Seuraava webinaari
"
Pääkäyttäjäkoulutus (osa 5/5): Hallintajärjestelmän operointi, kehittäminen ja raportointi
"
alkaa
00
pv
00
h
00
min
päästä  
Digiturvamalli

Tietoturvaroolien ja -vastuiden määrittäminen

Ylimmän johdon on varmistettava selkeät vastuut / valtuudet vähintään seuraavissa teemoissa:

 • kuka on päävastuussa siitä, että tietoturvallisuuden hallintajärjestelmä on tietoturvallisuutta koskevien vaatimusten mukainen
 • ketkä toimivat tietoturvan hallintajärjestelmän pääteemojen vastuuhenkilöinä
 • kenellä on vastuu ja valtuudet raportoida ylimmälle johdolle tietoturvallisuuden hallintajärjestelmän suorituskyvystä
 • kenellä on valtuudet sisäisten auditointien toteuttamiseen

Tietoturvan hallintajärjestelmän pääteemojen vastuuhenkilöt esitetään hallintajärjestelmän työpöydällä sekä Tietoturvapolitiikka-raportissa.

Ylimmän johdon on lisäksi varmistettava, että kaikki tietoturvan kannalta tärkeät roolit sekä niihin liittyvät vastuut ja valtuudet on määritelty ja niistä viestitään.

Tehtävään liittyvät Digiturvamallin ominaisuudet

Näytä vaatimustenmukaisuus raporttikirjaston avulla

Digiturvamalli sisältää raporttikirjaston, josta löytyvät omat raporttipohjat jokaiselle vaatimuskehikolle.

Olipa kuulijana oma johto, viranomainen, auditoija tai asiakas, saat tarvittavan raportin muodostettua yhdellä klikkauksella.

Lue lisää raportoinnista

Vastuuta tehtävät ja kuvaa oma toteutus

Tehtävälistat sisältävät digiturvan ydinasiat. Päätä, mitkä tehtävät teillä hoidetaan ja kuka vastaa. Näet vaaditut tehtävät suoraan valitun vaatimuskehikon perusteella, ja voit halutessasi täydentää listaa omilla.

Lue lisää tietoturvatehtävistä

Jakele ohjeet automaattisesti ja valvo lukemista

Kohdista ohjeet kaikilla tai vain relevanteille yksiköille. Saat ehdotuksia suoraan valitun vaatimuskehikon perusteella ja voit lisätä omat ohjeenne.

Työntekijöille ohjeet jaellaan Teams-botin kautta. Botti ei myöskään anna lukemisen unohtua.

Lue lisää tietoturvaohjeista

Dokumentoi esimerkkien ja älykkäiden pohjien avulla

Digiturvamalli sisältää älykkäät mallipohjat mm. järjestelmien, henkilötietojen ja riskien dokumentointiin. Et turhaan kirjoita tai piirrä, vaan klikkailet linkittäen tietoja, jolloin automaattinen raportointi mahdollistuu.

Lue lisää dokumentoinnista

Tehtävään liittyvät vaatimukset eri vaatimuskehikoista

Saman teeman muita tehtäviä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Soveltuvuuslausunnon luonti ja täydennys

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Soveltuvuuslausunto (engl. Statement of Applicability tai SoA) on keskeinen dokumentti joka määrittelee, kuinka organisaatio toteuttaa ison osan omasta tietoturvastaan.

Sovelutuvuuslausunto kuvaa, mitkä ISO27001-standardin suosittelemista 114 hallintakeinosta organisaatiossa toteutetaan, kuinka ne toteutetaan ja mikä on hallintakeinojen tämänhetkinen tila. Lisäksi kuvataan mahdolliset perustelut tiettyjen hallintakeinojen käyttämättä jättämiselle.

Johdon katselmusten toteuttaminen ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Ylimmän johdon on katselmoitava organisaation tietoturvallisuuden hallintajärjestelmä suunnitelluin aikavälein varmistaakseen, että se on edelleen soveltuva, asianmukainen ja vaikuttava.

Johdon katselmuksessa on käsiteltävä ja kommentoitava vähintään seuraavien asioiden tilaa:

 • aiempien johdon katselmusten vuoksi käynnistettyjen parannusten (tai muiden toimenpiteiden) tilanne
 • tietoturvallisuuden hallintajärjestelmän kannalta olennaisten tulevat muutokset
 • tietoturvan hallintajärjestelmän suorituskyky (häiriöt, mittarointi, auditointien tulokset ja johdon määrittelemien tietoturvatavoitteiden täyttyminen)
 • sidosryhmien antama palaute tietoturvasta
 • riskien arviointi- ja käsittelyprosessin toiminta

Katselmusten suorittamisesta ja tuloksista on ylläpidettävä dokumentoitua tietoa.

