Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä sekä tietojärjestelmille nimetyistä omistajista. Omistaja vastaa järjestelmän tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti järjestelmään.
Järjestelmiin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:
Organisaatiolla on prosessi, jonka avulla ohjelmisto tarkastetaan ja hyväksytään ennen asennusta tai käyttöä. Prosessi sisältää ainakin seuraavat asiat
Tähän prosessiin olisi sisällyttävä myös erityistarkoituksiin käytettävien ohjelmistojen, kuten ylläpitotyökalujen, valinta.
Organisaation on määriteltävä (tarkempien toimittajavastuita, -häiriöitä sekä pilvipalveluiden hankintaa koskevien käytäntöjen lisäksi), millä yleisillä periaatteilla se aikoo hallita pilvipalveluiden käyttöön liittyviä tietoturvariskejä.
Määritelmissä on otettava huomioon mm.:
Organisaatiolla tulisi olla määritelly ohjeet tietojärjestelmien yleisesti hyväksyttävälle käytölle sekä tarvittavien tunnistautumistietojen hallinnalle.
Tärkeäksi luokiteltujen tietojärjestelmien omistaja voi lisäksi määritellä, dokumentoida ja jalkauttaa tarkempia sääntöjä juuri tämän tietojärjestelmän käytöstä. Nämä saannöt voivat kuvata mm. tietoturvavaatimukset, jotka järjestelmän sisältävään tietoon liittyvät.
Valmistajan on ilmoitettava käyttäjille ja mahdollisuuksien mukaan asianomaisille markkinavalvontaviranomaisille ennen toimintojen lopettamista aikomuksestaan lopettaa toiminnot.
Organisaatio ylläpitää ajantasaisia ja oikeita vaatimustenmukaisuustodistuksia tuotteistaan ja palveluistaan, ja todistukset ovat asiakkaiden saatavilla. Pilvipalvelujen osalta myös pilvipalvelun tarjoajan vaatimustenmukaisuustodistuksen on oltava helposti saatavilla.
Teknisen tuen voimassaoloajan päättymispäivä on mahdollisuuksien mukaan kuvattava selkeästi ja ytimekkäästi ostoasiakirjoissa ja itse tuotteessa. Tukijakson päättymispäivä on vähintään kuukausi ja vuosi.
Tuotteeseen liittyvää dokumentaatiota (suunnittelukuvaukset, testitulokset jne.) ylläpidetään ja säilytetään teknisen dokumentaation omistajan kanssa tehdyn sopimuksen mukaisesti.
Tuotteiden tietoturvaan liittyvät tiedot (esim. pääsylokit tai tietojen, palvelujen tai toimintojen muutokset) kirjataan ja raportoidaan. Tietojen olisi oltava käyttäjien saatavilla ja niiden muuttamisen olisi oltava mahdollista.
Järjestelmässä tulee olla mekanismeja, joilla estetään tai minimoidaan sen haitalliset vaikutukset muihin järjestelmiin, esimerkiksi estämällä järjestelmää ylikuormittamasta yllättäen muita järjestelmiä.
Organisaatiolla on sopiva prosessi tuotteidensa tukemiseksi koko tukikauden ajan. Organisaatio ottaa tukiprosessissaan huomioon seuraavat seikat:
Kunkin tuotteen tukikauden on oltava helposti käyttäjien saatavilla ostohetkellä tai muutoin omistusoikeuden siirtohetkellä. Jos järjestelmässä on digitaalisia elementtejä ja tukiaika on tuotteelle teknisesti toteutettavissa, tukiajan päättymisestä on ilmoitettava käyttäjille.
Organisaation on annettava yhteystiedot tarjottujen tuotteiden tai järjestelmien haavoittuvuuksien ilmoittamista varten. Yhteystietojen olisi sisällettävä viestintäväline, osoite haavoittuvuusilmoitusten lähettämistä varten tai molemmat.
Tukiaika määritellään kunkin toimitetun tuotteen osalta. Tukiaikana otetaan huomioon vähintään seuraavat seikat:
Tukiaika on vähintään viisi vuotta. Jos tuotetta odotetaan käytettävän alle viisi vuotta, tukikauden on oltava sama kuin odotettu käyttöaika.
Tuotteessa on selkeät ja tiiviit käyttö- ja asennusohjeet, jotka on kirjoitettu käyttäjälle helposti ymmärrettävällä kielellä. Ohjeet toimitetaan tuotetta hankittaessa esimerkiksi paperilla tai sähköisessä muodossa. Ohjeet ovat käyttäjän saatavilla myös oston jälkeen, esimerkiksi valmistajan verkkosivujen kautta. Ohjeet on laadittava vähintään sen markkinan kielellä, jolla tuote toimitetaan.
