Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

18.2.2
ISO 27001

ISO 27001:2013

Muita saman teeman digiturvatehtäviä

Tietoturvasuunnitelma-raportin luominen ja ylläpito

Critical
High
Normal
Low

Organisaation on luotava ja ylläpidettävä tietoturvasuunnitelmaa.

Asiakastietolain 27 §:n mukaisesti palvelunantajan on laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä tietoturvasuunnitelma.

Tämän määräyksen(MÄÄRÄYS 3/2021) mukaista tietoturvasuunnitelmaa ei tule sisällyttää tai yhdistää julkaistaviin tai julkisesti saatavilla oleviin omavalvontasuunnitelmiin. Tietoturvasuunnitelmaa ja siinä viitattuja liitedokumentteja tulee käsitellä ja säilyttää ottaen huomioon tarvittava suojaaminen sivullisilta ja tarvittaessa niihin tulee merkitä salassa pidettävä -tieto

Tietoturvallisuuteen liittyvien muiden vaatimusten tunnistaminen, dokumentointi ja hallinta

Critical
High
Normal
Low

Vaadittujen lakien, asetusten, standardien sekä sopimusvelvoitteiden noudattaminen voi olla yhtä suuri haaste, kuin jatkuvasti muuttuvan uhkaympäristön ja uusien kyberhyökkäysten muotojen käsittely.

Organisaation on dokumentoitava tietoturvallisuuteen liittyvät vaatimukset sekä organisaation toimintamalli niiden täyttämistä varten.

On tärkeää huomata, että iso osa vaatimuksista (esim. lait, standardit) ovat kehittyviä kokonaisuuksia. On suositeltavaa määritellä dokumentaatiolle tarkistusväli kuvaamaan sitä, millä frekvenssillä muutoksia vaatimuksissa on vähintään tarkasteltava.

18.1.1: Identification of applicable legislation and contractual requirements
ISO 27001
ID.GV-3: Legal and regulatory requirements
NIST
HAL-05: Vaatimukset
Julkri
5.31: Lainsäädäntöön, asetuksiin, viranomaismääräyksiin ja sopimuksiin sisältyvät vaatimukset
ISO 27001
2: Lainsäädäntö ja velvoitteet

Soveltuvuuslausunnon luonti ja täydennys

Critical
High
Normal
Low

Soveltuvuuslausunto (engl. Statement of Applicability tai SoA) on keskeinen dokumentti joka määrittelee, kuinka organisaatio toteuttaa ison osan omasta tietoturvastaan.

Sovelutuvuuslausunto kuvaa, mitkä ISO 27001 -standardin suosittelemista hallintakeinosta organisaatiossa toteutetaan, kuinka ne toteutetaan ja mikä on hallintakeinojen tämänhetkinen tila. Lisäksi kuvataan mahdolliset perustelut tiettyjen hallintakeinojen käyttämättä jättämiselle.

6.1: Tietoturvariskien hallinta
ISO 27001
7.5: Dokumentoitua tietoa koskevat vaatimukset
ISO 27001

Sisäisten auditointien toteuttaminen ja dokumentointi

Critical
High
Normal
Low

Organisaatio toteuttaa sisäisiä auditointeja oman menettelykuvauksensa mukaisesti. Tavoitteena on tarkistaa:

  • onko tietoturvallisuuden hallintajärjestelmä organisaation omien tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten mukainen
  • onko tietoturvallisuuden hallintajärjestelmä muiden toimintaa koskevien tietoturvavaatimusten tai noudatettujen standardien mukainen
  • onko hallintajärjestelmää toteutettu ja ylläpidetty vaikuttavasti

Auditointien järjestämisestä ja tuloksista on säilytettävä dokumentoitua tietoa.

18.2.1: Independent review of information security
ISO 27001
12.7: Information systems audit considerations
ISO 27001
12.7.1: Information systems audit controls
ISO 27001
ID.GV-3: Legal and regulatory requirements
NIST
HAL-07: Seuranta ja valvonta
Julkri

Tietoturvatavoitteiden määrittely ja dokumentointi

Critical
High
Normal
Low

Organisaation johto asettaa tietoturvatavoitteet. Tietoturvatavoitteet täyttävät seuraavat vaatimukset:

  • ne ottavat huomioon soveltuvat tietoturva- ja tietosuojavaatimukset sekä riskien arvioinnin ja käsittelyn tulokset
  • ne viestitään selvästi tietoturvan ja tietosuojan avainhenkilöille, henkilöstölle sekä muille oleellisille sidosryhmille
  • niitä päivitetetään tarvittaessa (esim. riskimaiseman muuttuessa tai määräajoin tavoitteiden täyttyessä)
  • ne on dokumentoitu ja ovat (jos mahdollista) mitattavissa

Tietoturvatavoitteiden dokumentoinnin yhteydessä määritellään lisäksi tarvittavat ylätason toimenpiteet, resurssit, vastuuhenkilöt, aikataulu sekä tavat tulosten arviointiin, jotta tavoitteet saavutetaan.

