Tietoturvapolitiikka

Johdanto

Tämä dokumentti kuvaa HeadPower Oy:n linjaukset, käytännöt ja tavoitteet tietoturvalliseen työskentelyyn ja liiketoimintaan. Tarkemmat käytännön ohjeet yrityksen työntekijöille opastetaan mm. työntekijän tietosuoja- ja tietoturvaohjeessa (myöhemmin ”tietoturvaohjeistus”).

Päämäärät ja tavoitteet

Tietoturvallisuudesta huolehtiminen on edellytys HeadPower Oy:n liiketoiminnan jatkuvuudelle, toimintojen ja palvelujen laadulle sekä sille, että asiakkaat voivat luottaa HeadPower Oy:n palveluiden saatavuuteen ja käsiteltävien tietojen suojaamiseen. 

Tietoturvallisuus kattaa kaikki HeadPower Oy:n tietojenkäsittelytehtävät koko tiedon elinkaaren ajalta riippumatta siitä, millä tavalla tai välineillä tietoa käsitellään. Tietoturvallisuustoimet koskevat tiedon luomista, käsittelyä, luovutusta, siirtoa, arkistointia ja tiedon hävittämistä. 

Sitoudumme toimimaan tietoturvallisesti yhteistyössä henkilöstömme, asiakkaidemme sekä alihankinta- ja muiden kumppaneidemme kanssa. 

Sitoudumme tietoturvallisuusriskien ennalta tunnistamiseen, arviointiin sekä riskien poistamiseen. Sitoudumme myös vuosittain vahvistettaviin tietoturvallisuustavoitteisiin.  

Tietoturvatyötä ohjaavat tekijät ja vastuut

Toimintamme täyttää lain, viranomaisten, toimialan, asiakkaidemme ja kumppaniemme asettamat vaatimukset.  

Esimiehen vastuulla on huolehtia siitä, että hänen alaisillaan on riittävät tiedot ja resurssit, jotta työtehtävien tekeminen tietoturvaohjeistuksen mukaisesti on mahdollista. 

Jokaisen työntekijän vastuulla on perehtyä tietoturvaohjeistukseen ja toimia työssään niiden mukaisesti. Mikäli työntekijä työssään havaitsee puutteita ohjeissa, käytössä olevissaan tiedoissa tai resursseissa, hänen tulee ilmoittaa niistä esimiehelleen, jotta puute voidaan korjata. 

Tiedottaminen ja koulutus

Tietoturvaohjeistus käydään läpi työntekijän perehdytyksessä ja muutokset ohjeistukseen perehdytetään aina koko henkilöstölle. Lisäksi Tietoturvasta järjestetään vuosittain koulutus kaikille työntekijöille. 

Voimassa oleva tietoturvaohjeistus pidetään aina jokaisen työntekijän saatavilla.

Seuranta, kehitys ja ongelmatilanteet

Arvioimme toimintaamme, kehitystavoitteidemme ajanmukaisuutta sekä niiden toteutumista suhteessa saatavilla olevaan vertailutietoon sekä ISO27001 tietoturvallisuusvaatimuksiin. 

Kehitämme jatkuvasti toimintaamme pystyäksemme vastaamaan tietoturvallisen toiminnan haasteisiin myös tulevaisuudessa.  

Kannustamme henkilöstöä kehitystarpeiden tunnistamiseen, palautteen antamiseen sekä aloitteiden tekemiseen. 

Tietoturvan kehittämistä ohjataan ja seurataan tietoturvallisuuden hallintamallissa kuvatuilla periaatteilla ja toimenpiteillä.  

Ongelmatilanteisiin reagoidaan välittömästi minimoimalla ongelman vaikutukset ja tiedottamalla ongelmasta sisäisesti. Välittömien toimenpiteiden jälkeen arvioidaan syyt ja ongelma korjataan pysyvästi siten, että ongelman toistuminen estetään mahdollisuuksien mukaan. Korjauksen jälkeen juurisyy ja korjaavat toimenpiteet raportoidaan tietoturvatyöstä vastaavalle henkilölle. Toteutuneita ongelmatilanteita ja niiden korjaustoimenpiteitä seurataan osana hallintamallia.

 

Tietoturvapolitiikan hyväksyntä 

HeadPower Oy:n johtoryhmä hyväksyi tämän tietoturvapolitiikan 2.2.2022