Käytössäsi on vanha selainversio

Huomioithan, että sivusto ei välttämättä toimi oikein vanhentuneella selaimella. Suosittelemme selaimen päivittämistä tai toisen selaimen käyttämistä.

Tällä sivustolla käytetään evästeitä parhaan käyttäjäkokemuksen tarjoamiseksi. Jatkamalla sivuston selailua hyväksyt evästeiden käytön. Halutessasi voit muuttaa selaimesi asetuksia. Lisätietoja tietosuojailmoituksessamme.

Hyväksyn

Tietoturva ja kyberturvallisuus

Olennaisuus

Konserniyhtiöille on ensiarvoisen tärkeää, että niiden tietoturva ja kyberturvallisuus on riittävällä tasolla liiketoiminnan luonteeseen ja laajuuteen sekä teknologian kehitykseen nähden ja vastaa finanssialan yhtiöiltä yleisesti odotettua tasoa.

Sampo-konsernin yhtiöt ovat alttiita tietoturva- ja kyberturvallisuusriskeille, koska yhtiöt käsittelevät paljon arkaluonteisia tietoja ja niiden toimintamaissa on tiukat tietosuojamääräykset. Näiden riskien hallinta on tärkeää asiakkaiden ja muiden sidosryhmien tietojen suojaamisen sekä konserniyhtiöiden toiminnan varmistamisen ja jatkuvuuden kannalta.

Konsernin hallintotapa

Tietoturvan ja kyberturvallisuuden konsernitason ohjeasiakirjat ovat Sampo-konsernin toimintaperiaatteet ja tietoturvaperiaatteet. Molemmat dokumentit ovat Sampo Oyj:n hallituksen hyväksymiä, ja ne tarkistetaan vuosittain sekä päivitetään tarvittaessa. Lisäksi eri konserniyhtiöillä on täydentäviä, omaan liiketoimintaansa liittyviä politiikkoja ja ohjeita.

Sampo-konsernin yhtiöt ovat sitoutuneet tekemään säännöllisiä riskianalyysejä, suorittamaan jatkuvuussuunnittelua ja ylläpitämään tehokkaita sisäisiä prosesseja, laadukkaita järjestelmiä ja infrastruktuuria, joiden avulla varmistetaan tietoturva- ja kyberturvallisuusvalmius. Sampo-konserni edellyttää tietoturvaan ja kyberturvallisuuteen liittyvien vaatimusten noudattamista sekä konsernin sisäisiltä että ulkoisilta sidosryhmiltä.

Kaikkien Sampo-konsernin työntekijöiden on noudatettava tiukimpia mahdollisia vaatimuksia tietoturva- ja kyberturvallisuuden osalta toimimalla sisäisten sääntöjen ja ohjeiden mukaisesti, käyttämällä asianmukaisia ​​työkaluja ja käyttäytymällä vastuullisesti. Sampo-konsernin yhtiöt huolehtivat siitä, että kaikille vakituisille ja määräaikaisille työntekijöille tarjotaan sopivaa koulutusta.

Viranomaisille ilmoitetut tietoturva- ja kyberturvallisuuspoikkeamat, Sampo-konserni 2021 2020 2019
If 1 1 0
Topdanmark 0 0 0
Hastings 0 - -
Mandatum 0 0 0
Sampo Oyj 0 0 0
Sampo-konserni 1 1 0

 

If

Hallinnointi

Ifillä on kattava tietoturvan ja kyberturvallisuuden hallintomalli, johon kuuluu toimintaperiaatteet, standardit, roolit ja vastuut, valvontamenettelyt sekä raportointirakenteet. Yhtiön tietoturvapolitiikka ja -normit perustuvat ISO 27001 -standardiin. Niissä määritetään tietoturvan ja kyberturvallisuuden vähimmäisvaatimukset, joita kaikkien If-konsernin yhtiöiden ja niiden merkittävien alihankkijoiden ja yhteistyökumppaneiden edellytetään noudattavan. Riskejä ja vaatimusten noudattamista arvioidaan säännöllisesti. Rikkomukset voivat johtaa kurinpitotoimiin.