Valmistajalla on menettelyt, joilla tunnistetaan, dokumentoidaan ja analysoidaan kaikkien kehitys- ja tuotantoprosessiin, digitaalisia elementtejä sisältävän tuotteen suunnitteluun tai ominaisuuksiin tehtyjen muutosten ja niihin liittyvien yhdenmukaistettuihin standardeihin, eurooppalaisiin kyberturvallisuuden sertifiointijärjestelmiin tai 27 artiklassa tarkoitettuihin yhteisiin eritelmiin tehtyjen muutosten vaikutukset.
Järjestelmät ja sovellukset on suunniteltava siten, että tietojen eheys on suojattu tietojen häviämiseltä, muuttamiselta tai väärinkäytöltä. Tietojen eheys suojataan tarkistamalla tiedot itse luvattomien muutosten varalta. Tiedot on suojattava tallennuksen, siirron ja käsittelyn aikana. Eheys voidaan varmistaa esimerkiksi tarkistussumma-algoritmeilla, digitaalisilla allekirjoituksilla tai viestin todennuskoodeilla.
Muutostenhallintamenettely olisi dokumentoitava. Dokumentoinnin tulisi sisältää ainakin seuraavat asiat:
Organisaatiolla on oltava käytössään menettelyt järjestelmävirheiden käsittelemiseksi. Näihin kuuluvat ainakin seuraavat:
Muiden rahoituslaitosten kuin mikroyritysten osalta on määrättävä, että näiden rahoituslaitosten on pidettävä kirjaa tiedoista, jotka ovat tarpeen erityisen tieto- ja viestintätekniikan riskinarvioinnin suorittamiseksi kaikista asetuksen (EU) 2022/2554 8 artiklan 7 kohdassa tarkoitetuista vanhoista tieto- ja viestintätekniikkajärjestelmistä.
Organisaation on lueteltava:
Organisaatiolla on oltava menettely käytössä olevien järjestelmien valvomiseksi, jotta voidaan ylläpitää ja parantaa:
Menettelyssä on otettava huomioon käytössä olevien järjestelmien erilainen luonne ja erityispiirteet.
Organisaatiolla on oltava toimenpiteet käytettyjen järjestelmien suorituskyvyn optimoimiseksi, valvomiseksi ja parantamiseksi.
Organisaation on kehitettävä turvallisuuspolitiikat ja -menettelyt sellaisten työasemien käyttöä varten, joilla on pääsy henkilötietoihin. Politiikassa on kuvattava:
Työasemille, joilla on pääsy suojattuihin terveystietoihin (PHI), olisi otettava käyttöön fyysiset suojatoimet ja pääsynvalvonta, joilla rajoitetaan pääsy vain valtuutettuihin käyttäjiin.
The organization should establish and maintain a comprehensive inventory of all critical infrastructure points. This inventory must include not only IT systems and network services. It should also include physical assets such as power sources, cooling systems, data centers, and specific critical hardware.
The precise physical and logical location should be documented for each identified point. The criticality of each point must be assessed based on the potential impact its failure or destruction would have on the overall service operation.
The organization must implement and maintain formal process to ensure that all information systems requiring protection are approved by a designated accreditation authority.
If the system will process classified information, the accreditation must be obtained before the system is put into operational use.
The organization must also establish a process for maintaining the system's accreditation if major changes are made to the system or its security posture.
Kun organisaatio käyttää tietojärjestelmiä yhdessä muiden organisaatioiden kanssa, voidaan sopia, että yksi organisaatio huolehtii turvallisuusvalvonnasta kaikkien osapuolten puolesta. Tällöin valvonnasta vastaavan organisaation on varmistettava, että yhteiseen järjestelmään sovellettavat tietoturvavaatimukset täyttyvät. Tähän kuuluu sellaisten selkeiden sopimusten laatiminen, joissa määritellään valvonnan laajuus, vastuut, raportointimekanismit ja asiaankuuluvien tietoturvastandardien ja -määräysten noudattaminen.
The organization should regularly test and verify the effectiveness of implemented security controls and system configurations.
The testing should cover:
The results of these tests, including any identified deficiencies and corrective actions, should be documented to demonstrate that security measures are functioning as intended and that systems maintain their secure state.
