Organisaation on varmistettava, että liikekumppanit ovat toteuttaneet asianmukaiset tekniset ja organisatoriset toimenpiteet käsittelemiensä suojattujen terveystietojen tietoturvan suojaamiseksi. Liikekumppanin on esimerkiksi noudatettava tämän osan sovellettavia HIPAA-vaatimuksia, mukaan lukien tapahtumastandardit, koodisarjat ja tunnistenormit, oltava asianmukaiset tietoturvapolitiikat ja -menettelyt sekä hallittava tietojenkäsittelyyn liittyviä tietoturvariskejä.

Organisaation olisi yksilöitävä ulkoiset kyberturvallisuuspalvelujen tarjoajat. Kun organisaatio sopii palveluntarjoajien kanssa, jotka haluavat osallistua kansalliseen tietojenvaihtoon, sen olisi ilmoitettava niistä asianomaisille viranomaisille.

Ilmoituksessa on mainittava palveluntarjoajan toiminimi ja yhteystiedot palveluntarjoajan rekisteröintiä varten.

Organisaation olisi laadittava ja dokumentoitava virallinen prosessi turvallisuusarviointien suorittamiseksi ennen kuin se aloittaa minkä tahansa menettelyn sellaisen ulkoisen toimijan (esim. toimittajan tai kumppanin) kanssa, joka voi päästä käsiksi turvallisuusluokiteltuihin tietoihin tai osallistua turvallisuusluokituksen kannalta arkaluonteisiin toimiin.

Tähän prosessiin on sisällyttävä

• Erityinen turvallisuussuojausarviointi, jossa määritetään tarkasti, mihin turvallisuusluokiteltuihin tietoihin tai arkaluonteisiin toimintoihin ulkoinen toimija joutuisi alttiiksi.
• Ensimmäiseen arviointiin ja muihin asiaankuuluviin olosuhteisiin perustuva soveltuvuusarviointi sen arvioimiseksi, onko suunniteltu menettely turvallisuuden kannalta asianmukainen. Tähän sisältyy riskiperusteinen arviointi.
• Vaatimus, jonka mukaan molemmat arvioinnit on dokumentoitava virallisesti.

Jos soveltuvuusarvioinnissa päädytään siihen, että menettely ei ole turvallisuuden kannalta asianmukainen, menettelyä ei saa aloittaa.

Organisaation olisi laadittava ja dokumentoitava virallinen prosessi turvallisuusarviointien suorittamiseksi ennen kuin se aloittaa minkä tahansa menettelyn sellaisen ulkoisen toimijan (esim. toimittajan tai kumppanin) kanssa, joka voi päästä käsiksi turvallisuusluokiteltuihin tietoihin tai osallistua turvallisuusluokituksen kannalta arkaluonteisiin toimiin.

Tähän prosessiin on sisällyttävä

• Erityinen turvallisuussuojausarviointi, jossa määritetään tarkasti, mihin turvallisuusluokiteltuihin tietoihin tai arkaluonteisiin toimintoihin ulkoinen toimija joutuisi alttiiksi.
• Ensimmäiseen arviointiin ja muihin asiaankuuluviin olosuhteisiin perustuva soveltuvuusarviointi sen arvioimiseksi, onko suunniteltu menettely turvallisuuden kannalta asianmukainen. Tähän sisältyy riskiperusteinen arviointi.
• Vaatimus, jonka mukaan molemmat arvioinnit on dokumentoitava virallisesti.

Jos soveltuvuusarvioinnissa päädytään siihen, että menettely ei ole turvallisuuden kannalta asianmukainen, menettelyä ei saa aloittaa.

A supplier agreement will be drawn up with all partners directly or indirectly involved in the processing of data. The aim is to ensure that there is no misunderstanding between the organization and the supplier of parties' obligations regarding to complying with security requirements.

