Organisaation on määritettävä

• tietoturvallisuuden hallintajärjestelmän kannalta olennaiset sidosryhmät
• näiden sidosryhmien asettamat tietoturvallisuutta koskevat vaatimukset

Organisaation toiminnalle tärkeät asiakasryhmät tai yksittäiset merkittävät asiakkaat ovat yleensä yksi tärkeimmistä sidosryhmistä myös tietoturvallisuuden näkökulmasta. Muita sidosryhmiä tarkastellaan muiden tehtävien kautta.

Organisaation on ylläpidettävä listaa kumppaneista, joilla on pääsy luottaumuksellisiin tietoihin. Järjestelmätoimittajat sekä henkilötietojen käsittelijät listataan erillään muista sidosryhmistä, koska heillä on aktiivinen rooli tietojen käsittelyssä.

Kaikkien tietojen käsittelyyn suorasti tai välillisesti osallistuvien kumppanien kanssa laaditaan toimittajasopimus. Tavoitteena on varmistaa, että organisaation ja toimittajan välillä ei ole väärinymmärryksiä osapuolten velvoitteista tietoturvavaatimusten täyttämisessä.

Organisaatio sisällyttää toimittajasopimukseen tarvittaessa seuraavat asiat:

• toimittajan käyttämät tiedot (ja tiedon mahdollinen luokitus) sekä tietoihin pääsyn saava henkilöstö
• tiedon hyväksyttävän käytön säännöt
• tietoja käsittelevän henkilöstön salassapitovelvollisuus
• työnjako viranomaisvaatimusten täyttämisessä
• sopimusosapuolten hallintatehtävät tietoturvaan liittyen (esim. pääsynhallinta, valvonta)
• häiriöiden ilmoittaminen ja korjaaminen
• vaatimukset toimittajan alihankkijoiden käytölle
• lupa auditoida sopimukseen liittyvät toimittajan prosessit ja hallintakeinot (ja puutteiden korjaaminen)
• sitoutuminen tietojen palauttamiseen tai tuhoamiseen sopimuksen päättyessä
• toimittajan vastuu noudattaa organisaation tietoturvakäytäntöjä

Contracts and arrangements with business associates must meet the requirements for Protected Health Information (PHI) and HIPAA. They must specify permitted and required use cases of the PHI being used by the business associate.
The same rule must apply for subcontractor agreements made by a Business Associate. An agreement must control how the subcontractor uses PHI.

When the organization is part of an organized health care arrangement (OHCA) and chooses to use a joint Notice of Privacy Practices, it must ensure that a formal agreement is in place with all other participating covered entities. All parties must explicitly agree to the terms for information sharing outlined in the joint notice. This agreement must confirm that all parties will adhere to the terms of the joint notice for all protected health information (PHI) created or received as part of their involvement in the OHCA.

The organization must ensure that the joint notice clearly and specifically identifies all the covered entities, or classes of entities, that are included under the notice, and describes how information will be shared among the covered entities within the organized health care arrangement.

The data processing agreement between the organization and its business associates must explicitly authorize the business associate to create, receive, maintain, or transmit PHI on behalf of the organization and must include documented technical, administrative, and physical safeguards to protect that data.

Similarly, agreements between business associates and their subcontractors must contain the same authorization for PHI handling and detailed documentation of all required safeguards.

The organization must establish and document a formal procedure for ongoing collaboration and information exchange with external security bodies such as the sectoral authority, the Directorate General Crisis Centre (DGCC), the Coordination Unit for Threat Analysis (OCAM) and police services.

This procedure should outline the specific types of security information to be shared, the designated communication channels, contact points and the responsibilities for this exchange.

Key steps for formalizing and implementing ongoing security collaboration and information exchange include the following:

• List all relevant external security bodies (e.g., sectoral authority, DGCC, OCAM, police services) and their specific roles concerning critical infrastructure security.
• Specify the types of security information to be shared (e.g., threat intelligence, incident reports, vulnerability advisories), frequency, and classification levels.

