Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

4.2 (MIL1)
C2M2

Cybersecurity Capability Maturity Model (C2M2)

5.18
ISO 27001

ISO 27001:2022

9.2.5
ISO 27001

ISO 27001:2013

HAL-15
Julkri

Julkisen hallinnon tietoturvakriteeristö

TEK-07.3
Julkri

Julkisen hallinnon tietoturvakriteeristö

Muita saman teeman digiturvatehtäviä

Pääsyoikeuksien myöntämisprosessi työsuhteen alkaessa

Critical
High
Normal
Low

Henkilön työsuhteen käynnistyessä hänelle huolehditaan kerralla käyttöoikeus kaikkien rooliinsa liittyvien tietojärjestelmien käyttöön.

9.2.1: User registration and de-registration
ISO 27001
9.2.2: User access provisioning
ISO 27001
PR.AC-1: Identity and credential management
NIST
5.16: Identiteetin hallinta
ISO 27001

Prosessi työsuhteiden päättymishetkelle mm. laitteiston ja pääsyoikeuksien poistoon

Critical
High
Normal
Low

Organisaatiomme on määritellyt toimintatavat, joiden avulla koordinoidaan työsuhteen päättymishetkellä mm.:

  • Laitteiston palauttaminen
  • Pääsyoikeuksien poisto
  • Muun tieto-omaisuuden palauttaminen
8.1.4: Return of assets
ISO 27001
9.2.1: User registration and de-registration
ISO 27001
9.2.6: Removal or adjustment of access rights
ISO 27001
PR.AC-1: Identity and credential management
NIST
HAL-14.2: Käyttö- ja käsittelyoikeudet - päättyminen
Julkri

Ohjeistukset työsuhteen elinkaaren huomioimiseksi

Critical
High
Normal
Low

Organisaatio on muodostanut ohjeistukset, joilla varmistetaan turvallisuutta eri työsuhteen elinkaaren vaiheissa. Ohjeistuksia koulutetaan ja valvotaan tarvittavien henkilöstöryhmien parissa (esim. esihenkilöt).

Menettelyohjeet voidaan kohdistaa työsuhteen eri elinkaaren vaiheisiin. Eri ohjeistuksia voivat olla esimerkiksi:

  • rekrytointiohjeet
  • perehdyttämisohjeet
  • työsuhteen aikaisten muutosten ohjeet
  • työsuhteen päättymisen ohjeet
  • ja ohjeet yksityiskohtaisempiin toimiin kuten esimerkiksi ohjeet käyttö- ja pääsyoikeuksien muutoksiin
T08: Työsuhteen elinkaaren huomioiminen
Katakri
HAL-15: Työskentelyn tietoturvallisuus koko palvelussuhteen ajan
Julkri

Taustatarkistus ennen henkilön palkkaamista

Critical
High
Normal
Low

Vähintään digiturvan kannalta tärkeisiin rooleihin hakeutuvien työnhakijoiden tausta olisi tarkastettava, huomioiden asianmukaiset lait ja määräykset.

Tarkastus voi sisältää mm.:

  • suositusten tarkistuksen
  • CV:n oikeellisuuden tarkistuksen
  • koulutuksellisen pätevyyden varmistamisen
  • henkilöllisyyden tarkistamisen riippumattomasta lähteestä
  • muut yksityiskohtaisemmat tarkistukset (esim. luottotietojen, aiempien korvausvaatimusten tai rikosrekisterin tarkistus)

Taustatarkistus voi olla syytä ulottaa myös esimerkiksi täysin etänä työskenteleviin, urakoitsijoihin tai muihin kolmansiin osapuoliin. Taustatarkistuksen syvyyttä voidaan suhteuttaa tehtävän oikeuttavaan tietoluokkaan.

7.1.1: Screening
ISO 27001
T09: Henkilöstön luotettavuuden arviointi
Katakri
PR.AC-6: Proof of identity
NIST
PR.IP-11: Cybersecurity in human resources
NIST
HAL-15: Työskentelyn tietoturvallisuus koko palvelussuhteen ajan
Julkri

Pääsyoikeuksien katselmointi työsuhteen muutostilanteissa

Critical
High
Normal
Low

Kaikissa työsuhteen muutostilanteissa pääsyoikeudet olisi katselmoitava yhteistyössä suojattavan omaisuuden omistajien kanssa, ja myönnettävä henkilölle kokonaan uudelleen, kun henkilön työsuhteessa tapahtuu merkittävä muutos. Muutos voi olla ylennys tai roolin vaihtaminen (esim. yksiköstä toiseen siirtyminen).

