Käytössäsi on vanha selainversio

Huomioithan, että sivusto ei välttämättä toimi oikein vanhentuneella selaimella. Suosittelemme selaimen päivittämistä tai toisen selaimen käyttämistä.

Tällä sivustolla käytetään evästeitä parhaan käyttäjäkokemuksen tarjoamiseksi. Jatkamalla sivuston selailua hyväksyt evästeiden käytön. Halutessasi voit muuttaa selaimesi asetuksia. Lisätietoja tietosuojailmoituksessamme.

Hyväksyn

Tietoturva ja kyberturvallisuus

Sampo-konsernin yhtiöt käsittelevät paljon arkaluonteisia asiakastietoja. Siksi tietoturva ja kyberturvallisuus ovat ensiarvoisen tärkeitä konserniyhtiöiden liiketoiminnan menestykselle.

Sampo-konserni huomioi tietoturvaan ja kyberturvallisuuteen liittyvät riskit. Tietoturva ja kyberturvallisuus ovat monimutkaisia aloja, joilla tapahtuu muutoksia jatkuvasti ja nopeaan tahtiin. Teknologian ja nopean muutostahdin ohella monimutkaiseen kokonaisuuteen sisältyvät muun muassa hallinto, liiketoimintaprosessit, tietoturvatietoisuus ja säännösten noudattaminen.

Tietoturvan ja kyberturvallisuuden konsernitason ohjeasiakirja on Sampo-konsernin toimintaperiaatteet. Lisäksi eri konserniyhtiöillä on yksityiskohtaisempia, omaan liiketoimintaansa liittyviä politiikkoja ja ohjeita. Sampo-konsernissa sekä sisäisten että ulkoisten sidosryhmien edellytetään täyttävän konsernin asettamat tietoturva- ja kyberturvallisuusvaatimukset. Sampo-konsernin yhtiöt ovat sitoutuneet tekemään säännöllisiä riskianalyysejä, suorittamaan jatkuvuussuunnittelua ja ylläpitämään tehokkaita sisäisiä prosesseja, laadukkaita järjestelmiä ja infrastruktuuria, joiden avulla varmistetaan tietoturva ja kyberturvallisuusvalmius.

Viranomaisille raportoitujen tietoturvapoikkeamien lukumäärä, Sampo-konserni 2019 2018
Viranomaisille raportoitujen tapausten lukumäärä 0 2

If

Ifillä on kattava tietoturvan ja kyberturvallisuuden hallintomalli, joka käsittää toimintaperiaatteet, standardit, roolit ja vastuut, valvontamenettelyt sekä raportointirakenteet. Ifin tietoturva ja kyberturvallisuus perustuvat yhtiön tietoturvapolitiikkaan ja tietoturvastandardiin, jotka perustuvat ISO 27001 ‑standardiin. Nämä asiakirjat ovat osa Ifin riskienhallintajärjestelmää ja määrittävät tietoturvan ja kyberturvallisuuden vähimmäisvaatimukset, joita kaikkien If-konsernin yhtiöiden sekä niiden yhteistyökumppaneiden ja alihankkijoiden edellytetään noudattavan. Riskejä ja vaatimusten noudattamista arvioidaan säännöllisesti. Rikkomukset voivat johtaa kurinpitotoimiin.

Ifin tietoturvajohtajalla on kokonaisvastuu Ifin tietoturvasta ja kyberturvallisuudesta. Hän kuuluu toiseen puolustuslinjaan ja raportoi yhtiön riskienhallintajohtajalle yhdessä tietosuojayksikön kanssa. Näin voidaan keskittyä erityisesti yrityksen tietoihin kohdistuviin riskeihin ja säännösten noudattamisen hallintaan. Tieto- ja viestintäturvaan erikoistunut IT Security Manager raportoi lisäksi tietohallintojohtajalle. Lisäksi Ifillä on kybervakuutukseen keskittyvä tiimi, jolla on tukenaan sisäisiä tietoturva-asiantuntijoita.

