Kaksisuuntainen puitesopimus, liite 5 muutosehdotukset

HUOM. Viimeistely versio täällä: https://wiki.eduuni.fi/x/4IIAEQ.

Tältä sivulla on Sopimuksen Turvallisuusliitteen teksti, ehdotus uudeksi muotoiluksi sekä lyhyet kommentit ehdotetusta muutoksesta.

Sopimuksen ja liitteen 1 päivitysehdotukset löytyvät omilta sivuiltaan:

Space shortcuts

Page tree

HUOM. Viimeistely versio täällä: https://wiki.eduuni.fi/x/4IIAEQ.

1. SOPIMUSOSAPUOLET

2. TURVALLISUUSSOPIMUKSEN TARKOITUS

1. TURVALLISUUSLIITTEEN TARKOITUS

3. VAATIMUKSENMUKAISUUS

2. VAATIMUKSENMUKAISUUS

4. SALASSAPITO

3. SALASSAPITO

5. POIKKEAMAT JA KRIISIVIESTINTÄ

4. POIKKEAMAT JA KRIISIVIESTINTÄ

6. TARKASTUKSET JA AUDITOINNIT

5. TARKASTUKSET JA AUDITOINNIT

7. TURVALLISUUDEN KEHITTÄMINEN

6. TURVALLISUUDEN KEHITTÄMINEN

8. SOPIMUKSEN VOIMASSAOLO

7. TURVALLISUUSLIITTEEN VOIMASSAOLO

Vanha versio	Uusi versio	Kommentit
1. SOPIMUSOSAPUOLET	-	Poistetaan luku. Turvallisuusliite tulee voimaan Sopimuksen allekirjoituksella. Sopijapuolet yhteystietoineen ja yhteysosoite tietoturvapoikkeamien varalta löytyvät Sopimuksesta.
Tämän turvallisuussopimuksen Osapuolet ovat: CSC - Tieteen tietotekniikan keskus Oy, jäljempänä CSC, Y-Tunnus 0920632-0, os. PL 405, 02101 Espoo Yhteyshenkilö: Urpo Kaila, security@csc.fi ja Korkeakoulu, jäljempänä ”Korkeakoulu” Osoite: Yhteyshenkilö: Puhelinnumero: Sähköposti:	-	Lisätään tähän kohtaan tieto, että yhteystiedot löytyvät Sopimuksesta. → Lisätty kohtaan Poikkeamat ja kriisiviestintä.
2. TURVALLISUUSSOPIMUKSEN TARKOITUS	1. TURVALLISUUSLIITTEEN TARKOITUS
Tämä asiakirja, Turvallisuussopimus, on CSC:n ja Korkeakoulun välisen puitesopimuksen (Sopimus) liite numero 5, jonka puitteissa Osapuolet ovat sopineet tuottavansa ja kehittävänsä yhteistyössä suomalaisen tutkimuksen, koulutuksen ja kulttuurin palveluita.	Tämä sopimusliite "Turvallisuussliite" on osa puitesopimusta (jäljempänä liitteineen "Sopimus"), jonka puitteissa Sopijapuolet ovat sopineet tuottavansa ja kehittävänsä yhteistyössä suomalaisen tutkimuksen, koulutuksen ja kulttuurin palveluita.	Muokattu Turvallisuussopimus → Turvallisuusliite Sievennetty organisaatioiden nimet pois. Muokattu Osapuolet → Sopijapuolet Yhdenmukaistettu muotoilua liitteen 1 mukaiseksi.
Osapuolet toimivat sekä toimittajan että tilaajan rooleissa. Osapuolten kulloinenkin rooli määritellään Sopimukseen liitettävissä palvelutilauksissa, palvelukuvauksissa sekä mahdollisissa lisäsopimuksissa.	Sopijapuolet toimivat sekä Toimittajan että Tilaajan rooleissa. Sopijapuolten kulloinenkin rooli määritellään Sopimukseen liitettävissä Palvelutilauksissa, Palvelukuvauksissa sekä mahdollisissa Lisäsopimuksissa.	Muokattu Osapuolet → Sopijapuolet. Korjattu isot alkukirjaimet.
