Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

15.1.3
ISO 27017

ISO 27017

A.11.12
ISO 27018

ISO 27018

Muita saman teeman digiturvatehtäviä

Toimittajasopimusten nykytilan dokumentointi

Critical
High
Normal
Low

Kaikkien tietojen käsittelyyn suorasti tai välillisesti osallistuvien kumppanien kanssa laaditaan toimittajasopimus. Tavoitteena on varmistaa, että organisaation ja toimittajan välillä ei ole väärinymmärryksiä osapuolten velvoitteista tietoturvavaatimusten täyttämisessä.

Organisaatio sisällyttää toimittajasopimukseen tarvittaessa seuraavat asiat:

  • toimittajan käyttämät tiedot (ja tiedon mahdollinen luokitus) sekä tietoihin pääsyn saava henkilöstö
  • tiedon hyväksyttävän käytön säännöt
  • tietoja käsittelevän henkilöstön salassapitovelvollisuus
  • työnjako viranomaisvaatimusten täyttämisessä
  • sopimusosapuolten hallintatehtävät tietoturvaan liittyen (esim. pääsynhallinta, valvonta)
  • häiriöiden ilmoittaminen ja korjaaminen
  • vaatimukset toimittajan alihankkijoiden käytölle
  • lupa auditoida sopimukseen liittyvät toimittajan prosessit ja hallintakeinot (ja puutteiden korjaaminen)
  • sitoutuminen tietojen palauttamiseen tai tuhoamiseen sopimuksen päättyessä
  • toimittajan vastuu noudattaa organisaation tietoturvakäytäntöjä
28. Henkilötietojen käsittelijä
GDPR
15.1.3: Information and communication technology supply chain
ISO 27001
A.7.2.6: Contracts with PII processors
ISO 27701
HAL-16.1: Hankintojen turvallisuus - sopimukset
Julkri
TSU-04: Henkilötietojen käsittelijä
Julkri

Tietoja käsittelevien kumppanien listaus ja omistajien nimeäminen

Critical
High
Normal
Low

Organisaation on ylläpidettävä listaa kumppaneista, joilla on pääsy luottaumuksellisiin tietoihin. Järjestelmätoimittajat sekä henkilötietojen käsittelijät listataan erillään muista sidosryhmistä, koska heillä on aktiivinen rooli tietojen käsittelyssä.

28. Henkilötietojen käsittelijä
GDPR
44. Siirtoja koskeva yleinen periaate
GDPR
26. Yhteisrekisterinpitäjät
GDPR
15.1.1: Information security policy for supplier relationships
ISO 27001
8.1.1: Inventory of assets
ISO 27001

Asiakasryhmien dokumentointi, joiden tietoja organisaatio käsittelee

Critical
High
Normal
Low

Organisaation on määritettävä

  • tietoturvallisuuden hallintajärjestelmän kannalta olennaiset sidosryhmät
  • näiden sidosryhmien asettamat tietoturvallisuutta koskevat vaatimukset

Organisaation toiminnalle tärkeät asiakasryhmät tai yksittäiset merkittävät asiakkaat ovat yleensä yksi tärkeimmistä sidosryhmistä myös tietoturvallisuuden näkökulmasta. Muita sidosryhmiä tarkastellaan muiden tehtävien kautta.

CLD 8.1.5: Removal of cloud service customer assets
ISO 27017
CLD 6.3: Relationship between cloud service customer and cloud service provider
ISO 27017
CLD 6.3.1: Shared roles and responsibilities within a cloud computing environment
ISO 27017
A.8.2.1: Customer agreement
ISO 27701
4.2: Sidosryhmät
ISO 27001

Muiden sidosryhmien dokumentointi

Critical
High
Normal
Low

Organisaation on määritettävä

  • tietoturvallisuuden hallintajärjestelmän kannalta olennaiset sidosryhmät
  • näiden sidosryhmien asettamat tietoturvallisuutta koskevat vaatimukset

Tietojärjestelmätoimittajia sekä henkilötietojen käsittelijöitä tarkastellaan muiden tehtävien kautta.