The organization shall include in the supplier agreement, as appropriate:

• specify the parties' duties and responsibilities under the law
• the classification of the procurement or data handled by the supplier
• parties responsibilities in meeting regulatory requirements
• requirements for the use of subcontractors
• allowing auditing supplier processes and controls related to the contract (and committing to correcting non-conformities)
• supplier's responsibility and means to comply with organization's security guidelines
• supplier responsibility for the costs of fulfilling legal requirements, unless otherwise specified in the agreement

Organisaation on otettava huomioon kuhunkin suoraan toimittajaan ja palveluntarjoajaan liittyvät erityiset haavoittuvuudet sekä toimittajien ja palveluntarjoajien tietoturvatuotteiden ja -käytäntöjen yleinen laatu, mukaan lukien niiden turvalliset kehitysmenettelyt.

Lisäksi organisaation on otettava huomioon verkko- ja tietoturvayhteistyöryhmän toteuttamien kriittisiin toimitusketjuihin kohdistuvien turvallisuusriskien koordinoitujen arviointien tulokset.

Organisaation olisi varmistettava, että organisaation käyttämissä tietokeskuksissa on käytössä valvontatoimet, joilla suojataan tieto- ja viestintätekniikka- ja tietovarantoja luvattomalta käytöltä, hyökkäyksiltä ja onnettomuuksilta.

Tietokeskuksessa olisi myös oltava valvonta ja suunnitelmat omaisuuden suojaamiseksi ympäristöuhilta ja -vaaroilta. Ympäristöuhkilta ja -vaaroilta suojautumisen olisi oltava oikeassa suhteessa datakeskusten merkitykseen ja niissä sijaitsevien toimintojen tai ICT-järjestelmien kriittisyyteen.

Organisaatio luo kriteerit palveluntarjoajien luokittelua varten, jotka perustuvat esimerkiksi tietojen herkkyyteen, määrään, saatavuuteen, säännöstenmukaisuuteen ja riskitasoihin, ja päivittää luokitukset säännöllisesti, jotta mahdollisia vaikutuksia organisaatioon voidaan hallita tehokkaasti.

Kaikki mahdolliset toimittajat, kriittisten resurssien toimittajat ja muut asiaankuuluvat kolmannet osapuolet arvioidaan ennen hankintaa esimerkiksi seuraavin keinoin:

• Perusteellisen due diligence -tarkastuksen tekeminen sekä hankinnansuunnittelu, jotka vastaavat kunkin toimittajasuhteen riskitasoa, kriittisyyttä ja monimutkaisuutta.
• Arvioidaan teknologian sekä riskinhallinta- ja kyberturvallisuuskäytäntöjen soveltuvuus.
• Tehdään toimittajien riskinarviointeja liiketoiminnan ja sovellettavien kyberturvallisuusvaatimusten perusteella.
• Arvioidaan kriittisten tuotteiden aitous, eheys ja turvallisuus ennen hankintaa ja käyttöä.

Organisaatiolla olisi oltava määritellyt ja dokumentoidut prosessit kriittisten toimittajasuhteiden irtisanomista varten sekä tavanomaisissa että epäsuotuisissa olosuhteissa. Epäsuotuisat olosuhteet voivat olla esimerkiksi seuraavat:

• tietomurto tai tietoturvaloukkaus
• oikeudelliset, eettiset tai sääntelyyn liittyvät rikkomukset
• Sopimusrikkomus tai palveluhäiriö

Prosesseissa tulisi määritellä ainakin seuraavat asiat:

• Miten organisaation tietoja sisältävä omaisuus palautetaan tai hävitetään turvallisesti ja miten toimittajan pääsy organisaation resursseihin poistetaan.
• Järjestelmän jatkuvuus ja häiriönsietokyky, esim. miten riippuvaiset toiminnot säilytetään toimintakykyisinä, kun toimittaja poistetaan tai vaihdetaan.
• Komponenttien elinkaaren loppuvaiheen huoltotuki ja vanhentuminen.
• Keinot, joilla estetään ja lievennetään tietovuotoja tai tietoihin ja järjestelmiin liittyviä riskejä toimittajan irtisanoessa toimintansa.

