KORKEAKOULUN JA CSC – TIETEEN TIETOTEKNIIKAN KESKUS OY:N PUITESOPIMUS LIITE 5 TURVALLISUUSSOPIMUS TURVALLISUUSSOPIMUS
Sivu 5/ 5
Korkeakoulun sopimusnumero XXX / CSC:n sopimusnumero XXX
KORKEAKOULUN JA CSC – TIETEEN TIETOTEKNIIKAN KESKUS OY:N PUITESOPIMUS
LIITE 5 TURVALLISUUSSOPIMUS
TURVALLISUUSSOPIMUS
SOPIMUSOSAPUOLET
Tämän turvallisuussopimuksen Osapuolet ovat:
CSC - Tieteen tietotekniikan keskus Oy, jäljempänä CSC,
Y-Tunnus 0920632-0, os. PL 405, 02101 Espoo
Yhteyshenkilö: Xxxx Xxxxx, xxxxxxxx@xxx.xx
ja
Korkeakoulu, jäljempänä ”Korkeakoulu”
Osoite:
Yhteyshenkilö:
Puhelinnumero:
Sähköposti:
TURVALLISUUSSOPIMUKSEN TARKOITUS
Tämä asiakirja, Turvallisuussopimus, on CSC:n ja Korkeakoulun välisen puitesopimuksen (Sopimus) liite numero 5, jonka puitteissa Osapuolet ovat sopineet tuottavansa ja kehittävänsä yhteistyössä suomalaisen tutkimuksen, koulutuksen ja kulttuurin palveluita.
Osapuolet toimivat sekä toimittajan että tilaajan rooleissa. Osapuolten kulloinenkin rooli määritellään Sopimukseen liitettävissä palvelutilauksissa, palvelukuvauksissa sekä mahdollisissa lisäsopimuksissa.
Tässä Turvallisuussopimuksessa määritellään Osapuolten turvallisuuteen liittyvät oikeudet ja velvollisuudet. Turvallisuussopimuksen kohteena olevat palvelut käyvät ilmi Sopimuksesta ja siihen liitettävistä palvelutilauksista, palvelukuvauksista sekä mahdollisesta lisäsopimuksesta.
Turvallisuussopimus määrittelee millä tavoin Osapuolet noudattavat hyviä turvallisuuskäytäntöjä, hyvää tiedonhallintotapaa sekä noudattavat soveltuvaa lainsäädäntöä ja muita viranomaismääräyksiä.
Turvallisuussopimuksella Osapuolet varmistuvat Sopimuksen kohteena olevan palvelun tai järjestelmän riittävästä turvallisuudesta. Osapuolet katsovat toistensa olevan luotettavia yhteistyökumppaneita, mikä mahdollistaa kaupallisten sopimusten tekemisen ja tuotannollisen yhteistyön.
Turvallisuussopimuksessa määritellään vaadittavat turvallisuuskäytännöt, sekä sovitaan menettelyistä niiden valvomiseksi ja kehittämiseksi.
VAATIMUKSENMUKAISUUS
Sopimuksen kohteena olevan palvelun turvallisuusjärjestelyt toteutetaan alla mainittujen vaatimusten ja ohjeiden mukaisesti soveltuvin osin Sopimuksen kattaman liittyvän palvelun ja yhteistyön osalta:
Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, VAHTI 2/2010 (xxxx://xxx.xx.xx/xx/xx/00_xxxxxxxxx_xx_xxxxxxxxxx/00_xxxxxxxxx/00_xxxxxxxxxxxxxxxx_xxxxxxxxxxxxxxxxx/00000000Xxxxxx/00_Xxxx_xxxxxxxxxxxxxxxxxxxx_xxxxxxxxxxxxxxxxxx.xxx ; ISBN 978-952-251-124-9) perustaso
Tiettyyn palveluun liittyvät sellaiset erityiset turvallisuusohjeet, jotka on annettu kyseisessä palvelussa toimittajana olevalle Osapuolelle tilaajana olevan Osapuolen toimesta palvelutilauksessa, palvelukuvauksessa, mahdollisessa lisäsopimuksessa tai muussa tilaajan toimittamassa dokumentaatiossa.
