Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

18.1.4

5.34
ISO 27001

ISO 27001:2022

66

TSU-14
Julkri

Julkisen hallinnon tietoturvakriteeristö

Muita saman teeman digiturvatehtäviä

Tapahtuneiden tietoturvaloukkausten käsittely ja dokumentointi

Critical
High
Normal
Low

Organisaation on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset sekä niiden vaikutukset ja toteutetut korjaavat toimet riippumatta siitä, mitä toimenpiteitä tietoturvaloukkauksesta lopulta seuraa.

Dokumentointivelvollisuuden tai ilmoituksen tekemisen laiminlyöminen on tietosuoja-asetuksen vastaista. Se voi johtaa tietosuoja-asetuksessa määritettyihin seuraamuksiin.

18.1.4: Privacy and protection of personally identifiable information
TSU-14: Tietoturvaloukkaukset
Julkri
5.34: Tietosuoja ja henkilötietojen suojaaminen
ISO 27001
66: Tietoturvaloukkausten hallinta

Tietoturvaloukkauksesta ilmoittaminen viranomaiselle / rekisteröidyille

Critical
High
Normal
Low

Henkilötietojen tietoturvaloukkauksesta täytyy ilmoittaa valvontaviranomaiselle, mikäli loukkauksesta voi aiheutua riski ihmisten oikeuksille ja vapauksille. Rekisteröidyille on puolestaan ilmoitettava, mikäli loukkauksestta todennäköisesti aiheutuu korkean riski oikeuksille ja vapauksille. Ilmoituksen perusteella rekisteröidyt voivat esimerkiksi ryhtyä toimiin haittavaikutuksen pienentämiseksi (esim. sulkemalla luottokorttinsa).

Ilmoitukseen on sisällytettävä seuraavat tiedot:

  • selkeä kuvaus henkilötietojen tietoturvaloukkauksesta
  • tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa
  • henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset
  • toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on jo toteuttanut; tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
33. Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle
GDPR
34. Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle
GDPR
6.1.3: Contact with authorities
ISO 27001
16.1.5: Response to information security incidents
ISO 27001
RS.CO-2: Incident reporting
NIST

Tietoturvaloukkauksesta rekisteröidyille aiheutuneen riskin tarkempi arviointi

Critical
High
Normal
Low

Rekisterinpitäjän on arvioitava, millainen riski tietoturvaloukkauksesta aiheutuu vuodon kohteena olevalle henkilölle. Arviossa on huomioitava esimerkiksi seuraavat asiat:

  • Miten todennäköistä on, että tietoja käytetään haitantekoon?
  • Millaista haittaa tietojen avulla voitaisiin tehdä (mahdollistuuko esim. identiteettivarkaus, petos, psyykkisen ahdistuksen tuottaminen, nöyryyttäminen tai mainevahingon tuottaminen)?
  • Henkilötietojen luonne, arkaluonteisuus ja määrä
  • Kuinka helppoa rekisteröity on tunnistaa tiedoista?
  • Onko rekisteröityjen joukossa paljon esimerkiksi lapsia tai muuten heikossa asemassa olevia?

Riskiarvio vaikuttaa loukkauksesta ilmoittamisen kiireellisyyteen ja laajuuteen.

34. Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle
GDPR
6.1.3: Contact with authorities
ISO 27001
16.1.5: Response to information security incidents
ISO 27001
RS.CO-3: Information sharing
NIST
66: Tietoturvaloukkausten hallinta

Prosessi tietoturvaloukkauksen käsittelyn aloittamiseen

Critical
High
Normal
Low

Organisaatiomme on ennalta määritellyt toimintatavat, joiden kautta havaittua tietoturvaloukkausta aletaan käsitellä. Prosessi voivat sisältää mm. seuraavia asioita:

  • ketkä kuuluvat tiimiin, joka on valmiina reagoimaan loukkauksiin
  • kuinka ja mitä kanavaa myöten loukkauksesta tiedotetaan välittömästi koko tiimia
  • tiimi määrittää loukkaukselle vakavuuden (matala, keskiverto, korkea) ennaltamääriteltyjen kriteerien perusteella
  • loukkauksen käsittelyä jatketaan isommalla porukalla vakavuustason mukaisesti
24. Rekisterinpitäjän vastuu
GDPR
32. Käsittelyn turvallisuus
GDPR
16.1.5: Response to information security incidents
ISO 27001
16.1.7: Collection of evidence
5.26: Tietoturvahäiriöihin reagointi
ISO 27001

Prosessi toimitusketjuun liittyneiden tietoturvaloukkausten havaitsemiseen ja tiedottamiseen

Critical
High
Normal
Low

Organisaation on määriteltävä toimintatavat, joita noudattaen tiedotetaan toimitusketjun tietoturvaloukkauksista. Prosessin on huomioitava kaikenlaiset omat roolit toimitusketjussa, olimmepa itse lopputuotteen tilaaja tai yksi ketjuun kuuluva toimittaja.

Toimintatapojen on huomioitava kumppanien sekä asiakkaiden kanssa tehdyt sopimukset ja niihin sisältyvät sitoumukset molempien osapuolten velvollisuuksista loukkauksien ilmoittamiseen liittyen.

DE.CM-6: External service provider activity monitoring
NIST
A.10.1: Notification of a data breach involving PII
ISO 27018
5.23: Pilvipalvelujen tietoturvallisuus
ISO 27001