Tietoturva

1 Sääntöjen tarkoitus

Koulutuskeskus Salpauksen (myöh. Salpaus) tulee turvata kaikkien käyttäjäryhmiensä tietojen luottamuksellisuus, eheys ja käytettävyys sekä tarjota luotettava ja turvallinen ympäristö tietojen käsittelyyn. Nämä ja muut säännöt on laadittu auttamaan eri ryhmiin kuuluvia käyttäjiä tunnistamaan käyttöoikeuksiinsa liittyvät oikeudet, vastuut ja velvollisuudet. Käyttöoikeuksiin liittyvien velvollisuuksien tahatonkin laiminlyöminen saattaa vaarantaa muidenkin käyttäjien omistamien tietojen eheyden, luottamuksellisuuden ja käytettävyyden.

Näitä sääntöjä sovelletaan kaikkiin Salpauksen hallinnassa tai muutoin vastuulla oleviin tietojärjestelmiin ja niiden käyttöön sekä käyttäjien osalta myös muihin sellaisiin palveluihin, joiden käyttömahdollisuus tai käyttöoikeus on saatu ammattikorkeakoulun välityksellä. Säännöt koskevat myös Salpauksessa yleisessä käytössä olevia työasemia ja kaikkia koulutuskeskuksen verkkoon liitettyjä laitteita.

Kaikkien Salpauksen tietotekniikan käyttäjien tulee noudattaa näiden sääntöjen lisäksi myös muita Salpauksen tietojärjestelmistä antamia sääntöjä ja ohjeita, hyviä tapoja sekä Suomen lakia. Näiden tai muiden tietojärjestelmän käyttöä koskevien sääntöjen vastainen käyttö käsitellään tietotekniikkarikkomusten seuraamuskäytännön mukaisesti.

2 Käytön periaatteet

Kaikkea käyttöä ja käyttösääntöjen tulkintaa ohjaavia keskeisiä yleisperiaatteita ovat:

• Kaikilla käyttöön oikeutetuilla käyttäjillä on mahdollisuus kohtuulliseen ja asialliseen käyttöön.
• Muille käyttäjille tai tietoliikenneverkossa oleville organisaatioille tai tietojärjestelmille ei saa aiheuttaa haittaa tai vahinkoa.
• Yksityisyyden suojaa tulee kunnioittaa.
• Salpauksen myöntämä käyttöoikeus on henkilökohtainen.
• Käyttäjä vastaa kaikesta tunnuksensa käytöstä.
• Poistuessasi tietokoneen ääreltä, lukitse se aina CTRL+ALT+DEL -näppäinyhdistelmällä!
• Yhteiskäyttöisissä työasemissa suositeltavin tapa on kirjautua ulos aina kun lopettaa koneen käytön.

Salpauksen tietojärjestelmät on tarkoitettu työvälineeksi tehtäviin, jotka liittyvät opiskeluun, tutkimukseen, opetukseen tai hallintoon. Muu käyttö edellyttää erillistä sopimusta.

Yksityinen käyttö on sallittu vähäisessä määrin ja vain siltä osin kuin se ei haittaa muuta järjestelmän käyttöä eikä ole ristiriidassa kyseistä järjestelmää koskevien tai yleisten käytöstä annettujen sääntöjen kanssa. Yksityinen aineisto tulee yksityisyyden suojan varmistamiseksi pitää selkeästi erillään työhön liittyvästä aineistosta.

Sovellusten kaupallinen käyttö vaatii aina tapauskohtaisen selvityksen.

Käyttö poliittiseen toimintaan (kuten vaalimainontaan) on kielletty. Poikkeuksena ovat oppilaskunnan toimintaan liittyvien opiskelijajärjestöjen / alayhdistysten, sekä henkilökunnan ammattiyhdistysten yms. toiminta.

Kaikkien käyttäjien tulee omalta osaltaan huolehtia yhteiseen tietoturvallisuuteen liittyvistä asioista. Vaikka käyttäjällä itsellään ei olisikaan erityistä suojattavaa, muilla käyttäjillä saattaa olla. Kaikilla käyttäjillä on omalta osaltaan vastuu tietojärjestelmän kokonaisturvallisuudesta. Havaituista tai epäillyistä tietoturvallisuuden puutteista ja väärinkäytöksistä tulee ilmoittaa Salpauksen Helpdeskille.

Salpaus pyrkii suojaamaan kaikkia käyttäjiä haittaohjelmilta, roskapostilta ja yrityksiltä tunkeutua järjestelmiin tai yksittäisiin työasemiin. Käyttäjien on myös huolehdittava tässä toiminnassa omasta osuudestaan annettujen ohjeiden mukaisesti.

Käyttäjä vastaa itse tiedostojensa suojauksesta sekä viime kädessä niiden varmuuskopioinnista. Salpaus varmuuskopioi keskitetysti joidenkin ylläpidettyjen tietojärjestelmien tiedostot, mutta ei vastaa tiedostojen mahdollisen tuhoutumisen aiheuttamista vahingoista.

Käyttäjällä on vaitiolovelvollisuus järjestelmien tietosisällöstä, käyttötavoista, turvatasosta ja ominaisuuksista silloin, kun tietojärjestelmien käyttötarkoitus, niiden käytöstä annetut määräykset tai lainsäädäntö sitä vaativat.

Salpauksen kiinteään verkkoon ei saa kytkeä omia laitteita ilman verkon ylläpitäjän myöntämää lupaa. Liittämisessä tulee noudattaa annettuja ohjeita. Käyttäjien omille laitteille on varattu ensisijaisesti langaton verkko.

3 Käyttöoikeus ja käyttäjätunnukset

Käyttäjälle myönnetään käyttöoikeus nimettyihin tietojärjestelmiin. Käyttöoikeus perustuu käyttäjän asemaan tai tehtävään Salpauksessa tai se voidaan erityisestä syystä myöntää Salpaukseen kuulumattomalle.

Käyttöoikeuden aktivoinnin edellytyksenä on, että käyttäjä sitoutuu noudattamaan näitä sääntöjä sekä muita käyttöön liittyviä ohjeita ja määräyksiä. Käyttäjän on etukäteen tutustuttava järjestelmää koskeviin käyttöohjeisiin ja sääntöihin.

