Jyväskylän yliopiston tietojärjestelmien käyttösäännöstö

Yliopiston tekemillä säännöillä määrätään, kuinka yliopiston tietojärjestelmiä käytetään ja pidetään yllä.

Sisällysluettelo

Tietojärjestelmien käyttösäännöstö

Jyväskylän yliopiston tietojärjestelmien käyttösäännöstö

Yliopisto tarjoaa opiskelijoiden ja henkilökunnan käyttöön monipuolisen valikoiman tietojärjestelmiä. Niiden käyttö on oleellinen osa opiskelua ja tutkimustyötä. Yliopiston tekemillä säännöillä määrätään, kuinka yliopiston tietojärjestelmiä käytetään ja pidetään yllä.

Tietojärjestelmien käytön säännöt esitetään säännössä "Tietojärjestelmien käyttösäännöt". Siinä kerrotaan, minkälainen toiminta on sallittua ja mikä on kiellettyä. Säännössä "Tietojärjestelmien väärinkäytön seuraukset" kerrotaan mitä seurauksia väärinkäytöksistä on ja miten käyttövaltuuksia voidaan rajoittaa.

Opiskelijoiden ja henkilökunnan sähköpostin käyttöä yliopistolla ohjeistaa "Sähköpostisäännöt". Siinä kerrotaan vastuut yliopiston sähköpostia käytettäessä. Sääntö ohjaa erityisesti sähköpostin käyttöä työ- ja hallintoasioissa.

Sääntö "Tietojärjestelmien ylläpitosäännöt" kuvaa mitä ylläpitäjä saa ja ei saa tehdä ylläpitäessään järjestelmiä. Ylläpitäjän on kunnioitettava käyttäjien yksityisyyttä ja hänellä on vaitiolovelvollisuus ja hyväksikäyttökielto työtehtävissä tietoonsa saamista tiedoista.

Sääntöjen voimaantulo ja päivitys

Nämä yliopiston tietojärjestelmien käyttösäännöt tulevat voimaan 1.12.2019 ja korvaavat aiemmat vastaavat säännöt.

Sääntöjä päivitetään tarvittaessa, jotta ne vastaavat tarjottuja palveluita ja lainsäädäntöä. Muutokset käsitellään YT-menettelyssä. Muutostarvetta seuraa yliopiston digijohtaja.

Säännöissä käytetyt termit

Käyttövaltuus Henkilölle myönnetty oikeus käyttää tiettyä palvelua.
Käyttäjätunnus Tunniste, jolla henkilö yksilöidään tietojärjestelmää käytettäessä.
Tietojärjestelmä Nämä tarkoittavat näissä säännöissä yksittäistä yliopiston omistamaa tai sen järjestelmiin kytkettynä olevaa ICT-laitetta tai -laitteistoa tai niiden muodostamaa kokonaisuutta, yliopiston tietoliikenneverkkoa, edellisissä toimivia ohjelmistoja ja palveluita sekä niissä olevaa tietosisältöä.
Tietojärjestelmän omistaja Omistaja on se yliopiston yksikkö, jonka toimintaa ja tietojenkäsittelyä varten järjestelmä on hankittu ja joka määrittelee järjestelmän käyttöön oikeutetut.
Tietotekniikkarikkomus Tietojärjestelmän käyttö sen käytöstä annettujen sääntöjen vastaisesti tai lain vastaisesti.

Nämä käyttösäännöt koskevat kaikkia, jotka käyttävät yliopiston itse tuottamia tietojärjestelmiä tai muualta hankkimia palveluita tai yliopiston laitteita ja yhteyksiä. Käyttäjiä ovat yliopiston opiskelijat, opettajat, tutkijat ja muu henkilökunta sekä muut yliopiston luvalla palveluita käyttävät.

Yliopisto tarjoaa luotettavia ja turvallisia tietojärjestelmiä yliopistolaisten käyttöön opiskeluun, tutkimukseen ja muuhun työhön. Järjestelmien käyttäjien on sitouduttava käyttämään ympäristön palveluita vastuullisesti näiden ja muiden yliopiston antamien sääntöjen mukaisesti. Näiden ja muiden tietojärjestelmienkäyttöä koskevien sääntöjen vastainen käyttö aiheuttaa seuraamuksia yliopiston tietojärjestelmien seuraamuskäytännön mukaisesti. Sääntöjen noudattamista valvovat tietojärjestelmien vastuuhenkilöt ja yksiköiden esimiehet.

Käyttäjän oikeudet ja vastuut

Yliopisto pyrkii pitämään tarjoamansa tietojärjestelmät käytettävinä ja huolehtii omalta osaltaan niiden pysymisestä tietoturvallisena. Tietojärjestelmistä otetaan varmuuskopioita laitehäiriöiden varalta, käyttäjän omien tietojen arkistointi on kuitenkin käyttäjän omalla vastuulla.

Yliopisto toimii yksityisyyden suojaa kunnioittain tietojärjestelmien ylläpidossa ja käytössä.

Sääntöjen mukainen käyttö

Yliopiston tietojärjestelmät on tarkoitettu työvälineeksi tehtäviin, jotka liittyvät opiskeluun, opetukseen, tutkimukseen tai hallintoon yliopistossa. Yksityiseen käyttöön järjestelmiä saa käyttää vähäisessä määrin, kun käyttö ei haittaa muuta käyttöä eikä riko palveluiden käytöstä annettuja sääntöjä. Yksityinen aineisto tulee yksityisyyden suojan varmistamiseksi pitää selkeästi erillään työhön liittyvästä aineistosta.

Käyttäjä vastaa kaikesta hänen käyttövaltuuksillaan tai laitteillaan tehdystä yliopiston tietojärjestelmien käytöstä. Käyttäjän on suojattava käyttäjätunnuksiaan luvattomalta käytöltä. Käyttäjän vastuu tunnuksen väärinkäytöstä päättyy, kun hän on ilmoittanut tunnuksensa varastamisesta.

Jaettuja resursseja on käytettävä niin, että kaikilla käyttöön oikeutetuilla on mahdollisuus kohtuulliseen ja asialliseen käyttöön. Järjestelmiä tai tietoliikenneverkkoa ei saa ylikuormittaa eikä palveluita saa varata tarpeettomasti.

Oman päätelaitteen voi kytkeä yliopiston tietoliikenneverkkoon, kun kytkeminen tehdään tähän käyttöön tarkoitetuissa verkon osissa noudattaen yliopiston antamia ohjeita. Tarkemmat menettelytavat oman laitteen kytkemisestä verkkoon löytyvät digipalveluiden ohjeista. (vaihda linkki)

Tietoliikenneverkkoon näkyvän palvelun pystyttäminen työasemaan, palvelimeen tai muuhun vastaavaan laitteeseen vaati aina tietojärjestelmän omistajan luvan. Opetuksen ja tutkimuksen tarvitsemista palveluista päättää asianomainen tiedekunta.

Käyttäjällä on vaitiolovelvollisuus järjestelmien tietosisällöstä, käyttötavoista, turvatasosta ja ominaisuuksista silloin, kun tietojärjestelmien käyttötarkoitus, niiden käytöstä annetut määräykset, ohjeet tai voimassa olevat säännökset sitä vaativat.

