Tietoturva- ja tietosuojapolitiikka

Johdanto

Edita Prima toimii liiketoimintaympäristössä, jossa asiakkaiden tietojen käsittelyn luotettavuus on erittäin tärkeää liiketoiminnan menestymisen kannalta. Siksi tiedot ovat yhtiön liiketoiminnan arvokkainta omaisuutta.

Edita Priman johtoryhmä määrittelee tässä politiikassa yrityksen tietoturvan ja tietosuojan (jäljempänä tietoturva) perustan.

Edita Prima ylläpitää tietoturvan hallintajärjestelmäänsä (ISMS) varmistaakseen, että laatua ja tietosuojaa koskevat strategiset tavoitteet saavutetaan. Johtoryhmä on sitoutunut jatkuvasti kehittämään tietoturvan hallintajärjestelmää ja tukemaan koko organisaatiota tietoturvavaatimusten saavuttamisessa.

Yksityiskohtaiset käytännöt, määräykset ja ohjeet perustuvat tähän politiikkaan.

Tämä politiikka perustuu seuraaviin:

  • vaatimukset, jotka on määritelty standardin ISO/IEC 27001 kohdissa 5.2 ja 5.3

  • Information Security Management System (ISMS) Scope -dokumentti

  • Edita Priman liiketoimintaympäristö ja intranetissä kuvatut asianomaisten osapuolten vaatimukset

  • riskienhallintaprosessin tulokset.

Soveltamisala

Tämä käytäntö on yrityksen tietoturvan hallintajärjestelmän merkityksellisin ja ohjaavin asiakirja, ja sen soveltamisala vastaa ISMS:n soveltamisalaa. Tätä politiikkaa sovelletaan kaikissa muodoissa esiintyviin tietoihin, mukaan lukien henkilötieto.

Tämä politiikka koskee kaikkia Edita Priman työntekijöitä ja kumppaneita sekä muita sidosryhmiä, jotka käsittelevät Edita Priman omistamia tai hallinnoimia tietoja.

Tämä tietoturva- ja tietosuojapolitiikka on julkisesti saatavilla Edita Priman verkkosivustolla osoitteessa www.editaprima.fi/fi. Muut tietoturvadokumentit on saatavilla Edita Priman sisäisissä viestintäkanavissa käyttöoikeuksien mukaisesti.

Terminologia

Edita Prima noudattaa ISO 27000 ‑standardiperheessä käytettyä terminologiaa. Tässä politiikassa kuvataan vain olennaisimmat termit käyttämällä muita sanoja.

Tietoturva

Kaikki hallinnolliset, tekniset ja muu menetelmät, joilla kaikissa muodoissa olevaa tietoa. Edita Priman tietoturva koostuu seuraavista ”kulmakivistä”: Luottamuksellisuus

  • Tiedot ovat vain valtuutettujen henkilöiden, järjestelmien tai palvelujen käytettävissä.

Eheys    

  • Tietojen täydellisyyttä tai oikeellisuutta suojataan. Tieto ei ole muuttunut inhimillisen syyn (tahallisen tai tahattoman) tai teknisen vian seurauksena.

Saatavuus   

  • Tiedot ovat saatavilla (saavutettavissa, käytettävissä), kun valtuutettu henkilö, järjestelmä tai palvelu tarvitsee tietoa.

Kiistämättömyys  

  • Todistusaineisto siitä, että tietty tapahtuma tai toimenpide todellisuudessa tapahtui tiettynä aikana tiettyjen toimijoiden (henkilö, järjestelmä) suorittamana.

Tietosuoja

Tietosuojalla tarkoitetaan perusoikeutta, jolla turvataan yksilön (rekisteröidyn) oikeudet ja vapaudet henkilötietojen käsittelyn yhteydessä. Tietosuojan tarkoituksena on määrittää, milloin ja millä ehdoilla henkilötietoja voidaan käsitellä. Yksityiskohtainen kuvaus Edita Priman tietosuojasta on tietosuojaselosteessa Tietosuojaseloste | Edita Prima.

Tietoturvan hallintajärjestelmä (ISMS)

Tietoturvan hallintajärjestelmä (ISMS) on hallintajärjestelmä, jossa kuvataan ja osoitetaan yrityksen tietoturvaa koskeva lähestymistapa. ISMS koostuu prosesseista, dokumentaatiosta, organisaatiosta ja muista keinoista ylläpitää ja jatkuvasti parantaa yrityksen tietoturvaa.

Riskienhallinta

Riskienhallinnalla tarkoitetaan järjestelmällisesti hallinnoituja ja koordinoituja toimia ja menetelmiä, joita käytetään Edita Priman tavoitteisiin vaikuttavien riskien ja epävarmuuksien hallintaan. Riskienhallintaprosessit tuottavat arvokasta tietoa ISMS:n muille osa-alueille, erityisesti tavoitteiden asetannalle.

Liiketoiminnan jatkuvuuden hallinta

Liiketoiminnan jatkuvuuden hallinnalla viitataan kaikkiin hallinnollisiin, teknisiin ja muihin keinoihin, joilla varmistetaan, että Edita Priman liiketoiminta pystyy tuottamaan palveluja ja tuotteita normaalioloissa, normaaliolojen häiriötilanteissa sekä poikkeusoloissa.

Tavoitteet ja mittaaminen

Edita Priman johtoryhmä on sitoutunut jatkuvasti kehittämään ISMS-järjestelmää ja sen prosesseja ja käytäntöjä tukeakseen koko organisaatiota saavuttamaan liiketoimintaa ja tietoturvaa koskevat tavoitteensa. Osana jatkuvaa kehittämistä johtoryhmä on asettanut seuraavat yleiset tavoitteet ja vastaa niiden säännöllisestä arvioimisesta.

