Sisältökirjasto
Digiturvan johtaminen
Vanhentuneiden tietoturvadokumenttien arkistointi ja säilyttäminen

Muita saman teeman digiturvatehtäviä

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Tietoturvasuunnitelma-raportin luominen ja ylläpito

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
3: Vastuut tietoturvan sekä asiakastietojen asianmukaisen käsittelyn varmistamisessa
Tietoturvasuunnitelma
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvasuunnitelma-raportin luominen ja ylläpito
1. Tehtävän vaatimuskuvaus

Organisaation on luotava ja ylläpidettävä tietoturvasuunnitelmaa.

Asiakastietolain 27 §:n mukaisesti palvelunantajan on laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä tietoturvasuunnitelma.

Tämän määräyksen(MÄÄRÄYS 3/2024) mukaista tietoturvasuunnitelmaa ei tule sisällyttää tai yhdistää julkaistaviin tai julkisesti saatavilla oleviin omavalvontasuunnitelmiin. Tietoturvasuunnitelmaa ja siinä viitattuja liitedokumentteja tulee käsitellä ja säilyttää ottaen huomioon tarvittava suojaaminen sivullisilta ja tarvittaessa niihin tulee merkitä salassa pidettävä -tieto

Hallintajärjestelmän pohjana toimivien vaatimuskehikkojen määrittäminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
CC3.1: Sufficient specifying of objectives
SOC 2
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Hallintajärjestelmän pohjana toimivien vaatimuskehikkojen määrittäminen
1. Tehtävän vaatimuskuvaus

Organisaation tulee määritellä vaatimuskehikot, joita käytetään hallintajärjestelmän pohjana. Vaatimuskehikoilla tulisi saavuuttaa:

Sisäiset raportointitavoitteet:

  • Johdolle päätöksentekoa tukevat raportit
  • Raportoinnin tarkkuus ja yksityiskohdat ei taloudellisiin raportteihin liittyen

Vaatimuksien täyttötavoitteet:

  • Lakien ja asetusten täyttyminen
  • Alatavoitteiden asettaminen, jotta turvallisuuden, saatavuuden, käsittelyn eheyden, luottamuksellisuuden ja yksityisyyden kriteerit tukevat riittävää raportointia, organisaation toimintaa ja vaatimuksenmukaisuuden täyttymistä

Tietoturvallisuuden hallintajärjestelmän kuvaus ja ylläpito

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
29
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
5.1.1: Tietoturvapolitiikat
ISO 27001
PR.AT-5: Physical and cybersecurity personnel
NIST
HAL-02: Tehtävät ja vastuut
Julkri
HAL-07: Seuranta ja valvonta
Julkri
HAL-09: Dokumentointi
Julkri
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvallisuuden hallintajärjestelmän kuvaus ja ylläpito
1. Tehtävän vaatimuskuvaus

Organisaation on käytettävä, ylläpidettävä ja jatkuvasti kehitettävä tietoturvallisuuden hallintajärjestelmää.

Hallintajärjestelmään liittyvät rajaukset ja soveltamisala, sisällöt, roolitus, kertyvä toteutustieto sekä muu tarpeellinen kuvaustieto on oltava selkeästi dokumentoitu.

Sisäisen auditoinnin menettelykuvaus -raportin julkaisu ja ylläpito

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
15
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
ID.GV-3: Legal and regulatory requirements
NIST
7.5: Requirements for documented information
ISO 27001
9.2: Internal audit
ISO 27001
CC1.5: Accountability for responsibilities
SOC 2
Article 5: Governance and organisation
DORA
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Sisäisen auditoinnin menettelykuvaus -raportin julkaisu ja ylläpito
1. Tehtävän vaatimuskuvaus

Organisaatio on ottanut käyttöön menettelyt sisäisten tarkastusten suorittamiseksi. Menettelyissä on kuvattava ainakin seuraavat seikat:

  • kuinka usein auditointeja tehdään
  • kuka voi suorittaa auditointeja (mukaan lukien auditointikriteerit).
  • miten varsinainen auditointi suoritetaan
  • miten auditoinnin tulokset dokumentoidaan ja kenelle niistä raportoidaan.
  • tuloksista on ilmoitettava toimivaltaiselle viranomaiselle, jos sitä säännellään lainsäädännöllä.

Tietoturvapolitiikka-raportin julkaisu, tiedottaminen ja ylläpito

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
38
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
5: Tietoturvapolitiikat
ISO 27001
5.1: Johdon ohjaus tietoturvallisuutta koskevissa asioissa
ISO 27001
5.1.1: Tietoturvapolitiikat
ISO 27001
5.1.2: Tietoturvapolitiikkojen katselmointi
ISO 27001
T01: Turvallisuusperiaatteet
Katakri
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvapolitiikka-raportin julkaisu, tiedottaminen ja ylläpito
1. Tehtävän vaatimuskuvaus

Organisaatiolla on ylimmän johdon laatima ja hyväksymä tietoturvapolitiikka. Politiikka sisältää ainakin seuraavat asiat:

  • perustan organisaation tietoturvatavoitteiden asettamiselle
  • sitoutumisen tietoturvallisuutta koskevien vaatimusten täyttämiseen
  • sitoutumisen tietoturvallisuuden hallintajärjestelmän jatkuvaan parantamiseen

Lisäksi tehtävän omistaja varmistaa, että:

  • tietoturvapolitiikka soveltuu organisaation toiminta-ajatukseen
  • politiikka on tiedotettu koko organisaatiolle
  • politiikka on tarvittaessa sidosryhmien saatavilla

Tietoturvatavoitteiden määrittely ja dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
22
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
5.1.1: Tietoturvapolitiikat
ISO 27001
ID.BE-3: Organizational mission, objectives, and activities
NIST
ID.GV-1: Cybersecurity policy
NIST
HAL-01: Periaatteet
Julkri
5.1: Leadership and commitment
ISO 27001
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvatavoitteiden määrittely ja dokumentointi
1. Tehtävän vaatimuskuvaus

Organisaation johto asettaa tietoturvatavoitteet. Tietoturvatavoitteet täyttävät seuraavat vaatimukset:

  • ne ottavat huomioon soveltuvat tietoturva- ja tietosuojavaatimukset sekä riskien arvioinnin ja käsittelyn tulokset
  • ne viestitään selvästi tietoturvan ja tietosuojan avainhenkilöille, henkilöstölle sekä muille oleellisille sidosryhmille
  • niitä päivitetetään tarvittaessa (esim. riskimaiseman muuttuessa tai määräajoin tavoitteiden täyttyessä)
  • ne on dokumentoitu ja ovat (jos mahdollista) mitattavissa

Tietoturvatavoitteiden dokumentoinnin yhteydessä määritellään lisäksi tarvittavat ylätason toimenpiteet, resurssit, vastuuhenkilöt, aikataulu sekä tavat tulosten arviointiin, jotta tavoitteet saavutetaan.