Ifin IT-organisaatio raportoi tietoturva- ja kyberturvallisuusriskeistä yhtiön operatiivisten riskien komitealle. Täydellinen raportti toimitetaan puolivuosittain, ja uusista tai muuttuneista huomattavista riskeistä raportoidaan neljännesvuosittain. Lisäksi näistä riskeistä raportoidaan Ifin hallitukselle, toimitusjohtajalle sekä tietoturvasta ja kyberturvallisuudesta vastaavalle hallitustason riski- ja vakavaraisuuskomitealle (ORSA-komitea) osana yhtiön riskienhallintatoiminnon koordinoimaa yleistä riskien raportointia. Yleiskatsaus Ifin riskiprofiilista ja pääomatilanteesta esitetään neljännesvuosittain ORSA-komitealle ja hallitukselle. Yksityiskohtaisempi ORSA-raportti toimitetaan hallitukselle kerran vuodessa. Raportti sisältää yhtiön riski- ja vakavaraisuusarvion seuraavalle kolmelle vuodelle. Tietoturvan valvontaa ja riski-ilmoituksia koskevia tunnuslukuja mitataan ja niistä raportoidaan kuukausittain tietohallintojohtajalle ja keskeisille sidosryhmille, joita ovat muun muassa Head of If IT Services, riskienhallintajohtaja, Head of Business Continuity, Risk Control ‑henkilöstö ja IT Service Delivery ‑henkilöstö.

Tietoturvaa ja kyberturvallisuutta koskevaa koulutusta annetaan kaikille työntekijöille työhönoton yhteydessä ja vuosittain. Koulutus koostuu verkkokursseista, lähiopetuksesta, intranetartikkeleista ja tietojen kalastelun simulointitesteistä. Koulutuksen aiheita ovat esimerkiksi tietoturvavaatimukset, ‑roolit ja ‑vastuut, ajankohtaiset tietoturvariskit ja mahdollisista tietoturvapoikkeamista ilmoittaminen.

Ifillä on menettelyjä, joilla varmistetaan ulkoistetun tietojenkäsittelyn tietoturva, kuten valintaprosessiin sisältyvät due diligence ‑toimenpiteet, sopimusvaatimukset sekä seuranta ja arviointi. Ennen kuin kolmannen osapuolen kanssa tehdään sopimus, Ifin hankinta- ja ulkoistamisprosesseilla varmistetaan, että riskit arvioidaan ja sopimuksen mukaiset tietoturvavaatimukset täyttyvät. Alihankkijoiden toimituksia seurataan toimitus- ja hallintofoorumeilla. If seuraa jatkuvasti omaa turvallisuustasoaan ja keskeisten alihankkijoiden turvallisuustasoa käyttämällä ulkopuolista palvelua, joka ilmoittaa tietoturvapoikkeamista ja kyberhäiriötilanteista.

Ifin sovellukset, tietojärjestelmät ja IT-infrastruktuuri on suunniteltu kestäviksi. Turvaominaisuudet suojaavat järjestelmiä kyberhyökkäyksiltä. Järjestelmien tapahtumia ja poikkeamia valvoo jatkuvasti ulkopuolinen tietoturvakeskus, joka tukee Ifiä tietoturvapoikkeamien havaitsemisessa ja niihin reagoimisessa.

Ennen kuin uusia ratkaisuja otetaan käyttöön taikka kriittisiin sovelluksiin tai järjestelmiin tehdään muutoksia, riippumaton yhtiön sisäinen asiantuntijatiimi suorittaa muutoksenhallintamenettelyjen yhteydessä turvatarkastuksia käyttämällä riskiperusteista lähestymistapaa. Lisäksi kolmannen osapuolen erikoistuneet testaajat tekevät turvatarkastuksia säännöllisesti.

Tietoturvaa ja kyberturvallisuutta koskevat auditointi- ja tarkastustoimet suoritetaan Ifissä tytäryhtiötasolla, jolla tietoturvaan ja kyberturvallisuuteen liittyvistä asioista huolehditaan. Ifin konsernitason sisäinen tarkastus suorittaa kuitenkin tietoturvan ja kyberturvallisuuden hallinnon tarkastuksia vuosittain. Kaikki auditointi- ja tarkastustoimet perustuvat riskiin ja kohdennetaan eri aloille sisäisen tarkastuksen toimintasuunnitelmien mukaan. Suunnitelmat hyväksyy Ifin kunkin tytäryhtiön hallitus. Kolmannen osapuolen tarkastajat tarkastavat vuosittain lakisääteisten tarkastusten yhteydessä yleiset IT-kontrollit, jotka sisältyvät Ifin taloudellisessa raportoinnissa tarvittaviin keskeisiin järjestelmiin. Kahden viime vuoden aikana suoritetut riippumattomat tarkastelut ja auditoinnit ovat vahvistaneet, että Ifin kyberturvallisuuden ja ‑resilienssin taso on alan keskiarvoa korkeampi.

