Organisaation on katselmoitava ja varmennettava jaetun turvallisuuden mallin dokumentaatio organisaation hyödyntämille kriittisille tietojärjestelmille. Järjestelmätoimittajan kanssa on käsiteltävä mahdollisesti esille nousevat ongelmat.
Digiturvamalli sisältää raporttikirjaston, josta löytyvät omat raporttipohjat jokaiselle vaatimuskehikolle.
Olipa kuulijana oma johto, viranomainen, auditoija tai asiakas, saat tarvittavan raportin muodostettua yhdellä klikkauksella.
Tehtävälistat sisältävät digiturvan ydinasiat. Päätä, mitkä tehtävät teillä hoidetaan ja kuka vastaa. Näet vaaditut tehtävät suoraan valitun vaatimuskehikon perusteella, ja voit halutessasi täydentää listaa omilla.
Lue lisää tietoturvatehtävistäKohdista ohjeet kaikilla tai vain relevanteille yksiköille. Saat ehdotuksia suoraan valitun vaatimuskehikon perusteella ja voit lisätä omat ohjeenne.
Työntekijöille ohjeet jaellaan Teams-botin kautta. Botti ei myöskään anna lukemisen unohtua.
Digiturvamalli sisältää älykkäät mallipohjat mm. järjestelmien, henkilötietojen ja riskien dokumentointiin. Et turhaan kirjoita tai piirrä, vaan klikkailet linkittäen tietoja, jolloin automaattinen raportointi mahdollistuu.
Lue lisää dokumentoinnistaKlikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.
Organisaation on sisäisissä auditointimenettelyissään sekä sisäisiä auditointeja toteuttaessan huomioitava, että tarjottavien digipalvelujen suhteen auditoinneissa pyritään arvioimaan turvallisuusvastuiden toteutumista koko toimitusketjun näkökulma huomioiden. Auditoinnissa on huomioitava tarvittaessa myös mm. asiakkaalle annetut lupaukset palvelutasoista.
Organisaation on varmistettava, että se täyttää omassa pilvipalvelujen tarjoamisessa / käytössään ne jaetun turvallisuuden osa-alueet, joista se on kunkin palvelun / järjestelmän suhteen vastuussa.
Tarjottaessa digipalveluita asiakkaille pilvipalveluna, vastuuta palvelun turvallisesta käytöstä kuuluu sekä palveluntarjoajalle että asiakkaalle. Palveluntarjoaja voi olla esimerkiksi vastuussa palvelun teknisestä tietoturvasta, mutta asiakas vastata puolestaan pääsyn hallinnasta sekä palvelun oikeaoppisen käytön ohjeistamisesta.
Organisaation on käytävä jokaisen tarjotun digipalvelun suhteen CSA CCM -hallintakeinot läpi ja dokumentoitava, kenelle vastuu kunkin hallintakeinon toteuttamisesta kohdistuu. Relevantteja vastuuvalintoja ovat:
Lisäksi palveluntarjoajan on kuvattava vastuuvalinnan perusteella joko:
Tämän toteuttamiseen kannattaa hyödyntää Digiturvamallin CSA CCM -vaatimustenmukaisuusraporttia (toteutuksen kuvaamiseksi) sekä CSA:n tarjoamaa Consensus Assessments Initiative Questionnaire (CAIQ)-pohjaa.
Tarjottaessa digipalveluita asiakkaille pilvipalveluna, vastuuta palvelun turvallisesta käytöstä kuuluu sekä palveluntarjoajalle että asiakkaalle. Palveluntarjoaja voi olla esimerkiksi vastuussa palvelun teknisestä tietoturvasta, mutta asiakas vastata puolestaan pääsyn hallinnasta sekä palvelun oikeaoppisen käytön ohjeistamisesta.
Organisaation on määriteltävä, kuinka "Jaetun turvallisuuden mallin" (Shared Security Responsibility Model, SSRM) toteutuminen tarjotuille digipalveluille toteutetaan. Jaetun turvallisuuden malliin liittyvät sisällöt on katselmoitava vähintään vuosittain.
Tarjottaessa digipalveluita asiakkaille pilvipalveluna, vastuuta palvelun turvallisesta käytöstä kuuluu sekä palveluntarjoajalle että asiakkaalle. Palveluntarjoaja voi olla esimerkiksi vastuussa palvelun teknisestä tietoturvasta, mutta asiakas vastata puolestaan pääsyn hallinnasta sekä palvelun oikeaoppisen käytön ohjeistamisesta.
Organisaation on määriteltävä, kuinka "Jaetun turvallisuuden mallin" (Shared Security Responsibility Model, SSRM) toteutuminen tarjotuille digipalveluille toteutetaan. Jaetun turvallisuuden malliin liittyvät sisällöt on katselmoitava vähintään vuosittain.
Organisaation on tiedotettava ja opastettava digipalvelua käyttävää asiakasta turvallisuusvastuiden jakautumisesta toimitusketjun eri organisaatioiden välillä.
Tarjottaessa digipalveluita asiakkaille pilvipalveluna, vastuuta palvelun turvallisesta käytöstä kuuluu sekä palveluntarjoajalle että asiakkaalle. Palveluntarjoaja voi olla esimerkiksi vastuussa palvelun teknisestä tietoturvasta, mutta asiakas vastata puolestaan pääsyn hallinnasta sekä palvelun oikeaoppisen käytön ohjeistamisesta.
Organisaation on käytävä jokaisen tarjotun digipalvelun suhteen CSA CCM -hallintakeinot läpi ja dokumentoitava, kenelle vastuu kunkin hallintakeinon toteuttamisesta kohdistuu. Relevantteja vastuuvalintoja ovat:
Lisäksi palveluntarjoajan on kuvattava vastuuvalinnan perusteella joko:
Tämän toteuttamiseen kannattaa hyödyntää Digiturvamallin CSA CCM -vaatimustenmukaisuusraporttia (toteutuksen kuvaamiseksi) sekä CSA:n tarjoamaa Consensus Assessments Initiative Questionnaire (CAIQ)-pohjaa.
Organisaation on katselmoitava ja varmennettava jaetun turvallisuuden mallin dokumentaatio organisaation hyödyntämille kriittisille tietojärjestelmille. Järjestelmätoimittajan kanssa on käsiteltävä mahdollisesti esille nousevat ongelmat.
Organisaation on varmistettava, että se täyttää omassa pilvipalvelujen tarjoamisessa / käytössään ne jaetun turvallisuuden osa-alueet, joista se on kunkin palvelun / järjestelmän suhteen vastuussa.
Organisaation on sisäisissä auditointimenettelyissään sekä sisäisiä auditointeja toteuttaessan huomioitava, että tarjottavien digipalvelujen suhteen auditoinneissa pyritään arvioimaan turvallisuusvastuiden toteutumista koko toimitusketjun näkökulma huomioiden. Auditoinnissa on huomioitava tarvittaessa myös mm. asiakkaalle annetut lupaukset palvelutasoista.