Digiturvamallin sisältökirjasto

Full, certification-level ISMS. Complete set of security controls along with management, auditing and risk evaluation aspects.

• Management-driven tasks e.g. about ISMS management, risk evaluation and treatment and internal auditing
• Advanced tasks e.g. about procurement, physical security, other information assets and vulnerability management
• Advanced documentation e.g. risks, non-conformities and improvements

The Cybersecurity Capability Maturity Model (C2M2) helps organizations evaluate their cybersecurity capabilities and optimize security investments.

It uses a set of industry-vetted cybersecurity practices focused on both information technology (IT) and operations technology (OT) assets and environments.

Digiturvamalli purkaa tietoturva- ja tietosuojavaatimukset selkeiksi tehtäviksi, jotka voidaan vastuuttaa ja näyttää yksiselitteisesti tehdyiksi.

Digiturvamalliin kerätään "todisteita" tehtävän toteuttamisesta, joka tarkoittaa joko suoraan Digiturvamalliin luotua dokumentaatiota, ohjeistuksia tai raportteja tai vapaita kuvauksia tehtävän toteutuksesta, kun varsinainen toteutus tapahtuu hallintajärjestelmän ulkopuolella.

Tutustu vapaasti Digiturvamallin tehtäväsisältöihin. Tehtävien sivulta löydät sekä tarkemman kuvauksen, liittyvät Digiturvamallin ominaisuudet sekä vaatimukset, joiden täyttämiseen tehtävä liittyy.

Digiturvan kokonaiskuvapalvelu on DVV:n kehittämä ja ylläpitämä palvelu, joka kerää tietoa julkisen hallinnon organisaatioiden digitaalisen turvallisuuden tilanteesta.

Organisaation tilannetta kartoittava kysely sisältää hallinnollisen digitaalisen turvallisuuden tilaa koskevia väittämiä.

ISO 27001 on johtava tietoturvaan keskittyvä kansainvälinen standardi, jonka on julkaissut International Organization for Standardization (ISO) yhteistyössä International Electrotechnical Commission (IEC) kanssa. Molemmat ovat johtavia kansainvälisiä organisaatioita, jotka kehittävät yleisesti käytettyjä, kansainvälisiä standardeja.

ISO 27001 on kehitetty auttamaan kaiken kokoisia tai toimivia organisaatioita suojelemaan tietojaan järjestelmällisesti ja kustannustehokkaasti hyväksymällä tietoturvan hallintajärjestelmä (ISMS).

ISO 27001 ei tarjoa organisaatioille pelkästään tarvittavaa tietoa tärkeiden tietojensa suojaamiseksi, vaan organisaatio voi myös hankkia ISO 27001 -sertifikaatin ja osoittaa tällä tavoin asiakkailleen ja yhteistyökumppaneilleen, että organisaation tietoturva on asiallisesti ja systemaattisesti järjestetty.

ISO 27017 is a security standard developed especially for cloud service providers and users to create a safer cloud-based environment and reduce the risk of security incidents.

• Technical tasks related to cloud environment and shared responsibilities.
• Advanced tasks e.g. about virtualization and monitoring cloud services

ISO 27017 gives cloud-specific additions to ISO 27001, so these two frameworks should be used together.

ISO 27018 is a security standard developed especially for cloud service providers to ensure risks are assessed and controls are implemented to protect personally identifiable information (PII).

• Documentation related to processing personally identifiable information (PII).
• Tasks related to purpose, data and retention minimization.
• Advanced tasks related to the information security while processing PII.

ISO 27018 gives cloud-specific additions to ISO 27001, so these two frameworks should be used together.

ISO 27701 is a privacy extension to ISO 27001. The framework aims to upgrade the existing Information Security Management System (ISMS) with additional requirements related to processing and protecting personal data in order to establish also a Privacy Information Management System (PIMS).

• Documentation related to processing activities, transfers and disclosures of personal data.
• Tasks related to data subject rights and ensuring lawfulness of processing.
• Advanced privacy-related tasks about ensuring proper consent and filling other requirements for personal data controllers and processors.

