Teksti | Muutosehdotus | Kommentit |
|---|---|---|
1. SOPIMUSOSAPUOLET | ||
Tämän turvallisuussopimuksen Osapuolet ovat:
CSC - Tieteen tietotekniikan keskus Oy, jäljempänä CSC, Y-Tunnus 0920632-0, os. PL 405, 02101 Espoo Yhteyshenkilö: Urpo Kaila, security@csc.fi ja Korkeakoulu, jäljempänä ”Korkeakoulu” Osoite: Yhteyshenkilö: Puhelinnumero: Sähköposti: | Pois, koska on jatkossa liite, eikä sopimus? | |
2. TURVALLISUUSSOPIMUKSEN TARKOITUS | 2. TURVALLISUUSLIITTEEN TARKOITUS | |
Tämä asiakirja, Turvallisuussopimus, on CSC:n ja Korkeakoulun välisen puitesopimuksen (Sopimus) liite numero 5, jonka puitteissa Osapuolet ovat sopineet tuottavansa ja kehittävänsä yhteistyössä suomalaisen tutkimuksen, koulutuksen ja kulttuurin palveluita. | Tämä asiakirja, Turvallisuusliite, on CSC:n ja Korkeakoulun välisen puitesopimuksen (Sopimus) liite numero 5, jonka puitteissa Osapuolet ovat sopineet tuottavansa ja kehittävänsä yhteistyössä suomalaisen tutkimuksen, koulutuksen ja kulttuurin palveluita. | |
| Osapuolet toimivat sekä toimittajan että tilaajan rooleissa. Osapuolten kulloinenkin rooli määritellään Sopimukseen liitettävissä palvelutilauksissa, palvelukuvauksissa sekä mahdollisissa lisäsopimuksissa. | ||
| Tässä Turvallisuussopimuksessa määritellään Osapuolten turvallisuuteen liittyvät oikeudet ja velvollisuudet. Turvallisuussopimuksen kohteena olevat palvelut käyvät ilmi Sopimuksesta ja siihen liitettävistä palvelutilauksista, palvelukuvauksista sekä mahdollisesta lisäsopimuksesta. | Tässä Turvallisuusliitteessä määritellään Osapuolten turvallisuuteen liittyvät oikeudet ja velvollisuudet. Turvallisuussopimuksen kohteena olevat palvelut käyvät ilmi Sopimuksesta ja siihen liitettävistä palvelutilauksista, palvelukuvauksista sekä mahdollisesta lisäsopimuksesta. | |
| Turvallisuussopimus määrittelee millä tavoin Osapuolet noudattavat hyviä turvallisuuskäytäntöjä, hyvää tiedonhallintotapaa sekä noudattavat soveltuvaa lainsäädäntöä ja muita viranomaismääräyksiä. | Turvallisuusliite määrittelee, millä tavoin Osapuolet noudattavat hyviä turvallisuuskäytäntöjä, hyvää tiedonhallintotapaa sekä noudattavat soveltuvaa lainsäädäntöä ja muita viranomaismääräyksiä. | |
| Turvallisuussopimuksella Osapuolet varmistuvat Sopimuksen kohteena olevan palvelun tai järjestelmän riittävästä turvallisuudesta. Osapuolet katsovat toistensa olevan luotettavia yhteistyökumppaneita, mikä mahdollistaa kaupallisten sopimusten tekemisen ja tuotannollisen yhteistyön. | Turvallisuusliitteellä Osapuolet varmistuvat Sopimuksen kohteena olevan palvelun tai järjestelmän riittävästä turvallisuudesta. Osapuolet katsovat toistensa olevan luotettavia yhteistyökumppaneita, mikä mahdollistaa kaupallisten sopimusten tekemisen ja tuotannollisen yhteistyön. | |
| Turvallisuussopimuksessa määritellään vaadittavat turvallisuuskäytännöt, sekä sovitaan menettelyistä niiden valvomiseksi ja kehittämiseksi. | Turvallisuusliitteessä määritellään vaadittavat turvallisuuskäytännöt, sekä sovitaan menettelyistä niiden valvomiseksi ja kehittämiseksi. | |
3. VAATIMUKSENMUKAISUUS | ||
Sopimuksen kohteena olevan palvelun turvallisuusjärjestelyt toteutetaan alla mainittujen vaatimusten ja ohjeiden mukaisesti soveltuvin osin Sopimuksen kattaman liittyvän palvelun ja yhteistyön osalta: 1. Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, VAHTI 2/2010 (http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/01_julkaisut/ 2. Tiettyyn palveluun liittyvät sellaiset erityiset turvallisuusohjeet, jotka on annettu kyseisessä palvelussa toimittajana olevalle Osapuolelle tilaajana olevan Osapuolen toimesta palvelutilauksessa, palvelukuvauksessa, mahdollisessa lisäsopimuksessa tai muussa tilaajan toimittamassa dokumentaatiossa. | Sopimuksen kohteena olevan palvelun turvallisuusjärjestelyt toteutetaan alla mainittujen vaatimusten ja ohjeiden mukaisesti soveltuvin osin Sopimuksen kattaman liittyvän palvelun ja yhteistyön osalta: 1. Yleisesti tunnistetut parhaat turvallisuuskäytännöt kyberturvallisuuskeskuksen suositusten sekä korkeakoulujen yhteisen tietoturvaryhmän soveltamisohjeiden mukaisesti 2. CSC:n turvallisuuden hallinnan kuvauksen (https://www.csc.fi/tietoturva) mukainen perustaso 3. Tiettyyn palveluun liittyvät sellaiset erityiset turvallisuusohjeet, jotka on annettu kyseisessä palvelussa toimittajana olevalle Osapuolelle tilaajana olevan Osapuolen toimesta palvelutilauksessa, palvelukuvauksessa, mahdollisessa lisäsopimuksessa tai muussa tilaajan toimittamassa dokumentaatiossa. | Upin muokkaama |
4. SALASSAPITO | ||
Osapuolet sitoutuvat pitämään salassa Sopimuksen kohteena oleviin palveluihin tai järjestelmiin liittyvät salassa pidettävät tiedot siitä riippumatta, missä muodossa tiedot saadaan. Salassa pidettäväksi tiedoksi katsotaan tieto, joka on joko määritelty salassa pidettäväksi tai joka sellaiseksi pitää asiayhteydestä ymmärtää. Salassa pidettäväksi ovat myös salassa pidettävästä tiedosta tehdyt kopiot (mm. tiedostot ja tulosteet). Salassa pidettävää tietoa ei saa käyttää hyväksi tai hyödyntää muuhun tarkoitukseen eikä luovuttaa kolmannelle osapuolelle. | ||
Salassa pidettävä tieto voidaan merkitä sanoilla Salainen, Luottamuksellinen, Rajattu käyttö, tai Harkinnanvaraisesti luovutettava, tiedon paljastumisen seurauksista riippuen. | ||
Salassa pidettäviksi tiedoiksi katsotaan joka tapauksessa seuraavat tiedot: kaikki salassa pidettäväksi merkityt tiedot, henkilö- ja tunnistetiedot, asiakastiedot, turvallisuus- ja varautumisjärjestelyt (erityisesti pääsynhallinta, käyttöturvallisuus, haavoittuvuudet), konfiguraatiot, rakenteet ja turvallisuuteen liittyvien teknisten järjestelmien yksityiskohtaiset tiedot sekä liikesalaisuudet. Salassapitovelvollisuus ei koske tietoa, joka on yleisesti saatavilla tai julkista tai jonka sopijapuoli on saanut laillisesti haltuunsa muuten kuin toiselta sopijapuolelta. | ||
Osapuolten tulee käsitellä toisen Osapuolen salassa pidettäviä tietoja turvallisesti ja pääsy tietoihin tulee rajata ainoastaan asianosaisille palvelun toteuttamiseen osallistuville henkilöille. Tarpeettomat toisen Osapuolen salassa pidettävät tiedot tulee hävittää huolellisesti. Selvyyden vuoksi todetaan, että Sopimuksen liitteessä 1 Henkilötietojen käsittelyn ehdot kohdassa 4.9 on lisäksi tarkempia ehtoja henkilötietojen poistamisesta tai palauttamisesta. | ||
Osapuolet käsittelevät toisen Osapuolen salassa pidettäviä tietoja vain palveluun sisältyvän työn edellyttämässä laajuudessa. | ||
Turvallisuussopimuksen mukainen salassapitovelvoite on voimassa Sopimuksen voimassaolon ajan, ja kuitenkin vähintään viisi (5) vuotta tiedon luovuttamisesta tiedon vastaanottavalle Osapuolelle, ellei salassa pidettävä tieto ole tätä ennen tullut muuta kautta julkiseksi tai laillisesti saatavaksi tai ellei Osapuoli kirjallisesti salli tiedon julkistamista. CSC:n IT-laitetilojen turvatekniikan osalta salassapitoaika on kaksikymmentä (20) vuotta. Lisäksi, henkilötiedot tulee pitää pysyvästi salassa edellä mainituista salassapitoajoista huolimatta. | Turvallisuusliitteen mukainen salassapitovelvoite on voimassa Sopimuksen voimassaolon ajan, ja kuitenkin vähintään viisi (5) vuotta tiedon luovuttamisesta tiedon vastaanottavalle Osapuolelle, ellei salassa pidettävä tieto ole tätä ennen tullut muuta kautta julkiseksi tai laillisesti saatavaksi tai ellei Osapuoli kirjallisesti salli tiedon julkistamista. CSC:n IT-laitetilojen turvatekniikan osalta salassapitoaika on kaksikymmentä (20) vuotta. Lisäksi, henkilötiedot tulee pitää pysyvästi salassa edellä mainituista salassapitoajoista huolimatta. | |