5.1.1: Policies for information security
ISO 27001
ID.BE-3: Organizational mission
NIST
ID.GV-1: Cybersecurity policy
NIST
HAL-01: Periaatteet
Julkri
5.1: Johtajuus ja sitoutuminen
ISO 27001

Tietoturvapolitiikka-raportin julkaisu, tiedottaminen ja ylläpito

Critical
High
Normal
Low

Organisaatiolla on ylimmän johdon laatima ja hyväksymä tietoturvapolitiikka. Politiikka sisältää ainakin seuraavat asiat:

  • perustan organisaation tietoturvatavoitteiden asettamiselle
  • sitoutumisen tietoturvallisuutta koskevien vaatimusten täyttämiseen
  • sitoutumisen tietoturvallisuuden hallintajärjestelmän jatkuvaan parantamiseen

Lisäksi tehtävän omistaja varmistaa, että:

  • tietoturvapolitiikka soveltuu organisaation toiminta-ajatukseen
  • politiikka on tiedotettu koko organisaatiolle
  • politiikka on tarvittaessa sidosryhmien saatavilla
T01: Turvallisuusperiaatteet
Katakri
5.1.2: Review of the policies for information security
ISO 27001
5: Information security policies
ISO 27001
5.1: Management direction for information security
ISO 27001
5.1.1: Policies for information security
ISO 27001

Sisäisen auditoinnin menettelykuvaus -raportin julkaisu ja ylläpito

Critical
High
Normal
Low

Organisaatio on määritellyt menettelyn, jonka mukaisesti sisäiset auditoinnit tulee toteuttaa. Menettelykuvaus kuvaa vähintään:

  • kuinka usein auditointeja järjestetään
  • ketkä auditointeja voivat toteuttaa (mm. auditointikriteerit)
  • kuinka varsinainen auditointi toteutetaan
  • kuinka auditoinnin tulokset dokumentoidaan ja kenelle tuloksista raportoidaan
ID.GV-3: Legal and regulatory requirements
NIST
7.5: Dokumentoitua tietoa koskevat vaatimukset
ISO 27001
9.2: Sisäinen auditointi
ISO 27001

Tietoturvallisuuden hallintajärjestelmän kuvaus ja ylläpito

Critical
High
Normal
Low

Organisaation on käytettävä, ylläpidettävä ja jatkuvasti kehitettävä tietoturvallisuuden hallintajärjestelmää.

Hallintajärjestelmään liittyvät rajaukset ja soveltamisala, sisällöt, roolitus, kertyvä toteutustieto sekä muu tarpeellinen kuvaustieto on oltava selkeästi dokumentoitu.

5.1.1: Policies for information security
ISO 27001
PR.AT-5: Physical and cybersecurity personnel
NIST
HAL-02: Tehtävät ja vastuut
Julkri
HAL-07: Seuranta ja valvonta
Julkri
HAL-09: Dokumentointi
Julkri

Hallintajärjestelmän pohjana toimivien vaatimuskehikkojen määrittäminen

Critical
High
Normal
Low

Organisaation tulee määritellä vaatimuskehikot, joita käytetään hallintajärjestelmän pohjana. Vaatimuskehikoilla tulisi saavuuttaa:

Sisäiset raportointitavoitteet:

  • Johdolle päätöksentekoa tukevat raportit
  • Raportoinnin tarkkuus ja yksityiskohdat ei taloudellisiin raportteihin liittyen

Vaatimuksien täyttötavoitteet:

  • Lakien ja asetusten täyttyminen
  • Alatavoitteiden asettaminen, jotta turvallisuuden, saatavuuden, käsittelyn eheyden, luottamuksellisuuden ja yksityisyyden kriteerit tukevat riittävää raportointia, organisaation toimintaa ja vaatimuksenmukaisuuden täyttymistä

Jatkuva parantaminen ja parannusten dokumentointi

Critical
High
Normal
Low

Organisaation on pyrittävä jatkuvasti parantamaan tietoturvallisuuden hallintajärjestelmän suorituskykyä. Tapoja parantamiseen pyritään löytämään aktiivisesti - ei ainoastaan auditointien tai selkeiden havaittujen poikkeamien kautta.

Tehtävän omistaja vastaa siitä, että hallintajärjestelmään tehdyt parannukset dokumentoidaan ja jaotellaan toteutettaviksi tehtäviksi, tehtävät toteutetaan suunnitelmien mukaisesti ja niillä aikaansaadut vaikutukset arvioidaan.

PR.IP-7: Protection processes
NIST
10.1: Jatkuva parantaminen
ISO 27001

Tietoturvan hallintajärjestelmän viestintäsuunnitelma

Critical
High
Normal
Low

Organisaation on määritettävä, mistä asioista tietoturvallisuuden hallintajärjestelmään liittyen on säännöllisesti viestittävä. Suunnitelman on sisällettävä vastaukset mm. seuraaviin kohtiin:

  • Mistä asioista viestitään? Nämä voivat olla mm. uusia tai muuttuneita tietoturvatavoitteita.
  • Miten ja milloin viestitään? Mitä kanavia pitkin ja kuinka usein.
  • Kenelle viestitään? Miten useasti tietoturvan avainhenkilöille, miten usein koko organisaatiolle tai kumppaneille.
  • Kuka osallistuu? Kenellä on oikeus viestiä ja keneltä viesteille pitää esimerkiksi saada hyväksyntä.