Käyttöoikeutta ei saa luovuttaa edelleen. Jos on syytä epäillä salasanan tai muun tunnisteen joutuneen jonkun muun tietoon/haltuun, salasana on vaihdettava tai tunnisteen käyttö on estettävä välittömästi. Salasana on vaihdettava määräajoin ja sen tulee olla vaikeasti arvattava.

4 Käyttöoikeuden voimassaolo

Käyttöoikeus päättyy automaattisesti,

• kun käyttäjä ei enää kuulu Salpaukseen,
• kun määräaikaisesti myönnetty käyttöoikeus vanhenee tai
• kun käyttäjän asema tai tehtävä muuttuu siten, ettei kyseisen tietojärjestelmän käyttöoikeudelle enää ole perustetta.

Käyttäjän on ennen tätä itse huolehdittava käyttäjätunnuksensa omistuksessa olevien tietojen asianmukaisesta siirtämisestä tai poistamisesta. Käyttäjän tiedostot ja postilaatikko lukitaan henkilön poistuttua ja poistetaan 4 kuukauden kuluttua tunnuksen käytön / käyttöoikeuden loppumisesta.

5 Tietojärjestelmien ylläpito

Kullakin Salpauksen tietojärjestelmällä on oltava nimetty vastuutaho (omistaja), joka on vastuussa järjestelmän käyttötarkoituksesta, toiminnasta ja sisällöstä sekä sen käytöstä. Tietojärjestelmän omistaja laatii käyttöohjeet ja huolehtii siitä, että tietojärjestelmän palvelut ja sen käyttö ovat näiden sääntöjen mukaisia. Salpauksen yhteisten tietojärjestelmien ylläpidosta vastaa tietohallintopalvelut. Salpauksen yksiköiden hallinnoimista tietojärjestelmistä vastaa yksikön johtaja tai tämän kirjallisesti nimeämä henkilö. Järjestelmien vastuuhenkilöistä ja ylläpitohenkilökunnasta pidetään erillistä luetteloa.

Tietojärjestelmien ylläpidosta, ylläpitäjän vastuista ja oikeuksista tietojärjestelmän toiminnan ja käytön hallintaan sekä sen tietoturvasta huolehtimiseen määrätään tarkemmin erillisessä ylläpitosäännössä.

Tietojärjestelmien toiminnasta ja käytöstä tallentuu lokia seuraavia tarkoituksia varten:

• palvelun toteuttamiseksi, kehittämiseksi ja sen tietoturvasta huolehtimiseksi
• järjestelmien sisältämien tietojen tietosuojasta huolehtimiseksi
• mahdollisten ongelmien ja teknisten vikojen havaitsemiseksi ja korjaamiseksi
• palveluun kohdistuvien väärinkäytösten havaitsemiseksi, estämiseksi, selvittämiseksi ja esitutkintaan saattamiseksi.

1 Yleistä

Sähköisten asiakirjojen käsittelyssä sovelletaan Koulutuskeskus Salpauksessa (myöh. Salpaus) kirjesalaisuuden, yksityisyyden suojan ja hyvän hallintomenettelyn periaatteita. Viestinnän osapuolten oikeudet on turvattava. Käyttäjiä koskevat vaitiolovelvollisuudet ja hyväksikäyttökiellot on määritelty sähköisen viestinnän tietosuojalaissa (16.6.2004/516) ja laissa yksityisyyden suojasta työelämässä (13.8.2004/759). Vaitiolovelvollisuuksia ja hyväksikäyttökieltoja koskeva ohjeistus on kuvattu myöhemmin tässä dokumentissa sekä Tietojärjestelmien käytön säännöissä ja Tietojärjestelmien ylläpitosäännöissä.

Sähköpostiviestin perillemenosta varmistuminen on lähettäjän vastuulla. Sähköisessä asioinnissa lähettäjä voi varmistua viestin perille saapumisesta pyytämällä vastaanottajalta kuittauksen viestin vastaanottamisesta. Sähköisellä asioinnilla tarkoitetaan hallintoasiain sähköistä vireillepanoa ja sen täydentämistä, käsittelyä (ml. ratkaisu) ja päätöksen tiedoksiantoa tai oikeudenkäyntiasiakirjan lähettämistä sähköisenä viestinä yleiselle tuomioistuimelle tai sen määräämälle henkilölle.

Salpauksella on oikeus määrätä, mihin sähköpostia ja tietoverkkoa käytetään, ja käyttöoikeuksia voidaan rajoittaa puhelinsoiton estojen tapaan.

Sähköpostijärjestelmää ei ole tarkoitettu tiedostojen massajakeluun eikä suurten tiedostojen välittämiseen.

Ohjeet ja suositukset sähköpostin käsittelyssä huomioitavista asioista perustuvat voimassaolevaan lainsäädäntöön ja valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI, http://www.vm.fi/vahti) ohjeisiin sähköpostin käsittelystä.

Kulloinkin voimassa oleva versio sähköpostin käsittelysäännöstä sekä muista tietoturvasäännöistä julkaistaan organisaation tiedotukseen käytettävässä portaalissa.

2 Sähköpostiviestien ja -osoitteiden määritelmät sekä käsittely

2.1 Määritelmät ja käyttötarkoitukset

Sähköpostiviestit on tässä säännössä jaettu neljään eri luokkaan sen mukaisesti, millaiseen osoitteeseen ne liittyvät. Säännössä sekä lähetetyt että vastaanotetut viestit määritellään seuraavasti:

• Organisaation sähköpostiviesti on Salpauksen tai yksikön organisaatio-osoitteeseen (esim. opintotoimisto@salpaus.fi) liittyvä viesti.
• Työsähköpostiviesti liittyy sekä Salpauksen työntekijälle työkäyttöön antamaan henkilökohtaiseen työsähköpostiosoitteeseen (esim. vili.virta@salpaus.fi) että työntekijän työtehtäviin.
• Opiskelijan esim. Salpauksen hallintoelimien tai tutkimustyöryhmien osana toimimiseen liittyvä sähköpostiviesti rinnastetaan työsähköpostiviestiin.
• Henkilökohtainen sähköpostiviesti on Salpauksen antamaan sähköpostiosoitteeseen (yleensä sama kuin työsähköpostiosoite tai opiskelijan sähköpostiosoite) liittyvä henkilökohtainen viesti.
• Muu sähköpostiviesti on käyttäjän Salpauksen ulkopuoliseen sähköpostiosoitteeseen esim. vili.virta@omakaytto.fi tai vili.virta@muuorganisaatio.fi) liittyvä viesti.
• Virka- ja henkilökohtaiset sähköpostiosoitteet muodostuvat käyttäjän nimestä. Muotoon etunimi.sukunimi@domain.fi poikkeuksen tekevät samannimiset henkilöt, joiden osoitteisiin lisätään erotteleva osa. Myös sähköpostiviestin lähetysosoitteen tulee olla joko organisaatio-osoite tai nimimuotoinen virkasähköpostiosoite.