Ifin tietoturvajohtajalla on kokonaisvastuu Ifin tietoturvasta ja kyberturvallisuudesta. Hän myös tukee hallitusta tietoturvan tilaan ja toteutukseen liittyvissä asioissa. Tietoturvajohtaja toimii toisessa linjassa ja raportoi suoraan riskienhallintajohtajalle yhdessä tietosuojayksikön kanssa. Tämä vahvistaa liiketoimintatietoihin liittyvien riskien ja vaatimustenmukaisuuden hallintaa. Ensimmäisen puolustuslinjan muodostavat tietohallintojohtajalle raportoiva IT-turvallisuuspäällikkö, joka on erikoistunut tieto- ja viestintäteknologian turvallisuuteen ja johtaa IT-turvallisuusasiantuntijoiden ja sovellustestaajien tiimiä, sekä IT-riskienhallinnan ja -turvallisuusvaatimusten asiantuntija.

Tietoturva- ja kyberturvallisuusriskeistä raportoidaan yhtiön operatiivisten riskien komitealle liiketoiminta- ja IT-organisaatioiden säännöllisen riskiraportoinnin osana. Täysimääräinen raportti laaditaan puolivuosittain, ja mahdollisista uusista merkittävistä riskeistä tai niiden muutoksista raportoidaan neljännesvuosittain. Lisäksi näistä riskeistä raportoidaan yhtiön riskienhallintatoiminnon koordinoiman raportoinnin puitteissa Ifin hallitukselle, toimitusjohtajalle sekä tietoturvasta ja kyberturvallisuudesta vastaavalle hallituksen riski- ja vakavaraisuuskomitealle (ORSA-komitea). Ifin riskiprofiilista ja pääomatilanteesta annetaan neljännesvuosittain yleiskatsaus ORSA-komitealle ja hallitukselle. Hallitukselle laaditaan kerran vuodessa tarkempi ORSA-raportti, joka sisältää kolmen vuoden riski- ja vakavaraisuusarvion. Tietoturvan valvontaa ja riskeihin liittyviä toimia koskevat tunnusluvut raportoidaan kuukausittain tietohallintojohtajalle ja keskeisille sidosryhmille, kuten IT-palvelupäällikölle, riskienhallintajohtajalle, jatkuvuuspäällikölle, riskienhallinnan ja raportoinnin henkilöstölle sekä IT-palvelujen tuotantohenkilöstölle.

Uusien ratkaisujen käyttöönottoon ja kriittisten sovellusten tai järjestelmien muutoksiin liittyvään muutoksenhallintaan sisältyy riippumattoman sisäisen asiantuntijaryhmän suorittama, riskiperusteista lähestymistapaa noudattava tietoturvatestaus. Erikoistuneet kolmannen osapuolen tietoturvatestaajat suorittavat myös säännöllisesti sovellusten ja IT-infrastruktuurin tietoturvatestejä.

Henkilöstön koulutus

If järjestää kaikille uusille työntekijöille ja alihankkijoille tietoturva- ja kyberturvallisuuskoulutusta, jota täydennetään vuosittain verkkokoulutuksella, lähiopetuksella, intranet-artikkeleilla ja säännöllisillä tietojenkalastelusimulaatioilla. Koulutuksen aiheita ovat esimerkiksi tietoturvavaatimukset, -roolit ja -vastuut, ajankohtaiset tietoturvariskit ja tietoturvapoikkeamista ilmoittaminen.

