Digiturvamalli
Digiturvamallin sisältökirjastoKumppanihallintaTurvallisuusvastuut (SSRM)

Jaetun turvallisuuden vastuumallin (SSRM) tiedottaminen asiakkaille

Organisaation on tiedotettava ja opastettava digipalvelua käyttävää asiakasta turvallisuusvastuiden jakautumisesta toimitusketjun eri organisaatioiden välillä.

Tehtävään liittyvät Digiturvamallin ominaisuudet

Näytä vaatimustenmukaisuus raporttikirjaston avulla

Digiturvamalli sisältää raporttikirjaston, josta löytyvät omat raporttipohjat jokaiselle vaatimuskehikolle.

Olipa kuulijana oma johto, viranomainen, auditoija tai asiakas, saat tarvittavan raportin muodostettua yhdellä klikkauksella.

Lue lisää raportoinnista

Vastuuta tehtävät ja kuvaa oma toteutus

Tehtävälistat sisältävät digiturvan ydinasiat. Päätä, mitkä tehtävät teillä hoidetaan ja kuka vastaa. Näet vaaditut tehtävät suoraan valitun vaatimuskehikon perusteella, ja voit halutessasi täydentää listaa omilla.

Lue lisää tietoturvatehtävistä

Jakele ohjeet automaattisesti ja valvo lukemista

Kohdista ohjeet kaikilla tai vain relevanteille yksiköille. Saat ehdotuksia suoraan valitun vaatimuskehikon perusteella ja voit lisätä omat ohjeenne.

Työntekijöille ohjeet jaellaan Teams-botin kautta. Botti ei myöskään anna lukemisen unohtua.

Lue lisää tietoturvaohjeista

Dokumentoi esimerkkien ja älykkäiden pohjien avulla

Digiturvamalli sisältää älykkäät mallipohjat mm. järjestelmien, henkilötietojen ja riskien dokumentointiin. Et turhaan kirjoita tai piirrä, vaan klikkailet linkittäen tietoja, jolloin automaattinen raportointi mahdollistuu.

Lue lisää dokumentoinnista

Tehtävään liittyvät vaatimukset eri vaatimuskehikoista

No items found.

Saman teeman muita tehtäviä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Jaetun turvallisuuden vastuiden huomioiminen sisäisten auditointien toteuttamisessa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on sisäisissä auditointimenettelyissään sekä sisäisiä auditointeja toteuttaessan huomioitava, että tarjottavien digipalvelujen suhteen auditoinneissa pyritään arvioimaan turvallisuusvastuiden toteutumista koko toimitusketjun näkökulma huomioiden. Auditoinnissa on huomioitava tarvittaessa myös mm. asiakkaalle annetut lupaukset palvelutasoista.

Jaetun turvallisuuden vastuumallien toteuttaminen ja valvonta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on varmistettava, että se täyttää omassa pilvipalvelujen tarjoamisessa / käytössään ne jaetun turvallisuuden osa-alueet, joista se on kunkin palvelun / järjestelmän suhteen vastuussa.

Jaetun turvallisuuden vastuumalliin liittyvän dokumentaation katselmointi itse hyödynnetyille, kriittisille tietojärjestelmille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on katselmoitava ja varmennettava jaetun turvallisuuden mallin dokumentaatio organisaation hyödyntämille kriittisille tietojärjestelmille. Järjestelmätoimittajan kanssa on käsiteltävä mahdollisesti esille nousevat ongelmat.

CSA CCM -hallintakeinojen järjestämisvastuun dokumentointi kunkin tarjotun digipalvelujen näkökulmasta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tarjottaessa digipalveluita asiakkaille pilvipalveluna, vastuuta palvelun turvallisesta käytöstä kuuluu sekä palveluntarjoajalle että asiakkaalle. Palveluntarjoaja voi olla esimerkiksi vastuussa palvelun teknisestä tietoturvasta, mutta asiakas vastata puolestaan pääsyn hallinnasta sekä palvelun oikeaoppisen käytön ohjeistamisesta.

Organisaation on käytävä jokaisen tarjotun digipalvelun suhteen CSA CCM -hallintakeinot läpi ja dokumentoitava, kenelle vastuu kunkin hallintakeinon toteuttamisesta kohdistuu. Relevantteja vastuuvalintoja ovat:

  • palveluntarjoaja täysin vastuussa
  • asiakas täysin vastuussa
  • palveluntarjoaja ulkoistanut toteutuksen, mutta vastuussa
  • jaettu vastuu palveluntarjoajan ja asiakkaan välillä
  • jaettu toteutus palveluntarjoajan ja kolmannen osapuolen välillä, mutta palveluntarjoaja vastuussa

Lisäksi palveluntarjoajan on kuvattava vastuuvalinnan perusteella joko:

  • kuinka palveluntarjoaja on hallintakeinon toteuttanut
  • mikä osa hallintakeinosta on asiakkaan vastuulla
  • miksi hallintakeino ei ole soveltuva

Tämän toteuttamiseen kannattaa hyödyntää Digiturvamallin CSA CCM -vaatimustenmukaisuusraporttia (toteutuksen kuvaamiseksi) sekä CSA:n tarjoamaa Consensus Assessments Initiative Questionnaire (CAIQ)-pohjaa.

Jaetun turvallisuuden vastuumallin periaatteiden määrittely (Shared Security Responsibility Model, SSRM) tarjotuille digipalveluille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tarjottaessa digipalveluita asiakkaille pilvipalveluna, vastuuta palvelun turvallisesta käytöstä kuuluu sekä palveluntarjoajalle että asiakkaalle. Palveluntarjoaja voi olla esimerkiksi vastuussa palvelun teknisestä tietoturvasta, mutta asiakas vastata puolestaan pääsyn hallinnasta sekä palvelun oikeaoppisen käytön ohjeistamisesta.

Organisaation on määriteltävä, kuinka "Jaetun turvallisuuden mallin" (Shared Security Responsibility Model, SSRM) toteutuminen tarjotuille digipalveluille toteutetaan. Jaetun turvallisuuden malliin liittyvät sisällöt on katselmoitava vähintään vuosittain.

Tietoturvapolitiikat
Kumppanihallinta
Turvallisuusvastuut (SSRM)
Jaetun turvallisuuden vastuumallin (SSRM) tiedottaminen asiakkaille
on tietoturvatoimenpide, jolla vastataan mm. seuraaviin tietoturvavaatimuksiin:
No items found.
Yleensä tämä toimenpide nähdään osaksi
Kumppanihallinta
-teemaa sekä
Turvallisuusvastuut (SSRM)
-politiikkaa.
Alla on esimerkki kokonaisuudesta, joka voi muodostaa kyseisen politiikan. Omaan politiikkaa voit lähteä jalkauttaamaan perustamalla ilmaisen Digiturvamalli-tilin.

Turvallisuusvastuut (SSRM)

-politiikka

Kaikki tehtävät
No items found.
No items found.