Tässä Turvallisuussopimuksessa määritellään Osapuolten turvallisuuteen liittyvät oikeudet ja velvollisuudet. Turvallisuussopimuksen kohteena olevat palvelut käyvät ilmi Sopimuksesta ja siihen liitettävistä palvelutilauksista, palvelukuvauksista sekä mahdollisesta lisäsopimuksesta.	Tässä Turvallisuusliitteessä määritellään Sopijapuolten turvallisuuteen liittyvät oikeudet ja velvollisuudet. Turvallisuusliitteen kohteena olevat palvelut käyvät ilmi Sopimuksesta ja siihen liitettävistä Palvelutilauksista, Palvelukuvauksista sekä mahdollisesta Lisäsopimuksesta.	Muokattu Turvallisuussopimus → Turvallisuusliite
Turvallisuussopimus määrittelee millä tavoin Osapuolet noudattavat hyviä turvallisuuskäytäntöjä, hyvää tiedonhallintotapaa sekä noudattavat soveltuvaa lainsäädäntöä ja muita viranomaismääräyksiä.	Turvallisuusliite määrittelee, millä tavoin Sopijapuolet noudattavat hyviä turvallisuuskäytäntöjä, hyvää tiedonhallintotapaa sekä noudattavat soveltuvaa lainsäädäntöä ja muita viranomaismääräyksiä.	Muokattu Turvallisuussopimus → Turvallisuusliite. Muokattu Osapuolet → Sopijapuolet.
Turvallisuussopimuksella Osapuolet varmistuvat Sopimuksen kohteena olevan palvelun tai järjestelmän riittävästä turvallisuudesta. Osapuolet katsovat toistensa olevan luotettavia yhteistyökumppaneita, mikä mahdollistaa kaupallisten sopimusten tekemisen ja tuotannollisen yhteistyön.	Turvallisuusliitteellä Sopijapuolet varmistuvat Sopimuksen kohteena olevan palvelun tai järjestelmän riittävästä turvallisuudesta. Sopijapuolet katsovat toistensa olevan luotettavia yhteistyökumppaneita, mikä mahdollistaa kaupallisten sopimusten tekemisen ja tuotannollisen yhteistyön.	Muokattu Turvallisuussopimus → Turvallisuusliite. Muokattu Osapuolet → Sopijapuolet.
Turvallisuussopimuksessa määritellään vaadittavat turvallisuuskäytännöt, sekä sovitaan menettelyistä niiden valvomiseksi ja kehittämiseksi.	Turvallisuusliitteessä määritellään vaadittavat turvallisuuskäytännöt, sekä sovitaan menettelyistä niiden valvomiseksi ja kehittämiseksi.	Muokattu Turvallisuussopimus → Turvallisuusliite.
3. VAATIMUKSENMUKAISUUS	2. VAATIMUKSENMUKAISUUS
Sopimuksen kohteena olevan palvelun turvallisuusjärjestelyt toteutetaan alla mainittujen vaatimusten ja ohjeiden mukaisesti soveltuvin osin Sopimuksen kattaman liittyvän palvelun ja yhteistyön osalta: 1. Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, VAHTI 2/2010 (http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/01_julkaisut/ 05_valtionhallinnon_tietoturvallisuus/20101028Ohjeti/ 02_Ohje_tietotuvallisuudesta_valtionhallinnossa.pdf ; ISBN 978-952-251-124-9) perustaso 2. Tiettyyn palveluun liittyvät sellaiset erityiset turvallisuusohjeet, jotka on annettu kyseisessä palvelussa toimittajana olevalle Osapuolelle tilaajana olevan Osapuolen toimesta palvelutilauksessa, palvelukuvauksessa, mahdollisessa lisäsopimuksessa tai muussa tilaajan toimittamassa dokumentaatiossa.	