View
46
Download
0
Category
Preview:
DESCRIPTION
Tietoturvan ja tietosuojan järjestelyt. 6.2.2013, Antti Mäki. Korkeakoulujen valtakunnallisen tietovarannon turvaaminen. Tietosuojan ja tietoturvan pääperiaatteet Tietosuojan ja tietoturvan tarkistuslista Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus - PowerPoint PPT Presentation
Citation preview
Korkeakoulujen ja opetus- jakulttuuriministeriön yhteinen tietohallintohanke,jota CSC koordinoi
RAkenteellisen
KEhittämisen
Tukena
TIetohallinto
Tietoturvan ja tietosuojan järjestelyt
6.2.2013, Antti Mäki
Korkeakoulujen valtakunnallisen tietovarannon turvaaminen
• Tietosuojan ja tietoturvan pääperiaatteet
• Tietosuojan ja tietoturvan tarkistuslista
• Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus
• Tietoturvan miniauditointi (Aalto-yliopisto)
• Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa
• Ulkopuolinen tietoturva-auditointi myöhemmin
Korkeakoulujen valtakunnallisen tietovarannon turvaaminen
• Tietosuojan ja tietoturvan pääperiaatteet
• Tietosuojan ja tietoturvan tarkistuslista
• Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus
• Tietoturvan miniauditointi (Aalto-yliopisto)
• Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa
• Ulkopuolinen tietoturva-auditointi myöhemmin
OKM palvelun tarjoajana (CSC)
OpetushallitusTilastokeskus
OKM-tiedonkeruutKorkeakoulut?
Korkeakoulun vastuulla sekä toteutus että tietosisältö rekisterinpitäjänä
Tiedon luovutus suoraan lain nojalla
tai korkeakoulun päätöksellä
Muuntaa rekisterinsä
tiedon Korkeakoulujen
tietomalliin (xdw-malli)
Tallentaa tiedon valtakunnalliseen
tietovarantoon
Tiedon käyttäjät hakevat kaikkien korkeakoulujen
tietoja omiin järjestelmiinsä
Tietojen turvaamisen tavoitteet tietovarannon toteutuksessa
• Tietojen mahdollisimman sujuva ja laaja käyttö joustavasti erilaisissa tilanteissa on ensisijainen tavoite rekistereihin kuuluvien henkilöiden oikeuksien edistämisessä
• Samalla tietovarantoon tuotavat tiedot turvataan tietosuojan ja tietoturvan toteutumisen varmistavilla kuvauksilla, määrityksillä ja ratkaisuilla
Tietojen ajantasaisuus- ja säilytysvaatimukset
• Säilytysaika määräytyy sen mukaan, miten tietoja säilytetään korkeakoulujen omissa rekistereissä korkeakoulujen arkistonmuodostussuunnitelmien ja muiden säilytysvelvoitteiden mukaisesti
• Yhdenvertaisen kohtelun turvaamiseksi tietoa on tietovarannon kautta pidettävä saatavilla eliniän ajan eli käytännössä pysyvästi
• Kun tietovarannon tieto on kopio lähdejärjestelmästä, on myös lähdejärjestelmän tieto säilytettävä vastaavasti
Tietojen luovuttaminen
• Opiskelijavalintarekisterin käyttöön eli OPH:n toteuttamiin valtakunnallisiin palveluihin laissa säädetyn velvollisuuden nojalla eikä edellytä korkeakoululta erillistä ratkaisua
• Muihin viranomaistarpeisiin perustuu eri laeissa määriteltyihin tiedonsaantioikeuksiin sekä siihen, että kyseiset viranomaiset pyytävät korkeakouluja toimittamaan tiedot tietovarannon kautta
• Muuten rekisterinpitäjän päätöksellä
Tietovarannon tietojen käsittely
• Tietovarantoon ei ole suoria käyttöliittymiä
• Tietovarannon lukurajanpinta luovuttaa automaattisesti kaiken pyydetyn tiedon sallituille palveluille (nyt vai OPH)
