Digiturvamalli tarjoaa kasvavan vaatimuskehikkokirjaston, jonka kaikki sisällöt on linkitetty ristiin tehtäväsisällömme kanssa. Kehikot tarjoavat sinulle jäsennellyn lähestymistavan; pohjaat työsi parhaisiin käytäntöihin ja tiedät aina nykyisen tasonne. Valitse kehikot, jotka parhaiten vastaavat organisaationne tarpeisiin.
Vaatimukset täyttyvät jalkauttamalla digiturvatehtäviä.
Mitä kukin tekee digiturvan eteen?
Osa tehtävistä vaatii asioiden ohjeistamista henkilöstölle.
Mitä pitää muistaa arjessa?
Osa tehtävistä vaatii listausten pitoa tietoturvan ydinelementeistä.
Mistä pitää voida raportoida?
Täysi, sertifionnin mahdollistava tietoturvan hallintajärjestelmä. Koko kattaus hallintakeinoja sekä johdon, auditoinnin sekä riskienhallinnan näkökulmat.
ISO 27001:2022 on jaoteltu 3 eri tasoon Digiturvamallissa, jotta voitte joko aloittaa pienesti tai päättää suoraan tavoitella sertifiointitasoa.
Täysi, sertifionnin mahdollistava tietoturvan hallintajärjestelmä. Koko kattaus hallintakeinoja sekä johdon, auditoinnin sekä riskienhallinnan näkökulmat.
ISO 27001:2013 on jaoteltu 3 eri tasoon Digiturvamallissa, jotta voitte joko aloittaa pienesti tai päättää suoraan tavoitella sertifiointitasoa.
NIST-tietoturvakehikko on yhteistyöhanke, jota koordinoi National Institute of Standards and Technology (NIST, osa Yhdysvaltain kauppaministeriötä) ja johon on osallistunut teollisuuden, yliopistoyhteisön ja hallituksen osallistujia.
Kehikko on suunniteltu auttamaan kriittisen infran omistajia ja operoijia tunnistamaan, arvioimaan ja hallitsemaan tietoturvariskejä.
Tietosuoja-asetus määrää vaatimukset lailliselle henkilötietojen käsittelylle ja riittävän tietosuojatason osoittamiselle.
Tiedonhallintalain tarkoituksena on edistää julkisen hallinnon tiedonhallintaa, tietoturvallisuutta sekä digitalisointia.
Tiedonhallintalautakunnan muodostama tietoturvallisuuden arviointikriteeristö, joka on kohdistettu suomalaiselle julkishallinnolle.
Julkri listaa 200 eri tasoista tietoturvakäytäntöä, joiden avulla voidaan käytännössä täyttää mm. tiedonhallintalaissa sekä tietosuoja-asetuksessa säädettyjä käsitellyn tiedon turvallisuuteen kohdistuvia vaatimuksia.
Julkri on jaoteltu 4 eri tasoon Digiturvamallissa, jotta voitte joko aloittaa pienesti tai ottaa mukaan TL IV - I -tasojen täsmäkriteerejä.
ISO 27017 on tietoturvastandardi, joka on kehitetty erityisesti pilvipalveluntarjoajille ja käyttäjille turvallisemman pilvipohjaisen ympäristön luomiseksi ja tietoturvahäiriöiden riskin vähentämiseksi.
ISO 27017 antaa pilvikohtaisia lisäyksiä ISO 27001:een, joten näitä kahta viitekehystä tulee käyttää yhdessä.
ISO 27018 on tietoturvastandardi, joka on kehitetty erityisesti pilvipalveluntarjoajille, jotta voidaan varmistaa riskien arvioiminen ja valvonnan toteuttaminen henkilötietojen suojaamiseksi.
ISO 27018 antaa pilvikohtaisia lisäyksiä ISO 27001:een, joten näitä kahta viitekehystä tulee käyttää yhdessä.
Katakria käytetään arvioitaessa kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa. Sitä voidaan käyttää ohjaamaan turvallisuustyötä organisaaiossa, joka haluaa olla valmis viranomaisen toteuttamaan auditointiin.
Digiturvan kokonaiskuvapalvelu on DVV:n kehittämä ja ylläpitämä palvelu, joka kerää tietoa julkisen hallinnon organisaatioiden digitaalisen turvallisuuden tilanteesta.
Tämän vaatimuskehikon vaatimukset vastaavat palvelussa organisaatiolle esitettäviä, hallinnollisen digitaalisen turvallisuuden tilaa koskevia, väittämiä.
NIS 2 määrittää perustason digiturvallisuusriskien hallintatoimenpiteille ja raportointivelvollisuuksille kaikilla direktiivin kattamilla tärkeillä aloilla, kuten energia-, liikenne-, terveys-, elintarvike-, jäte-, julkishallinnossa ja digitaalisessa infrastruktuurissa – sekä niiden toimitusketjuissa.
