Digiturvamalli
Digiturvamallin sisältökirjastoRiskien hallinta ja johtaminenRiskien hallinta

Muutoshallintamenettelyt tietojenkäsittely-ympäristöissä (TL IV)

  • Tietojenkäsittely-ympäristö on dokumentoitu sellaisella tasolla, että siitä pystytään selvittämään tietojenkäsittely-ympäristössä käytetyt laitteet ja ohjelmistot versiotietoineen (laite-, käyttöjärjestelmä- ja sovellusohjelmistot) ja se tukee myös haavoittuvuuksien hallintaa.
  • Tietojenkäsittely-ympäristöjä tarkkaillaan luvattomien muutosten tai laitteistojen havaitsemiseksi. Tietojenkäsittely-ympäristön kirjanpito pidetään ajan tasalla koko elinkaaren ajan.
  • Tietojenkäsittely-ympäristön turvallisuuden toteuttamiseen liittyvän aineiston (dokumentaatiot, sähköiset kirjanpidot ja vast.) luokittelu- ja suojaamistarpeet on määritetty.

Tehtävään liittyvät Digiturvamallin ominaisuudet

Näytä vaatimustenmukaisuus raporttikirjaston avulla

Digiturvamalli sisältää raporttikirjaston, josta löytyvät omat raporttipohjat jokaiselle vaatimuskehikolle.

Olipa kuulijana oma johto, viranomainen, auditoija tai asiakas, saat tarvittavan raportin muodostettua yhdellä klikkauksella.

Lue lisää raportoinnista

Vastuuta tehtävät ja kuvaa oma toteutus

Tehtävälistat sisältävät digiturvan ydinasiat. Päätä, mitkä tehtävät teillä hoidetaan ja kuka vastaa. Näet vaaditut tehtävät suoraan valitun vaatimuskehikon perusteella, ja voit halutessasi täydentää listaa omilla.

Lue lisää tietoturvatehtävistä

Jakele ohjeet automaattisesti ja valvo lukemista

Kohdista ohjeet kaikilla tai vain relevanteille yksiköille. Saat ehdotuksia suoraan valitun vaatimuskehikon perusteella ja voit lisätä omat ohjeenne.

Työntekijöille ohjeet jaellaan Teams-botin kautta. Botti ei myöskään anna lukemisen unohtua.

Lue lisää tietoturvaohjeista

Dokumentoi esimerkkien ja älykkäiden pohjien avulla

Digiturvamalli sisältää älykkäät mallipohjat mm. järjestelmien, henkilötietojen ja riskien dokumentointiin. Et turhaan kirjoita tai piirrä, vaan klikkailet linkittäen tietoja, jolloin automaattinen raportointi mahdollistuu.

Lue lisää dokumentoinnista

Tehtävään liittyvät vaatimukset eri vaatimuskehikoista

Saman teeman muita tehtäviä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Riskienhallinnan menettelykuvaus -raportin julkaisu ja ylläpito

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio on määritellyt menettelyt tietoturvariskien arviointiin ja käsittelyyn. Määrittely sisältää ainakin:

  • Riskien tunnistamistavat
  • Tietoturvariskien analysoinnin menetelmät
  • Tietoturvariskien arvioinnin kriteerit (seuraukset ja todennäköisyys)
  • Riskien priorisointi ja käsittelyvaihtoehtojen sekä hallintakeinojen määrittely
  • Riskien hyväksymiskriteerit
  • Prosessin toteutussykli, resursointi ja vastuut

Tehtävän omistaja tarkistaa säännöllisesti, että riskikriteerit ovat selkeitä ja tuottavat johdonmukaisia arvioita.

Havaittujen poikkeamien käsittelyprosessi ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietoturvan hallintajärjestelmän näkökulmasta poikkeamat ovat tilanteita, joissa:

  • organisaatioon kohdistuviin tietoturvavaatimuksiin ei löydy vastinetta hallintajärjestelmästä
  • hallintajärjestelmässä määritellyt menettelyt, tehtävät tai ohjeistukset eivät toteudu organisaation arjen toiminnassa

Systemaattisessa tietoturvatyössä kaikki havaitut poikkeamat on dokumentoitava. Poikkeaman käsittelemiseksi organisaation on määritettävä ja toteutettava parannukset, joilla poikkeama korjataan.

