Tilaaja]
ICT-hankintojen Tietoturvallisuussopimus
5/2016
[Tilaaja]
ja
[Toimittaja]
Tämä on malli – tätä ei tule käyttää sellaisenaan - organisaation tulee mukauttaa tämä aina jokaista käyt- tötapausta (hankintaa) varten erik- seen. Poista Malli-vesileima valitse- malla Sivun asettelu | Vesileima | Poista vesileima.
SISÄLLYSLUETTELO
3 SOPIMUKSEN TAVOITE JA KOHDE 3
5 SALASSAPITO JA VAITIOLOVELVOLLISUUS 4
7 HALLINNOLLINEN JA FYYSINEN TIETOTURVALLISUUS 5
8 TIETOJÄRJESTELMIEN HALLINNAN VAATIMUKSET 7
10 JATKUVUUDEN VARMISTAMINEN 8
13 RAPORTOINTI JA VIESTINTÄ 12
14 SOPIMUSSAKKO JA VAHINGONKORVAUS 12
16 SOPIMUKSEN IRTISANOMINEN 14
18 SOVELLETTAVA LAKI JA ERIMIELISYYKSIEN RATKAISEMINEN 15
19 SOPIMUSASIAKIRJAT JA NIIDEN PÄTEMISJÄRJESTYS 16
20 SOPIMUSKAPPALEET JA ALLEKIRJOITUKSET 16
1 SOPIJAPUOLET
1.1 Sopijapuolet ovat:
1. [nimi] (jäljempänä ”Tilaaja”) Osoite
Y-tunnus
2. [nimi] (jäljempänä ”Toimittaja”) Osoite
Y-tunnus
1.2 Tämän sopimuksen yhteyshenkilöt ja heidän vastuunsa on määritelty tä- män sopimuksen liitteessä. Ellei muuta ole sovittu, yhteyshenkilöt vastaa- vat tähän sopimukseen ja Pääsopimukseen liittyvästä tietoturvallisuuden hallinnasta ja koordinoinnista, kuten tietoturvapoikkeamien raportoinnista, mahdollisten tarkastusten toteutuksesta sekä sovittujen korjaustoimenpi- teiden toteutumisen seurannasta.
2 MÄÄRITELMÄT
2.1 Alihankkija tarkoittaa Palvelun tuottamiseen osallistuvaa kolmatta osa- puolta, jonka toiminnasta Toimittaja vastaa kuin omastaan. Tässä tarkoite- tuksi alihankkijaksi katsotaan myös Toimittajan Palvelun tuottamisessa käyttämät ICT-laitteiston huolto- ja korjaustehtäviä suorittavat alihankki- jat, ellei toisin sovita.
2.2 Asiakastieto tarkoittaa mitä tahansa tietoa, joka: (i) viittaa tunnettuun tai tunnistettavaan luonnolliseen tai oikeushenkilöön; (ii) katsotaan muutoin soveltuvan lain mukaan henkilötiedoksi.
2.3 Käsittely (tietojen käsittely) tarkoittaa tietojen keräämistä, tallettamis- ta, kopiointia, järjestämistä, käyttöä, lukemista, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tu- hoamista sekä muita tietoihin kohdistuvia toimenpiteitä.
2.4 Palvelu tarkoittaa sitä palvelua, josta Tilaaja ja Toimittaja ovat sopineet Pääsopimuksessa. Mitä tässä sopimuksessa todetaan Xxxxxxxxxx, sovelle- taan soveltuvin osin myös Pääsopimuksessa sovittuun tavarahankintaan.
2.5 Pääsopimus tarkoittaa kohdassa 3.1 yksilöityä Toimittajan ja Tilaajan vä- listä sopimusta liitteineen.
2.6 Salassa pidettävä tieto tarkoittaa kaikkea sellaista asiakirjamuotoista tai muuta tietoa, joka on määritelty salassa pidettäväksi laissa viranomaisten toiminnan julkisuudesta (621/1999, jäljempänä ”julkisuuslaki”) tai muussa lainsäädännössä, ja jonka Tilaaja on tällaiseksi tiedoksi ilmoittanut tai jon- ka Toimittaja tiesi tai olisi pitänyt tietää kuuluvan tällaisiin tietoihin.
Salassa pidettävää tietoa voivat olla esimerkiksi Tilaajan henkilöstöön, asi- akkaisiin, alihankkijoihin, prosesseihin, palveluihin, tiloihin, tietojärjestel- miin, tietokantoihin, ohjelmistoihin, rekistereihin, turvallisuus- ja varautu- misjärjestelyihin sekä liikesalaisuuksiin liittyvät tiedot samoin kuin näiden tietojen muotoiluun, rakenteeseen ja metatietoon liittyvät tiedot.
Salassa pidettävää ei ole tieto, a) joka on ollut yleisesti tiedossa tai tulee myöhemmin yleiseen tietoon muutoin kuin vastaanottajan vastuulla olevas- ta syystä; b) joka on ollut todistettavasti vastaanottajan hallussa ilman sitä koskevaa salassapitovelvollisuutta ennen tiedon vastaanottamista luovutta- jalta ja jota vastaanottaja ei ole välittömästi tai välillisesti hankkinut kol- mannelta; c) jonka vastaanottaja on saanut haltuunsa kolmansilta ilman salassapitovelvollisuutta ja jonka ilmaisemiseen tai luovuttamiseen näillä kolmansilla on ollut oikeus salassapitovelvoitteen estämättä; d) jonka luo- vuttamisen ja käyttämisen luovuttaja on nimenomaan hyväksynyt; ja/tai
e) joka pakottavan lain, säädöksen tai tuomioistuimen päätöksen tai tuo- mioistuimen antaman sitovan määräyksen mukaisesti on luovutettavissa olevaa.
2.7 Tekninen tukijärjestelmä tarkoittaa pääosin Toimittajan omaan käyttöön tarkoitettua tietojärjestelmää, joka ei sisälly Palvelun toimitukseen, mutta jota Toimittaja käyttää Palvelun tuottamiseen tai jossa käsitellään Tilaajan aineistoa, kuten esimerkiksi sähköposti-, tiketöinti-, työryhmä-, toiminnan- ohjaus-, konfiguraationhallinta- tai vastaavaa tietojärjestelmää.
