Korkeakoulu/tutkimuslaitos X:n sopimusnumero ______________ / CSC:n sopimusnumero ______________
KORKEAKOULU/TUTKIMUSLAITOS X:N JA CSC – TIETEEN TIETOTEKNIIKAN KESKUS OY:N VÄLINEN PUITESOPIMUS Tämä sopimusliite "Turvallisuussliite" on osa puitesopimusta (jäljempänä liitteineen "Sopimus"), jonka puitteissa Sopijapuolet ovat sopineet tuottavansa ja kehittävänsä yhteistyössä suomalaisen tutkimuksen, koulutuksen ja kulttuurin palveluita. Sopijapuolet toimivat sekä Toimittajan että Tilaajan rooleissa. Sopijapuolten kulloinenkin rooli määritellään Sopimukseen liitettävissä Palvelutilauksissa, Palvelukuvauksissa sekä mahdollisissa Lisäsopimuksissa. Tässä Turvallisuusliitteessä määritellään Sopijapuolten turvallisuuteen liittyvät oikeudet ja velvollisuudet. Turvallisuusliitteen kohteena olevat palvelut käyvät ilmi Sopimuksesta ja siihen liitettävistä Palvelutilauksista, Palvelukuvauksista sekä mahdollisesta Lisäsopimuksesta. Turvallisuusliite määrittelee, millä tavoin Sopijapuolet noudattavat hyviä turvallisuuskäytäntöjä, hyvää tiedonhallintotapaa sekä noudattavat soveltuvaa lainsäädäntöä ja muita viranomaismääräyksiä. Turvallisuusliitteellä Sopijapuolet varmistuvat Sopimuksen kohteena olevan palvelun tai järjestelmän riittävästä turvallisuudesta. Sopijapuolet katsovat toistensa olevan luotettavia yhteistyökumppaneita, mikä mahdollistaa kaupallisten sopimusten tekemisen ja tuotannollisen yhteistyön. Turvallisuusliitteessä määritellään vaadittavat turvallisuuskäytännöt, sekä sovitaan menettelyistä niiden valvomiseksi ja kehittämiseksi. Sopimuksen kohteena olevan palvelun turvallisuusjärjestelyt toteutetaan alla mainittujen vaatimusten ja ohjeiden mukaisesti soveltuvin osin Sopimuksen kattaman liittyvän palvelun ja yhteistyön osalta: 1. Yleisesti tunnistetut parhaat turvallisuuskäytännöt tietoturvaviranomaisen suositusten mukaisesti, tarvittaessa Sopijapuolten yhteistä tietoturvaryhmää konsultoiden 2. CSC:n turvallisuuden hallinnan kuvauksen (https://www.csc.fi/tietoturva) mukainen perustaso 3. Tiettyyn palveluun liittyvät sellaiset erityiset turvallisuusohjeet, jotka on annettu kyseisessä palvelussa toimittajana olevalle Sopijapuolelle tilaajana olevan Sopijapuolen toimesta Palvelutilauksessa, Palvelukuvauksessa, mahdollisessa Lisäsopimuksessa tai muussa tilaajan toimittamassa dokumentaatiossa. Sopijapuolet sitoutuvat pitämään salassa Sopimuksen kohteena oleviin palveluihin tai järjestelmiin liittyvät salassa pidettävät tiedot siitä riippumatta, missä muodossa tiedot saadaan. Salassa pidettäväksi tiedoksi katsotaan tieto, joka on joko määritelty salassa pidettäväksi tai joka sellaiseksi pitää asiayhteydestä ymmärtää. Salassa pidettäväksi ovat myös salassa pidettävästä tiedosta tehdyt kopiot (mm. tiedostot ja tulosteet). Salassa pidettävää tietoa ei saa käyttää hyväksi tai hyödyntää muuhun tarkoitukseen eikä luovuttaa kolmannelle osapuolelle. Salassa pidettävä tieto voidaan merkitä sanoilla Salainen, Luottamuksellinen, Rajattu käyttö, tai Harkinnanvaraisesti luovutettava, tiedon paljastumisen seurauksista riippuen. Salassa pidettäviksi tiedoiksi katsotaan joka tapauksessa seuraavat tiedot: kaikki salassa pidettäväksi merkityt tiedot, henkilö- ja tunnistetiedot, asiakastiedot, turvallisuus- ja varautumisjärjestelyt (erityisesti pääsynhallinta, käyttöturvallisuus, haavoittuvuudet), konfiguraatiot, rakenteet ja turvallisuuteen liittyvien teknisten järjestelmien yksityiskohtaiset tiedot sekä liikesalaisuudet. Salassapitovelvollisuus ei koske tietoa, joka on yleisesti saatavilla tai julkista tai jonka Sopijapuoli on saanut laillisesti haltuunsa muuten kuin toiselta Sopijapuolelta. Sopijapuolten tulee käsitellä toisen Sopijapuolen salassa pidettäviä tietoja turvallisesti ja pääsy tietoihin tulee rajata ainoastaan asianosaisille palvelun toteuttamiseen osallistuville henkilöille. Tarpeettomat toisen Sopijapuolen