Digiturvamalli
Digiturvamallin sisältökirjastoJärjestelmien hallintaTietojärjestelmien hallinta

Tietojärjestelmien ylläpito ja päivittäminen valmistajan ohjeiden mukaisesti

Organisaation on varmistettava, että tietojärjestelmiä ylläpidetään ja päivitetään valmistajan ohjeiden mukaisesti.

Tehtävään liittyvät Digiturvamallin ominaisuudet

Näytä vaatimustenmukaisuus raporttikirjaston avulla

Digiturvamalli sisältää raporttikirjaston, josta löytyvät omat raporttipohjat jokaiselle vaatimuskehikolle.

Olipa kuulijana oma johto, viranomainen, auditoija tai asiakas, saat tarvittavan raportin muodostettua yhdellä klikkauksella.

Lue lisää raportoinnista

Vastuuta tehtävät ja kuvaa oma toteutus

Tehtävälistat sisältävät digiturvan ydinasiat. Päätä, mitkä tehtävät teillä hoidetaan ja kuka vastaa. Näet vaaditut tehtävät suoraan valitun vaatimuskehikon perusteella, ja voit halutessasi täydentää listaa omilla.

Lue lisää tietoturvatehtävistä

Jakele ohjeet automaattisesti ja valvo lukemista

Kohdista ohjeet kaikilla tai vain relevanteille yksiköille. Saat ehdotuksia suoraan valitun vaatimuskehikon perusteella ja voit lisätä omat ohjeenne.

Työntekijöille ohjeet jaellaan Teams-botin kautta. Botti ei myöskään anna lukemisen unohtua.

Lue lisää tietoturvaohjeista

Dokumentoi esimerkkien ja älykkäiden pohjien avulla

Digiturvamalli sisältää älykkäät mallipohjat mm. järjestelmien, henkilötietojen ja riskien dokumentointiin. Et turhaan kirjoita tai piirrä, vaan klikkailet linkittäen tietoja, jolloin automaattinen raportointi mahdollistuu.

Lue lisää dokumentoinnista

Tehtävään liittyvät vaatimukset eri vaatimuskehikoista

No items found.

Saman teeman muita tehtäviä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Liittymien ja rajapintojen dokumentointi tietojärjestelmille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio pitää kirjaa tietojärjestelmän liittymistä muihin tietojärjestelmiin sekä liittymissä käytettävistä tiedonsiirtotavoista.

Dokumentaatio liittymien suhteen on katselmoitava säännöllisesti sekä järjestelmiin tehtävien muutosten jälkeen.

Tietojärjestelmien omistajien nimeäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Jokaiselle tietojärjestelmälle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.

Omistajan tehtäviin kuuluu mm.:

  • varmistaa omaisuuden dokumentointi
  • varmistaa omaisuuden asianmukainen suojaus
  • pääsyoikeuksien säännöllinen katselmointi
  • varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa

Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.

Tietojärjestelmien listaus ja omistajien nimeäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä sekä tietojärjestelmille nimetyistä omistajista. Omistaja vastaa järjestelmän tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti järjestelmään.

Järjestelmiin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

  • Järjestelmään liittyvät vastuut ja sen käyttötarkoitus
  • Järjestelmän tietojen sijainti (käsitellään tarkemmin erillisessä tehtävässä)
  • Kuvaus järjestelmän ylläpito- ja kehitysvastuista sekä tähän mahdollisesti liittyvät toimittajat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tietojärjestelmän pääsyoikeusroolit ja tunnistautumistavat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa liittymät muihin järjestelmiin (käsitellään tarkemmin erillisessä tehtävässä)

Ohjeistukset henkilöstölle tietojärjestelmien ja tunnistautumistietojen käyttöön liittyen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiolla tulisi olla määritelly ohjeet tietojärjestelmien yleisesti hyväksyttävälle käytölle sekä tarvittavien tunnistautumistietojen hallinnalle.

Tärkeäksi luokiteltujen tietojärjestelmien omistaja voi lisäksi määritellä, dokumentoida ja jalkauttaa tarkempia sääntöjä juuri tämän tietojärjestelmän käytöstä. Nämä saannöt voivat kuvata mm. tietoturvavaatimukset, jotka järjestelmän sisältävään tietoon liittyvät.

Järjestelmädokumentaation säännöllinen katselmointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietojärjestelmälistausta on katselmoitava säännöllisesti, jotta varmistetaan sen tarkkuus, ajantasaisuus ja johdonmukaisuus.

