Seuraava webinaari
"
ISO 27001 (osa 3/5): Sertifiointiauditoinnin avainasiat
"
alkaa
00
pv
00
h
00
min
päästä  
Ilmoittaudu mukaanNäytä kaikki webinaarit
IlmoittauduNäytä kaikki
Digiturvamalli
Asianhallinta ja arkistointi
This is some text inside of a div block.
Digiturva sopimuksissa
This is some text inside of a div block.
Digiturvan johtaminen
This is some text inside of a div block.
Etätyö
This is some text inside of a div block.
Etätyö ja mobiililaitteet
This is some text inside of a div block.
Fyysinen turvallisuus
This is some text inside of a div block.
Haittaohjelmilta suojautuminen
This is some text inside of a div block.
Henkilöstöturvallisuus
This is some text inside of a div block.
Häiriöiden hallinta
This is some text inside of a div block.
Häiriöiden hallinta ja ilmoittaminen
This is some text inside of a div block.
Informointi ja tietopyynnöt
This is some text inside of a div block.
Järjestelmien hallinta
This is some text inside of a div block.
Järjestelmien hankinta
This is some text inside of a div block.
Kiinteistöjen turvallisuus
This is some text inside of a div block.
Kumppanihallinta
This is some text inside of a div block.
Käsittelyn turvallisuus ja vastuut
This is some text inside of a div block.
Käsittelyperiaatteet ja osoitusvelvollisuus
This is some text inside of a div block.
Laitteiston suojaus ja huolto
This is some text inside of a div block.
Mobiililaitteiden hallinta
This is some text inside of a div block.
Ohjelmistokehitys
This is some text inside of a div block.
Omavalvonta
This is some text inside of a div block.
Paperien käyttö
This is some text inside of a div block.
Pääsynhallinta ja tunnistautuminen
This is some text inside of a div block.
Rajapinnat ja luovutukset
This is some text inside of a div block.
Riskien hallinta
This is some text inside of a div block.
Riskien hallinta ja johtaminen
This is some text inside of a div block.
Salaus
This is some text inside of a div block.
Siirrettävät tietovälineet
This is some text inside of a div block.
Sopimukset ja seuranta
This is some text inside of a div block.
Suojausjärjestelmät ja valvonta
This is some text inside of a div block.
Sähköposti ja selain
This is some text inside of a div block.
Sähköposti ja tietojenkalastelu
This is some text inside of a div block.
Tekninen tietoturva
This is some text inside of a div block.
Teknisten haavoittuvuuksien hallinta
This is some text inside of a div block.
Tiedonhallinnan järjestäminen
This is some text inside of a div block.
Tiedonhallinta
This is some text inside of a div block.
Tiedonhallintamalli
This is some text inside of a div block.
Tietoaineistojen hallinta
This is some text inside of a div block.
Tietoaineistojen hallinta
This is some text inside of a div block.
Tietojen luokittelu
This is some text inside of a div block.
Tietojärjestelmien hallinta
This is some text inside of a div block.
Tietosuoja
This is some text inside of a div block.
Tietoturvakoulutus
This is some text inside of a div block.
Tietoturvaloukkaukset
This is some text inside of a div block.
Tietoturvaohjeet
This is some text inside of a div block.
Toimittajien turvallisuus
This is some text inside of a div block.
Turvallinen kehittäminen
This is some text inside of a div block.
Työsuhteen muutoshetket
This is some text inside of a div block.
Varmuuskopiointi
This is some text inside of a div block.
Verkon turvallisuus
This is some text inside of a div block.
Digiturvamallin sisältökirjasto
>
Riskien hallinta ja johtaminen
>
Riskien hallinta
>
Jatkuvuussuunnitelmien määrittely ja dokumentointi

Jatkuvuussuunnitelmien määrittely ja dokumentointi

Joskus yllättävä tapahtuma, kuten tulipalo, tulva tai laiterikko, voi aiheuttaa toiminnan keskeytyksen. Jotta toimintaa pystyttäisiin jatkamaan mahdollisimman pian ja sujuvasti, tehdään jatkuvuussuunnittelua, eli suunnitellaan etukäteen toiminta poikkeustilanteiden varalle.