Merkittävien tietoturvaan vaikuttavien muutosten arviointiprosessi ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Järjestelmällisessä turvallisuustyössä merkittävien muutosten vaikutukset on arvioitava ennakkoon ja muutokset toteutettava systemaattisesti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.

Merkittäviä muutoksia voivat olla mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin sekä tietojärjestelmiin kohdistuvat muutokset. Muutoksia voidaan tunnistaa mm. johdon katselmuksissa sekä muuten toiminnan ohessa.

Luettelo salassa pidettävän tiedon käsittelyä edellyttävistä työtehtävistä

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio ylläpitää luetteloa salassa pidettävän tiedon käsittelyä edellyttävistä työtehtävistä. Pääsyoikeus salassa pidettävään tietoon myönnetään vasta, kun henkilön työtehtävistä johtuva tiedonsaantitarve on selvitetty. Luettelo sisältää tiedon salassa pidettävien tietojen käsittelyoikeuksista suojaustasoittain.

Tietoturvariskien tunnistaminen ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:

  • Riskin kuvaus
  • Riskin vakavuus ja todennäköisyys
  • Riskiä hallitsevat ohjeet ja hallintatehtävät
  • Riskin hyväksyttävyys

Liittyvien tietoturvariskien dokumentointi tapahtuneille tietoturvahäiriöille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio arvioi tietoturvaan liittyvien riskejä reagoimalla tilanteisiin, joissa tietoturva on lievästi tai vakavasti pettänyt. Dokumentaatio sisältää vähintään seuraavat asiat:

  • Häiriön kuvaus
  • Häiriöön liittyneet riskit
  • Häiriön johdosta käyttöön otetut uudet hallintatehtävät
  • Häiriön johtosta toteutetut muut toimenpiteet

Säännöllinen ulkopuolinen tietoturvakäytäntöjen auditointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiossa suoritetaan säännöllisesti tietoturva-auditointia. Auditoinnin avulla tunnistetaan esimerkiksi tietojärjestelmiin sekä järjestelmätoimittajiin liittyviä puutteita ja kehitystarpeita.

Tärkeät auditointia suorittavat kumppanit kannattaa listata Muut sidosryhmät -osiossa.

Fyysisen turvallisuuden riskien arviointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Fyysiset turvatoimet on mitoitettava riskien arvioinnin mukaisesti. Riskien arvioinnissa tulee ottaa huomioon esimerkiksi pääsyoikeuksien hallintaan ja muihin turvallisuusjärjestelyihin liittyviin prosesseihin sisällytettävät tiedonsaantitarpeen, tehtävien eriyttämisen ja vähimpien oikeuksien periaatteet. Fyysisiä turvatoimia koskevan riskien arvioinnin tulee olla säännöllistä ja osa organisaation riskienhallinnan kokonaisuutta. Arvioiduilla riskeillä on nimetyt omistajat.

Riskien arvioinnissa on otettava huomioon kaikki asiaan kuuluvat tekijät, erityisesti

seuraavat:

  • Tietojen turvallisuusluokka ja salassapitoperuste;
  • Tietojen käsittely- ja säilytystapa sekä määrä ottaen huomioon, että tietojen suuri määrä tai kokoaminen yhteen voi edellyttää tiukempien riskienhallintatoimenpiteiden soveltamista;
  • Tietojen käsittely- ja säilytysaika
  • Tietojen käsittely- ja säilytyspaikan ympäristö: rakennuksen ympäristö, sijoittuminen rakennuksessa, tilassa tai sen osassa;
  • Hälytystilanteisiin liittyvä vasteaika
  • Ulkoistetut toiminnot, kuten huolto-, siivous-, kiinteistö- ja turvallisuuspalvelut
  • Tiedustelupalvelujen, rikollisen toiminnan ja oman henkilöstön muodostama arvioitu uhka tiedoille