Tehtävän omistaja huolehtii suunnitelman toteuttamisen ja sen tehokkuuden säännöllisen arvioinnin.

RC.CO-2: Reputation
NIST
5.1: Johtajuus ja sitoutuminen
ISO 27001
7.4: Viestintä
ISO 27001

Johdon katselmusten toteuttaminen ja dokumentointi

Critical
High
Normal
Low

Ylimmän johdon on katselmoitava organisaation tietoturvallisuuden hallintajärjestelmä suunnitelluin aikavälein varmistaakseen, että se on edelleen soveltuva, asianmukainen ja vaikuttava.

Johdon katselmuksessa on käsiteltävä ja kommentoitava vähintään seuraavien asioiden tilaa:

  • aiempien johdon katselmusten vuoksi käynnistettyjen parannusten (tai muiden toimenpiteiden) tilanne
  • tietoturvallisuuden hallintajärjestelmän kannalta olennaisten tulevat muutokset
  • tietoturvan hallintajärjestelmän suorituskyky (häiriöt, mittarointi, auditointien tulokset ja johdon määrittelemien tietoturvatavoitteiden täyttyminen)
  • sidosryhmien antama palaute tietoturvasta
  • riskien arviointi- ja käsittelyprosessin toiminta

Katselmusten suorittamisesta ja tuloksista on ylläpidettävä dokumentoitua tietoa.

18.1.1: Identification of applicable legislation and contractual requirements
ISO 27001
ID.GV-3: Legal and regulatory requirements
NIST
9.3: Johdon katselmus
ISO 27001
12: Digiturvan tilan seuraaminen
13: Digiturvan kokonaistilanteen raportointi

Tietoturvamittarien määrittely ja dokumentointi

Critical
High
Normal
Low

Organisaatio arvioi tietoturvan tasoa ja tietoturvallisuuden hallintajärjestelmän tehokkuutta säännöllisesti.

Organisaatio on määrittänyt:

  • seurattavat mittarit, joilla saadaan vertailtavissa olevia tuloksia tietoturvan kehittymisestä
  • vastuuhenkilöt mittareiden seurannalle
  • tavat, aikataulun ja henkilöt mittareiden katselmointiin ja arviointiin
  • tavat mittareiden ja niihin liittyvien arviointien dokumentointiin

Tehokkaita mittareita tulisi pystyä käyttämään heikkouksien tunnistamiseen, resurssien parempaan kohdistamiseen sekä oman onnistumisen / epäonnistumisen arviointiin.

4 luku, 13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
7.2.1: Management responsibilities
ISO 27001
HAL-07: Seuranta ja valvonta
Julkri
9.1: Seuranta, mittaus, analysointi ja arviointi
ISO 27001
11: Digiturvan mittarien määrittäminen

Henkilöstön yleinen tietoturvapätevyys ja -tietoisuus

Critical
High
Normal
Low

Koko organisaation ohjauksessa toimivan henkilöstön on oltava tietoisia:

  • miten he voivat osaltaan lisätä tietoturvallisuuden hallintajärjestelmän vaikuttavuutta ja millaista hyötyä tietoturvallisuuden tason parantamisesta on
  • seurauksista, joita tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten noudattamatta jättämisellä voi ollaminkä osan henkilöstöstä työ vaikuttaa tietoturvan tasoon

Lisäki johto on määrittänyt tavat, joilla henkilöstö pidetään tietoisina omaan työrooliinsa liittyvistä tietoturvaohjeista.

32. Käsittelyn turvallisuus
GDPR
29. Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa
GDPR
7.2.2: Information security awareness, education and training
ISO 27001
7.2.1: Management responsibilities
ISO 27001
PR.AT-1: Awareness
NIST

Häiriöiden hallinnan resursointi ja seuranta

Critical
High
Normal
Low

Johdon on määriteltävä hallintavastuut ja luotava menettelyt, joilla taataan tehokas ja johdonmukainen reagointi tietoturvahäiriöihin.

Johdon on varmistettava mm.:

  • häiriöiden hallinta on vastuutettu
  • häiriöiden vastaamiseen, käsittelyyn ja raportointiin on dokumentoitu prosessi

Prosessin on varmistettava mm.:

  • henkilöstöllä on selkeä yhteydenottopiste / -työkalu sekä ohjeistus häiriöiden raportoimiselle
  • pätevä henkilöstö käsittelee raportoidut tietoturvahäiriöt tarpeeksi kattavasti
24. Rekisterinpitäjän vastuu
GDPR
7.2.1: Management responsibilities
ISO 27001
16.1.1: Responsibilities and procedures
ISO 27001
5.24: Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu
ISO 27001

Johdon sitoutuminen tietoturvan hallintaan ja hallintajärjestelmään

Critical
High
Normal
Low

Organisaation johdon on osoitettava sitoutumista tietoturvatyötä ja tietoturvallisuuden hallintajärjestelmää kohtaan. Johto sitoutuu:

  • määrittämään työn perusteena toimivat vaatimukset (esim. asiakasvaatimukset, lait ja asetukset tai standardit)
  • määrittämään tietoturvan hallintaan tarvittavat resurssit
  • viestimäään tietoturvallisuuden tärkeydestä
  • varmistamaan, että työllä saavutetaan halutut tulokset
  • edistämään tietoturvan jatkuvaa parantamista

Johto päättää lisäksi tietoturvan hallintajärjestelmän soveltamisalan ja kirjaa päätöksen ylös hallintajärjestelmän kuvaukseen. Tämä tarkoittaa, rajataanko esimerkiksi joitain osia organisaation toiminnasta tai hallinnoimasta tiedosta pois hallintajärjestelmän piiristä, vai koskeeko se organisaation kaikkea tietoa / toimintaa.

24. Rekisterinpitäjän vastuu
GDPR
7.2.1: Management responsibilities
ISO 27001
7.2.2: Information security awareness, education and training
ISO 27001
5.1.1: Policies for information security
ISO 27001
ID.GV-1: Cybersecurity policy
NIST

Tietoturvan avainhenkilöstön määrä, pätevyys ja riittävyys

Critical
High
Normal
Low

Organisaatiossa on tarpeeksi koulutettua, valvottua ja tarvittaessa asianmukaisesti turvallisuusselvitettyä henkilöstöä, jotka toimivat tietoturvan avainrooleissa suorittaen tietoturvallisuuden hallintajärjestelmään liittyviä hallintatehtäviä.

Organisaatio on määritellyt:

  • millainen pätevyys tällä henkilöstöllä tulee olla
  • kuinka pätevyys hankitaan ja varmistetaan (esim. soveltuvan koulutuksen ja koulutuksen seurannan avulla)
  • kuinka pätevyys voidaan osoittaa dokumentaation avulla

Tehtävän omistaja katselmoi turvallisuushenkilöstön määrää ja osaamistasoa säännöllisesti.

T03: Turvallisuustyön resurssit
Katakri
32. Käsittelyn turvallisuus
GDPR
37. Tietosuojavastaavan nimittäminen
GDPR
6.1.1: Information security roles and responsibilities
ISO 27001
ID.GV-2: Cybersecurity role coordination
NIST

Tietoturvaroolien ja -vastuiden määrittäminen

Critical
High
Normal
Low

Top management must ensure clear responsibilities / authority on at least the following themes:

  • who is primarily responsible for ensuring that the information security management system complies with the information security requirements
  • who act as ISMS theme owners responsible for the main themes of the information security management system
  • who has the responsibility and authority to report to top management on the performance of the information security management system
  • who is authorized to carry out internal audits

The ISMS theme owners are presented on the desktop of the management system and in the Information security policy report.

In addition, top management shall ensure that all roles relevant to information security, as well as related responsibilities and authorities, are defined and communicated. It is also important to recognize the roles and responsibilities of external partners and providers.

T02: Turvallisuustyön tehtävien ja vastuiden määrittäminen
Katakri
24. Rekisterinpitäjän vastuu
GDPR
6.1.1: Information security roles and responsibilities
ISO 27001
ID.AM-6: Cybersecurity roles and responsibilities
NIST
ID.GV-2: Cybersecurity role coordination
NIST

Tietoturvallisuuteen liittyvien vastuiden eriyttäminen

Critical
High
Normal
Low

Organisaatiolla tulee olla prosesseja sen varmistamiseksi, että ristiriitaiset vastuut erotetaan toisistaan, jotta vähennetään mahdollisuuksia käyttää organisaation omaisuutta väärin.

On syytä olla varovainen esim. siitä, että yksittäinen henkilö voi käsitellä tietoja huomaamatta. Usein myös tapahtuman aloittamisen erottaminen sen hyväksymisestä on hyvä käytäntö.

Kun tehtävien suoraa eriyttämistä on vaikea saavuttaa, voidaan käyttää seuraavia periaatteita:

  • Tietoturvavastuiden korkeatasoinen erottelu
  • Erottelun tukeminen hyvällä seurannalla, kirjausketjuilla ja johdon valvonnalla
6.1.2: Segregation of duties
ISO 27001
ID.RA-3: Threat identification
NIST
PR.AC-4: Access permissions and authorizations
NIST
PR.DS-5: Data leak protection
NIST
HAL-02.1: Tehtävät ja vastuut - tehtävien eriyttäminen
Julkri

Identifying and documenting dependencies between assets

Critical
High
Normal
Low

Organisation should identify and document dependencies between its assets.

In Cyberday dependencies between asset elements are created when creating and linking documentation. Procedure can be expanded according to organisation's own needs.

HAL-04.5: Suojattavat kohteet - riippuvuudet
Julkri

Kasautumisvaikutuksen huomiointi suojattavien kohteiden luokittelussa

Critical
High
Normal
Low

Tietojärjestelmän tai muun useita tietoaineistoja sisältävän kohteen luokitus määräytyy ensi sijassa korkeimman luokituksen aineiston mukaan. Tietojärjestelmien luokitusta arvioitaessa tulee huomioida myös kasautumisvaikutus riskilähtöisesti.

