1 / 26

Tietoturvan ja tietosuojan järjestelyt

Tietoturvan ja tietosuojan järjestelyt. 6.2.2013, Antti Mäki. Korkeakoulujen valtakunnallisen tietovarannon turvaaminen. Tietosuojan ja tietoturvan pääperiaatteet Tietosuojan ja tietoturvan tarkistuslista Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus

orrick
Download Presentation

Tietoturvan ja tietosuojan järjestelyt

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Tietoturvan ja tietosuojan järjestelyt 6.2.2013, Antti Mäki

  2. Korkeakoulujen valtakunnallisen tietovarannon turvaaminen • Tietosuojan ja tietoturvan pääperiaatteet • Tietosuojan ja tietoturvan tarkistuslista • Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus • Tietoturvan miniauditointi (Aalto-yliopisto) • Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa • Ulkopuolinen tietoturva-auditointi myöhemmin

  3. Korkeakoulujen valtakunnallisen tietovarannon turvaaminen • Tietosuojan ja tietoturvan pääperiaatteet • Tietosuojan ja tietoturvan tarkistuslista • Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus • Tietoturvan miniauditointi (Aalto-yliopisto) • Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa • Ulkopuolinen tietoturva-auditointi myöhemmin

  4. Korkeakoulun vastuulla sekä toteutus että tietosisältö rekisterinpitäjänä Tiedon luovutus suoraan lain nojalla tai korkeakoulun päätöksellä OKM palvelun tarjoajana (CSC) Opetushallitus Tilastokeskus OKM-tiedonkeruut Korkeakoulut? Muuntaa rekisterinsä tiedon Korkeakoulujen tietomalliin (xdw-malli) Tallentaa tiedon valtakunnalliseen tietovarantoon Tiedon käyttäjät hakevat kaikkien korkeakoulujen tietoja omiin järjestelmiinsä

  5. Tietojen turvaamisen tavoitteet tietovarannon toteutuksessa • Tietojen mahdollisimman sujuva ja laaja käyttö joustavasti erilaisissa tilanteissa on ensisijainen tavoite rekistereihin kuuluvien henkilöiden oikeuksien edistämisessä • Samalla tietovarantoon tuotavat tiedot turvataan tietosuojan ja tietoturvan toteutumisen varmistavilla kuvauksilla, määrityksillä ja ratkaisuilla

  6. Tietojen ajantasaisuus- ja säilytysvaatimukset • Säilytysaika määräytyy sen mukaan, miten tietoja säilytetään korkeakoulujen omissa rekistereissä korkeakoulujen arkistonmuodostussuunnitelmien ja muiden säilytysvelvoitteiden mukaisesti • Yhdenvertaisen kohtelun turvaamiseksi tietoa on tietovarannon kautta pidettävä saatavilla eliniän ajan eli käytännössä pysyvästi • Kun tietovarannon tieto on kopio lähdejärjestelmästä, on myös lähdejärjestelmän tieto säilytettävä vastaavasti

  7. Tietojen luovuttaminen • Opiskelijavalintarekisterin käyttöön eli OPH:n toteuttamiin valtakunnallisiin palveluihin laissa säädetyn velvollisuuden nojalla eikä edellytä korkeakoululta erillistä ratkaisua • Muihin viranomaistarpeisiin perustuu eri laeissa määriteltyihin tiedonsaantioikeuksiin sekä siihen, että kyseiset viranomaiset pyytävät korkeakouluja toimittamaan tiedot tietovarannon kautta • Muuten rekisterinpitäjän päätöksellä

  8. Tietovarannon tietojen käsittely • Tietovarantoon ei ole suoria käyttöliittymiä • Tietovarannon lukurajanpinta luovuttaa automaattisesti kaiken pyydetyn tiedon sallituille palveluille (nyt vai OPH) • OPH:n ylläpitämien palveluiden osana valvotaan henkilötietojen käyttöä • Viranomaistiedonkeruita varten poiminnat toteutetaan erikseen valtuutetun CSC:n henkilöstön toimesta