The organization must establish and enforce a clear policy for monitoring personal data to ensure all activities are legitimate and necessary. The policy is required to describe:

• the legitimate purpose of the monitoring
• the necessity and proportionality of the tools, methods of monitoring
• establishing clear rules that prohibit access to or use of stored monitoring data for any other reason than fulfilling the original purpose
• the implementation of technical and administrative controls to enforce these rules
• the maximum retention period for stored data, which must not exceed five years

Organisaatiolla on oltava prosessi tai dokumentaatio, jonka avulla organisaation johtaja nimetään valtuutusviranomaiseksi. Tämä rooli on nimenomaisesti vastuussa kaikkien valtuutuksen saaneiden henkilöiden turvallisuuden hallinnasta ja jatkuvasta valvonnasta.

The organization must ensure that all authorized users of monitored information systems are clearly informed about the nature and purpose of such monitoring. This includes explicitly communicating:

• Why their personal data is being processed through monitoring
• The monitoring measures that have been implemented on the information systems they use
• Whether their personal data collected through monitoring is disclosed to other parties, and if so, the identities of those recipients

Before starting any procedure that requires a security protection agreement, ensure that a special security protection assessment is completed. This means identifying what security-classified information or other security-sensitive activities a cooperating party might gain access to. The assessment should focus on whether the planned cooperation poses a risk from a security protection standpoint. The goal is to make sure sensitive information or activities are not exposed to unnecessary threats.

Document the outcome of the assessment clearly, including what was identified as sensitive and what protective measures will be taken. If the assessment concludes that the cooperation is not suitable from a security perspective, the procedure must not proceed.

When an organization intends to transfer a security-sensitive activity, or a part thereof, to another entity (acquirer), the organization should ensure that the acquirer is explicitly informed that the Security Protection Act applies to the activity being transferred.

This information should also comprehensively detail the specific security obligations that are applicable to an operator under Chapter 2, Section 1 of the Security Protection Act.

This process ensures that the acquirer is fully aware of their legal responsibilities related to security protection from the outset of the transfer.

Organisaation olisi säännöllisesti tarkistettava vastapuolten kanssa tehdyt turvasuojaussopimukset varmistaakseen, että ne pysyvät riittävinä muuttuneiden olosuhteiden, kuten uusien uhkien, teknologisen kehityksen tai sääntelyn muutosten, valossa.

Jos vastapuoli ei noudata turvasuojasopimusta, organisaation on ryhdyttävä asianmukaisiin toimenpiteisiin varmistaakseen, että sen omat turvasuojavaatimukset täyttyvät edelleen. Näihin toimenpiteisiin voi kuulua korvaavien valvontatoimien toteuttaminen, asian eskalointi tai kumppanuuden uudelleenarviointi.

The organization should establish and document a formal process for consulting with the supervisory authority. This process is initiated after a suitability assessment has concluded that a planned procedure involving another actor is not inappropriate, but before the procedure itself begins.

The process must clearly define the triggers for consultation, which include any procedure where another actor may gain access to:

• Security-classified information in the security protection class confidential or higher.

• Other security-sensitive activities of corresponding importance to national security.

The process should also specify who is responsible for initiating the consultation, what documentation is required for the authority, and how to handle and implement any measures ordered by the authority as a result of the consultation.

• All or part of a security-sensitive activity, or

• Property important to Sweden’s security or related to international commitments.

The operator must:

• Conduct a specific security assessment to identify sensitive information or activities that could be accessed.

• Perform a suitability assessment to determine whether the transfer is appropriate from a security perspective.

• Document both assessments. If the suitability assessment shows the transfer is not appropriate, the transfer must not be carried out.

In addition to identifying the risks through the special security protection assessment, organizations also evaluate whether the planned cooperation is appropriate. Consider both the specific nature of the planned activity and the sensitivity of the information involved. This helps ensure that external parties do not receive access to information or systems beyond what is safe or necessary.

The result of the suitability assessment should also be documented. If the cooperation is found to be unsuitable due to security risks, it should be stopped or restructured to eliminate those risks.

Organisaation on toteutettava tietoturvatoimenpiteet 12 kuukauden kuluessa siitä, kun se on rekisteröitynyt kyberturvallisuuden tietojärjestelmään, tai hallituksen asettamassa määräajassa. Tiedot kyberturvallisuusriskien hallintatoimenpiteiden toteuttamisesta on toimitettava kansalliselle kyberturvallisuuskeskukselle kyberturvallisuuden tietojärjestelmää koskevissa säännöissä vahvistetun menettelyn mukaisesti.