Suuresta määrästä tietyn luottamuksellisuuden tason tietoa koostuvissa tietojärjestelmissä asiakokonaisuus voi nousta luokitukseltaan yksittäistä tietoa korkeammalle tasolle. Määrä ei ole kuitenkaan ainoa tekijä, vaan joskus esimerkiksi kahden eri tietolähteen yhdistäminen voi johtaa tietovarannon luokituksen nousemiseen.

Tyypillisesti kasautumisessa on kysymys IV-luokan tiedosta (esimerkiksi suuri määrä turvallisuusluokan IV tietoa voi muodostaa yhdistettynä turvallisuusluokan III tietovarannon), mutta kasautumisvaikutus tulee huomioida myös turvallisuusluokittelemattoman salassa pidettävän tiedon suojaamisessa.



HAL-04.3: Suojattavat kohteet - kasautumisvaikutus
Julkri

Tarvittavien teemakohtaisten politiikkadokumenttien luominen

Critical
High
Normal
Low

Teemakohtaiset politiikkadokumentit voivat auttaa eri osa-alueisiin liittyvien tehtävien, ohjeistusten sekä muun dokumentaation viestintää ja katselmointia sekä mahdollisten ylätason periaatteiden liittämistä näihin tarkempaa toteutusta kuvaaviin hallintajärjestelmän sisältöihin.

Organisaation on määriteltävä, mitä teemakohtaisia politiikkadokumentteja ylläpidetään sekä tarvittaessa katselmoidaan kokonaisuuksina halutuin väliajoin. Esimerkkejä teemoista, joille omaa politiikkadokumenttia voidaan haluta ylläpidää, ovat mm.:

  • pääsynhallinta
  • fyysinen turvallisuus
  • suojattavan omaisuuden hallinta
  • varmuuskopiointi
  • salauskäytännöt
  • tietojen luokittelu
  • teknisten haavoittuvuuksien hallinta
  • turvallinen kehittäminen
5.1: Tietoturvapolitiikat
ISO 27001
5.1.1: Policies for information security
ISO 27001
7.5: Dokumentoitua tietoa koskevat vaatimukset
ISO 27001

Digiturvabudjetin määrittäminen ja riittävyys

Critical
High
Normal
Low

Organisaatio on selkeästi määrittänyt digitaalisen turvallisuuden ylläpitoon sekä kehittämiseen dedikoidun budjetin. Budjetti on riittävä digiturvalle asetettujen tavoitteiden saavuttamiseen.

Digiturvan budjetoinnissa on huomioitava etenkin kolme keskeistä osa-aluetta - henkilöstökulut, teknologiaratkaisut sekä toimintamenot.

5: Riittävä digiturvallisuuden budjetti

Varautuminen organisaatioon kohdistuvaan informaatiovaikuttamiseen

Critical
High
Normal
Low

Organisaatio on muodostanut suunnitelman siihen kohdistuvan mustamaalaus- tai vaikuttamiskampanjan varalle.

76: Varautuminen informaatiovaikuttamiseen

Digitaalisen turvallisuuden resursoinnin riittävyys

Critical
High
Normal
Low

Organisaation on dedikoinut riittävät resurssit ja osaamisen digiturvallisuuden kehittämiseen osana organisaation strategian toteuttamista.

Digitaaliselle turvallisuudelle on lisäksi nimetty vastuuhenkilö ja tämä teema saa vastuuhenkilön työnkuvassa ja ajankäytössä tarpeeksi suuren huomion.

70: Riittävät resurssit digiturvan kehittämiseen

Sisäinen tiedotus organisaation riskitilanteesta

Critical
High
Normal
Low

Organisaatiolla on toimintamalli säännölliseen tiedottamiseen koko organisaation laajuisesti digiturvallisuuden riskitilanteesta sekä uusista omaan organisaatioon vaikuttavista merkittävistä riskeistä.

Tiedotus voidaan toteuttaa esimerkiksi digiturvan ydintiimin sekä viestinnän ammattilaisten yhteistyönä.

16: Organisaationlaajuinen viestintä riskitilanteesta

Varautumista ohjaavan lainsäädännön tunnistaminen ja dokumentointi

Critical
High
Normal
Low

Organisaatio on tunnistanut toimintaansa ja palveluihinsa liittyvät ICT-varautumista ohjaavan kansallisen ja EU-lainsäädännön sekä muut ICT-varautumiseen liittyvät normit.

Lainsäädäntö ja normit määrittävät minimitason ICT-varautumisen toteuttamiselle. Tämän lisäksi organisaation on huomioitava oman toimintansa erityispiirteistä nousevat tarpeet. Toimintojen sisäisten ja ulkoisten riippuvuussuhteiden ymmärtäminen on perusedellytys varautumisen kustannustehokkaalle johtamiselle.

