Tietoturvakuvaus
Sisällysluettelo
- Tietoturvasuunnitelman tärkeys yritykselle
- Henkilökunta
- Ulkopuoliset työntekijät jotka ei työskentele yrityksen tiloissa
- Tietoturvan tavoite
- Vastuuhenkilö
- Uhat
- Uhkien välttäminen
- Tietoturvallisesti säilytettävä aineisto
- Murtautuminen palvelimelle tai työasemiin
- Virukset ja haittaohjelmat
- Tietovuoto
- Laiterikko
- Yhteisiä toimenpiteitä turvallisuuden kehittämiseksi
- Tietoturvasuunnitelman noudattaminen
- Vastuu
Tietoturvasuunnitelman tärkeys yritykselle
Tietoturvasuunnitelman laatiminen ja sen toteuttaminen ovat yrityksellemme hyvin tärkeä.
Käsittelemme asiakkaiden tietoja päivittäin työssämme, eikä ole yhdentekevää miten laitteita jotka näitä tietoja sisältävät käsitellään.
Meidän tulee huolehtia, että asiakkaidemme tiedot pysyvät salassa ja samalla meidän pitää huolehtia oman yrityksemme tietojen pysyminen vain yrityksemme sisäisinä.
Henkilökunta
YVL-tarkastajat; Toimitusjohtaja/Yrittäjä
Ulkopuoliset työntekijät, jotka eivät työskentele yrityksen tiloissa
Mahdollisesti kirjanpitäjä, ei käsittele luottamuksellisia asiakastietojamme.
Tietoturvan tavoitteet
Tietoturvallisuuden tavoitteena yrityksessämme on taata tiedostojen ja laitteiden käyttö luotettavasti. Huomioon otettavaa on oikeuksien hallinta: Järjestelmien käyttäjällä tulee olla oikeudet vain hänelle tarkoitettuihin tai hänen tarvitsemiinsa palveluihin, laitteisiin, tiedostoihin, kansioihin.
Laitteiden ja muiden komponenttien rikkoutumiseen varaudutaan käyttämällä vaihtoehtoisia järjestelmiä, jotka on hajautettu. Näin minimoidaan tietojen joutuminen vääriin käsiin tai niiden katoaminen.
Kaikki tallennusmediat on varmuuskopioitu ja niitä säilytetään paikassa, johon sivulliset eivät pääse.
Vastuuhenkilo
Toimitusjohtaja/Yrittäjä vastaa että kaikkia kirjattuja tietoturvasuunnitelman ohjeita noudatetaan ja asiakkaan tietoja käsitellään ohjeiden mukaisesti.
Jokainen työntekijä vastaa omalta osaltaan tietoturvasta ja sitoutuu noudattamaan salassapito velvollisuutta.
Uhat
- Asiakastietoja
- Yrityksen tietoja
- Työasemilla
- Asiakkaan koneissa
- Palvelimella
- Murtautuminen tietokoneisiin
- Virukset ja haittaohjelmat - Tietovuoto - Työntekijän virhe - Laiterikko
Uhkien välttäminen
Tietokoneisiin sallitaan pääsy vain salasanoin ja käyttäjätunnuksilla.
Salasanat vaihdetaan riittävän usein ja pidetään vahvoina.
Puhelimessa neuvoteltaessa muistetaan, ettei asiakkaan tietoja joudu ulkopuolisen tietoon.
Puhelimet suojattava automaattisesti aktivoituvin suojakoodein.
Tietoturvallisesti säilytettävä aineisto
-
- Sähköiset aineistot
- Asiakasrekisteri
- Paperiaineisto
- Yhteistyösopimukset
- Tietojärjestelmiin liittyvät lisenssit ja yhteistyösopimukset
- Asiakkaan varmuus kopioidut tiedostot
Murtautuminen palvelimelle tai työasemiin
Ylläpidetään tehokkaat ja ajanmukaiset viruksentorjunta ohjelmat ja palomuurit. Jotka päivitetään automaattisella päivityksellä, jota valvotaan myös manuaalisesti.
Asiakkaiden luona käytettävät kannettavat tietokoneet menevät automaattisesti lukitus-tilaan lyhyen käyttämättömyyden jälkeen.
Virukset ja haittaohjelmat
Työasemiin asennetaan tehokkaat virusturva ja palomuuriohjelmat, joiden päivityksestä huolehditaan myös manuaalisesti tarkistamalla, vaikka käytössä onkin automaattinen päivitys.
Työase ei ladata epäluotettavia tiedostoja internetistä. Oikeudet uusien ohjelmien asennuksiin on vain tietyillä henkilöillä/henkilemillöllä.
Tietovuoto
Tietovuoto henkilökunnan toimesta pyritään estämään henkilökunnan koulutuksella ja ohjeistamisella.
Työntekijät velvoitetaan, ettei salasanoja, asiakastietoja, asiakkaan tiedostoja tai yrityksen arkaluontoisia asioita vuodeta ulkopuoleiselle.
Myös asiakirjojen, papereiden ja käytöstä poistettavien kiintolevyjen tyhjentäminen ja hävittäminen oikealla tavalla torjuvat tietojen joutumista ulkopuoliselle.
Asiakastietoja sisältävät asiakirjat säilytetään asianmukaisesti.
Laiterikko
Jos laiterikon takia jotkin tiedot tai tiedostot katoavat tai vahingoittuvat, käytetään olemassa olevia varmuuskopioita tietojen palauttamiseksi. Siksi on hyvin tärkeää, että kaikista tiedostoista on otettu varmuuskopioinnit ja ne ovat niin tehty, että ne voi ottaa käyttöön tarpeen vaatiessa. Näin turvataan että yritykselle tai asiakkaalle ei koidu vahinkoa tai tietoturvauhkaa.
Laitteistoa huolletaan säännöllisesti. Ja uusitaan 2-3 vuoden välein, tarvittaessa.
Yhteisiä toimenpiteitä turvallisuuden kehittämiseksi
Henkilökunnan koulutus.
Pitämällä henkilöstö ajan tasalla muutoksista ja ohjelmien käyttöön järjestetään tarvittaessa koulutusta. Tällöin virheen mahdollisuus vähenee.
Tietoturvasuunnitelman noudattaminen
Laadittua tietoturvasuunnitelmaa pitää kaikkien yrityksessä työskentelevien noudattaa ja jos jotain poikkeavaa ilmenee siitä pitää raportoida välittömästi.
Vastuu
Toimitusjohtaja/Yrittäjä toteuttaa tietoturvan toteutumista yrityksessä.