Henkilöstön yleinen tietoturvapätevyys ja -tietoisuus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Koko organisaation ohjauksessa toimivan henkilöstön on oltava tietoisia:

 • miten he voivat osaltaan lisätä tietoturvallisuuden hallintajärjestelmän vaikuttavuutta ja millaista hyötyä tietoturvallisuuden tason parantamisesta on
 • seurauksista, joita tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten noudattamatta jättämisellä voi ollaminkä osan henkilöstöstä työ vaikuttaa tietoturvan tasoon

Lisäki johto on määrittänyt tavat, joilla henkilöstö pidetään tietoisina omaan työrooliinsa liittyvistä tietoturvaohjeista.

Johdon sitoutuminen tietoturvan hallintaan ja hallintajärjestelmään

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation johdon on osoitettava sitoutumista tietoturvatyötä ja tietoturvallisuuden hallintajärjestelmää kohtaan. Johto sitoutuu:

 • määrittämään työn perusteena toimivat vaatimukset (esim. asiakasvaatimukset, lait ja asetukset tai standardit)
 • määrittämään tietoturvan hallintaan tarvittavat resurssit
 • viestimäään tietoturvallisuuden tärkeydestä
 • varmistamaan, että työllä saavutetaan halutut tulokset
 • edistämään tietoturvan jatkuvaa parantamista

Johto päättää lisäksi tietoturvan hallintajärjestelmän soveltamisalan ja kirjaa päätöksen ylös hallintajärjestelmän kuvaukseen. Tämä tarkoittaa, rajataanko esimerkiksi joitain osia organisaation toiminnasta tai hallinnoimasta tiedosta pois hallintajärjestelmän piiristä, vai koskeeko se organisaation kaikkea tietoa / toimintaa.

Tietoturvapolitiikka-raportin julkaisu, tiedottaminen ja ylläpito

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiolla on ylimmän johdon laatima ja hyväksymä tietoturvapolitiikka. Politiikka sisältää ainakin seuraavat asiat:

 • perustan organisaation tietoturvatavoitteiden asettamiselle
 • sitoutumisen tietoturvallisuutta koskevien vaatimusten täyttämiseen
 • sitoutumisen tietoturvallisuuden hallintajärjestelmän jatkuvaan parantamiseen

Lisäksi tehtävän omistaja varmistaa, että:

 • tietoturvapolitiikka soveltuu organisaation toiminta-ajatukseen
 • politiikka on tiedotettu koko organisaatiolle
 • politiikka on tarvittaessa sidosryhmien saatavilla

Sisäisen auditoinnin menettelykuvaus -raportin julkaisu ja ylläpito

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio on määritellyt menettelyn, jonka mukaisesti sisäiset auditoinnit tulee toteuttaa. Menettelykuvaus kuvaa vähintään:

 • kuinka usein auditointeja järjestetään
 • ketkä auditointeja voivat toteuttaa (mm. auditointikriteerit)
 • kuinka varsinainen auditointi toteutetaan
 • kuinka auditoinnin tulokset dokumentoidaan ja kenelle tuloksista raportoidaan

Tietoturvallisuuten liittyvien muiden vaatimusten tunnistaminen, dokumentointi ja hallinta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Vaadittujen lakien, asetusten, standardien sekä sopimusvelvoitteiden noudattaminen voi olla yhtä suuri haaste, kuin jatkuvasti muuttuvan uhkaympäristön ja uusien kyberhyökkäysten muotojen käsittely.

Organisaation on dokumentoitava tietoturvallisuuteen liittyvät vaatimukset sekä organisaation toimintamalli niiden täyttämistä varten.

On tärkeää huomata, että iso osa vaatimuksista (esim. lait, standardit) ovat kehittyviä kokonaisuuksia. On suositeltavaa määritellä dokumentaatiolle tarkistusväli kuvaamaan sitä, millä frekvenssillä muutoksia vaatimuksissa on vähintään tarkasteltava.

Jatkuva parantaminen ja parannusten dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on pyrittävä jatkuvasti parantamaan tietoturvallisuuden hallintajärjestelmän suorituskykyä. Tapoja parantamiseen pyritään löytämään aktiivisesti - ei ainoastaan auditointien tai selkeiden havaittujen poikkeamien kautta.