Ifin on ilmoitettava kaikista vakavista tietoturvapoikkeamista Ruotsin finanssivalvontaviranomaiselle.

Topdanmark

Topdanmarkilla on tietoturva- ja kyberturvallisuusvalmiuden varmistamiseksi tietoturvapolitiikka ja tietoturvan johtamisjärjestelmä, jotka molemmat perustuvat ISO 27001 -standardiin. Tietoturvapolitiikka on osa Topdanmarkin riskienhallintajärjestelmää ja koskee sekä yhtiön työntekijöitä että yhteistyökumppaneita. Yhtiön hallitus hyväksyy tietoturvapolitiikan ja IT-valmiussuunnitelman vuosittain päivitetyn IT-riskiarvion perusteella. Merkittävät tai kriittiset operatiiviset IT-riskit, joihin sisältyy myös kyberriski, arvioidaan säännöllisesti, ja arvioinnin tulokset raportoidaan Topdanmarkin hallitukselle, johtoryhmälle, riskitoimikunnalle ja complianceyksikölle. Topdanmarkin päivittäisestä tietoturvasta ja kyberturvallisuudesta vastaa tietoturvajohtaja, joka raportoi tietohallintojohtajalle.

IT- ja kyberriskit aiheuttavat uhan Topdanmarkin liiketoiminnalle ja yhtiön käsittelemille arkaluonteisille tiedoille. Erilaisissa riskiskenaarioissa erityisesti kyberrikollisuuden uhka on Topdanmarkissa lisääntynyt. Topdanmarkin kyberturvallisuuslautakunta, jonka jäseniä ovat mm. teknologiajohtaja, tietohallintojohtaja, tietoturvajohtaja ja compliance-yksikön päällikkö, arvioi riskiä sekä tarvittavan turvallisuustason saavuttamisen edellyttämiä toimenpiteitä säännöllisesti. Riskiä hallitaan ja minimoidaan esimerkiksi tekemällä yhteistyötä ulkopuolisten asiantuntijoiden kanssa. Kyberriskeistä ja niiden minimoimiseksi suunnitelluista toimista raportoidaan Topdanmarkin hallitukselle vuosittain.

Topdanmark on valmistautunut tietoturva- ja kyberturvallisuusuhkiin monitasoisilla turvajärjestelmillä. Yhtiö on esimerkiksi sijoittanut uhkien varhaisen havaitsemisen ja poikkeamien hallinnan teknologioihin. Topdanmark tekee jatkuvasti haavoittuvuusarviointeja ja testaa uudet järjestelmät heikkouksien varalta ennen kuin ne otetaan käyttöön. Topdanmarkilla on IT- ja kyberrikollisuuden aiheuttamia liiketoiminnan keskeytyksiä varten kattava valmiussuunnitelma, jonka avulla liiketoiminta saadaan palautettua mahdollisimman nopeasti.

Ulkopuoliset asiantuntijat tarkastavat Topdanmarkin tietojärjestelmät vuotuisen tilintarkastuksen yhteydessä. Näin varmistetaan, että tietojärjestelmistä vuosikertomukseen haettavat tiedot pitävät paikkansa ja että Topdanmark täyttää Tanskan finanssivalvontaviranomaisen asettamat tietoturva- ja tietotekniikkavaatimukset.

Kaikille uusille työntekijöille annetaan perehdytys Topdanmarkin tietoturvapolitiikkaan. Topdanmarkin IT-kehittäjille järjestetään tarvittaessa lähiopetusta. Vuonna 2018 Topdanmarkissa toteutettiin erillinen tietoturvaa koskeva verkkokurssi. Kaikkien työntekijöiden ja konsulttien on suoritettava koulutus vuosittain. Topdanmarkin tietoturvapolitiikkaa rikkovalle työntekijälle voi aiheutua työsuhteeseen liittyviä seuraamuksia, vakavimpana irtisanominen.

Topdanmarkin on raportoitava merkittävistä tietoturvapoikkeamista tapauskohtaisesti Tanskan finanssivalvonnalle, jos poikkeamalla on kriittinen vaikutus yrityksen liiketoimintaan. 