Kielletty käyttö

Yliopiston tietojärjestelmien käyttövaltuutta ei saa käyttää laittomaan tai luvattomaan toimintaan, kuten esimerkiksi tietoturva-aukkojen etsimiseen, oikeudettomaan salauksen purkamiseen, tietoliikenteen kopiointiin tai muuttamiseen tai tietojärjestelmiin tunkeutumiseen. Poikkeuksena tähän on opetukseen ja tutkimukseen liittyvä toiminta, kun se tapahtuu yksikön suunnitelmien mukaisesti.

Yliopiston yleiseen verkkoon ei saa liittää omia tietoliikennettä ohjaavia laitteita, palveluita tai muita järjestelmiä, mikäli siihen ei ole saatu erillistä lupaa digipalveluilta. Kiellettyä on käyttää sellaisia teknisiä menetelmiä tai laitteita, joilla voi ohjata tieto- tai viestiliikennettä tai aiheuttaa häiriötä infrastruktuurin normaalille toiminnalle. Kiellettyä on esimerkiksi omien DHCP-palvelujen tai reitittimien käyttö.

Tietojärjestelmien osia tai piirteitä, joita ei ole selkeästi tuotu yleisesti käytettäviksi, ei saa käyttää. Tällaisia ovat esimerkiksi ylläpitoon tarkoitetut työkalut tai järjestelmän asetuksilla estetyt toiminnot.

Tietojärjestelmien tarjoamien palvelujen käyttö poliittiseen toimintaan (kuten vaalimainontaan) on kielletty. Poikkeuksena ovat yliopistovaalit, ylioppilaskunnan toimintaan liittyvien opiskelijajärjestöjen sekä henkilökunnan ammattiyhdistysten toiminta.

Kaupallinen toiminta tai julistaminen ei ole hyväksyttävää yksityistä tietojärjestelmien käyttöä. Yliopisto voi kuitenkin myöntää poikkeuksia tähän.

Tekijänoikeudella suojattuja ohjelmia ei saa käyttää tai kopioida lisenssiehtojen vastaisesti.

Tietojärjestelmien käyttövaltuudet

Yliopiston tietojärjestelmien käyttövaltuuden saaminen perustuu käyttäjän kuulumiseen yliopistoyhteisöön. Tietojärjestelmän omistaja voi myöntää käyttövaltuuksia erityisestä syystä myös yliopistoyhteisöön kuulumattomalle. Tietojärjestelmän omistaja päättää mitkä käyttövaltuudet käyttäjä saa järjestelmään. Käyttövaltuus osoitetaan myöntämällä käyttäjätunnus tai tuomalla palvelu saataville.

Yliopisto voi tarjota käytettäväksi palveluita, joiden käyttäjäksi voi rekisteröityä kuka tahansa. Rekisteröityneitä käyttäjiä koskevat samat käyttösäännöt kuin muitakin käyttäjiä. Palvelun tarjoaja vastaa käyttövaltuuksien päättämisestä, kun peruste käyttövaltuudelle päättyy.

Käyttövaltuuksien saamisen edellytyksenä on, että käyttäjä sitoutuu noudattamaan näitä sääntöjä sekä muita käyttöön liittyviä ohjeita ja määräyksiä. Käyttäjän on etukäteen tutustuttava järjestelmää koskeviin käyttöohjeisiin ja sääntöihin.

Käyttövaltuutta ei saa luovuttaa edelleen. Jos on syytä epäillä salasanan tai muun tunnisteen joutuneen jonkun muun tietoon/haltuun, salasana on vaihdettava tai tunnisteen käyttö on estettävä välittömästi.

Käyttövaltuudet ovat määräaikaisia. Käyttövaltuus päättyy, kun

  • henkilön opiskelu- tai työsuhde tai muu sopimus päättyy
  • määräaikaiseksi myönnetty käyttövaltuus vanhenee
  • henkilön rooli muuttuu niin, että tietojärjestelmäpalvelun käyttövaltuudelle ei ole enää perustetta.

Käyttövaltuutta voidaan rajoittaa, jos on perusteltu epäily sen väärinkäytöstä tai sen käytöstä johtuneesta tietoturvallisuuden vaarantumisesta.

Käyttäjän tulee poistaa henkilökohtaiset sähköpostinsa ja tiedostonsa ennen tietojärjestelmän käyttövaltuuden loppumista. Yliopisto poistaa tiedostot ja postilaatikon yliopiston määräämän varoajan kuluttua tunnuksen käytön tai käyttövaltuuden loppumisesta. Henkilökuntaan kuuluvan käyttäjän on siirrettävä työhönsä liittyneet viestit ja tiedostot esimiehen kanssa sovitulle henkilölle. Tämä pätee myös opiskelijaan, joka on toiminut esimerkiksi tutkimusryhmissä.

Käyttäjän on poistettava itse henkilöstö- tai opiskelijaetuna kotikäyttöön lisensoidut ohjelmistot työsuhteen tai opinto-oikeuden päättyessä.

Käyttäjätunnukset

Tietojärjestelmän käyttövaltuus todennetaan useimmiten käyttäjätunnuksella ja salasanalla. Käyttäjätunnukset ovat henkilökohtaisia ja yliopisto pyrkii siihen, että samalla käyttäjätunnuksella voi käyttää kaikkia tietojärjestelmiä.

Käyttäjätunnusta ei saa luovuttaa toisen henkilön käyttöön. Käyttäjä vastaa kaikesta käyttäjätunnuksellaan tapahtuvasta käytöstä.

Käyttäjätunnukset tulee suojata vahvalla salasanalla tai muutoin ohjeistetulla tavalla. Jos salasanan tai muun tunnisteen epäillään joutuneen vääriin käsiin, salasana on vaihdettava tai tunnisteen käyttö on estettävä viipymättä.

Digipalvelut voi myöntää useamman henkilön käytössä olevia ryhmätunnuksia erityisiin tarkoituksiin, esimerkiksi kurssien käyttöön työasemaluokissa.

  • Ryhmätunnuksen hakija vastaa siitä, että tunnus luovutetaan käyttöön vain haettuun tarkoitukseen.
  • Jokainen ryhmätunnuksen käyttäjä on vastuussa ryhmätunnuksen käytöstään.

Tietojärjestelmien väärinkäytön seuraukset

Tietotekniikkarikkomuksia ovat yliopiston tietojärjestelmien käyttö niiden käytöstä annettujen sääntöjen tai määräysten vastaisesti tai niiden käyttö Suomen lakien vastaisesti.

Tämä toimintaohje kuvaa toimenpiteitä, joita henkilöön kohdistetaan, kun tietotekniikkarikkomus on havaittu tai sitä on perustellusti syytä epäillä. Toimenpiteet on jaettu käyttövaltuuksien rajoituksiin rikkomuksen selvitystyön ajaksi sekä mahdollisiin rikkomuksesta määriteltyihin seuraamuksiin.

Tämän ohjeen ensisijainen tarkoitus on kuvata millaisiin toimenpiteisiin ja seuraamuksiin tietojärjestelmien väärinkäyttö voi johtaa. Mahdolliset seuraamukset käsitellään yliopistossa tietoturvaperiaatteiden mukaisesti soveltaen tapauskohtaista harkintaa. Mikäli yliopisto katsoo tietotekniikkarikkomuksen täyttävän myös rikoksen tunnusmerkit, saatetaan asia viranomaisten käsiteltäväksi, jolloin mahdollisista seuraamuksista päättää viimekädessä toimivaltainen tuomioistuin.