Ulkoistettu tietojenkäsittely

Ifillä on käytössä menettelyjä tietoturvan varmistamiseksi ulkoistetussa tietojenkäsittelyssä. Se esimerkiksi noudattaa asianmukaista huolellisuutta yhteistyökumppanien valinnassa, sisällyttää tietoturvan alihankintasopimuksiinsa sekä seuraa alihankkijoidensa tietoturvaa ja tekee tarkastuksia. Ifin hankinta- ja ulkoistamisprosessit varmistavat, että riskit arvioidaan ja sopimusten tietoturvavaatimukset täyttyvät, ennen kuin sopimus ulkoisen toimittajan kanssa allekirjoitetaan. Sopimuspykälät sisältävät vaatimuksia, joilla varmistetaan, että tietoturva- ja kyberturvallisuustoimet ovat riittäviä ja että sopimusehtoja sovelletaan myös alihankkijoihin. Toimittajien suoriutumista seurataan yhtiön toimitus- ja hallintofoorumeilla. If seuraa jatkuvasti yhtiön omaa ja sen keskeisten alihankkijoiden tietoturva-asemaa kolmannen osapuolen palvelulla, joka varoittaa tietoturvaloukkauksista ja -poikkeamista.

If arvioi kolmannen osapuolen tietojenkäsittelijöitä alun perin sopimusneuvottelujen yhteydessä. Arvioinnissa käytetään riskiarviointia, johon sisältyy vastapuolen arviointi. Riskiarviointi käydään läpi vuosittain ja siitä raportoidaan Ifin ulkoistamiskomitealle (Outsourcing Committee) ja hallitukselle tulosten ja riskien seurannan mahdollistamiseksi. Vuotuiseen riskinarviointiin sisältyy tietojen käsittelijän yleisen sopimusperusteisen suorituskyvyn tarkastelu sekä kysymyksiä mahdollisten poikkeamien esiintymisestä ja niiden mahdollisista seurauksista.

Lisäksi Ifillä on kolmannen osapuolen tietojen käsittelyä, jota hoitavat yhtiön kumppanit. Näissä tapauksissa tietojenkäsittelyä arvioidaan säännöllisesti osana sopimusten mukaista suorituskyvyn ja toiminnan seurantaa.

Auditointi

Ifin tietoturva- ja kyberturvallisuustarkastukset tehdään ja niistä raportoidaan tytäryhtiötasolla. Ifin konsernitason sisäinen tarkastus kuitenkin auditoi tietoturvan ja kyberturvallisuuden hallinnointia vuosittain. Auditoinnit ovat riskiperusteisia ja kohdennetaan sisäisen tarkastuksen toimintasuunnitelmien mukaisesti, jotka kunkin Ifin tytäryhtiön hallitus on hyväksynyt. Riippumattomat tilintarkastajat tarkastavat kaikkien Ifin taloudelliseen raportointiin liittyvien keskeisten järjestelmien yleisen suojauksen lakisääteisten tilintarkastusten yhteydessä.

Kahden viime vuoden aikana tehdyt riippumattomat katsaukset ja auditoinnit ovat vahvistaneet, että Ifin kyberturvallisuuden ja järjestelmien kestävyyden maturiteetti on alan keskiarvoa parempi.

Raportointi

Ifin ICT-sovellukset, -järjestelmät ja -infrastruktuuri on suunniteltu kestäviksi ja suojattu kyberhyökkäyksiltä. Ulkoinen turvallisuuskeskus tarkkailee järjestelmän tapahtumia ja poikkeamia vuorokauden ympäri ja tukee Ifiä havaitsemalla tietoturvapoikkeamat ja reagoimalla niihin. Automaattisesti ja manuaalisesti raportoidut tietoturvapoikkeamat tallennetaan seurantajärjestelmään ja poikkeamia tutkiva tiimi aloittaa niiden selvityksen. Poikkeamia käsitellään kuukausittaisissa seurantakokouksissa ja niistä raportoidaan kuukausittain ja neljännesvuosittain johdolle ja hallituksen jäsenille.

Topdanmark

Hallinnointi

Topdanmarkilla on tietoturva- ja kyberturvallisuusvalmiuden varmistamiseksi tietoturvapolitiikka ja tietoturvan johtamisjärjestelmä, jotka molemmat perustuvat ISO 27001 -standardiin. Tietoturvapolitiikka on osa Topdanmarkin riskienhallintajärjestelmää ja koskee sekä yhtiön työntekijöitä että yhteistyökumppaneita.

