KESKO-KONSERNIN TIETOTURVAPOLITIIKKA

Tässä politiikassa tietoturvalla tarkoitetaan tiedon luottamuksellisuuden, eheyden ja käytettävyyden varmistamista sen esitystavasta riippumatta. Tämä politiikka määrittelee tietoturvan perusvaatimukset ja luo pohjan politiikan mukaisen toiminnan suunnittelulle ja jalkauttamiselle. Politiikan läpiviennin tukemiseksi laaditaan lisäksi tarkempaa ohjeistusta tietoturvan eri osa-alueille. Tietoturvapolitiikka velvoittaa Kesko-konsernin henkilökuntaa kaikissa toimintamaissa.

Tietoturvallisuutta toteutetaan ja kehitetään riskilähtöisesti käyttäen tarkoituksenmukaisia ja kustannustehokkaita ratkaisuja. Tietoturvapolitiikan tarkoituksenmukaisuutta arvioidaan Kesko-konsernin riskienhallinnan ohjausryhmässä vuosittain.

Tietoturvapolitiikka yhdessä Keskon arvojen, K Code of Conductin, riskienhallinta-, turvallisuus- ja tietosuojapolitiikkojen kanssa ovat keskeinen osa Keskossa noudatettavaa hyvää hallinnointia (Corporate Governance).   

Päämäärä

Tietoturvan ensisijaisena päämääränä on Kesko-konsernin vastuulla olevien toimintojen jatkuvuuden turvaaminen kaikissa olosuhteissa. Tarkoituksenmukainen ja tehokas tietoturva mahdollistaa Keskon toimintoihin liittyvien ICT-ratkaisujen käytettävyyden sekä prosesseissa, rekistereissä ja palveluissa käytettävien tietojen eheyden ja luottamuksellisuuden kaikissa olosuhteissa kaikissa toimintamaissa. Tämän politiikka luo perustan Kesko-konsernin tietojärjestelmien toiminnan häiriöttömyyden ja tietojenkäsittelyn turvallisuuden varmistamiselle.

Keskossa asiakastietojen ja muun digitaalisten toimintojen tuottaman ja käsittelemän datan turvaaminen on olennainen osa vastuullista toimintaa, jota sekä asiakkaamme että yhteistyökumppanimme edellyttävät Keskolta. Digitaalisuuden kasvu merkitsee sitä, että tietoturvallisuutta säännellään enenevässä määrin myös lainsäädännöillä. Jokaisen Kesko-konsernin työntekijän, kaikissa toimintamaissa, on noudatettava tietoturvapolitiikkaa, sitä täydentäviä periaatteita ja ohjeita sekä lainsäädäntöä.

Tietoturvan ohjausmalli ja vastuut

Tietoturvan ohjausmalli on osa Keskon riskienhallinnan ohjausmallia. Keskon hallituksen tarkastusvaliokunnan tehtäviin kuuluu Kesko-konsernin sisäisen valvonnan ja riskienhallintajärjestelmien tehokkuuden arviointi. Tässä roolissa tarkastusvaliokunta vahvistaa konsernin tietoturvapolitiikan sekä käsittelee kokouksissaan konsernin merkittävimmät tietoturvariskit.

Pääjohtaja vastaa siitä, että Keskossa on toimiva tietoturva osana riskienhallintajärjestelmää. Tietoturvan toteuttamisessa pääjohtajalla on apunaan konsernin tietohallinto- ja riskienhallintatoiminnot. Riskienhallinnan ohjausryhmä, jossa on myös toimialojen edustajat, käsittelee ja seuraa konsernin tietoturvariskejä sekä riskienhallintatoimenpiteiden toteutumista.

Vastuu tietoturvan toteuttamisesta on liiketoiminnan ja yhteisten toimintojen johdolla. Tietohallinto koordinoi tietoturvaprosessia ja vastaa raportoinnista sekä toteuttaa yhdessä liiketoimintojen ja yhteisten toimintojen kanssa tietoturvariskien tunnistamista ja hallintatoimenpiteiden määrittämistä. Jokaisen keskolaisen pitää tunnistaa tietoturvaan liittyvät riskit ja reagoida niihin. Vastuut on kuvattu tarkemmin liitteen 1 taulukossa.

Tietoturvan toteuttaminen

Riskien arviointi
Tietoturvariskejä arvioidaan ja analysoidaan säännöllisesti niiden liiketoimintavaikutusten perusteella. Riskiarviointi tulee laatia myös uusien järjestelmien määrittelyvaiheessa ja merkittävien toiminnan kriittisyyteen vaikuttavien muutosten yhteydessä. 

Tietojen luokittelu ja käsittely
Keskolla on käytössä tietojen luokittelumenetelmä, jossa ohjeistetaan miten tiedot tulee luokitella ja määritellään tietoturvakontrollit eri luokkiin kuuluvan tiedon käsittelylle. 

Henkilötietojen käsittely
Tietosuojapolitiikassa ja – ohjeistuksissa määritellään, kuinka asiakas- ja henkilötietoja käsitellään Keskossa. 

Tietoturvavaatimukset
Keskon tietoturvavaatimukset määrittävät sopimuskumppaneilta vaadittavan minimitason tietoturvan osalta.  

Tietoturvakoulutus
Jokaisen Kesko-konsernin työntekijän on vähintään suoritettava vuosittain tietoturvallisuuden verkkokoulutus. Koulutuksen suoritusta seurataan. Lisäksi valituille kohderyhmille järjestetään tehtäväkohtaista tietoturvakoulutusta. 

Valvonta ja seuranta
Tietoturvatason parantaminen ja ylläpitäminen edellyttävät tietojärjestelmien toiminnan systemaattista ja jatkuvaa valvontaa. Valvontaa toteuttavat henkilöt ovat lain mukaan vaitiolovelvollisia työssään käsittelemistä tiedoista. 

Tietoturvatilanteesta raportoidaan normaalin sisäisen valvonnan sekä sisäisten ja ulkoisten tarkastusten yhteydessä. Teknistä tietoturvaa arvioidaan jatkuvasti ja tärkeimpiin ympäristöihin tehdään erillisiä tietoturvatarkastuksia.

Tietoturvapoikkeamien käsittely
Keskolla on menettelytavat ja palvelut tietoturvapoikkeamien havaitsemiseksi. Mahdollisten tietoturvaloukkauksien käsittelyyn on määritellyt toimintamallit ja niistä raportoidaan johdolle. 

Tietoturvarikkomukset

Tietoturvarikkomukseksi lasketaan tietoturvapolitiikan ja -ohjeistuksen vastainen toiminta. Kesko on määritellyt menettelytavat rikkomustilanteille.

Kommunikointi henkilöstölle ja kumppaneille

Keskon tietoturvapolitiikka on julkinen. Tarkemmat tietoturvavastuut määritellään politiikan liitteessä, joka on Keskon sisäinen. Politiikka tiedotetaan koko henkilöstölle Intranetissä käännettynä toimintamaiden kielille. Tietoturvapolitiikka julkaistaan suomeksi ja englanniksi kesko.fi-sivuilla.

Tietoturvapolitiikan hyväksyntä

Keskon hallituksen tarkastusvaliokunta on 17.12.2018 hyväksynyt tämän politiikan ja valvoo sen toteutumista. Tämä Tietoturvapolitiikka korvaa Keskon Tietohallinnon ohjausryhmän 20.12.2013 hyväksymän Tietoturvapolitiikan.

Takaisin ylös