  9. Käyttöoikeus- ja lokirekisterit • Tietoja käyttävä palvelu vastaa käyttövaltuuksien valvonnasta ja tietojen katselulokin muodostamisesta (esim. OPH:n palvelut) • Tietovarannon lukurajapinta tallentaa lokitietona jokaisen kutsun, kutsujan ja vastauksen • Lukurajapinnan lokitieto muodostaa lokirekisterin korkeakoulukohtaisesti. Lokirekisteriin tallennetaan tieto, mikäli kutsu koski korkeakoulun rekisteriin kuuluvia tietoja

  10. Toimintatavat • …joilla rekisterinpitäjä voi varmistua henkilötietojen käsittelyn lainmukaisuudesta • Tietovarannon hallinnoimiseksi ja käytännöistä sopimiseksi luodaan teknisen ylläpitäjän ja korkeakoulujen yhteiset toimintatava • Ehdotuksia valmistellaan RAKETTI-VIRTA-projektissa, mutta päätös toimintatavoista on opetus- ja kulttuuriministeriön, korkeakoulujen ja tietojen käyttöön osallistuvien viranomaisten yhteinen

  11. Korkeakoulujen valtakunnallisen tietovarannon turvaaminen • Tietosuojan ja tietoturvan pääperiaatteet • Tietosuojan ja tietoturvan tarkistuslista • Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus • Tietoturvan miniauditointi (Aalto-yliopisto) • Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa • Ulkopuolinen tietoturva-auditointi myöhemmin

  12. Tieto on korkeakoulun rekisterin osa valtakunnallisessa tietovarannossa • Korkeakoulujen valtakunnalliseen tietovarantoon tallennetaan korkeakoulun opiskelijatietoja sisältävän henkilörekisterin tietoja • Henkilötietolain nojalla korkeakoulun on rekisterinpitäjänä varmistuttava tietojen käsittelyn asianmukaisuudesta ja erityisesti tietoturvan ja tietosuojan toteutumisesta

  13. Asianmukaisuuden varmistaminen • Korkeakoulu varmistaa tietoturvan ja tietosuojan toteutumisen yhdessä CSC:n kanssa laaditun sopimuksen sisällön, sen liitteen sisällön sekä tietosuojavaltuutetun toimiston suosituksen mukaisen tarkistuslistanavulla • https://confluence.csc.fi/display/VIRTA/Tarkistulista+ja+vastaukset

  14. Korkeakoulujen valtakunnallisen tietovarannon turvaaminen • Tietosuojan ja tietoturvan pääperiaatteet • Tietosuojan ja tietoturvan tarkistuslista • Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus • Tietoturvan miniauditointi (Aalto-yliopisto) • Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa • Ulkopuolinen tietoturva-auditointi myöhemmin

  15. Sopimus teknisestä tietojekäsittelypalvelusta • Tietosuojavaltuutetun toimiston suosituksen mukaiseen sopimukseen on koottu korkeakoulun ja CSC:n kesken sovittavat asiat • Sopimus ja sen liitteen sisältö ovat voimassa korkeakoulun ja CSC:n välillä yhteisenä ymmärryksenä osapuolten välisistä velvoitteista kunnes kirjallinen sopimus on allekirjoitettu • Sopimuksenliitteenä on CSC:n yhteistyökumppanin turvallisuussopimus

  16. Muistio tietovarantoon liittyvästä teknisestä tietojenkäsittelypalvelusta • Lainsäätämisen myötä sopimus muuttuu korkeakoulun CSC:n ja OKM:n vastuunjaon kuvaavaksi muistioksi • Sopimuksen varainen asia on enää varsinaisesti vain teknisen ylläpitäjän tehtävän delegoiminen OKM:ltä CSC:lle • https://confluence.csc.fi/display/VIRTA/Sopimus+korkeakoulun+ja+CSCn+kesken