Luonnollisen henkilön sähköpostiosoite on henkilötietolain (523/1999) mukaan henkilötieto. Henkilötiedot on rekisteröity Salpauksen henkilötietorekistereihin, joista on laadittu rekisteriselosteet. Henkilötietoja käsitellään Salpauksessa rekisteriselosteiden mukaisella tavalla ja tarkoituksessa.

Salpauksella ja sen yksiköillä tulee virallisten asioiden hoitoa ja palveluiden tarjoamista varten olla organisaatio-osoitteet (esim. yksikko@domain.fi tai valinta@domain.fi). Salpauksen palveluita tulee lähestyä ensisijaisesti organisaatio-osoitteiden, eikä yksittäisten työntekijöiden työsähköpostiosoitteiden kautta.

2.2 Sähköpostiosoitteiden julkaiseminen

Julkaisemisella tarkoitetaan sähköpostiosoitteen ilmaisemista muun muassa Salpauksen puhelinluettelossa tai muussa julkaisussa, Salpauksen julkisilla www-sivuilla, käyntikortissa ja hakemistopalvelussa.

Salpaus julkaisee organisaatio-osoitteet sekä työntekijöidensä työsähköpostiosoitteet, niiltä osin kuin se on tarpeen palveluiden käytön ja tehtävien hoidon kannalta. Pääsääntöisesti opiskelijan sähköpostiosoitteen julkaiseminen edellyttää opiskelijan suostumuksen. Salpaus ei julkaise Salpauksen ulkopuolisia sähköpostiosoitteita.

Sähköpostiosoitteena tulee käyttää aina nimimuotoista osoitetta niin sähköpostiohjelmien asetuksissa kuin muutoinkin osoitetta julkaistessa.

2.3 Organisaation sähköpostiviestien käsittely

Jokaiselle organisaatio-osoitteelle tulee nimetä vähintään yksi vastuuhenkilö. Organisaation tulee huolehtia osoitteeseen saapuvien viestien säännöllisestä käsittelystä.

Organisaatiosähköpostin välittäminen tai automaattinen ohjaaminen Salpauksen ulkopuoliseen sähköpostiosoitteeseen on kiellettyä tietosuojan ja tiedonhallinnan vuoksi.

Jos saapuneessa viestissä on kuittauspyyntö, lähetetään kuittaus ilman tarpeetonta viivettä. Automaattikuittauksia ei tule käyttää muissa kuin erityisesti sitä varten suunnitelluissa asiointijärjestelmissä.

Työntekijän lähettämästä Salpauksen vastauksesta tulee ilmetä, että se on lähetetty vastauksena organisaatio-osoitteeseen tulleeseen viestiin. Vastauksessa on myös korostettava tai asetettava paluuosoite siten, että yhteydenotot jatkossakin tapahtuvat organisaatio-osoitteeseen.

Tarvittaessa sähköpostiviestiin voidaan lisätä luottamuksellisuutta osoittava lopputeksti. (liite 1)

Organisaation sähköpostiviestejä käsitellään lain viranomaisten toiminnan julkisuudesta (julkisuuslain, 621/1999) edellyttämällä tavalla. Julkisuuslaissa säädetään muun muassa, mikä on viranomaisen asiakirja, mitkä ovat salassa pidettävät tiedot ja milloin on oikeus saada tieto asiakirjasta.

2.4 Työsähköpostiviestien käsittely

Työsähköpostin välittäminen tai automaattinen ohjaaminen Salpauksen ulkopuoliseen sähköpostiosoitteeseen on kielletty tietosuojan ja tiedonhallinnan vuoksi.

Salpaus kohtelee työsähköpostiosoitteella toimitettua viestiä pääsääntöisesti vastaanottajalle osoitettuna henkilökohtaisena viestinä, koska vastaanottaja ei voi estää henkilökohtaisten viestien saapumista.

Työnantajan oikeudesta hakea esille tai avata työntekijälle lähetettyjä tai tämän lähettämiä sähköpostiviestejä (Laki yksityisyyden suojasta työelämässä, 13.8.2004/759) säädetään tarkemmin luvussa 4.3.

Jos saapuneessa viestissä on kuittauspyyntö, lähetetään kuittaus ilman tarpeetonta viivettä. Kuittausviestin lähettää asiaa käsittelevä henkilö, automaattikuittausta ei tule käyttää.

Työntekijän lähettämästä työsähköpostiviestistä tulee ilmetä, että sen lähettäjä on viranomaiselle annettua päätösvaltaa käyttävä, ei yksittäinen työntekijä, esim. liittämällä allekirjoitukseen asema ja yksikön nimi. Mikäli kysymyksessä on hakemus tms. viranomaistoimenpiteitä edellyttävä toimenpide, tulee paluuosoite asettaa siten tai muistuttaa asiakasta siitä, että jatkoyhteydet hoidetaan organisaatio-osoitteen kautta.

Tarvittaessa sähköpostiviestiin voidaan lisätä luottamuksellisuutta osoittava lopputeksti. (liite 1)

Työsähköpostiviestejä käsitellään lain viranomaisten toiminnan julkisuudesta (julkisuuslain,621/1999) edellyttämällä tavalla. Julkisuuslaissa säädetään muun muassa mikä on viranomaisen asiakirja, mitkä ovat salassa pidettävät tiedot ja milloin on oikeus saada tieto asiakirjasta.

2.5 Henkilökohtaisten sähköpostiviestien käsittely

Työntekijän henkilökohtaiset viestit tulee erottaa selvästi Salpaukselle kuuluvista viesteistä. Työntekijän tulee siirtää työsähköpostiosoitteeseensa tulevat henkilökohtaiset viestit välittömästi omiin kansioihinsa, joiden nimestä yksityisyys on nähtävissä (private, yksityisasiat tms.). Tämä koskee sekä saapuvia että lähteviä viestejä.

