Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Valitse haluamasi vaatimuskehikko

ISO 27001:2022

Full, certification-level ISMS. Complete set of security controls along with management, auditing and risk evaluation aspects.

  • Management-driven tasks e.g. about ISMS management, risk evaluation and treatment and internal auditing
  • Advanced tasks e.g. about procurement, physical security, other information assets and vulnerability management
  • Advanced documentation e.g. risks, non-conformities and improvements
Cybersecurity Capability Maturity Model (C2M2)

The Cybersecurity Capability Maturity Model (C2M2) helps organizations evaluate their cybersecurity capabilities and optimize security investments.

It uses a set of industry-vetted cybersecurity practices focused on both information technology (IT) and operations technology (OT) assets and environments.

Digiturvamallin sisältökirjasto

Digiturvamalli purkaa tietoturva- ja tietosuojavaatimukset selkeiksi tehtäviksi, jotka voidaan vastuuttaa ja näyttää yksiselitteisesti tehdyiksi.

Digiturvamalliin kerätään "todisteita" tehtävän toteuttamisesta, joka tarkoittaa joko suoraan Digiturvamalliin luotua dokumentaatiota, ohjeistuksia tai raportteja tai vapaita kuvauksia tehtävän toteutuksesta, kun varsinainen toteutus tapahtuu hallintajärjestelmän ulkopuolella.

Tutustu vapaasti Digiturvamallin tehtäväsisältöihin. Tehtävien sivulta löydät sekä tarkemman kuvauksen, liittyvät Digiturvamallin ominaisuudet sekä vaatimukset, joiden täyttämiseen tehtävä liittyy.

Digiturvan kokonaiskuva (DVV)

Digiturvan kokonaiskuvapalvelu on DVV:n kehittämä ja ylläpitämä palvelu, joka kerää tietoa julkisen hallinnon organisaatioiden digitaalisen turvallisuuden tilanteesta.

Organisaation tilannetta kartoittava kysely sisältää hallinnollisen digitaalisen turvallisuuden tilaa koskevia väittämiä.

ISO 27001:2013

ISO 27001 on johtava tietoturvaan keskittyvä kansainvälinen standardi, jonka on julkaissut International Organization for Standardization (ISO) yhteistyössä International Electrotechnical Commission (IEC) kanssa. Molemmat ovat johtavia kansainvälisiä organisaatioita, jotka kehittävät yleisesti käytettyjä, kansainvälisiä standardeja.

ISO 27001 on kehitetty auttamaan kaiken kokoisia tai toimivia organisaatioita suojelemaan tietojaan järjestelmällisesti ja kustannustehokkaasti hyväksymällä tietoturvan hallintajärjestelmä (ISMS).

ISO 27001 ei tarjoa organisaatioille pelkästään tarvittavaa tietoa tärkeiden tietojensa suojaamiseksi, vaan organisaatio voi myös hankkia ISO 27001 -sertifikaatin ja osoittaa tällä tavoin asiakkailleen ja yhteistyökumppaneilleen, että organisaation tietoturva on asiallisesti ja systemaattisesti järjestetty.

ISO 27017

ISO 27017 is a security standard developed especially for cloud service providers and users to create a safer cloud-based environment and reduce the risk of security incidents.

  • Technical tasks related to cloud environment and shared responsibilities.
  • Advanced tasks e.g. about virtualization and monitoring cloud services

ISO 27017 gives cloud-specific additions to ISO 27001, so these two frameworks should be used together.

ISO 27018

ISO 27018 is a security standard developed especially for cloud service providers to ensure risks are assessed and controls are implemented to protect personally identifiable information (PII).

  • Documentation related to processing personally identifiable information (PII).
  • Tasks related to purpose, data and retention minimization.
  • Advanced tasks related to the information security while processing PII.

ISO 27018 gives cloud-specific additions to ISO 27001, so these two frameworks should be used together.