2.8 Tietojärjestelmä tarkoittaa tiettyä käyttötarkoitusta varten kerätyistä tie- doista muodostettua automaattisen tietojenkäsittelyn avulla pidettyä tie- dostoa tai tietovarantoa, jonka avulla käyttäjä voi tuottaa palveluja tai suo- rittaa muita tehtäviä järjestelmän käyttötarkoituksen ja tietojen käsittelyä koskevien vaatimusten mukaisesti
2.9 Tietotekninen laitetila (IT-laitetila) tarkoittaa erityisesti konesalia, palve- linhotellia, viestiasemaa, tietoverkon valvomo- tai hallintatilaa tai muuta erillistä teknistä tilaa.
2.10 Tilaajan aineisto tarkoittaa Pääsopimuksen mukaisen tuotteen toimituk- sen tai Palvelun yhteydessä käytettävää tai niihin sisältyvää Tilaajan asia- kirjaa, kirjallisia tietoja, tietokantoja ja ohjelmistoja, sekä muuta aineistoa, jonka Tilaaja on luovuttanut Toimittajalle tuotteen tai Palvelun tuottamista varten, sekä lisäksi Palvelua tai tuotetta käytettäessä syntynyttä Tilaajan tietoaineistoa, tämän muotoilua, rakennetta ja metatietoa.
Tietoaineiston rakenteella ei tarkoiteta tietosisällön tallennusteknistä ra- kennetta, vaan sen käsitteellistä muotoilua ja jäsennystä Tilaajan tarkoi- tusta varten. Tietoaineisto voi olla tallennusteknisesti tiedostoissa, tieto- kannoissa tai muissa tallennusmuodoissa. Tässä määritelmässä tietosisäl- löllä ja tiedolla tarkoitetaan sekä raakatietoa että jalostettua tietoa.
2.11 Toimitila tarkoittaa joko yksittäistä huonetta tai niistä muodostuvaa koko- naisuutta sekä tietoteknisiä laitetiloja, joissa suoritetaan Pääsopimuksessa sovittuja tai siihen liittyviä tehtäviä.
2.12 VAHTI tarkoittaa Valtionhallinnon tieto- ja kyberturvallisuuden johtoryh- mää.
3 SOPIMUKSEN TAVOITE JA KOHDE
3.1 Toimittaja ja Tilaaja ovat tehneet Pääsopimuksen nro [XXX] [sopimuksen kohde] [pvm].
3.2 Tämän sopimuksen tavoitteena on varmistaa Pääsopimuksella hankittavien tuotteiden ja palveluiden elinkaaren kattava tietoturvallisuus, Toimittajan toiminnan vaatimustenmukaisuus ja palvelutuotannon jatkuvuus erilaisissa häiriötilanteissa. Tavoitteena on lisäksi varmistaa Tilaajan aineiston luotta- muksellisuus, eheys ja saatavuus Pääsopimuksen mukaisessa palvelutuo- tannossa siitä riippumatta, onko Tilaajan aineisto tämän sopimuksen pe- rusteella Xxxxxxx pidettävää tietoa.
3.3 Tässä sopimuksessa sovitaan turvallisuusjärjestelyistä, salassapidosta, tie- tosuojasta ja muusta tietoturvallisuudesta Palveluiden tuottamisessa sekä kaikessa Pääsopimukseen liittyvässä Tilaajan ja Toimittajan välisessä yh- teistyössä. Tämän sopimuksen tarkoituksena on täydentää Pääsopimuksen ehtoja.
3.4 Tämän sopimuksen, Pääsopimuksen ja sen muiden liitteiden soveltamisjär- jestys määräytyy Pääsopimuksen ehtojen mukaisesti. Pääsopimuksessa sovittuja vahingonkorvauksen vastuunrajoituksia ei kuitenkaan sovelleta tämän sopimuksen perusteella syntyvään vahingonkorvausvastuuseen, vaan vastuunrajoitukset määräytyvät aina tämän sopimuksen luvun 14 mukaisesti.
3.5 Jos tämä sopimus ei ole Pääsopimuksen liiteasiakirja, tämän sopimuksen ehtoja sovelletaan ristiriitatilanteessa ennen Pääsopimuksen ehtoja.
3.6 Viittaus ”tähän sopimukseen” tarkoittaa aina myös viittausta tämän sopimuksen liitteisiin, ellei nimenomaisesti toisin ole todettu.
4 ALIHANKKIJAT
4.1 Mitä tässä sopimuksessa on sovittu Toimittajasta ja Toimittajan henkilöistä, sovelletaan myös alihankkijaan ja alihankkijan henkilöihin. Mitä tässä so- pimuksessa sovitaan alihankkijasta, koskee myös sellaisia Toimittajan kon- serniyhtiöitä, jotka osallistuvat sovitusti Tilaajalle tuotettaviin Palveluihin.
4.2 Toimittaja voi käyttää sopimuksessa tarkoitetun palvelun tuottamiseen vain tilaajan hyväksymiä alihankkijoita. Tilaaja ei voi kieltäytyä antamasta hy- väksyntäänsä ilman perusteltua syytä. Toimittajalla ei ole oikeutta vaihtaa Pääsopimuksessa nimettyä alihankkijaa tai olennaisten sopimusvelvoittei- den täyttämiseen osallistuvaa alihankkijaa ilman Xxxxxxxx suostumusta.
4.3 Toimittajan tulee huolehtia siitä, että se pystyy noudattamaan tätä sopi- musta myös käyttäessään alihankkijoita. Toimittajan on tiedotettava ali- hankkijalleen, että turvallisuusjärjestelyjen saattamisesta tämän sopimuk- sen edellyttämälle tasolle saattaa syntyä kustannuksia. Tilaaja ei vastaa näistä kustannuksista.
4.4 Toimittaja vastaa alihankkijoiden toiminnasta kuin omastaan ja siitä, että alihankkijat toimivat tämän sopimuksen ehtojen mukaisesti.
5 SALASSAPITO JA VAITIOLOVELVOLLISUUS
5.1 Tällä sopimuksella ei poiketa lainsäädännön asettamista pakottavista vel- voitteista. Tällaisia velvoitteita voi sopijapuolille aiheutua esimerkiksi viran- omaisten toiminnan julkisuudesta annetusta laista (621/1999), valtioneu- voston asetuksesta tietoturvallisuudesta valtionhallinnossa (681/2010; jäl- jempänä tietoturvallisuusasetus) sekä muussa lainsäädännössä olevista sa- lassapitoa ja julkisuutta koskevista säännöksistä.
5.2 Toimittaja sitoutuu pitämään Xxxxxxx pidettävän tiedon salassa ja käsitte- lemään sitä tämän sopimuksen ja Pääsopimuksen vaatimusten mukaisesti.