SALASSAPITO
Osapuolet
sitoutuvat pitämään salassa Sopimuksen kohteena oleviin
palveluihin tai järjestelmiin liittyvät salassa pidettävät tiedot
siitä riippumatta, missä muodossa tiedot saadaan. Salassa
pidettäväksi tiedoksi katsotaan tieto, joka on joko määritelty
salassa pidettäväksi tai joka sellaiseksi pitää asiayhteydestä
ymmärtää. Salassa pidettäväksi ovat myös salassa pidettävästä
tiedosta tehdyt kopiot (mm. tiedostot ja tulosteet). Salassa
pidettävää tietoa ei saa käyttää hyväksi tai hyödyntää
muuhun tarkoitukseen eikä luovuttaa kolmannelle
osapuolelle.
Salassa pidettävä tieto voidaan merkitä
sanoilla Salainen, Luottamuksellinen, Rajattu käyttö, tai
Harkinnanvaraisesti luovutettava, tiedon paljastumisen seurauksista
riippuen.
Xxxxxxx pidettäviksi tiedoiksi katsotaan joka tapauksessa seuraavat tiedot: kaikki salassa pidettäväksi merkityt tiedot, henkilö- ja tunnistetiedot, asiakastiedot, turvallisuus- ja varautumisjärjestelyt (erityisesti pääsynhallinta, käyttöturvallisuus, haavoittuvuudet), konfiguraatiot, rakenteet ja turvallisuuteen liittyvien teknisten järjestelmien yksityiskohtaiset tiedot sekä liikesalaisuudet. Salassapitovelvollisuus ei koske tietoa, joka on yleisesti saatavilla tai julkista tai jonka sopijapuoli on saanut laillisesti haltuunsa muuten kuin toiselta sopijapuolelta.
Osapuolten tulee käsitellä toisen Osapuolen salassa pidettäviä tietoja turvallisesti ja pääsy tietoihin tulee rajata ainoastaan asianosaisille palvelun toteuttamiseen osallistuville henkilöille. Tarpeettomat toisen Osapuolen salassa pidettävät tiedot tulee hävittää huolellisesti. Selvyyden vuoksi todetaan, että Sopimuksen liitteessä 1 Henkilötietojen käsittelyn ehdot kohdassa 4.9 on lisäksi tarkempia ehtoja henkilötietojen poistamisesta tai palauttamisesta.
Osapuolet käsittelevät toisen Osapuolen salassa pidettäviä tietoja vain palveluun sisältyvän työn edellyttämässä laajuudessa.
Turvallisuussopimuksen mukainen salassapitovelvoite on voimassa Sopimuksen voimassaolon ajan, ja kuitenkin vähintään viisi (5) vuotta tiedon luovuttamisesta tiedon vastaanottavalle Osapuolelle, ellei salassa pidettävä tieto ole tätä ennen tullut muuta kautta julkiseksi tai laillisesti saatavaksi tai ellei Osapuoli kirjallisesti salli tiedon julkistamista. CSC:n IT-laitetilojen turvatekniikan osalta salassapitoaika on kaksikymmentä (20) vuotta. Lisäksi, henkilötiedot tulee pitää pysyvästi salassa edellä mainituista salassapitoajoista huolimatta.
Salassapitovelvoite ei rajoita Osapuolten oikeutta hyödyntää tehtäviä suoritettaessa karttunutta yleistä ammattitaitoa ja kokemusta omassa toiminnassaan, kunhan salassa pidettävää tai luottamuksellista tietoa ei paljasteta.