Salassapitovelvoite ei rajoita Osapuolten oikeutta hyödyntää tehtäviä suoritettaessa karttunutta yleistä ammattitaitoa ja kokemusta omassa toiminnassaan, kunhan salassa pidettävää tai luottamuksellista tietoa ei paljasteta. | ||
Osapuolet saattavat salassapitovelvoitteen Sopimuksen kattaman palvelun tai järjestelmän toimittamiseen tai ylläpitoon osallistuvan henkilöstönsä tietoon sekä sitoutuvat valvomaan ja vastaamaan, että se noudattaa tämän Turvallisuussopimuksen sekä JIT 2015 Yleiset ehdot mukaista salassapitovelvollisuutta. | Osapuolet saattavat salassapitovelvoitteen Sopimuksen kattaman palvelun tai järjestelmän toimittamiseen tai ylläpitoon osallistuvan henkilöstönsä tietoon sekä sitoutuvat valvomaan ja vastaamaan, että se noudattaa tämän Turvallisuusliitteen sekä JIT 2015 Yleiset ehdot mukaista salassapitovelvollisuutta. | |
5. POIKKEAMAT JA KRIISIVIESTINTÄ | ||
Osapuolten tulee nimetä ennakolta yhteyshenkilöt turvallisuuspoikkeamien, henkilötietojen mahdollisia vuotoja ja kriisiviestintää varten. CSC:n yhteyshenkilö on: security@csc.fi, puh. 09-457 2253 (työaikaan), varalla 09-457 2064. Korkeakoulun yhteysosoite on: | Korkeakoulun yhteysosoite poikkeamien osalta on: | Upin lisäys |
| Mikäli Osapuolten järjestelmiin, tietoihin tai palveluihin kohdistuu vakava turvallisuuspoikkeama, esimerkiksi tietomurto tai pitkäkestoinen palvelun suunnittelematon katko, jolla on vaikutusta toiseen osapuoleen, tulee asiasta välittömästi ilmoittaa toisen osapuolen yhteyshenkilölle. Silloin kun on kyse henkilötietojen tietoturvaloukkauksesta, on henkilötietoja käsittelevän toimittajan ilmoitettava näistä tietoturvaloukkauksista tilaajana toimivalle Osapuolelle Sopimuksen liitteen 1 Henkilötietojen käsittelyn ehdot mukaisesti. | ||
| Kriisiviestinnässä Osapuolet eivät kommentoi toisen Osapuolen järjestelmiä tai palveluita. Kriisiviestintä toteutetaan tarvittaessa yhteistyössä, Osapuolten turvallisuusorganisaatioiden tukemana. | ||
6. TARKASTUKSET JA AUDITOINNIT | ||
Osapuolilla on oikeus salassapidon puitteissa omalla kustannuksellaan tarkastaa etukäteen ilmoitettuna ajankohtana toisen Osapuolen turvallisuusjärjestelyt Sopimuksen kohteena olevien palveluiden tai järjestelmien osalta. Tarkastuksessa tulee käyttää ulkopuolista, molempien osapuolten hyväksymää auditoijaa, jonka tulee allekirjoittaa salassapitositoumus. Selvyyden vuoksi todetaan, että myös Sopimuksen liitteessä 1 Henkilötietojen käsittelyn ehdot, on kohdassa 4.11 sovittu auditoinnista. | ||
7. TURVALLISUUDEN KEHITTÄMINEN | ||
Osapuolet käsittelevät tarvittaessa seuraavia turvallisuusasioita säännöllisesti laatupalavereissa, vähintään kaksi kertaa vuodessa:
| ||
| Turvallisuuspoikkeamien raportoinnissa käytetään kulloinkin toimittajan roolissa toimivan Osapuolen erillistä mallipohjaa, ottaen kuitenkin lisäksi huomioon sen, mitä Sopimuksen liitteessä 1 Henkilötietojen käsittelyn ehdot, on tietoturvaloukkausten ja niistä annettavien tietojen osalta sovittu. | ||
8. SOPIMUKSEN VOIMASSAOLO | ||
Tämä Turvallisuussopimus astuu voimaan, kun molemmat Osapuolet ovat allekirjoittaneet tämän Turvallisuussopimuksen ja Sopimuksen. Tämä Turvallisuussopimus on voimassa toistaiseksi ja voidaan irtisanoa ainoastaan Sopimuksen mukaisesti irtisanottaessa koko Sopimus. | Tämä Turvallisuusliite astuu voimaan, kun molemmat Osapuolet ovat allekirjoittaneet Sopimuksen. Tämä Turvallisuusliite on voimassa toistaiseksi ja voidaan irtisanoa ainoastaan Sopimuksen mukaisesti irtisanottaessa koko Sopimus. |
Overview
Content Tools