NIS 2 tiukentaa sääntöjä ja laajentaa sen soveltamisalaa verrattuna alkuperäiseen NIS-direktiiviin vuodelta 2016. Se myös lisää ylimmän johdon vastuuvelvollisuutta ja tiukentaa seuraamuksia puutteista.
SOC 2 -vaatimuskehikko määrittelee, kuinka organisaatioiden tulee suojata asiakastietoja esimerkiksi luvattomalta käytöltä, tietoturvaloukkauksilta tai muilta haavoittuvuuksilta. Sen on kehittänyt American Institute of Certified Public Accountants (AICPA).
SOC 2 sisältää 5 erilaista vaatimusryhmää: turvallisuus, saatavuus, käsittelyn eheys, luottamuksellisuus ja yksityisyys. SOC 2 -tarkastus voidaan suorittaa liittyen yhteen tai kaikkiin näistä kriteereistä. Jokaisella kriteereillä on erityisiä vaatimuksia, jotka yrityksen on täytettävä ottamalla käyttöön kontrolleja.
Cyber Essentials on UK:n hallinnon tukema tietoturvakehikko. Sen lähestyminen on suoraviivainen ja haltuun otetaan tietoturvan olennaisimmat osat, joiden kautta vähennetään yleisimpien tietoturvahyökkäysten todennäköisyyttä.
Tietoturvasuunnitelma on dokumentti, jolla sosiaali- ja terveyspalveluiden tuottajat kuvaavat tietoturvan- ja tietosuojan omavalvontaa. Tietoturvasuunnitelman täytyy kuvata kuinka palveluntuottaja täyttää asiakastietolain 27 §:n vaatimukset, joita asiakas- ja potilastietojen käsittelyyn ja niitä käsitteleviin tietojärjestelmiin liittyy. Vaatimuksia ovat mm.
Cybersecurity Capability Maturity Model (C2M2) auttaa organisaatioita arvioimaan tietoturvatasoaan ja optimoimaan tietoturvainvestointejaan.
Se hyödyntää toimialalla yleisesti hyväksyttyjä tietoturvakäytäntöjä, jotka keskittyvät IT- ja OT-näkökulmiin, suojattavan omaisuuden hallintaan sekä tietojenkäsittely-ympäristön hallintaan.
The Digital Operational Resilience Act (DORA) on EU:n laki digitaalisen toiminnan resilienssistä. DORA:n avulla pyritään saavuttamaan yhtenäinen korkea digiresilienssi EU:n alueella. Se antaa yhtenäiset vaatimukset koskien tietoverkkoja ja -järjestelmiä, jotka tukevat rahoitusalan liiketoimintaprosesseja.
DORA asettaa vaatimuksia mm. suojauksesta, havaitsemisesta, eristämisestä, palautusta ja korjaamista tietoturvatapahtumiin liittyvissä tilanteissa. Lisäksi vaatimuksiin kuuluu laajaa riskien- ja häriöidenhallintaa, kyberuhkien ja haavoittuvuuksien jakaminen, vaatimukset resilienssin testaamisesta ja häiriöiden ilmoittamisesta viranomaisille.
HIPAA is a series of regulatory standards outlining the lawful use and disclosure of protected health information (PHI). HIPAA compliance is regulated in the USA by the Department of Health and Human Services (HHS) and enforced by the Office for Civil Rights (OCR).
CIS18 hallintakeinot kattavat kyberturvallisuuden eri osa-alueet, mukaan lukien haavoittuvuuksien hallinnan, suojatun konfiguroinnin, kulunvalvonnan, häiriöihin reagoimisen ja paljon muuta. Ne on suunniteltu korjaamaan yleisiä haavoittuvuuksia ja tarjoamaan organisaatioille jäsennelty lähestymistapa turvallisuuden vahvistamiseen.
Maksukorttiteollisuuden tietoturvastandardi (PCI DSS) kehitettiin kannustamaan ja parantamaan maksukorttitietojen tietoturvaa ja helpottamaan yhdenmukaisten tietoturvatoimenpiteiden laajaa käyttöönottoa maailmanlaajuisesti.
PCI DSS tarjoaa perustason teknisiä ja toiminnallisia vaatimuksia, jotka on suunniteltu suojaamaan tilitietoja. Vaikka PCI DSS on erityisesti suunniteltu keskittymään ympäristöihin, joissa on maksukorttitietoja, sitä voidaan käyttää toiminnan ohjenuorana myös muissa tietojekäsittely-ympäristön kohteissa.
IEC 62443 keskittyy teollisuuden automaatio- ja ohjausjärjestelmien (IACS) turvallisuuteen. Vaatimukset on suunniteltu tarjoamaan puitteet IACS:n luomiselle, toteuttamiselle, toiminnalle, seurannalle, tarkistamiselle ja turvallisuuden parantamiselle.
Vaatimukset ovat relevantteja useille teollisuuden toimialoille, kuten valmistava teollisuus, energia ja muu kriittinen infrastruktuuri.