Organisaation olisi suunniteltava säännöllisesti verkkojensa ja tietojärjestelmiensä kapasiteettia varmistaakseen, että ne pystyvät vastaamaan nykyisiin ja tuleviin vaatimuksiin, mukaan lukien kuormitushuiput ja odottamattomat virtapiikit. Olisi toteutettava toimenpiteitä, joilla varmistetaan näiden järjestelmien häiriönsietokyky laitevikoja, sähkökatkoksia ja muita häiriötilanteita vastaan. Tähän voi kuulua esimerkiksi redundanssin, vikasietoisten rakenteiden ja vankkojen varajärjestelmien käyttöönotto. Näiden toimenpiteiden olisi oltava oikeassa suhteessa järjestelmien kriittisyyteen ja niiden käytettävyyteen liittyviin tunnistettuihin riskeihin.
Organisaatio vahvistaa palveluntarjoajien hallintaa kehittämällä rooliin, kriittisyyteen ja arkaluonteiseen tietoon pääsyyn perustuvan luokittelukehyksen, ylläpitämällä yksityiskohtaista luetteloa sekä tekemällä säännöllisiä arviointeja ja due diligence -tarkastuksia. Suorituskyvyn ja vaatimustenmukaisuuden jatkuvalla seurannalla, selkeillä käytöstäpoistomenettelyillä ja säännöllisillä toimintaperiaatteiden päivityksillä varmistetaan, että palveluntarjoajat ovat linjassa turvallisuusvaatimusten, organisaation tavoitteiden ja kehittyvän uhkakuvan kanssa.
Organisaatio parantaa tietoturvaa ottamalla käyttöön erillisiä työasemia ja virtuaalisen työpöydän hallintatehtäviä varten, käyttämällä verkon segmentointia, rajoittamalla Internet-yhteyksiä, ottamalla käyttöön tiukkoja pääsynvalvontajärjestelmiä ja käyttämällä suojattuja käyttöjärjestelmiä.
Organisaatio on ottanut käyttöön riskiperusteisen korjausstrategian, jossa toimet asetetaan tärkeysjärjestykseen vaikutusten perusteella, dokumentoidaan johdonmukaisuuden varmistamiseksi, tarkastellaan kuukausittain niiden tehokkuutta, kohdennetaan resurssit tehokkaasti riskinarviointien perusteella ja otetaan sidosryhmät mukaan kattavan tuen saamiseksi.
Organisaatio on parantanut tilien hallintaa ja tietoturvaa ottamalla käyttöön keskitetyn hakemistopalvelun, jossa on integroitu kertakirjautuminen, standardoitu käyttöönotto, keskitetty käyttöoikeuksien valvonta sekä parannetut tarkastus- ja raportointimahdollisuudet.
Organisaatio on ottanut käyttöön automaattisen tilien seuranta- ja deaktivointiprosessin, jossa on 45 päivän toimimattomuusraja ja jota täydennetään säännöllisillä tarkistuksilla ja käyttäjille tehtävillä ilmoituksilla ennen deaktivointia, mikä takaa tehokkaan tilinhallinnan ja turvallisuuskäytäntöjen noudattamisen.
Organisaatio on ottanut käyttöön isäntäpohjaisen DLP-työkalun (Data Loss Prevention), joka valvoo arkaluonteisia tietoja kaikissa yrityksen resursseissa, myös etäkäytössä olevissa resursseissa, integroituu tietovarastointijärjestelmiin reaaliaikaista seurantaa varten, luo hälytyksiä luvattomista tietotoimista ja käy läpi säännöllisiä tarkastuksia tehokkuutensa varmistamiseksi.
Organisaatio on kehittänyt tiedonhallintakehyksen luokittelemalla tietojen arkaluonteisuuden, erottelemalla käsittely-ympäristöt toisistaan, ottamalla käyttöön tiukat pääsynvalvontamekanismit ja laatimalla yksityiskohtaiset käsittelykäytännöt, joita kaikkia tarkistetaan säännöllisesti.
Organisaatio on kehittänyt tieto-omaisuudenhallintastrategian, joka sisältää kattavat ja säännöllisesti päivitettävät inventoinnit kaikesta fyysisestä, virtuaalisesta, etä- ja pilvipalveluun liitetystä omaisuudesta. Tieto-omaisuudenhallintastrategia kattaa myös ulkoisen omaisuuden, ja siinä hyödynnetään automatisoituja seurantatyökaluja tarkkuuden ja tietosuojamääräysten noudattamisen varmistamiseksi.