HAL-04.6: Suojattavat kohteet - sidosryhmät
Julkri
HAL-05: Vaatimukset
Julkri
4.2: Sidosryhmät
ISO 27001
3: Keskeisten sidos- ja asiakasryhmien kartoitus

Toimittajayrityskohtaisten vastuuhenkilöiden määrittely

Critical
High
Normal
Low

Toimittajayrityksille on nimetty vastuuhenkilö, joka seuraa toimittajan toimintaa, tiedotusta sekä sopimuksen noudattamista.

Vastuuhenkilöllä on oltava riittävät taidot digiturvavaatimusten analysointiin toimittajan kriittisyydestä riippuen. Vastuuhenkilö myös huolehtii, että toimittaja nimittää omalta puoleltaan vastuuhenkilön varmistamaan sopimuksen noudattamisen.

15.2.2: Managing changes to supplier services
ISO 27001
8.1.2: Ownership of assets
ISO 27001
ID.SC-4: Audit suppliers and third-party partners
NIST

Toimittajien tietoturvavaatimusten noudattamisen seuranta

Critical
High
Normal
Low

Nimetty vastuuhenkilö seuraa toimittajan toimintaa ja palveluita aktiivisesti, jotta varmistetaan sopimusten tietoturvaehtojen noudattaminen ja tietoturvahäiriöiden asianmukainen hallinta.

Seurantaan sisältyvät seuraavat asiat:

  • luvatun palvelutason tarkkailu
  • toimittajan raporttien katselmointi ja seurantapalaverien järjestäminen
  • riippumattomien auditointien säännöllinen järjestäminen
  • auditoinneissa tunnistettujen ongelmien seuranta
  • tietoturvahäiriöiden tarkempi selvittäminen ja niihin liittyvän dokumentaation katselmointi
  • toimittajan tulevaisuuteen liittyvien suunnitelmien läpikäynti (palvelutason ylläpitämiseen liittyen)
32. Käsittelyn turvallisuus
GDPR
15.1.1: Information security policy for supplier relationships
ISO 27001
15.2.1: Monitoring and review of supplier services
ISO 27001
ID.GV-2: Cybersecurity role coordination
NIST
ID.SC-1: Cyber supply chain
NIST

Yksityiskohtaiset kuvaukset vaadittavista turvatoimenpiteistä tarjottaviin pilvipalveluihin liittyville alihankkijoille

Critical
High
Normal
Low

Osallistaessaan alikäsittelijöitä mukaan tarjottuihin pilvipalveluihin liittyvien henkilötietojen käsittelyyn organisaatio varmistaa, että sopimuksissa on selkeästi määritelty alikäsittelijöiltä vaadittavat tekniset ja organisatoriset vähimmäisturvatoimenpiteet.

A.11.12: Sub-contracted PII processing
ISO 27018
15.1.3: Tieto- ja viestintätekniikan toimitusketju
ISO 27017

Palvelutasovaatimukset tietojenkäsittely-ympäristöön liittyvissä sopimuksissa

Critical
High
Normal
Low

Organisaation on sisällyttänyt toiminnan jatkuvuuden edellyttämät palvelutasovaatimukset osaksi hankintavaatimuksia ja sopimuksia.

Etenkin kriittisten toimintojen kannalta välttämättömistä tietojenkäsittely-ympäristön osista (mm. näitä toimintoja tukevat tietojärjestelmät ja kumppanit) on tärkeää sopia tavalla, jolla taataan palvelujen riittävä saatavuus. Sopimuksiin voidaan sisällyttää vaatimuksia mm. yleisestä palvelutasosta (SLA) sekä ongelmatilanteista palautumisesta (RPO, RTO).