Sopimuksen kohteena olevan palvelun turvallisuusjärjestelyt toteutetaan alla mainittujen vaatimusten ja ohjeiden mukaisesti soveltuvin osin Sopimuksen kattaman liittyvän palvelun ja yhteistyön osalta: 1. Yleisesti tunnistetut parhaat turvallisuuskäytännöt tietoturvaviranomaisen suositusten mukaisesti, tarvittaessa Sopijapuolten yhteistä tietoturvaryhmää konsultoiden 2. CSC:n turvallisuuden hallinnan kuvauksen (https://www.csc.fi/tietoturva) mukainen perustaso 3. Tiettyyn palveluun liittyvät sellaiset erityiset turvallisuusohjeet, jotka on annettu kyseisessä palvelussa toimittajana olevalle Sopijapuolelle tilaajana olevan Sopijapuolen toimesta Palvelutilauksessa, Palvelukuvauksessa, mahdollisessa Lisäsopimuksessa tai muussa tilaajan toimittamassa dokumentaatiossa.	Muokattu kohtia 1 ja 2, vanha kohta 2 siirretty kohdaksi 3. Muokattu Osapuolet → Sopijapuolet.
4. SALASSAPITO	3. SALASSAPITO
Osapuolet sitoutuvat pitämään salassa Sopimuksen kohteena oleviin palveluihin tai järjestelmiin liittyvät salassa pidettävät tiedot siitä riippumatta, missä muodossa tiedot saadaan. Salassa pidettäväksi tiedoksi katsotaan tieto, joka on joko määritelty salassa pidettäväksi tai joka sellaiseksi pitää asiayhteydestä ymmärtää. Salassa pidettäväksi ovat myös salassa pidettävästä tiedosta tehdyt kopiot (mm. tiedostot ja tulosteet). Salassa pidettävää tietoa ei saa käyttää hyväksi tai hyödyntää muuhun tarkoitukseen eikä luovuttaa kolmannelle osapuolelle.	Sopijapuolet sitoutuvat pitämään salassa Sopimuksen kohteena oleviin palveluihin tai järjestelmiin liittyvät salassa pidettävät tiedot siitä riippumatta, missä muodossa tiedot saadaan. Salassa pidettäväksi tiedoksi katsotaan tieto, joka on joko määritelty salassa pidettäväksi tai joka sellaiseksi pitää asiayhteydestä ymmärtää. Salassa pidettäväksi ovat myös salassa pidettävästä tiedosta tehdyt kopiot (mm. tiedostot ja tulosteet). Salassa pidettävää tietoa ei saa käyttää hyväksi tai hyödyntää muuhun tarkoitukseen eikä luovuttaa kolmannelle osapuolelle.	Muokattu Osapuolet → Sopijapuolet.
Salassa pidettävä tieto voidaan merkitä sanoilla Salainen, Luottamuksellinen, Rajattu käyttö, tai Harkinnanvaraisesti luovutettava, tiedon paljastumisen seurauksista riippuen.	Salassa pidettävä tieto voidaan merkitä sanoilla Salainen, Luottamuksellinen, Rajattu käyttö, tai Harkinnanvaraisesti luovutettava, tiedon paljastumisen seurauksista riippuen.
Salassa pidettäviksi tiedoiksi katsotaan joka tapauksessa seuraavat tiedot: kaikki salassa pidettäväksi merkityt tiedot, henkilö- ja tunnistetiedot, asiakastiedot, turvallisuus- ja varautumisjärjestelyt (erityisesti pääsynhallinta, käyttöturvallisuus, haavoittuvuudet), konfiguraatiot, rakenteet ja turvallisuuteen liittyvien teknisten järjestelmien yksityiskohtaiset tiedot sekä liikesalaisuudet. Salassapitovelvollisuus ei koske tietoa, joka on yleisesti saatavilla tai julkista tai jonka sopijapuoli on saanut laillisesti haltuunsa muuten kuin toiselta sopijapuolelta.	Salassa pidettäviksi tiedoiksi katsotaan joka tapauksessa seuraavat tiedot: kaikki salassa pidettäväksi merkityt tiedot, henkilö- ja tunnistetiedot, asiakastiedot, turvallisuus- ja varautumisjärjestelyt (erityisesti pääsynhallinta, käyttöturvallisuus, haavoittuvuudet), konfiguraatiot, rakenteet ja turvallisuuteen liittyvien teknisten järjestelmien yksityiskohtaiset tiedot sekä liikesalaisuudet. Salassapitovelvollisuus ei koske tietoa, joka on yleisesti saatavilla tai julkista tai jonka sopijapuoli on saanut laillisesti haltuunsa muuten kuin toiselta sopijapuolelta.