9.2.5: Review of user access rights
ISO 27001
HAL-15: Työskentelyn tietoturvallisuus koko palvelussuhteen ajan
Julkri
TEK-07.3: Pääsyoikeuksien hallinnointi - pääsyoikeuksien ajantasaisuus
Julkri
5.18: Pääsyoikeudet
ISO 27001
4.2 (MIL1): Control Logical Access
C2M2

Työsuhteen päättymisen jälkeen säilyvistä tietoturvavelvollisuuksista tiedottaminen

Critical
High
Normal
Low

Työsopimuksessa olisi eroteltava tietoturvavastuut ja -velvollisuudet, jotka jäävät voimaan työsuhteen päättymisen. Työntekijää muistutetaan vielä näistä työsuhteen päättyessä, jotta noudattamista voidaan varmistaa.

7.3: Termination and change of employment
ISO 27001
7.3.1: Termination or change of employment responsibilities
ISO 27001
PR.DS-5: Data leak protection
NIST
6.5: Työsuhteen päättymisen tai muuttumisen jälkeiset vastuut
ISO 27001

Turvallisuusselvitysten tarpeen arviointi ja toteuttaminen

Critical
High
Normal
Low

Organisaatio arvioi turvallisuusselvityksen tarpeen ja mikäli sellaista edellytetään, toteuttaa turvallisuusselvityksen myöntää henkilöille pääsyn suojattaviin kohteisiin vasta turvallisuusselvityksen jälkeen.

Turvallisuusselvityksen laajuus riippuu ihmisen työtehtävästä ja tarvittavista oikeuksista esimerkiksi salassa pidettävän tiedon käsittelyyn. Selvityksen laajuus ratkaisee, mitä tietolähteitä selvityksen tekemisessä käytetään. Henkilöä itseään voidaan tarvittaessa haastatella.

HAL-10.1: Henkilöstön luotettavuuden arviointi - turvallisuusselvitys
Julkri

Turvallisuusluokiteltuja tietoja käsittelevän henkilön luotettavuuden arviointi

Critical
High
Normal
Low

Viranomaisen on tunnistettava ne tehtävät, joiden suorittaminen edellyttää sen palveluksessa olevilta tai sen lukuun toimivilta henkilöiltä erityistä luotettavuutta. Henkilöturvallisuusselvitystä hakee turvallisuusluokitellun tiedon omistava viranomainen.

Selvitystä haetaan Suojelupoliisilta, joka päättää sen tekemisestä. Selvitystä haetaan Pääesikunnalta, joka päättää sen tekemisestä, jos selvityksen kohteen (henkilö) on tarkoitus hoitaa puolustusvoimien antamaa tehtävää taikka jos selvitys liittyy puolustusvoimien toimintaan tai hankintoihin. Selvitys laaditaan suppeana, perusmuotoisena tai laajana riippuen käsiteltävästä turvallisuusluokitellusta tiedosta.

Kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi tarpeellista henkilöturvallisuusselvitystodistusta (PSC, Personnel Security Clearance) haetaan Ulkoministeriössä toimivalta Kansalliselta turvallisuusviranomaiselta (NSA, National Security Authority). Esimerkiksi EU:n ja Naton turvallisuusluokiteltujen tietojen käsittely edellyttää turvallisuusluokasta III (CONFIDENTIAL) lähtien PSC:tä.

Käyttöoikeuksien rajoittaminen työsuhteen riskihetkillä

Critical
High
Normal
Low

Mikäli henkilön työsuhde on päättymässä tai merkittävästi muuttumassa, käyttöoikeuksien vähentämistä suojattavaan omaisuuteen on harkittava riippuen seuraavista asioista:

  • henkilön haluttomuus tulevaan muutokseen
  • henkilön tämänhetkisten käyttöoikeuksien ja vastuiden laajuus
  • suojattavan omaisuuden arvo, johon työntekijällä on pääsy
9.2.6: Removal or adjustment of access rights
ISO 27001
5.18: Pääsyoikeudet
ISO 27001

Irtisanomisajalla olevien työntekijöiden erityisvalvonta

Critical
High
Normal
Low

Työsuhteen irtisanomisaikana organisaation olisi valvottava, ettei irtisanottu työntekijä esimerkiksi kopioi tärkeää tietoa (esim. aineetonta omaisuutta) luvattomasti.

8.1.4: Return of assets
ISO 27001
9.2.6: Removal or adjustment of access rights
ISO 27001
5.11: Omaisuuden palauttaminen
ISO 27001