28: Palvelutasovaatimukset sopimuksissa

Vastuiden viestittäminen toimittajille

Critical
High
Normal
Low

Organisaation on viestittävä toimittajille heidän roolinsa ja vastuunsa toimitusketjun tietoturvassa. On myös varmistettava, että toimittajat ymmärtävät heille kohdistetut tietoturvaohjeensa sekä mahdolliset muut tietoturvavastuut sopimusten mukaisesti.

PR.AT-3: Third-party stakeholders
NIST

Yhteydenpito relevantteihin viranomaisiin

Critical
High
Normal
Low

Organisaatio listaa relevantit viranomaistoimijat, joihin on tärkeää pitää aktiivisesti yhteyttä sekä tarvittaessa saada yhteys nopeasti. Näitä viranomaisia ovat mm. kansallisia lakeja toimeenpanevat sekä valvontaa toteuttavat viranomaiset.

Relevantteihin viranomaisiin olisi määriteltävä selkeä yhteyshenkilö, joka toimii yhteyspisteenä organisaatioon.

6.1.3: Contact with authorities
ISO 27001
RC.CO-1: Public relations
NIST
5.5: Yhteydet viranomaisiin
ISO 27001

Yhteydenpito cloud-toimialaan liittyviin sidosryhmiin

Critical
High
Normal
Low

Organisaation tulee ylläpitää aktiivisesti yhteyksiä cloud-toimialaan liittyviin sidosryhmiin ja muihin merkittäviin tekijöihin, jotka liittyvät organisaation toimintaan.

6.1.4: Yhteydet osaamisyhteisöihin
ISO 27017
ID.RA-2: Cyber threat intelligence
NIST

Tiedonjakosopimusten ja ilmoittamisvelvollisuuksien määrittäminen

Critical
High
Normal
Low

Määrittele osallistumisedellytykset tietojen jakamisjärjestelyissä ja ilmoita osallistumisesta toimivaltaisille viranomaisille.

  1. Määritä osallistumisedellytykset tietojen jakamisjärjestelyissä, mukaan lukien julkisten viranomaisten osallistuminen ja niiden mahdolliset roolit, kolmannen osapuolen palveluntarjoajien osallistuminen ja operatiiviset yksityiskohdat, kuten omistettujen IT-alustojen käyttö.
  2. Ilmoita osallistumisesta tietojen jakamisjärjestelyihin toimivaltaisille viranomaisille jäsenyyden vahvistamisen yhteydessä tai tarvittaessa jäsenyyden lopettamisesta sen tullessa voimaan.

Riskinarviointi ja harkinta kriittisiä toimintoja tukevien ICT-palvelujen hankinnassa

Critical
High
Normal
Low

Arvioidessaan kriittisiä toimintoja tukeviin ICT-palveluihin liittyviä riskejä tulee ottaa huomioon:

  • Onko kyseessä sopimuksen tekeminen ei-korvattavan ICT-palveluntarjoajan kanssa.
  • Useiden sopimusten vaikutukset samojen tai läheisesti toisiinsa liittyvien ICT-palveluntarjoajien kanssa.
  • Vvaihtoehtoisten ratkaisujen arviointi, kuten eri palveluntarjoajien käyttö, liiketoiminnan tarpeiden mukauttaminen ja digitaalinen häiriönsietostrategia.

Mitä tulee alihankintaan:

  • Rahoituslaitosten tulee arvioida alihankinnan hyödyt ja riskit, erityisesti kun alihankkijat sijaitsevat kolmansissa maissa.
  • Maksukyvyttömyyslain säännösten huomioon ottaminen palveluntarjoajan konkurssin ja tietojen palauttamisen rajoitusten yhteydessä.
  • Unionin tietosuojasääntöjen noudattaminen ja lainvalvonta kolmansissa maissa.
  • Monimutkaisten alihankintaketjujen mahdollisten vaikutusten arviointi seuranta- ja valvontakykyyn.

