Tietoturvan ja tietosuojan järjestelyt

Korkeakoulujen ja opetus- jakulttuuriministeriön yhteinen tietohallintohanke,jota CSC koordinoi

RAkenteellisen

KEhittämisen

Tukena

TIetohallinto

Tietoturvan ja tietosuojan järjestelyt

6.2.2013, Antti Mäki

Korkeakoulujen valtakunnallisen tietovarannon turvaaminen

• Tietosuojan ja tietoturvan pääperiaatteet

• Tietosuojan ja tietoturvan tarkistuslista

• Sopimus teknisestä tietojenkäsittelypalvelusta sekä CSC:n asiakkaan tietoturvasopimus

• Tietoturvan miniauditointi (Aalto-yliopisto)

• Tietoturvan käsittely korkeakoulujen tietoturvasta vastaavien henkilöiden kanssa

• Ulkopuolinen tietoturva-auditointi myöhemmin

OKM palvelun tarjoajana (CSC)

OpetushallitusTilastokeskus

OKM-tiedonkeruutKorkeakoulut?

Korkeakoulun vastuulla sekä toteutus että tietosisältö rekisterinpitäjänä

Tiedon luovutus suoraan lain nojalla

tai korkeakoulun päätöksellä

Muuntaa rekisterinsä

tiedon Korkeakoulujen

tietomalliin (xdw-malli)

Tallentaa tiedon valtakunnalliseen

tietovarantoon

Tiedon käyttäjät hakevat kaikkien korkeakoulujen

tietoja omiin järjestelmiinsä

Tietojen turvaamisen tavoitteet tietovarannon toteutuksessa

• Tietojen mahdollisimman sujuva ja laaja käyttö joustavasti erilaisissa tilanteissa on ensisijainen tavoite rekistereihin kuuluvien henkilöiden oikeuksien edistämisessä

• Samalla tietovarantoon tuotavat tiedot turvataan tietosuojan ja tietoturvan toteutumisen varmistavilla kuvauksilla, määrityksillä ja ratkaisuilla

Tietojen ajantasaisuus- ja säilytysvaatimukset

• Säilytysaika määräytyy sen mukaan, miten tietoja säilytetään korkeakoulujen omissa rekistereissä korkeakoulujen arkistonmuodostussuunnitelmien ja muiden säilytysvelvoitteiden mukaisesti

• Yhdenvertaisen kohtelun turvaamiseksi tietoa on tietovarannon kautta pidettävä saatavilla eliniän ajan eli käytännössä pysyvästi

• Kun tietovarannon tieto on kopio lähdejärjestelmästä, on myös lähdejärjestelmän tieto säilytettävä vastaavasti

Tietojen luovuttaminen

• Opiskelijavalintarekisterin käyttöön eli OPH:n toteuttamiin valtakunnallisiin palveluihin laissa säädetyn velvollisuuden nojalla eikä edellytä korkeakoululta erillistä ratkaisua

• Muihin viranomaistarpeisiin perustuu eri laeissa määriteltyihin tiedonsaantioikeuksiin sekä siihen, että kyseiset viranomaiset pyytävät korkeakouluja toimittamaan tiedot tietovarannon kautta

• Muuten rekisterinpitäjän päätöksellä

Tietovarannon tietojen käsittely

• Tietovarantoon ei ole suoria käyttöliittymiä

• Tietovarannon lukurajanpinta luovuttaa automaattisesti kaiken pyydetyn tiedon sallituille palveluille (nyt vai OPH)

• OPH:n ylläpitämien palveluiden osana valvotaan henkilötietojen käyttöä

• Viranomaistiedonkeruita varten poiminnat toteutetaan erikseen valtuutetun CSC:n henkilöstön toimesta

Käyttöoikeus- ja lokirekisterit

• Tietoja käyttävä palvelu vastaa käyttövaltuuksien valvonnasta ja tietojen katselulokin muodostamisesta (esim. OPH:n palvelut)

• Tietovarannon lukurajapinta tallentaa lokitietona jokaisen kutsun, kutsujan ja vastauksen

• Lukurajapinnan lokitieto muodostaa lokirekisterin korkeakoulukohtaisesti. Lokirekisteriin tallennetaan tieto, mikäli kutsu koski korkeakoulun rekisteriin kuuluvia tietoja

Toimintatavat

• …joilla rekisterinpitäjä voi varmistua henkilötietojen käsittelyn lainmukaisuudesta

• Tietovarannon hallinnoimiseksi ja käytännöistä sopimiseksi luodaan teknisen ylläpitäjän ja korkeakoulujen yhteiset toimintatava

• Ehdotuksia valmistellaan RAKETTI-VIRTA-projektissa, mutta päätös toimintatavoista on opetus- ja kulttuuriministeriön, korkeakoulujen ja tietojen käyttöön osallistuvien viranomaisten yhteinen

