KORKEAKOULUN JA CSC – TIETEEN TIETOTEKNIIKAN KESKUS OY:N PUITESOPIMUS LIITE 5 TURVALLISUUSSOPIMUS TURVALLISUUSSOPIMUS

Sivu 5/ 5

Korkeakoulun sopimusnumero ­­­­­­­­­XXX / CSC:n sopimusnumero ­­­­­­­XXX

KORKEAKOULUN JA CSC – TIETEEN TIETOTEKNIIKAN KESKUS OY:N PUITESOPIMUS


LIITE 5 TURVALLISUUSSOPIMUS


TURVALLISUUSSOPIMUS

  1. SOPIMUSOSAPUOLET

Tämän turvallisuussopimuksen Osapuolet ovat:

CSC - Tieteen tietotekniikan keskus Oy, jäljempänä CSC,

Y-Tunnus 0920632-0, os. PL 405, 02101 Espoo

Yhteyshenkilö: Xxxx Xxxxx, xxxxxxxx@xxx.xx

ja

Korkeakoulu, jäljempänä Korkeakoulu

Osoite:

Yhteyshenkilö:

Puhelinnumero:

Sähköposti:



  1. TURVALLISUUSSOPIMUKSEN TARKOITUS

Tämä asiakirja, Turvallisuussopimus, on CSC:n ja Korkeakoulun välisen puitesopimuksen (Sopimus) liite numero 5, jonka puitteissa Osapuolet ovat sopineet tuottavansa ja kehittävänsä yhteistyössä suomalaisen tutkimuksen, koulutuksen ja kulttuurin palveluita.
Osapuolet toimivat sekä toimittajan että tilaajan rooleissa. Osapuolten kulloinenkin rooli määritellään Sopimukseen liitettävissä palvelutilauksissa, palvelukuvauksissa sekä mahdollisissa lisäsopimuksissa.
Tässä Turvallisuussopimuksessa määritellään Osapuolten turvallisuuteen liittyvät oikeudet ja velvollisuudet. Turvallisuussopimuksen kohteena olevat palvelut käyvät ilmi Sopimuksesta ja siihen liitettävistä palvelutilauksista, palvelukuvauksista sekä mahdollisesta lisäsopimuksesta.
Turvallisuussopimus määrittelee millä tavoin Osapuolet noudattavat hyviä turvallisuuskäytäntöjä, hyvää tiedonhallintotapaa sekä noudattavat soveltuvaa lainsäädäntöä ja muita viranomaismääräyksiä.
Turvallisuussopimuksella Osapuolet varmistuvat Sopimuksen kohteena olevan palvelun tai järjestelmän riittävästä turvallisuudesta. Osapuolet katsovat toistensa olevan luotettavia yhteistyökumppaneita, mikä mahdollistaa kaupallisten sopimusten tekemisen ja tuotannollisen yhteistyön.
Turvallisuussopimuksessa määritellään vaadittavat turvallisuuskäytännöt, sekä sovitaan menettelyistä niiden valvomiseksi ja kehittämiseksi.



  1. VAATIMUKSENMUKAISUUS

Sopimuksen kohteena olevan palvelun turvallisuusjärjestelyt toteutetaan alla mainittujen vaatimusten ja ohjeiden mukaisesti soveltuvin osin Sopimuksen kattaman liittyvän palvelun ja yhteistyön osalta:
            1. Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, VAHTI 2/2010 (xxxx://xxx.xx.xx/xx/xx/00_xxxxxxxxx_xx_xxxxxxxxxx/00_xxxxxxxxx/00_xxxxxxxxxxxxxxxx_xxxxxxxxxxxxxxxxx/00000000Xxxxxx/00_Xxxx_xxxxxxxxxxxxxxxxxxxx_xxxxxxxxxxxxxxxxxx.xxx ; ISBN 978-952-251-124-9) perustaso



            1. Tiettyyn palveluun liittyvät sellaiset erityiset turvallisuusohjeet, jotka on annettu kyseisessä palvelussa toimittajana olevalle Osapuolelle tilaajana olevan Osapuolen toimesta palvelutilauksessa, palvelukuvauksessa, mahdollisessa lisäsopimuksessa tai muussa tilaajan toimittamassa dokumentaatiossa.