Sisäisten auditointien toteuttaminen ja dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
30
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
12.7: Tietojärjestelmien auditointinäkökohtia
ISO 27001
12.7.1: Tietojärjestelmien auditointimekanismit
ISO 27001
18.2.1: Tietoturvallisuuden riippumaton katselmointi
ISO 27001
ID.GV-3: Legal and regulatory requirements
NIST
HAL-07: Seuranta ja valvonta
Julkri
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Sisäisten auditointien toteuttaminen ja dokumentointi
1. Tehtävän vaatimuskuvaus

Organisaatio toteuttaa sisäisiä auditointeja oman menettelykuvauksensa mukaisesti. Tavoitteena on tarkistaa:

  • onko tietoturvallisuuden hallintajärjestelmä organisaation omien tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten mukainen
  • onko tietoturvallisuuden hallintajärjestelmä muiden toimintaa koskevien tietoturvavaatimusten tai noudatettujen standardien mukainen
  • onko hallintajärjestelmää toteutettu ja ylläpidetty vaikuttavasti

Auditointien järjestämisestä ja tuloksista on säilytettävä dokumentoitua tietoa.

Soveltuvuuslausunnon luonti ja täydennys

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
3
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
6.1: Information security risk management
ISO 27001
7.5: Requirements for documented information
ISO 27001
1.2.1: Scope of Information Security management
TISAX
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Soveltuvuuslausunnon luonti ja täydennys
1. Tehtävän vaatimuskuvaus

Soveltuvuuslausunto (engl. Statement of Applicability tai SoA) on keskeinen dokumentti joka määrittelee, kuinka organisaatio toteuttaa ison osan omasta tietoturvastaan.

Sovelutuvuuslausunto kuvaa, mitkä ISO 27001 -standardin suosittelemista hallintakeinosta organisaatiossa toteutetaan, kuinka ne toteutetaan ja mikä on hallintakeinojen tämänhetkinen tila. Lisäksi kuvataan mahdolliset perustelut tiettyjen hallintakeinojen käyttämättä jättämiselle.

Tietoturvallisuuteen liittyvien muiden vaatimusten tunnistaminen, dokumentointi ja hallinta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
16
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
18.1.1: Sovellettavien lakisääteisten ja sopimuksellisten vaatimusten yksilöimiseen
ISO 27001
ID.GV-3: Legal and regulatory requirements
NIST
HAL-05: Vaatimukset
Julkri
5.31: Legal, statutory, regulatory and contractual requirements
ISO 27001
2: Lainsäädäntö ja velvoitteet
Digiturvan kokonaiskuvapalvelu
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvallisuuteen liittyvien muiden vaatimusten tunnistaminen, dokumentointi ja hallinta
1. Tehtävän vaatimuskuvaus

Vaadittujen lakien, asetusten, standardien sekä sopimusvelvoitteiden noudattaminen voi olla yhtä suuri haaste, kuin jatkuvasti muuttuvan uhkaympäristön ja uusien kyberhyökkäysten muotojen käsittely.

Organisaation on dokumentoitava tietoturvallisuuteen liittyvät vaatimukset sekä organisaation toimintamalli niiden täyttämistä varten.

On tärkeää huomata, että iso osa vaatimuksista (esim. lait, standardit) ovat kehittyviä kokonaisuuksia. On suositeltavaa määritellä dokumentaatiolle tarkistusväli kuvaamaan sitä, millä frekvenssillä muutoksia vaatimuksissa on vähintään tarkasteltava.

Notifying the administrative body of incidents

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Notifying the administrative body of incidents
1. Tehtävän vaatimuskuvaus

The administrative bodies and the governing bodies of the organizations have to be informed on a periodic or, if appropriate, promptly, of incidents and notifications.

Tietoturvavastaavan nimittäminen (Liettua)

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
4
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvavastaavan nimittäminen (Liettua)
1. Tehtävän vaatimuskuvaus

Organisaatio nimittää tietoturvavastaavan, joka vastaa tiettyjen verkkojen ja järjestelmien vaatimustenmukaisuudesta.

  • Varmistetaan, että ehdokas täyttää samat pätevyysvaatimukset kuin tietoturvapäällikkö.
  • Annetaan tietoturvavastaavalle mahdollisuus valvoa tarvittaessa useita järjestelmiä.
  • Vaihtoehtoisesti ulkoistetaan tämä tehtävä palveluntarjoajalle tai nimitetään CISO huolehtimaan tehtävistä.

Tietoturvajohtajan nimittäminen (Liettua)

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
4
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvajohtajan nimittäminen (Liettua)
1. Tehtävän vaatimuskuvaus

Organisaatio nimittää tietoturvapäällikön (CISO), joka täyttää määritellyt vaatimukset ja vastaa organisaation riskienhallintatoimenpiteiden toteuttamisesta.

  • Varmistetaan, että henkilö on suoraan vastuussa yhteisön johtajalle.
  • Varmistetaan, että ehdokas täyttää kelpoisuusvaatimukset: moitteeton maine, ei viimeaikaisia rangaistuksia ja asiaankuuluva kokemus tai sertifiointi.
  • Määritellään hänen vastuualueensa kyberturvallisuusriskien hallintatoimenpiteiden ja vaatimustenmukaisuuden osalta.
  • Vaihtoehtoisesti tehtävä voidaan yhdistää tietoturvavastaavan tehtävään tai ulkoistaa.

Tietoturva-auditointi (Liettua)

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturva-auditointi (Liettua)
1. Tehtävän vaatimuskuvaus

Organisaatio tekee tietoturva-auditointeja kansallisen kyberturvallisuuskeskuksen menettelyjen mukaisesti.

  • Tietoturva-auditointi on suoritettava vähintään joka kolmas vuosi.
  • Tarkastuksissa on noudatettava kansallisen kyberturvallisuuskeskuksen hyväksymiä menetelmiä.
  • Auditoijalla on oltava kansallisen kyberturvallisuuskeskuksen menettelyjen mukainen sertifiointi, koulutus ja pätevyys.
  • Tarkastajan on täytettävä kansallisen kyberturvallisuuskeskuksen riippumattomuutta, puolueettomuutta ja mainetta koskevat vaatimukset. Auditoijat eivät voi arvioida työnantajansa hallinnoimia verkkoja tai järjestelmiä.

Tekniset tietoturvatoimenpiteet (Liettua)

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tekniset tietoturvatoimenpiteet (Liettua)
1. Tehtävän vaatimuskuvaus

Kansallinen kyberturvallisuuskeskus asentaa ja hallinnoi teknisiä kyberturvallisuustoimenpiteitä kyberuhkien ja -välikohtausten seuraamiseksi ja käsittelemiseksi. important-luokitellut organisaatiot voivat pyytää ja essential-luokiteltujen on mahdollistettava näiden toimenpiteiden toteuttamista ja hallinnointia järjestelmissään. Puolustusministeriö määrittelee menettelyt ja hyväksyy asennussuunnitelman, jossa määritellään toimenpiteet ja käsiteltävät tiedot. Kansallinen kyberturvallisuuskeskus kattaa näiden tietoturvatoimenpiteiden asennus-, ylläpito- ja korjauskustannukset.

