VISIO HEALTH HR TIETOTURVAPOLITIIKKA

Tässä politiikassa kuvataan Visio Health HR Oy:n
tietoturvapolitiikanpäämäärä ja linjaukset sekä vastuut ja organisointi.
Tässä politiikassa tietoturvalla tarkoitetaan tiedon luottamuksellisuuden,
eheyden ja käytettävyyden varmistamista sen esitystavasta riippumatta.
Tämä politiikka määrittelee tietoturvan perusvaatimukset ja luo pohjan
politiikan mukaisen toiminnan suunnittelulle ja jalkauttamiselle. Politiikan
läpiviennin tukemiseksi laaditaan lisäksi tarkempaa ohjeistusta
tietoturvan eri osa-alueille.
Tietoturvallisuutta toteutetaan ja kehitetään riskilähtöisesti käyttäen
tarkoituksenmukaisia ja kustannustehokkaita ratkaisuja.
Tietoturvapolitiikan tarkoituksenmukaisuutta arvioidaan Visio Health HR
Oy:n tietohallinnon ohjausryhmässä vuosittain.

Tietoturvapolitiikan päämäärä

Tietoturvan ensisijaisena päämääränä on Visio Health HR Oy:n
vastuulla olevien toimintojen jatkuvuuden turvaaminen kaikissa
olosuhteissa. Tarkoituksenmukainen ja tehokas tietoturva mahdollistaa
Visio Health HR Oy:n toimintoihin liittyvien ICT-ratkaisujen
käytettävyyden, prosesseissa ja palveluissa käytettävien tietojen
eheyden sekä luottamuksellisuuden kaikissa olosuhteissa kaikissa
toimintamaissa. Tämän politiikka luo perustan Visio Health HR Oy:n
tietojärjestelmien ja tietojenkäsittelyn turvallisuuden varmistamiselle.
Visio Health HR Oy:ssä asiakastietojen ja muiden digitaalisten
toimintojen tuottaman ja käsittelemän datan turvaaminen on olennainen
osa vastuullista toimintaa, jota sekä asiakkaamme että
yhteistyökumppanimme edellyttävät Visio Health HR Oy:ltä.

Digitaalisuuden kasvu merkitsee sitä, että tietoturvallisuutta säännellään
enenevässä määrin myös lainsäädännöillä

Tietoturvan toteuttaminen

Riskien arviointi

Tietoturvariskejä arvioidaan ja analysoidaan säännöllisesti niiden
liiketoimintavaikutusten perusteella. Riskiarviointi tulee laatia myös
uusien järjestelmien määrittelyvaiheessa ja merkittävien toiminnan
kriittisyyteen vaikuttavien muutosten yhteydessä.

Tietojen luokittelu ja käsittely

Visio Health HR Oy:llä on käytössä tietojen luokittelumenetelmä, jossa
ohjeistetaan, miten tiedot tulee luokitella ja määritellään
tietoturvakontrollit eri luokkiin kuuluvan tiedon käsittelylle.

Henkilötietojen käsittely

Tietosuojapolitiikassa ja -ohjeistuksissa määritellään, miten
henkilötietoja käsitellään Visio Health HR Oy:ssä.
Visio Health HR Oy:n järjestelmäkehitysprosesseissa on mukana
työvaiheet, joissa analysoidaan henkilötietojen käyttötarkoituksiin
sovellettavat tietosuojavaatimukset. Sovellettavat tietosuojavaatimukset
vaihtelevat kerättävien henkilötietojen ja tietojen käyttötarkoituksen
mukaan. Tekninen toteutus suunnitellaan siten, että se vastaa käsittelyn
riskitasoa. Riskitason perusteella valitaan tilanteeseen sopivat
hallintakeinot ja tietoturvakäytännöt riskitason hallitsemiseksi ja
vaatimustenmukaisuuden saavuttamiseksi.

