Ota yhteyttä

Tietoturvapolitiikka

versio 1.0 – päivitetty 19.5.2025

Sisällysluettelo

    1. Johdanto
    2. Johdon sitoutuminen
    3. Soveltamisala
    4. Tietoturvan tavoitteet
    5. ISMS yleiskatsaus ja teemat
    6. Roolit ja vastuut
    7. Vaatimustenmukaisuus ja jatkuva parantaminen
    8. Versiohistoria
 

1. Johdanto

Tämä tietoturvapolitiikka määrittelee, miten Metatavu varmistaa tietovarojen ja järjestelmien luottamuksellisuuden, eheyden ja saatavuuden. Se kuvaa ylimmän johdon sitoutumisen, luo perustan tietoturvan hallintajärjestelmällemme (ISMS), tukee NIS2-, GDPR- ja kyberturvallisuuslain vaatimusten noudattamista sekä tukee kyberturvallisuuskäytäntöjemme jatkuvaa parantamista. Yksityiskohtaiset operatiiviset menettelytavat ja vastuut on määritelty sisäisessä Security Playbook -oppaassa, joka tukee tämän politiikan toimeenpanoa. Tämä asiakirja on julkisesti saatavilla ja sitä tarkastellaan vuosittain.

2. Johdon sitoutuminen

Metatagun ylin johto on täysin sitoutunut tietoturvaan. Tämä sisältää riittävien resurssien varmistamisen, tavoitteiden asettamisen, turvallisuuden merkityksen viestinnän sekä ISMS:n säännöllisen tarkastelun parantamiseksi ja kehittämiseksi. Johto on määritellyt puitteet tietoturvan tavoitteiden asettamiselle strategisella ja operatiivisella tasolla. Johto sitoutuu:
  • Ylläpitämään ja tarkastelemaan tätä politiikkaa
  • Asettamaan mitattavia turvallisuustavoitteita, jotka ovat linjassa strategian kanssa
  • Varmistamaan, että henkilöstö on tietoinen turvallisuudesta ja vastuussa siitä
  • Tukemaan jatkuvaa parantamista ja turvallisuuskäytäntöjen säännöllistä tarkastelua
  • Resurssoimaan ISMS:n toimeenpanon ja käytännöt

3. Soveltamisala

Tätä tietoturvapolitiikkaa sovelletaan kaikkiin Metatagun toimintoihin, henkilöstöön, järjestelmiin ja palveluihin. Se on pakollinen kaikille työntekijöille, harjoittelijoille, alihankkijoille ja kumppaneille, jotka käsittelevät, käyttävät tai hallinnoivat Metatagun vastuulla olevaa tietoa tai järjestelmiä. Politiikka ja siihen liittyvä tietoturvan hallintajärjestelmä (ISMS) kattavat:
  • Kaikki liiketoimintafunktiot, mukaan lukien ohjelmistokehitys, konsultointi, palvelun toimitus, sisäiset toiminnot ja jatkuvat palvelut
  • Kaikki asiakasprojektit ja -ympäristöt riippumatta siitä, sijaitsevatko ne Metatagun hallinnoimassa vai asiakkaan omistamassa infrastruktuurissa (AWS, Azure, GCP, on-premise)
  • Kaikki Metatagun hallinnoimat tai ylläpitämät laitteet ja tietovarat, mukaan lukien etätyö ja henkilökohtaisten laitteiden käyttö, joissa käsitellään työhön liittyvää tietoa
  • Kaikki tietotyypit, mukaan lukien henkilötiedot, lähdekoodit, dokumentaatio, tunnistetiedot, lokit ja asiakaskohtaiset materiaalit
Turvallisuusvalvontaa sovelletaan sekä digitaalisiin että fyysisiin varoihin, siirrettävään ja tallennettavaan tietoon, ja ne toteutetaan Security Playbook -oppaassa määriteltyjen teknisten, hallinnollisten ja menettelytapojen kautta. ISMS:mme on koko yrityksen kattava, eikä siitä tällä hetkellä suljeta pois mitään alueita tai toimintoja. Jos tulevaisuudessa harkitaan poikkeuksia, ne perustellaan, dokumentoidaan ja ylimmän johdon tarkastaa ne riskien ja sääntelyvaatimusten noudattamisen perusteella.

