Johdanto

Tässä tietoturvapolitiikassa linjataan Lemonsoft Oyj tietoturvan periaatteet, toimeenpano sekä tavoitteet. Tietoturvapolitiikka on tietoturvaa ohjeistava päätoimintaperiaate, jossa määritellään tietoturvatavoitteet sekä tiedon suojaaminen. Eri tietoturva osa-alueille laaditaan omat kohdennetut toimintaperiaatteet, jotka täydentävät tietoturvapolitiikkaa. Tietosuojasta eli henkilötietojen suojaamisesta on laadittu erillinen tietosuojapolitiikka.

Tietoturvapolitiikka velvoittaa koko Lemonsoftin henkilöstöä sekä sen tytäryhtiötä. Tietoturvapolitiikan ja hallintajärjestelmän vaatimukset on sisällytettävä tarvittavilta osin Lemonsoftin sopimusvaatimuksiin.

Sertifioitavan tietoturvallisuuden hallintajärjestelmän laajuus on määritelty erikseen dokumentissa hallintajärjestelmän soveltamisalan määrittäminen.

Tietoturvapolitiikka on julkinen dokumentti. Tietoturvapolitiikka ylläpidetään tietoturvan vuosikellon mukaisesti. Siihen tehtävät muutokset hyväksyy Lemonsoftin johtoryhmä.

Tietoturvallisuuden hallintajärjestelmä

Lemonsoftin tietoturvallisuuden hallintajärjestelmä on rakennettu ISO/IEC 27001:2023 standardin mukaisesti. Hallintajärjestelmän perustana ovat Lemonsoftin tietoturvatavoitteet, riskienhallinta sekä jatkuva parantaminen. Tietoturvanhallintakeinojen rakentaminen tapahtuu dokumentoidusti ja riskienhallintaan perustuen. Mahdolliset tietoturvapoikkeamat ja haavoittuvuudet käsitellään tietoturvapoikkeamaprosessin ja haavoittuvuushallintaprosessin mukaisesti.

Hallintajärjestelmää auditoidaan, mitataan ja parannetaan jatkuvasti. Havaitut poikkeamat hallintajärjestelmässä käsitellään poikkeamat ja korjaavat toimenpiteet toimintaperiaatteen mukaisesti.

Lemonsoftin tietoturvatavoitteet

Tietoturvalla suojataan eri muodoissa olevan tiedon 1) luottamuksellisuus, 2) eheys ja 3) saatavuus. Lemonsoftin tietoturvatavoitteet on johdettu toimintaympäristöstä, lakisääteisistä velvoitteista, sidosryhmien odotuksista sekä liiketoiminnan jatkuvuusvaatimuksista. Lemonsoftin tietoturvatavoitteet ovat:

  • varmistaa liiketoiminnan jatkuvuus
  • suojata toiminnassa käsiteltävät henkilötiedot
  • suojata toiminnassa käsiteltävät omat ja sopimuskumppanien liikesalaisuudet
  • varmistaa asiakastyytyväisyys ja -vaatimusten täyttyminen tietoturvan osalta
  • varmistaa lainsäädännön velvoitteiden noudattaminen
  • sisällyttää tietoturva osaksi toimintakulttuuria

Tietoturvaroolit ja vastuut

Lemonsoftin tietoturvasta vastaa toimitusjohtaja ja johtoryhmä. Tietoturvan hallintajärjestelmän omistaa tekninen johtaja ja sen pääkäyttäjänä toimii tietoturvapäällikkö. Esihenkilöt ovat vastuussa alaistensa seurannasta, valvonnasta ja ohjeistuksesta.

Jokainen työntekijä on vastuussa tietoturvaohjeiden noudattamisesta sekä tietoturvasta omassa työssään.

Hankintojen osalta sopimusten omistajat ovat vastuussa tietoturvapolitiikan velvoitteiden huomioimisesta ja sisällyttämisestä toimittajasopimuksiin.

Tietoturvaroolit on määritelty tarkemmin erillisessä dokumentissa organisaation roolit, vastuut ja valtuudet.

Tietoturvan toimintaperiaatteet

Tietoturvapolitiikan ohjausta täydennetään toimintaperiaatteilla. Toimintaperiaatteen tarkoitus on linjata jotain tiettyä tietoturvan osa-aluetta tarkemmin. Toimintaperiaatteet käsitellään ja hyväksytään tietoturvaryhmässä. Toimintaperiaatteelle on aina nimettävä omistaja. Hyväksytystä toimintaperiaatteista tulee tiedottaa kaikille tarvitsijoille.

Lemonsoftin johtoryhmä on hyväksynyt tietoturvapolitiikan 16.2.2024.