Tietoturvallisuuspolitiikka Firassa

Tietoturvallisuuden päämäärä ja sisältö

Tällä politiikalla määritellään Fira Oy:n ja sen tytäryhtiöiden tietoturvallisuus (jäljempänä ‘Fira’).

Tietoturvallisuudella tarkoitetaan kaikkien tietojen, missä tahansa muodossa ne esiintyvätkään, turvallista käsittelyä. Tietoturvallisuus on tietojen luottamuksellisuuden, eheyden ja käytettävyyden varmistamista. Se sisältää hallinnollisia ja teknisiä toimenpiteitä. Fira toteuttaa tietoturvallisuutta seuraten laajempaa kansallista kyberturvallisuuden kokonaisuutta.

Firan ja sen tytäryhtiöiden liiketoiminta edellyttää tietojärjestelmien häiriötöntä ja turvallista toimintaa. Tämän varmistamiseksi tietoturvallisuutta ylläpidetään ennalta ehkäisevästi ja seurataan aktiivisesti. Poikkeamiin puututaan nopeasti ennalta määriteltyjen menetelmien mukaisesti.

Tietoturvallisuus on osa Firan riskienhallintaa. Tietoturvallisuutta toteutetaan ja kehitetään käyttäen riskien kannalta tarkoituksenmukaisia ja kustannustehokkaita ratkaisuja. Toiminnassa huomioidaan työntekijöiden, asiakkaiden ja yhteistyökumppanien sopimukset, yksityisyyden suoja sekä muut lakien vaatimukset.

Vastuut ja organisointi

Firan johto vastaa tietojärjestelmien tietoturvavaatimusten määrittämisestä sekä tietoturvan riittävästä resursoinnista osana konsernin riskienhallintaa ja turvallisuutta. Firan hallituksen auditointikomitea valvoo Firan tietoturvallisuusriskien hallintaa.

Keskitettyjen tietoturvapalvelujen tuottamisesta vastaa konsernin IT.

Kunkin liiketoimintayksikön johto yhteistoiminnassa Firan IT toiminnon kanssa vastaa liiketoimintavaatimusten mukaisten tietojärjestelmien toteuttamisesta. Liiketoimintayksikkö vastaa tietoturvan varmistamisen kustannuksista. Tietoturvallisuuspuutteiden tai tietoturvaohjeiden vastaisen toiminnan muille yksiköille aiheuttamista kustannuksista vastaa poikkeaman aiheuttanut liiketoimintayksikkö. Vastuuta tietoturvallisuudesta ei ulkoisteta, vaikka käytännön toteutustehtäviä annettaisiinkin luotettaville kumppaneille.

Firan IT toiminto vastaa myös tietoturvallisuuden konsernitasoisesta ohjeistamisesta, yleisten tietoturvavaatimusten määrittämisestä sekä tietoturvan teknisestä valvonnasta. IT-toiminnon johto osallistuu konsernin riskienhallintaan ja kokonaisturvallisuuteen sekä vastaa siitä, että liiketoiminnan kannalta kriittisille prosesseille laaditaan jatkuvuussuunnitelmat. Suunnitelmia ylläpidetään ja testataan ja harjoitellaan säännöllisesti niiden ajantasaisuuden varmistamiseksi.

IT toimintojen tehtävänä on myös huolehtia työntekijöiden tietoturvatietoisuudesta, jotta he voivat tunnistaa tietoturvauhat ja toimia oikein niitä kohdatessaan.

Kaikilta työntekijöiltä edellytetään annettuihin ohjeisiin tutustumista ja niiden noudattamista sekä havaitsemiensa tietoturvauhkien ja -riskien ilmoittamista. Esimiesten tehtävänä on valvoa osana normaalia esimiestoimintaa alaisten tietoturvaohjeistukseen tutustumista sekä tarvittaessa puuttua tietoturvapolitiikan ja -ohjeiden vastaiseen toimintaan.

Tietoturvakäytännöt

Firan tietoturvakäytäntöihin kuuluvat: riskien arviointi, käyttäjäoikeuksien hallinta, tietojen luokittelu ja säilytys, tietosuoja, sovellusten ja tietoverkkojen käyttö, yhteistyö alihankkijoiden, kumppaneiden ja muiden sidosryhmien kanssa, tietoturvakoulutus, poikkeamien käsittely sekä valvonta ja raportointi. Näistä osa-alueista annetaan tarpeellinen ohjeistus erikseen tämän politiikan perusteella.

Tietoturvariskejä arvioidaan ja analysoidaan osana Firan riskienhallintaa niiden liiketoimintavaikutusten perusteella. Arvio tulee laatia uusien järjestelmien määrittelyvaiheessa ja merkittävien toiminnan kriittisyyteen vaikuttavien muutosten yhteydessä. Järjestelmien teknistä tietoturvaa arvioidaan jatkuvasti ja tärkeimpiin ympäristöihin tehdään erillisiä tietoturva-auditointeja suunnitelmallisesti.

Firalla on oltava tehokkaat menettelytavat ja välineet tietoturvapoikkeamien havaitsemiseksi. Lisäksi käytössä on oltava suunnitelmat toimille poikkeustilanteissa ja niitä harjoitellaan säännöllisesti.

Viestiminen henkilöstölle ja kumppaneille

Alihankkijat, toimittajat ja muut sidosryhmät velvoitetaan noudattamaan Firan määrittämiä tietoturvavaatimuksia. Niiden ehdoista sovitaan palvelusopimusten yhteydessä ja toteutumista seurataan säännöllisesti. Tärkeimmille alihankkijoille tehdään riskiperusteisesti tarkastuksia tietoturvan toteutumisen varmistamiseksi. Asiakas- ja muita henkilötietoja käytetään vain sopimusten ja lainsäädännön sallimiin tarkoituksiin ja ne ovat vain niitä työhönsä tarvitsevien käytössä. Tarvittaessa sidosryhmien kanssa laaditaan erillinen turvallisuussopimus.

Viestiminen henkilöstölle ja kumppaneille

Tämä politiikka tiedotetaan koko henkilöstölle ja kumppaneille, ja se on julkisesti löydettävissä Firan kotisivulta (fira.fi).

Tietoturvallisuuspolitiikan hyväksyntä ja vahvistaminen

Firan tarkastusvaliokunta hyväksynyt tämän politiikan 19.10.2023.
Tätä ohjetta noudatetaan sidosryhmien kanssa yhteistyön edellyttämällä tavalla. Tämä politiikka on alisteinen Firan riskienhallinnan ja turvallisuuden politiikoille.