Osapuolet saattavat salassapitovelvoitteen Sopimuksen kattaman palvelun tai järjestelmän toimittamiseen tai ylläpitoon osallistuvan henkilöstönsä tietoon sekä sitoutuvat valvomaan ja vastaamaan, että se noudattaa tämän Turvallisuussopimuksen sekä JIT 2015 Yleiset ehdot mukaista salassapitovelvollisuutta.
POIKKEAMAT JA KRIISIVIESTINTÄ
Osapuolten tulee nimetä ennakolta yhteyshenkilöt turvallisuuspoikkeamien, henkilötietojen mahdollisia vuotoja ja kriisiviestintää varten.
CSC:n yhteyshenkilö on:
xxxxxxxx@xxx.xx, puh. 09-457 2253 (työaikaan), varalla 00-000 0000.
Korkeakoulun yhteysosoite on:
xxxx@xxx.xx
Mikäli Osapuolten järjestelmiin, tietoihin tai palveluihin kohdistuu vakava turvallisuuspoikkeama, esimerkiksi tietomurto tai pitkäkestoinen palvelun suunnittelematon katko, jolla on vaikutusta toiseen osapuoleen, tulee asiasta välittömästi ilmoittaa toisen osapuolen yhteyshenkilölle. Silloin kun on kyse henkilötietojen tietoturvaloukkauksesta, on henkilötietoja käsittelevän toimittajan ilmoitettava näistä tietoturvaloukkauksista tilaajana toimivalle Osapuolelle Sopimuksen liitteen 1 Henkilötietojen käsittelyn ehdot mukaisesti.
Kriisiviestinnässä Osapuolet eivät kommentoi toisen Osapuolen järjestelmiä tai palveluita. Kriisiviestintä toteutetaan tarvittaessa yhteistyössä, Osapuolten turvallisuusorganisaatioiden tukemana.
TARKASTUKSET JA AUDITOINNIT
Osapuolilla on oikeus salassapidon puitteissa omalla kustannuksellaan tarkastaa etukäteen ilmoitettuna ajankohtana toisen Osapuolen turvallisuusjärjestelyt Sopimuksen kohteena olevien palveluiden tai järjestelmien osalta. Tarkastuksessa tulee käyttää ulkopuolista, molempien osapuolten hyväksymää auditoijaa, jonka tulee allekirjoittaa salassapitositoumus. Selvyyden vuoksi todetaan, että myös Sopimuksen liitteessä 1 Henkilötietojen käsittelyn ehdot, on kohdassa 4.11 sovittu auditoinnista.
TURVALLISUUDEN KEHITTÄMINEN
Osapuolet käsittelevät tarvittaessa seuraavia turvallisuusasioita säännöllisesti laatupalavereissa, vähintään kaksi kertaa vuodessa:
Poikkeamat
Palveluiden ja järjestelmien käytettävyys
Toteutetut turvallisuustoimenpiteet
Riskienarviointi
Turvallisuuspoikkeamien raportoinnissa käytetään kulloinkin toimittajan roolissa toimivan Osapuolen erillistä mallipohjaa, ottaen kuitenkin lisäksi huomioon sen, mitä Sopimuksen liitteessä 1 Henkilötietojen käsittelyn ehdot, on tietoturvaloukkausten ja niistä annettavien tietojen osalta sovittu.
SOPIMUKSEN VOIMASSAOLO
Tämä Turvallisuussopimus astuu voimaan, kun molemmat Osapuolet ovat allekirjoittaneet tämän Turvallisuussopimuksen ja Sopimuksen. Tämä Turvallisuussopimus on voimassa toistaiseksi ja voidaan irtisanoa ainoastaan Sopimuksen mukaisesti irtisanottaessa koko Sopimus.
SOPIMUSKAPPALEET
Tämä Turvallisuussopimus on tehty kahtena (2) alkuperäiskappaleena, yksi (1) kummallekin Osapuolelle.
-
Päiväys:
Päiväys:
Korkeakoulu
CSC- Tieteen tietotekniikan keskus Oy
Xxxx:
Xxxxx Xxxx
Asema:
Johtaja