Yhtiön hallitus hyväksyy tietoturvapolitiikan ja IT-valmiussuunnitelman vuosittain päivitetyn IT-riskiarvion perusteella. Merkittävät tai kriittiset operatiiviset IT-riskit, joihin sisältyy myös kyberriski, arvioidaan säännöllisesti, ja arvioinnin tulokset raportoidaan Topdanmarkin hallitukselle, johtoryhmälle, riskitoimikunnalle ja compliance-yksikölle. Topdanmarkin päivittäisestä tietoturvasta ja kyberturvallisuudesta vastaa tietoturvajohtaja, joka raportoi teknologia-, arkkitehtuuri- ja turvallisuusjohtajalle (Vice President of Technology, Architecture and Security). Tämä puolestaan raportoi yhtiön johtoryhmään kuuluvalle teknologiajohtajalle.

Topdanmark on valmistautunut tietoturva- ja kyberturvallisuusuhkiin monitasoisilla turvajärjestelmillä. Yhtiö on esimerkiksi panostanut uhkien varhaisen havaitsemisen ja poikkeamien hallinnan teknologioihin. Topdanmark tekee jatkuvasti haavoittuvuusarviointeja ja testaa uudet järjestelmät heikkouksien varalta ennen kuin ne otetaan käyttöön. Topdanmarkilla on IT- ja kyberrikollisuuden aiheuttamia liiketoiminnan keskeytyksiä varten kattava valmiussuunnitelma, jonka avulla liiketoiminta saadaan palautettua mahdollisimman nopeasti.

Topdanmarkin kyberturvallisuuslautakunta, jonka jäseniä ovat muun muassa teknologia-, arkkitehtuuri- ja turvallisuusjohtaja, operatiivinen IT-johtaja, tietosuojavastaava ja tietoturvajohtaja, arvioi kyberrikollisuudesta nousevaa riskiä sekä tarvittavan turvallisuustason saavuttamisen edellyttämiä toimenpiteitä säännöllisesti. Riskiä hallitaan ja minimoidaan esimerkiksi tekemällä yhteistyötä ulkopuolisten asiantuntijoiden kanssa. Kyberriskeistä ja niiden minimoimiseksi suunnitelluista toimista raportoidaan Topdanmarkin hallitukselle vuosittain.

Lisäksi Topdanmark vaatii ulkopuolisilta tietojen käsittelijöiltä riittäviä tietoturvatoimenpiteitä. Sama vaatimus koskee myös alihankkijoita.

Henkilöstön koulutus

Kaikille uusille työntekijöille annetaan perehdytys Topdanmarkin tietoturvapolitiikkaan. Topdanmarkilla on lisäksi erillinen tietoturvaa koskeva verkkokurssi. Kaikkien työntekijöiden ja konsulttien on suoritettava kurssi vuosittain. Topdanmarkin tietoturvapolitiikkaa rikkovalle työntekijälle voi aiheutua työsuhteeseen liittyviä seuraamuksia, vakavimpana irtisanominen.

Auditointi

Ulkopuoliset asiantuntijat tarkastavat Topdanmarkin tietojärjestelmät vuotuisen tilintarkastuksen yhteydessä. Näin varmistetaan, että tietojärjestelmistä vuosikertomukseen haettavat tiedot pitävät paikkansa ja että Topdanmark täyttää Tanskan finanssivalvontaviranomaisen asettamat tietoturva- ja tietotekniikkavaatimukset.

Hastings

Hallinnointi

Hastingsilla on ISO 27001-standardiin pohjautuva tietoturvaviitekehys, jota kehitetään jatkuvasti. Viitekehystä tukevat asianmukaiset politiikat ja prosessit. Viitekehyksellä pyritään puuttumaan prosessien ja ihmisten haavoittuvuuksiin, vähentämään Hastingsin teknologia- ja datavarantojen monimutkaisuutta sekä sisällyttämään tietoturva rakenteelliseksi osaksi liiketoiminnan päätöksentekoa.