Organisaatio ottaa käyttöön prosessit ja keinot haavoittuvuusilmoitusten käsittelemiseksi ja jakamiseksi, kuten:

• Prosessit, joilla vastaanotetaan, analysoidaan ja vastataan toimittajilta, asiakkailta, kumppaneilta ja valtion kyberturvallisuusorganisaatioilta saatuihin haavoittuvuusilmoituksiin.
• Haavoittuvuustietojen jakaminen organisaation ja toimittajien välillä sopimussääntöjen ja -käytäntöjen mukaisesti.
• Vastuun jakaminen asianomaiselle henkilöstölle ilmoitettujen kyberturvallisuusuhkien, haavoittuvuuksien tai vaaratilanteiden käsittelyn ja vaikutusten analysoinnin osalta.

Organisaation olisi tehtävä sopimuksia asiaankuuluvien kolmansien osapuolten kanssa, jotta ne voivat tarvittaessa tarjota konsultointia poikkeamien aikana.

Tällaisia kolmansia osapuolia voivat olla esimerkiksi CERT-ryhmät (Computer Emergency Response Teams), eri alojen tietotekniikka-asiantuntijat sekä laitteiden tai ohjelmistojen toimittajat.

Organisaatio koordinoi, miten suhteita yleisöön hoidetaan ottamalla käyttöön jäsennelty ulkosuhteiden ja yleisön hallintaprosessi. Organisaatio nimeää oman ulkosuhteista vastaavan henkilön hoitamaan kaikki mediavuorovaikutukset, käsittelemään haastattelupyyntöjä, käsittelemään puhelinsoittoja ja sähköpostipyyntöjä sekä varmistamaan, että julkisuuteen suunnattu tieto on organisaation toimintaperiaatteiden mukaista.

Ulkopuolisia tietotekniikkapalveluja ei käytetä ilman tietoturvavaatimusten nimenomaista arviointia ja täytäntöönpanoa:

• Ulkoisista IT-palveluista on saatavilla riskinarviointi.
• Oikeudelliset, sääntelyyn liittyvät ja sopimusvaatimukset otetaan huomioon.

Ulkoisen IT-palvelun on täytettävä niiden käsittelemien tietojen osalta tarvittavat vaatimukset.

• Organisaatiolla olisi oltava menettely, jolla määritetään, täyttääkö ulkoinen IT-palvelu vaatimukset, ennen kuin sille annetaan pääsy tietoihin.
• Ennen kuin ulkoisia IT-palveluja (kuten pilvipalveluja, ohjelmistoja tai kolmannen osapuolen IT-tukea) aletaan käyttää, palvelun on täytettävä organisaation vaatimukset (esim. yhteensopivuuden, turvallisuuden, kustannustehokkuuden ja organisaation tarpeiden mukaisuuden osalta).

Organisaation on tarkistettava säännöllisin väliajoin, että vain hyväksyttyjä ulkoisia IT-palveluja on käytössä.

Tärkeitä ICT-palveluita koskevien sopimusten tulee sisältää:

• Yksityiskohtaiset palvelutason kuvaukset ja selkeät suorituskykytavoitteet tehokkaan valvonnan ja korjaavien toimenpiteiden varmistamiseksi.
• Ilmoitusajat ja raportointivelvoitteet palvelun tarjontaan vaikuttavista muutoksista.
• Varasuunnitelmat, turvatoimenpiteet ja käytännöt liiketoiminnan jatkuvuuden ja säännösten noudattamisen varmistamiseksi.
• Osallistuminen rahoitusyksikön TLPT:hen (uhkalähtöinen penetraatriotestaus).
• Oikeudet seurata suorituskykyä pääsyn, tarkastusten ja auditointien avulla, ja vaihtoehtoisia vakuutustasoja koskevat määräykset.
• Yhteistyö toimivaltaisten viranomaisten tai nimettyjen tahojen suorittamien tarkastusten ja auditointien aikana.
• Yksityiskohdat tarkastusten ja auditointien laajuudesta, menettelyistä ja tiheydestä.
• Irtautumisstrategiat, mukaan lukien siirtymäkaudet saumattomalle siirtymiselle tai uudelleenjärjestelylle.
• Mikroyrityksille mahdollisuus siirtää valvontaoikeudet palveluntarjoajan nimeämälle riippumattomalle kolmannelle osapuolelle.