Osapuolten tulee käsitellä toisen Osapuolen salassa pidettäviä tietoja turvallisesti ja pääsy tietoihin tulee rajata ainoastaan asianosaisille palvelun toteuttamiseen osallistuville henkilöille. Tarpeettomat toisen Osapuolen salassa pidettävät tiedot tulee hävittää huolellisesti. Selvyyden vuoksi todetaan, että Sopimuksen liitteessä 1 Henkilötietojen käsittelyn ehdot kohdassa 4.9 on lisäksi tarkempia ehtoja henkilötietojen poistamisesta tai palauttamisesta.	Sopijapuolten tulee käsitellä toisen Sopijapuolen salassa pidettäviä tietoja turvallisesti ja pääsy tietoihin tulee rajata ainoastaan asianosaisille palvelun toteuttamiseen osallistuville henkilöille. Tarpeettomat toisen Sopijapuolen salassa pidettävät tiedot tulee hävittää huolellisesti. Selvyyden vuoksi todetaan, että Sopimuksen liitteessä 1 Henkilötietojen käsittelyn ehdot kohdassa 3.13 on lisäksi tarkempia ehtoja henkilötietojen poistamisesta tai palauttamisesta.	Korjattu liitteen 1 kohdan numero vastaamaan päivitystä. Muokattu Osapuolet → Sopijapuolet.
Osapuolet käsittelevät toisen Osapuolen salassa pidettäviä tietoja vain palveluun sisältyvän työn edellyttämässä laajuudessa.	Sopijapuolet käsittelevät toisen Sopijapuolen salassa pidettäviä tietoja vain palveluun sisältyvän työn edellyttämässä laajuudessa.	Muokattu Osapuolet → Sopijapuolet.
Turvallisuussopimuksen mukainen salassapitovelvoite on voimassa Sopimuksen voimassaolon ajan, ja kuitenkin vähintään viisi (5) vuotta tiedon luovuttamisesta tiedon vastaanottavalle Osapuolelle, ellei salassa pidettävä tieto ole tätä ennen tullut muuta kautta julkiseksi tai laillisesti saatavaksi tai ellei Osapuoli kirjallisesti salli tiedon julkistamista. CSC:n IT-laitetilojen turvatekniikan osalta salassapitoaika on kaksikymmentä (20) vuotta. Lisäksi, henkilötiedot tulee pitää pysyvästi salassa edellä mainituista salassapitoajoista huolimatta.	Turvallisuusliitteen mukainen salassapitovelvoite on voimassa Sopimuksen voimassaolon ajan, ja kuitenkin vähintään viisi (5) vuotta tiedon luovuttamisesta tiedon vastaanottavalle Sopijapuolelle, ellei salassa pidettävä tieto ole tätä ennen tullut muuta kautta julkiseksi tai laillisesti saatavaksi tai ellei Sopijapuoli kirjallisesti salli tiedon julkistamista. CSC:n IT-laitetilojen turvatekniikan osalta salassapitoaika on kaksikymmentä (20) vuotta. Lisäksi, henkilötiedot tulee pitää pysyvästi salassa edellä mainituista salassapitoajoista huolimatta.	Muokattu Turvallisuussopimus → Turvallisuusliite. Muokattu Osapuolet → Sopijapuolet.
Salassapitovelvoite ei rajoita Osapuolten oikeutta hyödyntää tehtäviä suoritettaessa karttunutta yleistä ammattitaitoa ja kokemusta omassa toiminnassaan, kunhan salassa pidettävää tai luottamuksellista tietoa ei paljasteta.	Salassapitovelvoite ei rajoita Sopijapuolten oikeutta hyödyntää tehtäviä suoritettaessa karttunutta yleistä ammattitaitoa ja kokemusta omassa toiminnassaan, kunhan salassa pidettävää tai luottamuksellista tietoa ei paljasteta.	Muokattu Osapuolet → Sopijapuolet.