Tieto on korkeakoulun rekisterin osa valtakunnallisessa tietovarannossa

• Korkeakoulujen valtakunnalliseen tietovarantoon tallennetaan korkeakoulun opiskelijatietoja sisältävän henkilörekisterin tietoja

• Henkilötietolain nojalla korkeakoulun on rekisterinpitäjänä varmistuttava tietojen käsittelyn asianmukaisuudesta ja erityisesti tietoturvan ja tietosuojan toteutumisesta

Asianmukaisuuden varmistaminen

• Korkeakoulu varmistaa tietoturvan ja tietosuojan toteutumisen yhdessä CSC:n kanssa laaditun sopimuksen sisällön, sen liitteen sisällön sekä tietosuojavaltuutetun toimiston suosituksen mukaisen tarkistuslistan avulla

• https://confluence.csc.fi/display/VIRTA/Tarkistulista+ja+vastaukset

https://confluence.csc.fi/display/VIRTA/Tarkistulista+ja+vastaukset



Sopimus teknisestä tietojekäsittelypalvelusta

• Tietosuojavaltuutetun toimiston suosituksen mukaiseen sopimukseen on koottu korkeakoulun ja CSC:n kesken sovittavat asiat

• Sopimus ja sen liitteen sisältö ovat voimassa korkeakoulun ja CSC:n välillä yhteisenä ymmärryksenä osapuolten välisistä velvoitteista kunnes kirjallinen sopimus on allekirjoitettu

• Sopimuksen liitteenä on CSC:n yhteistyökumppanin turvallisuussopimus

Muistio tietovarantoon liittyvästä teknisestä tietojenkäsittelypalvelusta

• Lainsäätämisen myötä sopimus muuttuu korkeakoulun CSC:n ja OKM:n vastuunjaon kuvaavaksi muistioksi

• Sopimuksen varainen asia on enää varsinaisesti vain teknisen ylläpitäjän tehtävän delegoiminen OKM:ltä CSC:lle

• https://confluence.csc.fi/display/VIRTA/Sopimus+korkeakoulun+ja+CSCn+kesken

https://confluence.csc.fi/display/VIRTA/Sopimus+korkeakoulun+ja+CSCn+kesken



Tietoturvan miniauditointi (Aalto-yliopisto)

• RAKETTI-Tietohallinto-ohjausryhmä päätti, että korkeakoulukohtaisten integraatioiden toteutuksien alkaessa ensimmäisenä toteuttajana Aalto-yliopisto perehtyy tietovarannon tietoturvan varmistamiseen ja sitä koskeviin suunnitelmiin

• Miniauditointi on suoritettu eikä tunnistettu esteitä tietointegraatioiden toteutukselle tässä vaiheessa

• Aalto-yliopiston lakiasiantuntijat perehtyvät myös sopimukseen teknisestä tietojenkäsittelypalvelusta

välikysymys

• Onko teillä tietoturvasta vastaava ja rekisterinpidosta vastaava perillä tietointegraation toteuttamisesta?

Tietoturvan käsittely korkeakoulujen vastaavien henkilöiden kanssa

• Korkeakoulukorttien tietointegraatiokyselyssä kohdassa 1.1.3 ilmoitetut henkilöt

• 6.2.2013 seminaarissa esitetty toimitetaan tiedoksi

• Syksyllä (marraskuussa?) järjestettävässä seminaarissa tietoturva- ja tietosuoja-asioiden käsittely

• Mukaan toteuttamaan tietoturvan auditointi sekä arvioimaan auditoinnin tulokset

Tietoturva-auditointi

• Ulkopuolisen tahon toteuttamana

• Kun tietovaranto on kokonaisuutena audiotoitavissa (vuoden vaihteessa 2013-2014)

• Kohteena ketju korkeakoulusta tietoa käyttäviin palveluihin saakka (Opetushallituksen valtakunnalliset palvelut)

• Korkeakoulujen vastaavat henkilöt osallistuvat

OKM palvelun tarjoajana (CSC)

OpetushallitusTilastokeskus

OKM-tiedonkeruutKorkeakoulut?

Korkeakoulun vastuulla sekä toteutus että tietosisältö rekisterinpitäjänä

Tiedon luovutus suoraan lain nojalla

tai korkeakoulun päätöksellä

Muuntaa rekisterinsä

tiedon Korkeakoulujen

tietomalliin (xdw-malli)

Tallentaa tiedon valtakunnalliseen

tietovarantoon

Tiedon käyttäjät hakevat kaikkien korkeakoulujen

tietoja omiin järjestelmiinsä

Päivittyvä kooste

• https://confluence.csc.fi/display/VIRTA/Tietosuoja+ja+tietoturva

https://confluence.csc.fi/display/VIRTA/Tietosuoja+ja+tietoturva



Tietoturvan ja tietosuojan järjestelyt

Documents

Transcript of Tietoturvan ja tietosuojan järjestelyt