Salpauksen sähköpostiosoitteen käyttö työntekijän tai opiskelijan henkilökohtaisiin tarkoituksiin on luvallista vähäisessä määrin ja siten, että se ei haittaa Salpauksen toimintoja. Kuitenkin käyttö kaupalliseen tarkoitukseen, kuten yksityiseen yritystoimintaan on kiellettyä. Osoitteen käyttö on myös kiellettyä poliittiseen tarkoitukseen tai Salpauksen ulkopuolisten vaalien ehdokasmainontaan. Osoitteen käyttö on sallittua Salpauksen sisäisiin vaaleihin, opiskelijajärjestöjen tai ammattiyhdistysten toimintaan.

Ketjukirjeitä tai massapostituksia ei saa lähettää Salpauksen sähköpostipalvelimilla. Salpauksen tarve laajaan tiedotukseen koulutuskeskuksen jäsenille harkitaan tapauskohtaisesti.

2.6 Muiden sähköpostiviestien käsittely

Salpauksen ulkopuolinen sähköpostiosoite (eli muu osoite kuin @salpaus.fi) on yksityisasia, jota ei tässä tarkemmin ohjata. Työntekijä ei saa käyttää Salpauksen ulkopuolista sähköpostiosoitetta Salpaukseen liittyviin työtehtäviin.

Opiskelijan opiskeluun ja muuhun koulutuskeskuksen osana toimimiseen ei pidä käyttää Salpauksen ulkopuolista sähköpostiosoitetta. Salpaus voi edellyttää Salpauksen sähköpostiosoitteen käyttöä sähköpostin avulla tapahtuvassa asioinnissa.

Salpauksen ulkopuoliseen sähköpostiosoitteeseen liittyvillä käyttäjätunnuksilla ei saa käyttää samoja salasanoja kuin Salpauksen tarjoamilla käyttäjätunnuksilla.

3 Erityistoimenpiteitä edellyttävät viestit

3.1 Sähköpostiviestien ja niiden liitetiedostojen rajoittaminen

Salpauksella on oikeus ohjelmallisesti tarkistaa sähköpostiviestit ja niiden liitetiedostot mahdollisten virusten ja muiden haittaohjelmien osalta sekä rajoittaa mahdollisesti haitallisten tai liian suurien/monilukuisten liitetiedostojen vastaanottamista ja lähettämistä.

Salpauksella on oikeus myös poistaa viruksia ja muita haittaohjelmia sisältävät viestit ja liitetiedostot. Salpauksen ei tarvitse tiedottaa yksittäisen viestin suodattamisesta tai tuhoamisesta viestin lähettäjälle. Suodatus tapahtuu sähköpostijärjestelmässä automaattisesti. Käyttäjille tiedotetaan näistä rajoituksista Sähköpostin suodatusohjeessa.

3.2 Roskapostiviestien käsittely

Salpaus suojaa sähköpostipalveluaan ja vähentää roskapostiongelmaa suodattamalla viestit, jotka saapuvat tunnetuista roskapostia välittävistä palvelimista tai jotka luokitellaan roskapostiksi otsikkotietojensa tai automaattisen sisältöanalyysin perusteella. Esto toteutetaan teknisin menetelmin sähköpostipalvelussa. Salpaus voi myös tuhota suodatetut viestit käyttäjän puolesta.

Salpauksen ei tarvitse tiedottaa yksittäisen roskapostiviestin suodattamisesta tai tuhoamisesta viestinnän osapuolille tai palauttaa tuhottua viestiä lähettäjälle. Suodatuksessa käytetyistä metodeista Salpaus tiedottaa Sähköpostin suodatusohjeessa.

Roskapostiin ei pidä vastata, koska näin vain lisätään roskapostin saapumista. Vastaamalla osoittaa sähköpostiosoitteensa toimivaksi, ja se lisätään roskapostittajien osoitelistoille.

Käyttäjä voi ilmoittaa häiritsevästä roskapostista Helpdeskiin. Käytännössä ylläpito voi pyrkiä puuttumaan vain Suomesta lähetettyihin viesteihin.

3.3 Perille menemättömän sähköpostiviestin käsittely

Sähköpostiviestin lähettäjällä on vastuu viestin luettavuudesta, viestin perillemenosta, mahdollisen määräajan ylittymisestä ja muista näihin verrattavista seikoista, kunnes hän on saanut tiedon viestin onnistuneesta perillemenosta.

Mikäli saapuvan viestin osoite ei ole sähköpostijärjestelmän tiedossa, lähetetään viestin lähettäjälle automaattisesti virheilmoitus. Ilmoitus lähetetään lähettäjälle myös, jos vastaanottajan sähköpostin tilakiintiö on täynnä. Käyttäjät vastaavat itse tilakiintiöstään.

Lähetys- ja palautusvelvollisuudet eivät koske haittaohjelmaviestejä eivätkä roskapostia.

3.4 Väärään osoitteeseen saapunut sähköpostiviesti

Mikäli käyttäjä saa toiselle henkilölle (esimerkiksi kaimalle) tarkoitetun sähköpostiviestin, vastaanottajan on lähetettävä alkuperäiselle lähettäjälle tieto epäonnistuneesta toimituksesta ja hävitettävä saapunut viesti. Käyttäjällä on vaitiolovelvollisuus ja hyväksikäyttökielto niin viestin sisällöstä kuin olemassaolostakin.

Viranomaisen, jolle on erehdyksestä toimitettu asiakirja sen toimivaltaan kuulumattoman asian käsittelemiseksi, on viipymättä siirrettävä asiakirja toimivaltaiseksi katsomalleen viranomaiselle. Siirrosta on ilmoitettava asiakirjan lähettäjälle. (hallintolaki 434/2003 21§) Mikäli siirto ei ole mahdollinen, viesti palautetaan ja hävitetään Salpauksen palvelimilta.

Lähetys- ja palautusvelvollisuudet eivät koske haittaohjelmaviestejä eivätkä roskapostia.