Palvelinkeskusten käyttö (Liettua)

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Palvelinkeskusten käyttö (Liettua)
1. Tehtävän vaatimuskuvaus

Valtiollisten ja kunnallisten organisaatioiden tai muiden turvallisten verkkojen luettelossa lueteltujen laitosten on säilytettävä valtion tietovarantoja valtion palvelinkeskuksissa tai Liettuassa, EU:n, ETA:n tai Naton jäsenvaltioissa sijaitsevissa palvelinkeskuksissa. Valtion tietovarantojen tallennuskustannukset rahoitetaan laitoksille myönnetyistä valtionvaroista.

Turvallisen verkon käyttö (Liettua)

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Turvallisen verkon käyttö (Liettua)
1. Tehtävän vaatimuskuvaus

Valtiollisten ja kunnallisten organisaatioiden tai muiden laitosten, jotka käsittelevät valtion tietoja tai täyttävät kriteerit, on käytettävä sähköisessä viestinnässä puolustusministeriön valvomaa turvallista valtion tiedonsiirtoverkkoa ja oltava yhteydessä julkisiin verkkoihin ainoastaan sen kautta, lukuun ottamatta hallituksen määrittelemiä poikkeuksia.

Turvallisen verkon käytön ehdot:

  • Ainoastaan hallituksen hyväksymässä käyttäjäluettelossa olevat organisaatiot saavat käyttää suojattua verkkoa.
  • Laitosten on noudatettava hallituksen vahvistamia suunnitelmia ja aikatauluja liittyessään suojattuun verkkoon tai irrottautuessaan siitä.
  • Sisältää tiedonsiirron, julkisen verkon käytön, kollektiivisen kyberturvallisuuden ja vuorovaikutuksen EU:n ja Naton resurssien kanssa, ja se on maksuton ja valtion rahoittama.
  • Tarjotaan käyttäjäkohtaisilla tasoilla todelliset kustannukset kattavaa maksua vastaan, jonka auditoijat tarkistavat vuosittain.

Kyberturvallisuuden tietojärjestelmän käyttö (Liettua)

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
3
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Kyberturvallisuuden tietojärjestelmän käyttö (Liettua)
1. Tehtävän vaatimuskuvaus

Kansalliset kyberturvallisuusviranomaiset ylläpitävät Kyberturvallisuuden tietojärjestelmää, jonka avulla hallitaan velvollisia organisaatioita, vaaratilanteita ja riskinhallintatoimenpiteitä koskevia tietoja. Kyberturvallisuustietojärjestelmää koskevissa säännöksissä määriteltyihin vaatimuksiin perustuvan organisaation on rekisteröidyttävä tähän järjestelmään, ja sillä on oikeus tulla toimittamiensa tietojen käyttäjäksi.

Keskeisiä vaatimuksia ovat mm:

  • Rekisteröityminen järjestelmän käyttäjäksi ja keskinäisten tiedonjakosopimusten toteuttaminen, myös ajantasaisten tietojen ylläpitäminen.
  • Ilmoittaa kansalliselle kyberturvallisuuskeskukselle keskinäisistä sopimuksista tai irtisanomisista 20 työpäivän kuluessa.
  • Ilmoittamaan kyberuhkatilanteista, läheltä piti -tilanteista ja uhkista kyberturvallisuustietojärjestelmään.
  • Varmistetaan kansallisten kyberturvallisuuslakien noudattaminen ja vältetään operatiiviset riskit.

Kyberturvallisuuden tietojärjestelmän käytön hyödyt organisaatiolle:

  • Pääsy ja käyttö kyberturvallisuustietojärjestelmän tietoihin, jotka liittyvät organisaation hallinnoituun verkkoon ja järjestelmiin
  • Yhteistyö kansallisen kyberturvallisuuskeskuksen ja laitosten kanssa äärimmäisissä kyberuhkatilanteissa
  • Saada reaaliaikaista tietoa vaaratilanteiden hallinnan ja varautumisen parantamiseksi.
  • Vahvistaa organisaation riskienhallintaa järjestelmän tarjoamien työkalujen, palvelujen ja tietojen avulla.

Turvallisuuspäälliköitä koskevien tietojen toimittaminen toimivaltaiselle viranomaiselle

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
3
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Turvallisuuspäälliköitä koskevien tietojen toimittaminen toimivaltaiselle viranomaiselle
1. Tehtävän vaatimuskuvaus

Organisaation on ilmoitettava toimivaltaiselle viranomaiselle välittömästi, mutta viimeistään viiden työpäivän kuluessa, tietoturvapäällikön nimittämisestä. Ilmoituksessa on mainittava tietoturvapäällikön nimi, sukunimi, henkilötunnus, asema, sähköpostiosoite ja puhelinnumero. Organisaation on ilmoitettava kaikista muutoksista toimivaltaiselle viranomaiselle välittömästi, mutta viimeistään viiden työpäivän kuluessa.

Tietoturvapäällikön nimittäminen, tehtävät ja asema

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvapäällikön nimittäminen, tehtävät ja asema
1. Tehtävän vaatimuskuvaus

Organisaation tietoturvanhallinnasta vastaa organisaation johto ja se varmistetaan. Kunkin yksikön johtaja määrittää vastuuhenkilön, joka toteuttaa ja valvoo kyberturvallisuustoimenpiteiden toteuttamista kyseisessä yksikössä. Valtioneuvosto määrittelee tietoturvapäällikölle asetettavat vaatimukset.

Tietoturvapäällikkö huolehtii seuraavista tehtävistä:

  • Järjestää toimielimen tieto- ja viestintätekniikan infrastruktuurin turvatoimet.
  • Suorittaa vähintään kerran vuodessa tieto- ja viestintätekniikan turvallisuustarkastus ja järjestää sen tulosten perusteella havaittujen puutteiden poistaminen.
  • Osallistuu vähintään kerran vuodessa verkkoturvallisuuskoulutukseen, jonka järjestää verkkovahinkojen torjuntalaitos.
  • Vähintään kerran vuodessa varmistaa, että laitoksen työntekijät saavat tiedotuksen aiheen ajankohtaisista kyberriskeistä ja kyberturvallisuudesta.

Vaatimustenmukaisuuden arviointi (Belgia)

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Vaatimustenmukaisuuden arviointi (Belgia)
1. Tehtävän vaatimuskuvaus

Organisaation vaatimustenmukaisuus varmistetaan läpäisemällä pakollinen säännöllinen vaatimustenmukaisuuden arviointi. Arvioinnin suorittamiseksi organisaatio voi valita kolmesta vaihtoehdosta:

  • CyberFundamentals (CyFun®) -sertifiointi (taso essential) tai todentaminen (taso important tai basic) asiaankuuluvalla laajuudella, jonka myöntää CCB:n hyväksymä vaatimustenmukaisuuden arviointilaitos (CAB) BELACin akkreditoinnin jälkeen.
  • ISO/IEC 27001 -sertifikaatti, jolla on asianmukainen soveltamisala ja jonka on myöntänyt akkreditointielin, joka on allekirjoittanut ISO 27001 -standardia koskevan vastavuoroista tunnustamista koskevan sopimuksen (MLA) eurooppalaisen akkreditointiyhteistyön (EA) tai kansainvälisen akkreditointifoorumin (IAF) puitteissa.
  • CCB:n tarkastusyksikön (tai alakohtaisen tarkastusyksikön) tekemä tarkastus.

