Tässä politiikassa kuvataan Kesko-konsernin (”Kesko”) tietoturvapolitiikan päämäärä ja linjaukset sekä vastuut ja organisointi.
Tässä politiikassa tietoturvalla tarkoitetaan tiedon luottamuksellisuuden, eheyden ja käytettävyyden varmistamista sen esitystavasta riippumatta. Tämä politiikka määrittelee tietoturvan perusvaatimukset ja luo pohjan politiikan mukaisen toiminnan suunnittelulle ja jalkauttamiselle. Politiikan läpiviennin tukemiseksi laaditaan lisäksi tarkempaa ohjeistusta tietoturvan eri osa-alueille.
Tietoturvallisuutta toteutetaan ja kehitetään riskilähtöisesti käyttäen tarkoituksenmukaisia ja kustannustehokkaita ratkaisuja. Tietoturvapolitiikan tarkoituksenmukaisuutta arvioidaan Kesko-konsernin tietohallinnon ohjausryhmässä vuosittain.
Tietoturvapolitiikka yhdessä Keskon arvon, K Code of Conductin, riskienhallinta-, turvallisuus- ja tietosuojapolitiikkojen kanssa ovat keskeinen osa Keskossa noudatettavaa hyvää hallinnointia (Corporate Governance).
Tietoturvan ensisijaisena päämääränä on Kesko-konsernin vastuulla olevien toimintojen jatkuvuuden turvaaminen kaikissa olosuhteissa. Tarkoituksenmukainen ja tehokas tietoturva mahdollistaa Keskon toimintoihin liittyvien ICT-ratkaisujen käytettävyyden, prosesseissa ja palveluissa käytettävien tietojen eheyden sekä luottamuksellisuuden kaikissa olosuhteissa kaikissa toimintamaissa. Tämän politiikka luo perustan Kesko-konsernin tietojärjestelmien ja tietojenkäsittelyn turvallisuuden varmistamiselle.
Keskossa asiakastietojen ja muiden digitaalisten toimintojen tuottaman ja käsittelemän datan turvaaminen on olennainen osa vastuullista toimintaa, jota sekä asiakkaamme että yhteistyökumppanimme edellyttävät Keskolta. Digitaalisuuden kasvu merkitsee sitä, että tietoturvallisuutta säännellään enenevässä määrin myös lainsäädännöillä. Jokaisen Kesko-konsernin työntekijän kaikissa toimintamaissa on noudatettava tietoturvapolitiikkaa, sitä täydentäviä periaatteita ja ohjeita sekä soveltuvaa lainsäädäntöä.
Riskien arviointi
Tietoturvariskejä arvioidaan ja analysoidaan säännöllisesti niiden liiketoimintavaikutusten perusteella. Riskiarviointi tulee laatia myös uusien järjestelmien määrittelyvaiheessa ja merkittävien toiminnan kriittisyyteen vaikuttavien muutosten yhteydessä.
Tietojen luokittelu ja käsittely
Keskolla on käytössä tietojen luokittelumenetelmä, jossa ohjeistetaan, miten tiedot tulee luokitella ja määritellään tietoturvakontrollit eri luokkiin kuuluvan tiedon käsittelylle.
Henkilötietojen käsittely
Tietosuojapolitiikassa ja -ohjeistuksissa määritellään, miten henkilötietoja käsitellään Keskossa.
Keskon järjestelmä- ja sovelluskehitysprosesseissa on mukana työvaiheet, joissa analysoidaan henkilötietojen käyttötarkoituksiin sovellettavat tietosuojavaatimukset. Sovellettavat tietosuojavaatimukset vaihtelevat kerättävien henkilötietojen ja tietojen käyttötarkoituksen mukaan. Tekninen toteutus suunnitellaan siten, että se vastaa käsittelyn riskitasoa. Riskitason perusteella valitaan tilanteeseen sopivat hallintakeinot ja tietoturvakäytännöt riskitason hallitsemiseksi ja vaatimustenmukaisuuden saavuttamiseksi.
