Tietoturvapolitiikka

Tradenomiliitto TRAL ry:n tietoturvapolitiikka

Taustaa

Liiton toiminta ja palvelut ovat riippuvaisia tietojärjestelmien häiriöttömästä ja turvallisesta toiminnasta. Tietoturvapolitiikka on kannanotto, joka määrittelee tietojen turvaamisen tavoitteet, vastuut, toteutuksen ja seurannan keinot.

Tietoturvapolitiikka on kaikkien työntekijöiden, jäsenten ja yhteistyökumppaneiden käytössä, ja sen noudattamista edellytetään. Tietoturvapolitiikkaa tarkennetaan palvelu- tai järjestelmäkohtaisissa ohjeissa.

Tavoitteet

Tietoturvallisuudella pyritään varmistamaan toiminnan laadukkuus sekä toteuttamaan sisäänrakennettu ja oletusarvoinen tietosuoja kaikissa tilanteissa. Tietoturvallisuus on tietojen luottamuksellisuuden, eheyden ja käytettävyyden ja vikasietoisuuden varmistamista sekä kykyä palauttaa tietojen saatavuus ja pääsy tietoihin nopeasti fyysisen tai teknisen vian sattuessa, mutta myös tieturvaloukkauksiin valmistautumista ja niistä tiedottamista asianosaisille. Tietoturvallisuutta toteutetaan ja kehitetään käyttäen riskien kannalta tarkoituksenmukaisia ja kustannustehokkaita ratkaisuja.

Tietoturvatoimenpiteillä hallitaan myös uusien toimintatapojen ja teknologioiden käyttöönottoon liittyvät riskit. Liiton jäsentietoja käsitellään asianmukaisesti koko tiedon elinkaaren ajan. Tiedot ovat vain niitä työhönsä tarvitsevien käytössä ja tarpeettomat tiedot tuhotaan sovitun ajan jälkeen.

Tietoturvan organisointi ja vastuut

Palvelu- ja kehitysjohtaja vastaa tietoturvan organisoinnista ja riittävästä resursoinnista. Nimetty vastuuhenkilö tai tietosuojavastaava vastaa tietoturvaloukkauksien ilmoittamisesta rekisterinpitäjälle, rekisteröidyille ja viranomaisille. Henkilökunta vastaa omalta osaltaan tietoturvapolitiikan ja järjestelmien käyttöön liittyvien ohjeistusten noudattamisesta sekä tietoturvaa koskevien havaintojen ja puutteiden ilmoittamisesta nimetylle vastuuhenkilölle tai tietosuojavastaavalle.

Toteutuskeinot

Tietojenkäsittelyyn liittyvien riskien todennäköisyyttä ja vaikutusta toiminnan laadukkuuteen arvioidaan säännöllisesti kaikilla organisaation tasoilla, ja riskejä pyritään hallitsemaan tähän tarkoitettujen kontrollien avulla. Henkilöstö on vaitiolovelvollinen työssään käsittelemistä tiedoista.

Henkilötietojen käsittelyn vaikutustenarvioinnissa otetaan huomioon henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset. Tarvittavat suojatoimet toteutetaan sen mukaan, kuinka riskialtista henkilötietojen käsittely on rekisteröidyn oikeuksille ja vapauksille.

Seuranta

Laadukas tietojenkäsittely edellyttää jatkuvaa valvontaa. Tietoturvallisuuden toteutumista valvotaan riskiperusteisesti huomioiden myös toimintaympäristöön kohdistuvat uudet uhkakuvat. Tietoturvatilanteesta raportoidaan sisäisten ja ulkoisten tarkastusten ja haavoittuvuusskannausten keinoin. Teknistä tietoturvaa arvioidaan jatkuvasti, ja tärkeimpiin ympäristöihin tehdään säännöllisiä tietoturvatarkastuksia.

Päivittäminen ja hyväksyntä

Tietoturvapolitiikan asianmukaisuutta arvioidaan säännöllisin väliajoin. Mikäli asiaa koskevassa sääntelyssä tai organisaation toiminnassa tapahtuu muutoksia, sisältöä päivitetään tarpeen mukaan. Asian arviointi ja sisällön päivitys on liiton nimetyn vastuuhenkilön tai tietosuojavastaavan vastuulla. Liiton hallitus hyväksyy tietoturvapolitiikan.

Hyväksytty Tradenomiliitto TRAL ry:n hallituksen kokouksessa 7.3.2018.