| Hallitus 13.9.2011 liite 1 § 118
VARSINAIS-SUOMEN SAIRAANHOITOPIIRIN TIETOTURVAPOLITIIKKA
1. JOHDANTO
Tietojenkäsittely tukee lähes kaikkien Varsinais-Suomen sairaanhoitopiirin kuntayhtymän palvelujen tuottamista, ja palveluiden tehokkuus riippuu osaltaan tietojenkäsittelystä. Tietokannat sisältävät potilaisiin, työntekijöihin ja toimintaan liittyvää tietoa, joka on lainsäädännön perusteella suojattava. Tietojenkäsittelyn on oltava tehokasta, virheetöntä ja varmaa.
Tietoturvapolitiikka määrittelee ne periaatteet, vastuut, toimintatavat sekä seurannan ja valvonnan, joita sairaanhoitopiirissä noudatetaan tietoturvan toteuttamisessa ja kehittämisessä. Tietoturvapolitiikkaa täydentävät tietoturvasuunnitelma sekä yksityiskohtaiset määräykset ja ohjeet.
2. KATTAVUUS
Sairaanhoitopiirin hallituksen vahvistama tietoturvapolitiikka kattaa konsernin kaikkeen toimintaan liittyvät tietojen käsittelyn tehtävät.
Jokaisen Varsinais-Suomen sairaanhoitopiirin kuntayhtymän viranhaltijan, työntekijän ja luottamushenkilön sekä sairaanhoitopiirin tietojen ja tietojärjestelmien käyttäjän on tunnettava tämä tietoturvapolitiikka ja noudatettava sen perusteella annettuja ohjeita ja määräyksiä. Sairaanhoitopiirin ulkopuolisten terveydenhuollon toimijoiden, toimittajien ja muiden ulkopuolisten tahojen tulee myös sitoutua noudattamaan tätä tietoturvapolitiikkaa, kansallisia normeja sekä ohjeita ehtona tehtäviensä mukaiselle pääsylle sairaanhoitopiirin tietojärjestelmiin ja niiden sisältämiin tietoihin.
3. TIETOTURVA
Tietoturva tarkoittaa tietojen käsittelyn ja arkistoinnin turvaamista. Tietoturva rakentuu tiedon luottamuksellisuudesta, eheydestä, käytettävyydestä ja kiistämättömyydestä sekä tietojen käsittelyn valvonnasta.
Tietoturvatyö on tietoturvan saavuttamiseksi tehtävien toimenpiteiden suunnittelua ja toteuttamista. Tietoturvaan kuuluvat tietoturvaorganisaatio, tietojen turvaamisen menetelmät, välineet ja toimenpiteet, työhön osoitetut resurssit sekä välineistön ja tilojen tietoturvaominaisuudet.
4. TIETOTURVAN PÄÄMÄÄRÄ
Sairaanhoitopiirin tietoturvatyön päämäärä on turvata sairaanhoitopiirin toiminnalle tärkeiden tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, estää tietojen ja tietojärjestelmien joutuminen ulkopuolisille sekä estää niiden valtuudeton käyttö, tahaton tai tahallinen tiedon tuhoutuminen tai vääristyminen sekä minimoida aiheutuvat vahingot. Normaaliajan toiminnan tietojenkäsittelyn turvaamisen lisäksi varaudutaan toiminnan keskeyttäviin uhkatilanteisiin ja niistä toipumiseen. Hyväksytyn tietoturvapolitiikan mukainen tietoturva tulee sisällyttää luonnollisena osana kaikkeen toimintaan. Tietoturvan kehittäminen ja ylläpito ovat osa sairaanhoitopiirin yleistä turvallisuustoimintaa, riskien hallintaa ja sisäistä valvontaa.
5. ORGANISOINTI JA VASTUUT
Tietoturvaa johtaa ja valvoo sairaanhoitopiirin hallitus. Sairaanhoitopiirin johtaja päättää sairaanhoitopiirin kokonaisturvallisuuden eri osa-alueiden kehittämistoiminnan tavoitteista, organisoinnista, resursseista ja toimintavaltuuksista sekä nimeää tietoturvavastaavan ja tietosuojavastaavan. Potilastietoturvan osa-alueesta vastaa johtajaylilääkäri.
Tietoturvan kehittämisestä, toteutuksen valvonnasta, tietoturvatietouden edistämisestä ja tietoturvallisesta toimintatavasta sairaanhoitopiirissä ja sen ostamissa palveluissa sekä raportoinnista vastaa sairaanhoitopiirin johdolta saamiensa resurssien ja toimintavaltuuksien puitteissa tietoturvavastaava. Hän vastaa myös tietoturva-asioista tiedottamisesta sairaanhoitopiirin ulkopuolelle ja sairaanhoitopiirin sisällä yleisellä tasolla.
