© Brandkind 16.1.2024
Tämä ohjeistus käsittelee Brandkind Marketing Communications Finland Oy tietoturvan tavoitteita, organisaatiota, vastuita, vaatimuksia ja toteutuskeinoja.
Päätehtävät
Brandkindille on tärkeää olla luotettava kumppani sidosryhmilleen, ja luotettavuuteen kuuluu tietoturvasta huolehtiminen. Olemme alamme tietoturva-asioiden asiantuntijoita. Oman toimintamme lisäksi autamme asiakkaitamme huomioimaan tietoturvan toiminnassaan, kuten henkilötietojen käsittelyssä.
Tietoturvan tavoite on taata toiminnan luotettava jatkuvuus. Keskitymme tietoturvassa peruspilareihin, joita ovat luottamuksellisuus, eheys ja saatavuus. Luottamuksellisuus on meille ensisijaisen tärkeä, ja painotamme sitä kaikissa toiminnoissamme. Aikakriittisyys, tiedon elinkaaren hallinta ja tietojen asianmukainen käsittely ovat erityisen huomion kohteena.
Tietoturvan hallinnointi ja vastuut
Toimitusjohtaja vastaa yrityksen tietoturvasta kokonaisuudessaan. Johtoryhmän erikseen nimetty jäsen hoitaa tietoturvan käytännön toteutuksen toimitusjohtajan alaisuudessa.
Tietojärjestelmien nimetyt omistajat vastaavat käyttöä koskevien vaatimusten asettamisesta ja ohjeistamisesta. Ylläpitäjät ovat vastuussa tarvittavien teknisten toimenpiteiden suorittamisesta. Omistajat ja ylläpitäjät tekevät yhteistyötä järjestelmätoimittajien kanssa.
Kaikki työntekijät ovat vastuussa tietoturvan toteutuksesta. Hyvään tietoturvakäyttäytymiseen päästään noudattamalla tätä politiikkaa ja sovittuja ohjeistuksia. Jokapäiväisillä teoilla ja pienillä valinnoilla on suuri merkitys tietoturvakulttuurin rakentamisessa. Kaikki tietoturvaan liittyvät havainnot, myös epäilyt, on ilmoitettava heti IT-ylläpitäjälle ja toimitusjohtajalle.
Tämä käytäntö sitoo Brandkindin omaa henkilöstöä, kolmansia osapuolia (alihankkijoita, kumppaneita jne.) sekä tietojärjestelmien toimittajia. Käytännön rikkomisen seurausten vakavuus vaihtelee. Tietoturvan tahallisista rikkomuksista seuraa oikeudellisia seuraamuksia Suomen ja Euroopan unionin lainsäädännön perusteella.
Varmistamme henkilöstömme tietoturvaosaamisen työsuhteen alusta alkaen. Meille tietoturva on kaikkien yhteinen vastuu.
Tietoturvan toteuttaminen
Tietoturvapolitiikka tarkistetaan ja päivitetään vuosittain. Politiikka toteutetaan noudattamalla sen vaatimusten pohjalta kehitettyä tietoturvan hallintamallia. Tietoturva on otettava huomioon kaikessa toiminnassa, kuten projekteissa, sisäisessä kehityksessä ja operatiivisessa toiminnassa.
Tietoturvaa kehitetään tavoitteellisesti ja riskiperusteisesti. Riskienhallintaprosessi käsittelee tietoturvan kehityksessä esiin tulleet raportoidut ja havaitut asiat. Tapahtumiin varaudutaan laatimalla tapahtumienhallintaprosessi ja harjoittelemalla sen toteutusta säännöllisesti. Tapahtumienhallinnassa käytetään tietoturvan hallintaan luotuja prosesseja.
Tietoturvan toteuttamista seurataan sisäisesti. Mittareina käytetään tapausten määrää ja laatua, aiheeseen liittyvien koulutusten ja osallistujien lukumääriä sekä yleisiä havaintoja ja palautetta. Tietoturvahavainnot otetaan huomioon vuosittaisessa tietoturvan kehityssuunnitelmassa.
Tietoturvan toteutuksen keskeiset käytännöt
Tietojen ja dokumentaation hallinnassa noudatetaan tiedon elinkaarimallia, joka kattaa kaikki vaiheet luomisesta poistoon. Tietojen tarpeellisuutta arvioidaan säännöllisesti. Luokittelu tehdään standardoidulla asteikolla. Tiedon luoja on vastuussa sen oikeasta luokittelusta ja jakelusta tapauskohtaisesti. Pääsy tietoihin myönnetään vain tarpeen mukaan. Tiedon elinkaaren ja käyttöoikeuksien osalta kiinnitetään erityistä huomiota tietosuojaan ja asiakastietoihin.
Kaikki työntekijät käyvät läpi tietoturvan perusteet osana perehdytystä, ja tämä dokumentoidaan perehdytyssuunnitelmassa. Tietoturvakoulutus järjestetään vuosittain koko henkilöstölle, ja osallistuminen dokumentoidaan. Ajankohtaisia asioita tiedotetaan aktiivisesti sisäisten tiedotteiden ja intranetin kautta. Henkilöstön osaaminen arvioidaan vuosittain kehityssuunnitelmassa.
Teknisessä tietoturvan toteutuksessa käytämme ensisijaisesti pilvipalveluntarjoajia. Palveluiden tietoturva varmistetaan palvelukuvauksilla ja sopimuksilla. Tarvittaessa pyydetään tarkempia kuvauksia palveluiden toteutuksesta. Työntekijät käyttävät hallittuja laitteita ja ennakkoon hyväksyttyjä sovelluksia, joiden käyttöperiaatteet ja vaatimukset on ohjeistettu.