  1. SALASSAPITO

Osapuolet sitoutuvat pitämään salassa Sopimuksen kohteena oleviin palveluihin tai järjestelmiin liittyvät salassa pidettävät tiedot siitä riippumatta, missä muodossa tiedot saadaan. Salassa pidettäväksi tiedoksi katsotaan tieto, joka on joko määritelty salassa pidettäväksi tai joka sellaiseksi pitää asiayhteydestä ymmärtää. Salassa pidettäväksi ovat myös salassa pidettävästä tiedosta tehdyt kopiot (mm. tiedostot ja tulosteet). Salassa pidettävää tietoa ei saa käyttää hyväksi tai hyödyntää muuhun tarkoitukseen eikä luovuttaa kolmannelle osapuolelle.

Salassa pidettävä tieto voidaan merkitä sanoilla Salainen, Luottamuksellinen, Rajattu käyttö, tai Harkinnanvaraisesti luovutettava, tiedon paljastumisen seurauksista riippuen.
Xxxxxxx pidettäviksi tiedoiksi katsotaan joka tapauksessa seuraavat tiedot: kaikki salassa pidettäväksi merkityt tiedot, henkilö- ja tunnistetiedot, asiakastiedot, turvallisuus- ja varautumisjärjestelyt (erityisesti pääsynhallinta, käyttöturvallisuus, haavoittuvuudet), konfiguraatiot, rakenteet ja turvallisuuteen liittyvien teknisten järjestelmien yksityiskohtaiset tiedot sekä liikesalaisuudet. Salassapitovelvollisuus ei koske tietoa, joka on yleisesti saatavilla tai julkista tai jonka sopijapuoli on saanut laillisesti haltuunsa muuten kuin toiselta sopijapuolelta.
Osapuolten tulee käsitellä toisen Osapuolen salassa pidettäviä tietoja turvallisesti ja pääsy tietoihin tulee rajata ainoastaan asianosaisille palvelun toteuttamiseen osallistuville henkilöille. Tarpeettomat toisen Osapuolen salassa pidettävät tiedot tulee hävittää huolellisesti. Selvyyden vuoksi todetaan, että Sopimuksen liitteessä 1 Henkilötietojen käsittelyn ehdot kohdassa 4.9 on lisäksi tarkempia ehtoja henkilötietojen poistamisesta tai palauttamisesta.
Osapuolet käsittelevät toisen Osapuolen salassa pidettäviä tietoja vain palveluun sisältyvän työn edellyttämässä laajuudessa.
Turvallisuussopimuksen mukainen salassapitovelvoite on voimassa Sopimuksen voimassaolon ajan, ja kuitenkin vähintään viisi (5) vuotta tiedon luovuttamisesta tiedon vastaanottavalle Osapuolelle, ellei salassa pidettävä tieto ole tätä ennen tullut muuta kautta julkiseksi tai laillisesti saatavaksi tai ellei Osapuoli kirjallisesti salli tiedon julkistamista. CSC:n IT-laitetilojen turvatekniikan osalta salassapitoaika on kaksikymmentä (20) vuotta. Lisäksi, henkilötiedot tulee pitää pysyvästi salassa edellä mainituista salassapitoajoista huolimatta.
Salassapitovelvoite ei rajoita Osapuolten oikeutta hyödyntää tehtäviä suoritettaessa karttunutta yleistä ammattitaitoa ja kokemusta omassa toiminnassaan, kunhan salassa pidettävää tai luottamuksellista tietoa ei paljasteta.
Osapuolet saattavat salassapitovelvoitteen Sopimuksen kattaman palvelun tai järjestelmän toimittamiseen tai ylläpitoon osallistuvan henkilöstönsä tietoon sekä sitoutuvat valvomaan ja vastaamaan, että se noudattaa tämän Turvallisuussopimuksen sekä JIT 2015 Yleiset ehdot mukaista salassapitovelvollisuutta.