• OPH:n ylläpitämien palveluiden osana valvotaan henkilötietojen käyttöä
• Viranomaistiedonkeruita varten poiminnat toteutetaan erikseen valtuutetun CSC:n henkilöstön toimesta
Käyttöoikeus- ja lokirekisterit
• Tietoja käyttävä palvelu vastaa käyttövaltuuksien valvonnasta ja tietojen katselulokin muodostamisesta (esim. OPH:n palvelut)
• Tietovarannon lukurajapinta tallentaa lokitietona jokaisen kutsun, kutsujan ja vastauksen
• Lukurajapinnan lokitieto muodostaa lokirekisterin korkeakoulukohtaisesti. Lokirekisteriin tallennetaan tieto, mikäli kutsu koski korkeakoulun rekisteriin kuuluvia tietoja
Toimintatavat
• …joilla rekisterinpitäjä voi varmistua henkilötietojen käsittelyn lainmukaisuudesta
• Tietovarannon hallinnoimiseksi ja käytännöistä sopimiseksi luodaan teknisen ylläpitäjän ja korkeakoulujen yhteiset toimintatava
• Ehdotuksia valmistellaan RAKETTI-VIRTA-projektissa, mutta päätös toimintatavoista on opetus- ja kulttuuriministeriön, korkeakoulujen ja tietojen käyttöön osallistuvien viranomaisten yhteinen
Korkeakoulujen valtakunnallisen tietovarannon turvaaminen
• Tietosuojan ja tietoturvan pääperiaatteet
• Tietosuojan ja tietoturvan tarkistuslista
• Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus
• Tietoturvan miniauditointi (Aalto-yliopisto)
• Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa
• Ulkopuolinen tietoturva-auditointi myöhemmin
Tieto on korkeakoulun rekisterin osa valtakunnallisessa tietovarannossa
• Korkeakoulujen valtakunnalliseen tietovarantoon tallennetaan korkeakoulun opiskelijatietoja sisältävän henkilörekisterin tietoja
• Henkilötietolain nojalla korkeakoulun on rekisterinpitäjänä varmistuttava tietojen käsittelyn asianmukaisuudesta ja erityisesti tietoturvan ja tietosuojan toteutumisesta
Asianmukaisuuden varmistaminen
• Korkeakoulu varmistaa tietoturvan ja tietosuojan toteutumisen yhdessä CSC:n kanssa laaditun sopimuksen sisällön, sen liitteen sisällön sekä tietosuojavaltuutetun toimiston suosituksen mukaisen tarkistuslistan avulla
• https://confluence.csc.fi/display/VIRTA/Tarkistulista+ja+vastaukset
Korkeakoulujen valtakunnallisen tietovarannon turvaaminen
• Tietosuojan ja tietoturvan pääperiaatteet
• Tietosuojan ja tietoturvan tarkistuslista
• Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus
• Tietoturvan miniauditointi (Aalto-yliopisto)
• Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa
• Ulkopuolinen tietoturva-auditointi myöhemmin
Sopimus teknisestä tietojekäsittelypalvelusta
• Tietosuojavaltuutetun toimiston suosituksen mukaiseen sopimukseen on koottu korkeakoulun ja CSC:n kesken sovittavat asiat
• Sopimus ja sen liitteen sisältö ovat voimassa korkeakoulun ja CSC:n välillä yhteisenä ymmärryksenä osapuolten välisistä velvoitteista kunnes kirjallinen sopimus on allekirjoitettu
• Sopimuksen liitteenä on CSC:n yhteistyökumppanin turvallisuussopimus
Muistio tietovarantoon liittyvästä teknisestä tietojenkäsittelypalvelusta
• Lainsäätämisen myötä sopimus muuttuu korkeakoulun CSC:n ja OKM:n vastuunjaon kuvaavaksi muistioksi
• Sopimuksen varainen asia on enää varsinaisesti vain teknisen ylläpitäjän tehtävän delegoiminen OKM:ltä CSC:lle
• https://confluence.csc.fi/display/VIRTA/Sopimus+korkeakoulun+ja+CSCn+kesken
