- Tarkoitus
- Tavoitteet
- Soveltamisala
- Noudattaminen
- Uudelleentarkastelu
- Policy Statement
- 1. Tietoturvapolitiikat
- 2. Tietoturvakäytännöt. Tietoturvallisuuden organisointi
- 3. Henkilöstön tietoturva
- 4. Tietoturvakoulutus. Omaisuuden hallinta
- 5. Pääsynvalvonta
- 6. Kryptografia
- 7. Fyysinen ja ympäristöllinen turvallisuus
- 8. TURVALLISUUSVALVONTAPERIAATTEET Toimintojen turvallisuus
- 9. Tietoturva. Tietoliikenneturvallisuus
- 10. Tiedonsiirto . Järjestelmien hankinta, kehittäminen ja ylläpito
- 11. Tietoturvavaatimukset on määriteltävä, kun uusia tietojärjestelmiä tai olemassa olevien tietojärjestelmien muutoksia kehitetään. Toimittajasuhteet
- 12. Toimittajasuhteet
- 13. Liiketoiminnan jatkuvuuden hallinnan tietoturvanäkökohdat
- 14. Toiminnan jatkuvuussuunnitelmat. Vaatimustenmukaisuus
Tarkoitus
Tietoa, jota kerätään, analysoidaan, tallennetaan, välitetään ja josta raportoidaan, voidaan varastaa, käyttää väärin, kadottaa ja turmella.
Tieto voi vaarantua huonon opetuksen ja koulutuksen sekä tietoturvavalvonnan rikkomisen vuoksi.
Tietoturvatapahtumat voivat aiheuttaa hämmennystä, taloudellisia menetyksiä, standardien ja lainsäädännön noudattamatta jättämistä sekä mahdollisia tuomioita yliopistoa vastaan.
Tämä korkean tason tietoturvapolitiikka toimii yhdessä tietoturvariskien hallintapolitiikan ja tietosuojapolitiikan kanssa, ja se tarjoaa korkeatasoisen pääpiirteittäisen kuvauksen yliopiston riskiperusteisesta tietoturvavalvonnasta ja sen perusteluista.
- Tietoriskien hallintapolitiikka
- Tietosuojapolitiikka
Tavoitteet
Yliopiston tietoturvatavoitteet ovat seuraavat:
- tietoriskit tunnistetaan, hallitaan ja niitä käsitellään sovitun riskinsietokyvyn mukaisesti
- valtuutetut käyttäjät voivat turvallisesti käyttää ja jakaa tietoa suorittaakseen tehtävänsä
- fyysiset, menettelylliset ja tekniset valvontakeinot ovat tasapainossa käyttäjäkokemuksen ja turvallisuuden välillä
- tietoturvallisuuteen liittyvät sopimusperusteiset ja oikeudelliset velvoitteet täytetään
- opetus, opetus-, tutkimus- ja hallintotoiminnassa otetaan huomioon tietoturva
- Tietojamme käyttävät henkilöt ovat tietoisia tietoturvaan liittyvistä velvollisuuksistaan
- Tieto-omaisuuteemme vaikuttavat vaaratilanteet selvitetään ja niistä otetaan opiksi valvonnan parantamiseksi.
Soveltamisala
Tietoturvapolitiikka ja sitä tukevat kontrollit, prosessit ja menettelyt koskevat kaikkea yliopistossa käytettävää tietoa kaikissa muodoissa. Tämä koskee myös tietoja, joita muut organisaatiot käsittelevät asioidessaan yliopiston kanssa.
Tietoturvapolitiikka ja sitä tukevat kontrollit, prosessit ja menettelyt koskevat kaikkia henkilöitä, joilla on pääsy yliopiston tietoihin ja teknologioihin, mukaan lukien ulkopuoliset osapuolet, jotka tarjoavat yliopistolle tietojenkäsittelypalveluja.
Yksityiskohtainen soveltamisala, mukaan lukien käyttäjien, tietovarantojen ja tietojenkäsittelyjärjestelmien erittely, sisältyy tietoturvallisuuden hallintajärjestelmän (ISMS) kehysasiakirjaan.
Noudattaminen
Tietoturvaryhmä valvoo tämän politiikan mukaisten valvontatoimien noudattamista ja raportoi siitä tietohallintoneuvostolle.
Uudelleentarkastelu
Tietoturvaryhmä tarkastelee tätä politiikkaa vuosittain tai tarvittaessa useammin, ja tietohallintoneuvosto ja yliopiston johtoryhmä hyväksyvät sen.
Policy Statement
Yliopiston politiikkana on varmistaa, että tiedot suojataan katoamiselta:
- Luottamuksellisuus – tiedot ovat vain valtuutettujen henkilöiden saatavilla
- Tarkkuus – tietojen oikeellisuus ja täydellisyys säilytetään
- Käytettävyys – tiedot ovat tarvittaessa valtuutettujen käyttäjien ja prosessien saatavilla
Yliopisto ottaa käyttöön tietoturvallisuuden hallintajärjestelmän, joka perustuu kansainväliseen tietoturvastandardiin ISO 27001. Yliopisto viittaa tarvittaessa myös muihin standardeihin ja ottaa huomioon sidosryhmiensä, myös tutkimuskumppaneidensa, omaksumat lähestymistavat.
Yliopisto ottaa käyttöön riskiperusteisen lähestymistavan valvonnan soveltamisessa:
- Tietoturvapolitiikat
- Tietoturvan organisointi
- Henkilöstön tietoturva
- Varallisuudenhallinta
- Käyttöoikeus. Control
- Cryptography
- Physical and Environmental Security
- Operations Security
- Communications Security
- System Acquisition, Kehittäminen ja ylläpito
- Toimittajasuhteet
- Tietoturvatapahtumien hallinta
- Toiminnan jatkuvuuden hallinnan tietoturvanäkökohdat
- Säännösten noudattaminen
1. Tietoturvapolitiikat
Määritellään joukko tietoturvaa koskevia alemman tason kontrolleja, prosesseja ja menettelyjä, jotka tukevat korkean tason tietoturvapolitiikkaa ja sen asetettuja tavoitteita. Tietoturvalautakunta hyväksyy tämän asiakirjakokonaisuuden, julkaisee sen ja tiedottaa siitä yliopiston käyttäjille ja asiaankuuluville ulkopuolisille osapuolille.
2. Tietoturvakäytännöt. Tietoturvallisuuden organisointi
Yliopisto määrittelee ja ottaa käyttöön sopivat hallintojärjestelyt tietoturvallisuuden hallintaa varten. Tähän sisältyy tietoturvavastuiden määrittely ja jakaminen, jotta tietoturvan toteuttaminen ja toiminta yliopistossa voidaan käynnistää ja valvoa.
Yliopisto nimittää vähintään:
- johtohenkilö, joka toimii tietohallintoneuvoston puheenjohtajana ja vastaa tietoriskeistä
- tietohallintoneuvosto, jonka tehtävänä on vaikuttaa, valvoa ja edistää yliopiston tietojen tehokasta hallintaa
- tietoturva-asiantuntija, joka johtaa päivittäistä tietoturvatoimintoa
- tiedonvarojen omistajat (Information Asset Owners (IAO)), jotka kantavat paikallisen vastuuvelvollisuuden tietojen hallinnasta; ja Information Asset Managers (IAMs), jotka vastaavat päivittäisestä tiedonhallinnasta
3. Henkilöstön tietoturva
Yliopiston tietoturvapolitiikasta ja hyväksyttävää käyttöä koskevista odotuksista tiedotetaan kaikille käyttäjille sen varmistamiseksi, että he ymmärtävät vastuunsa. Koko henkilöstölle tarjotaan tietoturvakoulutusta ja -valmennusta, ja huonoon ja sopimattomaan käytökseen puututaan.
Missä mahdollista, tietoturvaan liittyvät vastuut sisällytetään tehtäväkuvauksiin, henkilöspesifikaatioihin ja henkilökohtaisiin kehityssuunnitelmiin.
4. Tietoturvakoulutus. Omaisuuden hallinta
Kaikki omaisuuserät (tiedot, ohjelmistot, sähköiset tietojenkäsittelylaitteet, palvelut ja ihmiset) dokumentoidaan ja niistä pidetään kirjaa. Kaikille omaisuuserille määritetään omistajat, jotka vastaavat omaisuutensa ylläpidosta ja suojaamisesta.
Kaikki tietovarannot luokitellaan niiden oikeudellisten vaatimusten, liiketoiminta-arvon, kriittisyyden ja arkaluonteisuuden mukaan, ja luokittelussa ilmoitetaan asianmukaiset käsittelyvaatimukset. Kaikilla tietovaroilla on määritetty säilyttämis- ja hävittämisaikataulu.
5. Pääsynvalvonta
Kaikkeen tietoon pääsyä valvotaan ja sitä ohjataan liiketoimintavaatimusten mukaisesti. Käyttäjille myönnetään pääsy tai tehdään järjestelyjä heidän roolinsa ja tietoluokituksensa mukaisesti vain sellaiselle tasolle, että he voivat suorittaa tehtävänsä.
Käyttäjien pääsyä kaikkiin tietojärjestelmiin ja -palveluihin varten ylläpidetään virallista käyttäjien rekisteröinti- ja poistamismenettelyä. Menettelyyn sisältyy pakollisia todennusmenetelmiä, jotka perustuvat käytettävän tiedon arkaluonteisuuteen ja joissa otetaan tarvittaessa huomioon useita tekijöitä.
Lisäoikeudet omaaville käyttäjille otetaan käyttöön erityisiä valvontatoimia, joilla vähennetään järjestelmän huolimattoman tai tahallisen väärinkäytön riskiä. Tehtävät erotetaan toisistaan silloin, kun se on käytännössä mahdollista.
6. Kryptografia
Yliopisto tarjoaa ohjeita ja välineitä, joilla varmistetaan kryptografian asianmukainen ja tehokas käyttö tietojen ja järjestelmien luottamuksellisuuden, aitouden ja eheyden suojaamiseksi.
7. Fyysinen ja ympäristöllinen turvallisuus
Tiedonkäsittelylaitteistot sijaitsevat turvallisissa tiloissa, jotka on fyysisesti suojattu luvattomalta käytöltä, vahingoittumiselta ja häirinnältä määritellyillä turvapiireillä. Kerroksittaiset sisäiset ja ulkoiset turvavalvontatoimet estävät tai estävät luvattoman pääsyn ja suojaavat erityisesti kriittisiä tai arkaluonteisia omaisuuseriä väkivaltaisilta tai salakähmäisiltä hyökkäyksiltä.
8. TURVALLISUUSVALVONTAPERIAATTEET Toimintojen turvallisuus
Yliopisto varmistaa tietojenkäsittelyjärjestelmien asianmukaisen ja turvallisen toiminnan.
Tähän sisältyy:
- dokumentoidut toimintamenettelyt
- muodollisen muutoksen- ja kapasiteetinhallinnan käyttö
- Haittaohjelmien torjunta
- Lokitiedostojen määritetty käyttö
- Haavoittuvuuksien hallinta
9. Tietoturva. Tietoliikenneturvallisuus
Yliopisto ylläpitää verkkoturvallisuuden valvontaa, jolla varmistetaan tietojen suojaaminen sen verkoissa, ja tarjoaa välineet ja ohjeet, joilla varmistetaan tietojen turvallinen siirto sekä sen verkoissa että ulkopuolisten tahojen kanssa kyseisiin tietoihin liittyvien turvaluokitus- ja käsittelyvaatimusten mukaisesti.
10. Tiedonsiirto
. Järjestelmien hankinta, kehittäminen ja ylläpito
Tietoturvavaatimukset määritellään uusia tietojärjestelmiä tai olemassa olevien tietojärjestelmien muutoksia koskevien liiketoimintavaatimusten kehittämisen yhteydessä.
Havaittujen riskien vähentämiseksi otetaan tarvittaessa käyttöön valvontatoimia.
Järjestelmien kehittämisessä noudatetaan muutosten hallintaa sekä testi-, kehitys- ja käyttöympäristöjen erottamista toisistaan.
11. Tietoturvavaatimukset on määriteltävä, kun uusia tietojärjestelmiä tai olemassa olevien tietojärjestelmien muutoksia kehitetään. Toimittajasuhteet
Yliopiston tietoturvavaatimukset otetaan huomioon solmittaessa suhteita toimittajiin sen varmistamiseksi, että toimittajien käytettävissä oleva omaisuus on suojattu.
Toimittajien toimintaa seurataan ja auditoidaan omaisuuden arvon ja siihen liittyvien riskien mukaan.
12. Toimittajasuhteet
Yliopiston tietoturvavaatimukset otetaan huomioon toimittajasuhteita luotaessa. Tietoturvatapahtumien hallinta
Ohjeita on saatavilla siitä, mikä on tietoturvatapahtuma ja miten siitä on raportoitava.
Todellisista tai epäillyistä tietoturvaloukkauksista on raportoitava, ja ne tutkitaan.
Toteutetaan asianmukaiset korjaavat toimet, ja mahdolliset oppimiset sisällytetään valvontatoimiin.
13. Liiketoiminnan jatkuvuuden hallinnan tietoturvanäkökohdat
Yliopistolla on käytössään järjestelyt, joilla suojataan kriittisiä liiketoimintaprosesseja tietojärjestelmien suurten vikojen tai katastrofien vaikutuksilta ja varmistetaan niiden oikea-aikainen palautuminen dokumentoitujen liiketoimintatarpeiden mukaisesti.
Tähän kuuluvat asianmukaiset varmuuskopiointirutiinit ja sisäänrakennettu häiriönsietokyky.
Toiminnan jatkuvuussuunnitelmia on ylläpidettävä ja testattava tämän politiikan tukemiseksi.
Katastrofien, tietoturvahäiriöiden, palvelukatkosten ja palvelujen saatavuuden puutteen seurauksista tehdään analyysi liiketoimintaan kohdistuvista vaikutuksista.
14. Toiminnan jatkuvuussuunnitelmat. Vaatimustenmukaisuus
Tietojärjestelmien suunnittelussa, toiminnassa, käytössä ja hallinnassa on noudatettava kaikkia lakisääteisiä, lainsäädännöllisiä ja sopimuksiin perustuvia tietoturvavaatimuksia.
Nykytilanteessa tähän kuuluvat tietosuojalainsäädäntö, maksukorttiteollisuuden standardi (PCI-DSS), hallituksen Prevent-ohjeistus ja yliopiston sopimussitoumukset.
Yliopisto käyttää sisäisen ja ulkoisen auditoinnin yhdistelmää osoittaakseen, että noudatetaan valittuja standardeja ja parhaita käytäntöjä, mukaan lukien sisäiset politiikat ja menettelyt.
Tähän kuuluvat tietotekniikan terveystarkastukset, puuteanalyysit suhteessa dokumentoituihin standardeihin, henkilökunnan vaatimustenmukaisuuden sisäiset tarkastukset ja tietovarantojen omistajilta saadut palautukset.