Tietoturvan tavoitearkkitehtuuri ja sähköpostin siirrot pilvipalveluun

HEL 2020-005303
Asialla on uudempia käsittelyjä
§ 105

Tietoturvan tavoitearkkitehtuuri ja sähköpostin siirrot pilvipalveluun

Kansliapäällikkö

Päätös

Kansliapäällikkö päätti hyväksyä liitteenä 1 olevat tietoturvan teknisen tavoitearkkitehtuurin linjaukset ja päätti kehottaa kanslian tietohallintoyksikköä valmistelemaan, koordinoimaan sekä ohjeistamaan linjausten toimeenpanoa.

Lisäksi kansliapäällikkö päätti, että sähköpostisiirtoja voidaan jatkaa paikallisesta Exchange-sähköpostiympäristöstä O365-pilvisähköpostipalveluun niiden henkilöiden osalta, jotka käsittelevät vain satunnaisesti salassa pidettäviä tietoja ja joiden ei ole tarpeellista käsitellä turvaluokiteltuja tietoja.

Toimialojen, liikelaitosten ja virastojen tulee huolehtia, että liitteenä 2 olevat pilvisähköpostin käytön ohjeet ja siihen liittyvät tiedon käsittelyn rajoitukset viestitään selkeästi koko henkilöstölle.

Päätöksen perustelut

Helsingin kaupungin digitalisaatio-ohjelmassa on linjattu, että kaupunki tarjoaa työntekijöilleen modernit pilvipohjaiset toimistotyövälineet, jotka mahdollistavat tiedon helpomman jakamisen ja liikkuvan etätyön.

Tavoitearkkitehtuurissa on esitetty tavoitemalli, jonka avulla mahdollistetaan turvaluokiteltujen ja yleisen edun vuoksi salassa pidettävien tietojen tietoturvallinen käsittely ja näihin liittyvä työnteko ilman erillisiä salaimia tai muita erillisratkaisuja. Toisaalta mahdollistetaan kustannustehokas ja joustava työskentely sellaisille työntekijöille, joiden tehtävissä ei käsitellä tällaisia tietoja.

Erilaisille tietotyypeille kohdistuu erilaisia riskejä ja tietojen käsittely edellyttää aina tietojen luonteen perusteella tehtävää riskianalyysiä. Viranomaisen yleisen edun vuoksi salassa pidettävät tiedot sekä turvallisuusluokitellut tiedot vaativat erityisen käsittely-ympäristön, eikä näitä tietoja käsitellä ulkomailla. Valtaosa kaupungin toiminnassa käsiteltävästä tiedosta ei kuitenkaan ole yleisen edun vuoksi salassa pidettävää tietoa ja sitä voidaan käsitellä ulkomaalaisessa pilvipalvelussa, kunhan riskianalyysi on tehty.

Kaupungille on laadittu palvelutoiminnan tavoitteita tukeva tietoturvan tavoitearkkitehtuuri. Tarkoitukset on ollut laatia tekniset tietoturvavaatimukset, jotka täyttämällä tietoja voidaan suojata ja käsitellä vaatimusten mukaisesti, ja mahdollistaa vaatimusten täyttyessä tietojen käyttäminen pilvipalvelussa. Arkkitehtuurissa on otettu huomioon kaupungin suojattava kokonaisuus käsittäen koko it-infrastruktuurin.

Tavoitearkkitehtuurissa kaupungin toimistoympäristölle on laadittu vaatimukset, joiden perusteella tietojen käsittely voidaan toteuttaa tietoturvallisesti niin pilvipalvelussa kuin turvaluokitellussa käsittely-ympäristössä huomioiden näiden tietotyyppien erityisvaatimukset.

Päätös tullut nähtäväksi 30.04.2020

OHJEET OIKAISUVAATIMUKSEN TEKEMISEKSI

Tähän päätökseen tyytymätön voi tehdä kirjallisen oikaisuvaatimuksen. Päätökseen ei saa hakea muutosta valittamalla tuomioistuimeen.