salassa pidettävät tiedot tulee hävittää huolellisesti. Selvyyden vuoksi todetaan, että Sopimuksen liitteessä 1 Henkilötietojen käsittelyn ehdot kohdassa 3.13 on lisäksi tarkempia ehtoja henkilötietojen poistamisesta tai palauttamisesta. Sopijapuolet käsittelevät toisen Sopijapuolen salassa pidettäviä tietoja vain palveluun sisältyvän työn edellyttämässä laajuudessa. Turvallisuusliitteen mukainen salassapitovelvoite on voimassa Sopimuksen voimassaolon ajan, ja kuitenkin vähintään viisi (5) vuotta tiedon luovuttamisesta tiedon vastaanottavalle Sopijapuolelle, ellei salassa pidettävä tieto ole tätä ennen tullut muuta kautta julkiseksi tai laillisesti saatavaksi tai ellei Sopijapuoli kirjallisesti salli tiedon julkistamista. CSC:n IT-laitetilojen turvatekniikan osalta salassapitoaika on kaksikymmentä (20) vuotta. Lisäksi, henkilötiedot tulee pitää pysyvästi salassa edellä mainituista salassapitoajoista huolimatta. Salassapitovelvoite ei rajoita Sopijapuolten oikeutta hyödyntää tehtäviä suoritettaessa karttunutta yleistä ammattitaitoa ja kokemusta omassa toiminnassaan, kunhan salassa pidettävää tai luottamuksellista tietoa ei paljasteta. Sopijapuolet saattavat salassapitovelvoitteen Sopimuksen kattaman palvelun tai järjestelmän toimittamiseen tai ylläpitoon osallistuvan henkilöstönsä tietoon sekä sitoutuvat valvomaan ja vastaamaan, että se noudattaa tämän Turvallisuusliitteen sekä JIT 2015 Yleiset ehdot mukaista salassapitovelvollisuutta. Mikäli Sopijapuolten järjestelmiin, tietoihin tai palveluihin kohdistuu vakava turvallisuuspoikkeama, esimerkiksi tietomurto tai pitkäkestoinen palvelun suunnittelematon katko, jolla on vaikutusta toiseen Sopijapuoleen, tulee asiasta välittömästi ilmoittaa toisen Sopijapuolen yhteyshenkilölle. Silloin kun on kyse henkilötietojen tietoturvaloukkauksesta, on henkilötietoja käsittelevän toimittajan ilmoitettava näistä tietoturvaloukkauksista tilaajana toimivalle Sopijapuolelle Sopimuksen liitteen 1 Henkilötietojen käsittelyn ehdot mukaisesti. Kriisiviestinnässä Sopijapuolet eivät kommentoi toisen Sopijapuolen järjestelmiä tai palveluita. Kriisiviestintä toteutetaan tarvittaessa yhteistyössä, Sopijapuolten turvallisuusorganisaatioiden tukemana. Sopijapuolten yhteyshenkilöt turvallisuuspoikkeamia, henkilötietojen mahdollisia vuotoja ja kriisiviestintää varten on kerrottu Sopimuksen luvussa 1 Sopijapuolet. Sopijapuolilla on oikeus salassapidon puitteissa omalla kustannuksellaan tarkastaa etukäteen ilmoitettuna ajankohtana toisen Sopijapuolen turvallisuusjärjestelyt Sopimuksen kohteena olevien palveluiden tai järjestelmien osalta. Tarkastuksessa tulee käyttää ulkopuolista, molempien Sopijapuolten hyväksymää auditoijaa, jonka tulee allekirjoittaa salassapitositoumus. Selvyyden vuoksi todetaan, että myös Sopimuksen liitteessä 1 Henkilötietojen käsittelyn ehdot, on kohdassa 3.14 sovittu auditoinnista. Sopijapuolet käsittelevät tarvittaessa seuraavia turvallisuusasioita säännöllisesti laatupalavereissa, vähintään kaksi kertaa vuodessa: Poikkeamat Palveluiden ja järjestelmien käytettävyys Toteutetut turvallisuustoimenpiteet Riskienarviointi Turvallisuuspoikkeamien raportoinnissa käytetään kulloinkin toimittajan roolissa toimivan Sopijapuolen erillistä mallipohjaa, ottaen kuitenkin lisäksi huomioon sen, mitä Sopimuksen liitteessä 1 Henkilötietojen käsittelyn ehdot, on tietoturvaloukkausten ja niistä annettavien tietojen osalta sovittu. Tämä Turvallisuusliite astuu voimaan, kun molemmat Sopijapuolet ovat allekirjoittaneet Sopimuksen. Tämä Turvallisuusliite on voimassa toistaiseksi ja voidaan irtisanoa ainoastaan Sopimuksen mukaisesti irtisanottaessa koko Sopimus.LIITE 5 TURVALLISUUSLIITE
1. TURVALLISUUSLIITTEEN TARKOITUS
2. VAATIMUKSENMUKAISUUS
3. SALASSAPITO
4. POIKKEAMAT JA KRIISIVIESTINTÄ
5. TARKASTUKSET JA AUDITOINNIT
6. TURVALLISUUDEN KEHITTÄMINEN
7. TURVALLISUUSLIITTEEN VOIMASSAOLO