Täysi, sertifionnin mahdollistava tietoturvan hallintajärjestelmä. Koko kattaus hallintakeinoja sekä johdon, auditoinnin sekä riskienhallinnan näkökulmat.
Auditoitu tietoturva syventää Ensisijaisen tietoturvan perusteiden sekä Laajennetun tietoturvan hallintakeinojen kokonaisuutta.
NIS 2 määrittää perustason digiturvallisuusriskien hallintatoimenpiteille ja raportointivelvollisuuksille kaikilla direktiivin kattamilla tärkeillä aloilla, kuten energia-, liikenne-, terveys-, elintarvike-, jäte-, julkishallinnossa ja digitaalisessa infrastruktuurissa – sekä niiden toimitusketjuissa.
NIS 2 tiukentaa sääntöjä ja laajentaa sen soveltamisalaa verrattuna alkuperäiseen NIS-direktiiviin vuodelta 2016. Se myös lisää ylimmän johdon vastuuvelvollisuutta ja tiukentaa seuraamuksia puutteista.
CIS18 kriittiset turvallisuusvalvontakeinot kattavat tietoturvan eri osa-alueet, kuten haavoittuvuuksien hallinnan, turvallisen konfiguroinnin, pääsynvalvonnan ja häiriöiden hallinnan. Kyseessä on kattava joukko ohjeita ja toimenpiteitä, jotka The Center for Internet Security on julkaissut. Kontrollit on suunniteltu korjaamaan ja ehkäisemään yleisiä haavoittuvuuksia ja tarjoamaan organisaatioille jäsennellyn tavan vahvistaa tietoturvaansa.
CIS18-kontrollit tunnettiin aiemmin nimellä SANS Critical Security Controls (SANS Top 20), ja nykyinen versio 8.1 on päivitetty vastaamaan kehittyviä alan standardeja ja kyberturvallisuusuhkia. Valvontakeinot ovat ohjeellinen, priorisoitu ja yksinkertaistettu joukko parhaita käytäntöjä, joita mikä tahansa organisaatio voi käyttää tietoturvakäytäntöjensä vahvistamiseen.
Cyber Essentials on UK:n hallinnon tukema tietoturvakehikko. Sen lähestyminen on suoraviivainen ja haltuun otetaan tietoturvan olennaisimmat osat, joiden kautta vähennetään yleisimpien tietoturvahyökkäysten todennäköisyyttä.
CyberFundamentals vaatimuskehikon on luonut Centre for Cybersecurity Belgium. Se tarjoaa joukon konkreettisia toimenpiteitä, joilla voit suojata tietojasi, vähentää merkittävästi yleisimpien verkkohyökkäysten riskiä ja lisätä organisaatiosi kyberkestävyyttä. Vaatimuskehikko perustuu:
Kyberperusteet on jäsennetty neljään tasoon, joista seuraava taso sisältää joka kerta hieman enemmän toimenpiteitä kuin edellinen. Aloitustaso Small, jota seuraavat Basic, Important ja Essential. Essential-taso sisältää kaikki perustietoturvatoimenpiteet edellisistä tasoista ja esittelee edistyneempiä hallintakeinoja. Essential-taso on NIS2-direktiivin mukainen.
Yksinkertaistettua tieto- ja viestintätekniikan riskienhallintaa koskevassa DORA RTS:ssä kuvataan keskeiset osatekijät, jotka rahoituslaitoksilla, joihin sovelletaan pienempää mittakaavaa, riskiä, kokoa ja monimutkaisuutta, on oltava käytössä riskienhallintaa varten.
Sidosorganisaatioiden on esimerkiksi ylläpidettävä vankkaa ja dokumentoitua tieto- ja viestintätekniikan riskienhallintakehystä, seurattava jatkuvasti kaikkien tieto- ja viestintätekniikkajärjestelmien turvallisuutta ja toimintaa, yksilöitävä keskeiset riippuvuussuhteet kolmannen osapuolen tieto- ja viestintätekniikkapalvelujen tarjoajiin ja minimoitava tieto- ja viestintätekniikkariskin vaikutus käyttämällä vankkoja, kestäviä ja ajan tasalla olevia suojauksia.
