Tietoturva­politiikka

Voimassa 10.6.2025 alkaen toistaiseksi

 

Alfamen tietoturvapolitiikka

Tarkoitus

Tämän tietoturvapolitiikan tavoitteena on asettaa organisaatiomme tietoturvallisuuden periaatteet ja korkean tason linjaukset. Alfamella tietoturva on keskeinen osa kaikkea toimintaamme. Ymmärrämme, että asiakkaamme, yhteistyökumppanimme ja muut sidosryhmämme luottavat meihin käsitellessämme heidän tietojaan. Tämä tietoturvapolitiikka määrittää sitoumuksemme tietojen suojaamiseen ja kuvastaa niitä periaatteita, joiden mukaisesti toimimme varmistaaksemme turvallisen ja luottamuksellisen yhteistyön kaikille osapuolille.

Tätä politiikkaa sovelletaan koko henkilöstöön kuin myös sopimussuhteessa oleviin toimijoihin, Tätä politiikkaa tukevat tietoturvanhallinta malliin kirjatut tietoturvaohjeistuksemme.

Tietoturvatavoitteet

Alfamella tietoturvatavoitteemme on auttaa ehkäisemään ja minimoimaan tietoturvahäiriöiden tai -loukkausten vaikutusta niin omaan kuin asiakkaidemme liiketoimintaan sekä turvaamaan työntekijöitämme.

Alfame sitoutuu suojaamaan omia ja sidosryhmiensä tietoja. Noudatamme sovittuja tietoturvakäytäntöjä varmistaaksemme, että tiedot pysyvät luottamuksellisina, eheinä ja asianmukaisesti saatavilla vain niille, joilla on oikeus käyttää niitä. ISO 27001 standardin mukainen tietoturvan hallintajärjestelmä (ISMS) toimii tietoturvakäytäntöjemme systemaattisena perustana ja ohjaa toimintaamme.

Lainsäädännön ja standardien noudattaminen

Toimintamme perustuu tietoturvaan liittyvien lakien, säädösten ja alan parhaiden käytäntöjen noudattamiseen. Huolehdimme siitä, että toimintamme on linjassa muun muassa seuraavien lainsäädännön ja standardien kanssa:

  • Euroopan unionin yleinen tietosuoja-asetus (GDPR, 2016/679)
  • Euroopan unionin asetus tekoälystä (EU) 2024/1689 (AI Act)
  • Suomen tietosuojalaki (1050/2018)
  • Laki yksityisyyden suojasta tietoyhteiskunnassa (917/2014)
  • ISO/IEC 27001 -tietoturvastandardi
  • NIS2-direktiivi (EU 2022/2555) ja sen kansallinen implementointi

Periaatteet

Roolit ja vastuut

Määrittelemme ja ylläpidämme selkeää vastuunjakoa tietoturvan hallinnan varmistamiseksi. Tietoturva on osa jokaisen työntekijän ja yhteistyökumppanin vastuuta. Roolit, vastuut ja niiden välinen työnjako kuvataan tarkemmin erillisissä menettelyissä ja ohjeistuksissa. Näitä ylläpidetään osana tietoturvan hallintajärjestelmää.

Varmistamme, että työntekijät ja sidosryhmät saavat tehtäviensä edellyttämän tietoturvakoulutuksen. Koulutusta järjestetään perehdytyksen yhteydessä sekä säännöllisesti osana jatkuvaa kehittämistä. Koulutuksella edistetään tietoturvatietoisuutta ja ennaltaehkäistään inhimillisiä riskejä.

Tietoturvariskien hallitsemiseksi pyritään soveltamaan tehtävien eriyttämisen periaatetta. Roolit ja toiminnot suunnitellaan siten, että yksittäisellä henkilöllä ei ole valtuuksia valvoa, hyväksyä ja toteuttaa samaa kriittistä toimintoa. Tehtävien eriyttämistä toteutetaan teknisin ja organisatoorisin keinoin osana järjestelmien hallintaa ja prosessien suunnittelua.

