Kun aloitat uuden raportin luomisen, voit nyt käyttää uutta tyyppiä: Digiturvalausumaa.

Lausumat on suunniteltu yhteenvedoksi tehtävistänne halutulla yksityiskohtatasolla ja kohdistuksella. Kun luot lausuman, voit valita, mitkä teemat, politiikat tai yksittäiset tehtävät haluat sisällyttää raporttiin.

Lausumat on suunniteltu, jotta voit helposti luoda hyvännäköisen "viennin" halutusta tehtäväsisällöstä. Niitä voidaan käyttää ulkoiseen viestintään (esim. laajan tietoturvalausunnon luomiseen asiakkaille) tai sisäiseen viestintään (esim. yksityiskohtaisen aihekohtaisen lausuman luomiseen sisäiseen viestintään tai rajatulle kohderyhmälle).

Monet Digiturvamalli-asiantuntijat työskentelevät useiden organisaatiotilien parissa auttaakseen heitä edistymään digiturvatyössä.

Loimme uuden yhteenvetosivun, josta jokainen käyttäjä näkee nyt kaikki tilit, joissa hän on mukana. Sivulla erotellaan kokeilutilit, aktiiviset tilit ja suljetut tilit selkeästi. Luokittelemme tilit aktiivisuuden ja huomiota vaativien kohteiden, eli myöhästyneiden tai odottavien tarkistusten, perusteella.

Tämä sivu on erityisen tärkeä kumppaneillemme ja otamme erittäin mielellään vastaan palautetta ja lisätoiveita. 👍

Kun tarkastelet tehtävälistaa / politiikkanäkymää, näet nyt selvästi tehtävän omistajan oikeassa sarakkeessa, ilman siirtymistä tehtävän yksilönäkymään.

Nyt upotettavia raportteja (esim. asiakirjajulkisuuskuvaus tai tietosuojaselosteet) on mahdollista julkaista erikseen useilla kielillä. Voit valita haluamasi kielen raporttia luodessasi.

Kun olet luonut raportin, näet vasemmassa valikossa käännösosion, jossa voit kääntää raportin termit, joita ei käännetä automaattisesti.

Kaikissa dokumentaatiolistauksissa voit nyt käyttää kolmea tärkeätä päiväämääräkenttää ja haluamaasi vuotta kohteiden suodattamiseen.

Päivämääräkentät ovat:

• Kohteen alkuperäinen luontipäivä
• Edellisen muutoksen päivä
• Edellisen tilan muutoksen päivä

Tämän avulla voit mm. suodattaa esille "vuonna 2022 tapahtuneet häiriöt" tai "vuoden 2023 aikana edistetyt parannukset".

Nyt voit siirtyä katselemaan aiempaa versiota raportista klikkaamalla haluamaasi versiota versiolokista. Tulemme jatkossa tuomaan Digiturvamalliin mukaan kuukasiraportteja, joissa tämä on erityisen tärkeä ominaisuus.

Samalla raporttien sivupalkkiin tehtiin muitakin selkeytyksiä.

Poikkeamat ovat tärkeitä kohteita tietoturvan hallintajärjestelmässä, ja niitä hallitaan erityisesti sisäisten auditointien yhteydessä. Poikkeamat voivat olla merkittäviä, vähäisiä tai enemmänkin "parannuspotentiaalia".

Kaikki relevantit paikat Digiturvamallissa näyttävät nyt tämän poikkeamatyypin selkeästi, jottai huomio voidaan keskittää vakavimpiin poikkeamiin.

Voit nyt hakea yksiköt AD:sta ja synkronoida nykyiset Digiturvamalli-käyttäjät valittuihin yksiköihin. Kaikki AD-ryhmät ovat käytettävissä synkronointiin.

Löydät tämän ominaisuuden uudelta Organisaatio -> Muokkaa rakennetta -sivulta.

Löydät nyt uuden sivun vasemmasta valikosta kohdasta Organisaatio -> Muokkaa rakennetta.

Tällä sivulla voit jakaa organisaatiosi tietoturvan kannalta relevantteihin yksiköihin. Yksiköt on tarkoitettu mm. ohjeiden tarkempaan kohdistamiseen. Kehitämme parhaillaan myös ominaisuutta, jossa tehtävän toteutus voidaan delegoida erikseen valituille yksiköille. Tällä voi olla tarpeen tilanteissa, joissa esim. organisaation kahdella selkeästi erillisellä haaralla on hyvin erilaiset toteutusmallit tiettyyn tietoturvakäytäntöön.

Rakensimme osan tiedostojen SharePoint-linkittämislogiikasta uudelleen, koska valmiit käytetyt kirjastot toimivat turhan epävakaasti.

Ulkoisten tiedostojen linkittäminen toimii käyttäjän näkökulmasta samoin kuin ennen, mutta teidän pitäisi törmätä erilaisiin virheviesteihin huomattavasti harvemmin. Nyt voit myös suorittaa koko prosessin myös Teams-työpöytäsovelluksen sisässä, eikä sinun tarvitse hyppiä välillä Teamsin selainversioon. 👍

Voit nyt yhdistää useita käyttäjiä yhteen tehtävään, kuten aiemmin dokumentaatiokohteiden yhteydessä.

Voit käyttää tätä ominaisuutta mm. suuressa organisaatiossa, kun tehtävän toteutukseen tarvitaan erilaista panosta eri yksiköistä, tai kun esim. erillinen kumppani on vastuussa tehtävän teknisestä toteutuksesta, mutta kokonaisvastuu säilyy omasta tiimistä nimetyllä omistajalla.

"Tehtävät joihin osallistut" näkyvät jokaisen käyttäjän Tehtäväkirjassa, mutta pienemmällä fokuksella kuin "omistamasi" tehtävät.

Teemme säännöllisesti päivityksiä Digiturvamallin sisältöpohjiin, jotta ne pysyvät vaatimusten sekä yleisten hyvien käytäntöjen mukaisina. Nyt vuorossa oli sisältöpäivitys v.46, jonka yhteydessä teimme eri dokumentointipohjiin useita käyttäjiemme pyytämiä parannuksia.

Muutokset ovat pääosin "pieniä mutta tärkeitä". Alta löydät lyhyet tiivistelmät tehdyistä muutoksista.

Järjestelmätoimittajien ja henkilötietojen käsittelijöiden laajennettu tietokortti

Lisäsimme seuraavat kohdat:‍

• Kuuluuko kumppani toimitusketjuun tarjotuille palveluille?
• Kuinka kriittistä tietoa kumppani käsittelee?
• Mitkä ovat omat vaikutusmahdollisuudet tietojen käsittelysopimuksen sisältöön? (pieni, keskiverto, suuri)
• Partner replaceability (easy, difficult, impossible)
• Kuinka kumppanin tietoturvavalmiutta varmennetaan? (sertifioinnein, omin valvontatoimin vai ei mitenkään)

Muutosten avulla on tarkoitus auttaa kriittisten kumppanien tunnistamista sekä varmistaa, että tärkeille kumppaneille meillä on riittävästi todisteita heidän tietoturvatasostaan.

Tulemme jatkossa luomaan lisää ominaisuuksia kumppaneiden valvontaan, joiden kautta voi mm. lähettää halutuille kumppaneille tietoturvakyselyjä.

Muiden tietoturvavaatimusten laajennettu tietokortti

Paransimme muiden tietoturvavaatimusten määrittelyä seuraavin lisäyksin:

• Liittyvät asiakkaat
• Mitä toimenpiteitä vaatimuksen täyttämiseksi tehdään?
• Liittyvät tehtävät
• Liittyvät kohteet hallintajärjestelmässä

Näiden lisäysten avulla voidaan selkeämmin dokumentoida esimerkiksi yksittäisille asiakkaille annetut lisäsitoumukset tai omat laatuvaatimukset - ja niihin liittyvät toimenpiteet ja muut kohteet hallintajärjestelmässä.

Yksikköjen ja toimipaikkojen laajennettu tietokortti

Yksikköjen ja toimipaikkojen tietokorteille tehtiin lisäyksiä, jotka tulevat jatkossa sisältymään osaksi uutta "Organisaation rakenne" -sivua. Tämän sivun kautta voitte entistä tarkemmin määritellä, mistä yksiköistä ja toimipaikoista organisaationne muodostuu. Yksiköt voidaan lisäksi tyypitellä sekä luonteen mukaan (osasto, tiimi, tytäryhtiö, jne.) että pääyksiköiksi vs. aliyksiköiksi.

Uusi osio yhteisrekisterinpitäjien dokumentointiin tietovarannoilla

Tärkeä pieni lisäys tietovarantojen dokumentointikortille:

• Päätetäänkö tietovarannon käsittelystä yhdessä toisen organisaation kanssa?
• Jos päätetään, tämän jälkeen on nimettävä kyseessä oleva(t) yhteisrekisterinpitäjä(t)

Lisätty tiedonhallintalain 6. luvun vaatimaa erottelua tietoaineisto- ja järjestelmätasolle

Käyttäessänne tiedonhallintalaki-vaatimuskehikkoa tietojärjestelmä- ja tietoaineistopohjat sisältävät nyt seuraavat lisäykset:

• Sisältyykö aineistoon asianhallinnan / palvelujen tiedonhallinnan tietoja?
• Toteutetaanko järjestelmällä asianhallintaa / palvelujen tiedonhallintaa?

Näiden lisäysten avulla on tavoitteena paremmin erotella ne tietoaineistot muista, joihin mm. tiedonhallintalain luvun 6 lisävaatimuksia sovelletaan.

Uusi valinnainen kysymys tukeen liittyen tietojärjestelmäpohjassa

Lisäsimme valinnaisen kysymyksen järjestelmäkortille:‍

• Kuinka käyttäjät saavat tukea järjestelmän käyttöön?

Kysymyksen alla voidaan käsitellä käyttäjätukeen liittyviä kysymyksiä.

Olemme juuri parhaillaan julkaisemassa 2 uutta vaatimuskehikkoa Digiturvamalliin! 

NIS2 määrittää tietoturvaan liittyvien toimenpiteiden, toimitusketjun valvonnan sekä raportointivaatimusten minimitason kriittisillä toimialoilla, kuten energia, logistiikka, terveys, ruoantuotanto, jätehuolto, julkishallinto ja digitaalinen infra.

SOC 2 määrittää, kuinka organisaation tulisi suojata asiakastietoja mm. luvatonta pääsy, tietoturvahäiriöitä sekä muita haavoittuvuuksia vastaan. Vaatimuskehikon on kehittänyt AICPA (American Institute of Certified Public Accountants) ja se on erityisen suosittu Yhdysvalloissa.

Aiemmin Digiturvamallista raportteja jaettaessa listaus on muodostunut suoraan valitun vaatimuskehikon sekä "tähditettyjen" raporttien perusteella.

Nyt voit valita raporttien jakamiseen myös toisen mallin, jossa voit vapaasti poimia mukaan otettavat raportit. Tämä tapa tukee lisäksi kaikkia raporttityyppejä, eli voit sisällyttää jakonäkymiin myös itse luomasi lista- tai kohderaportit sekä esimerkiksi visuaaliset raportit.

Jotkin organisaatiot ohjaavat omaa hallintajärjestelmää Digiturvamallissa useiden eri vaatimuskehikkojen perusteella.

Näissä tilanteissa sisäinen auditointi vaatimuskehikkokohtaisesti voi muodostua turhan raskaaksi malliksi.

Nyt Digiturvamalli tukee myös toimintatapaa, jossa auditointi voidaan kohdistaa valittuihin Digiturvamallin teemoihin. Näin voidaan auditoida esimerkiksi 4 teemaa vuodessa ja saavuttaa täysi kattavuus (12/12) hallintajärjestelmän sisäiselle auditoinnille 3 vuoden välein. 👍