ISO 27701

ISO 27701 is a privacy extension to ISO 27001. The framework aims to upgrade the existing Information Security Management System (ISMS) with additional requirements related to processing and protecting personal data in order to establish also a Privacy Information Management System (PIMS).

  • Documentation related to processing activities, transfers and disclosures of personal data.
  • Tasks related to data subject rights and ensuring lawfulness of processing.
  • Advanced privacy-related tasks about ensuring proper consent and filling other requirements for personal data controllers and processors.

Certifications are available for ISO 27701. As the framework extends ISO 27001, organizations seeking an ISO 27701 certification will need to have the ISO 27001 certification.

Julkisen hallinnon tietoturvakriteeristö

Tiedonhallintalautakunnan muodostama tietoturvallisuuden arviointikriteeristö, joka on kohdistettu suomalaiselle julkishallinnolle.

Julkri listaa 200 eri tasoista tietoturvakäytäntöä, joiden avulla voidaan käytännössä täyttää mm. tiedonhallintalaissa sekä tietosuoja-asetuksessa säädettyjä käsitellyn tiedon turvallisuuteen kohdistuvia vaatimuksia.

Tämä vaatimuskehikko sisältää koko kriteeristön ilman turvaluokitellun tiedon erityisvaatimuksia.

Katakri - Tietoturvan auditointityökalu viranomaisille

Katakria voidaan käyttää auditointityökaluna arvioitaessa yrityksen turvallisuusjärjestelyjä yritysturvallisuusselvityksessä ja viranomaisten tietojärjestelmien turvallisuuden arvioinneissa. Sitä voidaan käyttää myös apuna yrityksien, yhteisöjen sekä viranomaisten muussa turvallisuustyössä ja sen kehittämisessä.

Katakrin käytöllä pyritään varmistamaan, että kohdeorganisaatiolla on riittävät turvallisuusjärjestelyt viranomaisen salassa pidettävien tietojen paljastumisen ehkäisemiseksi kaikissa niissä ympäristöissä, joissa tietoja käsitellään.

Katakriin on koottu kansallisiin säädöksiin ja kansainvälisiin velvoitteisiin perustuvat vähimmäisvaatimukset. Katakri ei aseta tietoturvallisuudelle ehdottomia vaatimuksia, vaan siihen kootut vaatimukset perustuvat voimassa olevaan lainsäädäntöön ja Suomea sitoviin kansainvälisiin tietoturvallisuusvelvoitteisiin.

NIST Cybersecurity Framework

NIST Cybersecurity Framework is a collaborative effort coordinated by The National Institute of Standards and Technology (NIST, part of the U.S. Department of Commerce) and involving industry, academia, and government.

Framework is designed to help owners and operators of critical infrastructure to identify, assess and manage cyber risks.

  • Advanced tasks e.g. about risk management and incident detection, response and recovery
  • Advanced documentation e.g. on information security risks
  • Generic cyber security guidelines for empoyees, priviliged users, senior management and other stakeholders

Tiedonhallintalaki

Laki julkisen hallinnon tiedonhallinnasta (906/2019) sekä siihen liittyvät lait tulivat voimaan 1.1.2020. Laki edistää tiedonhallinnan yhdenmukaistamista, tietoturvallisuutta ja digitalisointia viranomaistoiminnassa.

Laissa julkisen hallinnon tiedonhallinnasta säädetään julkisuusperiaatteen ja hyvän hallinnon vaatimusten toteuttamisesta viranomaisten tiedonhallinnassa. Laki sisältää koko julkista hallintoa koskevat säännökset tiedonhallinnan järjestämisestä ja kuvaamisesta, tietovarantojen yhteentoimivuudesta, tietojärjestelmien yhteentoimivuuden toteuttamisesta, teknisten rajapintojen ja katseluyhteyksien toteuttamisesta sekä tietoturvallisuuden toteuttamisesta.