Varjo-IT:n tunnistaminen ja hallinta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Keskimäärin IT-pääkäyttäjä arvioi henkilöstön käyttävän n. 50 pilvipalvelua, kun todellinen määrä on 1 000. Useat näistä ovat tärkeitä henkilöstön tuottavuuden kannalta ja niitä käytetään organisaation verkon ulkopuolelta, joten palomuurisäännöillä ei haastetta ratkaista.

Pilvipalvelujen tunnistamiseen ja hallintaan keskittyvien järjestelmien avulla voit tunnistaa henkilöstön käyttämiä pilvipalveluita ja valvoa eri palvelujen käyttäjiä. Tämä auttaa mm.:

  • määrittämään omaa riskitasoanne pilvipalveluissa olevan tiedon suhteen
  • tarkistamaan palveluita tietoturvan suhteen
  • pystymään raportoimaan vaatimusten mukaisesti esim. tietojen sijiannista ja kumppaneista

Tietojärjestelmiä ylläpitävän henkilöstön pätevyys ja vastuut

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on varmistettava, että tietojärjestelmiä asentaa, ylläpitää ja päivittää ainoastaan henkilöstö, jolla on siihen tarvittava ammattitaito ja asiantuntemus. Lisäksi on kuvattava tietojärjestelmiä asentavan, ylläpitävän ja päivittävän henkilön rooli ja vastuut suhteessa organisaation sekä tietojärjestelmän tuottajaan.

Tietojärjestelmien tekninen katselmointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio katselmoi säännöllisesti tietojärjestelmien teknistä vaatimuksenmukaisuutta organisaatiota koskevien vaatimusten kanssa.

Katselmoinnissa voidaan hyödyntää manuaalista toteutusta kokeneiden ammattilaisten toimista tai automatisoituja työkaluja (mm. tunkeutumistestaus).

Tekninen katselmointi on aina suunniteltava ja toteutettava osaavan ja ennalta hyväksytyn henkilöstön toimesta.

Turhien ohjelmistojen ja verkkopalveluiden poistaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on huolehdittava turhien ohjelmistojen, kuten sovellusten, järjestelmien apuohjelmien ja tietoverkkopalveluiden poistamisesta.

Lisensoitujen ohjelmien päivittäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation täytyy pitää huolta, että lisensoidut ohjelmistot päivitetään 14 päivän kuluessa päivityksen julkaisusta ja silloin, kun:

  • Päivitys korjaa haavoittuvuuksia, jotka luokitellaan kriittiseksi tai korkean riskin haavoittuvuudeksi
  • toimittaja ei kerro yksityiskohtia korjattavan haavoittuvuuden vakavuudesta

Lisentoitujen ohjelmistojen ylläpito

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation täytyy huolehtia, että sen lisensoimat ohjelmistot:

  • ovat lisensoituja ja aktiivisesti tuettuja
  • poistetaan laitteista, kun ne eivät ole enään tuettuja
  • on säädetty päivittymään automaattisesti, kun mahdollista

Tietojen erottelumenettelyt varmistusjärjestelmissä (TL IV)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Käsiteltäessä samalla varmistusjärjestelmällä eri omistajien tietoja, tarkastusoikeuden mahdollistavat erottelumenettelyt on toteutettava varmistusjärjestelmän liittymien ja tallennemedioiden osalta (esim. omistaja-/hankekohtaiset eri avaimilla salatut nauhat, joita säilytetään asiakaskohtaisissa kassakaapeissa/kassakaappilokeroissa).

Tietojärjestelmien suojaus auditointeihin liittyvien testien aikana

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietojärjestelmiin kohdistuvien, esimerkiksi auditointien aikana tehtävien, tarkistusten sekä muiden varmennustoimien tulee olla ennalta suunniteltuja ja sovittuja asianmukaisten testaajien sekä johdon kanssa. Tällä pyritään minimoimaan toimien vaikutus toimintaprosesseihin.