Vaatimustenmukaisuuden arviointilausunto, jonka organisaatio saa valitsemiensa puitteiden vaatimustenmukaisuuden arvioinnin jälkeen, antaa sille mahdollisuuden hyötyä vaatimustenmukaisuusolettamasta. Kunnes toisin todistetaan, sen oletetaan noudattaneen velvoitteitaan.

Organisaation ulkoisten riippuvuuksien dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Organisaation ulkoisten riippuvuuksien dokumentointi
1. Tehtävän vaatimuskuvaus

Riippuvuudet ulkoisista palveluista saattavat vaikuttaa organisaation riskienhallintaan ja kriittisiin valmiuksiin. Organisaation on tunnistettava ja ylläpidettävä luetteloa organisaation ulkoisista riippuvuuksista, mukaan lukien toimitilat, pilvipalvelujen tarjoajat ja mahdolliset kolmannen osapuolen palvelut.

Dokumentaation tulisi myös sisältää:

  • Riippuvuuksien ja organisaation keskeisten omaisuuserien ja liiketoimintojen väliset suhteet
  • Riippuvuudet, jotka muodostavat mahdollisia vikapisteitä kriittisille palveluille.

Varmistetaan, että asiaankuuluvalle henkilöstölle tiedotetaan näistä riippuvuuksista ja niihin liittyvistä riskeistä.

Riskienhallintavaihtoehtojen strateginen suunta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Riskienhallintavaihtoehtojen strateginen suunta
1. Tehtävän vaatimuskuvaus

Organisaatio määrittelee strategiset lähestymistavat riskeihin vastaamiseksi riskityyppien sekä organisaation riskinsietokyvyn ja -alttiuden perusteella. Näihin strategioihin voi kuulua esimerkiksi

  • Määritellään kriteerit kyberturvallisuusriskien hyväksymiselle tai välttämiselle eri tietoluokitusten osalta.
  • Määritetään kyberturvavakuutuksen tarve organisaation riskinsietokyvyn ja altistumisen perusteella.
  • Dokumentoidaan ehdot, joiden mukaisesti jaetun vastuun mallit (esim. kyberturvallisuuden ulkoistaminen, kolmannen osapuolen liiketoimet tai julkiset pilvipalvelut) ovat organisaation kannalta hyväksyttäviä.

Organisaation strategian ja prioriteettien tunnistaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
1.1.1: Identify the organisation’s strategy and priorities
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Organisaation strategian ja prioriteettien tunnistaminen
1. Tehtävän vaatimuskuvaus

Tunnista ja dokumentoi organisaation strategia ja prioriteetit, joilla voi olla vaikutusta tietojärjestelmien turvallisuuteen.

On tärkeää huomata, että tämä dokumentaatio olisi tarkistettava aina, kun organisaation strategia ja prioriteetit muuttuvat.

Kriisinhallintastrategian toteuttaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
5
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
RC.CO-2: Reputation is repaired after an incident.
CyberFundamentals
4.3.2: Determine whether the incident is under control and take the necessary reactive measures
NSM ICT-SP
4.3.5: Co-ordinate and communicate with internal and external stakeholders while managing the incident
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Kriisinhallintastrategian toteuttaminen
1. Tehtävän vaatimuskuvaus

Organisaatio kehittää ja toteuttaa kriisitoimintastrategian, jolla suojellaan organisaatiota kriisin kielteisiltä seurauksilta ja maineen vahingoittumiselta. Strategian olisi sisällettävä ennalta määriteltyjä toimia, joilla hallitaan julkista kuvaa ja narratiivia sekä lievennetään kriisin vaikutusta organisaatioon.

Arkojen työalojen ja työpaikkojen tunnistaminen ja luettelointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
2.1.1: Competence of employees
TISAX
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Arkojen työalojen ja työpaikkojen tunnistaminen ja luettelointi
1. Tehtävän vaatimuskuvaus

Organisaation on määriteltävä, mitä työaloja ja tiettyjä työtehtäviä pidetään arkaluonteisina (esim. käsiteltyjen tietojen ja työntekijän käyttöoikeuksien perusteella).

&Arkaluonteiset työalat riippuvat organisaation toiminnan luonteesta, mutta niihin voi kuulua esimerkiksi tietoturva, tietotekniikka ja järjestelmähallinto, taloushallinto, henkilöstöhallinto, lakiasiainhallinto, tutkimus ja kehitys, asiakastuki, analytiikka, johto ja monet muut.

Tietoturvarakenteen kuvaus

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
1.2.2: Information Security Responsibilities
TISAX
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvarakenteen kuvaus
1. Tehtävän vaatimuskuvaus

Organisaation on määriteltävä ja dokumentoitava organisaation tietoturvarakenne. Tässä tulee huomioida muut asiaankuuluvat tietoturvaroolit

Digitaalisen häiriösietokyvyn tehokkuuden seuranta ja analysointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Article 13: Learning and evolving
DORA
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Digitaalisen häiriösietokyvyn tehokkuuden seuranta ja analysointi
1. Tehtävän vaatimuskuvaus

Organisaation tulee seurata digitaalisen häiriönsietokykystrategiansa tehokkuutta. Tämän pitäisi sisältää ainakin:

  • ICT-riskien arvioinnin kartoitus ajan mittaan
  • Analysoi tapahtumien tiheys, tyyppi, laajuus ja kehitys
  • Erityistä huomiota tulisi kiinnittää kyberhyökkäysten malleihin

Tämän pitäisi lisätä tietoisuutta kyberhyökkäykseen liittyville riskeille altistumisesta erityisesti tärkeiden ja kriittisten toimintojen ja kyberhyökkäyksiä vastaan varautumiseen liittyen.

Digitaalisen häiriönsietokyvyn testauksesta oppiminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
3
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Article 13: Learning and evolving
DORA
RC.IM-1: Recovery plans incorporate lessons learned.
CyberFundamentals
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Digitaalisen häiriönsietokyvyn testauksesta oppiminen
1. Tehtävän vaatimuskuvaus

Organisaatiolla tulee olla prosessi, jonka avulla voidaan analysoida ja oppia digitaalisen häriönsietokyvyn testauksen tuloksista, todellisista kyberturvallisuushäiriöistä ja jatkuvuussuunnitelmien aktivointikokemuksista. Asiaankuuluvia tietoja ja kokemuksia tulisi vaihtaa kumppanien kanssa.

Opitut opetukset tulisi sisällyttää kyberriskien hallintaprosessiin.

Organisaation ylimmällä johdolla tulisi olla vuosittain raportti vanhempien ICT-henkilöstön opetuksista sekä parannussuositukset.