5.3 Toimittaja ei käytä taikka hyödynnä Tilaajan aineistoa muuhun kuin Pääso- pimuksen täyttämisen mukaiseen tarkoitukseen ja silloinkin ainoastaan sii- nä laajuudessa kuin se kulloinkin on tarpeen.
5.4 Toimittaja saa luovuttaa Tilaajan aineistoa vain niille henkilöille, jotka tar- vitsevat tietoja Xxxxxxxx tuottamiseen liittyvissä työtehtävissään ja joilla on tämän sopimuksen mukainen Salassa pidettävien tietojen käsittelyoikeus. Tilaajan aineistoa ei saa oikeudetta näyttää eikä luovuttaa sivulliselle eikä antaa sitä oikeudetta teknisen käyttöyhteyden avulla tai muulla tavalla si- vullisen nähtäväksi tai käytettäväksi.
5.5 Ellei toisin sovita, Toimittajan henkilön on täytettävä seuraavat edellytyk- set saadakseen oikeuden käsitellä Xxxxxxx pidettävää tietoa, joka on tieto- turvallisuusasetuksen nojalla suojaustaso- tai turvallisuusluokiteltu tasolle III tai korkeampi:
a) Toimittaja on hyväksyttänyt henkilön Tilaajalla etukäteen;
b) henkilöstä on tehty henkilöturvallisuusselvitys; ja
c) henkilö on tietoinen tämän sopimuksen mukaisista velvoitteistaan.
5.6 Tilaaja voi edellyttää soveltuvan lainsäädännön mukaista henkilöturvalli- suusselvitysmenettelyä myös henkilöiltä, joilla on käsittelyoikeus suojaus- tai turvallisuustason IV tietoon.
5.7 Toimittajan on Tilaajan pyynnöstä Palvelua käynnistettäessä laadittava lu- ettelo sellaisista Palvelun tuottamiseen osallistuvista Toimittajan tai sen alihankkijan henkilöistä, joilla on pääsy Tilaajan Asiakastietoihin, tunnista- mistietoihin ja Salassa pidettäviin tietoaineistoihin. Toimittajan on muutos- ten tapahtuessa päivitettävä luettelo ja toimitettava se Tilaajalle.
5.8 Tarpeettomat tiedostot ja tulosteet tulee tuhota suojaustasoluokituksen edellyttämällä tavalla, ellei Tilaaja ole antanut asiasta tarkempaa ohjeistus- ta.
5.9 Toimittaja sitoutuu noudattamaan tämän sopimuksen liitteenä olevaa Tilaa- jan ohjeistusta Xxxxxxx pidettävän tiedon käsittelystä.
5.10 Toimittaja vastaa siitä, että Toimittajan tai sen alihankkijan Palvelun tuot- tamiseen osallistuvat henkilöt allekirjoittavat Xxxxxxxx pyynnöstä tämän so- pimuksen liitteenä olevan turvallisuusvelvoitteiden tiedoksisaantitodistuk- sen (vaitiolositoumuksen) ennen kuin heille myönnetään oikeus käsitellä Salassa pidettäviä tietoja.
5.11 Ellei Pääsopimuksessa ole toisin sovittu, Toimittajalla ei ole oikeutta käyt- tää sopimusta referenssinä ilman Tilaajan kirjallista lupaa. Referenssioi- keuden myöntäminen ei vapauta Toimittajaa sovituista salassapitovelvoit- teista.
5.12 Toimittaja tiedostaa, että Xxxxxxx pidettävän tiedon luvaton paljastaminen tai oikeudeton käsittely saattaa olla rikoslain mukaan rangaistava teko. Ti- laaja valvoo lainsäädännön sallimin keinoin salassapitovelvoitteiden nou- dattamista.
6 TIETOSUOJA
6.1 Toimittaja noudattaa henkilötietoja käsitellessään henkilötietolain (523/1999) edellyttämää hyvää tietojen käsittelytapaa ja tietojen suojaa- mista koskevia säännöksiä sekä muuta Toimittajaa koskevaa tietosuoja- lainsäädäntöä Pääsopimukseen liittyvän Palvelun tuottamisessa.
6.2 Mikäli Palveluun tai muuhun osapuolen väliseen yhteistyöhön sisältyy hen- kilötietojen käsittelyä, vastaavat sopijapuolet omista lakiin perustuvista velvoitteistaan joko rekisterinpitäjänä tai tietojen käsittelijänä. Xxx Xxxxxx- xxxx käsittelee henkilötietoja Xxxxxxxx toimeksiannosta, toimii Toimittaja henkilötietojen käsittelijänä ja sitoutuu toimimaan sekä lain että erikseen annettavan Tilaajan ohjeistuksen mukaisesti käsitellessään henkilötietoja.
6.3 Asiakastietojen käsittelyyn ja siirtämiseen sovelletaan lisäksi kohtia 7.6-
Virhe. Viitteen lähdettä ei löytynyt..
7 HALLINNOLLINEN JA FYYSINEN TIETOTURVALLISUUS Yleiset vaatimukset
7.1 Toimittaja sitoutuu toteuttamaan sovitut tekniset ja organisatoriset toi-
menpiteet, joita tarvitaan Tilaajan aineiston suojaamiseksi luvattomalta tie- toihin pääsyltä tai tietojen tuhoutumiselta tai muuttumiselta.
7.2 Tilaaja on määrittänyt Palveluun ja Toimittajan toimintaan liittyvät tietotur- vavaatimukset, jotka Toimittajan tulee täyttää. Vaatimukset on esitetty [Pääsopimuksen liitteessä X/tämän sopimuksen liitteessä X.]. Vaatimukset täydentävät tämän sopimuksen mukaisia vaatimuksia, jotka asettavat vä- himmäistason Palvelun tietoturvallisuudelle.
7.3 Toimittaja sitoutuu noudattamaan tietoturva-asetuksen mukaisia käsittely- sääntöjä suojaustaso- tai turvallisuusluokitellun tiedon osalta. Xxxxx Xxxxxxx pidettävää tietoa ole luokiteltu eikä Tilaaja ole muutoin ohjeistanut Toimit- tajaa Salassa pidettävän tiedon käsittelystä, Xxxxxxx pidettävää tietoa käsi- tellään kuin se olisi luokiteltu suojaustasolle IV.
7.4 Toimittaja sitoutuu ylläpitämään liitteenä olevan turvallisuudenhallinnan kuvauksen mukaiset menettelyt.
7.5 Toimittaja on velvollinen ilmoittamaan Tilaajalle, jos Toimittajan on nouda- tettava Pääsopimuksen mukaisessa toiminnassaan muuta kuin Suomen tai Euroopan unionin lainsäädäntöä, joka voi muodostaa ristiriidan tämän so- pimuksen ehtojen kanssa.