Organisaatio on ottanut käyttöön kriittisiä tai tärkeitä toimintoja tukevia ICT-palveluja koskevat poistumisstrategiat, joilla varaudutaan mahdollisiin vikoihin, laadun heikkenemiseen tai muihin palveluun liittyviin liiketoimintahäiriöihin.

Poistumisstrategioilla varmistetaan, että organisaatio voi luopua asiaan liittyvistä sopimusjärjestelyistä ilman:

• häiriöitä liiketoiminnalleen
• vaatimusten laiminlyömistä
• haittaa tarjottujen palvelujen jatkuvuudelle tai laadulle.

Poistumissuunnitelmat ovat kattavia, dokumentoituja, riittävästi testattuja ja säännöllisesti tarkistettuja.

Organisaatio on osana poistumisstrategioita myös yksilöinyt vaihtoehtoisia ratkaisuja ja laatinut siirtymäsuunnitelmia, joiden avulla se voi vaihtaa palveluja ja siirtää asiaankuuluvat tiedot turvallisesti.

Organisaation on tunnistettava kriittiset IT-kumppanit. Kriittisellä kumppanilla (sisäinen tai ulkoinen) tarkoitetaan kumppania, jota ilman toiminta keskeytyy.

Organisaatio sopii ja toteuttaa yhteisen tietoturvariskien hallintamenettelyn ja prosessit sidosryhmien kanssa.

Organisaation tulisi pyrkiä integroimaan kolmannen osapuolen riskien hallinta osaksi oman organisaation yleistä tietoturvariskienhallintaa. Siinä tulisi:

• Arvioida keskenäisiä riippuvuuksia
• Arvioida riskejä liittyen kolmannen osapuolen tarjoamiin sopimuksiin
• Huolehtia riskienhallinnan skaalasta organisaation koon ja tarpeen perusteella

Organisaation tulisi asettaa kumppaninsa tärkeysjärjestykseen seuraavien asioiden perusteella:

• Toimittajien käsittelemien tai hallussaan pitämien tietojen arkaluonteisuus ja luottamuksellisuus.
• Organisaation järjestelmiin pääsyn asteen mukaan
• Tuotteiden tai palvelujen merkitys organisaation tehtävän kannalta.

Tietoliikennepalveluissa ja -sopimuksissa on huomioitu toiminnan kannalta tärkeiden palveluiden saatavuus häiriötilanteissa.

Tärkeiden palvelujen verkkoympäristöt ja tietoliikennepalvelut varmennetaan esimerkiksi kahdentamalla. Tietoliikenne voidaan kahdentaa fyysisesti kahta eri reittiä pitkin kahden eri operaattorin toimesta.

Tärkeissä ympäristöissä varmistetaan, että yksittäisen tietoliikennekomponentin vikaantuminen ei keskeytä palvelun toimintaa.

Erikseen valittuihin työasemiin voidaan esimerkiksi asentaa erillinen tietoliikenneyhteys, jonka kautta voi päästä yleiseen tietoverkkoon.

Sopimusvaiheessa tulisi huomioida myös Suomen ulkopuolisten yhteyksien vikasietoisuus.

Organisaatio käsittelee säännöllisesti digiturvallisuutta kriittisten toimittajien ja muiden kumppanien kanssa toimittajahallintakokouksissa.

Kriittisten verkkopalvelujen tarvitsemat turvajärjestelyt, kuten turvallisuusominaisuudet, palvelutasot ja hallintavaatimukset, on huolellisesti määritelty ennakkoon. Verkkopalveluja ovat mm. liitännät, verkot ja verkon turvallisuusratkaisut (esim. palomuurit).

Verkkopalvelujen turvallisuusominaisuudet voivat olla mm. seuraavanlaisia:

• vaadittu turvallisuuteen liittyvä teknologia, kuten todennus, salaustekniikka ja verkkoyhteyden hallintakeinot
• verkkopalvelujen suojatun yhteyden edellyttämät tekniset parametrit
• verkkopalvelun käyttökriteerit, jotka rajoittavat pääsyä verkkopalveluun tai sovelluksiin tarvittaessa

Digiturvan minimitasoa koskevat vaatimukset on määritetty luottamuksellista tietoamme käsittelevillä kumppaniyrityksille ja nämä on sisällytetty toimittajasopimuksiin. Vaatimukset vaihtelevat sen mukaan, kuinka kriittistä tietoa kumppani käsittelee.