4. Tietoturvan tavoitteet

Turvallisuustavoitteet määrittelee ylin johto, ja ne perustuvat lakisääteisiin vaatimuksiin, riskiarviointeihin ja liiketoimintatarpeisiin. Ne viestitään, ne ovat mitattavia, niitä tarkastellaan säännöllisesti ja niihin sisältyy vastuulliset omistajat ja resurssit. Strategiset tavoitteet:
  • Rakentaa vahva tietoturvatietoisuuden kulttuuri
  • Varmistaa NIS2-, GDPR- ja kyberturvallisuuslain vaatimusten noudattaminen
  • Suojata asiakastietoja tietosuojasopimuksen (DPA) ja sisäisten valvontatoimien kautta
  • Integroida tietoturva kaikkiin kehitysprojekteihin
  • Seurata kolmansien osapuolien ja toimittajien riskejä
  • Käyttää tietoturvaa kilpailuetuna
  • Toimittaa ja operoida palveluita turvallisesti

5. ISMS yleiskatsaus ja teemat

ISMS koostuu politiikoista, menettelytavoista ja vastuista, jotka varmistavat tietoturvan päivittäisessä toiminnassa. Jokaisella alueella on omistaja, joka vastaa toimeenpanosta ja parantamisesta. Jokaista ISMS:n temaattista aluetta tukevat yksityiskohtaiset menettelytavat ja ohjeet, jotka on määritelty sisäisessä Security Playbook -oppaassa. Tämä sisältää roolikohtaiset vastuut, tekniset valvontatoimet ja käytännön ohjeet. Teemat ja omistajat:
  • Riskienhallinta ja johtajuus – Toimitusjohtaja
  • Kehitys ja pilvipalvelut – CTO
  • Tietojoukot ja IT-järjestelmien hallinta – CTO
  • Etätyö, viestintä ja laiteturvallisuus – CTO
  • Poikkeamien hallinta – Tietosuoja- ja turvallisuustyöryhmä
  • Tietosuoja ja yksityisyys – Tietosuojavastaava
  • Kumppanienhallinta – Palvelutoimitusjohtaja
  • Henkilöstöturvallisuus – HR / henkilöstöturvallisuus
  • Fyysinen turvallisuus – HR / henkilöstöturvallisuus

6. Roolit ja vastuut

Selkeät roolit varmistavat vastuullisuuden ja toiminnan.
  • Toimitusjohtaja (CEO): Määrittelee tietoturvastrategian ja varmistaa johdon valvonnan ja sitoutumisen.
  • Teknologiajohtaja (CTO): Johtaa teknisten ja organisatoristen turvatoimien toimeenpanoa, koordinoi ISMS:ää ja varmistaa jatkuvan parantamisen.
  • Palvelutoimitusjohtaja: Vastaa turvallisesta palvelujen toiminnasta ja asiakasympäristön eheydestä.
  • Tietosuojavastaava (DPO): Varmistaa tietosuojalakien (esim. GDPR, DPA) noudattamisen ja neuvoo yksityisyyteen liittyvissä riskeissä.
  • HR / henkilöstöturvallisuus: Hallinnoi turvallista perehdytystä ja työsuhteen päättämistä sekä varmistaa fyysisen pääsynvalvonnan.
  • Tietosuoja- ja turvallisuustyöryhmä: Monialainen tiimi, joka tukee politiikan toimeenpanoa, sisäistä viestintää, tietoturvakoulutusta ja tietoisuuden lisäämistä.

7. Vaatimustenmukaisuus ja jatkuva parantaminen

Metatavu on sitoutunut täyttämään turvallisuuteen liittyvät lailliset, sääntelyyn perustuvat ja sopimusvelvoitteet. ISMS:ää tarkastellaan säännöllisesti sisäisten auditointien ja johdon katselmointien kautta. Palaute, poikkeamat ja riskiarvioinnit ohjaavat jatkuvaa parantamista.

8. Versiohistoria

Versio Päivämäärä Kuvaus
1.12.2023 ISMS-työn aloitus
1.0 19.5.2025 Tietoturvapolitiikan ensimmäinen julkaistu versio.
Johdon hyväksymä.
 
Metatavu oy | versio 1.0 – päivitetty 19.5.2025