VAR-01: Varautumista ohjaava lainsäädäntö
Julkri

Luettelo turvaluokiteltuja asiakirjoja käsittelevistä henkilöistä valtionhallinnossa

Critical
High
Normal
Low

Valtionhallinnon viranomaisen on pidettävä luetteloa henkilöistä, joilla on oikeus käsitellä turvallisuusluokan I, II tai III asiakirjoja. Luettelossa on mainittava henkilön tehtävä, johon turvallisuusluokitellun tiedon käsittelytarve perustuu.

HAL-14.1: Käyttö- ja käsittelyoikeudet - ajantasainen luettelo - TL III
Julkri

Tietoturvallisuuteen liittyvän dokumentaation ajantasaisuus

Critical
High
Normal
Low

Tietoturvallisuuteen liittyvä dokumentaatio on ajantasaista.

  • Organisaatiolla on prosessi, jonka avulla seurataan dokumentaation kattavuutta ja ajantasaisuutta
  • Dokumentaation puutteisiin reagoidaan
HAL-09.1: Dokumentointi - ajantasaisuus
Julkri

Muiden tietoturvavaatimusten seuranta

Critical
High
Normal
Low

Organisaation tietoturvallisuusvaatimukset muodostuvat esimerkiksi lainsäädännössä ja sopimuksissa määritellyistä vähimmäisvaatimuksista sekä muista tunnistetuista tai itse tavoitelluiksi valituista vaatimuksista.

Organisaation on seurattava tietoturvallisuusvaatimusten muutoksia ja tehtävä tarvittavat toimenpiteet niihin reagoimiseksi.

HAL-05: Vaatimukset
Julkri
HAL-05.1: Vaatimukset - seuranta
Julkri

Organisaation tavoitteista johdetut tietoturvaroolit, -vastuut ja -tavoitteet

Critical
High
Normal
Low

Organisaatio on asettanut prioriteetit sen toiminnalle ja tavoitteille. Näiden prioriteettien pohjalta täytyy pystyä määrittämään tietoturvaroolit, -vastuut ja -tavoitteet.

ID.BE-3: Organizational mission
NIST
69: Digiturvan huomiointi osana kokonaisuutta

Vanhentuneiden tietoturvadokumenttien arkistointi ja säilyttäminen

Critical
High
Normal
Low

Organisaatio on määritellyt, mikä on tärkeää turvallisuuteen liittyvää dokumentaatiota ja ohjeistusta (esim. raporttiasiakirjat tai kaikki tehtävien/ohjeiden sisältö), jotka tulee turvallisesti arkistoida sen jälkeen, kun ne on vaihdettu tai muuten vanhentuneet.

Nämä tiedot tulee säilyttää mahdollisia vanhojen käytäntöjen tai ohjeiden tarkistamista varten, jotka voivat olla tärkeitä esim. asiakasriidan tai tietosuojaviranomaisen suorittaman tutkimuksen yhteydessä.

Jos erityisessä laissa tai sopimuksessa ei määrätä säilytysaikaa, tietoja tulee säilyttää vähintään viisi vuotta.

A.10.2: Retention period for administrative security policies and guidelines
ISO 27018

Tiedon kerääminen ja jalostaminen

Critical
High
Normal
Low

Organisaation tietojärjestelmät keräävät dataa sisäisistä ja ulkoisista lähteistä ja jalostavat olennaisen datan tiedoksi. Tiedolla tuetaan sisäisen valvonnan komponentteja

Tiedon tulee olla:

  • Ajantasaista
  • Tarkkaa
  • Kokonaista
  • Suojattua
  • Varmistettua

Organisaation hallituksen toteuttama valvonta

Critical
High
Normal
Low

Johdosta erillinen hallitus toteuttaa valvontaa sisäisten tietoturvatoimien kehitykselle ja toteuttamiselle.

Hallituksen tehtäviin kuuluu erityisesti:

  • Vastuuttaa toiminnan tarkemman toteutuksen ja valvonnan
  • Hyödyntää tietoturva-alan asiantuntijoita ja arvioi tarvetta asiantuntijuuden lisäämisestä hallitukseen
  • Toimii itsenäisesti ja on objektiivinen arvioissa ja päätöksenteossa
  • Täydentää asiantuntijuuttaan tarvittaessa esimerkiksi konsulteilla

Tietoturvatavoitteiden saavuttamiseen tarvittavan teknologian tunnistaminen

Critical
High
Normal
Low

Organisaatiossa täytyy:

  • tunnistaa yhteydet teknologian ja liiketoimintojen pyörittämisen välillä
  • Rakentaa tarvittava infrastruktuuri tarvittavan teknologian ylläpitämiseen, jotta niiden saatavuus ja toimintavarmuus voidaan taata

Organisaation tulee määritellä, mitä teknologiaa tarvitaan, jotta tietoturvatavoitteet saavutetaan? Ja, mitä teknologiaa täytyy hankkia / kehittää, jotta tietoturvatavoitteet saavutetaan?