Vaatimusten on järkevää koostua säännöistä ja käytännöistä, joita omassa organisaatiossanne noudatetaan. Voitte jaotella vaatimustasot matalan, keskitason ja korkean riskin toimittajiin.

Organisaatio on määritellyt tärkeiltä kumppaneilta vaaditut sertifioinnit tai noudatettavat standardit. Yleisesti tunnistettuja digiturvaan liittyviä standardeja ovat mm.:

• ISO 27001 (tietoturvan hallintajärjestelmä)
• SOC2 (yleinen tietoturva, kutsutaan myös SSAE 16)
• ISO 27701 (tietosuojan hallintajärjestelmä)
• ISO 27017 (digiturva pilvipalveluissa) tai ISO 27018 (tietosuoja pilvipalveluissa)
• muita suosittuja mm. NIST (yleinen), CSA (pilviohjelmistot), PCI DSS (korttimaksaminen)

Esimerkiksi kumppanilta vaadittava sertifiointi voi tehostaa omaa kumppanihallintaa ja toimia hyvänä todisteena kumppanin tietystä tietoturva- tai tietosuojatasosta.

Määrittelemme ennakkoon toimittajatyypit, joiden kanssa yhteistyö vaatii pääsyä luottamuksellisiin tietoihin tai niiden käsittelyalueille sekä tätä kautta mm. käsittelysopimusten tekemistä. Tällaisia toimittajatyyppejä voivat olla esim. tietotekniset palvelut, logistiikka, taloushallinto sekä tietotekniset infrastruktuurikomponentit.

Kun organisaatio käyttää pilvipohjaista tietojärjestelmää, organisaation tulee ymmärtää ja vahvistaa siihen liittyvät tietoturvaroolit ja -vastuut palvelusopimuksen mukaisesti.

Näihin voi kuulua esimerkiksi seuraaviin vastuisiin liittyviä tehtäviä:

• Suojaus haittaohjelmilta
• Kryptografiset ohjaimet
• Varmuuskopiointi
• Haavoittuvuuden ja tapausten hallinta
• Vaatimustenmukaisuus ja turvallisuustestaus
• Tunnistus, identiteetin ja käyttöoikeuksien hallinta

Kun organisaatio päättää käyttää toisen pilvipalvelun tarjoajan palveluita omien pilvipalveluidensa tuottamiseen, organisaation on varmistettava, että sen asiakkaiden tietoturvataso säilyy tai ylittyy.

Tämän varmistamiseksi organisaation tulee määritellä tarvittavat turvallisuustavoitteet toimitusketjuun kuuluville alihankkijoille. Näiden tavoitteiden tulisi edellyttää riskienhallinnan suorittamista tavoitteiden saavuttamiseksi.

Tietoteknisissä ympäristöissä ja niihin liittyvissä sopimuksissa on huomioitu toiminnan kannalta tärkeiden palveluiden saatavuus häiriötilanteissa.

Tärkeiden palvelujen tietotekniset ympäristöt varmennetaan esimerkiksi kahdentamalla siten, että yksittäisten komponenttien vikaantumiset eivät aiheuta toiminnan edellyttämää palvelutasoa pidempiä käyttökatkoja.

Tietotekniset ympäristöt voidaan varmentaa varavoimalla tai varavoimaliitännöillä siten, että sähkönjakelu voidaan käynnistää riittävän nopeasti ja ylläpitää sitä riittävän ajan suhteessa toiminnan vaatimuksiin.

Kun esimerkiksi tietoliikenneverkon vikasietoisuus on kriittistä, sitä voidaan parantaa entisestään hankkimalla verkon peruspalvelut useampaa reittiä ja useamman palveluntuottajan kautta.