Riittävät organisaation turvallisuusperiaatteet turvallisuusluokiteltujen tietojen kannalta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
T-01: JOHDON TUKI, OHJAUS JA VASTUU – TURVALLISUUSPERIAATTEET
Katakri 2020
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Riittävät organisaation turvallisuusperiaatteet turvallisuusluokiteltujen tietojen kannalta
1. Tehtävän vaatimuskuvaus

Organisaation johto vastaa, että:

  • organisaatiolla on ylimmän johdon hyväksymät turvallisuusperiaatteet, jotka kuvaavat organisaation tietoturvallisuustoimenpiteiden kytkeytymistä organisaation toimintaan
  • turvallisuusperiaatteet ovat turvallisuusluokiteltujen tietojen suojaamisen kannalta kattavat ja tarkoituksenmukaiset
  • turvallisuusperiaatteet ohjaavat tietoturvallisuustoimenpiteitä
  • organisaatiossa on järjestetty riittävä valvonta turvallisuusluokiteltujen tietojen tiedonhallintaan liittyvien velvoitteiden ja ohjeiden noudattamisesta.

Strategia kyberturvallisuusarkkitehtuurille

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
7
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
ARCHITECTURE-1: Establish and Maintain Cybersecurity Architecture Strategy and Program
C2M2
ARCHITECTURE-2: Implement Network Protections as an Element of the Cybersecurity Architecture
C2M2
ARCHITECTURE-3: Implement IT and OT Asset Security as an Element of the Cybersecurity Architecture
C2M2
ARCHITECTURE-4: Implement Software Security as an Element of the Cybersecurity Architecture
C2M2
ARCHITECTURE-5: Implement Data Security as an Element of the Cybersecurity Architecture
C2M2
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Strategia kyberturvallisuusarkkitehtuurille
1. Tehtävän vaatimuskuvaus

Organisaatiolla on oltava strategia kyberturvallisuusarkkitehtuurin kehittämiselle ja ylläpidolle.

Strategian on sovittava yhteen organisaation kyberturvallisuusohjelman ja organisaation arkkitehtuurin kanssa.

Arkkitehtuuriin on sisällytettävä:

  • Tietoverkkojen turvallisuustoimet
  • Tieto-omaisuuden suojaaminen
  • Sovellusturvallisuus
  • Tietosuojan toteuttaminen

Strategia kyberturvallisuusohjelmalle

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
PROGRAM-1: Establish Cybersecurity Program Strategy
C2M2
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Strategia kyberturvallisuusohjelmalle
1. Tehtävän vaatimuskuvaus

Organisaation on luotava ja ylläpidettävä strategiaa kyberturvallisuusohjelmalle. Kyberturvallisuusohjelma määrittelee tavoitteet organisaation kyberturvallisuustoimenpiteille.

Kyberturvallisuusohjelman perustaminen ja ylläpito

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
PROGRAM-2: Establish and Maintain Cybersecurity Program
C2M2
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Kyberturvallisuusohjelman perustaminen ja ylläpito
1. Tehtävän vaatimuskuvaus

Organisaation on perustettava ja ylläpidettävä kyberturvallisuusohjelmaa. Ohjelmalla tulee olla korkeimman johdon tuki.

Ohjelma tulee perustaa:

  • Kyberturvallisuusohjelmastrategian mukaisesti
  • Korkeimman johdon tuki on aktiivista ja tukee ohjelman kehitystä ja ylläpitoa
  • Ohjelma on vastuutettu roolille, jolla on riittävä toimivalta sen täyteenpanoon

Oman organisaation yksikköjen määrittely

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
CC1.3: Established responsibilities
SOC 2
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Oman organisaation yksikköjen määrittely
1. Tehtävän vaatimuskuvaus

Organisaation on määriteltävä toimintansa sekä etenkin tietoturvallisuuden toteuttamisen kannalta relevantit yksiköt.

Yksiköille määritellyille omistajille voidaan jalkauttaa vastuita eri tehtävien yksikkökohtaisesta toteuttamisesta.

Ulkoisten tavoitteiden huomiointi tietoturvatavoitteita säädettäessä

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
CC3.1: Sufficient specifying of objectives
SOC 2
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Ulkoisten tavoitteiden huomiointi tietoturvatavoitteita säädettäessä
1. Tehtävän vaatimuskuvaus

Organisaation tietoturvatavoitteita asettaessa täytyy ottaa huomioon ulkoiset tavoitteet. Tämä tarkoittaa esimerkiksi:

  • Ulkoisesti asetettujen vaatimuskehikkojen, kuten lait ja asetukset tai muiden ulkoisten sidosryhmien asettamat vaatimukset
  • Raportoinnissa otetaan huomioon raporttien yksityiskohtaisuuden riittävä määrä ulkoisten vaatimusten täyttämisen osoittamiseksi

Tietoturvatavoitteiden saavuttamiseen tarvittavan teknologian tunnistaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
CC5.2: Control activities for achievement of objectives
SOC 2
3.3.1: Create a plan for analysing data from security monitoring
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvatavoitteiden saavuttamiseen tarvittavan teknologian tunnistaminen
1. Tehtävän vaatimuskuvaus

Organisaatiossa täytyy:

  • tunnistaa yhteydet teknologian ja liiketoimintojen pyörittämisen välillä
  • Rakentaa tarvittava infrastruktuuri tarvittavan teknologian ylläpitämiseen, jotta niiden saatavuus ja toimintavarmuus voidaan taata

Organisaation tulee määritellä, mitä teknologiaa tarvitaan, jotta tietoturvatavoitteet saavutetaan? Ja, mitä teknologiaa täytyy hankkia / kehittää, jotta tietoturvatavoitteet saavutetaan?

Organisaation hallituksen toteuttama valvonta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
CC1.2: Board of directors oversight
SOC 2
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Organisaation hallituksen toteuttama valvonta
1. Tehtävän vaatimuskuvaus

Johdosta erillinen hallitus toteuttaa valvontaa sisäisten tietoturvatoimien kehitykselle ja toteuttamiselle.

Hallituksen tehtäviin kuuluu erityisesti:

  • Vastuuttaa toiminnan tarkemman toteutuksen ja valvonnan
  • Hyödyntää tietoturva-alan asiantuntijoita ja arvioi tarvetta asiantuntijuuden lisäämisestä hallitukseen
  • Toimii itsenäisesti ja on objektiivinen arvioissa ja päätöksenteossa
  • Täydentää asiantuntijuuttaan tarvittaessa esimerkiksi konsulteilla

Tiedon kerääminen ja jalostaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
CC2.1: Quality information to support internal controls
SOC 2
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tiedon kerääminen ja jalostaminen
1. Tehtävän vaatimuskuvaus

Organisaation tietojärjestelmät keräävät dataa sisäisistä ja ulkoisista lähteistä ja jalostavat olennaisen datan tiedoksi. Tiedolla tuetaan sisäisen valvonnan komponentteja

Tiedon tulee olla:

  • Ajantasaista
  • Tarkkaa
  • Kokonaista
  • Suojattua
  • Varmistettua

Vanhentuneiden tietoturvadokumenttien arkistointi ja säilyttäminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
A.10.2: Retention period for administrative security policies and guidelines
ISO 27018
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Vanhentuneiden tietoturvadokumenttien arkistointi ja säilyttäminen
1. Tehtävän vaatimuskuvaus

Organisaatio on määritellyt, mikä on tärkeää turvallisuuteen liittyvää dokumentaatiota ja ohjeistusta (esim. raporttiasiakirjat tai kaikki tehtävien/ohjeiden sisältö), jotka tulee turvallisesti arkistoida sen jälkeen, kun ne on vaihdettu tai muuten vanhentuneet.