Yliopisto voi rajoittaa tietojärjestelmien käyttövaltuuksia selvitystyön ajaksi

Rajoituksista päätetään, kun tietotekniikkarikkomus on havaittu tai sitä epäillään. Valtuuksia rajoitetaan aina, kun perustelluista syistä epäillään, että käyttäjä on syyllistynyt väärinkäytökseen, ja on mahdollista, että käyttövaltuudesta on haittaa rikkomuksen selvittämiselle tai vahinkojen minimoimiselle. Tarvittaessa käyttäjä kutsutaan kuultavaksi ja käyttäjällä on aina oikeus tulla kuulluksi asiassa.

Käyttövaltuuksien rajoittamisesta päättää tietojärjestelmän omistavan yksikön johtaja tai hänen määräämänsä henkilö. Rajoittamisen toteuttaa palvelun ylläpitäjä.

Kiireellisissä tapauksissa ylläpitäjä voi omalla päätöksellään rajoittaa käyttövaltuuksia enintään kolmeksi työpäiväksi, mistä hänen tulee välittömästi ilmoittaa tietojärjestelmän omistajalle ja digijohtajalle tai yliopiston tietoturvapäällikölle.

Tarvittaessa käyttäjän työasema tai muu laite voidaan kytkeä irti verkosta.

Rajoitukset voidaan purkaa selvitystyön päätyttyä, jos käyttövaltuuksien palauttamisesta ei ole ilmeistä haittaa.

Käyttäjään kohdistuvista seuraamuksista voi valittaa seuraamuksesta päättäneen henkilön esimiehelle.

Seuraamukset

Lievissä tapauksissa käyttäjää puhutellaan asiattomasta toiminnasta.

Tietotekniikkarikkomuksen seurauksena käyttäjä voi olla korvausvastuussa väärinkäyttämistään resursseista (esimerkiksi palvelimet tai tietoverkko), välittömistä vahingoista ja väärinkäytön selvitystyön aiheuttamista kustannuksista.

Seuraamuksiin vaikuttaa rikkomuksen vakavuuden lisäksi teon tahallisuuden aste.

Seuraamukset opiskelijalle

Opiskelijalle kohdistettavia seuraamuksia voivat olla yksikön johtajan tekemä puhuttelu, käyttäjätunnukseen perustuva toiminnan seuraaminen, käyttövaltuuksien rajoitus tai yliopiston hallinnolliset toimet (kirjallinen varoitus, määräaikainen erottaminen) ja rikosilmoituksen tekeminen (laissa rangaistaviksi määritellyt teot).

Kirjallisen varoituksen antamisesta opiskelijalle päättää yliopiston rehtori ja määräaikaisesta erottamisesta yliopiston hallitus. Henkilön käyttövaltuudet perutaan erottamisen ajaksi.

Mahdollisten rikosilmoitusten tekemisestä päättää digijohtaja yliopiston lakimiehen valmistelun perusteella.

Seuraamukset henkilökuntaan kuuluvalle

Henkilökuntaa koskevia seuraamuksia voivat olla yliopiston työoikeudelliset toimet (kirjallinen varoitus, irtisanominen, palvelussuhteen purku) sekä rikosilmoituksen tekeminen (laissa rangaistaviksi määritellyt teot).

Käyttövaltuudet yksittäisiin järjestelmiin voidaan väärinkäytöksestä väärinkäytöksen vuoksi evätä määräajaksi tai pysyvästi. Käyttövaltuuksiin kohdistuvista toimista päättää digijohtaja tai palvelun omistavan yksikön johtaja. Henkilökuntaa koskevista työoikeudellisista toimista päättää rehtori. Mahdollisten rikosilmoitusten tekemisestä päättää digijohtaja yliopiston lakimiehen valmistelun perusteella.

Seuraamukset muille käyttäjille

Yliopiston henkilökuntaan tai tutkinto-opiskelijoihin kuulumattomia käyttäjiä koskevat seuraamukset voivat olla käyttövaltuuksien poistaminen tai rajoittaminen sekä rikosilmoituksen tekeminen (laissa rangaistaviksi määritellyt teot).

Käyttövaltuudet yksittäisiin järjestelmiin voidaan väärinkäytöksen vuoksi evätä määräajaksi tai pysyvästi. Käyttövaltuuksiin kohdistuvista toimista päättää digijohtaja tai palvelun omistavan yksikön johtaja. Mahdollisten rikosilmoitusten tekemisestä päättää digijohtaja yliopiston lakimiehen valmistelun perusteella.

Käyttösääntöjen rikkomisen seuraamustaulukko

Taulukossa esitellään mahdollisia käyttösääntöjen vastaisen toiminnan seuraamuksia. Taulukko ei ole ehdoton sääntö, se antaa pohjaa seuraamusten harkinnalle.

Kaikissa tapauksissa voidaan harkita yksittäisten järjestelmien käyttövaltuuden menettämistä väärinkäytöksen vuoksi määräajaksi tai pysyvästi.

Rikkomuksen vakavuus Tahallisuudenaste
  Tietämättömyys, osaamattomuus, erehdys, vahinko, huolimattomuus Piittaamattomuus, tahallisuus, toistuvuus
  Opiskelijat Henkilöstö Opiskelijat Henkilöstö
Vakava rikkomus (lain mukaan rikkomuksena tai rikoksena tuomittava teko) Puhuttelu, käyttövaltuuksien rajoitus Käyttövaltuuksien rajoitus, kirjallinen varoitus Tehdään rikosilmoitus, määräaikainen erottaminen, käyttövaltuuksien rajoitus Tehdään rikosilmoitus,
aloitetaan palvelussuhteen päättämismenettely
Rikkomus (vakava väärinkäyttö tai turvallisuuden vaarantaminen) Puhuttelu ja opastus Puhuttelu ja opastus Harkitaan rikosilmoitusta, kirjallinen varoitus, käyttövaltuuksien rajoitus Harkitaan rikosilmoitusta, kirjallinen varoitus, harkitaan palvelussuhteen päättämismenettelyn aloittamista
Lievä rikkomus (asiaton toiminta tai väärinkäytös) Puheeksi ottaminen ja opastus Puheeksi ottaminen ja opastus Puhuttelu, toiminnan seuraaminen Puhuttelu, kirjallinen varoitus

Vakavia rikkomuksia ovat esimerkiksi salassa pidettävien tietojen oikeudeton käsittely ja luovuttaminen, hakkerointi ja tunkeutuminen tietojärjestelmiin, vahingonteko kuten tietoliikenteen häirintä tai haittaohjelmien levittäminen.

Esimerkkejä rikkomuksista ovat ohjeiden vastainen laitteistojen käyttö, käyttäjätunnuksen luovuttaminen esimerkiksi kertomalla salasana toiselle käyttäjälle, tiedon luottamuksellisuuden vaarantaminen esimerkiksi luovuttamalla henkilötietoja oikeudettomasti, tekijänoikeudella suojatun materiaalin luvaton kopiointi tai jakelu, tietoliikennettä ohjaavien laitteiden tai ohjelmien luvaton asentaminen verkkoon.

Esimerkkejä lievistä rikkomuksia ovat henkilökohtaisen tietoturvan/tietosuojan laiminlyönti esimerkiksi käyttäjätunnuksen huolimaton käyttö, salasanan jättäminen näkyviin, salassa pidettävien asiakirjojen jättäminen näkyviin, luvaton kaupallinen tai poliittinen toiminta kuten sähköpostin käyttäminen henkilökohtaiseen markkinointiin, kulunvalvontaohjeiden rikkominen kuten avainten luovuttaminen toisen käyttöön.

