TREVIAN ASSET MANAGEMENT OY:N TIETOTURVAPOLITIIKKA

Trevian Asset Management Oy on Suomen johtava kaupallisten kiinteistöjen sijoitus- ja varainhoitoyhtiö. Noudatamme toiminnassamme voimassa olevia lakeja ja viranomaismääräyksiä. Vastuullisuus on yksi arvoistamme ja luonnollinen osa arkeamme ja liiketoimintaamme. Tietoturvapolitiikka on olennainen osa vastuullisuusajatteluamme.

Käsittelemme toiminnassamme asiakkaidemme tärkeitä ja arkaluontoisia tietoja ja henkilöstömme on päivittäisessä työssään tekemisissä näiden tietojen kanssa. Asiakkaamme luottavat meihin tietojensa käsittelyssä ja haluamme olla tämän luottamuksen arvoisia, joten tietoturvasta huolehtiminen on yksi toimintamme peruspilareista.

​​​​​​​Tietoturvapolitiikkaamme on määritelty periaatteet ja menetelmät, joilla varmistamme sekä tietoturvan että tietosuojan riittävän tason, henkilötietojen lainmukaisen käsittelyn, riskienhallinnan, poikkeamien käsittelyn, vastuullisen toiminnan ja laadukkaiden palveluiden toteutumisen. Kehitämme tietoturvaamme ISO/IEC 27001 -standardin mukaisesti.

Tavoitteet

Tietoturvalla pyrimme varmistamaan tiedon ja tietojärjestelmiemme luottamuksellisuuden, eheyden, saatavuuden ja toimintamme laadukkuuden sekä toteuttamaan sisäänrakennetun ja oletusarvoisen tietosuojan kaikissa tilanteissa. Toimintamme noudattaa tietosuojalle ja tietoturvalle asetettuja lakeja, asetuksia ja muita säädöksiä.

Toteutamme ja kehitämme tietoturvaamme käyttäen riskien kannalta tarkoituksenmukaisia ja kustannustehokkaita ratkaisuja. Tietoturvatoimenpiteillä hallitaan myös uusien toimintatapojen ja teknologioiden käyttöönottoon liittyviä riskejä.

Tietoturvan organisointi ja vastuut

Tietoturvan toteutumisesta ja siihen tarvittavien edellytysten luomisesta vastaa ylimpänä Trevian Asset Management Oy:n toimitusjohtaja ja johtoryhmä. Johtoryhmä määrittelee tietoturvavastaavan, jonka vastuulla on tietoturvan hallintajärjestelmän kehitys ja ylläpito. Johtoryhmä määrittelee tietoturvasta vastaavan organisaation ja sen vastuut.

Tietoturvatyö sisältyy jokaiseen työtehtävään ja on jatkuva prosessi. Edellytämme, että jokainen työntekijämme ja yhteistyökumppanimme noudattaa toiminnassaan tätä politiikkaa, menettelyohjeita sekä sopimusvelvoitteita ja vastaa hallittavissaan olevan tiedon tietoturvasta omalta osaltaan. Jokainen työntekijämme on velvollinen informoimaan mahdollisesta väärinkäytöksestä tietoturvavastaavallemme tai esimiehelleen. Henkilöstömme on vaitiolovelvollinen työssään käsittelemistä tiedoista ja salassapitovelvollisuus on kirjattu työsopimuksiin.

Päävastuu tietyn tiedon tai palvelun tietoturvallisuudesta on sen omistajalla. Tietoteknisen järjestelmän tai -palvelun tuottaja vastaa kyseisen palvelun tietoturvallisuudesta, tietoturvavaatimuksien noudattamisesta sekä tietoturvallisuuden jatkuvasta seurannasta ja kehittämisestä.

Jokaisen tiedonkäsittelijän velvollisuus on viipymättä ilmoittaa havaitsemistaan tietoturvallisuuden puutteista ja epäilemistään väärinkäytöksistä tai tietoturvarikkomuksista voimassa olevien ohjeiden mukaisesti.

Tietoturvan toteutuskeinot

Tietoturvamme ylläpito ja kehittäminen on jatkuva prosessi, jossa käytämme apuna hallinnollisia, fyysisiä ja tietoteknisiä ratkaisuja. Arvioimme tietojenkäsittelyyn liittyvien riskien todennäköisyyttä ja vaikutusta toimintamme laadukkuuteen ja pyrimme hallitsemaan riskejä tähän tarkoitettujen kontrollien avulla. Käytössämme on tietoturvan hallintajärjestelmä ja sitoudumme jatkuvasti parantamaan sitä ja arvioimaan sen sopivuutta, riittävyyttä ja vaikuttavuutta.

Valvomme tietoturvamme toteutumista riskiperusteisesti huomioiden myös toimintaympäristöön kohdistuvat uudet uhkakuvat. Arvioimme teknistä tietoturvaamme jatkuvasti ja teemme tärkeimpiin ympäristöihin säännöllisiä tietoturvatarkastuksia.

Tietoturvavastaavallamme on toimitusjohtajan valtuutus ja näin vastuu tehdä tietoturvaan liittyviä kartoituksia ja aloittaa ongelmatilanteiden selvitys itsenäisesti. Tietoturvan seuranta sekä raportointi yleisellä tasolla on jokaisen työntekijämme velvollisuus. Prosessiemme ja toimintojemme omistajat ovat velvollisia seuraamaan ja kehittämään vastuualueitaan aktiivisesti. Koulutamme henkilöstöämme säännöllisesti ja pidämme yllä tietoturvatietoisuutta erilaisin toimenpitein.

Mahdollisten tietoturvapoikkeamien ja -loukkauksien käsittelyyn ja raportointiin on määritellyt toimintamallit. Tietoturvarikkomukseksi lasketaan tietoturvapolitiikan ja -ohjeistuksen vastainen toiminta. Olemme määritelleet menettelytavat rikkomustilanteille ja henkilöstöprosessimme huomioi sanktiot ja seuraamukset. Teemme tarvittaessa yhteistyötä eri viranomaistahojen kanssa ja olemme yhteydessä Viestintäviraston kyberturvallisuuskeskukseen.​​​​

Päivittäminen ja hyväksyminen

Arvioimme tietoturvapolitiikkaamme säännöllisin väliajoin. Mikäli asiaa koskevassa sääntelyssä tai organisaation toiminnassa tapahtuu muutoksia, päivitämme sisältöä tarpeen mukaan. Asian arviointi ja sisällön päivitys on nimetyn vastuuhenkilömme vastuulla.

​​​​​​​Trevian Asset Management Oy:n hallitus on hyväksynyt tietoturvapolitiikan 19.08.2021.