Tampereen yliopiston tietoturvaperiaatteet

in English

Hyväksytty Tampereen yliopiston hallituksessa 7.6.2002 Korvaa hallituksen 18.12.1998 hyväksymän tietoturvapolitiikkaohjeen. Tulee voimaan hyväksymispäivänä.

1. Päämäärä ja tavoitteet

Tietoturvaperiaatteilla yliopiston hallitus määrittelee yliopiston tietoturvallisuuden tavoitteet, vastuut ja toteutuskeinot. Tietoturvallisuus on kiinteä osa Tampereen yliopiston koko toiminnan varmistamista ja kehittämistä.

Yliopiston tietoturvallisuustyön päämäärä on turvata yliopiston toiminnalle tärkeiden manuaalisten ja automaattisten tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, estää tietojen ja tietojärjestelmien valtuudeton käyttö, tahaton tai tahallinen tiedon tuhoutuminen tai vääristyminen sekä minimoida aiheutuvat vahingot. Tietoturvallisuustyössä otetaan huomioon yliopiston haasteellisuus tietoa jakavana ja välittävänä organisaationa. Tietoturvallisuus kattaa yliopiston kaiken tietojenkäsittelyn huomioiden yksikköjen perusluonteen ja mahdollisen tarpeen myös tietoturvallisuuden tehostamiseen.

Normaaliajan toiminnan tietojenkäsittelyn turvaamisen lisäksi varaudutaan toiminnan keskeyttäviin uhkatilanteisiin ja niistä toipumiseen.

Yliopiston tiedot, tietojenkäsittelyjärjestelmät ja -palvelut pidetään asianmukaisesti suojattuina sekä normaali- että poikkeusoloissa hallinnollisten, teknisten ja muiden toimenpiteiden avulla.

Yliopiston tavoitteena on, että tietoturvajärjestelyt ovat hyvää kansallista ja kansainvälistä tasoa. Jokainen yliopiston tietoja käsittelevä on omalta osaltaan velvollinen huolehtimaan tietoturvallisuudesta.

2. Tietoturvallisuus

Tietoturvallisuus tarkoittaa tietojen käsittelyn turvaamista. Tietoturvallisuus rakentuu tiedon luottamuksellisuudesta, eheydestä ja käytettävyydestä sekä lisäksi soveltuvilta osin pääsynvalvonnasta ja kiistämättömyydestä.

Luottamuksellisuus tarkoittaa, että tiedot ovat vain niiden käyttöön oikeutettujen käyttäjien saatavissa sovituilla tavoilla ja sovittuun aikaan sekä sovituista paikoista. Tietoja ei paljasteta tai muutoin saateta sivullisten tietoon.

Eheys tarkoittaa, että tiedot ja tietojärjestelmät ovat luotettavia, oikeellisia ja ajantasaisia eivätkä ole muuttuneet tai vahingoittuneet laitteisto- tai ohjelmistovikojen, luonnontapahtumien taikka oikeudettoman inhimillisen toiminnan seurauksena.

Käytettävyys tarkoittaa, että tiedot ja tietojenkäsittelyjärjestelmät ovat toiminnan kannalta hyväksyttävän ajan kuluessa käytettävissä ja käyttökelpoisia valtuutetuille käyttäjille.

Pääsynvalvonta tarkoittaa, että tietoja tai tietojärjestelmiä ei voi käyttää ilman lupaa.

Kiistämättömyys tarkoittaa todisteiden luomista sen varmistamiseksi, ettei yksikään tietojen käsittelyn tai siirron osapuoli voi jälkikäteen kiistää osuuttaan siihen.

Tietoturvallisuustyö on tietoturvallisuuden saavuttamiseksi tehtävien toimenpiteiden suunnittelua ja toteuttamista. Toimintaan kuuluvat tietojen turvaamisen menetelmät, välineet ja toimenpiteet, työhön osoitetut resurssit sekä välineistön tietoturvaominaisuudet.

Tietoturvallisuus kattaa kaikenlaiset tietojenkäsittelytehtävät sisältäen myös eri tyyppisten dokumenttien arkistoinnin. Tietoturvallisuustoimet koskevat sähköisessä, puhutussa ja kirjallisessa muodossa olevan tiedon käsittelyä, säilyttämistä, luovutusta ja siirtoa.

Yliopiston tietoturvallisuutta hoidetaan kansallisten ja kansainvälisten tietoturvallisuutta koskevien säädösten pohjalta sekä valtionhallinnon tietoturvallisuudesta annettuja ohjeita ja suosituksia noudattaen.

3. Toteutuskeinot

Tietoturvallisuuden toteuttamisen perusta on tämä yliopiston hallituksen hyväksymä kirjallinen Tampereen yliopiston tietoturvaperiaatteet, joka annetaan tiedoksi jokaiselle yliopiston henkilökunnan jäsenelle, opiskelijalle ja tietojärjestelmien käyttäjälle.