Tietoturvavaatimukset

Visio Health HR Oy:n tietoturvavaatimukset määrittävät
sopimuskumppaneilta vaadittavan minimitason tietoturvan osalta.
Vaatimustenmukainen tietoturvan taso voidaan tarvittaessa todentaa
auditoinnein.

Tietoturvakoulutus

Visio Health HR Oy:llä on käytössä useita erilaisia, säännöllisesti
toteutettavia toimenpiteitä työntekijöiden tietoturvallisuustietoisuuden
parantamiseksi. Näitä ovat muun muassa verkkokoulutukset,
huijausviestisimulaatiot sekä uutisointi intraneteissä. Lisäksi valituille
kohderyhmille järjestetään kohdennettua tietoturvakoulutusta.

Valvonta ja seuranta

Tietoturvatason parantaminen ja ylläpitäminen edellyttävät
tietojärjestelmien toiminnan systemaattista ja jatkuvaa automaattista
valvontaa. Valvontaa toteuttavat henkilöt ovat lain mukaan
vaitiolovelvollisia työssään käsittelemistä tiedoista.
Tietoturvatilanteesta raportoidaan normaalin sisäisen valvonnan sekä
sisäisten ja ulkoisten tarkastusten yhteydessä. Teknistä tietoturvaa
arvioidaan jatkuvasti ja tärkeimpiin ympäristöihin tehdään erillisiä
tietoturvatarkastuksia.

Tietoturvapoikkeamien käsittely

Visio Health HR Oy:ssä on menettelytavat ja palvelut
tietoturvapoikkeamien havaitsemiseksi. Mahdollisten
tietoturvaloukkauksien käsittelyyn ja raportointiin on määritellyt
toimintamallit.

Tietoturvarikkomukset

Tietoturvarikkomukseksi lasketaan tietoturvapolitiikan ja -ohjeistuksen
vastainen toiminta. Visio Health HR Oy on määritellyt menettelytavat
rikkomustilanteille.

Vastuut ja organisointi

Tietoturvapolitiikan hyväksyy Visio Health HR Oy:n hallitus.
Toimitusjohtaja vastaa siitä, että Visio Health HR Oy:ssä on toimiva
tietoturva osana riskienhallintajärjestelmää. Tietoturvan toteuttamisessa
toimitusjohtajalla on apunaan konsernin tietohallinto- ja
riskienhallintatoiminnot. Riskienhallinnan ohjausryhmä, jossa on myös
toimialojen edustajat, käsittelee ja seuraa konsernin tietoturvariskejä
sekä riskienhallintatoimenpiteiden toteutumista.
Vastuu tietoturvan toteuttamisesta on liiketoiminnan ja yhteisten
toimintojen johdolla. Tietohallinto koordinoi ja kehittää
tietoturvaprosesseja, vastaa käytännön toteutuksesta yhdessä
palveluntarjoajien kanssa, raportoinnista sekä toteuttaa yhdessä
liiketoimintojen ja yhteisten toimintojen kanssa tietoturvariskien
tunnistamista ja hallintatoimenpiteiden määrittämistä. Jokaisen Visio
Health HR Oy:llä työskentelevän pitää tunnistaa tietoturvaan liittyvät
riskit ja reagoida niihin.

Tietoturvan ohjausmalli

Tietoturvan ohjausmalli on osa Visio Health HR Oy:n riskienhallinnan
ohjausmallia. Työjärjestyksensä mukaisesti Visio Health HR Oy:n
hallituksen tarkastusvaliokunta muun muassa seuraa ja arvioi yrityksen
sisäisen valvonnan, sisäisen tarkastuksen ja riskienhallintajärjestelmien
tehokkuutta.

Voimaantulo

Hyväksytty Visio Health HR Oy:n hallituksessa 16.1.2023. Tulee
voimaan 1.2.2023.
Katselmoitu ja päivitetty 2.4.2024 Tietohallinnon johtoryhmässä.