The Digital Operational Resilience Act (DORA) on EU:n laki digitaalisen toiminnan resilienssistä. DORA:n avulla pyritään saavuttamaan yhtenäinen korkea digiresilienssi EU:n alueella. Se antaa yhtenäiset vaatimukset koskien tietoverkkoja ja -järjestelmiä, jotka tukevat rahoitusalan liiketoimintaprosesseja.
DORA asettaa vaatimuksia mm. suojauksesta, havaitsemisesta, eristämisestä, palautusta ja korjaamista tietoturvatapahtumiin liittyvissä tilanteissa. Lisäksi vaatimuksiin kuuluu laajaa riskien- ja häriöidenhallintaa, kyberuhkien ja haavoittuvuuksien jakaminen, vaatimukset resilienssin testaamisesta ja häiriöiden ilmoittamisesta viranomaisille.
Digiturvamalli purkaa tietoturva- ja tietosuojavaatimukset selkeiksi tehtäviksi, jotka voidaan vastuuttaa ja näyttää yksiselitteisesti tehdyiksi.
Digiturvamalliin kerätään "todisteita" tehtävän toteuttamisesta, joka tarkoittaa joko suoraan Digiturvamalliin luotua dokumentaatiota, ohjeistuksia tai raportteja tai vapaita kuvauksia tehtävän toteutuksesta, kun varsinainen toteutus tapahtuu hallintajärjestelmän ulkopuolella.
Tutustu vapaasti Digiturvamallin tehtäväsisältöihin. Tehtävien sivulta löydät sekä tarkemman kuvauksen, liittyvät Digiturvamallin ominaisuudet sekä vaatimukset, joiden täyttämiseen tehtävä liittyy.
Digiturvan kokonaiskuvapalvelu on DVV:n kehittämä ja ylläpitämä palvelu, joka kerää tietoa julkisen hallinnon organisaatioiden digitaalisen turvallisuuden tilanteesta.
Organisaation tilannetta kartoittava kysely sisältää hallinnollisen digitaalisen turvallisuuden tilaa koskevia väittämiä.
Digiturvan kokonaiskuvapalvelu on DVV:n kehittämä ja ylläpitämä palvelu, joka kerää tietoa julkisen hallinnon organisaatioiden digitaalisen turvallisuuden tilanteesta.
Tämän vaatimuskehikon vaatimukset vastaavat palvelussa organisaatiolle esitettäviä, hallinnollisen digitaalisen turvallisuuden tilaa koskevia, väittämiä.
Täysi, sertifionnin mahdollistava tietoturvan hallintajärjestelmä. Koko kattaus hallintakeinoja sekä johdon, auditoinnin sekä riskienhallinnan näkökulmat.
Auditoitu tietoturva syventää Ensisijaisen tietoturvan perusteiden sekä Laajennetun tietoturvan hallintakeinojen kokonaisuutta.
ISO 27017 on tietoturvastandardi, joka on kehitetty erityisesti pilvipalveluntarjoajille ja käyttäjille turvallisemman pilvipohjaisen ympäristön luomiseksi ja tietoturvahäiriöiden riskin vähentämiseksi.
ISO 27017 antaa pilvikohtaisia lisäyksiä ISO 27001:een, joten näitä kahta viitekehystä tulee käyttää yhdessä.
ISO 27018 on tietoturvastandardi, joka on kehitetty erityisesti pilvipalveluntarjoajille, jotta voidaan varmistaa riskien arvioiminen ja valvonnan toteuttaminen henkilötietojen suojaamiseksi.
ISO 27018 antaa pilvikohtaisia lisäyksiä ISO 27001:een, joten näitä kahta viitekehystä tulee käyttää yhdessä.
ISO 27701 on tietosuojalaajennus ISO 27001 -standardiin. Vaatimuskehikon avulla olemassaoleva tietoturvan hallintajärjestelmä (ISMS) laajennetaan henkilötietojen käsittelyä ja suojaamista koskevilla vaatimuksilla tietosuojan hallintajärjestelmäksi (PIMS).