Tietoturvallisuuden tavoitteiden saavuttaminen on jatkuva prosessi, joka tapahtuu hallinnollisten, fyysisten ja teknisten ratkaisujen avulla. Yliopiston tietoturvallisuuden kehittämistarpeiden ja -tavoitteiden määrittelemiseksi yliopiston tietoturvallisuusriskit kartoitetaan säännöllisin väliajoin. Kartoituksen tavoitteena on tunnistaa toimintaa vaarantavat uhat, kartoittaa tietojenkäsittelyn haavoittuvat kohdat ja arvioida menetykset uhan toteutuessa sekä arvioida tietoturvallisuuden rakentamisen kustannukset riskien vähentämiseksi.

Tietoturvaperiaatteiden ja riskikartoituksen pohjalta laaditaan yliopiston tietoturvasuunnitelma, jota tarkistetaan säännöllisesti.

Tietoturvallisuustason määrittämiseksi yliopiston tietoaineistot ja tietojärjestelmät luokitellaan tietoaineistojen luottamuksellisuuden ja tietojärjestelmien tärkeyden mukaan. Kullekin turvallisuusluokalle määritellään vaadittava tietoturvallisuustaso ja sen mukaiset tietoturvatoimenpiteet.

Jokaisella tietojärjestelmällä tai tarvittaessa sen osalla on omistaja (laitos, yksikkö).

Henkilökunnalle ja opiskelijoille tiedotetaan tietoturvallisuudesta ja heitä koskevista säännöistä ja suosituksista. Yliopistoyhteisön jäsenten tietoturvallisuustietoisuutta lisätään tiedottein sekä järjestämällä asiaan liittyviä koulutustilaisuuksia. Tietoturvallisuuden toteuttamista ohjaavat asiakirjat ovat vahvistettuja ja asianomaisten kohderyhmien saatavissa.

4. Tietoturvan organisointi ja vastuut

Yleistä tietohallintoa johtaa yliopiston johtosäännön 13 §:n mukaan rehtori. Osana kokonaisvastuutaan rehtori ja yliopiston hallitus vastaavat tietoturvallisuuden toteutumisesta ja tarvittavien edellytyksien luomisesta.

Rehtorin kolmivuotiskausiksi asettama tietoturvallisuuden johtoryhmä valmistelee ja ohjaa yliopiston tietoturvallisuuden käytännön toteutusta ja kehittämistoimenpiteitä sekä niihin liittyvää riskienhallintaa hallituksen hyväksymän Tampereen yliopiston tietoturvaperiaatteiden mukaisesti.

Yliopistossa on rehtorin nimeämä tietohallintojohtajan alaisena toimiva tietoturvapäällikkö. Tietoturvapäällikkö vastaa tietoturvallisuuden seurannasta, raportoinnista ja kehittämishankkeiden toteutuksesta sekä valmistelee niitä yhdessä tietoturvallisuuden johtoryhmän kanssa.

Tietoteknisestä tietoturvasta yliopistossa vastaa tietokonekeskus.

Yksiköiden johtajat, tietojärjestelmien vastuuhenkilöt, yksiköiden atk-yhdyshenkilöt ja tietoturvavastaavat sekä tekniset asiantuntijat vastaavat kukin omalta osaltaan tietoturvan toteutumisesta yksiköissään ja tietojärjestelmissään.

Yliopiston yksiköt varautuvat oman ympäristönsä tietoturvallisuuden toteuttamisen kustannuksiin omissa toimintasuunnitelmissaan. Tietoturvallisuuden toteuttamista yksiköissä ja niiden tietojärjestelmissä ohjaa ja valvoo kullekin yksikölle nimettävä vastuuhenkilö.

Jokainen yliopiston tietoja käsittelevä on vastuussa tietoturvallisuuden toteuttamisesta omalta osaltaan.

5. Tiedottaminen

Yliopiston tietoturva-asioista tiedottamisesta yliopiston ulkopuolelle ja yliopiston sisällä yleisellä tasolla vastaa ja huolehtii yliopiston tietoturvapäällikkö tietoturvasuunnitelman mukaisesti. Yksiköiden sisäiseen tiedottamiseen osallistuvat myös yksiköille nimetyt vastuuhenkilöt.

6. Tietoturvallisuuden seuranta ja ongelmatilanteiden käsittely

Tietoturvapäälliköllä ja tietoturvallisuuden johtoryhmällä on valtuutus ja velvollisuus tehdä yliopiston tietojärjestelmien tietoturvallisuuden kartoituksia ja ryhtyä toimenpiteisiin havaittujen tietoturvallisuuden heikkouksien poistamiseksi.

Jokainen yliopiston tietojenkäsittelyjärjestelmien käyttäjä on velvollinen noudattamaan hyväksyttyjä käyttösääntöjä ja tietoturvaohjeita.

Käyttäjien ja ylläpitäjien tulee ilmoittaa havaitsemistaan tietoturvallisuuden puutteista, tietoturvallisuuteen liittyvistä väärinkäytöksistä tai epäilemistään tietoturvarikkomuksista yksikkönsä johtajalle sekä tilanteen laadun ja vakavuuden sitä edellyttäessä tietoturvapäällikölle. Tietoturvapäällikkö raportoi yliopiston johdolle ja edelleen valtiovarainministeriölle vakavista tietoturvallisuuden rikkomisista tai sellaisten epäilyistä.