Sähköpostisäännöt

Sääntöjen soveltamisala

Sähköpostisäännöt koskevat kaikkien yliopiston tarjoamien sähköpostipalvelujen käyttöä. Näissä säännöissä henkilökunnalla tarkoitetaan koko henkilökuntaa ja muita yliopistoon sopimussuhteessa olevia henkilöitä (esimerkiksi apurahalla työskentelevät tutkijat sekä emeritus- ja emerita-professorit) sekä yliopiston yksiköitä.

Sähköpostiosoitteet

Sähköpostiosoitteet ovat joko organisaatio-osoitteita, henkilökohtaisia osoitteita tai postituslistaosoitteita. Henkilökohtaiset osoitteet ovat joko työosoitteita tai opiskeluosoitteita.

  • Työosoitetta käytetään omien työtehtävien hoitamiseen.
  • Organisaatio-osoitetta käytetään asiointipalveluissa ja sellaisessa viestinnässä, jossa halutaan korostaa organisaation roolia. Organisaatio-osoitteella on oltava vastuuhenkilö. Asiakkaita ohjataan ottamaan aina yhteyttä sopivan organisaatio-osoitteen kautta. Organisaatio-osoitteen käyttö henkilökohtaiseen viestintään on kielletty.
  • Yliopiston ja opiskelijan väliseen viestintään käytetään opiskeluosoitetta, joka on opiskelijan yliopistolle ilmoittama osoite. Jos opiskelija on myös työssä yliopistossa, hänen tulee käyttää työasioiden hoitamiseen työosoitettaan tai organisaatio-osoitetta. Yliopisto tarjoaa opiskelijan käyttöön osoitteen, jos hän ei käytä muuta osoitetta.
  • Postituslistaa käytetään ryhmäviestintään. Sillä tulee olla vastuuhenkilö, jonka tehtävänä on listan mahdollinen moderointi, säännöllinen ylläpito ja tarpeettoman listan poistaminen.

Organisaatio-osoitetta tulee käyttää vain organisaation asioiden hoitoon

Yliopisto päättää käyttämistään sähköpostiosoitteista ja niiden muodosta.

Yliopisto voi julkaista sähköpostiosoitteita yliopiston ulkopuolelle.

  • Opiskelija voi kieltää sähköpostiosoitteensa julkaisemisen oman yliopiston ulkopuolelle.
  • Henkilökuntaan kuuluva voi pyytää estämään työsähköpostiosoitteensa julkaisemisen oman yliopiston ulkopuolelle ainoastaan perustellusta syystä.
  • Sähköpostiosoitetta ei julkaista, jos henkilölle on myönnetty turvakielto.

Kirjesalaisuus suojaa sähköpostia

Yliopisto käsittelee henkilökohtaisiin osoitteisiin tulleita ja niistä lähetettyjä viestejä kirjesalaisuutta kunnioittaen yksityisinä viesteinä. Työosoitteisiin tulleiden ja niistä lähettyjen viestien kohdalla kirjesalaisuudesta voidaan poiketa kohdassa 4.9 kuvatulla tavalla.

Mikäli henkilö saa toiselle tarkoitetun sähköpostiviestin, hänellä on vaitiolovelvollisuus ja hyväksikäyttökielto niin viestin sisällöstä kuin olemassaolostakin.

  • Väärään osoitteeseen tulleen työsähköpostin käsittelysäännöt ovat kohdassa 4.4
  • Kaikki muut väärään osoitteeseen tulleet viestit tulee mahdollisuuksien mukaan palauttaa lähettäjälle ja poistaa omasta sähköpostilaatikosta.

Lähetys- ja palautusvelvollisuudet eivät koske haittaohjelmaviestejä eivätkä roskapostia.

Sähköpostin käyttö

Velvollisuus huolehtia tietoturvallisuudesta ja tietosuojasta

Sähköpostin käyttäjän tulee harkita, millaisen tiedon lähettämiseen sähköposti soveltuu. Salaamaton sähköposti rinnastuu turvallisuudeltaan postikorttiin. Käyttäjän tulee myös harkita millaisen tiedon säilyttämiseen ja missä määrin sähköpostia voi käyttää. Henkilötietojen suojaaminen on erityisen tärkeää käsiteltäessä salassa pidettäviä tai arkaluontoisia henkilötietoja kuten opiskelijoiden tai henkilökunnan terveydentilatietoja. Suojaamaton sähköposti sovellu näiden käsittelyyn. Vaikka henkilötunnus ei ole salassa pidettävä tieto, sen välittäminen suojaamattomassa sähköpostissa ei ole suositeltavaa. 

Vastuu sähköpostikiintiön seurannasta

Sähköpostin käyttäjän tulee seurata postilaatikolle varatun tilan riittävyyttä. Tilan täyttyminen voi estää postin vastaanottamisen.

Vastuu viestin perillemenosta

Jos viestin perillemeno on erityisen tärkeää, on syytä lähettää viesti hyvissä ajoin ennen mahdollista määrä aikaa ja pyytää vastaanottajaa kuittaamaan viestin saapuminen.

Massapostitus on luvanvaraista

Yliopiston toiminnan kannalta perustellut (esimerkiksi tutkimus, yliopiston palvelujen markkinointi) massapostitukset ovat mahdollisia ja niiden toteuttamisesta tulee sopia yliopiston digipalveluiden kanssa etukäteen.

Sähköpostin käsittely käyttövaltuuden päättyessä

Sähköpostiosoitteen käyttövaltuus on määräaikainen. Käyttäjän tulee ottaa talteen tarvitsemansa viestit liitetiedostoineen ennen käyttövaltuuden päättymistä. Käyttövaltuuden päätyttyä sähköpostiosoite poistetaan postituslistoilta.

Kun käyttövaltuus päättyy työsuhteen päättyessä, työntekijän tulee selvittää sähköpostinsa kohdassa 4.7 kuvatulla tavalla.

Työ- ja organisaatiosähköpostin käyttö

Postin käsittelyä ohjaavat säädökset

Työhön liittyvän sähköpostin käsittelyä yliopistossa ohjaavat Suomen lainsäädäntö, yliopiston arkistonmuodostussuunnitelma ja muut yliopiston antamat tiedon käsittelyä koskevat ohjeet.
 

Siirtokielto

Organisaatio- tai työsähköpostiviestien siirto tai automaattinen ohjaaminen yliopiston ulkopuolelle on kiellettyä tietoturvan, tietosuojan ja tiedon hallinnan varmistamiseksi ja voi olla esimerkiksi henkilötietolain vastaista. Perustellusta syystä voidaan myöntää lupa siirtää tai ohjata posti nimettyyn palveluun (tarkempia ohjeita kohdasta sähköpostisäännöistä poikkeaminen).

Ulkopuolista sähköpostipalvelua, jota yliopisto ei ole hyväksynyt, ei saa käyttää yliopistoon liittyviin työtehtäviin.

Ulkopuolisen sähköpostipalvelun käyttöä yliopiston verkosta voidaan pakottavista syistä rajoittaa teknisesti, esimerkiksi jos sen muodostama tietoturvariski yliopistolle nousee liian suureksi.

Kuittausvelvoite

Jos viesti on sähköistä asiointia, tulee viestin käsittelijän lähettää sen lähettäjälle kuittausviesti viipymättä. Sähköisellä asioinnilla tarkoitetaan asian sähköistä vireillepanoa ja sen täydentämistä, käsittelyä (mukaan lukien ratkaisu) ja päätöksen tiedottamista.
 

Hallintolain mukainen edelleenlähettämisvelvoite

Yliopiston tai sen työntekijän toimivaltaan kuulumaton, erehdyksestä lähetetty hallintotehtäviä koskeva sähköpostiviesti on hallintolain (434/2003) 21 §:n mukaisesti siirrettävä toimivaltaiseksi katsotulle viranomaiselle tai taholle ja siirrosta on ilmoitettava viestin lähettäjälle. Ellei siirto ole mahdollinen, viesti tulee palauttaa lähettäjälle.

Lähetys- ja palautusvelvollisuudet eivät koske haittaohjelmaviestejä eivätkä roskapostia.

Sähköpostista huolehtiminen poissaolojen aikana

Henkilökohtaisesta sähköpostiosoitteesta tulee huolehtia myös poissaolojen aikana. Automaattisen poissaoloviestin avulla voi ilmoittaa poissaolon keston ja henkilön, joka hoitaa tehtäviä poissaolon aikana. Suositeltavaa on antaa yhteydenotto-osoitteeksi yksikön organisaatio-osoite. Viestit voi ohjata myös suoraan henkilölle, joka hoitaa tehtäviä poissaolon aikana.

Sähköpostista huolehtiminen työsuhteen päättyessä

Työsuhteen päättyessä työntekijän tulee ottaa talteen tarvitsemansa yksityisviestit ja tekijänoikeuden nojalla työntekijälle kuuluvat viestit sekä sopia esimiehen kanssa työhön liittyvien viestien siirrosta yliopiston haltuun. Jos työntekijä lopettaa tehtäviensä hoitamisen ennen työsuhteen päättymistä, voi työntekijä tai hänen esimiehensä pyytää estämään sähköpostin vastaanoton välittömästi.

Organisaatio-osoitteesta huolehtiminen

Vastuuhenkilön tulee varmistaa organisaatio-osoitteeseen saapuvien viestien säännöllinen ja asianmukainen käsittely ja arkistonmuodostussuunnitelman noudattaminen, myös omien poissaolojensa aikana.

  • Organisaatio-osoitteeseen tulleet sähköpostiviestit kuuluvat työnantajalle.
  • Saapuneisiin viesteihin on vastattava viipymättä.
  • Vastauksesta tulee ilmetä, että se on vastaus organisaatio-osoitteeseen tulleeseen viestiin.

Työosoitteen käyttö yksityiseen viestintään

Yksityiseen viestintään suositellaan käytettäväksi muuta kuin yliopiston työosoitetta. Jos työosoitetta käytetään yksityiseen viestintään, on noudatettava tietojärjestelmien käyttösääntöjen rajoituksia ja seuraavia ohjeita.

  • Työntekijä voi suojata yksityisyyttään erottamalla yksityiset viestit selvästi työsähköpostiviesteistä. Tämä koskee sekä saapuvia että lähteviä viestejä.
  • Jos henkilö on sekä opiskelija että henkilökuntaa, tulee näihin rooleihin liittyvä viestintä hoitaa kyseiseen rooliin liittyvällä sähköpostiosoitteella.

Yliopiston oikeus hakea ja avata työosoitteeseen tulleita ja sieltä lähetettyjä viestejä

Yliopisto voi hakea ja avata työntekijän sähköpostin lain yksityisyyden suojasta työelämässä luvun 6 määrittelemissä tapauksissa ja tavalla. Yliopisto pyrkii siihen, ettei tarvetta työntekijän sähköpostien hakemiseen ja avaamiseen tule. Työntekijällä on käytettävissä muun muassa seuraavat mahdollisuudet

  • Työhön liittyvässä viestinnässä käytetään ensisijaisesti organisaatio-osoitetta
  • Poissaoloista ilmoitetaan automaattisella vastauksella, jossa kerrotaan tehtäviä hoitavan henkilön nimi ja osoite.
  • Työntekijä voi antaa suostumuksen siihen, että poissaolon aikana toinen työntekijä voi vastaanottaa työntekijälle lähetyt viestit.

Salauksen käyttö

Salattu sähköpostiliikenne tulee tallettaa selväkielisessä muodossa turvalliseen paikkaan tai tarvittaessa salata uudelleen niin, että se on kaikkien asian käsittelijöiden käytettävissä.

Jos lähetetään erikseen salattuja liitetiedostoja, niiden avaamiseen tarvittavat salasanat tai avaimet tulee toimittaa vastaanottajalle muulla viestivälineellä, esimerkiksi tekstiviestinä varmistettuun puhelinnumeroon.

Salassa pidettävien tietojen lähettämistä sähköpostilla tulee välttää. Jos se kuitenkin on välttämätöntä, ne pitää lähettää salattuina. Tarkempia ohjeita tietojen luokittelusta ja käsittelystä annetaan erikseen.

Palvelutuotanto ja ylläpito

Ylläpito voi puuttua sähköpostin kulkuun

Puuttumisen syy voi olla sähköpostijärjestelmän palvelutason tai turvallisuuden takaaminen. Puuttuminen ja käytön valvonta on ohjeistettu erikseen tietojärjestelmien ylläpitosäännöissä.

Yliopiston hallinnassa olevaan sähköpostipalveluun saapuvat viestit suodatetaan

Kaikki sähköpostiliikenne tarkistetaan automaattisen sisällöllisen analyysin avulla ja

  • haittaohjelmia sisältävät viestit ja liitetiedostot poistetaan automaattisesti,
  • suoritettavaa koodia sisältävät liitteet poistetaan automaattisesti,
  • haitallisten, suurten tai monilukuisten liitetiedostojen välittämistä voidaan rajoittaa.

Lisäksi merkitään tai voidaan ilmoittamatta tuhota viestit, jotka

  • saapuvat tunnetuista roskapostia välittävistä palvelimista tai
  • luokitellaan roskapostiksi automaattisen sisältöanalyysin perusteella.

Yliopiston käyttämät ulkopuoliset sähköpostipalveluntarjoajat noudattavat sähköpostin suodatuksessa omia käytäntöjään sähköpostiviestinnän turvaamiseksi.

Sähköpostin vastaanottaminen lakkaa, kun käyttövaltuus päättyy

Yliopisto ei ota vastaan henkilölle lähetettyjä viestejä, vaan ilmoittaa automaattisesti lähettäjälle osoitteen toimimattomuudesta. Samalla kaikki mahdolliset sähköpostiosoitteeseen liitetyt viestien uudelleenohjaukset lakkaavat toimimasta.

Muita määräyksiä

Sähköpostisäännöistä poikkeaminen

Lupa sähköpostisäännöistä poikkeavaan toimintaan voidaan myöntää vain kirjallisen hakemuksen perusteella ja perustellusta syystä. Luvan poikkeamaan voi myöntää digijohtaja. Luvassa voi olla ehtoja, rajoituksia ja lisävastuita.

Valvonta

Sähköpostisääntöjen valvonnasta vastaavat tietohallinto ja työnjohdollisesti esimiehet kukin osaltaan.

Näiden sääntöjen rikkomustapauksissa menetellään Jyväskylän yliopiston tietojärjestelmien väärinkäytön seuraamuksissa säädetyllä tavalla.

Ylläpitäjän valtuudet ja vastuut

Ylläpidolla tarkoitetaan näissä säännöissä tietojärjestelmien pitämistä toimintakuntoisina ja tietoturvallisina, tarpeelliseksi havaittujen muutosten tai korjausten tekemistä tietojärjestelmiin, käyttäjätunnusten sekä käyttö- ja pääsyoikeuksien hallinnointia tietojärjestelmissä sekä tietojärjestelmien toiminnan ja käytön seurantaa ja tilastointia.

Tietojärjestelmällä tai järjestelmällä tarkoitetaan näissä säännöissä yksittäistä yliopiston omistamaa tai sen järjestelmiin kytkettynä olevaa atk-laitetta tai -laitteistoa tai niiden muodostamaa kokonaisuutta, yliopiston tietoliikenneverkkoa, edellisissä toimivia ohjelmistoja ja palveluita sekä niissä olevaa tietosisältöä.

Yliopiston tietojärjestelmän omistaja on se yliopiston yksikkö, jonka toimintaa ja tietojenkäsittelyä varten järjestelmä on hankittu ja joka määrittelee järjestelmän käyttöön oikeutetut. Aineiston omistajana voi tekijänoikeuslain mukaisesti olla myös aineiston tekijä. Tietojärjestelmän omistajan tehtävänä on hallinnoida ja ylläpitää järjestelmää. Tietojärjestelmän omistaja voi sopia tietojärjestelmän ylläpidosta toisen toimijan kanssa. Sopimuskumppanina voi olla esimerkiksi yliopiston digipalvelut.

Ylläpitäjällä tarkoitetaan kaikkia yliopiston tietojärjestelmien tietoteknisestä ylläpidosta vastaavia henkilöitä sekä muita yliopiston atk-tukihenkilöitä, jotka näiden kanssa vastaavat järjestelmien ylläpitoon liittyvistä toimista sekä käyttäjien tuesta ja ohjauksesta. Laajasti ymmärrettynä ylläpitäjällä tarkoitetaan jokaista henkilöä, jolla on pääkäyttäjän oikeuksia järjestelmään.

Ylläpitäjän valtuudet

Ylläpitäjällä on tietojärjestelmien toiminnallisuuden takaamiseksi kattavat oikeudet tutkia järjestelmien tilaa sekä tarvittaessa myös puuttua järjestelmien toimintaan, yksittäisen käyttäjän tietojärjestelmien käyttöön sekä hänen tietojärjestelmissä oleviin aineistoihinsa.

Tietoturvaloukkausten torjumiseksi ja tietoturvaan kohdistuvien häiriöiden poistamiseksi ylläpitäjällä on oikeus ryhtyä välttämättömiin toimiin tietoturvan varmistamiseksi. Tietoturvapoikkeamat käsitellään tietoturvapoikkeamien hallinnan ohjeen mukaisesti.

Jotta ylläpitäjän erioikeudet eivät olisi ristiriidassa järjestelmän käyttäjien oikeusturvan kanssa, ylläpitäjän erioikeuksien käyttöä säädellään ohjeilla ja määräyksillä, jotka perustuvat ensisijaisesti Suomen lainsäädäntöön ja Jyväskylän yliopiston tietojärjestelmien käyttösäännöstöön. Ylläpitäjää koskevat tietoturvaperiaatteet on kirjattu yliopiston turvallisuuspolitiikassa ja yliopiston tietoturvaperiaatteissa.

Nämä säännöt sitovat yliopiston kaikkia ylläpitäjiä, myös opiskelijaa, jos hän ylläpitää yliopiston verkkoon kytkettyä tietojärjestelmää. Kortepohjan ylioppilaskylän verkon osalta ylläpidon säännöt tekee ylioppilaskunta.

Ylläpitäjän vastuut

Yksikön on dokumentoitava omistamansa tietojärjestelmät tai järjestelmäkokonaisuudet, tärkeysluokiteltava ne sekä nimettävä niiden hallinnoijat ja ylläpitäjät. Omistaja vastaa tietosuoja-asetuksen mukaisten selosteiden tekemisestä.

Tietojärjestelmän omistaja ja viime kädessä yksikön johtaja vastaa siitä, että järjestelmässä noudatetaan lakia, hyvää ylläpitotapaa sekä yliopiston voimassaolevia sääntöjä ja politiikkoja. Tietojärjestelmän omistaja vastaa tietojärjestelmän ylläpidosta. Ylläpitotehtävät jaetaan mahdollisuuksien mukaan usealle henkilölle, joilla on eri käyttövaltuudet. Myös ylläpitäjien toimenpiteistä kerätään tarvittavaa lokitietoa.

Tietojärjestelmän omistaja ei ole vastuussa käyttäjän henkilökohtaisten aineistojen sisällöstä, vaan käyttäjä itse vastaa aineistojensa laillisuudesta ja suojaa ne yliopiston antamien ohjeiden mukaisesti. Järjestelmän omistajalla on kuitenkin laissa säädetty oikeus ja velvollisuus puuttua käyttäjän aineistoihin, jos on perusteltua syytä epäillä, että niissä on tietoturvauhkia tai lainvastaisuuksia.

Jos ylläpitäjän epäillään tai havaitaan väärinkäyttäneen erioikeuksiaan, otetaan yhteyttä yksikön johtajaan, joka tekee päätöksen digijohtajan kanssa jatko- ja suojatoimenpiteistä tietojärjestelmien väärinkäytön seuraukset säännön mukaisesti.

Ulkoistetun tietojärjestelmän ylläpito

Jos yliopiston käyttämä tietojärjestelmä on muun kuin yliopiston ylläpitämä, ylläpitäjien toimintaa säädellään toimittajan ja tietojärjestelmän omistajan välisellä sopimuksella. Ylläpidon toimittajan kanssa pyritään sopimaan siitä, että järjestelmän ylläpidossa noudatetaan tässä esitettyjä periaatteita. Sopimuksen teon tavoitteena on, että järjestelmän ylläpito on vähintään samalla tasolla kuin yliopiston itse ylläpitämän järjestelmän.

Toimintaperiaatteet

Hyvä ylläpitotapa

Tietojärjestelmiä on ylläpidettävä hyvän ylläpitotavan mukaisesti. Tietojärjestelmien hyvä ylläpitotapa tarkoittaa suunnitelmallista, vastuuntuntoista ja ammattitaitoista ylläpitoa, jossa otetaan huomioon julkisen hallinnon tiedonhallintalaissa säädetty hyvä tiedonhallintatapa.

Yksityisyyden suojan kunnioittaminen

Yliopiston tietojärjestelmien hallinnoinnissa otetaan huomioon käyttäjien ja heidän viestintäkumppaniensa oikeus yksityisyyteen ja viestintäsalaisuuteen. Yliopistolla on kuitenkin nämä perusoikeudet huomioon ottaen oikeus määrätä itse omistamiensa tietojärjestelmien tietosisällöstä ja käyttötarkoituksesta. Tämä koskee myös yliopiston omistaman tietoliikenneverkon liikennettä. Käyttötarkoituksesta on säädelty tarkemmin yliopiston Tietojärjestelmien käytön säännöissä tai järjestelmäkohtaisissa säännöissä.

Käyttäjän pyytäessä ylläpitäjää käsittelemään sähköpostiaan tai muita tiedostojaan ylläpitäjän tulee varmistua käyttäjän henkilöllisyydestä asianmukaisella tavalla, esimerkiksi kelvollisen henkilöllisyystodistuksen kautta, ellei hän tunne käyttäjää. Käyttäjän henkilöllisyyttä ei ole tarpeen varmistaa selvitettäessä yleisiä toimintaan liittyviä teknisiä tai muita vastaavia tietoja, kun käyttäjälle ei luovuteta viesti- tai tietosisältöä.

Kun ylläpitäjällä on tarve ottaa yhteyttä käyttäjään, voidaan se tehdä joko henkilöstö- ja opintotietotietojärjestelmistä löytyvään puhelinnumeroon tai sähköpostilla. Jos on kuitenkin syytä epäillä käyttäjätunnuksen olevan väärissä käsissä, ei sähköpostia tule käyttää.

Vaitiolovelvollisuus

Ylläpitäjällä on vaitiolovelvollisuus ja hyväksikäyttökielto työtehtäviä hoitaessaan tietoonsa saamistaan työtehtäviin liittymättömistä asioista sekä niiden olemassaolosta. Työtehtäviin liittyvistä ei-julkisista asioista saa keskustella vain sellaisten henkilöiden tai viranomaisten kanssa, joita sitoo sama vaitiolovelvollisuus, ja joiden työtehtäviin käsiteltävä asia liittyy.

Ylläpitäjältä voidaan vaatia salassapitosopimuksen tekemistä, jos hänen ylläpitämänsä järjestelmät sitä edellyttävät.

Toimintakäytännöt

Identiteetit, salasanat

Ylläpitäjä ei tehtäviensä hoitamiseksi tarvitse käyttäjän salasanaa eikä hänen tule sitä käyttäjältä tiedustella.

Mikäli ongelman selvitys edellyttää käyttäjän identiteetin hetkellistä käyttöä, tulee joko käyttäjän olla itse paikalla antamassa salasana autentikointipalvelulle tai ylläpitäjän on otettava käyttäjän identiteetti käyttöönsä ylläpitäjän erioikeuksien avulla. Jälkimmäisestä on ilmoitettava käyttäjälle niin pian kuin se on mahdollista. Identiteettiä ei saa käyttää kauemmin kuin ongelman ratkaisemiseksi on välttämätöntä.

Ylläpitäjän on näissä tilanteissa varmistauduttava käyttäjän henkilöllisyydestä asianmukaisella tavalla.

Pääkäyttäjän oikeuksia käytetään vain, kun niitä tarvitaan ylläpitotehtäviin.

Käyttövaltuuksien rajoittaminen

Käyttövaltuuksien rajoittaminen selvitysmenettelyn ajaksi on määritelty tietojärjestelmien väärinkäytön seurauksissa.

Sähköpostin käsittely

Henkilökohtaisen kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on Suomen perustuslain mukaan loukkaamaton, ellei laissa toisin säädetä. Sähköposti on rinnastettavissa kirjeeseen. Sähköposti on luottamuksellinen, ellei sitä ole tarkoitettu yleisesti vastaanotettavaksi.

Sähköpostin normaalit käsittelyperiaatteet säädellään sähköpostin käsittelysäännöissä.

Ylläpitäjä voi joutua avaamaan käyttäjien sähköpostia sisältäviä tiedostoja seuraavissa tilanteissa:

  • Käyttäjän pyytäessä sitä ylläpitäjältä. Pyyntö voidaan esittää esimerkiksi tilanteessa, jossa sähköpostilaatikko ei aukea käyttäjän käytettävissä olevilla ohjelmilla. Lupa koskee vain yhtä nimenomaista kertaa. Mikäli käyttäjä pyytää tietoa postilaatikon sisällöstä, ylläpitäjän on ehdottomasti varmistuttava pyytäjän henkilöllisyydestä.
  • Kun postijärjestelmä ei kykene toimittamaan sitä eteenpäin puutteellisen tai vaurioituneen rakenteen vuoksi. Tällöin ylläpitäjällä on lupa tutkia ja korjata viestin teknisiä ohjaustietoja, mutta ylläpitäjän tulee mahdollisuuksien mukaan olla tutustumatta viestin vastaanottajalle tarkoitettuun tekstisisältöön.

Ylläpitäjällä on myös oikeus poistaa välitettävänä olevan sähköpostin jonosta postijärjestelmän toiminnan vaarantavat sekä ilmeisen tarpeettomat teknisestä virheestä aiheutuneet viestit.

Muiden tiedostojen käsittely

Ylläpitäjällä ei ole yleistä oikeutta lukea tai muuten käsitellä käyttäjien omistuksessa olevien tiedostojen sisältöä.

Ylläpitäjällä on kuitenkin oikeus käsitellä tiedostoja esimerkiksi seuraavissa tilanteissa:

  • Kun käyttäjä on antanut siihen luvan ongelmatilanteen selvittämiseksi.
  • Erityisestä kirjallisesta pyynnöstä (esim. mikäli yliopiston tehtävien hoito on vaarassa vaikeutua poissaolon vuoksi, voidaan poissaolevan työntekijän/opiskelijan omistuksessa olevia, muilta suojattuja tiedostoja joutua käsittelemään. Yksikön esimies, tai vastaava, voi määrätä ylläpitäjän antamaan nimetylle henkilölle pääsyoikeuden tarvittaviin tiedostoihin).
  • Jos käyttäjätunnuksen hallussa on ohjelmia tai alustustiedostoja, jotka aiheuttavat häiriöitä järjestelmän toiminnalle, turvallisuudelle tai muiden käyttäjien tietosuojalle. Tällöin ylläpitäjä voi tarkistaa ohjelmatiedostojen sisällön ja tarvittaessa estää niiden toiminnan.
  • Jos on perusteltu syy epäillä, että käyttäjätunnus on joutunut vääriin käsiin ja että sen omistuksessa on tiedostoja tai ohjelmia, jotka aiheuttavat vaaraa tai uhkaa yliopiston toimintakyvylle tai turvallisuudelle.
    • Mikäli ylläpitäjä epäilee tunnuksen olevan väärissä käsissä, on ylläpitäjällä oikeus tilapäisesti sulkea tunnus. Yleisperiaatteena on, että käyttäjään pyritään saamaan yhteys ennen toimenpiteitä, mutta suojaus- ja korjaustoimenpiteet voidaan joutua tekemään välittömästi ennen yhteydenottoa.
  • Jos on perusteltu syy epäillä, että käyttäjätunnuksen haltija on itse syyllistynyt väärinkäytökseen ja voidaan olettaa, että tietyissä käyttäjän omistamissa tiedostoissa on todisteita väärinkäytöksestä.
    • Ylläpitäjällä on oikeus tilapäisesti sulkea tunnus väärinkäyttötapauksessa. Käyttäjän väärinkäytös käsitellään yliopiston tietojärjestelmien käytön sääntöjen ja tietotekniikkarikkomusten seuraamuskäytännön mukaisesti.
  • Ylläpidolla on oikeus estää sellaisten www-sivujen näkyminen, jotka ovat lain tai yliopiston tietojärjestelmien käytön sääntöjen vastaisia.
  • Kun tiedostojen suojaus sen muutenkin sallii.

Ylläpitäjän on kerrottava poistetuista tai muutetuista tiedostoista ja www-sivuista niiden omistajalle.