Organisaatio voi hankkia sertifioinnin ISO 27701:n mukaiselle hallintajärjestelmälle. Koska vaatimuskehikko laajentaa ISO 27001 -standardia, sertifiointia tavoittelevalla organisaatiolla on oltava myös ISO 27001 -sertifikaatti.
Tiedonhallintalautakunnan muodostama tietoturvallisuuden arviointikriteeristö, joka on kohdistettu suomalaiselle julkishallinnolle.
Julkri listaa 200 eri tasoista tietoturvakäytäntöä, joiden avulla voidaan käytännössä täyttää mm. tiedonhallintalaissa sekä tietosuoja-asetuksessa säädettyjä käsitellyn tiedon turvallisuuteen kohdistuvia vaatimuksia.
Tämä vaatimuskehikko sisältää Julkri: Täysi -kehikon lisäksi kaikki turvallisuusluokitellun tiedon (TL IV, TL III, TL II tai TL I) erityiskriteerit.
Katakria käytetään arvioitaessa kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa. Sitä voidaan käyttää ohjaamaan turvallisuustyötä organisaaiossa, joka haluaa olla valmis viranomaisen toteuttamaan auditointiin.
Katakria käytetään arvioitaessa kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa. Sitä voidaan käyttää ohjaamaan turvallisuustyötä organisaaiossa, joka haluaa olla valmis viranomaisen toteuttamaan auditointiin.
Kyberturvalaki eli Kibernetinio Saugumo Įstatymas toimeenpanee Euroopan unionin NIS2-lain Liettuassa. Siinä asetetaan erilaisille organisaatioille vaatimuksia, niiden kyberturvallisuusriskien hallinnan vahvistamiseksi.
Laissa perustetaan kyberturvallisuuden periaatteet soveltamisalaan kuuluville laitoksille ja asetetaan lisävaatimuksia kansallisille ja kunnallisille toimijoille. Lisäksi asetetaan organisaatioille velvoitteita koskien tietoturvatoimenpiteitä, lain vaatimustenmukaisuutta, sekä täytäntöönpanotoimia
Euroopan unionin NIS2-direktiivi on saatettu Belgiassa osaksi kansallista lainsäädäntöä NIS2-lain muodossa. Laki vastaa läheisesti EU:n NIS2-direktiiviä, ja siinä on vain pieniä kansallisia eroja. Se julkaistiin lakina, jolla luodaan puitteet yleisen edun mukaisten verkkojen ja tietojärjestelmien kyberturvallisuudelle yleisen turvallisuuden kannalta. Se velvoittaa ja määrittelee kyberturvallisuussäännöt Belgiassa rekisteröidyille yrityksille, jotka toimivat kriittisellä sektorilla.
Lain tavoitteena on vahvistaa tietoturvatoimenpiteitä, häiriötilanteiden hallintaa ja sellaisten organisaatioiden valvontaa, jotka tarjoavat palveluja, jotka ovat välttämättömiä kriittisten yhteiskunnallisten tai taloudellisten toimintojen ylläpitämiseksi. Lailla pyritään myös parantamaan julkisten politiikkojen koordinointia kyberturvallisuuden alalla. Belgian kyberturvallisuuskeskus (Centre for Cyber Security Belgium, CCB) on tarjonnut lisäksi CyberFundamentals-vaatimuskehikon, joka on yhdenmukainen NIS2-lain kanssa.
The National Institute of Standards and Technology (NIST) on uudistanut laajalti käytetyn kyberturvallisuuden vaatimuskehikkonsa (CSF). Uusi 2.0-versio on suunniteltu auttamaan kaikentyyppisiä organisaatioita saavuttamaan kyberturvallisuustavoitteensa, ja siinä painotetaan entistä enemmän hallintoa sekä toimitusketjuja. Päivitetyssä vaatimuskehikossa huomioidaan, että organisaatiot tulevat sen pariin erilaisin tarpein ja kokemuksin kyberturvallisuusvälineiden käyttöönotosta.