Ulkoisten tavoitteiden huomiointi tietoturvatavoitteita säädettäessä

Critical
High
Normal
Low

Organisaation tietoturvatavoitteita asettaessa täytyy ottaa huomioon ulkoiset tavoitteet. Tämä tarkoittaa esimerkiksi:

  • Ulkoisesti asetettujen vaatimuskehikkojen, kuten lait ja asetukset tai muiden ulkoisten sidosryhmien asettamat vaatimukset
  • Raportoinnissa otetaan huomioon raporttien yksityiskohtaisuuden riittävä määrä ulkoisten vaatimusten täyttämisen osoittamiseksi

Oman organisaation yksikköjen määrittely

Critical
High
Normal
Low

Organisaation on määriteltävä toimintansa sekä etenkin tietoturvallisuuden toteuttamisen kannalta relevantit yksiköt.

Yksiköille määritellyille omistajille voidaan jalkauttaa vastuita eri tehtävien yksikkökohtaisesta toteuttamisesta.

Kyberturvallisuusohjelman perustaminen ja ylläpito

Critical
High
Normal
Low

Organisaation on perustettava ja ylläpidettävä kyberturvallisuusohjelmaa. Ohjelmalla tulee olla korkeimman johdon tuki.

Ohjelma tulee perustaa:

  • Kyberturvallisuusohjelmastrategian mukaisesti
  • Korkeimman johdon tuki on aktiivista ja tukee ohjelman kehitystä ja ylläpitoa
  • Ohjelma on vastuutettu roolille, jolla on riittävä toimivalta sen täyteenpanoon
10.2 (MIL1): Establish and Maintain Cybersecurity Program
C2M2

Strategia kyberturvallisuusohjelmalle

Critical
High
Normal
Low

Organisaation on luotava ja ylläpidettävä strategiaa kyberturvallisuusohjelmalle. Kyberturvallisuusohjelma määrittelee tavoitteet organisaation kyberturvallisuustoimenpiteille.

10.1 (MIL1): Establish Cybersecurity Program Strategy
C2M2

Strategia kyberturvallisuusarkkitehtuurille

Critical
High
Normal
Low

Organisaatiolla on oltava strategia kyberturvallisuusarkkitehtuurin kehittämiselle ja ylläpidolle.

Strategian on sovittava yhteen organisaation kyberturvallisuusohjelman ja organisaation arkkitehtuurin kanssa.

Arkkitehtuuriin on sisällytettävä:

  • Tietoverkkojen turvallisuustoimet
  • Tieto-omaisuuden suojaaminen
  • Sovellusturvallisuus
  • Tietosuojan toteuttaminen
9.1 (MIL1): Establish and Maintain Cybersecurity Architecture Strategy and Program
C2M2
9.3 (MIL1): Implement IT and OT Asset Security as an Element of the Cybersecurity Architecture
C2M2
9.4 (MIL1): Implement Software Security as an Element of the Cybersecurity Architecture
C2M2
9.2 (MIL1): Implement Network Protections as an Element of the Cybersecurity Architecture
C2M2
9.5 (MIL1): Implement Data Security as an Element of the Cybersecurity Architecture
C2M2

Riittävät organisaation turvallisuusperiaatteet turvallisuusluokiteltujen tietojen kannalta

Critical
High
Normal
Low

Organisaation johto vastaa, että:

  • organisaatiolla on ylimmän johdon hyväksymät turvallisuusperiaatteet, jotka kuvaavat organisaation tietoturvallisuustoimenpiteiden kytkeytymistä organisaation toimintaan
  • turvallisuusperiaatteet ovat turvallisuusluokiteltujen tietojen suojaamisen kannalta kattavat ja tarkoituksenmukaiset
  • turvallisuusperiaatteet ohjaavat tietoturvallisuustoimenpiteitä
  • organisaatiossa on järjestetty riittävä valvonta turvallisuusluokiteltujen tietojen tiedonhallintaan liittyvien velvoitteiden ja ohjeiden noudattamisesta.

Digitaalisen häiriönsietokyvyn testauksesta oppiminen

Critical
High
Normal
Low

Organisaatiolla tulee olla prosessi, jonka avulla voidaan analysoida ja oppia digitaalisen häriönsietokyvyn testauksen tuloksista, todellisista kyberturvallisuushäiriöistä ja jatkuvuussuunnitelmien aktivointikokemuksista. Asiaankuuluvia tietoja ja kokemuksia tulisi vaihtaa kumppanien kanssa.

Opitut opetukset tulisi sisällyttää kyberriskien hallintaprosessiin.

Organisaation ylimmällä johdolla tulisi olla vuosittain raportti vanhempien ICT-henkilöstön opetuksista sekä parannussuositukset.

Digitaalisen häiriösietokyvyn tehokkuuden seuranta ja analysointi

Critical
High
Normal
Low

Organisaation tulee seurata digitaalisen häiriönsietokykystrategiansa tehokkuutta. Tämän pitäisi sisältää ainakin:

  • ICT-riskien arvioinnin kartoitus ajan mittaan
  • Analysoi tapahtumien tiheys, tyyppi, laajuus ja kehitys
  • Erityistä huomiota tulisi kiinnittää kyberhyökkäysten malleihin

Tämän pitäisi lisätä tietoisuutta kyberhyökkäykseen liittyville riskeille altistumisesta erityisesti tärkeiden ja kriittisten toimintojen ja kyberhyökkäyksiä vastaan varautumiseen liittyen.