Organisaatio varmistaa, että hyväksyttyjä ohjelmistoja tuetaan:
Organisaatio määrittelee prosessit ja keinot, joilla varmistetaan käytössä olevien tietojen luottamuksellisuus, eheys ja saatavuus. Näihin prosesseihin voivat kuulua esimerkiksi
Ohjelmistotuotteet tulisi ladata vain palveluntarjoajan viralliselta verkkosivustolta (vain HTTPS-yhteyden kautta). Näin varmistetaan ohjelmiston eheys ja legitimiteetti. Organisaation tulisi säilyttää kaikki asennusohjelmistot tiedostokansioissa, joihin vain ohjelmistojen asennuksesta vastaavilla henkilöillä on kirjoitusoikeus.
Kun ICT-tuotteita huolletaan, palveluntarjoajan fyysistä pääsyä on säänneltävä ja valvottava.
Organisaatioilla olisi oltava selkeä suunnitelma, jossa esitetään yksityiskohtaisesti, miten käytöstä poistamista hallitaan. Suunnitelmaan olisi sisällyttävä esimerkiksi prosessit ja se, miten uuteen tuotteeseen siirtyminen hoidetaan.
Jos ICT-tuotteessa ei ole viimeisimpiä turvatoimintoja ja -protokollia, sitä ei pitäisi käyttää ja se on poistettava käytöstä asteittain.
Vaiheittainen käytöstä poistaminen olisi suunniteltava etukäteen, ennen kuin palveluntarjoaja lopettaa tuotetuen, jotta voidaan varmistaa uusimpien tietoturvatoimintojen ja -protokollien käyttö. Esimerkiksi joissakin vanhemmissa sovelluksissa saattaa olla uusimmat turvatoiminnot, mutta ne eivät toimi hyvin uudempien hyökkäysten esto työkalujen kanssa. Tässä tilanteessa olisi tehtävä poikkeuksia, jotta suojausta ei poistettaisi kokonaan käytöstä, mutta on tärkeää muistaa, että käytöstä poistamisprosessi on todennäköisesti ajankohtainen lähitulevaisuudessa.
Vaiheittaisen poistamisen jälkeen on tärkeää arvioida prosesseja ja dokumentoida niistä opitut asiat tulevaisuutta varten.
Kartoita työprosessien, käyttäjien, laitteiden ja palvelujen välinen tiedonkulku. Tämä kartoitus auttaa organisaatiota ymmärtämään tiedonkulkua paremmin.
Suunnittele ICT-järjestelmä käyttäen hyvin integroitavia ICT-tuotteita. Tämä tarkoittaa, että:
Suunnittele ICT-järjestelmä käyttäen hyvin integroitavia ICT-tuotteita. Tämä tarkoittaa, että:
Kattavan turvallisuusarkkitehtuurin luominen ja ylläpitäminen. ICT-järjestelmään olisi sisällytettävä seuraavat toiminnot:
Varmista ulkoisten järjestelmien yhteyksien turvallisuus tarkistamalla ja dokumentoimalla ne virallisilla sopimuksilla. Tarkista nykyiset yhteydet ja niiden turvatoimenpiteet dokumentoitujen sopimusten puitteissa, kuten esimerkiksi:
Organisaatiolla on oltava määritellyt vaatimukset tietojärjestelmien auditointien suorittamiselle tai auditointia suorittavalle palvelulle. Lisäksi on otettava huomioon seuraavat seikat:
Organisaation tulisi:
Kriittiset järjestelmänvalvojan toiminnot tarkoittavat toimintoja, joissa vika voi aiheuttaa peruuttamatonta vahinkoa pilvilaskentaympäristön sisällölle.
Kriittiset järjestelmänvalvojan toiminnot voivat sisältää esimerkiksi virtualisoituihin laitteisiin (esim. palvelimet, verkot, tallennus) liittyvät muutokset, lopetusmenettelyt, varmuuskopiointi ja palautus.
Jos tietojärjestelmä sisältää säännöllisiä kriittisiä järjestelmänvalvojan toimintoja, ne dokumentoidaan. Myös kriittisten järjestelmänvalvojatoimintojen suorittamisen menettelyt on dokumentoitu etukäteen tarvittavalla tarkkuudella kaikille käytettäville tietojärjestelmille.
Aina kun kriittinen järjestelmänvalvojan toiminto suoritetaan, dokumentaatiossa nimetty valvoja valvoo toimintaa.