Tehtävän omistaja vastaa siitä, että hallintajärjestelmään tehdyt parannukset dokumentoidaan ja jaotellaan toteutettaviksi tehtäviksi, tehtävät toteutetaan suunnitelmien mukaisesti ja niillä aikaansaadut vaikutukset arvioidaan.

Sisäisten auditointien toteuttaminen ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio toteuttaa sisäisiä auditointeja oman menettelykuvauksensa mukaisesti. Tavoitteena on tarkistaa:

 • onko tietoturvallisuuden hallintajärjestelmä organisaation omien tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten mukainen
 • onko tietoturvallisuuden hallintajärjestelmä muiden toimintaa koskevien tietoturvavaatimusten tai noudatettujen standardien mukainen
 • onko hallintajärjestelmää toteutettu ja ylläpidetty vaikuttavasti

Auditointien järjestämisestä ja tuloksista on säilytettävä dokumentoitua tietoa.

Tietoturvamittarien määrittely ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio arvioi tietoturvan tasoa ja tietoturvallisuuden hallintajärjestelmän tehokkuutta säännöllisesti.

Organisaatio on määrittänyt:

 • seurattavat mittarit, joilla saadaan vertailtavissa olevia tuloksia tietoturvan kehittymisestä
 • vastuuhenkilöt mittareiden seurannalle
 • tavat, aikataulun ja henkilöt mittareiden katselmointiin ja arviointiin
 • tavat mittareiden ja niihin liittyvien arviointien dokumentointiin

Tehokkaita mittareita tulisi pystyä käyttämään heikkouksien tunnistamiseen, resurssien parempaan kohdistamiseen sekä oman onnistumisen / epäonnistumisen arviointiin.

Tietoturvatavoitteiden määrittely ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation johto asettaa tietoturvatavoitteet. Tietoturvatavoitteet täyttävät seuraavat vaatimukset:

 • ne ottavat huomioon soveltuvat tietoturva- ja tietosuojavaatimukset sekä riskien arvioinnin ja käsittelyn tulokset
 • ne viestitään selvästi tietoturvan ja tietosuojan avainhenkilöille, henkilöstölle sekä muille oleellisille sidosryhmille
 • niitä päivitetetään tarvittaessa (esim. riskimaiseman muuttuessa tai määräajoin tavoitteiden täyttyessä)
 • ne on dokumentoitu ja ovat (jos mahdollista) mitattavissa

Tietoturvatavoitteiden dokumentoinnin yhteydessä määritellään lisäksi tarvittavat ylätason toimenpiteet, resurssit, vastuuhenkilöt, aikataulu sekä tavat tulosten arviointiin, jotta tavoitteet saavutetaan.

Tietoturvan avainhenkilöstön määrä, pätevyys ja riittävyys

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiossa on tarpeeksi koulutettua, valvottua ja tarvittaessa asianmukaisesti turvallisuusselvitettyä henkilöstöä, jotka toimivat tietoturvan avainrooleissa suorittaen tietoturvallisuuden hallintajärjestelmään liittyviä hallintatehtäviä.

Organisaatio on määritellyt:

 • millainen pätevyys tällä henkilöstöllä tulee olla
 • kuinka pätevyys hankitaan ja varmistetaan (esim. soveltuvan koulutuksen ja koulutuksen seurannan avulla)
 • kuinka pätevyys voidaan osoittaa dokumentaation avulla

Tehtävän omistaja katselmoi turvallisuushenkilöstön määrää ja osaamistasoa säännöllisesti.

Sisäisten auditointien toteutuksen arviointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tehtävän omistaja arvioi säännöllisesti sisäiten auditointien toteutusta etenkin seuraavista näkökulmista:

 • onko auditoijat valittu niin, että auditointiprosessin objektiivisuus ja puolueettomuus toteutuu
 • onko auditoinnit suoritettu niin, että auditointiprosessin objektiivisuus ja puolueettomuus toteutuu

Tehtävän omistaja tekee tarvittaessa muutoksia sisäisten auditointien menettelyyn sekä menettelykuvaukseen.

Tietoturvan hallintajärjestelmän viestintäsuunnitelma

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on määritettävä, mistä asioista tietoturvallisuuden hallintajärjestelmään liittyen on säännöllisesti viestittävä. Suunnitelman on sisällettävä vastaukset mm. seuraaviin kohtiin:

 • Mistä asioista viestitään? Nämä voivat olla mm. uusia tai muuttuneita tietoturvatavoitteita.
 • Miten ja milloin viestitään? Mitä kanavia pitkin ja kuinka usein.
 • Kenelle viestitään? Miten useasti tietoturvan avainhenkilöille, miten usein koko organisaatiolle tai kumppaneille.
 • Kuka osallistuu? Kenellä on oikeus viestiä ja keneltä viesteille pitää esimerkiksi saada hyväksyntä.