Päivitetty versio 2.0 on organisaation ensimmäinen merkittävä päivitys sen laajalti käytettyyn kyberturvallisuuden vaatimuskehikkoon sen julkaisemisen jälkeen. Tämä uudistus on monivuotisten keskusteluprosessien ja julkisten kommentien tulos, joiden tarkoituksena on tehdä kehyksestä tehokkaampi ja sopivampi kaikille yleisöille, toimialoille ja organisaatiotyypeille, kun taas alkuperäisessä CSF: ssä keskityttiin suoraan kriittiseen sektoriin. Vaatimuskehikon ydin on nyt järjestetty kuuden avaintoiminnon ympärille: Tunnistaminen, suojaaminen, havaitseminen, reagointi ja toipuminen sekä CSF 2.0: aan hiljattain lisätty Hallinto-toiminto. Yhdessä tarkasteltuna nämä toiminnot tarjoavat kattavan kuvan kyberturvallisuusriskien hallinnan koko elinkaaresta.
NIST-tietoturvakehikko on yhteistyöhanke, jota koordinoi National Institute of Standards and Technology (NIST, osa Yhdysvaltain kauppaministeriötä) ja johon on osallistunut teollisuuden, yliopistoyhteisön ja hallituksen osallistujia.
Kehikko on suunniteltu auttamaan kriittisen infran omistajia ja operoijia tunnistamaan, arvioimaan ja hallitsemaan tietoturvariskejä.
NCM ICT Security Principles on Norjan kansallisen turvallisuusviranomaisen (NSM) julkaisema ja ylläpitämä tieto- ja viestintätekniikan tietoturvaa koskeva kehys. Turvallisuusperiaatteissa neuvotaan yrityksiä ja organisaatioita, miten ne voivat suojata tietojärjestelmiään luvattomalta käytöltä, vahingoittumiselta tai väärinkäytöltä.
Periaatteissa keskitytään teknisiin ja organisatorisiin toimenpiteisiin. Fyysistä turvallisuutta ja inhimillistä näkökulmaa koskevia toimenpiteitä ei yleensä käsitellä. Toimenpiteitä sovelletaan sekä tahattomiin että tahallisiin tekoihin, vaikka pääpaino onkin tahallisissa teoissa.
Näissä puitteissa on 21 turvallisuusperiaatetta, joihin sisältyy yhteensä 118 turvatoimenpidettä, jotka jakautuvat neljään luokkaan: i) tunnistaminen, ii) suojaaminen ja ylläpito, iii) havaitseminen ja iv) reagointi ja palautus.
Euroopan unionin NIS2-direktiivi on toimeenpantu Latviassa "kansalliseksi kyberturvallisuuslaiksi". Sen tavoitteena on parantaa tieto- ja viestintätekniikan turvallisuutta, mukaan lukien olennaisten palvelujen ja tärkeiden palvelujen tarjoamista ja vastaanottamista sekä tieto- ja viestintätekniikan käyttöä koskevien vaatimusten asettaminen.
Laissa määritellään menettelyt kyberturvallisuuden varmistamiseksi, säädetään kansallisen kyberturvallisuuskeskuksen vastuunjaosta ja toimivallasta, yhteistyöpuitteista ja kyberturvallisuuden edistämistehtävistä. Tavoitteena on myös edistää tietoturvastoimenpiteiden toteuttamista siten, että tietoturvauhkia kyetään ennakoimaan ja ehkäisemään ajoissa sekä voittamaan kyberuhat ja poistamaan niiden seuraukset siten, että palvelujen luottamuksellisuuden, eheyden ja saatavuuden jatkuvuus varmistetaan mahdollisuuksien mukaan.
SOC 2 -vaatimuskehikko määrittelee, kuinka organisaatioiden tulee suojata asiakastietoja esimerkiksi luvattomalta käytöltä, tietoturvaloukkauksilta tai muilta haavoittuvuuksilta. Sen on kehittänyt American Institute of Certified Public Accountants (AICPA).
SOC 2 sisältää 5 erilaista vaatimusryhmää: turvallisuus, saatavuus, käsittelyn eheys, luottamuksellisuus ja yksityisyys. SOC 2 -tarkastus voidaan suorittaa liittyen yhteen tai kaikkiin näistä kriteereistä. Jokaisella kriteereillä on erityisiä vaatimuksia, jotka yrityksen on täytettävä ottamalla käyttöön kontrolleja.
