Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

15.1.1
ISO 27001

ISO 27001:2013

5.19
ISO 27001

ISO 27001:2022

ID.BE-1
NIST

NIST Cybersecurity Framework

Muita saman teeman digiturvatehtäviä

Toimittajatyyppien määrittely, joille sallitaan pääsy luottamuksellisiin tietoihin

Critical
High
Normal
Low

Määrittelemme ennakkoon toimittajatyypit, joiden kanssa yhteistyö vaatii pääsyä luottamuksellisiin tietoihin tai niiden käsittelyalueille sekä tätä kautta mm. käsittelysopimusten tekemistä. Tällaisia toimittajatyyppejä voivat olla esim. tietotekniset palvelut, logistiikka, taloushallinto sekä tietotekniset infrastruktuurikomponentit.

15.1.1: Information security policy for supplier relationships
ISO 27001
ID.BE-1: Role in supply chain
NIST
5.19: Tietoturvallisuus toimittajasuhteissa
ISO 27001

Kriteerit korkean prioriteetin kumppaneille

Critical
High
Normal
Low

Organisaatio on määritellyt tärkeiltä kumppaneilta vaaditut sertifioinnit tai noudatettavat standardit. Yleisesti tunnistettuja digiturvaan liittyviä standardeja ovat mm.:

  • ISO 27001 (tietoturvan hallintajärjestelmä)
  • SOC2 (yleinen tietoturva, kutsutaan myös SSAE 16)
  • ISO 27701 (tietosuojan hallintajärjestelmä)
  • ISO 27017 (digiturva pilvipalveluissa) tai ISO 27018 (tietosuoja pilvipalveluissa)
  • muita suosittuja mm. NIST (yleinen), CSA (pilviohjelmistot), PCI DSS (korttimaksaminen)

Esimerkiksi kumppanilta vaadittava sertifiointi voi tehostaa omaa kumppanihallintaa ja toimia hyvänä todisteena kumppanin tietystä tietoturva- tai tietosuojatasosta.

15.1.1: Information security policy for supplier relationships
ISO 27001
ID.BE-1: Role in supply chain
NIST
ID.SC-4: Audit suppliers and third-party partners
NIST
TSU-04: Henkilötietojen käsittelijä
Julkri
5.19: Tietoturvallisuus toimittajasuhteissa
ISO 27001

Minimivaatimukset kumppaniyrityksille saadakseen pääsy eri tasoiseen tietoon

Critical
High
Normal
Low

Digiturvan minimitasoa koskevat vaatimukset on määritetty luottamuksellista tietoamme käsittelevillä kumppaniyrityksille ja nämä on sisällytetty toimittajasopimuksiin. Vaatimukset vaihtelevat sen mukaan, kuinka kriittistä tietoa kumppani käsittelee.

Vaatimusten on järkevää koostua säännöistä ja käytännöistä, joita omassa organisaatiossanne noudatetaan. Voitte jaotella vaatimustasot matalan, keskitason ja korkean riskin toimittajiin.

15.1.1: Information security policy for supplier relationships
ISO 27001
15.1.3: Information and communication technology supply chain
ISO 27001
ID.BE-1: Role in supply chain
NIST
5.21: Tietoturvallisuuden hallinta tietotekniikan toimitusketjussa
ISO 27001

Kriittisille verkkopalveluille on määritelty vaaditut turvajärjestelyt

Critical
High
Normal
Low

Kriittisten verkkopalvelujen tarvitsemat turvajärjestelyt, kuten turvallisuusominaisuudet, palvelutasot ja hallintavaatimukset, on huolellisesti määritelty ennakkoon. Verkkopalveluja ovat mm. liitännät, verkot ja verkon turvallisuusratkaisut (esim. palomuurit).

