Digiturvamalli
Digiturvamallin sisältökirjastoTietoaineistojen hallintaTietojen luokittelu

Lakisääteisten vaatimusten huomiointi tietoluokitteluun liittyvissä merkinnöissä

Tiedon merkitsemistapojen pitää kattaa sekä fyysisessä että sähköisessä muodossa olevat tiedot ja niihin liittyvä suojattava omaisuus kuten tietovälineet.

Merkintöjen olisi oltava organisaation määrittelemien luokitteluperiaatteiden mukaisia ja helposti tunnistettavia. Organisaation olisi ohjeistettava, mihin ja miten merkinnät kiinnitetään. Ohjeistuksessa tulee ottaa huomioon myös tulosteet. Lisäksi tarpeettoman työn säästämiseksi kannattaa ohjeistaa, milloin merkintöjä ei tarvita.

Tietyissä tapauksissa, kuten esimerkiksi julkisuuslain mukaisista salassa pitoa koskevista merkinnöistä tulee myös käydä ilmi, miltä osin asiakirja on salassa pidettävä sekä mihin salassapito perustuu.



Tehtävään liittyvät Digiturvamallin ominaisuudet

Näytä vaatimustenmukaisuus raporttikirjaston avulla

Digiturvamalli sisältää raporttikirjaston, josta löytyvät omat raporttipohjat jokaiselle vaatimuskehikolle.

Olipa kuulijana oma johto, viranomainen, auditoija tai asiakas, saat tarvittavan raportin muodostettua yhdellä klikkauksella.

Lue lisää raportoinnista

Vastuuta tehtävät ja kuvaa oma toteutus

Tehtävälistat sisältävät digiturvan ydinasiat. Päätä, mitkä tehtävät teillä hoidetaan ja kuka vastaa. Näet vaaditut tehtävät suoraan valitun vaatimuskehikon perusteella, ja voit halutessasi täydentää listaa omilla.

Lue lisää tietoturvatehtävistä

Jakele ohjeet automaattisesti ja valvo lukemista

Kohdista ohjeet kaikilla tai vain relevanteille yksiköille. Saat ehdotuksia suoraan valitun vaatimuskehikon perusteella ja voit lisätä omat ohjeenne.

Työntekijöille ohjeet jaellaan Teams-botin kautta. Botti ei myöskään anna lukemisen unohtua.

Lue lisää tietoturvaohjeista

Dokumentoi esimerkkien ja älykkäiden pohjien avulla

Digiturvamalli sisältää älykkäät mallipohjat mm. järjestelmien, henkilötietojen ja riskien dokumentointiin. Et turhaan kirjoita tai piirrä, vaan klikkailet linkittäen tietoja, jolloin automaattinen raportointi mahdollistuu.

Lue lisää dokumentoinnista

Tehtävään liittyvät vaatimukset eri vaatimuskehikoista

Saman teeman muita tehtäviä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Tietoluokkien määrittely ja luokkakohtaiset suojausmenettelyt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietoluokittelun avulla voidaan antaa tietoja käsitteleville henkilöille nopea näkemys siitä, miten kriittistä tietoa on kyseessä ja kuinka tietoa pitää käsitellä sekä suojata.

Käytetyt tietoluokat ja niitä vastaavat suojaustasot on määritelty. Tietoluokka määritellään analysoimalla kyseessä olevan tiedon luottamuksellisuus, eheys ja saatavuus sekä mahdolliset muut vaatimukset. Kullekin tasolle annetaan selkeä ja kuvaava nimi.

Tietoluokat voivat olla esimerkiksi seuraavia:

  • tietojen paljastaminen ei aiheuta harmia (JULKINEN)
  • tietojen paljastaminen aiheuttaa lievää kiusaa tai vähäistä toiminnallista harmia (LUOTTAMUKSELLINEN)
  • tietojen paljastamisella on huomattavia lyhyen aikavälin vaikutuksia toimintaan tai taktisiin tavoitteisiin (RAJOITETTU)
  • tietojen paljastamisella on vakavia vaikutuksia pitkän aikavälin strategisiin tavoitteisiin tai se vaarantaa koko organisaation olemassaolon (KIELLETTY)

RAJOITETULTA paperitiedolta voidaan vaatia mm. seuraavia suojauksia:

  • Lukittu kaappi
  • Luotettu siirtokumppani
  • Sinetöidyt kirjekuoret
  • Turvallinen hävittäminen

RAJOITETULTA sähköiseltä tiedolta voidaan vaatia mm. seuraavia suojauksia:

  • Valitun salaustason käyttö
  • Salasanasuojaus
  • Turvallinen hävittäminen
  • Tarkemmin rajatut pääsyoikeudet

Tietoluokkien dokumentointi tietoaineistoille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietoaineistojen omistajat (tai liittyvän tieto-omaisuuden, kuten tietovarannon tai tietojärjestelmän) omistajat vastaavat tietoaineistojen luokitteluista ja luokittelun vastaavuudesta tietoluokkien määritelmiin.

Omistaja päivittää tietoluokittelua omaisuuden elinkaaren aikana sen arvon, arkaluonteisuuden ja kriittisyyden vaihtelun mukaisesti.

Tietoluokittelu toimipisteille ja fyysiselle tieto-omaisuudelle

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio on luokitellut tietoaineistojen lisäksi myös toimipisteet sekä fyysisen tieto-omaisuuden niissä käsiteltävän tiedon kriittisyyden perusteella.

Tietoluokittelun yleinen katselmointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietoluokittelun toimivuutta ja johdonmukaisuutta organisaatiossa kokonaisuutena tarkastalleen säännöllisesti.

Tietoluokittelun periaatteiden tulisi olla yhdenmukaisia koko organisaatiossa, jotta kaikilla on yhtenäinen ymmärrys suojausvaatimuksista ja yhtä kriittiselle tiedolle toteutetaan yhtä kattava suojaus.

Tietoluokkien merkitsemistapojen määrittely ja ohjeistaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tiedon merkitsemistavat on määritelty, ne ovat helposti tunnistettavia ja ne kattavat sekä fyysiset että sähköiset tiedot ja omaisuudet. Merkinnästä tulee käydä ilmi, miltä osin asiakirja on salassa pidettävä ja mihin salassapito perustuu. Henkilöstöä ohjeistetaan merkintöjen tekemisestä.

Turvallista hävittämistä edellyttävien tietovälineiden merkitseminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Turvallista hävittämistä edellyttävien tietovälineiden tunnistamiseen ja merkitseen on olemassa sovitut menettelyt.

Luottamuksellisen tiedon piilottamistarpeiden määrittäminen ja toteuttaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on määritettävä tilanteet, joissa henkilötietojen tai muiden luottamuksellisten tietojen suojaaminen on erityisen tärkeää, ja tarvittaessa toteutettava tällaisen tiedon piilottamista sopivan vahvuisilla menetelmillä, esimerkiksi naamiointia (masking), pseudonymisointia tai anonymisointia hyödyntäen.

Anonymisoinnin ja pseudonymisoinnin lisäksi mahdollisia käytettäviä tekniikoita ovat mm.:

  • salaus
  • merkkien nollaus tai poistaminen
  • arvojen vaihtaminen
  • arvojen korvaaminen hasheilla

Luottamuksellisien tietojen tunnistaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiolla täytyy olla toimintatapa luottamuksellisen tiedon tunnistamiseen, kun se vastaanotetaan tai luodaan.

Luottamukselliselle tiedolle täytyy määrittää aika kuinka kauan tietoja tulee säilyttää.

Tietoturvapolitiikat
Tietoaineistojen hallinta
Tietojen luokittelu
Lakisääteisten vaatimusten huomiointi tietoluokitteluun liittyvissä merkinnöissä
on tietoturvatoimenpide, jolla vastataan mm. seuraaviin tietoturvavaatimuksiin:
HAL-04.4: Suojattavat kohteet - merkitseminen
(
Julkri
)  
Yleensä tämä toimenpide nähdään osaksi
Tietoaineistojen hallinta
-teemaa sekä
Tietojen luokittelu
-politiikkaa.
Alla on esimerkki kokonaisuudesta, joka voi muodostaa kyseisen politiikan. Omaan politiikkaa voit lähteä jalkauttaamaan perustamalla ilmaisen Digiturvamalli-tilin.

Tietojen luokittelu

-politiikka

Kaikki tehtävät
No items found.
No items found.