Mandatum Life

Mandatum Lifen tietoturvan ja kyberturvallisuuden hallinta ja valmiudet perustuvat yhtiön hallituksen vuosittain hyväksymään tietoturvapolitiikkaan. Politiikka koskee kaikkia Mandatum Lifen työntekijöitä ja sidosryhmien edustajia, jotka käsittelevät yhtiön tietoja työtehtävissään. Politiikan vaatimukset sisältyvät myös alihankkijoiden, palveluntarjoajien ja muiden ulkoisten sidosryhmien kanssa tehtäviin sopimuksiin. Politiikka liittyy läheisesti muihin Mandatum Lifen sisäisiin politiikkoihin, kuten yksityiskohtaisempia ohjeita sisältävään tiedonhallintapolitiikkaan, joka korostaa tietojen luottamuksellisuuden ja asiakkaiden luottamuksen näkökohtia.

Yhtiöllä on politiikan lisäksi johdon hyväksymä tietoturvastrategia. Strategian ensisijaisena tavoitteena on varmistaa johdon tietoisuus tietoturvan tilasta, määritellä kehitystoimien painopisteet ja varmistaa niiden riittävä resursointi. Tietoturvajohtajan vetämä tietoturvayksikkö vastaa tietoturvan operatiivisesta hallinnasta ja valvoo yhtiön kyberturvallisuutta. Tietoturva- ja kyberriskejä seurataan aktiivisesti, ja niistä raportoidaan neljännesvuosittain yhtiön operatiivisten riskien komitealle. Tietoturvatiimissä työskentelee yksinomaan kyberturvallisuustoimien ja -kehityksen koordinointiin keskittyvä asiantuntija. Mandatum Life otti vuonna 2019 käyttöön uuden työkalun säännöllisiä haavoittuvuusanalyysejä varten, joilla havaitaan mahdolliset tietoturvapuutteet digitaalisten palvelujen suunnittelussa tai toteutuksessa.

Jokaisella Mandatum Lifen työntekijällä ja yhtiön nimissä toimivalla henkilöllä on velvollisuus noudattaa yhtiön tietoturvapolitiikkaa, -periaatteita ja -ohjeita ja varmistaa, että niihin liittyvää lainsäädäntöä noudatetaan. Työntekijöiden tietoturvatietoisuudesta ja -osaamisesta huolehditaan koulutuksella ja ohjeilla. Tietoturvan ja kyberturvallisuuden verkkokoulutus uudistettiin vuonna 2019 ja sen suoritusastetta seurataan säännöllisesti. Yhtiö myös parantaa työntekijöiden tietoisuutta esimerkiksi henkilötietojen kalastelusta ja identiteettivarkauksista informoimalla henkilöstöä säännöllisesti tietoturvaongelmista. Mandatum Life pyrkii varmistamaan sopimuksilla, ohjeilla ja tarvittaessa koulutuksella, että sen ulkopuolisilla kumppaneilla on riittävät tietoturvatiedot ja -osaaminen.

Yhtiö arvioi tietoturvan tasoa jatkuvasti ja testaa prosesseja ja järjestelmiä säännöllisesti. Mandatum Lifen tietoturvan taso arvioitiin vuonna 2019 vakuutus- ja henkilöstörahastopalveluiden ISAE 3000 Type I -auditoinnilla. Tulosten perusteella Mandatum Life aikoo hakea tietoturvan ISO 27001 -sertifikaattia.

Tietoturvan tai kyberturvallisuuden epäillyistä rikkomuksista, väärinkäytöksistä tai puutteista tietoturvan ja kyberturvallisuuden alueella ilmoitetaan joko tietoturvajohtajalle tai tietoturvatiimille. Työntekijät voivat tehdä ilmoituksia myös intranetin sisäisen ilmoituskanavan kautta. Ilmoitetut ongelmatilanteet käsitellään tietosuojan ja tietoturvan poikkeamien hallintaprosessin mukaisesti ja ohjataan tarvittaessa kriisinhallintatiimille.

Mandatum Lifen on raportoitava merkittävistä tietoturvaan liittyvistä tapauksista Finanssivalvonnalle sekä vuosittain että tarpeen mukaan.


Lisätietoa saatavilla yritysvastuuraportista (sivu 37).

Päivitetty 3.11.2020