Tietoturvapolitiikka

Päämäärä ja tavoitteet 

Moment Digitalin toiminta-ajatus on tuottaa asiakkailleen laadukasta ja katkeamatonta asiakaspalvelua 24/7 vuoden jokaisena päivänä. Laatu, toimintavarmuus ja jatkuva parantaminen ovat olennaisia asioita liiketoimintasuunnitelmasta lähtien, joihin ylin johto ja koko henkilöstö ovat vahvasti sitoutuneita.  

Tietoturvan tulee tukea yllä olevia pääteemoja ja niistä tulevia erityisvaatimuksia. Yhteistyöhön ja integraatioihin eri asiakkaiden ja sidosryhmien kanssa tulee kiinnittää erityistä huomioita, jotta voidaan varmistaa tietoturva prosessien jokaisessa kohdassa. 

Tietoturvan hallintajärjestelmä ja tietoturvapolitiikka ovat oleellinen osa varmistamaan
Moment Digitalin ja asiakkaidemme tietoturvallisuus. Tietoturvan hallintajärjestelmä erityisenä tavoitteena on varmistaa asiakaspalvelun toiminnan jatkuvuus myös poikkeustilanteissa 24/7 vuoden jokaisena päivänä sekä turvata Moment Digitalin ja sen asiakkaiden tieto. 

Tietoturvapolitiikkamme on ylimmän johdon hyväksymä. 

Tietoturvallisuus 

Tietoturvallisuudella tarkoitetaan kaiken tiedon turvaamista, on se sitten kirjoitettua tietoa paperilla tai digitaalisena, puhuttua, kuultua tai aineetonta tietoa (ideat, konseptit, brändit). Tietoturvallisuus rakentuu tiedon  

  • eheydestä, jolloin tieto on oikeata, ajantasaista ja luotettavaa

  • luottamuksellisuus, jolloin tieto on vain heidän saatavilla, joille se kuuluu

  • saatavuudesta, jolloin tieto on käytettävissä silloin kuin sitä tarvitaan

Moment Digitalin tietoturvallisuutta hoidetaan määriteltyjen asetusten ja lakien mukaisesti. 

Tietojen luokittelu ja salaus 

Tieto luokitellaan lakisääteisten vaatimusten, tiedon arvon ja kriittisyyden sekä sen luvattoman paljastumisen tai muokkaamisen aiheuttamien vaikutusten perusteella.  

Luokitteluperiaatteiden suojaustaso arvioidaan analysoimalla kyseessä olevan tiedon luottamuksellisuus, eheys ja saatavuus sekä mahdolliset muut vaatimukset.  

Salauspolitiikalla varmistetaan salauksen asianmukainen ja vaikuttava käyttö, jotta tiedon luottamuksellisuus, aitous ja eheys kyetään suojaamaan. 

Asiakaskohtaiset lupaukset ja sopimukset huomioidaan salausmenetelmien käytössä. 

Tietoturvan organisointi ja vastuut 

Tietoturvallisuuden toteutumisesta ja siihen tarvittavien edellytysten luomisesta vastaa ylimpänä Moment Digitalin toimitusjohtaja. Toimitusjohtaja määrittelee tietoturvavastaavan, jonka vastuulla on tietoturvan hallintajärjestelmän kehitys ja ylläpito. 

Tietoturvallisuus on jokaisen Moment Digitalin henkilön vastuulla ja jokainen on velvollinen informoimaan mahdollisesta väärinkäytöksestä tietoturvavastaavalle tai esimiehelle. 

Tietoturvan toteutus  

Tietoturvallisuuden toteutus ja kehitys on jatkuva prosessi, jossa käytetään PDCA-prosessimallia. Malli koostuu neljästä vaiheesta: 

  • Plan, jossa ensin suunnitellaan toimintaa/prosessia

  • Do, jossa suunnitelma toteutetaan

  • Check, jossa tarkistetaan toteutuksen onnistuminen

  • Act, jossa tehdään tarvittavat muutokset ja korjaukset

PDCA on käytössä Moment Digitalin ISO 9001 -laatujärjestelmässä ja ISO 27001 -tietoturvan hallintajärjestelmässä. ISO 27001 ja ISO 9001 toimivat Moment Digitalissa yhdessä tukien tosiaan.  

Tietoturvapolitiikka on koko henkilöstön ja asiakkaiden saatavilla. 

Tietoturvan seuranta ja ongelmatilanteiden käsittely 

Tietoturvavastaavalla on toimitusjohtajan valtuutus ja näin vastuu tehdä tietoturvallisuuteen liittyviä kartoituksia ja aloittaa ongelmatilanteiden selvitys itsenäisesti. 

Tietoturvan seuranta sekä raportointi yleisellä tasolla on jokaisen työntekijän velvollisuus. Prosessien ja toimintojen omistajat ovat velvollisia seuraamaan ja kehittämään vastuualueitaan aktiivisesti. 

Väärinkäytöstilanteissa tietoturvavastaava ja toimitusjohtaja määrittelevät väärinkäytöksen vakavuuden mukaan annettavista sanktioista. Henkilöstöprosessi huomioi sanktiot ja seuraamukset. 

Moment Digital tekee tarvittaessa yhteistyötä eri viranomaistahojen kanssa ja on yhteydessä Viestintäviraston kyberturvallisuuskeskukseen. 

Viestintä 

Tietoturva-asioita viestiminen on tietoturvavastaavan vastuulla sisäisissä asioissa ja ulkoisissa asioissa markkinoinnin kanssa. Asiakkaille tehtävä tietoturvaviestintä on tärkeässä asemassa, jolle annetaan erityinen huomio tietoturvaprosesseissa. 

Tietosuojavastaava
Esa Lähteenmäki
esa.lahteenmaki@momentdigital.fi