Palveluun liittyvät lainsäädäntöjodannaiset riskit

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Lainsäädäntöjohdannaisilla riskeillä viitataan eri maiden lainsäädännössä oleviin mahdollisuuksiin velvoittaa palveluntarjoaja toimimaan yhteistyössä kyseisen maan viranomaisten kanssa, ja tarjoamaan esimerkiksi suora tai epäsuora pääsy palvelun asiakkaiden salassa pidettäviin tietoihin. Lainsäädäntöjohdannaiset riskit voivat ulottua sekä salassa pidettävän tiedon fyysiseen sijaintiin sekä muun muassa toisesta maasta käsin hallintayhteyksien kautta toteutettavaan tietojen luovutukseen. Lainsäädäntöjohdannainen tietojen luovuttaminen ja tutkimusoikeus on useissa maissa rajattu koskevaksi poliisia sekä tiedusteluviranomaisia.

Riskienarvioinnin tulisi kattaa lainsäädäntöjohdannaiset riskit vähintään seuraavien tekijöiden osalta:

  • Palvelussa käsiteltävän tiedon fyysinen sijainti koko tiedon elinkaaren ajalta, kattaen myös mahdolliset alihankinta- ja ulkoistusketjut.
  • Palvelun eri toimintojen (esimerkiksi ylläpito- ja hallintaratkaisut, varmistukset) ja komponenttien fyysinen sijainti koko tiedon elinkaaren ajalta.
  • Mahdolliset muut palvelun tuottamiseen osallistuvat tahot, esimerkiksi mahdolliset alihankinta-ja ulkoistusketjut.
  • Palvelun käyttöön ja palvelussa käsiteltäviin tietoihin sovellettava lainsäädäntö ja oikeuspaikka.
  • Toimijat, joilla voi sovellettavasta lainsäädännöstä johtuen olla pääsy palvelussa käsiteltäviin tietoihin.

Organisaation tulee varmistaa, että lainsäädäntöjohdannaiset riskit eivät rajoita palvelun soveltuvuutta sen käyttötarkoitukseen. Lainsäädäntöjohdannaisten riskien arvioinnissa on otettu huomioon koko palvelun tuottamisessa käytetty toimitusketju, ja niiden valtioiden säännökset, joiden mukaisesti palvelua tuotetaan sekä riski tietojen oikeudettomasta paljastumisesta näiden valtioiden viranomaisille.

Riskien käsittelyvaiheessa määriteltyjen tietoturvallisuustoimenpiteiden arviointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietoturvariskien hallintaa toteuttaessaan organisaation on tunnistettava käsittelyä vaativat riskit ja määriteltävä näille käsittelysuunnitelmat, jotka usein koostuvat uusista tietoturvallisuustoimenpiteistä.

Organisaatio on määritellyt, kuinka säännöllisesti arvioidaan kokonaisuutena määriteltyjä käsittelysuunnitelmia ja niiden oikeasuhtaisuutta riskeille täytettyihin arvioihin (riskin vakavuus ja todennäköisyys) verrattuna.

Yleiset muutostenhallintamenettelyt (ST II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Järjestelmällisessä turvallisuustyössä muutosten vaikutukset on arvioitava ennakkoon, muutokset on dokumentoitava selkeästi ja toteutettava systemaattisesti.

Suojaustasolla II muutostenhallinnassa käytetään seuraavia toimintatapoja:

  • Tietojenkäsittelyyn liittyviin muutoksiin on määritelty muutoksenhallintamenettely (esim. määrittely, dokumentointi, riskien arviointi ja hallinta). Muutokset ovat jäljitettävissä.
  • Verkot, järjestelmät ja niihin liittyvät laitteet, ohjelmistot ja asetukset on dokumentoitu siten, että muutokset hyväksyttyyn kokoonpanoon pystytään havaitsemaan vertaamalla toteutusta dokumentaatioon.
  • Tietojenkäsittely-ympäristöjä tarkkaillaan luvattomien muutosten tai laitteistojen havaitsemiseksi.
  • Laitteistot suojataan luvattomien laitteiden (näppäilynauhoittimet ja vastaavat) liittämistä vastaan.