Verkkopalvelujen turvallisuusominaisuudet voivat olla mm. seuraavanlaisia:

  • vaadittu turvallisuuteen liittyvä teknologia, kuten todennus, salaustekniikka ja verkkoyhteyden hallintakeinot
  • verkkopalvelujen suojatun yhteyden edellyttämät tekniset parametrit
  • verkkopalvelun käyttökriteerit, jotka rajoittavat pääsyä verkkopalveluun tai sovelluksiin tarvittaessa
13.1.2: Security of network services
ISO 27001
15.2.1: Monitoring and review of supplier services
ISO 27001
ID.BE-5: Resilience requirements
NIST
DE.CM-1: The network monitoring
NIST
5.22: Toimittajien palvelujen seuranta, katselmointi ja muutoksenhallinta
ISO 27001

Toimittajahallintakokousten järjestäminen digiturvan käsittelemiseksi

Critical
High
Normal
Low

Organisaatio käsittelee säännöllisesti digiturvallisuutta kriittisten toimittajien ja muiden kumppanien kanssa toimittajahallintakokouksissa.

75: Digiturvallisuusyhteistyö kriittisten toimittajien ja alihankkjoiden kanssa

Tietoliikenteen toimivuuden varmistaminen

Critical
High
Normal
Low

Tietoliikennepalveluissa ja -sopimuksissa on huomioitu toiminnan kannalta tärkeiden palveluiden saatavuus häiriötilanteissa.

Tärkeiden palvelujen verkkoympäristöt ja tietoliikennepalvelut varmennetaan esimerkiksi kahdentamalla. Tietoliikenne voidaan kahdentaa fyysisesti kahta eri reittiä pitkin kahden eri operaattorin toimesta.

Tärkeissä ympäristöissä varmistetaan, että yksittäisen tietoliikennekomponentin vikaantuminen ei keskeytä palvelun toimintaa.

Erikseen valittuihin työasemiin voidaan esimerkiksi asentaa erillinen tietoliikenneyhteys, jonka kautta voi päästä yleiseen tietoverkkoon.

Sopimusvaiheessa tulisi huomioida myös Suomen ulkopuolisten yhteyksien vikasietoisuus.

VAR-06: Tietoliikenteen varmistaminen
Julkri

Kumppanien priorisointi käsitellyn tiedon luottamuksellisuuden perusteella

Critical
High
Normal
Low

Organisaation on toteutettava kumppanien priorisointi käsitellyn tiedon luottamuksellisuuden perusteella.

ID.SC-2: Suppliers and third party partners of information systems
NIST

Toimitusketjun tietoturvariskien hallinta

Critical
High
Normal
Low

Organisaatio sopii ja toteuttaa yhteisen tietoturvariskien hallintamenettelyn ja prosessit sidosryhmien kanssa.

Organisaation tulisi pyrkiä integroimaan kolmannen osapuolen riskien hallinta osaksi oman organisaation yleistä tietoturvariskienhallintaa. Siinä tulisi:

  • Arvioida keskenäisiä riippuvuuksia
  • Arvioida riskejä liittyen kolmannen osapuolen tarjoamiin sopimuksiin
  • Huolehtia riskienhallinnan skaalasta organisaation koon ja tarpeen perusteella
ID.SC-1: Cyber supply chain
NIST

Kriittisten IT-kumppanien tunnistaminen

Critical
High
Normal
Low

Organisaation on tunnistettava kriittiset IT-kumppanit. Kriittisellä kumppanilla (sisäinen tai ulkoinen) tarkoitetaan kumppania, jota ilman toiminta keskeytyy.

7.1 (MIL1): Identify and Prioritize Third Parties
C2M2

Kriittisten ICT-palvelujen poistumisstrategiat

Critical
High
Normal
Low

Organisaatio on ottanut käyttöön kriittisiä tai tärkeitä toimintoja tukevia ICT-palveluja koskevat poistumisstrategiat, joilla varaudutaan mahdollisiin vikoihin, laadun heikkenemiseen tai muihin palveluun liittyviin liiketoimintahäiriöihin.

Poistumisstrategioilla varmistetaan, että organisaatio voi luopua asiaan liittyvistä sopimusjärjestelyistä ilman:

  • häiriöitä liiketoiminnalleen
  • vaatimusten laiminlyömistä
  • haittaa tarjottujen palvelujen jatkuvuudelle tai laadulle.

