SUOMEN TURVAPOSTI OY:N TIETOTURVAPOLITIIKKA

Suomen Turvaposti Oy:n tietoturvapolitiikka kuvaa yrityksen tietoturvallisuuden tavoitteet, vastuut ja toteutuskeinot.

Tietoturvallisuuden tavoite

Tietoturvallisuudesta huolehtimisen tavoitteena on:

  • turvata yrityksen toiminnalle tärkeiden tietojärjestelmien keskeytymätön toiminta,
  • turvata asiakkaille tuotettavien palveluiden jatkuva saavutettavuus,
  • estää tietojen (omien ja asiakkaiden) ja tietojärjestelmien luvaton käyttö,
  • estää tietojen vääristyminen ja tuhoutuminen, sekä
  • yrityksen maineen ylläpitäminen.

Tietoturvallisuuden vastuut

Tietoturvallisuuden toteutumisesta ja tietoturvallisuuden hallintajärjestelmän vaatimustenmukaisuudesta vastaa yrityksen toimitusjohtaja. Toimitusjohtaja määrittelee tietoturvavastaavan esityksestä tietoturvan kannalta tärkeiden roolien vastuut ja valtuudet sekä nimeää niihin henkilöt, mukaan lukien henkilön, joka raportoi tietoturvallisuuden hallintajärjestelmän suorituskyvystä toimitusjohtajalle.

Yrityksen tietoturvaryhmä esittää ja toimitusjohtaja vahvistaa voimassa olevan tietoturvapolitiikan, joka perustuu yrityksen hallituksen vahvistamaan riskienhallintapolitiikkaan.

Yrityksen tietoturvallisuuden hallintajärjestelmän ylläpidosta ja kehityksestä vastaa tietoturvavastaava. Tietoturvavastaava esittelee tietoturvallisuuden hallintajärjestelmän päivityksen tietoturvaryhmän käsiteltäväksi, ja edelleen toimitusjohtajan vahvistettavaksi.

Yritys on sitoutunut noudattamaan sisäisiä ja ulkoisia tietoturvavaatimuksia sekä jatkuvasti parantamaan tietoturvallisuutta.

Yrityksen kaikkien työntekijöiden ja alihankkijoiden tulee noudattaa yrityksen tietoturvapolitiikkaa. Asiakkailta edellytetään palvelusopimuksessa Turvapostin tietoturvallista käyttötapaa.

Tietoturvallisuuden toteutuskeinot

Tietoturvapolitiikkaa toteutetaan siten, että:

  • yrityksellä on kirjallinen, ISO/IEC 27001 -standardiin sekä Katakri 2020 -kriteeristöön perustuva tietoturvallisuuden hallintajärjestelmä, jota noudatetaan,
  • yrityksen henkilökunnalle ja alihankkijoille sekä soveltuvin osin asiakkaille informoidaan yrityksen tietoturvapolitiikka sekä turvallinen tietojärjestelmien ja tietojen käyttötapa, joiden toteutumista edellytetään sekä valvotaan,
  • tietoturvapolitiikkaan ja turvalliseen käyttötapaan liittyvät muutokset informoidaan yrityksen henkilökunnalle ja alihankkijoille sekä soveltuvin osin asiakkaille, ja
  • tietoturvaan liittyviin ongelmiin ja uhkiin puututaan välittömästi.

Valvonta ja seuranta

Tietoturvatason ylläpitäminen ja parantaminen edellyttävät toiminnan jatkuvaa valvontaa, jonka sisältö ja raportointi on kuvattu yrityksen tietoturvallisuuden hallintajärjestelmässä.

Tietoturvatapahtumien käsittely

Yrityksellä on tietoturvallisuuden hallintajärjestelmässä kuvatut menettelytavat tietoturvapoikkeamien ja -häiriöiden havaitsemiseksi ja käsittelemiseksi. Tietoturvarikkomukseksi lasketaan tietoturvapolitiikan ja -ohjeistuksen vastainen toiminta. Rikkomustilanteiden käsittelyyn on määritelty toimintatavat.