Korkeakoulujen valtakunnallisen tietovarannon turvaaminen
• Tietosuojan ja tietoturvan pääperiaatteet
• Tietosuojan ja tietoturvan tarkistuslista
• Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus
• Tietoturvan miniauditointi (Aalto-yliopisto)
• Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa
• Ulkopuolinen tietoturva-auditointi myöhemmin
Tietoturvan miniauditointi (Aalto-yliopisto)
• RAKETTI-Tietohallinto-ohjausryhmä päätti, että korkeakoulukohtaisten integraatioiden toteutuksien alkaessa ensimmäisenä toteuttajana Aalto-yliopisto perehtyy tietovarannon tietoturvan varmistamiseen ja sitä koskeviin suunnitelmiin
• Miniauditointi on suoritettu eikä tunnistettu esteitä tietointegraatioiden toteutukselle tässä vaiheessa
• Aalto-yliopiston lakiasiantuntijat perehtyvät myös sopimukseen teknisestä tietojenkäsittelypalvelusta
Korkeakoulujen valtakunnallisen tietovarannon turvaaminen
• Tietosuojan ja tietoturvan pääperiaatteet
• Tietosuojan ja tietoturvan tarkistuslista
• Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus
• Tietoturvan miniauditointi (Aalto-yliopisto)
• Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa
• Ulkopuolinen tietoturva-auditointi myöhemmin
välikysymys
• Onko teillä tietoturvasta vastaava ja rekisterinpidosta vastaava perillä tietointegraation toteuttamisesta?
Tietoturvan käsittely korkeakoulujen vastaavien henkilöiden kanssa
• Korkeakoulukorttien tietointegraatiokyselyssä kohdassa 1.1.3 ilmoitetut henkilöt
• 6.2.2013 seminaarissa esitetty toimitetaan tiedoksi
• Syksyllä (marraskuussa?) järjestettävässä seminaarissa tietoturva- ja tietosuoja-asioiden käsittely
• Mukaan toteuttamaan tietoturvan auditointi sekä arvioimaan auditoinnin tulokset
Korkeakoulujen valtakunnallisen tietovarannon turvaaminen
• Tietosuojan ja tietoturvan pääperiaatteet
• Tietosuojan ja tietoturvan tarkistuslista
• Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus
• Tietoturvan miniauditointi (Aalto-yliopisto)
• Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa
• Ulkopuolinen tietoturva-auditointi myöhemmin
Tietoturva-auditointi
• Ulkopuolisen tahon toteuttamana
• Kun tietovaranto on kokonaisuutena audiotoitavissa (vuoden vaihteessa 2013-2014)
• Kohteena ketju korkeakoulusta tietoa käyttäviin palveluihin saakka (Opetushallituksen valtakunnalliset palvelut)
• Korkeakoulujen vastaavat henkilöt osallistuvat
Korkeakoulujen valtakunnallisen tietovarannon turvaaminen
• Tietosuojan ja tietoturvan pääperiaatteet
• Tietosuojan ja tietoturvan tarkistuslista
• Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus
• Tietoturvan miniauditointi (Aalto-yliopisto)
• Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa
• Ulkopuolinen tietoturva-auditointi myöhemmin
OKM palvelun tarjoajana (CSC)
OpetushallitusTilastokeskus
OKM-tiedonkeruutKorkeakoulut?
Korkeakoulun vastuulla sekä toteutus että tietosisältö rekisterinpitäjänä
Tiedon luovutus suoraan lain nojalla
tai korkeakoulun päätöksellä
Muuntaa rekisterinsä
tiedon Korkeakoulujen
tietomalliin (xdw-malli)
Tallentaa tiedon valtakunnalliseen
tietovarantoon
Tiedon käyttäjät hakevat kaikkien korkeakoulujen
tietoja omiin järjestelmiinsä
Päivittyvä kooste
• https://confluence.csc.fi/display/VIRTA/Tietosuoja+ja+tietoturva
Recommended