4 Sähköpostin käsittely erityistilanteissa

4.1 Automaattiset vastaukset viesteihin

Automaattisten vastausten käyttöä ei suositella. Jos automaattivastaus kuitenkin katsotaan välttämättömäksi (esimerkiksi työntekijöiden pitkät lomat tai työvapaudet tai palvelussuhteen päättyminen), tulee siinä kehottaa lähettäjää ottamaan yhteyttä ensisijaisesti sopivaan organisaatio-osoitteeseen.

4.2 Palvelussuhteen tai opiskeluoikeuden päättyminen

Henkilön käyttöoikeus Salpauksen antamaan sähköpostiosoitteeseen päättyy palvelussuhteen tai opiskeluoikeuden päättyessä. Salpauksen ulkopuolisten henkilöiden käyttöoikeuksien voimassaolosta vastaa käyttöoikeutta puoltaneen yksikön esimies. Käyttöoikeuden päättymisen jälkeen Salpaus ei ota vastaan henkilölle lähetettyjä viestejä vaan ilmoittaa automaattisesti lähettäjälle osoitteen toimimattomuudesta.

Ennen palvelussuhteen päättymistä työntekijän tulee ilmoittaa viestintäkumppaneilleen sähköpostiosoitteensa poistumisesta ja poistaa henkilökohtaiset viestinsä. Muut viestit jäävät Salpauksen haltuun ja niiden avaamisessa noudatetaan mitä laissa yksityisyyden suojasta työelämässä (759/2004) on säädetty. Jos työntekijä lakkaa hoitamasta tehtäviään jo ennen työsuhteen päättymistä, tulee sähköpostin vastaanotto estää jo siinä vaiheessa.

Ennen käyttöoikeuden päättymistä on opiskelijan vastuulla ilmoittaa viestintäkumppaneilleen sähköpostiosoitteensa poistumisesta.

4.3 Menettelysäännöt työntekijän ollessa väliaikaisesti poissa

Kun kyse on ennakoidusta poissaolosta, työntekijän ja esimiehen on huolehdittava työntekijän sähköpostin asianmukaisesta hoidosta. Suositeltavin tapa on postilaatikon lukuoikeuden antaminen tehtäviä poissaolon aikana hoitavalle henkilölle pääsyoikeuslistojen avulla. (Automaattisista vastauksista katso luku 4.1.)

Salpauksella on oikeus lain yksityisyyden suojasta työelämässä (759/2004, 18-20§) asettamissa rajoissa saada käyttöönsä Salpaukselle kuuluvat, sen toiminnan jatkumisen kannalta välttämättömät viestit työntekijän ollessa estyneenä. Työntekijälle työsähköpostiosoitteella lähetettyjen tai tämän lähettämien viestien sekä selville saaminen että niiden avaaminen perustuu ensisijaisesti työntekijän suostumukseen sekä siihen että työntekijän luottamukselliset henkilökohtaiset viestit ovat erotettavissa Salpaukselle selvästi kuuluvista viesteistä. (viestien erottelusta ks. luku 2.5).

Mikäli työntekijä ei ole antanut toiselle työnantajan hyväksymälle henkilölle suostumusta, että tämä saa etsiä ja avata työntekijän poissa ollessa tämän sähköpostiviesteistä työnantajalle kuuluvat viestit, tai vakavan sairauden takia häneltä ei voida suostumusta saada, voi toimitusjohtaja määrätä henkilön esimiehen postipalvelimen pääkäyttäjän avulla selvittämään ja avaamaan työntekijän poissa ollessa yllä määritellyt työsähköpostiviestit. Viestien etsinnän ja avaamisen syy, siihen osalliset ja ajankohta sekä kenelle avatusta viestistä on annettu tieto, on kirjattava ja ilmoitettava ilman aiheetonta viivytystä työntekijälle.

4.4 Sähköpostijärjestelmää haittaavat tai vaarantavat viestit ja postilaatikot

Sähköpostijärjestelmän ylläpidon oikeudesta puuttua sähköpostin kulkuun sähköpostijärjestelmän palvelutason tai turvallisuuden takaamiseksi säädellään tarkemmin Tietojärjestelmien ylläpitosäännöissä.

5 Sähköpostiviestin salaus ja todentaminen

Käyttäjällä on oikeus salata sähköpostiviestinsä salausmenetelmää käyttäen.

Muita kuin julkisia tietoja ja julkisia henkilötietoja sisältäviä asiakirjoja ei tule siirtää sähköpostina tai muuna tietoverkon yli tapahtuvana tiedonsiirtona ilman salausta.

Salassa pidettäviä henkilö- ja muita tietoja voidaan kuitenkin siirtää sähköisesti, mikäli tiedon salaukseen käytetään riittävän vahvoja salausalgoritmeja tai tietoa siirretään vain Salpauksen sisäisessä verkossa.

Käytettävien salausohjelmien tulee organisaatio- ja työsähköpostiviestien osalta olla Salpauksen hyväksymiä ja käyttöönottamia.

Sähköpostilla vastaanotetun asiakirjan oikeellisuus ja aitous on tarvittaessa varmistettava.

Jos työsähköposti on salattu siten, että vain vastaanottaja voi avata sen, se on avattava välittömästi siirron jälkeen. Tarvittaessa se voidaan salata uudestaan siten, että se on muidenkin asian käsittelijöiden avattavissa. Velvollisuus ei koske haittaohjelmia sisältäviä viestejä eikä roskapostia.

6 Sähköpostin käytön valvonta sekä lokitietojen kerääminen ja säilyttäminen

Sähköpostin käytön valvonta on ohjeistettu Tietojärjestelmien ylläpitosäännöissä.

7 Näiden sääntöjen valvonta

Näiden sääntöjen valvonnasta vastaavat Salpauksen tietohallintopalvelut, sähköpostipalvelinten pääkäyttäjät sekä työnjohdollisesti esimiehet. Sääntörikkomusten käsittely tapahtuu Tietotekniikkarikkomusten seuraamuskäytännön mukaisesti. Sääntöjä päivitetään tarvittaessa tai sääntösuosituksen muuttuessa. Päivitystarvetta seuraa tietohallintojohtaja tai hänen nimeämänsä henkilö.