Keskeiset sopimusvaatimukset kriittisiä toimintoja tukeville palveluntarjoajille

Critical
High
Normal
Low

Tärkeitä ICT-palveluita koskevien sopimusten tulee sisältää:

  • Yksityiskohtaiset palvelutason kuvaukset ja selkeät suorituskykytavoitteet tehokkaan valvonnan ja korjaavien toimenpiteiden varmistamiseksi.
  • Ilmoitusajat ja raportointivelvoitteet palvelun tarjontaan vaikuttavista muutoksista.
  • Varasuunnitelmat, turvatoimenpiteet ja käytännöt liiketoiminnan jatkuvuuden ja säännösten noudattamisen varmistamiseksi.
  • Osallistuminen rahoitusyksikön TLPT:hen (uhkalähtöinen penetraatriotestaus).
  • Oikeudet seurata suorituskykyä pääsyn, tarkastusten ja auditointien avulla, ja vaihtoehtoisia vakuutustasoja koskevat määräykset.
  • Yhteistyö toimivaltaisten viranomaisten tai nimettyjen tahojen suorittamien tarkastusten ja auditointien aikana.
  • Yksityiskohdat tarkastusten ja auditointien laajuudesta, menettelyistä ja tiheydestä.
  • Irtautumisstrategiat, mukaan lukien siirtymäkaudet saumattomalle siirtymiselle tai uudelleenjärjestelylle.
  • Mikroyrityksille mahdollisuus siirtää valvontaoikeudet palveluntarjoajan nimeämälle riippumattomalle kolmannelle osapuolelle.

Ulkoisten tietotekniikkapalvelujen hankinnan ja käytön hallinta

Critical
High
Normal
Low

Ulkopuolisia tietotekniikkapalveluja ei käytetä ilman tietoturvavaatimusten nimenomaista arviointia ja täytäntöönpanoa:

  • Ulkoisista IT-palveluista on saatavilla riskinarviointi.
  • Oikeudelliset, sääntelyyn liittyvät ja sopimusvaatimukset otetaan huomioon.

Ulkoisen IT-palvelun on täytettävä niiden käsittelemien tietojen osalta tarvittavat vaatimukset.

  • Organisaatiolla olisi oltava menettely, jolla määritetään, täyttääkö ulkoinen IT-palvelu vaatimukset, ennen kuin sille annetaan pääsy tietoihin.
  • Ennen kuin ulkoisia IT-palveluja (kuten pilvipalveluja, ohjelmistoja tai kolmannen osapuolen IT-tukea) aletaan käyttää, palvelun on täytettävä organisaation vaatimukset (esim. yhteensopivuuden, turvallisuuden, kustannustehokkuuden ja organisaation tarpeiden mukaisuuden osalta).

Organisaation on tarkistettava säännöllisin väliajoin, että vain hyväksyttyjä ulkoisia IT-palveluja on käytössä.

Ulkosuhdevastaavan nimeäminen

Critical
High
Normal
Low

Organisaatio koordinoi, miten suhteita yleisöön hoidetaan ottamalla käyttöön jäsennelty ulkosuhteiden ja yleisön hallintaprosessi. Organisaatio nimeää oman ulkosuhteista vastaavan henkilön hoitamaan kaikki mediavuorovaikutukset, käsittelemään haastattelupyyntöjä, käsittelemään puhelinsoittoja ja sähköpostipyyntöjä sekä varmistamaan, että julkisuuteen suunnattu tieto on organisaation toimintaperiaatteiden mukaista.