  17. Korkeakoulujen valtakunnallisen tietovarannon turvaaminen • Tietosuojan ja tietoturvan pääperiaatteet • Tietosuojan ja tietoturvan tarkistuslista • Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus • Tietoturvan miniauditointi (Aalto-yliopisto) • Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa • Ulkopuolinen tietoturva-auditointi myöhemmin

  18. Tietoturvan miniauditointi (Aalto-yliopisto) • RAKETTI-Tietohallinto-ohjausryhmä päätti, että korkeakoulukohtaisten integraatioiden toteutuksien alkaessa ensimmäisenä toteuttajana Aalto-yliopisto perehtyy tietovarannon tietoturvan varmistamiseen ja sitä koskeviin suunnitelmiin • Miniauditointi on suoritettu eikä tunnistettu esteitä tietointegraatioiden toteutukselle tässä vaiheessa • Aalto-yliopiston lakiasiantuntijat perehtyvät myös sopimukseen teknisestä tietojenkäsittelypalvelusta

  19. Korkeakoulujen valtakunnallisen tietovarannon turvaaminen • Tietosuojan ja tietoturvan pääperiaatteet • Tietosuojan ja tietoturvan tarkistuslista • Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus • Tietoturvan miniauditointi (Aalto-yliopisto) • Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa • Ulkopuolinen tietoturva-auditointi myöhemmin

  20. välikysymys • Onko teillä tietoturvasta vastaava ja rekisterinpidosta vastaava perillä tietointegraation toteuttamisesta?

  21. Tietoturvan käsittely korkeakoulujen vastaavien henkilöiden kanssa • Korkeakoulukorttien tietointegraatiokyselyssä kohdassa 1.1.3 ilmoitetut henkilöt • 6.2.2013 seminaarissa esitetty toimitetaan tiedoksi • Syksyllä (marraskuussa?) järjestettävässä seminaarissa tietoturva- ja tietosuoja-asioiden käsittely • Mukaan toteuttamaan tietoturvan auditointi sekä arvioimaan auditoinnin tulokset

  22. Korkeakoulujen valtakunnallisen tietovarannon turvaaminen • Tietosuojan ja tietoturvan pääperiaatteet • Tietosuojan ja tietoturvan tarkistuslista • Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus • Tietoturvan miniauditointi (Aalto-yliopisto) • Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa • Ulkopuolinen tietoturva-auditointi myöhemmin

  23. Tietoturva-auditointi • Ulkopuolisen tahon toteuttamana • Kun tietovaranto on kokonaisuutena audiotoitavissa (vuoden vaihteessa 2013-2014) • Kohteena ketju korkeakoulusta tietoa käyttäviin palveluihin saakka (Opetushallituksen valtakunnalliset palvelut) • Korkeakoulujen vastaavat henkilöt osallistuvat

  24. Korkeakoulujen valtakunnallisen tietovarannon turvaaminen • Tietosuojan ja tietoturvan pääperiaatteet • Tietosuojan ja tietoturvan tarkistuslista • Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus • Tietoturvan miniauditointi (Aalto-yliopisto) • Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa • Ulkopuolinen tietoturva-auditointi myöhemmin

  25. Korkeakoulun vastuulla sekä toteutus että tietosisältö rekisterinpitäjänä Tiedon luovutus suoraan lain nojalla tai korkeakoulun päätöksellä OKM palvelun tarjoajana (CSC) Opetushallitus Tilastokeskus OKM-tiedonkeruut Korkeakoulut? Muuntaa rekisterinsä tiedon Korkeakoulujen tietomalliin (xdw-malli) Tallentaa tiedon valtakunnalliseen tietovarantoon Tiedon käyttäjät hakevat kaikkien korkeakoulujen tietoja omiin järjestelmiinsä

  26. Päivittyvä kooste • https://confluence.csc.fi/display/VIRTA/Tietosuoja+ja+tietoturva

More Related