Liite 1: Luottamuksellisuusilmoitus

Malli luottamuksellisen sähköpostiviestin lopputekstistä (käytetään tarvittaessa):

LUOTTAMUKSELLISUUSILMOITUS

Tämä sähköpostiviesti saattaa sisältää tietoa, jonka hallintaoikeus, luottamuksellisuus ja/tai julkistaminen on rajattua sovellettavissa olevan lain mukaan.

Sisältö on tarkoitettu ainoastaan vastaanottajan käyttöön.

Jos tätä sähköpostiviestiä ei ole tarkoitettu Sinulle, sen käyttö, kopiointi, muuttaminen tai hallussapito on kiellettyä.

Jos sinulla on syytä uskoa, että tätä viestiä ei ole tarkoitettu Sinulle, ole hyvä ja poista se ja kaikki sen kopiot laitteistostasi. Muista, että tällaisen viestin osalta olet lain mukaan vaitiolovelvollinen, etkä saa myöskään käyttää viestiä hyväksesi (Laki yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta (565/1999) 4§).

Kiitos!

Koulutuskeskus Salpauksessa on käytössä sähköpostin roskapostisuodatus ja virustorjunta

• Roskapostisuodatus ja virustorjunta toteutetaan teknisin ratkaisuin.
• Suodatusjärjestelmä tarkistaa kaikki sähköpostijärjestelmän ulkopuolelta saapuvat sähköpostit ennen kuin ne saapuvat sähköpostijärjestelmään.
• Roskapostisuodatus ja virustorjunta ei koske sisäisiä sähköposteja.
• Ulospäin lähtevälle postille ei tehdä virustarkistusta.
• Roskapostisuodatus ja virustorjunnan käyttöönotto ei vaadi käyttäjiltä mitään lisätoimia.
• Ongelmatilanteissa ja kun tarvitset lisätietoja, voit ottaa yhteyttä Helpdeskiin:

chat Helpdesk
sähköposti helpdesk@salpaus.fi

Roskapostisuodatus käytännössä

• Roskapostit poistetaan automaattisesti tai ne ohjautuvat roskapostikansioon.

Virustorjunta käytännössä

• Sähköpostin virustorjunnassa viruspostit puhdistetaan tai poistetaan automaattisesti.

Yleisohjeet sähköpostin käyttäjille

• Sähköpostin virustorjunta ei nykyisin suojaa 100% kaikilta uusimmilta sähköpostiviruksilta tai roskapostilta.
• Nykyiset sähköpostivirukset leviävät niin nopeasti, ettei virustorjunta aina tunnista uusimpia variaatioita.
• Myös loppukäyttäjältä vaaditaan tarkkaavaisuutta sähköpostin käytössä.

Lähettäjän suhteen

• Virus voi tulla myös tutusta osoitteesta. Suuri osa tällä hetkellä aktiivisista viruksista käyttää sosiaalista leviämistapaa lähettämällä itseään mm. työaseman osoitekirjasta löytyviin osoitteisiin, jolloin vastaanottaja saa ne todennäköisesti tutulta.
• Osa viruksista leviää arvotuilla tai kokonaan puuttuvilla lähettäjätiedoilla, joten virusta ei voi luotettavasti tunnistaa lähettäjän perusteella.
• "I love you!", "FREE" ja vastaavilla otsikolla saapuvat sähköpostit kannattaa poistaa suoraan avaamatta sähköposteja.

Liitteiden suhteen

• Jos olet epävarma, kysy lähettäjältä. Vaiva on pieni verrattuna siivoustalkoisiin sekä jokaisen koneesi lähettämän viruksen jäljittämiseen ja pahoitteluun (kohteliasta) virustartunnan jälkeen.
• Jos tekstiosassa ei ole mitään "järkevää" selitystä liitteelle, älä avaa liitettä.

Kotikoneet

• Pidä huolta, että kotikoneesi virustorjuntaohjelmisto ja virustietokanta on aina ajan tasalla, varsinkin jos käytät kotikoneella sähköpostiohjelmaa.
  • Kotikäytössä on ilmainen esimerkiksi Microsoft Security Essentials
• Mieluiten tallenna liitteet ensin levylle ja tarkista ne virustorjunnalla sen sijaan, että avaisit ne suoraan.
• Päivitä tai päivitytä postiohjelmasi säännöllisesti.

Sähköpostivirukset sisäisessä postissa

• Ajan tasalla oleva työaseman virustorjunta estää parhaansa mukaan sähköpostin liitteenä saapuvan viruksen aktivoitumisen työasemalla.
• Avatessasi "saastunutta" sähköpostia työaseman virustorjuntaohjelmisto antaa virusilmoituksen ja estää "saastuneen" postisanoman/liitetiedoston käytön.
• Työaseman oma virustorjuntaohjelmisto ei kuitenkaan voi poistaa postilaatikosta sähköpostisanomaa jossa tartunta on, koska se sijaitsee fyysisesti sähköpostipalvelimella.
• Käyttäjän täytyy itse poistaa sähköpostilaatikostaan sähköpostisanoma, jota avattaessa työaseman virustorjunta ilmoittaa virushälytyksen. Lisäksi viesti tulee poistaa sähköpostiohjelman roskakorista.
• Helpoiten sähköpostisanoman poisto koko postilaatikosta onnistuu valitsemalla ko. viesti aktiiviseksi ja shift + delete näppäinyhdistelmällä tai hiiren oikealla "poista ja tyhjennä" -toiminnolla, jolloin viesti poistuu postilaatikosta suoraan, joutumatta roskakoriin.

Uusien sähköpostivirusten ja roskapostien ominaisuuksia

• Uusilla sähköpostiviruksilla ja roskaposteilla on kyky väärentää sähköpostisanomaan lähettäjän tiedot, jolloin lähettäjän sähköpostiosoite korvataan sähköpostiosoitteella, joka löytyy tartunnan saaneesta järjestelmästä.
• Sähköpostivirukset myös leviävät sähköpostitse sattumanvaraisesti nimettynä liitetiedostona.

Talon ulkopuolelta tuntemattomista osoitteista tulevat "epämääräiset" sähköpostit ja varsinkin niiden sisältämät liitetiedostot kannattaa jättää avaamatta.

Yleistä

Tietotekniikkarikkomuksina pidetään Koulutuskeskus Salpauksen tietojärjestelmien käytöstä annettujen sääntöjen tai määräysten vastaista toimintaa tai tietojärjestelmien käyttöä Suomen lakien vastaisesti.