Arvioidessaan kriittisiä toimintoja tukeviin ICT-palveluihin liittyviä riskejä tulee ottaa huomioon:

• Onko kyseessä sopimuksen tekeminen ei-korvattavan ICT-palveluntarjoajan kanssa.
• Useiden sopimusten vaikutukset samojen tai läheisesti toisiinsa liittyvien ICT-palveluntarjoajien kanssa.
• Vvaihtoehtoisten ratkaisujen arviointi, kuten eri palveluntarjoajien käyttö, liiketoiminnan tarpeiden mukauttaminen ja digitaalinen häiriönsietostrategia.

Mitä tulee alihankintaan:

• Rahoituslaitosten tulee arvioida alihankinnan hyödyt ja riskit, erityisesti kun alihankkijat sijaitsevat kolmansissa maissa.
• Maksukyvyttömyyslain säännösten huomioon ottaminen palveluntarjoajan konkurssin ja tietojen palauttamisen rajoitusten yhteydessä.
• Unionin tietosuojasääntöjen noudattaminen ja lainvalvonta kolmansissa maissa.
• Monimutkaisten alihankintaketjujen mahdollisten vaikutusten arviointi seuranta- ja valvontakykyyn.

Määrittele osallistumisedellytykset tietojen jakamisjärjestelyissä ja ilmoita osallistumisesta toimivaltaisille viranomaisille.

1. Määritä osallistumisedellytykset tietojen jakamisjärjestelyissä, mukaan lukien julkisten viranomaisten osallistuminen ja niiden mahdolliset roolit, kolmannen osapuolen palveluntarjoajien osallistuminen ja operatiiviset yksityiskohdat, kuten omistettujen IT-alustojen käyttö.
2. Ilmoita osallistumisesta tietojen jakamisjärjestelyihin toimivaltaisille viranomaisille jäsenyyden vahvistamisen yhteydessä tai tarvittaessa jäsenyyden lopettamisesta sen tullessa voimaan.

Organisaation tulee ylläpitää aktiivisesti yhteyksiä cloud-toimialaan liittyviin sidosryhmiin ja muihin merkittäviin tekijöihin, jotka liittyvät organisaation toimintaan.

Organisaatio listaa relevantit viranomaistoimijat, joihin on tärkeää pitää aktiivisesti yhteyttä sekä tarvittaessa saada yhteys nopeasti. Näitä viranomaisia ovat mm. kansallisia lakeja toimeenpanevat sekä valvontaa toteuttavat viranomaiset.

Relevantteihin viranomaisiin olisi määriteltävä selkeä yhteyshenkilö, joka toimii yhteyspisteenä organisaatioon.

Organisaation on viestittävä toimittajille heidän roolinsa ja vastuunsa toimitusketjun tietoturvassa. On myös varmistettava, että toimittajat ymmärtävät heille kohdistetut tietoturvaohjeensa sekä mahdolliset muut tietoturvavastuut sopimusten mukaisesti.

Organisaation on sisällyttänyt toiminnan jatkuvuuden edellyttämät palvelutasovaatimukset osaksi hankintavaatimuksia ja sopimuksia.

Etenkin kriittisten toimintojen kannalta välttämättömistä tietojenkäsittely-ympäristön osista (mm. näitä toimintoja tukevat tietojärjestelmät ja kumppanit) on tärkeää sopia tavalla, jolla taataan palvelujen riittävä saatavuus. Sopimuksiin voidaan sisällyttää vaatimuksia mm. yleisestä palvelutasosta (SLA) sekä ongelmatilanteista palautumisesta (RPO, RTO).

Osallistaessaan alikäsittelijöitä mukaan tarjottuihin pilvipalveluihin liittyvien henkilötietojen käsittelyyn organisaatio varmistaa, että sopimuksissa on selkeästi määritelty alikäsittelijöiltä vaadittavat tekniset ja organisatoriset vähimmäisturvatoimenpiteet.

Nimetty vastuuhenkilö seuraa toimittajan toimintaa ja palveluita aktiivisesti, jotta varmistetaan sopimusten tietoturvaehtojen noudattaminen ja tietoturvahäiriöiden asianmukainen hallinta.