Organisaatio hyödyntää vähimmän toiminnallisuuden periaatetta (principle of least functionality) järjestelmien käyttöönotossa ja asetuksissa. Järjestelmillä ei saa olla oikeuksia mihinkään mitä ei tarvita toteuttamaan sitä mihin ne on tarkoitettu.
Organisaation on hyödynnettävä mekanismeja kuten:
Olennaisilla tietojärjestelmillä tarkoitetaan sellaisia tietojärjestelmiä, jotka ovat kriittisiä viranomaisen lakisääteisten tehtäviä toteuttamisen kannalta erityisesti hallinnon asiakkaille palveluja tuotettaessa.
Toiminnallisella käytettävyydellä tarkoitetaan tietojärjestelmän käyttäjän kannalta sen varmistamista, että tietojärjestelmä on helposti opittava ja käytössä sen toimintalogiikka on helposti muistettava, sen toiminta tukee niitä työtehtäviä, joita käyttäjän pitää tehdä tietojärjestelmällä ja tietojärjestelmä edistää sen käytön virheettömyyttä.
Orgaisaation on myös varmistettava digitaalisten palveluiden saavutettavuus lainsäädännön edellyttämässä laajuudessa:
Saavutettavuus tarkoittaa sitä, että mahdollisimman moni erilainen ihminen voi käyttää verkkosivuja ja mobiilisovelluksia mahdollisimman helposti. Saavutettavuus on ihmisten erilaisuuden ja moninaisuuden huomiointia verkkosivujen ja mobiilisovelluksien suunnittelussa ja toteutuksessa. Saavutettavan digipalvelun suunnittelussa ja toteutuksessa pitää huomioida kolme osa-aluetta: tekninen toteutus, helppokäyttöisyys ja sisältöjen selkeys ja ymmärrettävyys.
Tietojärjestelmiin ja verkkoihin liittyvää turvallisuusdokumentaatiota ylläpidetään ja sitä kehitetään jatkuvasti tärkeänä osana yleistä muutostenhallintaprosessia.
Viranomaisen on varmistettava tietojärjestelmien saatavuus koko niiden elinkaaren ajan. Tämän vuoksi eri tietojärjestelmien saatavuusvaatimukset (etenkin pisin aika, jonka järjestelmä voi olla pois käytöstä, palautusaikatavoite sekä palautuspistetavoite).
Saatavuusvaatimusten toteutuksen tulee huomioida tietojärjestelmältä edellytettävä kuormituksen kesto, vikasietoisuus ja palautumisaika.
Lisäksi tarve saatavuutta suojaaville menettelyille on tunnistettu ja menettelyt on toteutettu kriittisille järjestelmille järjestelmäkohtaisesti räätälöidyillä suojauksilla. Suojauksiin voi sisältyä esimerkiksi keskeisten verkkoyhteyksien, laitteistojen ja sovellusten ajoympäristöjen kahdentamiset.
Jos palvelulla on saatavuus vaatimuksia, seurataan sen saatavuutta valvontajärjestelmällä. Valvontajärjestelmän tulee lähettää hälyttää havaitusta saatavuuspoikkeamista.
Organisaation tietojärjestelmät ja laitteisto ovat kattavasti järjestelmienhallinnan piirissä. Järjestelmienhallinnan kautta voidaan mahdollistaa mm. automaattiset päivitykset.
Tietojärjestelmiin kohdistuvien, esimerkiksi auditointien aikana tehtävien, tarkistusten sekä muiden varmennustoimien tulee olla ennalta suunniteltuja ja sovittuja asianmukaisten testaajien sekä johdon kanssa. Tällä pyritään minimoimaan toimien vaikutus toimintaprosesseihin.
Käytäntöjä suunniteltaessa on huomioitava seuraavat seikat:
Käsiteltäessä samalla varmistusjärjestelmällä eri omistajien tietoja, tarkastusoikeuden mahdollistavat erottelumenettelyt on toteutettava varmistusjärjestelmän liittymien ja tallennemedioiden osalta (esim. omistaja-/hankekohtaiset eri avaimilla salatut nauhat, joita säilytetään asiakaskohtaisissa kassakaapeissa/kassakaappilokeroissa).
Organisaation täytyy huolehtia, että sen lisensoimat ohjelmistot:
Organisaation on huolehdittava turhien ohjelmistojen, kuten sovellusten, järjestelmien apuohjelmien ja tietoverkkopalveluiden poistamisesta.
Organisaatio katselmoi säännöllisesti tietojärjestelmien teknistä vaatimuksenmukaisuutta organisaatiota koskevien vaatimusten kanssa.
