Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

18.2.2
ISO 27001

ISO 27001:2013

29
GDPR

Yleinen tietosuoja-asetus

5.36
ISO 27001

ISO 27001:2022

5.37
ISO 27001

ISO 27001:2022

HAL-12
Julkri

Julkisen hallinnon tietoturvakriteeristö

HAL-13
Julkri

Julkisen hallinnon tietoturvakriteeristö

T11
Katakri

Katakri - Tietoturvan auditointityökalu viranomaisille

Muita saman teeman digiturvatehtäviä

Yleiset tietoturvaohjeet henkilöstölle

Critical
High
Normal
Low

Henkilöstöllä on oltava tietoturvaohjeet, joissa on käsiteltävä mm. seuraavia aiheita:

  • mobiilaitteiden käyttö ja päivitykset
  • tiedon tallentaminen ja varmuuskopiointi
  • tietosuoja
  • sähköpostin käyttö
  • tulosteiden, papereiden ja tiedostojen käsittely
  • häiriöistä ilmoittaminen
  • huijausten estäminen
T11: Turvallisuuskoulutus ja -tietoisuus
Katakri
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL
29. Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa
GDPR
9.4.4: Use of privileged utility programs
ISO 27001
11.2.7: Secure disposal or re-use of equipment
ISO 27001

Tietoturvaohjeiden noudattamisen valvonta

Critical
High
Normal
Low

Ohjeiden noudattamista voidaan valvoa joko teknisesti tai suoraan kysymällä / testaamalla työntekijöiltä.

29. Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa
GDPR
18.2.2: Compliance with security policies and standards
ISO 27001
T11: Turvallisuuskoulutus ja -tietoisuus
Katakri
HAL-12: Ohjeet
Julkri
HAL-13: Koulutukset
Julkri

Yksikkö- tai roolikohtaiset tietoturvaohjeet

Critical
High
Normal
Low

Tietoturvaohjeistusta tarkennetaan työntekijän työtehtävään liittyen. Organisaatio on määritellyt yksiköt ja roolit, jotka vaativat erillistä ohjeistusta, ja muodostaa näille omia tarkennettuja tietoturvaohjeitaan.

Esimerkkejä omaa ohjeistusta vaativista yksiköistä ovat mm. asiakaspalvelu, IT ja HR. Esimerkkejä omaa ohjeistusta vaativista työrooleista puolestaan järjestelmän pääkäyttäjä sekä etätyön tekijä.

7.2.2: Information security awareness, education and training
ISO 27001
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL
PR.AT-1: Awareness
NIST
TSU-06: Henkilötietojen käsittelyn ohjeet
Julkri
6.3: Tietoturvatietoisuus, -opastus ja -koulutus
ISO 27001

Tietoturvaohjeiden ja -periaatteiden aikainen perehdyttäminen henkilöstölle

Critical
High
Normal
Low

Tietoa käsitteleville henkilöille selvitetään tietojen suojaamista ja asiakirjojen käsittelyä koskevat tietoturvaohjeet ja -periaatteet ennen pääsyä tietoihin tai organisaation tarkasti määrittelemien aikamääreiden sisällä.

HAL-11: Salassapito- ja vaitiolovelvollisuus
Julkri
HAL-14: Käyttö- ja käsittelyoikeudet
Julkri

Turvallisuusluokiteltuun tietoon kohdistuvien ja työtehtäviin liittyvien uhkien ja ohjeistusten jakaminen

Critical
High
Normal
Low

Organisaation johdon on huolehdittava siitä, että organisaatiossa on ajantasaiset ohjeet tietojen käsittelystä, tietojärjestelmien käytöstä, tietojenkäsittelyoikeuksista, tiedonhallinnan vastuiden toteuttamisesta, tiedonsaantioikeuksien toteuttamisesta sekä tietoturvallisuustoimenpiteistä.

Käytännössä johto määrittelee, miten ohjeiden ajantasaisuus varmistetaan ja mille toimijoille ohjeiden ajantasaisuudesta huolehtiminen kuuluu.

Ohjeiden ajan tasalla pitäminen on suositeltavaa vastuuttaa niille toimijoille, jotka ovat kokonaisvastuussa tietoturvallisuudesta, tietojärjestelmistä, tietovarannoista, rekisterinpidosta, asiakirjapyyntöihin liittyvästä päätöksenteosta, asianhallinnasta ja arkistotoimesta.

Ohjeiden jatkuva kehittäminen

Critical
High
Normal
Low

Mikäli henkilöstöllä on ristiriitaisia tavoitteita tietoturvaohjeiden kanssa, he eivät todennäköisesti noudata ohjeita.

Organisaatio pyrkii aktiivisesti löytämään huonosti toimivat ohjeet ja muokkaamaan joko ohjetta, työkaluja tai henkilöstön prioriteetteja, jotta ohjeita noudatetaan.

12.1.1: Documented operating procedures
ISO 27001
T11: Turvallisuuskoulutus ja -tietoisuus
Katakri
HAL-12: Ohjeet
Julkri
5.37: Dokumentoidut toimintaohjeet
ISO 27001
6.3: Tietoturvatietoisuus, -opastus ja -koulutus
ISO 27001