Tietoturvapolitiikka

Päämäärä

Keskon tietoturvallisuusorganisaatio huolehtii Keskon ja sen ketjukauppojen tietojärjestelmien ja niiden hyväksikäytön häiriöttömyydestä ja turvallisuudesta.

Tämä tietoturvapolitiikka koskee Keskoa ja ketjukauppoja globaalisti huomioiden toimintaympäristön paikalliset lait ja menettelyt.

Tietoturvallisuudella tarkoitetaan kaikkien tietojen, missä tahansa muodossa ne esiintyvätkään, turvallista käsittelyä. Tietoturvallisuus on tietojen luottamuksellisuuden, eheyden ja käytettävyyden varmistamista.

Keskon ja sen ketjukauppojen liiketoiminta edellyttää tietojärjestelmien häiriötöntä ja turvallista toimintaa. Liiketoiminnan jatkuvuuden varmistamiseksi tietoturvallisuutta seurataan aktiivisesti ja poikkeamiin puututaan nopeasti ennalta määriteltyjen menetelmien mukaisesti.

Tietoturvallisuutta toteutetaan ja kehitetään käyttäen riskien kannalta tarkoituksenmukaisia ja kustannustehokkaita ratkaisuja. Toiminnassa huomioidaan asiakkaiden ja yhteistyökumppanien sopimukset, henkilökunnan yksityisyys sekä muut lakien vaatimukset. Tietoturvatoimenpiteillä hallitaan uusien toimintatapojen ja teknologioiden käyttöönottoon liittyvät riskit.

Vähittäiskaupassa käsitellään suuria määriä asiakastietoja, joiden suunnitelmallinen käyttö on tärkeää asiakaslupausten lunastamiseksi. Asiakas ja muut henkilötiedot ovat vain niitä työhönsä tarvitsevien käytössä. Pörssiyrityksenä Keskolla on myös paljon liiketoimintaa koskevaa tietoa, jonka luottamuksellisuudesta huolehtiminen on osakasarvon vuoksi tärkeää.

Vastuut ja organisointi

Liiketoiminta vastaa liiketoimintavaatimusten määrittämisestä tietojärjestelmille sekä tietoturvan riittävästä resursoinnista. Tietoturvallisuuden puutteiden tai ohjeiden vastaisen toiminnan muille yksiköille aiheuttamista kustannuksista vastaa ongelman aiheuttanut liiketoimintayksikkö.

Tietohallinto vastaa liiketoimintavaatimusten mukaisten tietojärjestelmien
toteuttamisesta ja siitä aiheutuvista tietoturvan varmistamisen kustannuksista.

Keskon tietoturvapäällikön tehtävänä on tukea liiketoimintayksiköitä ja tietohallintoja. Tietoturvapäällikkö varmistaa, että tietoturvallisuusriskit on tunnistettu, arvioitu sekä riskien edellyttämät toimenpiteet toteutettu, jotta tietoturvallisuus pysyy ajan tasalla. Tämän toteuttamiseksi Keskon tietoturvapäällikkö ylläpitää tietoturvallisuuden hallintajärjestelmää. Keskon tietoturvapäällikön tehtävänä on varmistaa, että liiketoiminnat ja tietohallinnot huolehtivat lakeihin ja muihin ulkoisiin vaatimuksiin perustuvien vaatimusten toteuttamisesta toiminnassaan. Keskon tietoturvapäällikkö vastaa tietoturvallisuuden konsernitasoisesta ohjeistamisesta, yleisten tietoturvavaatimusten määrittämisestä sekä tietoturvan teknisestä valvonnasta. Tietoturvallisuusratkaisut toteutetaan ajantasaisin ja -mukaisin ratkaisuin, joiden käyttäjien kokemaan käytettävyyteen kiinnitetään erityistä huomiota.

Tietoturvaorganisaation kaikkien osapuolien tehtävänä on huolehtia käyttäjien tietoturvatietoisuudesta, jotta he voivat tunnistaa tietoturvauhat ja toimia oikein niitä kohdatessaan.