Jokaiseen jatkuvuussuunnitelmaan sisältyvät vähintään seuraavat tiedot:

  • Tapahtuma, jonka varalle suunnitelma on tehty
  • Tavoiteaika palautumiselle
  • Vastuuhenkilöt sekä liittyvät sidosryhmät ja yhteystiedot
  • Suunnitellut välittömät toimet
  • Suunnitellut toipumisen askeleet

Tehtävään liittyvät Digiturvamallin ominaisuudet

Näytä vaatimustenmukaisuus raporttikirjaston avulla

Digiturvamalli sisältää raporttikirjaston, josta löytyvät omat raporttipohjat jokaiselle vaatimuskehikolle.

Olipa kuulijana oma johto, viranomainen, auditoija tai asiakas, saat tarvittavan raportin muodostettua yhdellä klikkauksella.

Lue lisää raportoinnista
ISO 27001
Yleiset
Tiedonhallintalaki
Tiedonhallintalaki
Tietosuoja-asetus
GDPR

Vastuuta tehtävät ja kuvaa oma toteutus

Tehtävälistat sisältävät digiturvan ydinasiat. Päätä, mitkä tehtävät teillä hoidetaan ja kuka vastaa. Näet vaaditut tehtävät suoraan valitun vaatimuskehikon perusteella, ja voit halutessasi täydentää listaa omilla.

Lue lisää tietoturvatehtävistä

Jakele ohjeet automaattisesti ja valvo lukemista

Kohdista ohjeet kaikilla tai vain relevanteille yksiköille. Saat ehdotuksia suoraan valitun vaatimuskehikon perusteella ja voit lisätä omat ohjeenne.

Työntekijöille ohjeet jaellaan Teams-botin kautta. Botti ei myöskään anna lukemisen unohtua.

Lue lisää tietoturvaohjeista

Dokumentoi esimerkkien ja älykkäiden pohjien avulla

Digiturvamalli sisältää älykkäät mallipohjat mm. järjestelmien, henkilötietojen ja riskien dokumentointiin. Et turhaan kirjoita tai piirrä, vaan klikkailet linkittäen tietoja, jolloin automaattinen raportointi mahdollistuu.

Lue lisää dokumentoinnista

Tehtävään liittyvät vaatimukset eri vaatimuskehikoista

T05
Katakri
Jatkuvuuden hallinta
tehtävää
17.1.2
ISO 27001
Tietoturvallisuuden jatkuvuuden toteuttaminen
tehtävää

Saman teeman muita tehtäviä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Riskienhallinnan menettelykuvaus -raportin julkaisu ja ylläpito

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Näytä lisätiedot

Organisaatio on määritellyt menettelyt tietoturvariskien arviointiin ja käsittelyyn. Määrittely sisältää ainakin:

  • Riskien tunnistamistavat
  • Tietoturvariskien analysoinnin menetelmät
  • Tietoturvariskien arvioinnin kriteerit (seuraukset ja todennäköisyys)
  • Riskien priorisointi ja käsittelyvaihtoehtojen sekä hallintakeinojen määrittely
  • Riskien hyväksymiskriteerit
  • Prosessin toteutussykli, resursointi ja vastuut

Tehtävän omistaja tarkistaa säännöllisesti, että riskikriteerit ovat selkeitä ja tuottavat johdonmukaisia arvioita.

Havaittujen poikkeamien käsittelyprosessi ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Näytä lisätiedot

Tietoturvan hallintajärjestelmän näkökulmasta poikkeamat ovat tilanteita, joissa:

  • organisaatioon kohdistuviin tietoturvavaatimuksiin ei löydy vastinetta hallintajärjestelmästä
  • hallintajärjestelmässä määritellyt menettelyt, tehtävät tai ohjeistukset eivät toteudu organisaation arjen toiminnassa

Systemaattisessa tietoturvatyössä kaikki havaitut poikkeamat on dokumentoitava. Poikkeaman käsittelemiseksi organisaation on määritettävä ja toteutettava parannukset, joilla poikkeama korjataan.