Tässä dokumentissa on kuvattu toimenpiteitä, joita henkilöön kohdistetaan, kun tietotekniikkarikkomus on havaittu tai sitä on perusteltua syytä epäillä. Toimenpiteet on jaettu käyttöoikeuksien rajoituksiin rikkomuksen selvitystyön ajaksi sekä mahdollisiin rikkomuksesta määrättyihin seuraamuksiin.

Dokumentti keskittyy ensisijaisesti koulutuskeskuksen opiskelijoihin ja henkilökuntaan.

Koulutuskeskuksen järjestelmiin voi olla käyttäjätunnuksia myös mm.

• sidosryhmien jäsenillä.
• täydennyskoulutuksen opiskelijoilla.
• projekti-/hankeyhteyshenkilöillä, tutkijoilla ja ulkopuolisten palveluntarjoajien työntekijöillä.

Ryhmän heterogeenisuudesta johtuen sen osalta käytetään enemmän tapauskohtaista harkintaa.

Kaikki havaitut tietotekniikkarikkomukset ja niistä aiheutuneet toimenpiteet on ilmoitettava koulutuskeskuksen tietohallinnolle helpdeskiin.

Käyttöoikeuksien rajoittaminen selvitystyön ajaksi

Käyttöoikeuksia voidaan rajoittaa joko sulkemalla kaikki tai osa käyttäjän käyttäjätunnuksista tai muutoin estämällä jonkin tietojärjestelmän käyttö (esim. poistamalla tiedon muutosoikeus) Selvitystyön ajaksi

• opiskelijalta pääsääntöisesti suljetaan käyttäjätunnukset ja hänet kutsutaan keskustelemaan tietoturvapäällikön tai järjestelmästä vastaavan henkilön kanssa
• henkilökuntaan kuuluvan käyttöoikeuksia rajoitetaan tarvittavassa määrin. Rajoituksena verkkohäiriötilanteissa voi olla myös työaseman kytkeminen irti verkosta.

Käyttöoikeuksia on rajoitettava aina, kun on perusteltua syytä epäillä, että käyttäjä on syyllistynyt väärinkäytökseen, ja on mahdollista, että käyttöoikeudesta on haittaa rikkomuksen selvittämiselle tai vahinkojen minimoimiselle.

Käyttöoikeuksien rajoittamisesta selvitystyön ajaksi päättää tietojärjestelmän omistaja, yksikön johtaja tai muu tehtävään nimetty henkilö. Rajoittamisen toteuttaa ylläpitäjä. Kiireellisissä tapauksissa ylläpitäjä voi omalla päätöksellään rajoittaa käyttöoikeuksia enintään kolmeksi arkipäiväksi, mistä tulee välittömästi ilmoittaa rajoituksista vastaavalle henkilölle.

Seuraamukset

Lievimmissä tapauksissa käyttäjälle huomautetaan asiattomasta toiminnasta.

Tietotekniikkarikkomuksen seurauksena käyttäjä on korvausvastuussa sekä väärinkäyttämistään resursseista että väärinkäytön selvitystyöstä aiheutuneista kustannuksista.

Opiskelijat

Opiskelijalle kohdistettavia seuraamuksia voivat olla tietojärjestelmien käyttöoikeuksien rajoittaminen (käyttäjätunnusten sulkeminen) käyttösäännöt, koulutuskeskuksen sisäiset hallinnolliset toimet (kirjallinen varoitus, määräaikainen erottaminen)  sekä rikosilmoituksen tekeminen (laissa rangaistaviksi määritellyt teot).

Käyttäjätunnusten sulkemisesta päättää rehtori tai hänen nimeämänsä henkilö. Käytön rajoitusaikaan ei lasketa mukaan tunnusten sulkemista selvitystyön ajaksi.

Kirjallisen varoituksen antamisesta opiskelijalle tai määräaikaisesta erottamisesta päättää koulutuskeskuksen rehtori. Käyttöoikeudet perutaan erottamisen ajaksi.

Henkilökunta

Henkilökuntaa koskevia seuraamuksia voivat olla koulutuskeskuksen työoikeudelliset toimet (kirjallinen varoitus, irtisanominen, palvelussuhteen purku) (Työsopimuslaki 7 luku,2§ 8luku,1§) sekä rikosilmoituksen tekeminen (laissa rangaistaviksi määritellyt teot). Varoituksen antaa toimitusjohtaja tai rehtori. Käyttöoikeudet yksittäisiin järjestelmiin voidaan väärinkäytöksestä johtuvan luottamuspulan synnyttyä evätä määräajaksi tai pysyvästi. Seuraamuksia määriteltäessä tutkitaan yhdessä rikkomuksen tahallisuuden aste ja vakavuus.

Esimerkkejä rikkomuksista

Rikoslain alaisen materiaalin oikeudeton levittäminen

• rikoslain alaista materiaalia ovat esimerkiksi lapsiporno, eläimiin sekaantuminen, raaka väkivalta, rasistinen aineisto ja kansankiihottamismateriaali
• käsittelyä ovat mm. materiaalin levittäminen ja hallussapito

Tekijänoikeuslain alaisen materiaalin oikeudeton levittäminen

• Tekijänoikeuslain alaista materiaalia on esimerkiksi musiikki, videot, sarjakuvat, elokuvat, pelit ja ohjelmistot.

Tunnuksen luovuttaminen toiselle käyttäjälle

• Tunnuksen luovuttamista on esim. salasanan kertominen toiselle käyttäjälle tai istunnon auki jättäminen niin, että joku toinen pääsee valvomattomasti käyttämään toisen tunnusta.

Tiedon luottamuksellisuuden vaarantaminen, esim.

• ei-julkiseksi luokitellun tiedon luovuttaminen henkilölle, jolla ei ole oikeutta saada sitä, esim. palvelinten käyttäjätietojen luovutus
• ei-julkiseksi luokitellun tiedon tietoturvan laiminlyönti, esim. puutteelliset suojaukset järjestelmässä, jossa tietoa käsitellään
• salassapitorikokset
• henkilötietolain rikkominen

Henkilökohtaisen tietoturvan laiminlyönti, esimerkiksi salasanan jättäminen näkyviin.

