Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

No items found.

Muita saman teeman digiturvatehtäviä

Jaetun turvallisuuden vastuiden huomioiminen sisäisten auditointien toteuttamisessa

Critical
High
Normal
Low

Organisaation on sisäisissä auditointimenettelyissään sekä sisäisiä auditointeja toteuttaessan huomioitava, että tarjottavien digipalvelujen suhteen auditoinneissa pyritään arvioimaan turvallisuusvastuiden toteutumista koko toimitusketjun näkökulma huomioiden. Auditoinnissa on huomioitava tarvittaessa myös mm. asiakkaalle annetut lupaukset palvelutasoista.

Jaetun turvallisuuden vastuumallien toteuttaminen ja valvonta

Critical
High
Normal
Low

Organisaation on varmistettava, että se täyttää omassa pilvipalvelujen tarjoamisessa / käytössään ne jaetun turvallisuuden osa-alueet, joista se on kunkin palvelun / järjestelmän suhteen vastuussa.

CSA CCM -hallintakeinojen järjestämisvastuun dokumentointi kunkin tarjotun digipalvelujen näkökulmasta

Critical
High
Normal
Low

Tarjottaessa digipalveluita asiakkaille pilvipalveluna, vastuuta palvelun turvallisesta käytöstä kuuluu sekä palveluntarjoajalle että asiakkaalle. Palveluntarjoaja voi olla esimerkiksi vastuussa palvelun teknisestä tietoturvasta, mutta asiakas vastata puolestaan pääsyn hallinnasta sekä palvelun oikeaoppisen käytön ohjeistamisesta.

Organisaation on käytävä jokaisen tarjotun digipalvelun suhteen CSA CCM -hallintakeinot läpi ja dokumentoitava, kenelle vastuu kunkin hallintakeinon toteuttamisesta kohdistuu. Relevantteja vastuuvalintoja ovat:

  • palveluntarjoaja täysin vastuussa
  • asiakas täysin vastuussa
  • palveluntarjoaja ulkoistanut toteutuksen, mutta vastuussa
  • jaettu vastuu palveluntarjoajan ja asiakkaan välillä
  • jaettu toteutus palveluntarjoajan ja kolmannen osapuolen välillä, mutta palveluntarjoaja vastuussa

Lisäksi palveluntarjoajan on kuvattava vastuuvalinnan perusteella joko:

  • kuinka palveluntarjoaja on hallintakeinon toteuttanut
  • mikä osa hallintakeinosta on asiakkaan vastuulla
  • miksi hallintakeino ei ole soveltuva

Tämän toteuttamiseen kannattaa hyödyntää Digiturvamallin CSA CCM -vaatimustenmukaisuusraporttia (toteutuksen kuvaamiseksi) sekä CSA:n tarjoamaa Consensus Assessments Initiative Questionnaire (CAIQ)-pohjaa.

Jaetun turvallisuuden vastuumallin (SSRM) tiedottaminen asiakkaille

Critical
High
Normal
Low

Organisaation on tiedotettava ja opastettava digipalvelua käyttävää asiakasta turvallisuusvastuiden jakautumisesta toimitusketjun eri organisaatioiden välillä.

Jaetun turvallisuuden vastuumallin periaatteiden määrittely (Shared Security Responsibility Model, SSRM) tarjotuille digipalveluille

Critical
High
Normal
Low

Tarjottaessa digipalveluita asiakkaille pilvipalveluna, vastuuta palvelun turvallisesta käytöstä kuuluu sekä palveluntarjoajalle että asiakkaalle. Palveluntarjoaja voi olla esimerkiksi vastuussa palvelun teknisestä tietoturvasta, mutta asiakas vastata puolestaan pääsyn hallinnasta sekä palvelun oikeaoppisen käytön ohjeistamisesta.

Organisaation on määriteltävä, kuinka "Jaetun turvallisuuden mallin" (Shared Security Responsibility Model, SSRM) toteutuminen tarjotuille digipalveluille toteutetaan. Jaetun turvallisuuden malliin liittyvät sisällöt on katselmoitava vähintään vuosittain.

Jaetun turvallisuuden vastuumalliin liittyvän dokumentaation katselmointi itse hyödynnetyille, kriittisille tietojärjestelmille

Critical
High
Normal
Low

Organisaation on katselmoitava ja varmennettava jaetun turvallisuuden mallin dokumentaatio organisaation hyödyntämille kriittisille tietojärjestelmille. Järjestelmätoimittajan kanssa on käsiteltävä mahdollisesti esille nousevat ongelmat.