Edellä mainitun lisäksi ylläpitäjällä on aina oikeus:

  • Lukea ja muuttaa käyttäjien kotihakemistoissa sijaitsevia alustustiedostoja, postinohjaus- tai lajittelutiedostoja sekä muita järjestelmän toimintaan vaikuttavia tiedostoja, mikäli niiden havaitaan uhkaavan järjestelmän toimintaa, turvallisuutta tai käyttäjien tietosuojaa. Jos mahdollista muutosta ei pystytä tekemään ilman, että käyttäjän itse tekemät muutokset häviävät, käyttäjän tekemä vanha versio siirretään toiselle nimelle, ja käyttäjälle ilmoitetaan muutoksesta.
  • Tutkia, ettei yhteisillä levyalueilla ole laittomia tai järjestelmän toimintaa, turvallisuutta tai käyttäjien tietosuojaa uhkaavia tiedostoja. Tällaisia ovat esimerkiksi haittaohjelmat, tekijänoikeuksia loukkaavat tallenteet tai rikoslaissa lainvastaisiksi nimetyt aineistot.
  • Tuhota väliaikaistallennukseen tarkoitetuilta levyalueilta käsin tai automaattisesti tiedostoja ennalta määriteltyjen periaatteiden mukaisesti. Poistamisperiaatteet tulee olla käyttäjien nähtävissä, mutta periaatteiden mukaisista poistoista ei tarvitse ilmoittaa käyttäjälle.

Hakemistojen ja tiedostolistausten seuranta

Hakemistorakenteiden, tiedostojen nimien, muutospäivämäärien, koon ja suojaustason sekä muiden tiedostoa koskevien tietojen käsittely on osa normaalia ylläpitoa, joka tehdään hyvää ylläpitotapaa noudattaen.

Mikäli havaitaan, että jonkin tiedoston tai hakemiston suojaukset ovat sen luonteeseen nähden liian heikot, ylläpitäjällä on oikeus muuttaa suojaus tarpeelliselle tasolle.

Ylläpitäjää koske vaitiolovelvollisuus. Ylläpitotehtävien hoidossa pyritään siihen, ettei tiedostojen yms. nimiä näytetä tarpeettomasti.

Ohjelmien ja prosessien seuranta

Ylläpitäjä määrittelee järjestelmän omistajan kanssa, mitkä ohjelmistot ovat järjestelmässä käytettävissä. Ohjelmia voidaan kieltää tai poistaa käytöstä, mikäli niiden käyttö ei ole yliopiston toiminnan kannalta tarpeellista ja ne ovat uhka palvelutasolle tai turvallisuudelle. Päätöksen järjestelmän omistaja.

Ylläpitäjä seuraa tietojärjestelmissä ajettavia ohjelmia osana normaalia ylläpitoa.

Ylläpitäjä saa muuttaa suorituksessa olevan prosessin suoritusprioriteettia, mikäli se kuluttaa järjestelmän resursseja kohtuuttomasti.

Ylläpitäjä saa päättää prosessin suorituksen, mikäli

  • prosessin toiminta on selvästi häiriintynyt,
  • prosessi haittaa muun järjestelmän toimintaa ylimääräisellä kuormituksella, eikä ole järjestelmän käyttötarkoituksen kannalta perusteltu, tai
  • prosessi liittyy ohjelmistoon, jonka käyttö on järjestelmän käytön ohjeiden ja määräysten vastainen. Tällöin käyttäjälle ilmoitetaan prosessin päättämisestä ja näistä määräyksistä.

Tietoliikenneverkon seuranta

Yliopiston tietoliikenneverkon ylläpitäjä seuraa esimerkiksi verkonkuunteluohjelmilla ja lokitietojen perusteella yliopistoverkon ja ulkoyhteyksien liikennettä voidakseen taata kohtuullisen palvelutason ja turvallisuuden sekä huolehtia ulkoyhteyden kustannustehokkaasta käytöstä.

Liikennettä seurattaessa tarkkaillaan liikenteen määrää ja liikennöintitapoja, ei liikenteen sisältöä. Kohde- ja lähdekoneiden seuranta on tilastollista eikä kohdistu yksittäiseen käyttäjään. Liikennettä voidaan kuitenkin seurata tarkemmin myös yksittäisen järjestelmän osalta, kun selvitetään liikennöintiin liittyviä poikkeamia, esimerkiksi erityisen suuren kuormituksen aiheuttamista. Automaattiset hyökkäyksentunnistusjärjestelmät voivat analysoida kaikkea liikennettä.

Ylläpitäjä voi ottaa yhteyttä suuren liikennemäärän tai muun poikkeaman aiheuttaneen koneen vastuuhenkilöön mahdollisen häiriö- tai väärinkäytöstilanteen selvittämiseksi.

Tietoliikenneverkon ylläpitäjällä on lupa estää tietoliikenneyhteydet tai tietyn palvelun käyttö koneeseen tai verkon osaan,

  • joka aiheuttaa verkkoliikenteen palvelutasoa tai turvallisuutta uhkaavaa liikennettä,
  • jos on perusteltua syytä epäillä, että kone tai koneita on väärissä käsissä tai haittaohjelman saastuttama,
  • jossa rikotaan tietojärjestelmien käytön sääntöjä tai
  • joka ei oleerityisesti tietoturvallisuuden suhteen asianmukaisesti ylläpidetty.

Kaikissa tapauksissa koneen tai verkon osan vastuulliseen ylläpitäjään on otettava viipymättä yhteyttä liikenteen estämisen jälkeen.

Tietojärjestelmien, palvelujen ja laitteiden tekninen analysointi

Digipalvelut voi selvittää analyysityökaluilla palvelun tai laitteen tietoturvan tilaa, palvelujen näkyvyyttä tai muita järjestelmän toimintaan liittyviä teknisiä tietoja. Analysointi voidaan kohdistaa yliopiston verkossa tai yliopiston vastuulla oleviin yliopistoverkon ulkopuolella sijaitseviin kohteisiin. Toimenpiteitä voivat olla esimerkiksi haavoittuvuusskannaukset.

Lokitietojen käsittely

Yliopiston tietojärjestelmät tallentavat lokitietoja järjestelmän toiminnan dokumentoimiseksi, mahdollisten häiriö- tai väärinkäyttötilanteiden selvittämiseksi sekä laskutustiedon keräämiseksi. Yliopistossa lokitietoja käytetään normaalisti vain vaitiolovelvollisten ylläpitäjien teknisluontoisiin tehtäviin ja laskutuksen mahdollistamiseksi.

Tietojen säilytys

Tietojärjestelmäpalvelujen tarjoajan tulee osana ylläpitoa huolehtia järjestelmiensä varmuuskopioinnista. Varmuuskopiot tulee säilyttää asianmukaisesti ja ylläpitäjän on huolehdittava varmuuskopioiden lukukelpoisuudesta. Varmuuskopioilla olevia tietoja tulee käsitellä samoilla periaatteilla kuin vastaavia tietojärjestelmissä olevia tietoja. Varmuuskopioiden tuhoamisen tulee tapahtua siten, että niiden sisältämien tietojen luottamuksellisuus ei vaarannu.

Ylläpitosäännön valvonta

Näiden sääntöjen valvonnasta vastaavat yliopiston tietohallinto sekä muiden mahdollisten yliopiston yksiköiden tietojärjestelmien omistajat. Sääntörikkomusten käsittely tapahtuu tietojärjestelmien väärinkäytön seurausten mukaisesti.

Katso myös

Tietoturva

Tältä sivulta löydät tietoturvaan liittyviä ohjeita.

Käyttöoikeus ja käyttäjätunnukset

Tältä sivulta löydät tietoa tietojärjestelmien käyttöoikeuksista, sekä käyttäjätunnuksesta.

Tekijänoikeudet

Sivulla kerrotaan lyhyesti, millaista materiaalia verkkoon saa ja ei saa laittaa.