Yleiset muutostenhallintamenettelyt (ST IV-III)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Järjestelmällisessä turvallisuustyössä muutosten vaikutukset on arvioitava ennakkoon, muutokset on dokumentoitava selkeästi ja toteutettava systemaattisesti.

Suojaustasoilla IV-III muutostenhallinnassa käytetään seuraavia toimintatapoja:

  • Tietojenkäsittelyyn liittyviin muutoksiin on määritelty muutoksenhallintamenettely (esim. määrittely, dokumentointi, riskien arviointi ja hallinta). Muutokset ovat jäljitettävissä.
  • Verkot, järjestelmät ja niihin liittyvät laitteet, ohjelmistot ja asetukset on dokumentoitu siten, että muutokset hyväksyttyyn kokoonpanoon pystytään havaitsemaan vertaamalla toteutusta dokumentaatioon.
  • Tietojenkäsittely-ympäristöjä tarkkaillaan luvattomien muutosten tai laitteistojen havaitsemiseksi.

Tietoturvan hallintajärjestelmän toteuttamisen säännöllinen sisäinen valvonta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietoturvan hallintajärjestelmän tulisi valvoa sinne kirjattujen tehtävien ja ohjeistusten toteuttamista.

Tehtävän omistajan tulisi tarkastalle tietoturvan hallintajärjestelmän toteutustilannetta kokonaisuutena säännöllisesti.

Katastrofisuunnitelmien harjoitteleminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on harjoiteltava katastrofisuunnitelmien toteuttamista vuosittain tai aina merkittävästi suunnitelmaa muutettaessa.

Jos mahdollista, on hyödyllistä sisällyttää paikalliset viranomaiset mukaan harjoitukseen.

Riskienhallinnan tulosten huomiointi jatkuvuussuunnittelussa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on arvioitava erilaisista syistä johtuvien toiminnankeskeytysten ja riskien aiheuttama mahdollinen vahinko toiminnalle. Tämän arvioinnin perusteella on priorisoitava jatkuvuussuunnittelussa eri teemoja, jotta suunnittelu keskittyy riskilähtöisesti tärkeimpiin asioihin.

Riskienhallinnan tulosten huomioiminen auditointimenettelyissä

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on huomioitava riskienhallintamenettelyjen tuottamat tulokset suunnitellessaan sisäisten auditointien aihepiirejä ja toteutusta sekä toteuttaessaan auditointeja.

Salauksen ja salausavainten hallinnan huomiointi riskienhallintamenettelyissä

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiolla täytyy olla salausavainten hallintaan liittyvä riskienhallintamenettely, joka sisältää riskien arvioinnin, käsittelyn ja seuraamisen.

Muutostenhallintamenettelystä poikkeamisen säännöt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiolla on oltava suunniteltuna säännöt kiireellisiä poikkeustilanteita, kuten hätätilanteita varten, joissa sääntöjä noudattamalla normaalista muutostenhallintamenettelystä voidaan poiketa.

Muutostenhallintamenettelystä poikkeamisen sääntöjen tulisi sisältää viittaukset ja vertaukset normaaliin muutostenhallintamenettelyyn sekä mm. tarvittavat todisteet toteutetusta poikkeamisesta.

Muutostenhallintamenettelyn laiminlyömisen havaitseminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiolla on oltava ennalta suunniteltuja havaitsemiskeinoja muutoshallintamenettelyn laiminlyömisen havaitsemiseen.

Jos poikkeama muutoshallintamenettelystä havaitaan, sen käsittelyä tulisi jatkaa häiriöiden hallintaprosessin mukaisesti.