Merkittävien tietoturvaan vaikuttavien muutosten arviointiprosessi ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Näytä lisätiedot

Järjestelmällisessä turvallisuustyössä merkittävien muutosten vaikutukset on arvioitava ennakkoon ja muutokset toteutettava systemaattisesti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.

Merkittäviä muutoksia voivat olla mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin sekä tietojärjestelmiin kohdistuvat muutokset. Muutoksia voidaan tunnistaa mm. johdon katselmuksissa sekä muuten toiminnan ohessa.

Luettelo salassa pidettävän tiedon käsittelyä edellyttävistä työtehtävistä

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Näytä lisätiedot

Organisaatio ylläpitää luetteloa salassa pidettävän tiedon käsittelyä edellyttävistä työtehtävistä. Pääsyoikeus salassa pidettävään tietoon myönnetään vasta, kun henkilön työtehtävistä johtuva tiedonsaantitarve on selvitetty. Luettelo sisältää tiedon salassa pidettävien tietojen käsittelyoikeuksista suojaustasoittain.

Tietoturvariskien tunnistaminen ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Näytä lisätiedot

Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:

  • Riskin kuvaus
  • Riskin vakavuus ja todennäköisyys
  • Riskiä hallitsevat ohjeet ja hallintatehtävät
  • Riskin hyväksyttävyys

Liittyvien tietoturvariskien dokumentointi tapahtuneille tietoturvahäiriöille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Näytä lisätiedot

Organisaatio arvioi tietoturvaan liittyvien riskejä reagoimalla tilanteisiin, joissa tietoturva on lievästi tai vakavasti pettänyt. Dokumentaatio sisältää vähintään seuraavat asiat:

  • Häiriön kuvaus
  • Häiriöön liittyneet riskit
  • Häiriön johdosta käyttöön otetut uudet hallintatehtävät
  • Häiriön johtosta toteutetut muut toimenpiteet

Säännöllinen ulkopuolinen tietoturvakäytäntöjen auditointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Näytä lisätiedot

Organisaatiossa suoritetaan säännöllisesti tietoturva-auditointia. Auditoinnin avulla tunnistetaan esimerkiksi tietojärjestelmiin sekä järjestelmätoimittajiin liittyviä puutteita ja kehitystarpeita.

Tärkeät auditointia suorittavat kumppanit kannattaa listata Muut sidosryhmät -osiossa.

Jatkuvuussuunnitelmiin liittyvä viestintä sidosryhmille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Näytä lisätiedot

Organisaatio on määritellyt toimintatavat viestiäkseen tehokkaasti sidosryhmien ja muiden osallistujien jatkuvuussuunnitelmien ja selviytymismenettelyjen aikana.

Jatkuvuussuunnitelmiin liittyvien viestintäsuunnitelmien on sisällettävä:

  • Vastuuhenkilöt, liittyvät sidosryhmät ja muut tarvittavat yhteystiedot
  • Selkeät kriteerit tilanteelle, jossa jatkuvuusviestintää aletaan toteuttaa
  • Selkeä kuvaus jatkuvuusviestintää kussakin tilanteessa toteuttavasta henkilöstö sekä vastaanottajista, joille viestintää lähetetään
  • Viittaukset käytettäviin viestipohjiin sekä käytettäviin työkaluihin liittyen

Jatkuvuussuunnittelmien säännöllinen testaus ja katselmointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Näytä lisätiedot

Organisaation tulisi säännöllisesti, vähintään vuosittain, testata ja katselmoida tietoturvallisuuden jatkuvuuteen liittyviä suunnitelmia, jotta voidaan varmistaa, että ne ovat päteviä ja vaikuttavia epäsuotuisissa tilanteissa.

Lisäksi toiminnan merkittävissä muutostilanteissa tulisi uudelleenarvioida jatkuvuussuunnitelmien sekä niihin liittyvien hallintamekanismien riittävyyttä.