Hastingsilla on käytössä myös operatiivisia menetelmiä tietomurtojen ja kyberhyökkäysten seuraamiseksi ja niihin reagoimiseksi. Menetelmät validoidaan ja testataan säännöllisesti ja riippumattomasti käyttäen haavoittuvuusarviointeja ja penetraatiotestausta. Tähän kuuluvat tietojenkalastelukampanjat ja -harjoitukset, joilla tutkitaan organisaation sietokykyä sekä tapausten hallintamenettelyjen toimivuutta.

Hastingsilla on erilliset tietoturva-, kyberturvallisuus-, tietosuoja- ja compliance-tiimit, joiden tarkoituksena on suojata ja tukea yhtiön liiketoimintaa, hallinnoida politiikkoja ja valvontakeinoja, arvioida riskejä ja estää luvaton tai sopimaton pääsy tietoihin. Hastings on aktiivisesti mukana koko toimialan kyberuhkien ja tietoturvauhkien tutkimuksessa ja toimii jäsenenä alan viranomaisten tukemissa kybervasteen koordinointiryhmissä.

Henkilöstön koulutus

Hastings tarjoaa kaikille työntekijöille pakollisen koulutuksen ja tarvittaessa täydentävää kybertietoisuuskoulutusta. Yhtiö on säännöllisesti yhteydessä työntekijöihinsä, jotta he tuntevat uhat ja tietävät miten toimia ongelmatilanteissa.

Ulkoistettu tietojenkäsittely

Hastings arvioi kolmannen osapuolen tietojenkäsittelijät vähintään kerran vuodessa ja suuren volyymin ja/tai korkean riskin tietojenkäsittelijät useammin. Hastings käyttää seurantaan ja arviointiin ulkoista due diligence -palvelua. Lisäksi Hastingsilla on vakiintunut alihankkijoidenhallintaprotokolla, johon kuuluu säännöllisiä suorituskyvyn ja vaatimustenmukaisuuden arviointeja, mukaan lukien tarkastuskäynnit alihankkijoiden toimitiloihin tarpeen mukaan.

Raportointi

Hastingsilla on operatiivisia toimenpiteitä, joiden avulla seurataan ja reagoidaan tietoturva- ja kyberturvallisuuspoikkeamiin. Poikkeamista ja huolenaiheista raportoidaan keskitetylle tietoturvatiimille tutkintaa, dokumentointia ja tukea varten. Tietoturvajohtaja ja tarpeen mukaan muu johto liittyy mukaan eskalointiprosessiin osana yhtiönlaajuista tietosuojaloukkausten hallinnointiprosessia.

Mandatum

Hallinnointi

Mandatum kehittää tietoturvaa ja kyberturvallisuutta systemaattisesti ja johdon hyväksymän tietoturvastrategian mukaisesti, jatkuvasti muuttuva uhkaympäristö huomioiden. Strategian ensisijaisena tavoitteena on varmistaa johdon tietoisuus tietoturvan tilasta, määritellä kehitystoimien painopisteet ja varmistaa niiden riittävä resursointi.