Yleinen tietosuoja-asetus

GDPR tulee sanoista General Data Protection Regulation (yleinen tietosuoja-asetus). Se on henkilötietojen käsittelyä sääntelevä laki, jota alettiin soveltaa kaikissa EU-maissa keväällä 2018.

Yleisessä tietosuoja-asetuksessa asetetaan yrityksille ja organisaatioille henkilötietojen keräämistä, säilytystä ja hallinnointia koskevat tarkat vaatimukset. Vaatimuksia sovelletaan sekä eurooppalaisiin organisaatioihin, jotka käsittelevät ihmisten henkilötietoja EU:ssa, että EU:n ulkopuolisiin organisaatioihin, joiden suorittama tietojen käsittely kohdistuu EU:n alueella asuviin ihmisiin.

Yksilön näkökulmasta tietosuoja-asetus antaa paremman suojan henkilötiedoillesi ja enemmän keinoja hallita tietojesi käsittelyä.

Valitse haluamasi tietoturvapolitiikan aihe

Politiikka
Liittyvät vaatimuskehikot
Tehtävät
Asianhallinta ja arkistointi
TiHL
4
Digipalvelujen hallinta
ISO 27017
ISO 27018
ISO 27001
NIST
Julkri
24
Digiturva sopimuksissa
ISO 27001
ISO 27001
Julkri
Kokonaiskuva
Katakri
6
Digiturvan johtaminen
ISO 27001
TiHL
Kokonaiskuva
Julkri
NIST
43
Ei-sähköisen tiedon ja kopioiden hallinta
ISO 27001
ISO 27001
Katakri
Julkri
12
Etätyö
ISO 27001
ISO 27001
Kokonaiskuva
Julkri
NIST
11
Haittaohjelmilta suojautuminen
ISO 27001
Julkri
Katakri
NIST
ISO 27017
18
Häiriöiden hallinta ja ilmoittaminen
ISO 27001
ISO 27001
GDPR
Katakri
ISO 27018
23
Informointi ja tietopyynnöt
GDPR
ISO 27701
ISO 27001
ISO 27018
Julkri
19
Jatkuvuuden hallinta
ISO 27001
Katakri
NIST
Julkri
22
Järjestelmien hankinta
C2M2
Kokonaiskuva
ISO 27001
ISO 27001
NIST
8
Kiinteistöjen turvallisuus
ISO 27001
ISO 27001
Julkri
Katakri
Kokonaiskuva
28
Käsittelyn turvallisuus ja vastuut
GDPR
ISO 27018
ISO 27701
Julkri
Kokonaiskuva
11
Käsittelyperiaatteet ja osoitusvelvollisuus
GDPR
ISO 27701
22
Laitteiston suojaus ja huolto
ISO 27001
Julkri
NIST
14
Mobiililaitteiden hallinta
ISO 27001
Katakri
NIST
ISO 27017
ISO 27018
15
Pääsynhallinta ja tunnistautuminen
ISO 27001
ISO 27017
Julkri
Katakri
NIST
44
Rajapinnat ja luovutukset
Julkri
5
Riskien hallinta
ISO 27001
ISO 27701
NIST
Julkri
Katakri
32
Salaus
ISO 27001
C2M2
NIST
Julkri
Katakri
44
Siirrettävät tietovälineet
ISO 27001
ISO 27001
ISO 27018
NIST
Julkri
15
Sisäänrakennettu ja oletusarvoinen tietosuoja
GDPR
ISO 27701
ISO 27018
13
Sopimukset ja seuranta
ISO 27001
GDPR
NIST
ISO 27701
Julkri
16
Suojausjärjestelmät ja valvonta
ISO 27001
ISO 27017
NIST
Julkri
29
Sähköposti ja selain
ISO 27001
ISO 27001
NIST
Julkri
11
Teknisten haavoittuvuuksien hallinta
ISO 27001
ISO 27001
ISO 27017
Katakri
Julkri
27
Tiedonhallinnan järjestäminen
TiHL
Julkri
Kokonaiskuva
8
Tiedonhallintamalli
TiHL
Julkri
5
Tietoaineistojen hallinta
ISO 27001
ISO 27001
TiHL
Katakri
ISO 27018
25
Tietojen luokittelu
ISO 27001
Julkri
NIST
9
Tietojen siirtäminen ja luovuttaminen
ISO 27701
GDPR
Julkri
9
Tietojärjestelmien hallinta
ISO 27001
ISO 27017
ISO 27018
Julkri
ISO 27701
22
Tietoturvakoulutus
ISO 27001
ISO 27001
Katakri
GDPR
NIST
8
Tietoturvaloukkausten hallinta
GDPR
Kokonaiskuva
Julkri
NIST
5
Tietoturvaohjeet
ISO 27001
GDPR
TiHL
Julkri
Kokonaiskuva
5
Toimittajien turvallisuus
ISO 27001
ISO 27001
NIST
Julkri
Kokonaiskuva
13
Turvallinen kehittäminen
ISO 27001
ISO 27001
Julkri
NIST
24
Turvallisuusalueiden hallinta
ISO 27001
Katakri
Julkri
24
Työsuhteen muutoshetket
ISO 27001
ISO 27001
Julkri
Kokonaiskuva
NIST
9
Varmuuskopiointi
ISO 27001
Julkri
TiHL
Katakri
NIST
9
Verkon turvallisuus
ISO 27001
NIST
Julkri
33
Virtualisointi
NIST
5
Yhteentoimivuus
ISO 27017
5

