Saatavana elektronisessa muodossa - Tietojenkäsittelytieteiden ...

76Tietoturvapolitiikka laaditaan viimeistään tässä vaiheessa.Tietoturvapolitiikan luonnos käydään läpi kuntajohdon (kunnan johtoryhmä,kunnanhallitus) kanssa. Vahvistettu tietoturvapolitiikka julkaistaan jatiedotetaan sen jälkeen henkilöstölle sekä sidosryhmille.Tietoturvapolitiikka on johdon lausunto siitä, miten organisaatiossa tuleetoteuttaa tietoturvallisuutta. Politiikka toimii ohjeistona tietoturvaa kehittävälleja ylläpitävälle henkilöstölle ja se on yhtä lailla sitova kuin organisaationtoimintaa säätelevät lait ja muut säädökset. Standardista politiikka eroaa siinäsuhteessa, että politiikka on korkeamman tason lausuma, joka on voimassauseita vuosia, kun taas standardissa määritellään teknologioita, metodologioita,käytäntöjä ja muita tarkempia yksityiskohtia.Organisaation on itse luotava tietoturvapolitiikka, koska ulkopuolinenpystyy korkeintaan luomaan kehyksiä, joiden mukaan toimintaa kehitetään.Johdon tuki ja sitoutuminen on kaikkein tärkeintä tietoturvatyössä ja se näkyyorganisaatiossa esimerkiksi siten, että tietoturvatyöhön on varattu tarvittavatresurssit ja tarvittaviin toimenpiteisiin ryhdytään viivytyksettä.Tietoturvapolitiikkaan kirjataan ainakin seuraavat asiat:- Tietoturvallisuuden tavoitteet ja päämäärät kunnassa- Tietoturvallisuuden roolit ja vastuuto Tietoturvallisuussuunnitelmao Johdon vastuuo Tietoturvallisuudesta vastaavan henkilön vastuuto Esimiesten vastuuto Tiedon omistajan vastuuto Henkilöstön vastuut5.5. Vaihe 5. Toteutus ja seurantaToteutus- ja seurantavaihe on jatkuva työprosessi, jota valvootietoturvallisuudesta vastaava henkilö. Vastuuhenkilö on määritelty aiemmintietoturvapolitiikassa. Hänellä on valtuudet delegoida toteutukseen javalvontaan liittyviä tehtäviä eteenpäin. Onkin hyvä harkitatietoturvallisuudesta vastaavan ryhmän kokoamista, johon kuuluvat tärkeidentietojärjestelmien omistajat, tärkeimpien käyttäjien edustajat,