Kehtna valla infoturvapoliitika
Vastu võetud 28.10.2025 nr 3
Määrus kehtestatakse kohaliku omavalitsuse korralduse seaduse § 30 lõike 1 punkti 2 ja küberturvalisuse seaduse § 3 lõike 4 punkti 13 ja § 7 lõike 2 punkti 2 alusel.
§ 1. Üldsätted
(1) Infoturve keskendub teabe ja sellest sõltuvate äriprotsesside kaitsmisele ning sellest tulenevalt infotöötluse või infotehnoloogia kaitsmisele.
(2) Infoturvapoliitika eesmärk on reguleerida infoturbe valdkonda ning kirjeldada organisatsiooni üldist lähenemisviisi infoturbe tagamisel.
(3) Infoturvapoliitika määrab infoturbe üldise korralduse, põhimõtted ja vastutuse ning loob raami infoturvaeesmärkide püstitamiseks.
(4) Infoturvapoliitikaga on kohustatud tutvuma kõik organisatsiooni töötajad ning isikud, kellele on loodud juurdepääs organisatsiooni varale.
(5) Infoturvapoliitika kujundamise ja rakendamise aluseks on Eesti infoturbestandard ning küberturvalisuse valdkonda reguleerivad seadused ja nende alusel kehtestatud õigusaktid.
(6) Infoturvapoliitikast lähtuvad või sellega oluliselt haakuvad infoturbedokumendid, mis hõlmavad üksikasjalikke kirjeldusi infoturvaeesmärkide saavutamise võtetest, kehtestatakse vallavanema käskkirjaga.
§ 2.
Mõisted
Infoturvapoliitika kirjeldamisel kasutatakse mõisteid järgmises tähenduses:
1) infoturve – teabe käideldavuse, tervikluse ja konfidentsiaalsuse säilitamine;
2) teenistuja – isik, kes täidab organisatsioonis ametikohustusi või tööülesandeid avaliku teenistuse või töölepingu seaduse alusel;
3) andmed – informatsiooni taastõlgendatav esitus formaliseeritud kujul, mis sobib edastuseks, tõlgenduseks või töötluseks;
4) IT-süsteem – süsteemid ja seadmed, mis on seotud andmete töötlemisega (sh riistvara, tarkvara);
5) kontrolljälg/logi – sündmuse toimumist tõendav andmeelement;
6) vallavalitsus – Kehtna Vallavalitsus kui täitevorgan.
§ 3. Infoturvaeesmärk
(1) Üldine infoturvaeesmärk on organisatsiooni valduses või kontrolli all oleva teabe tervikluse, käideldavuse ja konfidentsiaalsuse säilitamine ulatuses, mis võimaldab organisatsiooni ülesannete täitmist kooskõlas kohaliku omavalitsuse korralduse seadusega.
(2) Konkreetsed infoturvaeesmärgid sõnastatakse kooskõlas organisatsiooni strateegiliste eesmärkidega.
(3) Infoturvaeesmärgid lähtuvad infoturbe tähtsusest organisatsioonile, on realistlikud, praktilised (seotud toimingutega), põhjendatud, arusaadavad ja võimaluse korral mõõdetavad. Infoturvaeesmärkidele on määratud eesmärgi saavutamise tähtaeg.
(4) Organisatsioon vaatab infoturvaeesmärgid regulaarselt läbi ja vajadusel ajakohastab.
§ 4. Üldised infoturbe põhimõtted
(1) Üldine infoturbe vastutus on igal organisatsiooni töötajal ja isikul, kellele on loodud juurdepääs organisatsiooni varale.
(2) Kõik teenistujad on kohustatud järgima asjakohaseid õigusakte, organisatsiooni poliitikaid ja sise-eeskirju.
(3) Kõik teenistujad on kohustatud organisatsiooni varasid ja andmeid kaitsma ka pärast tööaega ja väljaspool organisatsiooni territooriumi.
(4) Teenistusülesannete täitmisel tohib kasutada ainult selleks ette nähtud tarkvara ja IT-süsteeme.
(5) Igaüks on turvasündmuse kahtluse korral kohustatud teavitatama sellest koheselt [email protected].
(6) Irdandmekandjate kasutamine on keelatud.
§ 5. Infoturbe korraldus
(1) Vallavalitsus vastutab äriprotsesse ohustavate sündmuste käsitlemise, sh infoturbe halduse eest.
(2) Vallavalitsus vastutab infoturbe elluviimise, käigushoidmise ja täiendamise eest. Selleks määrab ta turbealased õigused ja kohustused ning eraldab ressursid.
(3) Vallavalitsus kinnitab infoturvapoliitika, turvaeesmärgid ja infoturbele ressursside eraldamise.
(4) Vallavalitsus aktsepteerib teenistujate põhitööga kaasnevaid infoturbekohustusi.
(5) Vallavalitsus täidab infoturbejuhi nimetamiseni või infoturbe juhtimise teenuslepingu sõlmimiseni infoturbejuhi rolli.
(6) Vallavalitsus tagab rollitäitjate pädevuse ja vajalike pädevustõendite säilitamise.
(7) Infoturbe meetmete rakendamist korraldab vallavalitsus.
(8) Infoturbeprotsessi peavad olema kaasatud kõik teenistujad.
§ 6. Infoturbe rakendamine
(1) Poliitika alusel kehtestatakse protsessikirjeldused. Infoturbe kontseptsiooni dokumentatsioon (loetelu) kinnitatakse E-ITSi rakendamisel koostatud regulatsioonide põhjal vallavanema käskkirjaga.
(2) Infoturbejuht plaanib ja koordineerib organisatsiooni infoturbealaseid tegevusi sh juhib poliitika ning selle alusel loodavate juhendite koostamist ja rakendamist.
(3) Turvameetmete rakendamisel arvestatakse organisatsiooni teenistujaid, nende tausta, teadmisi ning IT-süsteemide kasutamise kogemusi. Turvalisust parandatakse, analüüsides teenistujate turvakäitumist.
(4) Rakendatav infoturve peab olema normaalse tööprotsessi osa ning olema kooskõlas töö eesmärkidega.
(5) Turvameetmete rakendamine mõjutab teenistujate igapäevatööd võimalikult vähesel määral.
(6) Määratud turvameetmed tulenevad turvaeesmärkidest ja kaitsetarbest.
(7) Turvameetmete valik võtab arvesse toimivust, tõhusust ja majanduslikku otstarbekust.
(8) Lähtudes õigusaktidest tulenevatest nõuetest, standarditest teenuslepetest jms määrab organisatsioon infoturbe meetmete rakendusplaaniga minimaalsed turvameetmed, mida tuleb tähtaegselt rakendada infovaradele ettenähtud turvataseme saavutamiseks ja säilitamiseks.
(9) Vallavalitsus peab saama infoturbe kohta regulaarselt, õigeaegselt ja sobivas ulatuses järgmist teavet:
1) organisatsiooni ja selle teabe turvariskid ning nendega seotud toimed ja kulud;
2) turvaintsidentide toime äriprotsessidele;
3) regulatsioonidest (nt õigusaktid, eeskirjad, standardid) ja lepingutest tulenevad turvanõuded;
4) tegevusalale tüüpilised infoturbe protseduurid;
5) infoturbe hetkeseis ja sellest tulenevad tegevussoovitused (infoturbe meetmete rakendusplaan);
6) infoturbeprotsessi täiendusettepanekud (sh sõltumatu läbivaatuse ja auditeerimise tulemid);
7) huvipooltega seotud kohustused ja tagasiside;
(10) Organisatsiooni tegevust kahjulikult mõjutada võivate toimingute ja sündmuste regulaarseks hindamiseks viiakse vähemalt igal aastal läbi riskianalüüs.
(11) Riskihaldus põhineb E-ITS riskihaldusjuhendil ja ISO 27005 standardil.
(12) Riskijuhtimisele esitatavad nõuded kehtestatakse riskihalduse juhendiga.
(13) Riskide vähendamiseks rakendatakse turvameetmeid vastavalt infoturvapoliitikale ja infovaradele määratud kaitsetarbele.
(14) Vallavalitsus teadvustab ja aktsepteerib regulaarselt jääkriskid ning nende alusel kinnitab rakendusplaani.
§ 7. Määruse rakendussätted
(1) Kõik erisused käesolevast poliitikast kinnitatakse vallavanema käskkirjaga.
(2) Käesolevat poliitikat ja selle alusel koostatud juhendite sisu ajakohasust hinnatakse vähemalt kord aastas või infoturbe olukorra oluliste muutuste aset leidmisel.
(3) Tunnistada kehtetuks Kehtna Vallavalitsuse 24.03.2020 määrus nr 8 „Kehtna valla infoturbepoliitika”.
(4) Määrus jõustub kolmandal päeval peale avalikustamist Riigi Teatajas.
Tanel Viks
vallavanem
Maire Pettai
vallasekretär
Facebook
X.com