Profilerr

Tietoturvapolitiikka

Tietoturvapolitiikka muodostaa perustan tietoturvaan. Se helpottaa turvallisuuden hallinnan päätöksiä ja ohjaa niitä tavoitteita, jotka luovat, edistävät ja varmistavat parhaan mahdollisen tietoturvan sivustolle. Tietoturvapolitiikka kattaa muun muassa kaikki tiedot ja tietojärjestelmät, joita yritys käyttää, hallinnoi tai ylläpitää tällä verkkosivustolla. Tietoturvapolitiikka suojaa tietojen luottamuksellisuuden, yhtenäisyyden ja saatavuuden, tietojen luokittelun ja käsittelyn sekä käsittelee sitä koskevat rikkomukset.

Tietoturvapolitiikka tarjoaa integroidun turvatoimen, jota on sovellettu yhtenäisesti koko verkkosivustolla, jotta voimme varmistaa suojatun toimintaympäristö sen toiminnalle.

TARKOITUS

Tietoturvan hallinta on asianmukaisten toimien järkevää valintaa ja tehokasta toteuttamista yrityksen tärkeiden tietojen suojaamiseksi. Valvonta- ja hallintaprosessit yhdistettynä myöhemmin niiden tarkoituksenmukaiseen ja tehokkaaseen seurantaan muodostavat tietoturvaohjelman kaksi pääosaa. Tietoturvan kolme tärkeintä tavoitetta ovat:

  • Luottamuksellisuus: Arkaluonteisten tietojen suojaaminen, että niihin eivät pääse käsiksi luvattomat henkilöt tai järjestelmät.
  • Yhtenäisyys: Tietojen tarkkuuden, oikeellisuuden ja ajantasaisuuden turvaaminen.
  • Saatavuus: Varmistetaan, että tiedot ja tärkeät palvelut ovat tarvittaessa valtuutettujen käyttäjien saatavilla.

SOVELTAMISALAT

Tämä käytäntö koskee kaikkia meidän yrityksessä työskenteleviä työntekijöitä, urakoitsijoita, yhteistyökumppaneita, harjoittelijoita/opiskelijoita. Kolmannen osapuolen palveluntarjoajat, jotka tarjoavat isännöintipalveluita tai joiden tietoja säilytetään yrityksen toimitilojen ulkopuolella, on myös noudatettava tätä tietoturvapolitiikkaa.

Tämän tietoturvapolitiikan kattavuus on yrityksen sisällä tallennetut, välitetyt ja käsiteltävät tiedot sekä yrityksen tiedot ulkoistetuissa paikoissa.

TAVOITTEET

Tietoturvapolitiikan tavoitteena on tarjota meidän yritykselle lähestymistapa tietoriskien hallintaan ja ohjeita tietoturvallisuuden suojaamiseksi kaikille yksiköille ja palvelusopimuksissa oleville yrityksille.

TURVATIETOJEN LUOKITUS

Yhtiön turvatiedot luokitellaan neljään eri kategoriaan: julkinen, sisäinen, luottamuksellinen ja rajoitettu. Kaikilla tärkeimmillä tietoluokilla on oltava nimetty omistaja, joka on vastuussa näiden luokkien todennus- ja valtuutusmenettelyjen määrittämisestä huomioiden, että:

  1. Julkinen tieto voidaan yleensä asettaa saataville tai jakaa suurelle yleisölle. Nämä ovat tietoja, jotka eivät vaadi suojaa ja joilla on tarkoituksenmukaisesti käytettynä vain vähän tai ei ollenkaan haitallista vaikutusta yrityksen toimintaan, omaisuuteen tai tietoturvaa koskevien velvoitteiden maineeseen.
  2. Luottamukselliset tiedot ovat vain sisäiseen käyttöön, ja niihin pääsevät käsiksi vain henkilöt, jotka tarvitsevat niitä hoitaessaan velvollisuuksiaan. (Luottamuksellisia tietoja ovat tiedot, jotka on suojattu valtion lainsäädännöllä tai yrityssopimusvelvoitteilla) Nämä tiedot edellyttävät yksityisyyden ja turvallisuuden suojaa.
  3. Rajoitetut tiedot, jotka on pidettävä ehdottoman luottamuksellisina, ja niihin pääsy on ehdottomasti "pakollinen tarve tietää" -periaatteella. Esimerkkejä ovat kansallisiin etuihin ja/tai kansalliseen turvallisuuteen vaikuttavat tiedot.