Edita Prima

kehittää jatkuvasti ISMS-järjestelmäänsä sekä tietoturvaprosessejaan ja tietoturvan valvontaa

  • noudattaa standardien ISO/IEC 27001 ja ISO/IEC 27701 vaatimuksia sovitun soveltamisalan puitteissa

  • suojelee kaikkia yrityksessä käsiteltäviä tietoja (mukaan lukien asiakastietoja ja henkilötietoja)

  • täyttää asiakkaiden tietoturvaa koskevat vaatimukset ja odotukset

  • huolehtii siitä, että tietoturvatavoitteet ovat linjassa yrityksen liiketoimintatavoitteiden ja strategian kanssa

  • varmistaa, että yrityksen työntekijöitä, omaisuutta ja toimintoja suojataan ja turvataan.

Yksityiskohtaiset tietoturvatavoitteet perustuvat yleisiin tavoitteisiin, ja ne kuvataan Edita Priman sisäisissä viestintäkanavissa.

Vaatimusten noudattaminen varmistetaan seuraamalla ja mittaamalla asianmukaisia prosesseja ja tarkastuksia.

Täytäntöönpano

Tietoturvapäällikkö ja tietosuojavastaava vastaavat ISMS:n soveltamisalaan kuuluvien, tietoturvan hallintakeinojen täytäntöönpanosta.

Tietoturvan käyttöönotto ja ylläpito toteutetaan Hallintajärjestelmässä kuvattujen käytäntöjen mukaisesti jatkuvaa parantamista tavoitellen. Tärkeää tässä on se, että yrityksellä on valmiudet ylläpitää ISMS:ää sekä turvallisuuskulttuuriaan seuraavien periaatteiden mukaisesti:

  • Johtoryhmä johtaa tietoturvatyötä järjestelmällisesti ja aktiivisesti.

  • Koulutusta ja perehdytystä on jatkuvasti tarjolla henkilöstön osaamisen ja motivaation ylläpitämiseksi.

  • Liiketoimintaympäristöä seurataan aktiivisesti, ja liiketoiminta- ja turvallisuustavoitteita päivitetään sen mukaisesti.

  • Riskejä ja uhkia arvioidaan säännöllisesti, ja tarvittaviin toimiin ryhdytään sen mukaisesti.

  • Häiriötilanteisiin reagoidaan ennakoivasti ylläpitämällä, testaamalla ja toteuttamalla asianmukaisia liiketoiminnan jatkuvuussuunnitelmia ja toipumissuunnitelmia sekä häiriötilanteiden hallintaprosessia.

Organisaatio

Tietoturva kuuluu jokaiselle Edita Primassa. Yhtiö osoittaa sen kuvaamalla tässä kappaleessa työtehtäviin sisältyvät vastuut ja valtuudet. Yksityiskohtaiset kuvaukset ovat saatavilla Edita Priman sisäisissä viestintäkanavissa.

Vastuuta ja valtuuksia myönnetään seuraavien periaatteiden mukaisesti:

  • Ne myönnetään ensisijaisesti organisaatioille tai rooleille yksittäisten henkilöiden sijaan.

  • Mahdollisuus oikeudettomaan tahalliseen tai tahattomaan muuttamiseen tai väärinkäyttöön minimoidaan.

Johtoryhmä varmistaa, että tietoturvaperiaatteet saavutetaan ja mahdollistaa koko organisaation osallistuminen tietoturvan jatkuvaan parantamiseen. Lisäksi jokainen johtoryhmän jäsen vastaa tietoturvasta omalla vastuualueellaan.

Tietoturvaryhmä koostuu koko- ja osa-aikaisista tietoturvan vastuuhenkilöistä. Tietoturvaryhmä avustaa johtoa ja tukee koko organisaatiota tietoturvan käyttöönotossa arkipäivän toimintoihin ja sovittujen tavoitteiden saavuttamisessa.

Edita Priman liiketoimintaa tukevat tukitoiminnot vastaavat omista erityisalueistaan ja varmistavat, että tietoturvatavoitteet ja ‑vaatimukset täytetään tukitoiminnoissa.

Jokaisen työntekijän on noudatettava yrityksen antamia ohjeita. Työntekijöiden vastuulla on lisäksi ilmoittaa tietoturvatiimille toteutuneista tai mahdollisista häiriötilanteista, riskeistä, heikkouksista ja vaatimuksista (information.security@edita.fi).

Tietojen ja tietojärjestelmien hyväksyttävä käyttö

Yhtiön tiedot, tietojärjestelmät, laitteet ja muu omaisuus ovat tarkoitettu ainoastaan työtehtävien hoitamista varten. Rajoitettu ja kohtuullinen henkilökohtainen käyttö on sallittua, mikäli se ei vaikuta kielteisesti henkilön työtehtäviin tai yritykseen. Yrityksen omaisuuden käyttö laittomiin tai epäeettisiin tarkoituksiin tai yrityksen arvojen vastaisesti sekä luottamuksellisten tietojen luvaton luovuttaminen on ehdottomasti kiellettyä.

Vain Edita Priman valtuuttamat henkilöt sekä konsernin IT-osaston edustajat saavat tehdä muutoksia Edita Priman ICT-ympäristöön.

Tässä politiikassa tai muualla Edita Primassa määriteltyjen periaatteiden ja vaatimusten rikkomukset voivat johtaa esimerkiksi kurinpitotoimiin, sanktioihin ja/tai työsuhteen päättymiseen.