Tehtävän omistaja huolehtii suunnitelman toteuttamisen ja sen tehokkuuden säännöllisen arvioinnin.

Häiriöiden hallinnan resursointi ja seuranta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Johdon on määriteltävä hallintavastuut ja luotava menettelyt, joilla taataan tehokas ja johdonmukainen reagointi tietoturvahäiriöihin.

Johdon on varmistettava mm.:

 • häiriöiden hallinta on vastuutettu 
 • häiriöiden vastaamiseen, käsittelyyn ja raportointiin on dokumentoitu prosessi

Prosessin on varmistettava mm.:

 • henkilöstöllä on selkeä yhteydenottopiste / -työkalu sekä ohjeistus häiriöiden raportoimiselle
 • pätevä henkilöstö käsittelee raportoidut tietoturvahäiriöt tarpeeksi kattavasti

Tietoturvasertifioinnit

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Sertifiointimekanismien ideana on osoittaa, että tietojenkäsittelyssä noudatetaan hyvää tietojenkäsittelytapaa ja yleisiä hyviä käytäntöjä. Tietoturvaa koskeva sertifikaatti on mm. ISO27001.

Sovellusturvallisuuteen liittyvien tietoturvamittarien dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on dokumentoitava tietoturvamittarit sovellusturvallisuuteen liittyen. Totoeutuksessa tulee ottaa huomioon organisaation tavoitteet, turvallisuusvaatimukset ja vaatimusten mukaisuus.

Haavoittuvuuksien hallintaan liittyvien tietoturvamittarien määrittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiolla täytyy olla haavoittuvuuksien tunnistamisen mittarit ja suorittaa niiden korjaaminen määritellyin väliajoin.

Tietoturvallisuuteen liittyvien vastuiden eriyttäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiolla tulee olla prosesseja sen varmistamiseksi, että ristiriitaiset vastuut erotetaan toisistaan, jotta vähennetään mahdollisuuksia käyttää organisaation omaisuutta väärin.

On syytä olla varovainen esim. siitä, että yksittäinen henkilö voi käsitellä tietoja huomaamatta. Usein myös tapahtuman aloittamisen erottaminen sen hyväksymisestä on hyvä käytäntö.

Kun tehtävien suoraa eriyttämistä on vaikea saavuttaa, voidaan käyttää seuraavia periaatteita:

 • Tietoturvavastuiden korkeatasoinen erottelu
 • Erottelun tukeminen hyvällä seurannalla, kirjausketjuilla ja johdon valvonnalla

Tieto-omaisuuden välisten riippuvuuksien tunnistaminen ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio on tunnistanut ja dokumentoinut tieto-omaisuuden väliset riippuvuudet.

Digiturvamallissa riippuvuuksia eri elementtien välille syntyy paljolti automaattisesti, mutta toimintatapaa voidaan tarkentaa organisaation omien valintojen mukaan.

Kasautumisvaikutuksen huomiointi suojattavien kohteiden luokittelussa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietojärjestelmän tai muun useita tietoaineistoja sisältävän kohteen luokitus määräytyy ensi sijassa korkeimman luokituksen aineiston mukaan. Tietojärjestelmien luokitusta arvioitaessa tulee huomioida myös kasautumisvaikutus riskilähtöisesti. 

Suuresta määrästä tietyn luottamuksellisuuden tason tietoa koostuvissa tietojärjestelmissä asiakokonaisuus voi nousta luokitukseltaan yksittäistä tietoa korkeammalle tasolle. Määrä ei ole kuitenkaan ainoa tekijä, vaan joskus esimerkiksi kahden eri tietolähteen yhdistäminen voi johtaa tietovarannon luokituksen nousemiseen. 

Tyypillisesti kasautumisessa on kysymys IV-luokan tiedosta (esimerkiksi suuri määrä turvallisuusluokan IV tietoa voi muodostaa yhdistettynä turvallisuusluokan III tietovarannon), mutta kasautumisvaikutus tulee huomioida myös turvallisuusluokittelemattoman salassa pidettävän tiedon suojaamisessa.test

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tarvittavien teemakohtaisten politiikkadokumenttien luominen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Digiturvan budjetointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiolla on riittävä budjetti digiturvallisuuden ylläpitoon sekä kehittämiseen.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.