Certifications are available for ISO 27701. As the framework extends ISO 27001, organizations seeking an ISO 27701 certification will need to have the ISO 27001 certification.

Tiedonhallintalautakunnan muodostama tietoturvallisuuden arviointikriteeristö, joka on kohdistettu suomalaiselle julkishallinnolle.

Julkri listaa 200 eri tasoista tietoturvakäytäntöä, joiden avulla voidaan käytännössä täyttää mm. tiedonhallintalaissa sekä tietosuoja-asetuksessa säädettyjä käsitellyn tiedon turvallisuuteen kohdistuvia vaatimuksia.

Tämä vaatimuskehikko sisältää koko kriteeristön ilman turvaluokitellun tiedon erityisvaatimuksia.

Katakria voidaan käyttää auditointityökaluna arvioitaessa yrityksen turvallisuusjärjestelyjä yritysturvallisuusselvityksessä ja viranomaisten tietojärjestelmien turvallisuuden arvioinneissa. Sitä voidaan käyttää myös apuna yrityksien, yhteisöjen sekä viranomaisten muussa turvallisuustyössä ja sen kehittämisessä.

Katakrin käytöllä pyritään varmistamaan, että kohdeorganisaatiolla on riittävät turvallisuusjärjestelyt viranomaisen salassa pidettävien tietojen paljastumisen ehkäisemiseksi kaikissa niissä ympäristöissä, joissa tietoja käsitellään.

Katakriin on koottu kansallisiin säädöksiin ja kansainvälisiin velvoitteisiin perustuvat vähimmäisvaatimukset. Katakri ei aseta tietoturvallisuudelle ehdottomia vaatimuksia, vaan siihen kootut vaatimukset perustuvat voimassa olevaan lainsäädäntöön ja Suomea sitoviin kansainvälisiin tietoturvallisuusvelvoitteisiin.

NIST Cybersecurity Framework is a collaborative effort coordinated by The National Institute of Standards and Technology (NIST, part of the U.S. Department of Commerce) and involving industry, academia, and government.

Framework is designed to help owners and operators of critical infrastructure to identify, assess and manage cyber risks.

• Advanced tasks e.g. about risk management and incident detection, response and recovery
• Advanced documentation e.g. on information security risks
• Generic cyber security guidelines for empoyees, priviliged users, senior management and other stakeholders

‍

Laki julkisen hallinnon tiedonhallinnasta (906/2019) sekä siihen liittyvät lait tulivat voimaan 1.1.2020. Laki edistää tiedonhallinnan yhdenmukaistamista, tietoturvallisuutta ja digitalisointia viranomaistoiminnassa.

Laissa julkisen hallinnon tiedonhallinnasta säädetään julkisuusperiaatteen ja hyvän hallinnon vaatimusten toteuttamisesta viranomaisten tiedonhallinnassa. Laki sisältää koko julkista hallintoa koskevat säännökset tiedonhallinnan järjestämisestä ja kuvaamisesta, tietovarantojen yhteentoimivuudesta, tietojärjestelmien yhteentoimivuuden toteuttamisesta, teknisten rajapintojen ja katseluyhteyksien toteuttamisesta sekä tietoturvallisuuden toteuttamisesta.

GDPR tulee sanoista General Data Protection Regulation (yleinen tietosuoja-asetus). Se on henkilötietojen käsittelyä sääntelevä laki, jota alettiin soveltaa kaikissa EU-maissa keväällä 2018.

Yleisessä tietosuoja-asetuksessa asetetaan yrityksille ja organisaatioille henkilötietojen keräämistä, säilytystä ja hallinnointia koskevat tarkat vaatimukset. Vaatimuksia sovelletaan sekä eurooppalaisiin organisaatioihin, jotka käsittelevät ihmisten henkilötietoja EU:ssa, että EU:n ulkopuolisiin organisaatioihin, joiden suorittama tietojen käsittely kohdistuu EU:n alueella asuviin ihmisiin.

Yksilön näkökulmasta tietosuoja-asetus antaa paremman suojan henkilötiedoillesi ja enemmän keinoja hallita tietojesi käsittelyä.