Kaikilta käyttäjiltä edellytetään annettuihin ohjeisiin tutustumista ja niiden noudattamista sekä havaitsemiensa tietoturvauhkien ja -riskien tiedottamista. Esimiesten tehtävänä on valvoa osana normaalia esimiestoimintaa alaisten tietoturvaohjeistukseen tutustumista sekä tarvittaessa puuttua tietoturvapolitiikan ja -ohjeiden vastaiseen toimintaan.

Tietoturvakäytännöt

Riskien arviointi
Tietoturvariskejä arvioidaan ja analysoidaan niiden liiketoimintavaikutusten perusteella. Arvio tulee laatia uusien järjestelmien määrittelyvaiheessa ja merkittävien toiminnan kriittisyyteen vaikuttavien muutosten yhteydessä.

Keskitetty käyttöoikeuksien hallinta
Tavoitteena on, että kaikkien K-ryhmän järjestelmien käyttöoikeus- ja pääsynhallinta tulee olla toteutettu konsernin käyttäjähallintaratkaisulla. Järjestelmien omistajat määrittelevät käyttöoikeuksien myöntämisperiaatteet. Ulkopuolisten käyttäjien oikeudet hallinnoidaan keskitetysti.

Kytkeytyminen Keskon tietoverkkoon
Keskon tietoverkkoon ja siihen liitettyihin palveluihin voidaan kytkeytyä vain Kesko konsernin tietohallinnon hallinnoimilla tai hyväksymillä laitteistoilla ja ohjelmistoilla. Tietoturvallisuuden varmistamiseksi Kesko valvoo ja tarvittaessa rajoittaa ohjelmistoja ja tiedostomuotoja, joita järjestelmissä käytetään.

Ulkopuolisten kumppanien laitteistoille on erillinen turvallinen yhteysmenettely.

Tavoitteena on, että Keskolla on käytössään tietojen turvaluokittelumalli, jossa määritellään miten kuhunkin luokkaan kuuluvaa tietoa käsitellään.

Valvonta ja seuranta
Tietoturvatason parantaminen ja ylläpitäminen edellyttää tietojärjestelmien toiminnan systemaattista ja jatkuvaa valvontaa. Valvontaa toteuttavat henkilöt ovat vaitiolovelvollisia työssään käsittelemistä tiedoista. Heiltä edellytetään
vaitiolositoumusta, olivat he sitten konsernin tai kolmannen osapuolen palveluksessa.

Tietoturvatilanteesta raportoidaan normaalin sisäisen valvonnan sekä sisäisten ja ulkoisten tarkastusten yhteydessä. Teknistä tietoturvaa arvioidaan jatkuvasti ja tärkeimpiin ympäristöihin tehdään erillisiä tietoturvatarkastuksia.

Tietoturvapoikkeamien käsittely
Keskolla on tehokkaat menettelytavat ja välineet tietoturvapoikkeamien havaitsemiseksi. Lisäksi käytössä on suunnitelmat toimille poikkeustilanteissa ja niitä harjoitellaan säännöllisesti.

Palvelutoimittajien seuranta

Toimittajien on sitouduttava noudattamaan Keskon määrittämiä tietoturvavaatimuksia ja niistä sovitaan palvelusopimusten tietoturvaliitteessä. Toimittajille tehdään säännöllisiä tarkastuksia tietoturvan toteutumisen varmistamiseksi.   

Tietoturvarikkomukset

Tietoturvarikkomukseksi lasketaan kaikki tietoturvapolitiikan ja tietoturvaohjeistuksen vastainen toiminta. Tietoturvallisuutta seurataan hyvien valvontaperiaatteiden mukaisesti. Seurantaa tehdään myös teknisillä ratkaisuilla lakeja ja sopimuksia noudattaen. Kesko on määritellyt toimet tietoturvallisuuden rikkomustilanteissa.

Tietoturvapolitiikan hyväksyntä ja vahvistaminen

Tietohallinnon johtoryhmä hyväksynyt 26.10.2011.

Riskienhallinnan ohjausryhmä vahvistanut 15.11.2011.