Nämä tiedot tulee säilyttää mahdollisia vanhojen käytäntöjen tai ohjeiden tarkistamista varten, jotka voivat olla tärkeitä esim. asiakasriidan tai tietosuojaviranomaisen suorittaman tutkimuksen yhteydessä.

Jos erityisessä laissa tai sopimuksessa ei määrätä säilytysaikaa, tietoja tulee säilyttää vähintään viisi vuotta.

Organisaation tavoitteista johdetut tietoturvaroolit, -vastuut ja -tavoitteet

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
5
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
ID.BE-3: Organizational mission, objectives, and activities
NIST
69: Digiturvan huomiointi osana kokonaisuutta
Digiturvan kokonaiskuvapalvelu
ID.BE-3: Priorities for organizational mission, objectives, and activities are established and communicated.
CyberFundamentals
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Organisaation tavoitteista johdetut tietoturvaroolit, -vastuut ja -tavoitteet
1. Tehtävän vaatimuskuvaus

Organisaatio on asettanut prioriteetit sen toiminnalle ja tavoitteille. Näiden prioriteettien pohjalta täytyy pystyä määrittämään tietoturvaroolit, -vastuut ja -tavoitteet.

Muiden tietoturvavaatimusten seuranta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
HAL-05: Vaatimukset
Julkri
HAL-05.1: Vaatimukset - seuranta
Julkri
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Muiden tietoturvavaatimusten seuranta
1. Tehtävän vaatimuskuvaus

Organisaation tietoturvallisuusvaatimukset muodostuvat esimerkiksi lainsäädännössä ja sopimuksissa määritellyistä vähimmäisvaatimuksista sekä muista tunnistetuista tai itse tavoitelluiksi valituista vaatimuksista.

Organisaation on seurattava tietoturvallisuusvaatimusten muutoksia ja tehtävä tarvittavat toimenpiteet niihin reagoimiseksi.

Tietoturvallisuuteen liittyvän dokumentaation ajantasaisuus

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
HAL-09.1: Dokumentointi - ajantasaisuus
Julkri
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvallisuuteen liittyvän dokumentaation ajantasaisuus
1. Tehtävän vaatimuskuvaus

Tietoturvallisuuteen liittyvä dokumentaatio on ajantasaista.

  • Organisaatiolla on prosessi, jonka avulla seurataan dokumentaation kattavuutta ja ajantasaisuutta
  • Dokumentaation puutteisiin reagoidaan

Luettelo turvaluokiteltuja asiakirjoja käsittelevistä henkilöistä valtionhallinnossa

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
HAL-14.1: Käyttö- ja käsittelyoikeudet - ajantasainen luettelo - TL III
Julkri
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Luettelo turvaluokiteltuja asiakirjoja käsittelevistä henkilöistä valtionhallinnossa
1. Tehtävän vaatimuskuvaus

Valtionhallinnon viranomaisen on pidettävä luetteloa henkilöistä, joilla on oikeus käsitellä turvallisuusluokan I, II tai III asiakirjoja. Luettelossa on mainittava henkilön tehtävä, johon turvallisuusluokitellun tiedon käsittelytarve perustuu.

Varautumista ohjaavan lainsäädännön tunnistaminen ja dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
VAR-01: Varautumista ohjaava lainsäädäntö
Julkri
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Varautumista ohjaavan lainsäädännön tunnistaminen ja dokumentointi
1. Tehtävän vaatimuskuvaus

Organisaatio on tunnistanut toimintaansa ja palveluihinsa liittyvät ICT-varautumista ohjaavan kansallisen ja EU-lainsäädännön sekä muut ICT-varautumiseen liittyvät normit.

Lainsäädäntö ja normit määrittävät minimitason ICT-varautumisen toteuttamiselle. Tämän lisäksi organisaation on huomioitava oman toimintansa erityispiirteistä nousevat tarpeet. Toimintojen sisäisten ja ulkoisten riippuvuussuhteiden ymmärtäminen on perusedellytys varautumisen kustannustehokkaalle johtamiselle.

Sisäinen tiedotus organisaation riskitilanteesta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
6
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
16: Organisaationlaajuinen viestintä riskitilanteesta
Digiturvan kokonaiskuvapalvelu
DE.DP-4: Event detection information is communicated.
CyberFundamentals
RC.CO-2: Reputation is repaired after an incident.
CyberFundamentals
4.1.5: Determine which communication channels to use in the event of an incident
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Sisäinen tiedotus organisaation riskitilanteesta
1. Tehtävän vaatimuskuvaus

Organisaatiolla on toimintamalli säännölliseen tiedottamiseen koko organisaation laajuisesti digiturvallisuuden riskitilanteesta sekä uusista omaan organisaatioon vaikuttavista merkittävistä riskeistä.

Tiedotus voidaan toteuttaa esimerkiksi digiturvan ydintiimin sekä viestinnän ammattilaisten yhteistyönä.

Digitaalisen turvallisuuden resursoinnin riittävyys

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
5
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
70: Riittävät resurssit digiturvan kehittämiseen
Digiturvan kokonaiskuvapalvelu
1.2.2: Information Security Responsibilities
TISAX
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Digitaalisen turvallisuuden resursoinnin riittävyys
1. Tehtävän vaatimuskuvaus

Organisaation on dedikoinut riittävät resurssit ja osaamisen digiturvallisuuden kehittämiseen osana organisaation strategian toteuttamista.

Digitaaliselle turvallisuudelle on lisäksi nimetty vastuuhenkilö ja tämä teema saa vastuuhenkilön työnkuvassa ja ajankäytössä tarpeeksi suuren huomion.

Varautuminen organisaatioon kohdistuvaan informaatiovaikuttamiseen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
76: Varautuminen informaatiovaikuttamiseen
Digiturvan kokonaiskuvapalvelu
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Varautuminen organisaatioon kohdistuvaan informaatiovaikuttamiseen
1. Tehtävän vaatimuskuvaus

Organisaatio on muodostanut suunnitelman siihen kohdistuvan mustamaalaus- tai vaikuttamiskampanjan varalle.

Digiturvabudjetin määrittäminen ja riittävyys

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
5
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
5: Riittävä digiturvallisuuden budjetti
Digiturvan kokonaiskuvapalvelu
20.1: Top management commitment
NIS2
Article 5: Governance and organisation
DORA
10 §: Johdon vastuu
Kyberturvallisuuslaki
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Digiturvabudjetin määrittäminen ja riittävyys
1. Tehtävän vaatimuskuvaus

Organisaatio on selkeästi määrittänyt digitaalisen turvallisuuden ylläpitoon sekä kehittämiseen dedikoidun budjetin. Budjetti on riittävä digiturvalle asetettujen tavoitteiden saavuttamiseen.