Mandatumin päivittäinen tietoturva- ja kyberturvallisuusjohtaminen perustuu Mandatum Lifen ja Mandatum Asset Managementin hallituksien vuosittain hyväksymään tietoturvapolitiikkaan. Politiikka koskee kaikkia Mandatumin työntekijöitä ja sidosryhmien edustajia, jotka käsittelevät yhtiön tietoja työtehtävissään. Politiikan vaatimukset sisältyvät myös alihankkijoiden, palveluntarjoajien ja muiden ulkoisten sidosryhmien kanssa tehtäviin sopimuksiin. Politiikka liittyy läheisesti muihin Mandatumin sisäisiin politiikkoihin, kuten yksityiskohtaisempia ohjeita sisältävään tiedonhallintapolitiikkaan ja tietosuojapolitiikkaan, jotka korostavat tietojen luottamuksellisuuden ja asiakkaiden luottamuksen näkökohtia. Täydentäviä ohjeita ovat esimerkiksi internetin, tietoverkon ja sähköpostin käyttöperiaatteet, käyttövaltuusperiaatteet, lokikirjaamisen periaatteet, pilvipalveluiden käytön periaatteet, salausta koskevat periaatteet ja Mandatumin tietoturvallisuuden hallintajärjestelmä muiden ohjeiden ja käytäntöjen lisäksi.

Tietoturvapäällikön vetämä tietoturvatiimi vastaa tietoturvan operatiivisesta hallinnasta Mandatumissa ja valvoo kyberturvallisuutta. Tietoturvan ja kyberturvallisuuden tasoa arvioidaan jatkuvasti, ja prosesseja ja järjestelmiä koskevia testejä tehdään säännöllisesti. Tietoturva- ja kyberriskejä seurataan aktiivisesti, ja niistä raportoidaan neljännesvuosittain yhtiön tietoturva- ja kyberriskien komitealle.

Henkilöstön koulutus

Jokaisella Mandatumin työntekijällä ja yhtiön nimissä toimivalla henkilöllä on velvollisuus noudattaa yhtiön tietoturvapolitiikkaa, -periaatteita ja -ohjeita ja varmistaa, että niihin liittyvää lainsäädäntöä noudatetaan. Työntekijöiden tietoturvatietoisuus ja -osaaminen varmistetaan koulutuksella ja ohjeilla. Verkkokoulutuksen suoritusastetta seurataan säännöllisesti. Verkkokoulutuksen lisäksi tietyille tiimeille ja yksiköille tarjotaan tarvittaessa räätälöityä koulutusta. Ulkoisten kumppaneiden riittävät tietoturvatiedot ja -osaaminen pyritään varmistamaan sopimuksilla, ohjeilla ja tarvittaessa koulutuksella.

Ulkoistettu tietojenkäsittely

Mandatum valvoo ja tarkastaa kolmannen osapuolen tietojenkäsittelijöitä tekemällä riskiperusteisia seurantatarkastuksia vähintään vuosittain. Yhtiö käyttää valvonnassa muun muassa erilaisia työkaluja ja palveluja, jotka tarjoavat riskiluokituksia (esim. riskiluokitusalustat). Lisäksi kolmannen osapuolen tietojenkäsittelijöiden palvelun tasoa seurataan säännöllisesti, tyypillisesti kuukausittain tai neljännesvuosittain.

Raportointi

Tietoturvan tai kyberturvallisuuden epäillyistä rikkomuksista, väärinkäytöksistä tai puutteista tietoturvassa ja kyberturvallisuudessa ilmoitetaan joko tietoturvapäällikölle tai tietoturvatiimille. Työntekijät voivat tehdä ilmoituksia myös intranetin sisäisen ilmoituskanavan kautta. Ilmoitetut ongelmatilanteet käsitellään tietosuojan ja tietoturvan poikkeamien hallintaprosessin mukaisesti ja ohjataan tarvittaessa kriisinhallintatiimille.

Sampo Oyj

Sampo Oyj:n tietoturva- ja kyberturvallisuusjärjestelmä on integroitu Ifin IT-infrastruktuuriin. Lisäksi Sampo Oyj:llä on vahva sisäinen valvonta ja lisäresursseja yhtiön omiin tarpeisiin. Tietoturva ja kyberturvallisuus kuuluvat Sampo Oyj:n uusien työntekijöiden perehdytykseen. Kaikille työntekijöille järjestetään sisäisiä koulutustilaisuuksia tarpeen mukaan.

Lisätietoa on saatavilla Sampo-konsernin vastuullisuusportissa.

Päivitetty 25.4.2022