Käytäntöjä suunniteltaessa on huomioitava seuraavat seikat:

  • tarkastuspyynnöt hyväksytään asianmukaisen vastuuhenkilön kanssa
  • teknisten testien laajudesta sovitaan etukäteen ja niiden toteutusta valvotaan
  • testit rajoitetaan mahdollisuuksien mukaan vain luku -käyttöön tai toteutetaan vain kokeneiden järjestelmänvalvojien toimesta
  • turvallisuusvaatimusten toteutuminen varmistetaan ennalta laitteissa, joilla tarvitaan pääsyä järjestelmiin
  • testit, jotka voivat vaikuttaa tärkeiden järjestelmän käytettävyyteen, suoritetaan virka-ajan ulkopuolella
  • tarkastuksissa tehdyt toimet ja niitä varten myönnetyt pääsyoikeudet kirjataan lokiin

Tietojärjestelmien ja laitteiden hallinta järjestelmienhallinnassa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation tietojärjestelmät ja laitteisto ovat kattavasti järjestelmienhallinnan piirissä. Järjestelmienhallinnan kautta voidaan mahdollistaa mm. automaattiset päivitykset.

Pilvipalveluiden käyttöä koskevat yleiset periaatteet

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on määriteltävä (tarkempien toimittajavastuita, -häiriöitä sekä pilvipalveluiden hankintaa koskevien käytäntöjen lisäksi), millä yleisillä periaatteilla se aikoo hallita pilvipalveluiden käyttöön liittyviä tietoturvariskejä.

Määritelmissä on otettava huomioon mm.:

  • kuinka palveluntarjoajan mahdollistamia tietoturvaominaisuuksia hyödynnetään
  • kuinka vaatia todisteita palveluntarjoajan toteuttamista toimenpiteistä tietoturvan eteen
  • mitä tekijöitä on huomioitava omissa toimintatavoissa kun hyödynnetään isoa palveluntarjoaja määrää
  • pilvipalveluiden käytön huomiointi tietoturvariskien hallinnassa
  • toimintatavat pilvipalvelun käytön päättämishetkellä

Saatavuusvaatimuksia omaavien järjestelmien valvonta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Jos palvelulla on saatavuus vaatimuksia, seurataan sen saatavuutta valvontajärjestelmällä. Valvontajärjestelmän tulee lähettää hälyttää havaitusta saatavuuspoikkeamista.

Tietojärjestelmien saatavuus ja saatavuutta suojaavat menettelyt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Viranomaisen on varmistettava tietojärjestelmien saatavuus koko niiden elinkaaren ajan. Tämän vuoksi eri tietojärjestelmien saatavuusvaatimukset (etenkin pisin aika, jonka järjestelmä voi olla pois käytöstä, palautusaikatavoite sekä palautuspistetavoite).

Saatavuusvaatimusten toteutuksen tulee huomioida tietojärjestelmältä edellytettävä kuormituksen kesto, vikasietoisuus ja palautumisaika.

Lisäksi tarve saatavuutta suojaaville menettelyille on tunnistettu ja menettelyt on toteutettu kriittisille järjestelmille järjestelmäkohtaisesti räätälöidyillä suojauksilla. Suojauksiin voi sisältyä esimerkiksi keskeisten verkkoyhteyksien, laitteistojen ja sovellusten ajoympäristöjen kahdentamiset.

Tietojenkäsittely-ympäristöjen turvallisuusdokumentaation ylläpito

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietojärjestelmiin ja verkkoihin liittyvää turvallisuusdokumentaatiota ylläpidetään ja sitä kehitetään jatkuvasti tärkeänä osana yleistä muutostenhallintaprosessia.

Tietoturvallisuutta koskevien tarkastusten suorittaminen määräajoin ja poikkeustilanteissa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietoturvallisuutta koskevat tarkastukset ja uudelleentarkastelut on tärkeää suorittaa määräajoin tietojenkäsittely-ympäristön normaalin toiminnan aikana, huoltotoimenpiteiden yhteydessä sekä poikkeuksellisten tilanteiden ilmetessä.

Organisaatio on määritellyt aikamääreet ja tapahtumat, joiden mukaisesti tietoturvallisuutta koskevia tarkastuksia suoritetaan.

Tietojärjestelmien vikasietoisuus ja toiminnallinen käytettävyys

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Olennaisilla tietojärjestelmillä tarkoitetaan sellaisia tietojärjestelmiä, jotka ovat kriittisiä viranomaisen lakisääteisten tehtäviä toteuttamisen kannalta erityisesti hallinnon asiakkaille palveluja tuotettaessa.

Toiminnallisella käytettävyydellä tarkoitetaan tietojärjestelmän käyttäjän kannalta sen varmistamista, että tietojärjestelmä on helposti opittava ja käytössä sen toimintalogiikka on helposti muistettava, sen toiminta tukee niitä työtehtäviä, joita käyttäjän pitää tehdä tietojärjestelmällä ja tietojärjestelmä edistää sen käytön virheettömyyttä.