Seuraamustaulukko

Johdanto

Tietoturvapolitiikalla Koulutuskeskus Salpaus määrittelee tietoturvallisuuden tavoitteet, tasot, vastuut, seurannan ja toteutuskeinot. Tietoturvallisuus on kiinteä osa Salpauksen koko toiminnan varmistamista ja kehittämistä.

Päämäärä ja tavoitteet

Salpauksen tietoturvapolitiikka ja säännöstö perustuvat kansainvälisiin ja kansallisiin lakeihin, asetuksiin ja viranomaismääräyksiin. Tietoturvasäännöstö on pääsääntöisesti yhtenäinen Suomen ammattikorkeakoulujen tietoturvasäännöstön kanssa.

Tietoturvallisuustyön päämääränä on turvata Salpauksen toiminnalle tärkeiden tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, estää tietojen ja tietojärjestelmien valtuudeton käyttö, tahaton tai tahallinen tiedon tuhoutuminen tai vääristyminen sekä minimoida aiheutuvat vahingot ja varautua toiminnan keskeyttäviin uhkatilanteisiin ja niistä toipumiseen. Hallinnollisten, teknisten ja muiden toimenpiteiden avulla Salpauksen tiedot, tietojenkäsittelyjärjestelmät ja palvelut pidetään asianmukaisesti suojattuina sekä normaali­ että poikkeusoloissa.

Tavoitteena on, että jokainen ymmärtää tietoturvallisuuden merkityksen kaikessa toiminnassa ja tietoturvajärjestelyt ovat hyvää kansallista ja kansainvälistä tasoa. Salpauksen tiedot, tiedostot, tietojenkäsittelyjärjestelmät, tietoverkko ja sen palvelut pidetään asianmukaisesti suojattuina normaali­, häiriö­ ja erityistilanteissa sekä poikkeusoloissa hallinnollisten, teknisten ja muiden toimenpiteiden avulla. Tietoturvaa kehitetään ennakoiden, Salpauksen toiminnan luonteen, tarpeiden ja tavoitteiden lähtökohdista.

Tietoturvallisuus

Tietoturvallisuudella on kolme ulottuvuutta: tiedon luottamuksellisuus, eheys ja saatavuus.

• Luottamuksellisuus (engl. confidentiality) on sitä, että tiedot ovat vain niihin oikeutettujen henkilöiden ja organisaatioiden saatavilla.
• Eheydellä (engl. integrity) tarkoitetaan sitä, että tiedon oikeellisuus, ristiriidattomuus ja oikeakestoinen säilyminen turvataan.
• Saatavuus (engl. availability) tarkoittaa sitä, että tiedot ja niiden muodostamat palvelut ovat niihin oikeutettujen tahojen käytettävissä tai saavutettavissa haluttuun aikaan.

Henkilötietoja sisältäviä rekisterejä käsitellään voimassaolevan tietosuojalainsäädännön ja rekisteriselosteiden mukaisesti. Henkilötietojen käsittelijät vastaavat henkilötietoaineiston lainmukaisesta käsittelystä. Tiedot pyritään luokittelemaan niiden merkityksen perusteella Salpauksen toiminnassa. Luokittelussa huomioidaan salassapidettävä, luottamuksellinen ja organisaation muu tieto sekä Suomen lainsäädäntö (mm. henkilötietolaki). Tietoja on sekä sähköisessä että paperisessa muodossa.

Vastuut

Järjestelmän tai palvelun tietoturvallisuus on määriteltävä hankintavaiheessa tuottajan ja tilaajan välisissä sopimuksissa. Jokaisella järjestelmällä tai palvelulla on omistaja, joka on vastuussa sen tietoturvasta yhdessä nimetyn pääkäyttäjän kanssa. Tietoturvan toteutuminen on myös jokaisen opiskelijan, henkilökunnan ja sidosryhmän jäsenen vastuulla siitä hetkestä alkaen, kun he vastaanottavat järjestelmiin oikeuttavat käyttäjätunnukset ja sitoutuvat noudattamaan tietoturvaohjeita palveluiden ja sovellusten käyttöohjeineen. Tietoturvallisuuden kehittämisestä, toteutumisesta ja seurannasta vastaa organisaation hallinnollinen tietoturvaryhmä ja tietoturvavastaava, jonka tukena toimii järjestelmien pääkäyttäjät, sekä tekninen tietoturvaryhmä ja asiantuntijat.

Toteutus

Tietoturvan säännöstöllä ja ohjeilla varmistetaan eri palveluiden ja niiden sovellusten käyttämisessä huomioitavat tietoturvaan liittyvät tekijät. Käyttäjät opastetaan eri käyttäjäkoulutuksissa järjestelmien, palveluiden ja laitteistojen käyttämiseen ja tällöin huomioidaan ja varmistetaan tietoturvaan liittyvät seikat. Pääkäyttäjä vastaa käytön ohjeistuksesta ja järjestelmän tietoturvallisesta käyttämisestä, jota edistetään myös teknisillä ratkaisuilla.

Seuranta

Tietoturvallisuutta seurataan hyvien valvontaperiaatteiden mukaisesti ja ohjeiden noudattamisen valvonta on osa kuntayhtymän sisäistä valvontaa. Tietoturvan toteutumista seurataan käyttäjä- ja järjestelmätasolla voimassaolevien lakien ja asetusten edellyttämällä tavalla. Valvontaa toteuttavat henkilöt ovat vaitiolovelvollisia työssään käsittelemistä tiedoista. Seurannan avulla tehdään tarvittaessa toimenpiteitä, tulokset ja mahdolliset kehittämistoimet raportoidaan sovituille tahoille.

Tietoturvapolitiikan hyväksyminen

Tietoturvapolitiikka on hyväksytty Koulutuskeskus Salpauksen johtoryhmässä 8.9.2017.

 

Koulutuskeskus-Salpauksen-tietosuojapolitiikka

Salatun sähköpostin lähettäminen Salpaukseen:
Avaa internet selaimella turvaposti-palvelu: https://turvaposti.salpaus.fi
Kirjoita oma sähköpostiosoitteesi ja valitse jatka.
Kohdista viestisi etunimi.sukunimi@salpaus.fi (varmista ensin, että vastaanottajalla on turvaposti käytössä), kirjoita aihe ja viesti sekä liitä tarvittaessa liite.
Paina lähetä painiketta.