Seurantaan sisältyvät seuraavat asiat:

• luvatun palvelutason tarkkailu
• toimittajan raporttien katselmointi ja seurantapalaverien järjestäminen
• riippumattomien auditointien säännöllinen järjestäminen
• auditoinneissa tunnistettujen ongelmien seuranta
• tietoturvahäiriöiden tarkempi selvittäminen ja niihin liittyvän dokumentaation katselmointi
• toimittajan tulevaisuuteen liittyvien suunnitelmien läpikäynti (palvelutason ylläpitämiseen liittyen)

Toimittajayrityksille on nimetty vastuuhenkilö, joka seuraa toimittajan toimintaa, tiedotusta sekä sopimuksen noudattamista.

Vastuuhenkilöllä on oltava riittävät taidot digiturvavaatimusten analysointiin toimittajan kriittisyydestä riippuen. Vastuuhenkilö myös huolehtii, että toimittaja nimittää omalta puoleltaan vastuuhenkilön varmistamaan sopimuksen noudattamisen.

Organisaation on määritettävä

• tietoturvallisuuden hallintajärjestelmän kannalta olennaiset sidosryhmät
• näiden sidosryhmien asettamat tietoturvallisuutta koskevat vaatimukset

Tietojärjestelmätoimittajia sekä henkilötietojen käsittelijöitä tarkastellaan muiden tehtävien kautta.

Organisaation tulee hankkia luottamuksellisuutta koskevia sitoumuksia:

• myyjiltä
• liikekumppaneilta

Lisäksi tulee hankkia yksityisyyssitoumuksia:

• myyjiltä
• liikekumppaneilta

sitoumuksien hankkimisen lisäksi organisaation tulee arvioida:

• myyjien ja liikekumppaneiden tietosuojasitoumusten noudattamista
• myyjien ja liikekumppaneiden luottamuksellisuussitoumusten noudattamista

Organisaation tulee ylläpitää aktiivisesti yhteyksiä organisaation toimialaan liittyviin sidosryhmiin ja muihin merkittäviin tekijöihin, jotka liittyvät organisaation toimintaan ja turvallisuuteen.

Tavoitteena etenkin:

• lisätä tietoa parhaista käytännöistä ja pysyä ajan tasalla olennaisesta turvallisuustiedosta
• varmistaa, että ymmärtämys tietoturvaympäristöstä on ajantasaista ja täydellistä

Toimittaja- ja kumppanisopimuksiin tulee sisällyttää vaatimuksia, jotka rajaavat suorasti asiakasympäristöihin vaikuttavia muutoksia.

Muutosten tulisi olla nimenomaisesti hyväksyttyjä sekä palveluntasosopimusten piiriin sisältyviä.

Käsittelysopimuksella sidotaan henkilötietoja käsittelevän kumppaniin tekemisiä. Etenkin tärkeiden kumppanien kanssa käsittelysopimuksen sisältöä on syytä analysoida tarkemmin, josta dokumentoidaan oma arvioinsa. Tärkeät kumppanit voivat olla meihin nähden joko henkilötietojen käsittelijöitä tai rekisterinpitäjiä.

Meille voi olla tärkeää esimerkiksi vastuuttaa tärkeää kumppania huolehtimaan salassapitovelvollisuuden varmistamisesta henkilöstölleen sekä rajoittaa toisten henkilötietojen käsittelijöiden (alihankinnan) käyttöä tietoihimme liittyen.

Vastuuhenkilö seuraa merkittäviä muutoksia toimittajan toiminnassa, jotka voivat vaikuttaa toimittajasuhteeseen ja palveluntarjontaan sekä vaatia täten muita toimenpiteitä. Seuraavat näkökohdat huomioidaan:

• suorat muutokset toimittajasopimuksiin
• palvelusisällön parannukset, uudet teknologiat tai uusien palvelujen kehittäminen
• toimintatapojen merkittävät muutokset (joko tietoturvaan tai muuhun toimintaan liittyen)
• tietojen fyysistä sijaintia koskevat muutokset
• toimittajaketjun / alihankintaprosessin muutokset

Luo yhteys, ja kommunikoi, sidosrymien ja osallistujien kanssa jatkuvuussuunnitelman ja selviytymismenettelyjen aikana.