Hyppää pääsisältöön

Tietoturvavastuut

Tampereen yliopisto ja TAMK

Tampereen korkeakouluyhteisö Tietoturvavastuut

 

Yleinen vastuu tietoturvallisuuden ylläpitämisestä korkeakouluyhteisössä

Jokainen yhteisön jäsen on vastuussa siitä, että hän tuntee häntä koskevat tietoturvallisuudesta annetut ohjeet ja noudattaa niitä, luo ja toteuttaa hyvää tietoturvallisuuskulttuuria päivittäisissä toimissaan, osallistuu hänelle suunnattuun tietoturvallisuuskoulutukseen ja tuntee hänelle annetut tai asemansa puolesta kuuluvat tietoturvavastuut ja -tehtävät ja toimii niiden edellyttämällä tavalla, ilmoittaa tietoturvan vaarantumisesta ja vakavista poikkeamista tietoturvaorganisaatiolle, ylläpitohenkilöstölle tai esihenkilölleen.

Tietoturvallisuus on mukana yhteisön työssä

Suuri osa tietoturvallisuuden toteuttamiseksi yhteisössä tehdystä työstä sisältyy osana yhteisössä työskentelevien normaaleihin tehtäviin.

Jokaisen yhteisössä työskentelevän on tunnettava työhönsä sisältyvä vastuu tiedon luottamuksellisuuden, tiedon säilymisen ja oikeellisuuden, tiedon oikea-aikaisen ja käyttövaltuuksiin perustuvan saatavuuden sekä lain edellyttämän tiedon julkisuuden, salassapidon sekä tietosuojan turvaamiseksi korkeakouluyhteisössä.

Yleisen tietoturvallisuuden ja tietosuojan toteuttamisvastuun lisäksi tiettyihin työtehtäviin ja -rooleihin liittyy erityisiä vastuita.

Erityiset tietoturvatehtävät ja -vastuut

Korkeakouluyhteisössä erityisiä tietoturvaan liittyviä tehtäviä ja vastuita onseuraavilla työrooleilla ja -tehtävillä, joiden vastuut kuvataan alla.

  • Johto
  • Tietohallinto
  • Tietoturvapäällikkö
  • Tietoturva-asiantuntija
  • Tietoturvaryhmä
  • Yksikön johtaja
  • Palvelun omistaja
  • Palvelun hallinnoija
  • Toimeksiantoa suorittavat konsultit ja palveluyritykset

Johdon tehtävänä on

  •  hyväksyä tietoturvapolitiikka
  •  vastata politiikan toteutuksen edellytyksistä ja resursoinnista
  •  vastata tietoturvaan liittyvästä ulkoisesta viestinnästä

 

Tietohallinnon tehtävänä on

  • vastata tietoturvan teknisestä toteuttamisesta ja sen teknisestä valvonnasta
  • vastata omien palveluidensa tietoturvasta

 

Tietoturvapäällikön tehtävänä on

  • korkeakoulun tietoturvallisuuden kokonaisvaltainen kehittäminen, ohjaaminen, seuranta ja johtaminen

  • osallistua kokonaisriskienhallintaan tietoturvallisuus- ja tietoriskien osalta

  • tietoturvan koordinoiminen hankinnoissa, projektoinnissa sekä järjestelmätyössä yhdessä palvelujen omistajien ja tietoturvaorganisaation kanssa,

  • osallistua palvelun tietoturvan kannalta tärkeisiin verkostoihin

  • yhteistyö tietosuojaorganisaation kanssa

  • tietoturvakoulutuksen suunnittelu ja koordinointi

  • tietoturva-auditointien koordinointi

  • tietoturvahäiriöiden käsittelyn koordinointi

  • viranomaisyhteistyön koordinointi

  • raportointi korkeakouluyhteisön johdolle

  • vastata tietoturvaan liittyvästä sisäisestä viestinnästä

 

Tietoturva-asiantuntijan tehtävänä on

  • seurata lainsäädäntöä ja siihen liittyvää ohjeistusta

  • seurata valtionhallinnon ohjeistusta

  • laatia tietoturvaohjeistusta ja -tiedotteita korkeakoululle ja sen yksiköille

  • osallistua tietoturvakoulutuksen suunnitteluun

  • osallistua tietoturvasuunnitelman toteuttamiseen

  • osallistua korkeakoulujen, valtionhallinnon ja muihin tietoturvan kannalta tärkeisiin verkostoihin (mm. CERT-FI, FUNET-CERT, secryhmä)

  • osallistua jatkuvuussuunnittelutyöhön

  • osallistua tietoturva-auditointiin sekä konsultointiin

  • osallistua turvallisuusselvityksien ja riskianalyysien tekemiseen

  • osallistua tietoturvahäiriöiden käsittelyyn

  • toimia tietoturvallisuuden teknisenä asiantuntijana

  • osallistua tietoturvaan liittyvään sisäiseen viestintään

 

Tietoturvaryhmän tehtävänä on

  • edustaa korkeakoulun eri tahojen tietoturvanäkemyksiä

  • sovittaa yhteen vaadittu turvallisuustaso ja turvallisuustoimenpiteet

  • tehdä ehdotuksia tietoturvallisuuden parantamiseksi

  • osallistua korkeakoulun tietoturvasuunnitelman ja jatkuvuussuunnitelman valmisteluun

  • tukea tietoturvapäällikköä tietoturvallisuuden kehittämisessä

  • tietoturvallisuuden seuranta

  • tehdä esityksiä henkilöstön tietoturvallisuustietoisuuden lisäämisestä ja tietoturvakoulutuksesta

 

Yksikön johtajan tehtävänä on

  • vastata yksikkönsä tietoturvallisuuden ohjauksesta, kehittämisestä ja resursoinnista

  • vastata siitä, että yksikön henkilöstö on perehtynyt tietoturvallisuusohjeistoon ja heillä on riittävä tietoturvallisuuskoulutus

Palvelun omistajan tehtävänä on

  • vastata palvelun tietoriskien hallinnasta
  • nimetä palvelun vastuuhenkilöt ja heidän varahenkilönsä sekä hallinnointihenkilöt

  • raportoida palvelun tietoturvallisuuteen vaikuttavista tekijöistä yksikön johtajalle sekä korkeakoulun tietoturvaorganisaatiolle

  • vastata lain mukaisista palvelua koskevista selosteista

  • vastata palvelun ja sen tietojen suojauksesta, käyttöoikeuksista sekä varmuus- ja suojakopioinnista

  • toimeenpanna palveluunsa liittyvät turvallisuustoimenpiteet ja kehittää niitä

  • seurata palvelun tietoturvallisuutta

  • vastata palveluun liittyvästä jatkuvuussuunnittelusta

  • huolehtia palveluun käyttöön liittyvästä koulutuksesta

  • vastata tietoturvasuunnitelmien laadinnasta yhdessä palvelun kehittäjän kanssa

  • vastata, että palvelusta ylläpidetään ajan tasainen dokumentaatio

 

Palvelun hallinnoijan tehtävänä on

  • seurata ja ylläpitää palvelun turvallisuutta

  • raportoida tietoturvallisuudesta ja siihen kohdistuvista häiriöistä palvelun omistajalle ja tietoturvaorganisaatiolle

  • noudattaa hyvää tiedonhallinta- ja tietoturvallisuustapaa

  • soveltaa ja toteuttaa korkeakouluyhteisön tietoturvapolitiikkaa omaa erityisasiantuntemustaan hyödyntäen

  • varautua häiriöihin ja niiden vaatimiin toimenpiteisiin

  • laatia käyttöohjeet ja huolehtia niiden ajantasaisuudesta

  • huolehtia jatkuvuussuunittelun menettelyohjeista koskien mm. palvelun varmistus- ja palautusmenettelyjä

  • osallistua palvelun tietoturvan kannalta tärkeisiin verkostoihin

 

Konsulteilta ja palveluyrityksiltä edellytetään

  • hyvän tietojenkäsittely- ja tietoturvallisuustavan noudattamista

  • tietoturvallisuuden valvontaa ja ylläpitoa omassa toiminnassaan

  • tietoturvallisuuden ja siihen vaikuttavien tekijöiden raportointia toimeksiantajalle

  • toimeksiantajan ohjeistuksien noudattamista

 

Julkaistu: 4.2.2019
Päivitetty: 19.1.2023