  • Organisaatio tunnistaa ja luetteloi tehtävien hoitamisen kannalta olennaiset tietojärjestelmät esimerkiksi osana suojattavien kohteiden luettelointia ja tiedon luokittelua.
  • Organisaatio määrittelee olennaisten tietojärjestelmien saatavuuskriteerit, joita vasten vikasietoisuus voidaan testata. Järjestelmäkohtaisten saatavuuskriteerien määrittelyssä voidaan hyödyntää tietojärjestelmien saatavuusluokittelua.
  • Organisaatio määrittelee toiminnallisen käytettävyyden kriteerit.
  • Organisaation hankintaprosesseissa ja hankintaohjeissa on huomioitu toiminnalliseen käytettävyyteen ja vikasietoisuuteen liittyvät vaatimukset.
  • Organisaatio dokumentoi vikasietoisuuden testaukset.

Orgaisaation on myös varmistettava digitaalisten palveluiden saavutettavuus lainsäädännön edellyttämässä laajuudessa:

Saavutettavuus tarkoittaa sitä, että mahdollisimman moni erilainen ihminen voi käyttää verkkosivuja ja mobiilisovelluksia mahdollisimman helposti. Saavutettavuus on ihmisten erilaisuuden ja moninaisuuden huomiointia verkkosivujen ja mobiilisovelluksien suunnittelussa ja toteutuksessa. Saavutettavan digipalvelun suunnittelussa ja toteutuksessa pitää huomioida kolme osa-aluetta: tekninen toteutus, helppokäyttöisyys ja sisältöjen selkeys ja ymmärrettävyys.

Sietokykyä edistävien toimintojen toteuttaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on hyödynnettävä mekanismeja kuten:

  • Vikaturvallisuutta (failsafe) minimoimaan vahingot ongelman sattuessa
  • Kuorman tasausta, vähentämään riskiä ongelmaan
  • “Kuumana vaihdettavuutta” (hot swappable) eli komponentteja tai muita prosessin osia voidaan vaihtaa ilman toimintakatkosta

Vähimmän toiminnallisuuden periaate järjestelmissä

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio hyödyntää vähimmän toiminnallisuuden periaatetta (principle of least functionality) järjestelmien käyttöönotossa ja asetuksissa. Järjestelmillä ei saa olla oikeuksia mihinkään mitä ei tarvita toteuttamaan sitä mihin ne on tarkoitettu.

Dokumentoidut menettelyt ja valvonta kriittisille järjestelmänvalvojan toiminnoille käytetyissä tietojärjestelmissä

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kriittiset järjestelmänvalvojan toiminnot tarkoittavat toimintoja, joissa vika voi aiheuttaa peruuttamatonta vahinkoa pilvilaskentaympäristön sisällölle.

Kriittiset järjestelmänvalvojan toiminnot voivat sisältää esimerkiksi virtualisoituihin laitteisiin (esim. palvelimet, verkot, tallennus) liittyvät muutokset, lopetusmenettelyt, varmuuskopiointi ja palautus.

Jos tietojärjestelmä sisältää säännöllisiä kriittisiä järjestelmänvalvojan toimintoja, ne dokumentoidaan. Myös kriittisten järjestelmänvalvojatoimintojen suorittamisen menettelyt on dokumentoitu etukäteen tarvittavalla tarkkuudella kaikille käytettäville tietojärjestelmille.

Aina kun kriittinen järjestelmänvalvojan toiminto suoritetaan, dokumentaatiossa nimetty valvoja valvoo toimintaa.

Tietoturvapolitiikat
Järjestelmien hallinta
Tietojärjestelmien hallinta
Tietojärjestelmien ylläpito ja päivittäminen valmistajan ohjeiden mukaisesti
on tietoturvatoimenpide, jolla vastataan mm. seuraaviin tietoturvavaatimuksiin:
No items found.
Yleensä tämä toimenpide nähdään osaksi
Järjestelmien hallinta
-teemaa sekä
Tietojärjestelmien hallinta
-politiikkaa.
Alla on esimerkki kokonaisuudesta, joka voi muodostaa kyseisen politiikan. Omaan politiikkaa voit lähteä jalkauttaamaan perustamalla ilmaisen Digiturvamalli-tilin.

Tietojärjestelmien hallinta

-politiikka

Kaikki tehtävät
No items found.
No items found.