Tietoturvallisuuden jatkuvuutta koskevat vaatimukset

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Näytä lisätiedot

Organisaation tulisi määrittää vaatimukset, jotka koskevat tietoturvallisuuden hallinnan jatkuvuutta kriisin tai katastrofin aikana.

Tietoturvan hallinnassa voidaan joko olettaa, että tietoturvavaatimukset ovat samat epäsuotuisissa tilanteissa kuin normaaleissa toimintaolosuhteissa, tai pyrkiä erikseen määrittämään epäsuotuisiin tilanteisiin soveltuvat tietoturvavaatimukset.

Yleiset muutostenhallintamenettelyt (ST II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Näytä lisätiedot

Järjestelmällisessä turvallisuustyössä muutosten vaikutukset on arvioitava ennakkoon, muutokset on dokumentoitava selkeästi ja toteutettava systemaattisesti.

Suojaustasolla II muutostenhallinnassa käytetään seuraavia toimintatapoja:

  • Tietojenkäsittelyyn liittyviin muutoksiin on määritelty muutoksenhallintamenettely (esim. määrittely, dokumentointi, riskien arviointi ja hallinta). Muutokset ovat jäljitettävissä.
  • Verkot, järjestelmät ja niihin liittyvät laitteet, ohjelmistot ja asetukset on dokumentoitu siten, että muutokset hyväksyttyyn kokoonpanoon pystytään havaitsemaan vertaamalla toteutusta dokumentaatioon.
  • Tietojenkäsittely-ympäristöjä tarkkaillaan luvattomien muutosten tai laitteistojen havaitsemiseksi.
  • Laitteistot suojataan luvattomien laitteiden (näppäilynauhoittimet ja vastaavat) liittämistä vastaan.

Yleiset muutostenhallintamenettelyt (ST IV-III)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Näytä lisätiedot

Järjestelmällisessä turvallisuustyössä muutosten vaikutukset on arvioitava ennakkoon, muutokset on dokumentoitava selkeästi ja toteutettava systemaattisesti.

Suojaustasoilla IV-III muutostenhallinnassa käytetään seuraavia toimintatapoja:

  • Tietojenkäsittelyyn liittyviin muutoksiin on määritelty muutoksenhallintamenettely (esim. määrittely, dokumentointi, riskien arviointi ja hallinta). Muutokset ovat jäljitettävissä.
  • Verkot, järjestelmät ja niihin liittyvät laitteet, ohjelmistot ja asetukset on dokumentoitu siten, että muutokset hyväksyttyyn kokoonpanoon pystytään havaitsemaan vertaamalla toteutusta dokumentaatioon.
  • Tietojenkäsittely-ympäristöjä tarkkaillaan luvattomien muutosten tai laitteistojen havaitsemiseksi.

Tietoturvan hallintajärjestelmän toteuttamisen säännöllinen sisäinen valvonta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Näytä lisätiedot

Tietoturvan hallintajärjestelmän tulisi valvoa sinne kirjattujen tehtävien ja ohjeistusten toteuttamista.

Tehtävän omistajan tulisi tarkastalle tietoturvan hallintajärjestelmän toteutustilannetta kokonaisuutena säännöllisesti.

Katastrofisuunnitelmien harjoitteleminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Näytä lisätiedot

Organisaation on suoritettava katastrofisuunnitelman mukainen harjoitus vuosittain tai, kun suunnitelmaan tulee merkittäviä muutoksia. Jos mahdollista, sisällytä paikalliset viranomaiset mukaan harjoitukseen.

Katastrofien huomiointi jatkuvuussuunnittelussa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Näytä lisätiedot

Organisaation on huomioitava ihmisten aiheuttamasta tai luonnonkatastrofista palautuminen jatkuvuussuunnitelmissaan. Katastrofisuunnittelussa on jatkuvuussuunnittelua suurempi painoarvo toiminnan palauttamisessa normaalille tasolle, jotta toimintaa tämän jälkeen voidaan jatkaa. Suunnitelmaa tulee päivittää vähintään vuosittain tai merkittävien muutosten jälkeen.