Tilaajan aineiston sijainti
7.7 Tilaaja voi Pääsopimuksessa rajoittaa Tilaajan aineiston maantieteellistä si- jaintipaikkaa tai palvelutuotantoaluetta.
7.8 Toimittaja on pyynnöstä velvollinen ilmoittamaan Tilaajalle kaikki ne toimi- pisteet ja valtiot, joista Toimittaja tuottaa Palvelua ja/tai käsittelee Tilaajan aineistoa.
7.10 Jos Tilaaja antaa kohdan 7.9 mukaisen luvan, Toimittaja on kustannuksel- laan velvollinen selvittämään sovellettavan lainsäädännön asettamat edel- lytykset tiedon siirtämiselle. Jos lainsäädäntö edellyttää erillistä sopimista, Toimittaja valmistelee kustannuksellaan riittävät tiedonsiirtosopimukset tiedon siirtämiseksi Euroopan talousalueelta kolmansiin maihin tai pääsyn mahdollistamiseksi Euroopan talousalueella olevaan Tilaajan aineistoon Eu- roopan talousalueen ulkopuolelta. Henkilötietojen siirron osalta hyödynne- tään EU:n komission mallisopimuslausekkeita, elleivät sopijapuolet sovi vaihtoehtoisista malleista henkilötietojen lain mukaiseksi siirtämiseksi.
Tilaajan toimitilojen turvallisuus
7.11 Toimittaja vastaa siitä, ettei Xxxxxxxx toimitilojen tai toiminnan turvallisuus vaarannu Toimittajan henkilöstön huolimattomuuden, virheellisten työtapo- jen tai muun tämän sopimuksen tai Pääsopimuksen vastaisen toiminnan johdosta.
7.12 Ellei toisin sovita, pääsyoikeus muihin kuin Tilaajan julkisiin tiloihin xxxx- xxxx vain niille Toimittajan henkilöille, jotka
a) Toimittaja on hyväksyttänyt Tilaajalla etukäteen,
b) joista on tarvittaessa tehty henkilöturvallisuusselvitys ja
c) jotka ovat tietoisia tämän sopimuksen velvoitteistaan ja tiloissa liikkumi- sesta annetuista ohjeista.
7.13 Ellei toisin sovita, Toimittajan henkilöillä on oltava Tilaajan tiloissa liikkues- saan näkyvillä tunniste, kuten Toimittajan tai Tilaajan myöntämä henkilö- tai vierailijakortti.
Toimittajan toimitilojen turvallisuus
7.14 Ellei toisin sovita, Toimittajan toimitilojen tulee olla Xxxxxxx pidettävän tie- don suojaustason tai turvallisuusluokituksen asettamat vaatimukset huo- mioon ottaen asianmukaisesti suojattu lukituksella ja muilla tarpeellisilla
toimenpiteillä luvattoman pääsyn estämiseksi toimitiloihin ja siellä olevaan Salassa pidettävään tietoon.
7.15 Ellei toisin sovita, kulunvalvonta IT-laitetiloihin, joissa käsitellään Salassa pidettävää tietoa, on järjestettävä siten, ettei kukaan pääse saapumaan tai poistumaan tulematta rekisteröidyksi (sähköinen/kirjallinen loki tai vastaa- va).
7.16 Toimittajan tulee Xxxxxxxx pyynnöstä hyväksyttää Tilaajalla kaikki henkilöt, joille on tarpeen myöntää pääsyoikeus yksinomaan Tilaajan Palvelujen tuottamiseen varattuun Toimittajan tilaan, jossa käsitellään Xxxxxxx pidet- tävää tietoa ja joka on sovitulla tavalla eriytetty Toimittajan muusta toi- minnasta. Tässä kohdassa tarkoitetuista henkilöistä on Tilaajan niin vaa- tiessa ja lainsäädännön edellytysten täyttyessä teetettävä henkilöturvalli- suusselvitys.
8 TIETOJÄRJESTELMIEN HALLINNAN VAATIMUKSET
8.1 Toimittaja on Tilaajan pyynnöstä velvollinen hyväksyttämään Tilaajalla sel- laiset Toimittajan henkilöt, jotka voivat pääsyoikeuksiensa perusteella kes- keyttää tai vaarantaa Tilaajan tietojärjestelmien toiminnan taikka vaaran- taa tietojärjestelmän tietoturvallisuuden. Tilaaja voi hakea tällaisista henki- löistä tarvittaessa henkilöturvallisuusselvityksen.
8.2 Ellei toisin sovita, Toimittajan tulee huolehtia Toimittajan vastuulla olevien palveluympäristöjen osalta siitä, että:
• sen henkilöstön oikeudet ja valtuudet Palvelun tuottamisessa käy- tettävissä tietojärjestelmissä rajataan vain työtehtävien edellyttä- mään laajuuteen,
• pääsyoikeuksien myöntämisen, muuttamisen ja poistamisen osalta noudatetaan prosessia, joka kattaa toimitilat, tietojärjestelmät ja palvelut,
• pääsyoikeudet tietojärjestelmiin, joissa käsitellään Tilaajan aineis- toa, ovat henkilökohtaisia,
• Toimittajan henkilölle myönnetyt Xxxxxxxx avaimet, henkilökortit ja kulkuluvat palautetaan Tilaajalle sekä käyttäjätunnukset ja pääsyoi- keudet poistetaan ilman viivytystä, kun henkilö ei enää osallistu Palvelun tuottamiseen ja;
• Sopimuksen päätyttyä Toimittaja palauttaa ilman viivytystä Tilaajal- le tämän avaimet, henkilökortit, kulkuluvat, salausavaimet, lisens- sit, kulkukoodit, käyttäjätunnukset, salasanat, muut tunnistautu- misvälineet sekä muun Tilaajan luovuttaman omaisuuden ja sulkee sopimuksen nojalla avaamansa tietoliikenne-, tietojärjestelmä-, tie- donsiirto- sekä etäkäyttöyhteydet.
9 OHJELMISTOTURVALLISUUS
9.1 Toimittaja vastaa Palvelun osalta siitä, että:
• sen toimittamiin tietojärjestelmäpalveluihin, ohjelmistokomponent- teihin tai medioihin ei sisälly haittaohjelmia tai muuta tahallista hai- tallista toiminnallisuutta,
• se seuraa Palvelun tuottamiseen liittyviin ohjelmistoihin, kolmannen osapuolen komponentteihin ja sen osana oleviin valmisohjelmistoi- hin liittyviä tietoturvallisuustiedotteita, julkaistuja tietoturvapäivi- tyksiä ja haavoittuvuuksia,
• se tiedottaa Tilaajaa viivytyksettä Palvelun tuottamiseen liittyvien, vastuullaan olevien Tilaajan ohjelmistojen tietoturvahaavoittuvuuk- sista sekä tietoturvapäivityksistä.
