KUVAUS TIETOTURVASTA JA TIETOJEN SUOJAUKSESTA

Loppukäyttäjäsopimuksen liite 1

KUVAUS TIETOTURVASTA JA TIETOJEN SUOJAUKSESTA

1. Yleistä

Tämä Kiinteistökaupan verkkopalvelun (KVP) rajapintojen käyttöä koskeva tietoturva- kuvaus tulee täytettynä ja Maanmittauslaitoksen hyväksymänä muodostamaan viit- teessä mainitun sopimuksen tietoturvaliitteen.

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

2. Asiakkaan tietojärjestelmän yleiskuvaus

Asiakkaan tulee laatia kuvaus tietoturvan toteuttamisesta ja tietosuojan varmistamises- ta organisaatiossaan.

2.1. Yleiskuvaus järjestelmästä

Tähän kohtaan kirjoitetaan suppea yleiskuvaus, josta selviää (KVP) tietojen käsittelyyn liittyvät asiat, prosessit ja käyttäjät asiakkaan ympäristössä. Kuvauksessa tulee huo- mioida tietoturvallisuus Maanmittauslaitoksen, asiakkaan ja loppuasiakkaan välillä.

2.2. Kuvaus tietoliikenneratkaisusta

Tähän kohtaan kuvataan, miten loppuasiakas hoitaa tietojen käsittelyn loppukäyttäjään päin. Käytännössä kuvaus on helpointa toteuttaa kuvana, josta käyvät ilmi myös tieto- liikenneyhteyttä koskevat tietoturvaratkaisut.

Tietoliikenneratkaisujen kuvaamisen lisäksi tulee olla myös kuvaus lokitietojen käsitte- lystä, käsittelyoikeuksista ja säilyttämisestä säilytysaikoineen. Sopimuksen mukaan lo- kitietojen säilytysaika määräytyy Tunnistusrajapinnan käyttöhetken mukaisesti, ja se voi vaihdella käytännössä 11 vuodesta 12 vuoteen.

3. Tarkentavat kysymykset

Yleiskuvausta täydennetään seuraavilla KVP-tietojen käsittelyllä (mukaan lukien tieto- jen katselu) tarkentavilla kysymyksillä.

3.1. Hallinnollinen ja henkilöstöturvallisuus

• Kenellä asiakkaan henkilökuntaan kuuluvalla on pääsy asiakkaan järjestelmän lokitietoi- hin, jotka koskevat tämän sopimuksen mukaisia lokitietoja? Pääsyoikeudet kuvataan rooli- tasolla.

• Kuinka lokitietojen käsittelyä seurataan ja valvotaan asiakkaan organisaatiossa?

• Sitoutuuko asiakkaan henkilöstö kirjallisesti lokitietojen salassapitoon ja asianmukaiseen käsittelyyn? Missä ja kuinka kauan mahdollisia salassapitosopimuksia säilytetään?

Loppukäyttäjäsopimuksen liite 1

• Kuinka käyttöoikeuksien hallinta (käyttöoikeuksien myöntäminen, muuttaminen, tarkista- minen, poistaminen ja hyväksyminen) hoidetaan? Xxxxxxx koskee sekä asiakkaan omaa henkilöstöä että loppuasiakkaita?

• Kuinka usein asiakkaan henkilöstön käyttöoikeudet tarkistetaan?

3.2. Tietojen turvaaminen

• Kuinka poistettavaksi sovitut tai vanhentuneet lokitiedot hävitetään asiakkaan tietojärjes- telmistä?

• Otetaanko lokitietiedoista varmuuskopioita? Miten, missä ja kuinka kauan niitä säilyte- tään?

• Miten lokitietojen suojaus asiattomalta, vahingossa tai laittomasti tapahtuvalta tietojen muuttamiselta, on järjestetty?

• Kuinka lokit hävitetään?

3.3. Fyysinen turvallisuus

• Missä organisaation laitteissa ja tiloissa lokitietoja säilytetään?

3.4. Käyttäjien tunnistaminen

• Kuinka loppuasiakas varmistaa KVP-tietojen käsittelyn edellyttämän vahvan tunnistautu- misen kaikkien niiden henkilöiden osalta, joilla on mahdollisuus päästä KVP-tietoihin?

3.5. Käyttö- ja laitteisto, ohjelmisto- ja tietoliikenneturvallisuus

• Kuka (rooli) vastaa organisaation käyttö- ja laitteisto-, ohjelmisto- ja tietoliikenneturvalli- suudesta?

• Miten estetään ulkopuolisten pääsy organisaation tietoverkkoon?

• Kuinka asiakas varmistaa, että salassa pidettävää lokitietoa ei joudu asiattomille tietoväli- neiden huollon tai poiston yhteydessä?

3.6. Poikkeamatilanteet ja raportointi

• Kuinka mahdollisia poikkeamatilanteita seurataan organisaatiossa?

• Kuinka mahdollisia tietoturvapoikkeamista tai niiden uhasta raportoidaan MML:lle?