Tietoturvakulttuuri

Organisaatiossamme tietoturva on jokaisen vastuulla. Koulutamme jatkuvasti henkilöstöämme tietoturvakäytännöistä ja tarjoamme työkaluja turvallisten toimintatapojen noudattamiseen. Sisäisten prosessiemme ja kumppanuuksiemme kautta edistämme tietoturvatietoisuutta ja -osaamista koko ekosysteemissämme. Kaikki kehittämämme ratkaisut suunnitellaan ja toteutetaan huomioiden riittävä turvallisuus.

Olemme sitoutuneet toimimaan avoimesti ja vastuullisesti tietoturvaan liittyvissä kysymyksissä. Viestimme sidosryhmillemme läpinäkyvästi tietoturvakäytännöistämme, valmiuksistamme ja mahdollisista tietoturvapoikkeamista.

Riskienhallinta ja ennakoiva tietoturva

Organisaation tietoturvanhallinta perustuu riskiperusteiseen lähestymistapaan. Tietoturvariskejä tunnistetaan, arvioidaan ja hallitaan järjestelmällisesti osana toimintaa ja päätöksentekoa. Riskienhallinnan tavoitteena on suojata organisaation tiedot ja palvelut ennakoivasti, vähentää haavoittuvuuksia ja varmistaa liiketoiminnan jatkuvuus. Riskienhallinnan tarkemmat menettelyt ja vastuut määritellään erillisissä ohjeistuksissa.

Tietoturvapoikkeamien ja jatkuvuuden hallinta

Hyvästä hallinnasta huolimatta voi esiintyä poikkeamia ja häiriöitä. Olemme varautuneet niiden käsittelyyn ja suunnitelleet häiriönhallinnan etukäteen. Poikkeamat ja häiriöt analysoidaan ja raportoidaan sekä parannamme toimintaamme, jotta niiden vaikuttavuutta ja todennäköisyyttä voidaan vähentää toiminnassamme.

Organisaatiomme varautuu tietoturvaa uhkaaviin häiriöihin ja poikkeustilanteisiin jatkuvuudenhallinnan keinoin. Tavoitteena on varmistaa kriittisten toimintojen ja tietojen saatavuus myös häiriötilanteissa sekä mahdollistaa toiminnan palauttaminen hallitusti. Jatkuvuudenhallintaan kuuluu riskiperusteinen varautuminen, toipumissuunnitelmien laadinta, testaus ja säännöllinen päivittäminen. Kehittämme jatkuvuusvalmiuttamme osana tietoturvan hallintajärjestelmää ja varmistaa, että vastuut ja toimintamallit on määritelty poikkeustilanteiden varalle.

Jatkuva parantaminen

Tietoturvakäytäntöjä, -prosesseja ja -valvontaa kehitetään säännöllisesti riskien, poikkeamien, auditointien, palautteen ja muutosten perusteella. Vahvistamme ja kehitämme tietoturvaa jatkuvasti vastaamaan muuttuvan liiketoimintaympäristön, vaatimusten ja uhkien asettamiin haasteisiin. Jatkuva parantaminen perustuu järjestelmälliseen arviointiin, seurantaan ja kehitystoimenpiteiden toteuttamiseen. Parantamistoimet dokumentoidaan ja niiden vaikuttavuutta seurataan osana tietoturvan hallinnan kokonaisuutta.

Yhteenveto

Alfamella tietoturva on osa yrityskulttuuriamme ja liiketoimintamme perustaa. Tavoitteenamme on tarjota kaikille sidosryhmillemme turvallinen ja luotettava toimintaympäristö, jossa tietojen suojaaminen on etusijalla. Sitoudumme jatkuvasti kehittämään tietoturvaamme ja edistämään vastuullista digitaalista toimintaa yhteistyössä asiakkaidemme ja kumppaneidemme kanssa.

Poikkeamat tästä politiikasta lasketaan tietoturvarikkomuksiksi. Alfame on määritellyt menettelyt rikkomustilanteille.

Tämä tietoturvapolitiikka on voimassa hyväksymispäivästä alkaen. Politiikka katselmoidaan ja päivitetään säännöllisesti ISMS-hallinnan vuosikellon mukaisesti.