Valitse haluamasi digiturvavaatimus

HAL-04.4
Julkri

HAL-04.5
Julkri

A.7.5.3
ISO 27701

Records of transfer of PII

6
ISO 27001

Henkilöstöturvallisuus

4.1
C2M2

Establish Identities and Manage Authentication

19
GDPR

Henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus

10.1.1
ISO 27001

Salauksen käytön periaatteet

8.2
C2M2

Increase Cybersecurity Awareness

10
C2M2

Cybersecurity Program Management (PROGRAM)

I02
Katakri

Verkon vyöhykkeistäminen ja suodatussäännöstöt

TEK-04.8
Julkri

5.3
ISO 27001

Tehtävien eriyttäminen

7.1
ISO 27001

Resurssit

5.24
ISO 27001

Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu

A.8.5.1
ISO 27701

Basis for PII transfer between jurisdictions

TEK-03.3
Julkri

Suodatus- ja valvontajärjestelmien hallinnointi - tarkastukset

ID.RA-5
NIST

Risk evaluation

DE.CM-4
NIST

Malicious code detection

A.7.4.4
ISO 27701

PII minimization objectives

A.11.11
ISO 27018

Contract measures

7.3 (MIL3)
C2M2

Management Activities for the THIRD-PARTIES domain

15.1.2
ISO 27017

Toimittajasopimusten turvallisuus

DE.CM-6
NIST

External service provider activity monitoring

7.5
ISO 27001

Dokumentoitua tietoa koskevat vaatimukset

Katsele sisältöä vaatimuskehikon mukaan

ISO 27001:2022

Ohjevideot ovat poimintoja webinaarikoulutuksistamme, joissa käymme läpi tiettyä digiturvan johtamisen teemaa.

ISO 27001:2013

Blogikirjoituksissa avaamme tarkemmin tiettyä digiturvan tärkeää työaluetta, kuten riskien hallintaa tai henkilöstön ohjeistamista.

GDPR

Ohjeartikkelit antavat tarkkoja työkaluohjeita tiettyjen asioiden tekemiseen Digiturvamallissa.

Tiedonhallintalaki

Ohjeartikkelit antavat tarkkoja työkaluohjeita tiettyjen asioiden tekemiseen Digiturvamallissa.

ISO 27701

Ohjeartikkelit antavat tarkkoja työkaluohjeita tiettyjen asioiden tekemiseen Digiturvamallissa.