10 JATKUVUUDEN VARMISTAMINEN
10.1 Tilaaja on määrittänyt ICT-varautumisvaatimukset, jotka Toimittajan tulee täyttää. Vaatimukset on esitetty [Pääsopimuksen liitteessä X/tämän sopi- muksen liitteessä X.]. Vaatimukset täydentävät tämän sopimuksen mukai- sia vaatimuksia, jotka asettavat vähimmäistason ICT-varautumiselle.
10.2 Palvelun jatkuvuuden varmistamiseksi Toimittaja vastaa siitä, että:
• sillä on asianmukaiset voimassa olevat suunnitelmat, järjestelyt ja vakuutukset toimintansa jatkuvuuden varmistamiseksi ja keskey- tyksiltä suojautumiseksi,
• jatkuvuuden varmistamisen toimenpiteet ja suunnitelmat on koulu- tettu, harjoiteltu ja otettu käyttöön palvelutuotannossa ja;
• Palvelun saatavuuden ja häiriöstä tai vikatilanteesta toipumisen (ml. varmuuskopioinnin) prosessit sekä niiden tekniset toteutukset on suunniteltu siten, että palautumisvalmius vastaa sovittuja vaati- muksia.
11 TURVALLISUUSSELVITYKSET
11.1 Tämän sopimuksen tarkoittamalla turvallisuusselvityksellä tarkoitetaan tur- vallisuusselvityslain (726/2014) mukaista yritysturvallisuusselvitystä ja henkilöturvallisuusselvitystä taikka niitä vastaavia, Suomen kansallisen turvallisuusviranomaisen (National Security Authority, NSA) kautta hankit- tua ja ulkomaan turvallisuusviranomaisen myöntämää yritysturvallisuusto- distusta ja henkilöturvallisuustodistusta.
Yritysturvallisuusselvitykset
11.2 Tilaaja voi hakea Toimittajasta turvallisuusselvityslain mukaisen yritystur- vallisuusselvityksen tai kansainvälisten tietoturvallisuusvelvoitteiden edel- lyttämän yritysturvallisuusselvityksen (Facility Security Clearance, FSC).
11.3 Yritysturvallisuusselvityksen hakemisen edellytyksistä on säädetty turvalli- suusselvityslain 33 §:ssä. FSC:n hakemisen edellytyksistä on säädetty lais- sa kansainvälisistä tietoturvavelvoitteista sekä sovittu Suomea sitovissa kansainvälisissä sopimuksissa.
11.4 Yritysturvallisuusselvityksen ja FSC:n edellytyksenä on, että Toimittaja on antanut siihen etukäteisen suostumuksen. Tilaajalla on kohdan 16.3 mu- kainen irtisanomisoikeus, jos Toimittaja kieltäytyy antamasta suostumuk- sensa yritysturvallisuusselvityksen hakemiselle.
11.5 Turvallisuusselvityslain perusteella tehtävien yritysturvallisuusselvitysten hakemisesta vastaa Tilaaja. Sopijapuolet sopivat erikseen menettelystä FSC:n hankkimiseksi.
11.6 Xxxxx Xxxxxxxxxxxxxxx toisin sovita, Toimittaja vastaa kaikista yritysturval- lisuusselvitysmenettelyyn (ml. FSC-menettely) liittyvistä kustannuksista. Toimittaja vastaa myös alihankkijansa yritysturvallisuusselvitykseen liitty- vistä kustannuksista.
11.7 Jos lainsäädännön tai Suomea velvoittavien sopimusten edellytykset FSC:n hakemiselle eivät täyty sen vuoksi, että Palvelussa ei käsitellä turvallisuus- luokiteltua tietoa, mutta Palvelun yhteydessä Toimittaja käsittelee kuiten- kin suojaustasoon I–III kuuluvaksi luokiteltuja asiakirjoja, Tilaajalla on oi- keus pyytää Toimittajaa toimittamaan turvallisuusselvityslain 37 §:ssä säädetyt tiedot Tilaajalle. Tiedot on toimitettava siinä laajuudessa kuin Toimittaja on voimassa lainsäädännön mukaan oikeutettu niitä käsittele- mään. Jos Toimittaja kieltäytyy toimittamasta vaadittuja tietoja tämän so- pimuksen mukaisessa laajuudessa, Tilaajalla on kohdan 16.3 mukainen ir- tisanomisoikeus. Tilaaja on oikeutettu käyttämään toimitettuja tietoja teh- däkseen itse tai toimivaltaisen viranomaisen avustuksella kohdan 11.8 mu- kaisen arvioinnin. Tilaajan tämän kohdan mukaiseen vaitiolovelvollisuuteen ja hyväksikäyttökieltoon sovelletaan viranomaisten toiminnan julkisuudesta annetun lain 22—24 §:ää.
Henkilöturvallisuusselvitykset
11.9 Tilaajalla on oikeus hakea turvallisuusselvityslaissa tarkoitettu henkilötur- vallisuusselvitys Toimittajan henkilöistä turvallisuusselvityslain mukaisessa laajuudessa. Toimittaja vastaa turvallisuusselvityksen kohteena olevan henkilön suostumuksen hankkimisesta.
11.10 Toimittajan tulee toimittaa henkilöturvallisuusselvityksen kohteena olevan henkilön täyttämä ja allekirjoittama lomake Tilaajalle henkilöturvallisuus- selvityksen hakemista varten.
11.11 Ellei toisin sovita, turvallisuusselvityslain mukaista henkilöturvallisuusselvi- tystä vastaavaksi selvitykseksi hyväksytään toisen valtion antama henkilö- turvallisuustodistus (Personal Security Clearance, PSC). Tilaaja voi myös hyväksyä vastaavan toisen valtion viranomaisen tekemän henkilöturvalli- suusselvityksen.
11.13 Toimittaja on velvollinen hankkimaan selvityksen kohteena olevan henkilön suostumuksen kohdassa 11.12 mainittujen selvitysten toimittamiseksi Ti- laajalle. Tilaaja on oikeutettu käyttämään saamiaan tietoja ainoastaan teh- däkseen 11.15 mukaisen arvioinnin. Tilaajan tämän kohdan mukaiseen vai- tiolovelvollisuuteen ja hyväksikäyttökieltoon sovelletaan viranomaisten toiminnan julkisuudesta annetun lain 22—24 §:ää.