Osapuolet saattavat salassapitovelvoitteen Sopimuksen kattaman palvelun tai järjestelmän toimittamiseen tai ylläpitoon osallistuvan henkilöstönsä tietoon sekä sitoutuvat valvomaan ja vastaamaan, että se noudattaa tämän Turvallisuussopimuksen sekä JIT 2015 Yleiset ehdot mukaista salassapitovelvollisuutta.	Sopijapuolet saattavat salassapitovelvoitteen Sopimuksen kattaman palvelun tai järjestelmän toimittamiseen tai ylläpitoon osallistuvan henkilöstönsä tietoon sekä sitoutuvat valvomaan ja vastaamaan, että se noudattaa tämän Turvallisuusliitteen sekä JIT 2015 Yleiset ehdot mukaista salassapitovelvollisuutta.	Muokattu Turvallisuussopimus → Turvallisuusliite. Muokattu Osapuolet → Sopijapuolet.
5. POIKKEAMAT JA KRIISIVIESTINTÄ	4. POIKKEAMAT JA KRIISIVIESTINTÄ
Osapuolten tulee nimetä ennakolta yhteyshenkilöt turvallisuuspoikkeamien, henkilötietojen mahdollisia vuotoja ja kriisiviestintää varten. CSC:n yhteyshenkilö on: security@csc.fi, puh. 09-457 2253 (työaikaan), varalla 09-457 2064. Korkeakoulun yhteysosoite on: xxxx@xxx.xx		Yhteystiedot siirretty Sopimuksen päätasolle. 2022-05-11 Mainittaisiinko tässä kohtaa turvallisuusliitettä kuitenkin, että yhteystiedot löytyvät Sopimuksen päätasolta?
Mikäli Osapuolten järjestelmiin, tietoihin tai palveluihin kohdistuu vakava turvallisuuspoikkeama, esimerkiksi tietomurto tai pitkäkestoinen palvelun suunnittelematon katko, jolla on vaikutusta toiseen osapuoleen, tulee asiasta välittömästi ilmoittaa toisen osapuolen yhteyshenkilölle. Silloin kun on kyse henkilötietojen tietoturvaloukkauksesta, on henkilötietoja käsittelevän toimittajan ilmoitettava näistä tietoturvaloukkauksista tilaajana toimivalle Osapuolelle Sopimuksen liitteen 1 Henkilötietojen käsittelyn ehdot mukaisesti.	Mikäli Sopijapuolten järjestelmiin, tietoihin tai palveluihin kohdistuu vakava turvallisuuspoikkeama, esimerkiksi tietomurto tai pitkäkestoinen palvelun suunnittelematon katko, jolla on vaikutusta toiseen Sopijapuoleen, tulee asiasta välittömästi ilmoittaa toisen Sopijapuolen yhteyshenkilölle. Silloin kun on kyse henkilötietojen tietoturvaloukkauksesta, on henkilötietoja käsittelevän toimittajan ilmoitettava näistä tietoturvaloukkauksista tilaajana toimivalle Sopijapuolelle Sopimuksen liitteen 1 Henkilötietojen käsittelyn ehdot mukaisesti.	Muokattu Osapuolet → Sopijapuolet.
Kriisiviestinnässä Osapuolet eivät kommentoi toisen Osapuolen järjestelmiä tai palveluita. Kriisiviestintä toteutetaan tarvittaessa yhteistyössä, Osapuolten turvallisuusorganisaatioiden tukemana.	Kriisiviestinnässä Sopijapuolet eivät kommentoi toisen Sopijapuolen järjestelmiä tai palveluita. Kriisiviestintä toteutetaan tarvittaessa yhteistyössä, Sopijapuolten turvallisuusorganisaatioiden tukemana.	Muokattu Osapuolet → Sopijapuolet.