Poistumissuunnitelmat ovat kattavia, dokumentoituja, riittävästi testattuja ja säännöllisesti tarkistettuja.

Organisaatio on osana poistumisstrategioita myös yksilöinyt vaihtoehtoisia ratkaisuja ja laatinut siirtymäsuunnitelmia, joiden avulla se voi vaihtaa palveluja ja siirtää asiaankuuluvat tiedot turvallisesti.

Kriittisten laitteiden tai verkkopalvelujen hankkiminen useaa reittiä

Critical
High
Normal
Low

Kun esimerkiksi tietoliikenneverkon vikasietoisuus on kriittistä, sitä voidaan parantaa entisestään hankkimalla verkon peruspalvelut useampaa reittiä ja useamman palveluntuottajan kautta.

13.1.2: Security of network services
ISO 27001
ID.BE-4: Dependencies and critical functions
NIST
ID.BE-5: Resilience requirements
NIST
VAR-08: Vikasietoisuus
Julkri
8.14: Tietojenkäsittelypalvelujen vikasietoisuus
ISO 27001

Tietoteknisten ympäristöjen toimivuuden varmistaminen

Critical
High
Normal
Low

Tietoteknisissä ympäristöissä ja niihin liittyvissä sopimuksissa on huomioitu toiminnan kannalta tärkeiden palveluiden saatavuus häiriötilanteissa.

Tärkeiden palvelujen tietotekniset ympäristöt varmennetaan esimerkiksi kahdentamalla siten, että yksittäisten komponenttien vikaantumiset eivät aiheuta toiminnan edellyttämää palvelutasoa pidempiä käyttökatkoja.

Tietotekniset ympäristöt voidaan varmentaa varavoimalla tai varavoimaliitännöillä siten, että sähkönjakelu voidaan käynnistää riittävän nopeasti ja ylläpitää sitä riittävän ajan suhteessa toiminnan vaatimuksiin.

VAR-07: Tietoteknisten ympäristöjen varmentaminen
Julkri

Tarjottujen digipalvelujen alihankkijoille liittyvät pakolliset tietoturvatavoitteet

Critical
High
Normal
Low

Kun organisaatio päättää käyttää toisen pilvipalvelun tarjoajan palveluita omien pilvipalveluidensa tuottamiseen, organisaation on varmistettava, että sen asiakkaiden tietoturvataso säilyy tai ylittyy.

Tämän varmistamiseksi organisaation tulee määritellä tarvittavat turvallisuustavoitteet toimitusketjuun kuuluville alihankkijoille. Näiden tavoitteiden tulisi edellyttää riskienhallinnan suorittamista tavoitteiden saavuttamiseksi.

15.1.3: Tieto- ja viestintätekniikan toimitusketju
ISO 27017

Käytettyihin pilvipalveluihin liittyvien tietoturvaroolien ja -vastuiden vahvistaminen

Critical
High
Normal
Low

Kun organisaatio käyttää pilvipohjaista tietojärjestelmää, organisaation tulee ymmärtää ja vahvistaa siihen liittyvät tietoturvaroolit ja -vastuut palvelusopimuksen mukaisesti.

Näihin voi kuulua esimerkiksi seuraaviin vastuisiin liittyviä tehtäviä:

  • Suojaus haittaohjelmilta
  • Kryptografiset ohjaimet
  • Varmuuskopiointi
  • Haavoittuvuuden ja tapausten hallinta
  • Vaatimustenmukaisuus ja turvallisuustestaus
  • Tunnistus, identiteetin ja käyttöoikeuksien hallinta
15: Suhteet toimittajiin
ISO 27017
15.1: Tietoturvallisuus toimittajasuhteissa
ISO 27017
15.1.2: Toimittajasopimusten turvallisuus
ISO 27017
15.1.3: Tieto- ja viestintätekniikan toimitusketju
ISO 27017
5.23: Pilvipalvelujen tietoturvallisuus
ISO 27001