Riskienhallinnan tulosten huomiointi jatkuvuussuunnittelussa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Näytä lisätiedot

Organisaation on arvioitava toiminnankeskeytysten aiheuttama vahinko toiminnalle. Arvioinnin perusteella on luotava kriteeristö organisaation jatkuvuussunnitelman ja operatiivisen joustavuuden ja valmiuksien kehittämiselle.

Riskienhallinnan tulosten huomioiminen auditointimenettelyissä

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Näytä lisätiedot

Organisaation on suoritettava sisäinen auditointi ja toteutuksen arviointi riskienhallinan tulokset huomioon ottaen.

Tietoluokittelu toimipisteille ja fyysiselle tieto-omaisuudelle

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Näytä lisätiedot

Organisaatio on luokitellut myös toimipisteet sekä fyysisen tieto-omaisuuden niissä käsiteltävän tiedon luokituksen perusteella.

Salauksen ja salausavainten hallinnan huomiointi riskienhallintamenettelyissä

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Näytä lisätiedot

Organisaatiolla täytyy olla salausavainten hallintaan liittyvä riskienhallintamenettely, joka sisältää riskien arvioinnin, käsittelyn ja seuraamisen.

Muutostenhallintamenettelystä poikkeamisen säännöt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Näytä lisätiedot

Organisaation täytyy asettaa keinot poikkeustenhallintaan, mukaan lukien hätätilanteet, muutostenhallintamenettelyssä.

Sovita tehtävä yhteen "Havaittujen poikkeamien käsittelyprosessi ja dokumentointi"-tehtävän kanssa.


Muutostenhallintamenettelyn laiminlyömisen havaitseminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Näytä lisätiedot

Organisaatiolla täytyy olla havaitsemiskeinoja muutostenhallintamenettlyn laiminlyömisen havaitsemiseen.

Organisaation jatkuvuussuunnitelun strategian määrittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Näytä lisätiedot

Organisaation on ylläpidettävä ylätason strategiaa jatkuvuussuunnittelulle. Strategian on sisällettävä vähintään:

  • Ohjenuorat jatkuvuussuunnittelun aikatavoitteiden sekä jatkuvuussuunnitelmia vaativien tapahtumien määrittämiselle
  • Johdon sitoumus jatkuvuussuunnitteluun ja sen parantamiseen
  • Kuvaus organisaation riskinottohalukkuudesta

Strategian laatimiseksi voi olla tarpeen hyödyntää yleisiä hyviä käytäntöjä esim. ISO 22300 -standardeista.

Prosessi tietoturvanäkökohtien sisällyttämiseksi projektinhallintaan

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Näytä lisätiedot

Organisaatiossa on määritelty, kuinka tietoturvanäkökohdat integroidaan käytettyihin projektinhallintamenetelmiin. Käytössä olevien menetelmien tulee edellyttää:

  • Projektin tietoturvaan liittyvät riskit tunnistetaan, arvioidaan ja käsitellään projektin varhaisessa vaiheessa
  • Projektin tietoturvaan liittyvät riskit tarkastellaan tarvittaessa
  • Vastuu projektin tietoturvasta liittyy selkeästi tiettyihin projektirooleihin

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.

Aloita ilmainen kokeilu

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.

Aloita kokeilu Teamsissa

Jos sinulla on kysymyksiä, voit mielellään varata palaverin sinulle sopivaan ajankohtaan.

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
Digiturvamalli
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Tarjolla kielillä:
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
ISO 27001NIST CSFCSA CCMGDPR, Tietosuoja-asetusTiedonhallintalakiISO 27017ISO 27018Tietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
WebinaaritOhjekeskusBlogiViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs

Tilaa Digiturvatulkki-uutiskirje

Tiimimme lähettää perjantaisin koosteen viikon tärkeimmistä digiturvauutisista, tulevan viikon ilmaisista webinaareista sekä tuoreimmasta Digiturvamalli-kehityksestä.

+358 10 231 6010
tiimi@digiturvamalli.fi
© Agendium Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin