Voit nyt hakea yksiköt AD:sta ja synkronoida nykyiset Digiturvamalli-käyttäjät valittuihin yksiköihin. Kaikki AD-ryhmät ovat käytettävissä synkronointiin.

Löydät tämän ominaisuuden uudelta Organisaatio -> Muokkaa rakennetta -sivulta.

Löydät nyt uuden sivun vasemmasta valikosta kohdasta Organisaatio -> Muokkaa rakennetta.

Tällä sivulla voit jakaa organisaatiosi tietoturvan kannalta relevantteihin yksiköihin. Yksiköt on tarkoitettu mm. ohjeiden tarkempaan kohdistamiseen. Kehitämme parhaillaan myös ominaisuutta, jossa tehtävän toteutus voidaan delegoida erikseen valituille yksiköille. Tällä voi olla tarpeen tilanteissa, joissa esim. organisaation kahdella selkeästi erillisellä haaralla on hyvin erilaiset toteutusmallit tiettyyn tietoturvakäytäntöön.

Rakensimme osan tiedostojen SharePoint-linkittämislogiikasta uudelleen, koska valmiit käytetyt kirjastot toimivat turhan epävakaasti.

Ulkoisten tiedostojen linkittäminen toimii käyttäjän näkökulmasta samoin kuin ennen, mutta teidän pitäisi törmätä erilaisiin virheviesteihin huomattavasti harvemmin. Nyt voit myös suorittaa koko prosessin myös Teams-työpöytäsovelluksen sisässä, eikä sinun tarvitse hyppiä välillä Teamsin selainversioon. 👍

Voit nyt yhdistää useita käyttäjiä yhteen tehtävään, kuten aiemmin dokumentaatiokohteiden yhteydessä.

Voit käyttää tätä ominaisuutta mm. suuressa organisaatiossa, kun tehtävän toteutukseen tarvitaan erilaista panosta eri yksiköistä, tai kun esim. erillinen kumppani on vastuussa tehtävän teknisestä toteutuksesta, mutta kokonaisvastuu säilyy omasta tiimistä nimetyllä omistajalla.

"Tehtävät joihin osallistut" näkyvät jokaisen käyttäjän Tehtäväkirjassa, mutta pienemmällä fokuksella kuin "omistamasi" tehtävät.

Teemme säännöllisesti päivityksiä Digiturvamallin sisältöpohjiin, jotta ne pysyvät vaatimusten sekä yleisten hyvien käytäntöjen mukaisina. Nyt vuorossa oli sisältöpäivitys v.46, jonka yhteydessä teimme eri dokumentointipohjiin useita käyttäjiemme pyytämiä parannuksia.

Muutokset ovat pääosin "pieniä mutta tärkeitä". Alta löydät lyhyet tiivistelmät tehdyistä muutoksista.

Järjestelmätoimittajien ja henkilötietojen käsittelijöiden laajennettu tietokortti

Lisäsimme seuraavat kohdat:‍

• Kuuluuko kumppani toimitusketjuun tarjotuille palveluille?
• Kuinka kriittistä tietoa kumppani käsittelee?
• Mitkä ovat omat vaikutusmahdollisuudet tietojen käsittelysopimuksen sisältöön? (pieni, keskiverto, suuri)
• Partner replaceability (easy, difficult, impossible)
• Kuinka kumppanin tietoturvavalmiutta varmennetaan? (sertifioinnein, omin valvontatoimin vai ei mitenkään)

Muutosten avulla on tarkoitus auttaa kriittisten kumppanien tunnistamista sekä varmistaa, että tärkeille kumppaneille meillä on riittävästi todisteita heidän tietoturvatasostaan.

Tulemme jatkossa luomaan lisää ominaisuuksia kumppaneiden valvontaan, joiden kautta voi mm. lähettää halutuille kumppaneille tietoturvakyselyjä.

Muiden tietoturvavaatimusten laajennettu tietokortti

Paransimme muiden tietoturvavaatimusten määrittelyä seuraavin lisäyksin:

• Liittyvät asiakkaat
• Mitä toimenpiteitä vaatimuksen täyttämiseksi tehdään?
• Liittyvät tehtävät
• Liittyvät kohteet hallintajärjestelmässä

Näiden lisäysten avulla voidaan selkeämmin dokumentoida esimerkiksi yksittäisille asiakkaille annetut lisäsitoumukset tai omat laatuvaatimukset - ja niihin liittyvät toimenpiteet ja muut kohteet hallintajärjestelmässä.

Yksikköjen ja toimipaikkojen laajennettu tietokortti

Yksikköjen ja toimipaikkojen tietokorteille tehtiin lisäyksiä, jotka tulevat jatkossa sisältymään osaksi uutta "Organisaation rakenne" -sivua. Tämän sivun kautta voitte entistä tarkemmin määritellä, mistä yksiköistä ja toimipaikoista organisaationne muodostuu. Yksiköt voidaan lisäksi tyypitellä sekä luonteen mukaan (osasto, tiimi, tytäryhtiö, jne.) että pääyksiköiksi vs. aliyksiköiksi.

Uusi osio yhteisrekisterinpitäjien dokumentointiin tietovarannoilla

Tärkeä pieni lisäys tietovarantojen dokumentointikortille:

• Päätetäänkö tietovarannon käsittelystä yhdessä toisen organisaation kanssa?
• Jos päätetään, tämän jälkeen on nimettävä kyseessä oleva(t) yhteisrekisterinpitäjä(t)

Lisätty tiedonhallintalain 6. luvun vaatimaa erottelua tietoaineisto- ja järjestelmätasolle

Käyttäessänne tiedonhallintalaki-vaatimuskehikkoa tietojärjestelmä- ja tietoaineistopohjat sisältävät nyt seuraavat lisäykset:

• Sisältyykö aineistoon asianhallinnan / palvelujen tiedonhallinnan tietoja?
• Toteutetaanko järjestelmällä asianhallintaa / palvelujen tiedonhallintaa?

Näiden lisäysten avulla on tavoitteena paremmin erotella ne tietoaineistot muista, joihin mm. tiedonhallintalain luvun 6 lisävaatimuksia sovelletaan.

Uusi valinnainen kysymys tukeen liittyen tietojärjestelmäpohjassa

Lisäsimme valinnaisen kysymyksen järjestelmäkortille:‍

• Kuinka käyttäjät saavat tukea järjestelmän käyttöön?

Kysymyksen alla voidaan käsitellä käyttäjätukeen liittyviä kysymyksiä.

Olemme juuri parhaillaan julkaisemassa 2 uutta vaatimuskehikkoa Digiturvamalliin! 

NIS2 määrittää tietoturvaan liittyvien toimenpiteiden, toimitusketjun valvonnan sekä raportointivaatimusten minimitason kriittisillä toimialoilla, kuten energia, logistiikka, terveys, ruoantuotanto, jätehuolto, julkishallinto ja digitaalinen infra.

SOC 2 määrittää, kuinka organisaation tulisi suojata asiakastietoja mm. luvatonta pääsy, tietoturvahäiriöitä sekä muita haavoittuvuuksia vastaan. Vaatimuskehikon on kehittänyt AICPA (American Institute of Certified Public Accountants) ja se on erityisen suosittu Yhdysvalloissa.

Aiemmin Digiturvamallista raportteja jaettaessa listaus on muodostunut suoraan valitun vaatimuskehikon sekä "tähditettyjen" raporttien perusteella.

Nyt voit valita raporttien jakamiseen myös toisen mallin, jossa voit vapaasti poimia mukaan otettavat raportit. Tämä tapa tukee lisäksi kaikkia raporttityyppejä, eli voit sisällyttää jakonäkymiin myös itse luomasi lista- tai kohderaportit sekä esimerkiksi visuaaliset raportit.

Jotkin organisaatiot ohjaavat omaa hallintajärjestelmää Digiturvamallissa useiden eri vaatimuskehikkojen perusteella.

Näissä tilanteissa sisäinen auditointi vaatimuskehikkokohtaisesti voi muodostua turhan raskaaksi malliksi.

Nyt Digiturvamalli tukee myös toimintatapaa, jossa auditointi voidaan kohdistaa valittuihin Digiturvamallin teemoihin. Näin voidaan auditoida esimerkiksi 4 teemaa vuodessa ja saavuttaa täysi kattavuus (12/12) hallintajärjestelmän sisäiselle auditoinnille 3 vuoden välein. 👍

Panostamme jatkossa yhä enemmän parempiin ohje- ja tukimateriaaleihin, jotka opastavat sinua eteenpäin Digiturvamalli-käytössä, olitpa vasta aloittamassa, jo hyvässä vauhdissa tai jo edistynyt ISMS-pääkäyttäjä, joka hakee lähinnä jatkuvaa parantamista.

Tämän tueksi uudistimme hieman konseptia Digiturvamallin Akatemiassa. Kaikki Akatemian sisältö on nyt luokiteltu aiheiden alle, kuten "riskienhallinta", "ISO 27001", "henkilöstön turvallisuus" tai "alkuun pääsy", joten löydät juuri oikean kokoelman erityyppisiä materiaaleja helposti. Lisäsimme Akatemiaan myös oman vasemman valikon, jotta voit helposti navigoida kaikkeen sisältöön. Valikko listaa aiheet, mutta myös eri sisältömuodot - ohjeartikkelit, videokurssit ja blogiartikkelit. Akatemiaa alkaa nyt säännöllisesti saada uusia sisältöpäivityksiä.

Valitse siis aiheesi tai haluamasi sisältötyyppi ja aloita digiturvaopiskelu kanssamme. 🎓

Paransimme 'upotus verkkosivuille' -tyyppisten raporttien (esim. asiakirjajulkisuuskuvaus, tietosuojaselosteet) käytettävyyttä. Nämä raportit on suunniteltu upotettavaksi organisaationne julkiselle verkkosivustoille palvelemaan asiakkaita / muita sidosryhmiä julkisesti.

Nyt mm. skrollauspalkki on selkeämmin aina näkyvissä, mutta vastaa myös upotukselle valitsemaanne teemaväriä, joten upotuksen pitäisi näyttää luonnolliselta osalta verkkosivustoanne.

Kaikki toiveet lisäparannuksista ovat erittäin tervetulleita. 👍

Tiimimme tulee jatkossa ylläpitämään listaa tulossa olevista uusista vaatimuskehikoista sekä Digiturvamalli-työkalun sisällä että Digiturvamalli.fi-sivustolla.

Digiturvamallin käyttäjänä voit vaikuttaa prioriteetteihimme peukuttamalla haluamaasi vaatimuskehikkoa lyhyiden perustelujen kera.

Tutustu tämänhetkiseen listaukseen >>

Voit nyt poimia kaikkiin Digiturvamallin kohteisiin (tehtävät, ohjeet, dokumentaatio) liittyviä tiedostoja omasta SharePoint-ympäristöstänne. Nämä voivat olla esimerkiksi tehtävään liittyviä politiikkadokumentteja, järjestelmän yhteyksiä kuvaavia prosessipiirroksia, henkilöstön ohjetta tarkentavia powerpoint-ohjeita tai toimittajan korttiin liitttyviä sopimuksia.

Ominaisuuden käytön aloittamiseksi teidän on Asetukset-näkymässä täytettävä kohdassa Organisaation asetukset sopivan SharePoint-sivuston tiedot, jotta tiedämme mistä tiedostoja noutaa. 👍

Työskentelemme säännöllisesti tunnistaaksemme näkymiä, jotka toimivat Digiturvamallissa turhan hitaasti. Teimme hiljattain parannuksia esimerkiksi tehtävälistausten latausnopeuksiin sekä Tietoturvariskit-näkymään.

Parhaillaan olemme lisäksi kehittämässä sovelluksen ensimmäisen latauskerran nopeutta. Tämä vaikuttaa Teamsin sisällä myös jokaiseen sovelluksen välilehden vaihtoon (Ohjekirja, Tehtäväkirja, Työpöytä).

Olkaa mielellään tiimiimme yhteydessä, mikäli havaitsette kohtia, jotka toistuvasti toimivat turhan rauhallisesti. 👍

Kun työskentelet esimerkiksi yksittäisen vaatimuskehikon tehtävälistauksessa, muistamme nyt paremmin tekemäsi suodatus- ja järjestysvalinnat. Kun navigoit taulukosta tehtävään ja takaisin, pääset jatkamaan suoraan samasta näkymästä.

Sama toimii nyt paremmin myös esimerkiksi yleisellä Tehtävät-sivulla.

Kun luot raportin yksittäisestä dokumentoitavasta kohteesta (esim. auditoinnista), näytämme raportilla nyt laajemmin tietoja myös siihen linkitetyistä kohteista.

Tämän avulla esimerkiksi auditoinnista voidaan arkistoida loppuraportti, joka sisältää yhdessä asiakirjassa mm. todettujen poikkeamien sekä tehtyjen parannusten tarkemmat tiedot.