11.14 Tilaaja vastaa Suomessa tehtyjen henkilöturvallisuusselvitysten kustannuk- sista. Mikäli henkilöturvallisuusselvitys tulee uudelleen tehtäväksi sen vuoksi, että Toimittajan henkilöstössä tapahtuu vaihdos tai Tilaajasta riip- pumaton lisäys, Toimittaja vastaa uuden henkilön henkilöturvallisuusselvi- tyksen teettämisen tai todistuksen antamisen kustannuksista. Toimittaja vastaa PSC:n tai vastaavan toisen valtion viranomaisen antamien selvitys- ten ja todistusten kustannuksista.
12 TARKASTUKSET
12.2 Kohdan 12.1 mukainen tarkastus voidaan lain edellytysten täyttyessä suo- rittaa myös viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1406/2011, jälj. auditointila- ki) mukaisena arviointina tai valtiovarainministeriön teettämänä selvityk- senä. Tämän kohdan mukaisen tarkastuksen toteuttamisesta päättää yk- sinomaan Xxxxxxx, ellei kyse ole auditointilain 5 §:n tarkoittamasta valtiova- rainministeriön teettämästä selvityksestä.
12.3 Sopijapuolet pyrkivät myötävaikuttamaan tarkastuksen suorittamiseen si- ten, ettei tarkastustoimenpiteistä aiheudu kohtuutonta haittaa Toimittajan palvelutuotannolle tai sovitulle palvelutasolle. Tilaaja tai sopijapuolet yh- dessä laativat tarkastusta koskevan tarkastussuunnitelman, jonka sopija- puolet katselmoivat. Tarkastukset eivät saa vaarantaa Toimittajan tietotur- vallisuutta tai Toimittajan salassapitovelvoitteita muita asiakkaita kohtaan enempää kuin mikä on välttämätöntä tarkastuksen tarkoituksen toteutta- miseksi tämän sopimuksen vaatimustenmukaisuuden selvittämiseksi.
12.4 Ellei turvallisuusselvityslaista tai auditointilaista muuta johdu tai elleivät sopijapuolet ole toisin sopineet, Tilaaja vastaa tarkastusten ja arviointien ja todistuksen antamisesta aiheutuvista maksuista, kuten tarkastajan työkus- tannuksesta. Selvyyden vuoksi todetaan, että Toimittaja vastaa kaikista niistä kuluista ja kustannuksista, joita sille tai sen alihankkijalle aiheutuu tarkastuksiin käytetystä työajasta, havaittujen puutteiden korjaamisesta ja kuluista, jotka aiheutuvat Palvelun saattamiseksi sovittujen vaatimusten mukaisiksi.
12.5 Ellei toisin ole sovittu, Xxxxxxxx on ilmoitettava tahdostaan suorittaa tarkas- tus viimeistään neljätoista (14) päivää ennen ehdotettua tarkastuspäivää. Haavoittuvuusskannauksia voidaan kuitenkin tehdä edellä mainitusta mää- räajasta riippumatta erikseen sovittavina ajankohtina.
12.6 Toimittajan tulee huolehtia sopimusjärjestelyin siitä, että Tilaajalla on mahdollisuus tarkastaa Toimittajan alihankkijan turvallisuusjärjestelyt.
12.7 Jos tarkastuksessa havaitaan, ettei Toimittajan toiminta täytä sovittuja vaatimuksia, Toimittaja laatii viipymättä aikataulutetun suunnitelman tilan- teen korjaamiseksi ilman eri veloitusta. Ellei sopijapuolten hyväksymästä suunnitelmasta muuta johdu, Toimittajan tulee korjata tarkastuksessa ha- vaitut puutteet viivytyksettä Tilaajan kirjallisesta ilmoituksesta. Olennaiset puutteet, jotka muodostavat ilmeisen uhkan tietoturvallisuudelle, on kor- jattava heti tai Tilaajan asettamassa aikataulussa. Tilaaja ei vastaa edellä mainituista korjauksista aiheutuvista kuluista ja kustannuksista.
12.8 Mikäli tarkastuksessa havaitaan, ettei Toimittajan toiminta täytä sovittuja vaatimuksia ja Tilaaja edellyttää virheen korjaamisen todentamiseksi uu- sintatarkastusta, Toimittaja korvaa Tilaajalle uusintatarkastuksesta aiheu- tuneet kustannukset.
12.9 Tilaajalla on oikeus luovuttaa muille viranomaisille tieto siitä, että tämän luvun mukainen tarkastus on suoritettu ja siitä, ovatko Toimittajan turvalli- suusjärjestelyt todettu vaatimusten mukaisiksi. Tilaajalla ei kuitenkaan ole ilman Toimittajan lupaa oikeutta luovuttaa tietoa tarkastuksen yksityiskoh- taisista havainnoista, ellei pakottavasta lainsäädännöstä muuta johdu.
13 RAPORTOINTI JA VIESTINTÄ
13.1 Toimittaja on velvollinen ilmoittamaan Tilaajalle, jos Toimittajan tämän so- pimuksen kannalta keskeisissä toiminnoissa tai sopimukseen liittyvissä tur- vallisuusjärjestelyissä tapahtuu muutoksia.
13.2 Toimittaja valvoo tämän sopimuksen edellyttämän turvallisuustason toteu- tumista ja vaatimuksen mukaisuutta toiminnassaan säännöllisesti ja suun- nitelmallisesti, kirjaa mahdolliset poikkeamat ja raportoi ne Tilaajalle viivy- tyksettä sekä aloittaa korjaustoimet ensi tilassa. Toimittaja ei veloita tä- män kohdan mukaisista toimenpiteistä, ellei toisin ole sovittu.
13.3 Toimittaja on viipymättä velvollinen ilmoittamaan Tilaajalle, mikäli Toimit- tajaan kohdistuu Tilaajaa mahdollisesti uhkaavia yhteydenottoja tai uhkati- lanteita.
13.4 Tilaaja seuraa tietoturvallisuuteen ja ICT-varautumiseen liittyviä muutoksia ja ilmoittaa Toimittajalle muutostarpeista. Muutosten toteuttamisesta ja kustannuksista sovitaan erikseen.
13.5 Tilaaja vastaa omaan toimintaansa liittyvästä viestinnästä. Sopijapuolet voivat tehdä Palvelun osalta viestintäsuunnitelman.