TISAX (Trusted Information Security Assessment Exchange) on yritysten tietoturvan arviointi- ja vaihtomekanismi, joka mahdollistaa arviointitulosten vertaamisen osallistujien kesken.
Tämä kehys sisältää TISAXin tietoturvavaatimukset, jotka ovat pakollisia kaikille TISAXin osallistujille. Kehystä voidaan laajentaa edelleen prototyyppisuojaus- ja tietosuojavaatimuksilla, jotka löytyvät laajennuskehikkoina.
Tiedonhallintalautakunnan suositus, joka opastaa tiedonhallintalain asettamien tietoturvallisuuden vähimmäisvaatimusten täyttämisessä, jotka kaikkien julkishallinnon organisaatioiden tulee vähintään täyttää. Vähimmäisvaatimusten osana organisaatioiden tulee tunnistaa ja arvioida tietojenkäsittelyyn liittyvät riskit sekä toteuttaa toimenpiteet riskien pienentämiseksi hyväksyttävälle tasolle.
Tiedonhallintalain tarkoituksena on edistää julkisen hallinnon tiedonhallintaa, tietoturvallisuutta sekä digitalisointia.
Voimassa olevan asiakastietolain mukaisesti kaikkien sosiaali- ja terveydenhuollon palvelunantajien on laadittava tietosuojan, tietoturvallisuuden ja tietojärjestelmien käytön omavalvontasuunnitelma.
THL julkaisi vuonna 2020 uuden mallin tietoturvallisuuden ja tietosuojan omavalvontasuunnitelmasta. Omavalvontasuunnitelma tukee sote-palveluntuottajia tietoturvallisuuden ja tietosuojan suunnittelussa.
Palveluntuottaja pystyy suunnitelman avulla huomioimaan ja suunnittelemaan olennaiset tietosuojan, tietoturvallisuuden ja tietojärjestelmien käytön asiat.
Tietoturvasuunnitelma on dokumentti, jolla sosiaali- ja terveyspalveluiden tuottajat kuvaavat tietoturvan- ja tietosuojan omavalvontaa. Tietoturvasuunnitelman täytyy kuvata kuinka palveluntuottaja täyttää asiakastietolain 27 §:n vaatimukset, joita asiakas- ja potilastietojen käsittelyyn ja niitä käsitteleviin tietojärjestelmiin liittyy. Vaatimuksia ovat mm.
Tietosuoja-asetus määrää vaatimukset lailliselle henkilötietojen käsittelylle ja riittävän tietosuojatason osoittamiselle.
Kroatian NIS2-toimeenpano nimeltään Kyberturvallisuuslaki (Zakon o kibernetičkoj sigurnosti NN 14/2024) tuli voimaan helmikuussa 2024. Siinä määritellään kroatialaisia yrityksiä koskevat kyberturvallisuussäännöt samoin perustein kuin NIS2:ssa muutamin poikkeuksin. Sen on laatinut tietojärjestelmien turvallisuutta käsittelevä instituutti (ZSIS).
Lain tavoitteena on vahvistaa kyberturvallisuustoimenpiteitä, häiriötilanteiden hallintaa ja sellaisten yksiköiden valvontaa, jotka tarjoavat palveluja, jotka ovat välttämättömiä kriittisten yhteiskunnallisten tai taloudellisten toimintojen ylläpitämiseksi. Lailla pyritään myös parantamaan julkisten politiikkojen koordinointia kyberturvallisuuden alalla.
Ohjevideot ovat poimintoja webinaarikoulutuksistamme, joissa käymme läpi tiettyä digiturvan johtamisen teemaa.
Blogikirjoituksissa avaamme tarkemmin tiettyä digiturvan tärkeää työaluetta, kuten riskien hallintaa tai henkilöstön ohjeistamista.
Ohjeartikkelit antavat tarkkoja työkaluohjeita tiettyjen asioiden tekemiseen Digiturvamallissa.
Ohjeartikkelit antavat tarkkoja työkaluohjeita tiettyjen asioiden tekemiseen Digiturvamallissa.
Ohjeartikkelit antavat tarkkoja työkaluohjeita tiettyjen asioiden tekemiseen Digiturvamallissa.
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.