Digiturvan budjetoinnissa on huomioitava etenkin kolme keskeistä osa-aluetta - henkilöstökulut, teknologiaratkaisut sekä toimintamenot.

Tarvittavien teemakohtaisten politiikkadokumenttien luominen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
8
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
5.1.1: Tietoturvapolitiikat
ISO 27001
5.1: Policies for information security
ISO 27001
7.5: Requirements for documented information
ISO 27001
CC5.3: Establishment of policies
SOC 2
6.1: Yleiset tietoturvakäytännöt
Tietoturvasuunnitelma
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tarvittavien teemakohtaisten politiikkadokumenttien luominen
1. Tehtävän vaatimuskuvaus

Teemakohtaiset politiikkadokumentit voivat auttaa eri osa-alueisiin liittyvien tehtävien, ohjeistusten sekä muun dokumentaation viestintää ja katselmointia sekä mahdollisten ylätason periaatteiden liittämistä näihin tarkempaa toteutusta kuvaaviin hallintajärjestelmän sisältöihin.

Organisaation on määriteltävä, mitä teemakohtaisia politiikkadokumentteja ylläpidetään sekä tarvittaessa katselmoidaan kokonaisuuksina halutuin väliajoin. Esimerkkejä teemoista, joille omaa politiikkadokumenttia voidaan haluta ylläpidää, ovat mm.:

  • pääsynhallinta
  • fyysinen turvallisuus
  • suojattavan omaisuuden hallinta
  • varmuuskopiointi
  • salauskäytännöt
  • tietojen luokittelu
  • teknisten haavoittuvuuksien hallinta
  • turvallinen kehittäminen

Kasautumisvaikutuksen huomiointi suojattavien kohteiden luokittelussa

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
HAL-04.3: Suojattavat kohteet - kasautumisvaikutus
Julkri
2.4: Luokittelu ja turvallisuusluokittelu
TiHL tietoturvavaatimukset
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Kasautumisvaikutuksen huomiointi suojattavien kohteiden luokittelussa
1. Tehtävän vaatimuskuvaus

Tietojärjestelmän tai muun useita tietoaineistoja sisältävän kohteen luokitus määräytyy ensi sijassa korkeimman luokituksen aineiston mukaan. Tietojärjestelmien luokitusta arvioitaessa tulee huomioida myös kasautumisvaikutus riskilähtöisesti.

Suuresta määrästä tietyn luottamuksellisuuden tason tietoa koostuvissa tietojärjestelmissä asiakokonaisuus voi nousta luokitukseltaan yksittäistä tietoa korkeammalle tasolle. Määrä ei ole kuitenkaan ainoa tekijä, vaan joskus esimerkiksi kahden eri tietolähteen yhdistäminen voi johtaa tietovarannon luokituksen nousemiseen.

Tyypillisesti kasautumisessa on kysymys IV-luokan tiedosta (esimerkiksi suuri määrä turvallisuusluokan IV tietoa voi muodostaa yhdistettynä turvallisuusluokan III tietovarannon), mutta kasautumisvaikutus tulee huomioida myös turvallisuusluokittelemattoman salassa pidettävän tiedon suojaamisessa.



Identifying and documenting dependencies between information assets

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
4
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
HAL-04.5: Suojattavat kohteet - riippuvuudet
Julkri
Article 8: Identification
DORA
1.1.5: Identify the organisation’s deliverables, information systems and supporting ICT functions
NSM ICT-SP
4.1.2: Perform a business impact analysis
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Identifying and documenting dependencies between information assets
1. Tehtävän vaatimuskuvaus

The organisation has identified and documented the dependencies between information assets.

In Cyberday, dependencies between elements are usually automatic, but the approach can be refined according to the organisation's own choices.

Tietoturvallisuuteen liittyvien vastuiden eriyttäminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
9
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
6.1.2: Tehtävien eriyttäminen
ISO 27001
ID.RA-3: Threat identification
NIST
PR.AC-4: Access permissions and authorizations
NIST
PR.DS-5: Data leak protection
NIST
HAL-02.1: Tehtävät ja vastuut - tehtävien eriyttäminen
Julkri
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvallisuuteen liittyvien vastuiden eriyttäminen
1. Tehtävän vaatimuskuvaus

Organisaatiolla tulee olla prosesseja sen varmistamiseksi, että ristiriitaiset vastuut erotetaan toisistaan, jotta vähennetään mahdollisuuksia käyttää organisaation omaisuutta väärin.

On syytä olla varovainen esim. siitä, että yksittäinen henkilö voi käsitellä tietoja huomaamatta. Usein myös tapahtuman aloittamisen erottaminen sen hyväksymisestä on hyvä käytäntö.

Kun tehtävien suoraa eriyttämistä on vaikea saavuttaa, voidaan käyttää seuraavia periaatteita:

  • Tietoturvavastuiden korkeatasoinen erottelu
  • Erottelun tukeminen hyvällä seurannalla, kirjausketjuilla ja johdon valvonnalla

Tietoturvaroolien ja -vastuiden määrittäminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
33
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
24. Rekisterinpitäjän vastuu
GDPR
6.1.1: Tietoturvaroolit ja -vastuut
ISO 27001
T02: Turvallisuustyön tehtävien ja vastuiden määrittäminen
Katakri
ID.AM-6: Cybersecurity roles and responsibilities
NIST
ID.GV-2: Cybersecurity role coordination
NIST
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvaroolien ja -vastuiden määrittäminen
1. Tehtävän vaatimuskuvaus

Ylimmän johdon on varmistettava selkeät vastuualueet/valtuudet ainakin seuraavissa asioissa:

  • kuka on ensisijaisesti vastuussa siitä, että tietoturvallisuuden hallintajärjestelmä on tietoturvavaatimusten mukainen.
  • ketkä toimivat ISMS:n teemojen omistajina, jotka vastaavat tietoturvallisuuden hallintajärjestelmän pääteemoista.
  • kenellä on vastuu ja valtuudet raportoida ylimmälle johdolle tietoturvallisuuden hallintajärjestelmän toimivuudesta.
  • kenellä on valtuudet suorittaa sisäisiä tarkastuksia

ISMS-teemojen omistajat esitellään johtamisjärjestelmän työpöydällä ja tietoturvapoliitiikan raportissa.

Lisäksi ylimmän johdon on varmistettava, että kaikki tietoturvan kannalta merkitykselliset roolit sekä niihin liittyvät vastuut ja valtuudet määritellään ja niistä tiedotetaan. On myös tärkeää tunnistaa ulkoisten kumppaneiden ja palveluntarjoajien roolit ja vastuut.

Tietoturvan avainhenkilöstön määrä, pätevyys ja riittävyys

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
23
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
32. Käsittelyn turvallisuus
GDPR
37. Tietosuojavastaavan nimittäminen
GDPR
6.1.1: Tietoturvaroolit ja -vastuut
ISO 27001
T03: Turvallisuustyön resurssit
Katakri
ID.GV-2: Cybersecurity role coordination
NIST
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvan avainhenkilöstön määrä, pätevyys ja riittävyys
1. Tehtävän vaatimuskuvaus

Organisaatiossa on tarpeeksi koulutettua, valvottua ja tarvittaessa asianmukaisesti turvallisuusselvitettyä henkilöstöä, jotka toimivat tietoturvan avainrooleissa suorittaen tietoturvallisuuden hallintajärjestelmään liittyviä hallintatehtäviä.