  1. POIKKEAMAT JA KRIISIVIESTINTÄ

Osapuolten tulee nimetä ennakolta yhteyshenkilöt turvallisuuspoikkeamien, henkilötietojen mahdollisia vuotoja ja kriisiviestintää varten.



CSC:n yhteyshenkilö on:

xxxxxxxx@xxx.xx, puh. 09-457 2253 (työaikaan), varalla 00-000 0000.



Korkeakoulun yhteysosoite on:

xxxx@xxx.xx

Mikäli Osapuolten järjestelmiin, tietoihin tai palveluihin kohdistuu vakava turvallisuuspoikkeama, esimerkiksi tietomurto tai pitkäkestoinen palvelun suunnittelematon katko, jolla on vaikutusta toiseen osapuoleen, tulee asiasta välittömästi ilmoittaa toisen osapuolen yhteyshenkilölle. Silloin kun on kyse henkilötietojen tietoturvaloukkauksesta, on henkilötietoja käsittelevän toimittajan ilmoitettava näistä tietoturvaloukkauksista tilaajana toimivalle Osapuolelle Sopimuksen liitteen 1 Henkilötietojen käsittelyn ehdot mukaisesti.
Kriisiviestinnässä Osapuolet eivät kommentoi toisen Osapuolen järjestelmiä tai palveluita. Kriisiviestintä toteutetaan tarvittaessa yhteistyössä, Osapuolten turvallisuusorganisaatioiden tukemana.



  1. TARKASTUKSET JA AUDITOINNIT

Osapuolilla on oikeus salassapidon puitteissa omalla kustannuksellaan tarkastaa etukäteen ilmoitettuna ajankohtana toisen Osapuolen turvallisuusjärjestelyt Sopimuksen kohteena olevien palveluiden tai järjestelmien osalta. Tarkastuksessa tulee käyttää ulkopuolista, molempien osapuolten hyväksymää auditoijaa, jonka tulee allekirjoittaa salassapitositoumus. Selvyyden vuoksi todetaan, että myös Sopimuksen liitteessä 1 Henkilötietojen käsittelyn ehdot, on kohdassa 4.11 sovittu auditoinnista.



  1. TURVALLISUUDEN KEHITTÄMINEN

Osapuolet käsittelevät tarvittaessa seuraavia turvallisuusasioita säännöllisesti laatupalavereissa, vähintään kaksi kertaa vuodessa:

        • Poikkeamat

        • Palveluiden ja järjestelmien käytettävyys

        • Toteutetut turvallisuustoimenpiteet

        • Riskienarviointi


Turvallisuuspoikkeamien raportoinnissa käytetään kulloinkin toimittajan roolissa toimivan Osapuolen erillistä mallipohjaa, ottaen kuitenkin lisäksi huomioon sen, mitä Sopimuksen liitteessä 1 Henkilötietojen käsittelyn ehdot, on tietoturvaloukkausten ja niistä annettavien tietojen osalta sovittu.

  1. SOPIMUKSEN VOIMASSAOLO



            1. Tämä Turvallisuussopimus astuu voimaan, kun molemmat Osapuolet ovat allekirjoittaneet tämän Turvallisuussopimuksen ja Sopimuksen. Tämä Turvallisuussopimus on voimassa toistaiseksi ja voidaan irtisanoa ainoastaan Sopimuksen mukaisesti irtisanottaessa koko Sopimus.

  1. SOPIMUSKAPPALEET


Tämä Turvallisuussopimus on tehty kahtena (2) alkuperäiskappaleena, yksi (1) kummallekin Osapuolelle.



Päiväys:

Päiväys:

Korkeakoulu

CSC- Tieteen tietotekniikan keskus Oy








Xxxx:

Xxxxx Xxxx

Asema:

Johtaja









Document Metadata

Filed: December 10th, 2018