6. TARKASTUKSET JA AUDITOINNIT	5. TARKASTUKSET JA AUDITOINNIT
Osapuolilla on oikeus salassapidon puitteissa omalla kustannuksellaan tarkastaa etukäteen ilmoitettuna ajankohtana toisen Osapuolen turvallisuusjärjestelyt Sopimuksen kohteena olevien palveluiden tai järjestelmien osalta. Tarkastuksessa tulee käyttää ulkopuolista, molempien osapuolten hyväksymää auditoijaa, jonka tulee allekirjoittaa salassapitositoumus. Selvyyden vuoksi todetaan, että myös Sopimuksen liitteessä 1 Henkilötietojen käsittelyn ehdot, on kohdassa 4.11 sovittu auditoinnista.	Sopijapuolilla on oikeus salassapidon puitteissa omalla kustannuksellaan tarkastaa etukäteen ilmoitettuna ajankohtana toisen Sopijapuolen turvallisuusjärjestelyt Sopimuksen kohteena olevien palveluiden tai järjestelmien osalta. Tarkastuksessa tulee käyttää ulkopuolista, molempien Sopijapuolten hyväksymää auditoijaa, jonka tulee allekirjoittaa salassapitositoumus. Selvyyden vuoksi todetaan, että myös Sopimuksen liitteessä 1 Henkilötietojen käsittelyn ehdot, on kohdassa 3.14 sovittu auditoinnista.	Korjattu viittaus liiteeseen 1 uudistusta vastaavaksi. Muokattu Osapuolet → Sopijapuolet.
7. TURVALLISUUDEN KEHITTÄMINEN	6. TURVALLISUUDEN KEHITTÄMINEN
Osapuolet käsittelevät tarvittaessa seuraavia turvallisuusasioita säännöllisesti laatupalavereissa, vähintään kaksi kertaa vuodessa: Poikkeamat Palveluiden ja järjestelmien käytettävyys Toteutetut turvallisuustoimenpiteet Riskienarviointi	Sopijapuolet käsittelevät tarvittaessa seuraavia turvallisuusasioita säännöllisesti laatupalavereissa, vähintään kaksi kertaa vuodessa: Poikkeamat Palveluiden ja järjestelmien käytettävyys Toteutetut turvallisuustoimenpiteet Riskienarviointi	Muokattu Osapuolet → Sopijapuolet.
Turvallisuuspoikkeamien raportoinnissa käytetään kulloinkin toimittajan roolissa toimivan Osapuolen erillistä mallipohjaa, ottaen kuitenkin lisäksi huomioon sen, mitä Sopimuksen liitteessä 1 Henkilötietojen käsittelyn ehdot, on tietoturvaloukkausten ja niistä annettavien tietojen osalta sovittu.	Turvallisuuspoikkeamien raportoinnissa käytetään kulloinkin toimittajan roolissa toimivan Sopijapuolen erillistä mallipohjaa, ottaen kuitenkin lisäksi huomioon sen, mitä Sopimuksen liitteessä 1 Henkilötietojen käsittelyn ehdot, on tietoturvaloukkausten ja niistä annettavien tietojen osalta sovittu.	Muokattu Osapuolet → Sopijapuolet.
8. SOPIMUKSEN VOIMASSAOLO	7. TURVALLISUUSLIITTEEN VOIMASSAOLO
Tämä Turvallisuussopimus astuu voimaan, kun molemmat Osapuolet ovat allekirjoittaneet tämän Turvallisuussopimuksen ja Sopimuksen. Tämä Turvallisuussopimus on voimassa toistaiseksi ja voidaan irtisanoa ainoastaan Sopimuksen mukaisesti irtisanottaessa koko Sopimus.	Tämä Turvallisuusliite astuu voimaan, kun molemmat Sopijapuolet ovat allekirjoittaneet Sopimuksen. Tämä Turvallisuusliite on voimassa toistaiseksi ja voidaan irtisanoa ainoastaan Sopimuksen mukaisesti irtisanottaessa koko Sopimus.	Muokattu Turvallisuussopimus → Turvallisuusliite. Muokattu Osapuolet → Sopijapuolet.