Toimittajan palveluja koskevien muutosten hallinta

Critical
High
Normal
Low

Vastuuhenkilö seuraa merkittäviä muutoksia toimittajan toiminnassa, jotka voivat vaikuttaa toimittajasuhteeseen ja palveluntarjontaan sekä vaatia täten muita toimenpiteitä. Seuraavat näkökohdat huomioidaan:

  • suorat muutokset toimittajasopimuksiin
  • palvelusisällön parannukset, uudet teknologiat tai uusien palvelujen kehittäminen
  • toimintatapojen merkittävät muutokset (joko tietoturvaan tai muuhun toimintaan liittyen)
  • tietojen fyysistä sijaintia koskevat muutokset
  • toimittajaketjun / alihankintaprosessin muutokset
15.2.2: Managing changes to supplier services
ISO 27001
HAL-16.1: Hankintojen turvallisuus - sopimukset
Julkri

Tärkeiden henkilötietojen käsittelijöiden käsittelysopimusten arviointi

Critical
High
Normal
Low

Käsittelysopimuksella sidotaan henkilötietoja käsittelevän kumppaniin tekemisiä. Etenkin tärkeiden kumppanien kanssa käsittelysopimuksen sisältöä on syytä analysoida tarkemmin, josta dokumentoidaan oma arvioinsa. Tärkeät kumppanit voivat olla meihin nähden joko henkilötietojen käsittelijöitä tai rekisterinpitäjiä.

Meille voi olla tärkeää esimerkiksi vastuuttaa tärkeää kumppania huolehtimaan salassapitovelvollisuuden varmistamisesta henkilöstölleen sekä rajoittaa toisten henkilötietojen käsittelijöiden (alihankinnan) käyttöä tietoihimme liittyen.

28. Henkilötietojen käsittelijä
GDPR
15.1.2: Addressing security within supplier agreements
ISO 27001
TSU-04.1: Henkilötietojen käsittelijä - Sopimukset
Julkri
5.20: Toimittajasopimusten tietoturvallisuus
ISO 27001

Sopimusehdot suorasti asiakasympäristöihin liittyvien muutosten rajoittamiseksi

Critical
High
Normal
Low

Toimittaja- ja kumppanisopimuksiin tulee sisällyttää vaatimuksia, jotka rajaavat suorasti asiakasympäristöihin vaikuttavia muutoksia.

Muutosten tulisi olla nimenomaisesti hyväksyttyjä sekä palveluntasosopimusten piiriin sisältyviä.

Yhteydenpito toimialakohtaisiin intressiryhmiin

Critical
High
Normal
Low

Organisaation tulee ylläpitää aktiivisesti yhteyksiä organisaation toimialaan liittyviin sidosryhmiin ja muihin merkittäviin tekijöihin, jotka liittyvät organisaation toimintaan ja turvallisuuteen.

Tavoitteena etenkin:

  • lisätä tietoa parhaista käytännöistä ja pysyä ajan tasalla olennaisesta turvallisuustiedosta
  • varmistaa, että ymmärtämys tietoturvaympäristöstä on ajantasaista ja täydellistä
6.1.4: Contact with special interest groups
ISO 27001
ID.RA-2: Cyber threat intelligence
NIST
RS.CO-5: Voluntary information sharing
NIST
RC.CO-1: Public relations
NIST
5.6: Yhteydet osaamisyhteisöihin
ISO 27001

Toimittajakohtaisten tietosuojasitoumusten kerääminen ja valvonta

Critical
High
Normal
Low

Organisaation tulee hankkia luottamuksellisuutta koskevia sitoumuksia:

  • myyjiltä
  • liikekumppaneilta

Lisäksi tulee hankkia yksityisyyssitoumuksia:

  • myyjiltä
  • liikekumppaneilta

sitoumuksien hankkimisen lisäksi organisaation tulee arvioida:

  • myyjien ja liikekumppaneiden tietosuojasitoumusten noudattamista
  • myyjien ja liikekumppaneiden luottamuksellisuussitoumusten noudattamista

Jatkuvuussuunnitelmiin liittyvä viestintä sidosryhmille

Critical
High
Normal
Low

Luo yhteys, ja kommunikoi, sidosrymien ja osallistujien kanssa jatkuvuussuunnitelman ja selviytymismenettelyjen aikana.