Kaikkien yrityksen työntekijöiden tulee olla tietoinen oikeudellisista ja yritysvastuistaan, jotka koskevat tietojen sopimatonta käyttöä, jakamista tai luovuttamista toiselle osapuolelle. Kaikilla luottamuksellisia tai rajoitettuja tietoja vastaanottavilla kolmansilla osapuolilla on oltava siihen lupa ja kyseisellä henkilöllä tai hänen organisaatiollaan on oltava tietoturvatoimenpiteitä, jotka takaavat tietojen luottamuksellisuuden ja yhtenäisyyden.

Luottamukselliset tiedot on suojattava luvattoman pääsyn tai paljastumisen estämiseksi.

Rajoitetut tiedot ovat arkaluontoisia ja muodostavat suurimman riskin yritykselle, valtiolle ja yksityishenkilöille, jos tiedot joutuvat valtuuttamattomien tahojen tai ulkopuolisten henkilöiden käsiin. Siksi yhtiön työntekijöiden, jotka käsittelevät, tallentavat, välittävät tai käsittelevät järjestelmiä joissa näitä tietoja säilytetään, on varmistettava tietojen luottamuksellisuus, yhtenäisyys ja saatavuus kaikkina aikoina.

TIETOTURVALLISUUDEN HALLINTA

Tietoturvallisuuden hallinta koostuu johtamisesta, organisaatiorakenteista ja järjestelmistä, jotka suojaavat tietoa ja rajoittaa kasvavia tietoturvauhkia.

Tietoturvallisuuden hallinnan tärkeimpiin asioihin kuuluvat:

  • Tietoturvan yhteensovittaminen liiketoimintastrategian kanssa organisaation tavoitteiden tukemiseksi.
  • Riskien hallinta ja niiden vähentäminen sekä mahdollisten tietoresurssien vaikutusten vähentäminen hyväksyttävälle tasolle.
  • Tietoturvan suorituskyvyn hallinta analysoimalla, seuraamalla ja raportoimalla tietoturvallisuuden laatukriteereillä varmistaakseen, että yrityksen tavoitteet saavutetaan.
  • Tietoturvainvestointien optimointi yrityksen tavoitteiden tukemiseksi. Tietoturvallisuuden hallinta on yrityksessä välttämättömyys ja sen hyödyt on tärkeää ottaa huomioon.

VASTUU

Markkinointiosasto vastaa verkkosivuston sisällöstä ja siitä, että kaikki tiedot ja materiaalit täyttävät lain ja ehtojen asettamat vaatimukset. 

IT-osasto vastaa sivuston turvallisuudesta, toimivuudesta ja infrastruktuurista. Järjestelmänvalvojat valvovat meidän verkkosivuston vasteaikaa ja ovat apuna mahdollisten ongelmien ratkaisemisessa.

TIEDOITUS JA VIESTINTÄ

On tärkeää, että kaikki tietoturvaan liittyvät asiat sisällytetään virallisiin henkilöstön perehdytyskoulutuksiin ja muistutetaan nykyiselle henkilöstölle säännöllisesti. Näihin kuuluvat muun muassa luottamus, yksityisyys ja järjestelmään pääsyyn liittyvät menettelytavat.

Työsuhteen alkaessa työntekijöiden tulee olla tietoinen siitä, että he eivät saa jakaa tietoja, jotka heillä saattaa olla käytettävissä normaalin työpäivän aikana. Työntekijöille myös kerrotaan, etteivät he saa hakea tietoja, joita ei vaadita heidän tavanomaisissa työtehtävissä.