Tietoturvan kehittämisen suunnittelua ja toimeenpanon valmistelua varten sairaanhoitopiirissä toimii tietoturvaryhmä. Tietoturvaryhmään kuuluvat vähintään tietoturvavastaava, tietosuojavastaava, tietohallintapäällikkö, teknillinen johtaja ja Medbit Oy:n tietoturvapäällikkö. Sairaanhoitopiirin johtaja nimeää tietoturvaryhmän muut jäsenet. Ryhmän jäsenten tehtävät kuvataan tarkemmin tietoturvasuunnitelmassa.
Jokaisella tietojärjestelmällä on omistajayksikkö ja vastuuhenkilö. Tietojärjestelmän vastuuhenkilön velvollisuuksiin kuuluu tietojärjestelmän toimintaan ja turvallisuuteen asetettavien vaatimusten (esim. kriittisyyden, jatkuvuussuunnittelun ja varmuuskopiointimenettelyn) määrittely sekä käyttöoikeuksien myöntäminen ja valvonta.
Tietoturva-asioiden ohjeistamisesta, tiedottamisesta ja valvonnasta omassa yksikössään vastaa yksikön esimies.
Jokainen sairaanhoitopiirin työntekijä, tietoja käsittelevä, tietojärjestelmien tai tietoverkkojen ylläpitäjä ja käyttäjä on omalta osaltaan vastuussa tietoturvan toteuttamisesta sekä tietoturvaohjeiden noudattamisesta. Jokainen henkilö on velvollinen tietoturvaan liittyvien uhkien ja poikkeamien raportoimisesta esimiehelleen tai tietoturvavastaavalle.
6. TIETOTURVAN TOTEUTUS
Tietoturvan toteuttamisen perusta on tämä sairaanhoitopiirin hallituksen hyväksymä kirjallinen tietoturvapolitiikka, joka annetaan tiedoksi jokaiselle sairaanhoitopiirin työntekijälle ja tietojärjestelmien käyttäjälle.
Sairaanhoitopiirin tietoturva perustuu kansallisiin tietoturvaa, henkilörekistereitä, hyvää tiedonhallintatapaa ja tiedon laatua ohjaaviin ja velvoittaviin säädöksiin, ohjeisiin ja standardeihin.
Lainsäädännön ja ohjeistuksen muutokset otetaan huomioon sairaanhoitopiirin tietoturvan kehittämisessä.
Tietoturvan toteuttaminen ja ylläpito kuvataan yksityiskohtaisesti tietoturvasuunnitelmassa. Tietoturvan toteutuksen tulee perustua niihin vaatimuksiin, joita toiminta ja palvelut sekä kunkin tiedon ja tietojärjestelmän turvallisuusluokka asettavat tietojenkäsittelyn varmuudelle, käytettävyydelle, salassapidolle, laadulle ja toiminnan jatkuvuudelle sekä toimintaan kohdistuvien riskien arvioinnille. Vaatimusten selvittäminen, riskien arvioiminen ja niiden perusteella turvallisuustoimenpiteiden määritteleminen tapahtuu säännöllisesti suoritettavilla turvallisuusanalyyseillä.
Tietoturvan tavoitteiden saavuttaminen on jatkuva prosessi, joka tapahtuu hallinnollisten ja teknisten ratkaisujen avulla. Ne kuvataan tietoturvasuunnitelmassa ja tarvittaessa käyttöympäristöille ja yksiköille laadituissa erillisissä tietoturvan kehittämissuunnitelmissa. Keskeiset kehittämistoimet toteutetaan hankkeina, joista tehdään hankesuunnitelma.
Käyttäjien toimintaa ohjataan tietoturvasuunnitelmaan sisältyvillä käyttösäännöillä sekä vahvistetuilla ja saatavilla olevilla toimintaohjeilla sekä tietoturvakoulutuksella. Jokainen käyttäjä allekirjoittaa käyttäjän tietosuojaohjeen ja sitoumuksen saadessaan oikeuden tehtäviensä mukaiseen tietojärjestelmien käyttöön.
7. TIETOTURVAN SEURANTA JA VALVONTA
Käyttäjien ja ylläpitäjien tulee ilmoittaa havaitsemastaan tietoturvan puutteesta, tietoturvaan liittyvästä väärinkäytöksestä tai epäilemästään tietoturvarikkomuksesta esimiehelleen tai tietoturvavastaavalle.
Yksikön esimiehen tehtävänä on valvoa tietoturvan toteutumista omassa yksikössään.
Tietoturvavastaavan tehtävänä on seurata ja valvoa sairaanhoitopiirin tietojärjestelmien tietoturvan toteutumista ja ryhtyä toimenpiteisiin havaittujen tietoturvan heikkouksien korjaamiseksi.
|