Oikaisuvaatimusoikeus

Oikaisuvaatimuksen saa tehdä

  • se, johon päätös on kohdistettu tai jonka oikeuteen, velvollisuuteen tai etuun päätös välittömästi vaikuttaa (asianosainen)
  • kunnan jäsen.
Oikaisuvaatimusaika

Oikaisuvaatimus on tehtävä 14 päivän kuluessa päätöksen tiedoksisaannista.

Oikaisuvaatimuksen on saavuttava Helsingin kaupungin kirjaamoon määräajan viimeisenä päivänä ennen kirjaamon aukioloajan päättymistä.

Mikäli päätös on annettu tiedoksi postitse, asianosaisen katsotaan saaneen päätöksestä tiedon, jollei muuta näytetä, seitsemän päivän kuluttua kirjeen lähettämisestä. Kunnan jäsenen katsotaan saaneen päätöksestä tiedon seitsemän päivän kuluttua siitä, kun pöytäkirja on nähtävänä yleisessä tietoverkossa.

Mikäli päätös on annettu tiedoksi sähköisenä viestinä, asianosaisen katsotaan saaneen päätöksestä tiedon, jollei muuta näytetä, kolmen päivän kuluttua viestin lähettämisestä.

Tiedoksisaantipäivää ei lueta oikaisuvaatimusaikaan. Jos oikaisuvaatimusajan viimeinen päivä on pyhäpäivä, itsenäisyyspäivä, vapunpäivä, joulu- tai juhannusaatto tai arkilauantai, saa oikaisuvaatimuksen tehdä ensimmäisenä arkipäivänä sen jälkeen.

Oikaisuvaatimusviranomainen

Viranomainen, jolle oikaisuvaatimus tehdään, on Helsingin kaupunginhallitus.

Oikaisuvaatimusviranomaisen asiointiosoite on seuraava:

Sähköpostiosoite:
Postiosoite:
PL 10
 
00099 HELSINGIN KAUPUNKI
Faksinumero:
(09) 655 783
Käyntiosoite:
Pohjoisesplanadi 11-13
Puhelinnumero:
(09) 310 13700 (Yleishallinto)

Kirjaamon aukioloaika on maanantaista perjantaihin klo 08.15–16.00.

Oikaisuvaatimuksen muoto ja sisältö

Oikaisuvaatimus on tehtävä kirjallisena. Myös sähköinen asiakirja täyttää vaatimuksen kirjallisesta muodosta.

Oikaisuvaatimuksessa on ilmoitettava

  • päätös, johon oikaisuvaatimus kohdistuu
  • miten päätöstä halutaan oikaistavaksi
  • millä perusteella päätöstä halutaan oikaistavaksi
  • oikaisuvaatimuksen tekijä
  • millä perusteella oikaisuvaatimuksen tekijä on oikeutettu tekemään vaatimuksen
  • oikaisuvaatimuksen tekijän yhteystiedot
Pöytäkirja

Päätöstä koskevia pöytäkirjan otteita ja liitteitä lähetetään pyynnöstä. Asiakirjoja voi tilata Helsingin kaupungin kirjaamosta.

Sulje

Lisätietojen antaja

Ville Kivelä, ICT-palvelupäällikkö, puhelin: 0405481463

ville.kivela@hel.fi

Päättäjä

Sami Sarvilinna
kansliapäällikkö
Markus Kühn

Liitteet (pdf)

1. Salassa pidettävä: JulkL 24 § 1 mom 7 k.
2. Liite 2 Pilvisähköpostin käytön ohjeet ja rajoitukset
Liitettä ei julkaista internetissä.

Päätösasiakirjoissa on mainittu liitteitä, joita ei julkaista internetissä. Pois jätetään liitteet, jotka sisältävät salassa pidettäviä tietoja, joissa olevien tietojen julkistaminen voi vaarantaa yksityisyyden suojan, tai joita ei ole teknisistä syistä saatu sähköiseen muotoon. Keskeisimmät säädökset, joita asiassa sovelletaan, ovat laki viranomaisten toiminnan julkisuudesta (julkisuuslaki 621/1999), laki sähköisen viestinnän palveluista (917/2014), tietosuojalaki (1050/2018), laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä (703/2023) sekä laki julkisista hankinnoista ja käyttöoikeussopimuksista (1397/2016). Päätösasiakirjoja voi tiedustella myös Helsingin kaupungin kirjaamosta.