SAK:n tietoturvapolitiikka

Suomen Ammattiliittojen Keskusjärjestö SAK ry:n tietoturvapolitiikka

Taustaa

SAK:n toiminta ja palvelut ovat riippuvaisia tietojärjestelmien häiriöttömästä ja turvallisesta toiminnasta. Tietoturvapolitiikka on kannanotto, joka määrittelee tietojen turvaamisen tavoitteet, vastuut, toteutuksen ja seurannan keinot. Tietoturvapolitiikka on kaikkien työntekijöiden, jäsenten ja yhteistyökumppaneiden käytössä, ja sen noudattamista edellytetään. Tietoturvapolitiikkaa tarkennetaan palvelu- tai järjestelmäkohtaisin ohjeistuksin.

Tavoitteet

Tietoturvallisuudella pyritään varmistamaan toiminnan laadukkuus sekä toteuttamaan sisäänrakennettu ja oletusarvoinen tietosuoja kaikissa tilanteissa. Tietoturvallisuus on tietojen luottamuksellisuuden, eheyden ja käytettävyyden ja vikasietoisuuden varmistamista sekä kykyä palauttaa tietojen saatavuus ja pääsy tietoihin nopeasti fyysisen tai teknisen vian sattuessa, mutta myös tieturvaloukkauksiin valmistautumista ja niistä tiedottamista asianosaisille. Tietoturvallisuutta toteutetaan ja kehitetään käyttäen riskien kannalta tarkoituksenmukaisia ja kustannustehokkaita ratkaisuja.

Tietoturvatoimenpiteillä hallitaan myös uusien toimintatapojen ja teknologioiden käyttöönottoon liittyvät riskit. SAK:n jäsenliittojen jäsentietoja, henkilöstön tietoja ja muita henkilötietoja (esim. rekrytoinneissa hakijoiden tietoja) käsitellään asianmukaisesti koko elinkaaren ajan. Tiedot ovat vain niitä työhönsä tarvitsevien käytössä ja tarpeettomat tiedot tuhotaan, kun käyttötarve lakkaa.

Tietoturvan organisointi ja vastuut

Hallinto-osaston johtaja vastaa tietoturvan organisoinnista ja riittävästä resursoinnista. Tietohallinto vastaa tietoturvan käytännön toteutuksesta. Tietosuojavastaava vastaa tietoturvaloukkauksien ilmoittamisesta rekisterinpitäjälle, rekisteröidyille ja viranomaisille. Henkilökunta vastaa omalta osaltaan tietoturvapolitiikan ja järjestelmien käyttöön liittyvien ohjeistusten noudattamisesta sekä tietoturvaa koskevien havaintojen ja puutteiden ilmoittamisesta tietohallinnolle tai tietosuojavastaavalle.

Toteutuskeinot

Tietojenkäsittelyyn liittyvien riskien todennäköisyyttä ja vaikutusta toiminnan laadukkuuteen arvioidaan. Henkilöstö on vaitiolovelvollinen työssään käsittelemistä ei-julkisista tiedoista.

Henkilötietojen käsittelyn vaikutustenarvioinnissa otetaan huomioon henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset. Tarvittavat suojatoimet toteutetaan sen mukaan, kuinka riskialtista henkilötietojen käsittely on rekisteröidyn oikeuksille ja vapauksille.

Seuranta

Laadukas tietojenkäsittely edellyttää jatkuvaa valvontaa. Tietoturvallisuuden toteutumista valvotaan riskiperusteisesti huomioiden myös toimintaympäristöön kohdistuvat uudet uhkakuvat. Tietoturvatilanteesta raportoidaan ensisijaisesti sisäisten tarkastusten keinoin. Teknistä tietoturvaa arvioidaan jatkuvasti, ja tärkeimpiin ympäristöihin tehdään tietoturvatarkastuksia.

Päivittäminen ja hyväksyntä

Tietoturvapolitiikan asianmukaisuutta arvioidaan säännöllisin väliajoin. Mikäli asiaa koskevassa sääntelyssä tai organisaation toiminnassa tapahtuu muutoksia, sisältöä päivitetään tarpeen mukaan. SAK:n johtoryhmä hyväksyy tietoturvapolitiikan.