Tietoturvavaatimukset
Keskon tietoturvavaatimukset määrittävät sopimuskumppaneilta vaadittavan minimitason tietoturvan osalta. Vaatimustenmukainen tietoturvan taso voidaan tarvittaessa todentaa auditoinnein.
Tietoturvakoulutus
Keskolla on käytössä useita erilaisia, säännöllisesti toteutettavia toimenpiteitä työntekijöiden tietoturvallisuustietoisuuden parantamiseksi. Näitä ovat muun muassa verkkokoulutukset, huijausviestisimulaatiot sekä uutisointi intraneteissä. Lisäksi valituille kohderyhmille järjestetään kohdennettua tietoturvakoulutusta.
Valvonta ja seuranta
Tietoturvatason parantaminen ja ylläpitäminen edellyttävät tietojärjestelmien toiminnan systemaattista ja jatkuvaa automaattista valvontaa. Valvontaa toteuttavat henkilöt ovat lain mukaan vaitiolovelvollisia työssään käsittelemistä tiedoista.
Tietoturvatilanteesta raportoidaan normaalin sisäisen valvonnan sekä sisäisten ja ulkoisten tarkastusten yhteydessä. Teknistä tietoturvaa arvioidaan jatkuvasti ja tärkeimpiin ympäristöihin tehdään erillisiä tietoturvatarkastuksia.
Tietoturvapoikkeamien käsittely
Keskolla on menettelytavat ja palvelut tietoturvapoikkeamien havaitsemiseksi. Mahdollisten tietoturvaloukkauksien käsittelyyn ja raportointiin on määritellyt toimintamallit.
Tietoturvarikkomukset
Tietoturvarikkomukseksi lasketaan tietoturvapolitiikan ja -ohjeistuksen vastainen toiminta. Kesko on määritellyt menettelytavat rikkomustilanteille.
Tietoturvapolitiikan hyväksyy Keskon hallitus.
Tietoturvapolitiikka kattaa Keskon yhtiöiden toiminnot kaikissa Keskon toimintamaissa. Keskon henkilöstön on noudatettava politiikkaa. Keskon yhtiöt ja yksiköt huolehtivat politiikan toteutuksesta ja tarvittavasta resursoinnista omassa toiminnassaan.
Pääjohtaja vastaa siitä, että Keskossa on toimiva tietoturva osana riskienhallintajärjestelmää. Tietoturvan toteuttamisessa pääjohtajalla on apunaan konsernin tietohallinto- ja riskienhallintatoiminnot. Riskienhallinnan ohjausryhmä, jossa on myös toimialojen edustajat, käsittelee ja seuraa konsernin tietoturvariskejä sekä riskienhallintatoimenpiteiden toteutumista.
Vastuu tietoturvan toteuttamisesta on liiketoiminnan ja yhteisten toimintojen johdolla. Tietohallinto koordinoi ja kehittää tietoturvaprosesseja, vastaa käytännön toteutuksesta yhdessä palveluntarjoajien kanssa, raportoinnista sekä toteuttaa yhdessä liiketoimintojen ja yhteisten toimintojen kanssa tietoturvariskien tunnistamista ja hallintatoimenpiteiden määrittämistä. Jokaisen keskolaisen pitää tunnistaa tietoturvaan liittyvät riskit ja reagoida niihin.
Tietoturvan ohjausmalli
Tietoturvan ohjausmalli on osa Keskon riskienhallinnan ohjausmallia. Työjärjestyksensä mukaisesti Keskon hallituksen tarkastusvaliokunta muun muassa seuraa ja arvioi Keskon sisäisen valvonnan, sisäisen tarkastuksen ja riskienhallintajärjestelmien tehokkuutta. Tarkastusvaliokunta käsittelee konsernin merkittävimmät tietoturvariskit.
Hyväksytty Keskon hallituksessa 17.12.2020. Tulee voimaan 1.1.2021. |
Korvaa Keskon hallituksen tarkastusvaliokunnan 17.12.2018 hyväksymän tietoturvapolitiikan. |
Katselmoitu 25.3.2024 Tietohallinnon johtoryhmässä |