13.6 Ellei toisin sovita, Toimittajan on toimitettava Xxxxxxxx hyväksyttäväksi Toimittajan sisäisille tai ulkoisille sidosryhmille osoitettavat julkaisut tai markkinointimateriaali, jotka liittyvät Pääsopimuksen mukaiseen yhteistyö- hön. Edellä sovittua ei kuitenkaan sovelleta pörssitiedotteisiin tai muihin vastaaviin lainsäädäntöön perustuviin tiedottamisvelvoitteisiin.
14 SOPIMUSSAKKO JA VAHINGONKORVAUS
(Ohje: Muokkaa sopimussakon määrä hankinnan kohteeseen ja siihen liit- tyviin riskeihin soveltuvaksi.)
Sopimussakko
14.1 Tilaajalla on oikeus saada Toimittajalta sopimussakkoa, jos Tilaaja osoittaa Toimittajan rikkoneen tai laiminlyöneen kohdissa 14.2–14.3 mainittuja vel- voitteita. Tilaajalla on oikeus sopimussakkoon ilman velvollisuutta näyttää toteen sille rikkomuksesta aiheutunutta vahinkoa. Tilaaja voi pidättää so- pimussakon Toimittajalle suoritettavista Pääsopimuksen mukaisista kor- vauksista.
14.2 Sopimussakon määrä jokaista salassapitovelvoitteen rikkomusta tai laimin- lyöntiä kohden on suurin seuraavista: (i) 10.000 euroa tai (ii) 1,5 % Pää- sopimuksen tai siihen liittyvän sopimuksen toimituksen arvosta taikka (iii) 1,5 % Pääsopimuksen tai siihen liittyvän sopimuksen toistuvaismaksujen laskennallisesta 12 kuukauden hinnasta. Sopimussakkoon oikeuttava salas- sapitovelvoitteen rikkominen tai laiminlyönti voi perustua ainoastaan tämän sopimuksen luvun 5 mukaisiin ehtoihin ja/tai allekirjoitettuun vaitiolo- sitoumukseen.
14.3 Muissa tietoturvallisuussopimuksen rikkomus- ja laiminlyöntitilanteissa so- pimussakon määrä jokaista rikkomusta kohden on 10.000 euroa. Sopimus-
sakkoon oikeuttava tietoturvallisuussopimuksen rikkominen tai laiminlyönti voi perustua ainoastaan tämän sopimuksen lukujen 4, 6–10 tai 13 ehtoihin. Jos samalla teolla rikotaan salassapitovelvoitetta, sopimussakko määräytyy kohdan 14.2 mukaisesti.
14.4 Tilaajalla ei ole oikeutta saada kohdan 14.3 perustuvaa sopimussakkoa, jos Toimittaja korjaa turvallisuusvelvoitteen rikkomuksen tai laiminlyönnin 14 vuorokauden kuluessa tai muuna sovittuna aikana siitä, kun se on havain- nut rikkomuksen tai laiminlyönnin. Oikeus sopimussakkoon kuitenkin säi- lyy, jos rikkomuksesta tai laiminlyönnistä on aiheutunut Tilaajalle vahinkoa tai muita ylimääräisiä kustannuksia taikka Toimittaja on aiemmin syyllisty- nyt vastaavaan rikkomukseen tai laiminlyöntiin.
14.5 Ennen sopimussakon perimistä Xxxxxxxx tulee ilmoittaa Toimittajalle kirjalli- sesti tämän sopimuksen rikkomuksesta. Jos sopijapuoli kirjallisesti pyytää, käsitellään rikkomus lisäksi Xxxxxxxx ja Toimittajan välisissä neuvotteluissa.
14.6 Sopimussakko ei rajoita Xxxxxxxx oikeutta saada Toimittajalta vahingonkor- vausta siltä osin kuin rikkomuksesta Tilaajalle aiheutunut vahinko ylittää sopimussakon määrän.
Vahingonkorvaus
14.7 Sopijapuolella on oikeus saada vahingonkorvausta toisen sopijapuolen tä- hän sopimukseen perustuvasta sopimusrikkomuksesta aiheutuneesta välit- tömästä vahingosta.
14.8 Jos Toimittajalla on velvollisuus suorittaa sopimussakkoa tai hyvitystä tä- män sopimuksen mukaisesti, on Toimittajalla velvollisuus suorittaa lisäksi vahingonkorvausta siltä osin kuin vahingon määrä ylittää sopimussakot tai hyvitykset.
14.9 Tähän sopimukseen perustuva sopijapuolen vahingonkorvausvelvollisuus toiselle sopijapuolelle on mahdolliset kohdan 14.3 mukaiset sopimussakot tai muut hyvitykset mukaan lukien yhteensä enintään Pääsopimuksen mu- kaisen toimituksen kokonaishinta. Pääsopimuksen mukaisen toimituksen kokonaishintana pidetään sitä yhteenlaskettua arvonlisäverotonta hintaa, joka muodostuu Pääsopimuksessa sovituista tuotteiden ja Palveluiden toi- mituksista, lisätöistä ja jatkuvista palveluista laskettuna 12 kuukaudelle. Jos pääsopimus on ollut vahingon ilmenemishetkellä voimassa alle 12 kuu- kautta, jatkuvien palvelujen 12 kuukauden veloitus lasketaan sopimuksen mukaisesta kuukausiveloituksesta kerrottuna 12:lla.
14.10 Sopijapuoli ei vastaa toisen sopijapuolen tietojen tai tiedostojen tuhoutu- misesta, katoamisesta tai muuttumisesta ja tästä aiheutuneista kuluista, kuten tietojen ja tiedostojen uudelleen luomisen aiheuttamista kustannuk- sista. Tätä kohtaa ei kuitenkaan sovelleta, jos sopijapuolen velvollisuutena on Pääsopimuksen mukaan toisen sopijapuolen tietojen ja tiedostojen käy- tettävyydestä ja saatavuudesta huolehtiminen, ja sopijapuoli on rikkonut tätä velvollisuuttaan.
14.11 Tilaaja ei vastaa vahingosta, joka Toimittajalle on aiheutunut tämän sopi- muksen mukaisen tarkastustoimenpiteen suorittamisesta.
14.12 Sopijapuoli ei vastaa välillisestä vahingosta.
14.13 Näiden ehtojen mukaiset vahingonkorvausvelvollisuuden rajoitukset eivät koske tapausta, jossa sopijapuoli on aiheuttanut vahingon tahallisesti tai törkeällä huolimattomuudella tai rikkonut Pääsopimukseen, tämän sopi- muksen lukuun 5 ja/tai allekirjoitettuun vaitiolositoumukseen perustuvan salassapitovelvollisuuden.