Katselmoinnissa voidaan hyödyntää manuaalista toteutusta kokeneiden ammattilaisten toimista tai automatisoituja työkaluja (mm. tunkeutumistestaus).
Tekninen katselmointi on aina suunniteltava ja toteutettava osaavan ja ennalta hyväksytyn henkilöstön toimesta.
Organisaatio pitää kirjaa tietojärjestelmän liittymistä muihin tietojärjestelmiin sekä liittymissä käytettävistä tiedonsiirtotavoista.
Dokumentaatio liittymien suhteen on katselmoitava säännöllisesti sekä järjestelmiin tehtävien muutosten jälkeen.
Osoittaakseen tiettyjen velvoitteiden noudattamisen toimivaltainen kansallinen viranomainen, NIS, voi velvoittaa organisaatiot käyttämään keskeisten tai tärkeiden yksiköiden kehittämiä tai kolmansilta osapuolilta ostettuja tieto- ja viestintäteknisiä tuotteita, tieto- ja viestintäteknisiä palveluja ja tieto- ja viestintäteknisiä prosesseja edellyttäen, että ne on sertifioitu eurooppalaisten tietoverkkoturvallisuuden sertifiointijärjestelmien mukaisesti.
Toimivaltainen kansallinen viranomainen, NIS, edistää myös pätevien luottamuspalvelujen käyttöä organisaatioissa.
Organisaatioilla olisi oltava selkeä suunnitelma, jossa esitetään yksityiskohtaisesti, miten käytöstä poistamista hallitaan. Suunnitelmaan olisi sisällyttävä esimerkiksi prosessit ja se, miten uuteen tuotteeseen siirtyminen hoidetaan.
Jos ICT-tuotteessa ei ole viimeisimpiä turvatoimintoja ja -protokollia, sitä ei pitäisi käyttää ja se on poistettava käytöstä asteittain.
Vaiheittainen käytöstä poistaminen olisi suunniteltava etukäteen, ennen kuin palveluntarjoaja lopettaa tuotetuen, jotta voidaan varmistaa uusimpien tietoturvatoimintojen ja -protokollien käyttö. Esimerkiksi joissakin vanhemmissa sovelluksissa saattaa olla uusimmat turvatoiminnot, mutta ne eivät toimi hyvin uudempien hyökkäysten esto työkalujen kanssa. Tässä tilanteessa olisi tehtävä poikkeuksia, jotta suojausta ei poistettaisi kokonaan käytöstä, mutta on tärkeää muistaa, että käytöstä poistamisprosessi on todennäköisesti ajankohtainen lähitulevaisuudessa.
Vaiheittaisen poistamisen jälkeen on tärkeää arvioida prosesseja ja dokumentoida niistä opitut asiat tulevaisuutta varten.
Tietoturvallisuutta koskevat tarkastukset ja uudelleentarkastelut on tärkeää suorittaa määräajoin tietojenkäsittely-ympäristön normaalin toiminnan aikana, huoltotoimenpiteiden yhteydessä sekä poikkeuksellisten tilanteiden ilmetessä.
Organisaatio on määritellyt aikamääreet ja tapahtumat, joiden mukaisesti tietoturvallisuutta koskevia tarkastuksia suoritetaan.
Organisaation on varmistettava, että tietojärjestelmiä asentaa, ylläpitää ja päivittää ainoastaan henkilöstö, jolla on siihen tarvittava ammattitaito ja asiantuntemus. Lisäksi on kuvattava tietojärjestelmiä asentavan, ylläpitävän ja päivittävän henkilön rooli ja vastuut suhteessa organisaation sekä tietojärjestelmän tuottajaan.
Keskimäärin IT-pääkäyttäjä arvioi henkilöstön käyttävän n. 50 pilvipalvelua, kun todellinen määrä on 1 000. Useat näistä ovat tärkeitä henkilöstön tuottavuuden kannalta ja niitä käytetään organisaation verkon ulkopuolelta, joten palomuurisäännöillä ei haastetta ratkaista.
Pilvipalvelujen tunnistamiseen ja hallintaan keskittyvien järjestelmien avulla voit tunnistaa henkilöstön käyttämiä pilvipalveluita ja valvoa eri palvelujen käyttäjiä. Tämä auttaa mm.:
Jokaiselle tietojärjestelmälle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.
Omistajan tehtäviin kuuluu mm.:
Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.
Tietojärjestelmälistausta on katselmoitava säännöllisesti, jotta varmistetaan sen tarkkuus, ajantasaisuus ja johdonmukaisuus.
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.