Tietoturvarakenteen kuvaus

Critical
High
Normal
Low

Organisaation on määriteltävä ja dokumentoitava organisaation tietoturvarakenne. Tässä tulee huomioida muut asiaankuuluvat tietoturvaroolit

Arkojen työalojen ja työpaikkojen tunnistaminen ja luettelointi

Critical
High
Normal
Low

Organisaation on määriteltävä, mitä työaloja ja tiettyjä työtehtäviä pidetään arkaluonteisina (esim. käsiteltyjen tietojen ja työntekijän käyttöoikeuksien perusteella).

&Arkaluonteiset työalat riippuvat organisaation toiminnan luonteesta, mutta niihin voi kuulua esimerkiksi tietoturva, tietotekniikka ja järjestelmähallinto, taloushallinto, henkilöstöhallinto, lakiasiainhallinto, tutkimus ja kehitys, asiakastuki, analytiikka, johto ja monet muut.

Kriisinhallintastrategian toteuttaminen

Critical
High
Normal
Low

Organisaatio kehittää ja toteuttaa kriisitoimintastrategian, jolla suojellaan organisaatiota kriisin kielteisiltä seurauksilta ja maineen vahingoittumiselta. Strategian olisi sisällettävä ennalta määriteltyjä toimia, joilla hallitaan julkista kuvaa ja narratiivia sekä lievennetään kriisin vaikutusta organisaatioon.

Sisäisten auditointien toteutuksen arviointi

Critical
High
Normal
Low

Tehtävän omistaja arvioi säännöllisesti sisäiten auditointien toteutusta etenkin seuraavista näkökulmista:

  • onko auditoijat valittu niin, että auditointiprosessin objektiivisuus ja puolueettomuus toteutuu
  • onko auditoinnit suoritettu niin, että auditointiprosessin objektiivisuus ja puolueettomuus toteutuu

Tehtävän omistaja tekee tarvittaessa muutoksia sisäisten auditointien menettelyyn sekä menettelykuvaukseen.

Tietoturvasertifioinnit

Critical
High
Normal
Low

Sertifiointimekanismien ideana on osoittaa, että tietojenkäsittelyssä noudatetaan hyvää tietojenkäsittelytapaa ja yleisiä hyviä käytäntöjä. Tietoturvaa koskeva sertifikaatti on mm. ISO27001.

18.2.2: Compliance with security policies and standards
ISO 27001

Organisaation tieto-omaisuuden prioriteettiluokittelu

Critical
High
Normal
Low

Organisaation on luokiteltava sen tieto-omaisuus, kuten tietojärjestelmät, tiedot, yksiköt, avainhenkilöstö ja muu suojattava omaisuus (esim. laitteet) prioriteettien mukaan. Priorisoinnin voi tehdä esimerkiksi käsiteltävän tiedon luottamuksellisuus-, eheys- ja saatavuusvaatimusten perusteella.

ID.AM-5: Resource prioritization
NIST
HAL-04.2: Suojattavat kohteet - luokittelu
Julkri

Petoksien mahdollisuuden huomioiminen riskien arvioinnissa

Critical
High
Normal
Low

Organisaation on huomioitava tietoturvaan liittyvien petosten mahdollisuus riskejä arvioitaessa.

Huomioitava on ainakin:

  • Erilaiset petokset ja niiden mahdolliset seuraukset (virheellinen raportointi, tieto-omaisuuden menettäminen ja korruptio)
  • Erilaisten kannustimien ja paineiden vaikutus petoksen tekemiseen
  • Asenteiden ja perusteluiden arviointi, kuinka johtava tai muu työntekijä voisi perustella petoksellista toimintaansa
  • Arviointi petoksen mahdollisuuksista tietojärjestelmien käytössä

Projektien luokittelumenettely

Critical
High
Normal
Low

Organisaatiolla olisi oltava menettely, jolla projektit luokitellaan vaaditun tietoturvatason ja muiden hanketta koskevien tietoturvavaatimusten näkökulmasta.

Projektien luokitteluperusteet tulisi dokumentoida.

Turvallisuusvaatimuksiin liittyvien tietueiden eheyden varmistaminen

Critical
High
Normal
Low

Lainsäädännön, määräysten tai sopimuksellisten määräyksien noudattamatta jättäminen voi aiheuttaa riskejä organisaation tietoturvalle.

Jotta vaatimukset täyttyvät, organisaatiossa huolehditaan, että tietueiden eheys on oikeudellisten, sääntely- tai sopimusmääräysten ja liiketoimintavaatimusten mukaista.

Sovellusturvallisuuteen liittyvien tietoturvamittarien dokumentointi

Critical
High
Normal
Low

Organisaation on dokumentoitava tietoturvamittarit sovellusturvallisuuteen liittyen. Totoeutuksessa tulee ottaa huomioon organisaation tavoitteet, turvallisuusvaatimukset ja vaatimusten mukaisuus.

test

Critical
High
Normal
Low