15 SOPIMUSMUUTOKSET
15.1 Tietoturvallisuussopimuksen yhteyshenkilöt vastaavat tämän sopimuksen päivittämistarpeen seuraamisesta.
15.2 Tähän sopimukseen tai sen liitteisiin tehtävät muutokset tulee tehdä kirjal- lisesti ja molempien sopijapuolten vahvistaa allekirjoituksellaan. Tämän so- pimuksen muutokseksi ei katsota yhteyshenkilöiden vaihtumista.
16 SOPIMUKSEN IRTISANOMINEN
16.1 Sopijapuoli voi irtisanoa tämän sopimuksen päättymään noudattaen Pääso- pimuksessa sovittua irtisanomisaikaa. Ellei muuta ole sovittu irtisanomis- ajan pituudesta, irtisanomisaika on kolme (3) kuukautta sitä koskevasta ilmoituksesta. Sopijapuolella ei kuitenkaan ole oikeutta irtisanoa tätä sopi- musta päättymään ennen Pääsopimuksen määräaikaisen sopimuskauden päättymistä.
16.2 Jos Toimittaja irtisanoo tämän sopimuksen, Tilaajalla on oikeus irtisanoa Pääsopimus päättymään samanaikaisesti tämän sopimuksen kanssa.
16.5 Sopijapuoli saa purkaa tämän sopimuksen, mikäli toinen sopijapuoli on olennaisesti rikkonut sopimusvelvoitteitaan. Mikäli sopimusrikkomus on korjattavissa, sopijapuoli voi purkaa sopimuksen vain, mikäli sopimusrik- komukseen syyllistynyt sopijapuoli ei ole korjannut sopimusrikkomustaan kohtuullisessa ajassa siitä, kun sopijapuoli on kirjallisesti huomauttanut rikkomuksesta ja aikomuksestaan purkaa sopimus. Lisäksi jos Toimittaja on rikkonut tätä sopimusta vähintään kolme kertaa siten, että Tilaajalle on syntynyt oikeus vaatia luvussa 14 tarkoitettua sopimussakkoa, Tilaajalla on aina oikeus irtisanoa tämä sopimus ja Pääsopimus.
16.6 Irtisanominen ja purkaminen tulee tehdä kirjallisesti.
16.7 Irtisanominen ja purkaminen ei poista velvollisuutta täyttää ennen irtisa- nomista syntyneitä tämän sopimuksen mukaisia velvoitteita.
16.8 Tämän sopimuksen päättymisestä huolimatta Toimittajan on maksettava päättymisen perusteena olevista rikkomuksista tämän sopimuksen mukai- set sanktiot.
17 SOPIMUKSEN VOIMASSAOLO
17.1 Tämä sopimus on voimassa niin kauan kuin Tilaajan ja Toimittajan välinen Pääsopimus on voimassa.
17.2 Tämä sopimus tulee voimaan, kun kumpikin sopijapuoli on sen allekirjoit- tanut.
17.3 Tämän sopimuksen mukainen salassapitovelvollisuus on voimassa myös sen jälkeen kun Xxxxxxxx ja Toimittajan tämä sopimus tai Pääsopimus on päättynyt.
17.4 Ellei Pääsopimuksessa ole toisin sovittu, Toimittaja palauttaa tämän sopi- muksen päätyttyä 30 päivän kuluessa Tilaajan aineiston. Erikseen kirjalli- sesti niin sovittaessa Toimittaja voi myös tuhota edellä mainitun materiaa- lin. Tilaajalla on oikeus tarkastaa tämän kohdan velvoitteiden noudattami- nen luvun 12 mukaisesti myös sopimuksen päätyttyä.
18 SOVELLETTAVA LAKI JA ERIMIELISYYKSIEN RATKAISEMINEN
18.1 Tähän sopimukseen sovelletaan Suomen lakia, lukuun ottamatta lainvalin- tasäännöksiä.
18.2 Tästä sopimuksesta aiheutuvat erimielisyydet pyritään ensisijaisesti ratkai- semaan sopijapuolten välisin neuvotteluin. Mikäli sopijapuolet eivät pääse sovinnolliseen ratkaisuun, erimielisyydet jätetään ratkaistavaksi Pääsopi- muksessa sovittuun oikeuspaikkaan.
19 SOPIMUSASIAKIRJAT JA NIIDEN PÄTEMISJÄRJESTYS
19.1 Tämä sopimus muodostuu tästä sopimusasiakirjasta ja seuraavista liitteis- tä:
Liite 1 Tietoturvallisuussopimuksen yhteyshenkilöt ja heidän vastuut Liite 2 Xxxx Xxxxxxx pidettävien tietojen käsittelystä ja
säilyttämisestä
[Liite 3 Tietoturvallisuusvaatimukset (ja ICT-varautumisen vaatimuk- set)]
Liite 4 Todistus tietoturvavelvoitteiden tiedoksisaannista (vaitiolo- sitoumus)
Liite 5 [Toimittajan turvallisuudenhallinnan kuvaus [/Selvitys Palveluun liittyvistä tietoturvamenettelyistä]
Ohje: Liitteessä [2] kuvataan Xxxxxxxx hyväksymät menettelyt, määräykset ja ohjeet eri suojaustasoluokkiin kuuluvan tiedon, asiakirjojen ja muun tietoaineiston käsittelystä. Liitteessä [3] esitetään Palveluun kohdistuvat tietoturva-, toimitila-, IT-laitetila-, ICT-varautumisvaatimukset yms. Nämä vaatimukset voivat olla myös Pääsopimuksen liitteenä.
Toimittaja vastaa kustannuksellaan liitteen [5] ylläpidosta. Liitteen tulee vastata voimassa olevaa tilannetta.
Mikäli tämän sopimusasiakirjan ja sen liitteiden välillä on ristiriitaa, ratkaisee sopimusasiakirjan sanamuoto. Mikäli liitteiden välillä on ristiriitaa, noudatetaan soveltamisjärjestyksenä niiden numerojärjestystä siten, että ristiriitatilanteessa sovelletaan sitä liitettä, jonka järjestysnumero on pienempi.
20 SOPIMUSKAPPALEET JA ALLEKIRJOITUKSET
20.1 Tämä sopimus on laadittu kahtena (2) samasanaisena kappaleena, yksi (1) kummallekin sopijapuolelle.
[paikka ja aika] [paikka ja aika]
[TILAAJA] [TOIMITTAJA]
[allekirjoittaja] [allekirjoittaja]