Prosessi tietoturvanäkökohtien sisällyttämiseksi projektinhallintaan

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiossa on määritelty, kuinka tietoturvanäkökohdat integroidaan käytettyihin projektinhallintamenetelmiin. Käytössä olevien menetelmien tulee edellyttää:

  • Projektin tietoturvaan liittyvät riskit tunnistetaan, arvioidaan ja käsitellään projektin varhaisessa vaiheessa
  • Projektin tietoturvaan liittyvät riskit tarkastellaan tarvittaessa
  • Vastuu projektin tietoturvasta liittyy selkeästi tiettyihin projektirooleihin

Riskienhallintaprosessin jatkuva parantaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiolla on toimintamalli riskienhallintaprosessin toimivuuden ja tehokkuuden jatkuvaan parantamiseen.

Parantamisessa voidaan hyödyntää mm. yleisiä standardeja (mm. ISO 27005) tai riskienhallintaan osallistuneiden henkilöiden palautteita.

Jäännösriskien arviointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Riskikäsittelyn toteuttamisen jälkeen organisaatio arvioi jäljelle jäävän jäännösriskin tason riskikohtaisesti.

Jäännösriskin suhteen tehdään selkeä päätökset riskin omistajan toimesta joko riskin sulkemiseksi tai riskin palauttamiseksi käsittelyjonoon.

Riskienhallinnan tilan seuraaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Toteutettuja riskienhallintatoimenpiteitä sekä riskienhallinnan kokonaistilannetta tarkastalleen säännöllisesti.

Toimintamalli riskienhallinnan tilan seuraamiseen on selkeästi kuvattu.

Kriittisten riskien välitön raportointi johdolle

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation toimintaa uhkaavista kriittisistä riskeistä raportoidaan organisaation johdolle välittömästi.

Raportointia varten on olemassa selkeästi suunniteltu toimintamalli.

Yleisen riskitilanteen säännöllinen viestintä organisaation johdolle

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation riskinäkymistä raportoidaan organisaation johdolle säännöllisesti ja vähintään kerran vuodessa.

Organisaation hyväksymä riskitaso

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation täytyy määrittää hyväksyttävä taso riskeille. Taso lasketaan riskien todennäköisyyden, vakavuuden ja hallintakeinojen pohjalta.

Riskienhallinnan menettelykuvauksen hyväksyminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on luotava menettelykuvaus riskienhallintaprosesseille ja sen täytyy olla hyväksytty organisaatiossa. Organisaation on sovittava siitä organisaation sidosryhmien kanssa.

Riskien vakavuuden ja todennäköisyyden arviointi sekä käytetyt asteikot

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on osana tietoturvariskien arviointia tehtävä arviot riskin toteutumisen vakavuudesta ja todennäköisyydestä. 

Organisaatiolla on oltava selkeästi ohjeistettu riskiasteikko, jonka avulla jokainen riskien arviointiin osallistuva pystyy päättämään oikean tason vakavuudelle ja todennäköisyydelle.


Toiminnan jatkuvuuden vaarantavien riskien tunnistaminen ja niiden käsittelysuunnitelmat

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kumppaniriskien huomiointi tietoturvariskien hallinnassa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation tulee huomioida kumppaneista aiheutuvat riskit tietoturvariskien hallinnassa. Tarvittaessa kriittisistä kumppaneista voidaan tehdä erillisiä teemakohtaisia riskiarvioita.



Tietoturvapolitiikat
Riskien hallinta ja johtaminen
Riskien hallinta
Muutoshallintamenettelyt tietojenkäsittely-ympäristöissä (TL IV)
on tietoturvatoimenpide, jolla vastataan mm. seuraaviin tietoturvavaatimuksiin:
TEK-17.3: Muutoshallintamenettelyt
(
Julkri
)  
Yleensä tämä toimenpide nähdään osaksi
Riskien hallinta ja johtaminen
-teemaa sekä
Riskien hallinta
-politiikkaa.
Alla on esimerkki kokonaisuudesta, joka voi muodostaa kyseisen politiikan. Omaan politiikkaa voit lähteä jalkauttaamaan perustamalla ilmaisen Digiturvamalli-tilin.

Riskien hallinta

-politiikka

Kaikki tehtävät
No items found.
No items found.