tarkoitetaan tiedon luottamuksellisuuden, eheyden ja käytettävyyden varmistamista sen esitystavasta riippumatta. Tämä politiikka määrittelee tietoturvan perusvaatimukset ja luo pohjan politiikan mukaisen toiminnan suunnittelulle ja jalkauttamiselle. Politiikan läpiviennin tukemiseksi laaditaan lisäksi tarkempaa ohjeistusta tietoturvan eri osa-alueille. Tietoturvallisuutta toteutetaan ja kehitetään riskilähtöisesti käyttäen tarkoituksenmukaisia ja kustannustehokkaita ratkaisuja. Tietoturvapolitiikan tarkoituksenmukaisuutta arvioidaan Hilla IT:ssä vuosittain.
Tietoturvapolitiikan päämäärä
Tietoturvan ensisijaisena päämääränä on Hilla IT:n vastuulla olevien toimintojen jatkuvuuden turvaaminen kaikissa olosuhteissa. Tarkoituksenmukainen ja tehokas tietoturva mahdollistaa Hilla IT:n toimintoihin liittyvien ICT-ratkaisujen käytettävyyden, prosesseissa ja palveluissa käytettävien tietojen eheyden sekä luottamuksellisuuden kaikissa olosuhteissa kaikissa toimintamaissa. Tämä politiikka luo perustan Hilla IT:n tietojärjestelmien ja tietojenkäsittelyn turvallisuuden varmistamiselle.
Hilla IT:n asiakastietojen ja muiden digitaalisten toimintojen tuottaman ja käsittelemän datan turvaaminen on olennainen osa vastuullista toimintaa, jota sekä asiakkaamme että yhteistyökumppanimme edellyttävät. Digitaalisuuden kasvu merkitsee sitä, että tietoturvallisuutta säännellään enenevässä määrin myös lainsäädännöillä. Jokaisen Hilla IT:n työntekijän kaikissa toimintamaissa on noudatettava tietoturvapolitiikkaa, sitä täydentäviä periaatteita ja ohjeita sekä soveltuvaa lainsäädäntöä.
Tietoturvan toteuttaminen
Riskien arviointi
Tietoturvariskejä arvioidaan ja analysoidaan säännöllisesti niiden liiketoimintavaikutusten perusteella. Riskiarviointi tulee laatia myös uusien järjestelmien määrittelyvaiheessa ja merkittävien toiminnan kriittisyyteen vaikuttavien muutosten yhteydessä.
Tietojen luokittelu ja käsittely
Hilla IT:llä on käytössä tietojen luokittelumenetelmä, jossa ohjeistetaan, miten tiedot tulee luokitella ja määritellään tietoturvakontrollit eri luokkiin kuuluvan tiedon käsittelylle.
Henkilötietojen käsittely
Tietosuojapolitiikassa ja -ohjeistuksissa määritellään, miten henkilötietoja käsitellään Hilla IT:ssä.
Hilla IT:n järjestelmä- ja sovelluskehitysprosesseissa on mukana työvaiheet, joissa analysoidaan henkilötietojen käyttötarkoituksiin sovellettavat tietosuojavaatimukset. Sovellettavat tietosuojavaatimukset vaihtelevat kerättävien henkilötietojen ja tietojen käyttötarkoituksen mukaan. Tekninen toteutus suunnitellaan siten, että se vastaa käsittelyn riskitasoa. Riskitason perusteella valitaan tilanteeseen sopivat hallintakeinot ja tietoturvakäytännöt riskitason hallitsemiseksi ja vaatimustenmukaisuuden saavuttamiseksi.
Tietoturvavaatimukset
Hilla IT:n tietoturvavaatimukset määrittävät sopimuskumppaneilta vaadittavan minimitason tietoturvan osalta. Vaatimustenmukainen tietoturvan taso voidaan tarvittaessa todentaa auditoinnein.
Tietoturvakoulutus
Hilla IT:llä on käytössä useita erilaisia, säännöllisesti toteutettavia toimenpiteitä työntekijöiden tietoturvallisuustietoisuuden parantamiseksi. Näitä ovat muun muassa verkkokoulutukset, sekä uutisointi sisäisillä viestintäkanavilla. Lisäksi valituille kohderyhmille järjestetään kohdennettua tietoturvakoulutusta.
Valvonta ja seuranta
Tietoturvatason parantaminen ja ylläpitäminen edellyttävät tietojärjestelmien toiminnan systemaattista ja jatkuvaa automaattista valvontaa. Valvontaa toteuttavat henkilöt ovat lain mukaan vaitiolovelvollisia työssään käsittelemistä tiedoista.
Tietoturvatilanteesta raportoidaan normaalin sisäisen valvonnan sekä sisäisten ja ulkoisten tarkastusten yhteydessä. Teknistä tietoturvaa arvioidaan jatkuvasti ja tärkeimpiin ympäristöihin tehdään erillisiä tietoturvatarkastuksia.
Tietoturvapoikkeamien käsittely
Hilla IT:llä on menettelytavat ja palvelut tietoturvapoikkeamien havaitsemiseksi. Mahdollisten tietoturvaloukkauksien käsittelyyn ja raportointiin on määritellyt toimintamallit.
Tietoturvarikkomukset
Tietoturvarikkomukseksi lasketaan tietoturvapolitiikan ja -ohjeistuksen vastainen toiminta.
Vastuut ja organisointi
Tietoturvapolitiikan hyväksyy Hilla IT:n hallitus.
Hilla IT:n henkilöstön on noudatettava sovittua politiikkaa.
Vastuu tietoturvan toteuttamisesta on liiketoiminnan johdolla. Tietohallinto koordinoi ja kehittää tietoturvaprosesseja, vastaa käytännön toteutuksesta yhdessä palveluntarjoajien kanssa, raportoinnista sekä toteuttaa yhdessä liiketoimintojen ja yhteisten toimintojen kanssa tietoturvariskien tunnistamista ja hallintatoimenpiteiden määrittämistä. Jokaisen työntekijän pitää tunnistaa tietoturvaan liittyvät riskit ja reagoida niihin.