Organisaatio on määritellyt:

  • millainen pätevyys tällä henkilöstöllä tulee olla
  • kuinka pätevyys hankitaan ja varmistetaan (esim. soveltuvan koulutuksen ja koulutuksen seurannan avulla)
  • kuinka pätevyys voidaan osoittaa dokumentaation avulla

Tehtävän omistaja katselmoi turvallisuushenkilöstön määrää ja osaamistasoa säännöllisesti.

Johdon sitoutuminen tietoturvan hallintaan ja hallintajärjestelmään

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
27
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
24. Rekisterinpitäjän vastuu
GDPR
5.1.1: Tietoturvapolitiikat
ISO 27001
7.2.1: Johdon vastuut
ISO 27001
7.2.2: Tietoturvatietoisuus, -opastus ja -koulutus
ISO 27001
ID.GV-1: Cybersecurity policy
NIST
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Johdon sitoutuminen tietoturvan hallintaan ja hallintajärjestelmään
1. Tehtävän vaatimuskuvaus

Organisaation johdon on osoitettava sitoutumista tietoturvatyötä ja tietoturvallisuuden hallintajärjestelmää kohtaan. Johto sitoutuu:

  • määrittämään työn perusteena toimivat vaatimukset (esim. asiakasvaatimukset, lait ja asetukset tai standardit)
  • määrittämään tietoturvan hallintaan tarvittavat resurssit
  • viestimäään tietoturvallisuuden tärkeydestä
  • varmistamaan, että työllä saavutetaan halutut tulokset
  • edistämään tietoturvan jatkuvaa parantamista

Johto päättää lisäksi tietoturvan hallintajärjestelmän soveltamisalan ja kirjaa päätöksen ylös hallintajärjestelmän kuvaukseen. Tämä tarkoittaa, rajataanko esimerkiksi joitain osia organisaation toiminnasta tai hallinnoimasta tiedosta pois hallintajärjestelmän piiristä, vai koskeeko se organisaation kaikkea tietoa / toimintaa.

Häiriöiden hallinnan resursointi ja seuranta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
12
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
24. Rekisterinpitäjän vastuu
GDPR
7.2.1: Johdon vastuut
ISO 27001
16.1.1: Vastuut ja menettelyt
ISO 27001
5.24: Information security incident management planning and preparation
ISO 27001
Article 17: ICT-related incident management process
DORA
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Häiriöiden hallinnan resursointi ja seuranta
1. Tehtävän vaatimuskuvaus

Johdon on määriteltävä hallintavastuut ja luotava menettelyt, joilla taataan tehokas ja johdonmukainen reagointi tietoturvahäiriöihin.

Johdon on varmistettava mm.:

  • häiriöiden hallinta on vastuutettu
  • häiriöiden vastaamiseen, käsittelyyn ja raportointiin on dokumentoitu prosessi

Prosessin on varmistettava mm.:

  • henkilöstöllä on selkeä yhteydenottopiste / -työkalu sekä ohjeistus häiriöiden raportoimiselle
  • pätevä henkilöstö käsittelee raportoidut tietoturvahäiriöt tarpeeksi kattavasti

Henkilöstön yleinen tietoturvapätevyys ja -tietoisuus

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
23
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
29. Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa
GDPR
32. Käsittelyn turvallisuus
GDPR
7.2.1: Johdon vastuut
ISO 27001
7.2.2: Tietoturvatietoisuus, -opastus ja -koulutus
ISO 27001
PR.AT-1: Awareness
NIST
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Henkilöstön yleinen tietoturvapätevyys ja -tietoisuus
1. Tehtävän vaatimuskuvaus

Koko organisaation ohjauksessa toimivan henkilöstön on oltava tietoisia:

  • miten he voivat osaltaan lisätä tietoturvallisuuden hallintajärjestelmän vaikuttavuutta ja millaista hyötyä tietoturvallisuuden tason parantamisesta on
  • seurauksista, joita tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten noudattamatta jättämisellä voi ollaminkä osan henkilöstöstä työ vaikuttaa tietoturvan tasoon

Lisäki johto on määrittänyt tavat, joilla henkilöstö pidetään tietoisina omaan työrooliinsa liittyvistä tietoturvaohjeista.

Tietoturvamittarien määrittely ja dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
14
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
7.2.1: Johdon vastuut
ISO 27001
13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
HAL-07: Seuranta ja valvonta
Julkri
9.1: Monitoring, measurement, analysis and evaluation
ISO 27001
11: Digiturvan mittarien määrittäminen
Digiturvan kokonaiskuvapalvelu
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvamittarien määrittely ja dokumentointi
1. Tehtävän vaatimuskuvaus

Organisaatio arvioi tietoturvan tasoa ja tietoturvallisuuden hallintajärjestelmän tehokkuutta säännöllisesti.

Organisaatio on määrittänyt:

  • seurattavat mittarit, joilla saadaan vertailtavissa olevia tuloksia tietoturvan kehittymisestä
  • vastuuhenkilöt mittareiden seurannalle
  • tavat, aikataulun ja henkilöt mittareiden katselmointiin ja arviointiin
  • tavat mittareiden ja niihin liittyvien arviointien dokumentointiin

Tehokkaita mittareita tulisi pystyä käyttämään heikkouksien tunnistamiseen, resurssien parempaan kohdistamiseen sekä oman onnistumisen / epäonnistumisen arviointiin.

Johdon katselmusten toteuttaminen ja dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
22
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
18.1.1: Sovellettavien lakisääteisten ja sopimuksellisten vaatimusten yksilöimiseen
ISO 27001
ID.GV-3: Legal and regulatory requirements
NIST
9.3: Management review
ISO 27001
12: Digiturvan tilan seuraaminen
Digiturvan kokonaiskuvapalvelu
13: Digiturvan kokonaistilanteen raportointi
Digiturvan kokonaiskuvapalvelu
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Johdon katselmusten toteuttaminen ja dokumentointi
1. Tehtävän vaatimuskuvaus

Ylimmän johdon on katselmoitava organisaation tietoturvallisuuden hallintajärjestelmä suunnitelluin aikavälein varmistaakseen, että se on edelleen soveltuva, asianmukainen ja vaikuttava.

Johdon katselmuksessa on käsiteltävä ja kommentoitava vähintään seuraavien asioiden tilaa:

  • aiempien johdon katselmusten vuoksi käynnistettyjen parannusten (tai muiden toimenpiteiden) tilanne
  • tietoturvallisuuden hallintajärjestelmän kannalta olennaisten tulevat muutokset
  • tietoturvan hallintajärjestelmän suorituskyky (häiriöt, mittarointi, auditointien tulokset ja johdon määrittelemien tietoturvatavoitteiden täyttyminen)
  • sidosryhmien antama palaute tietoturvasta
  • riskien arviointi- ja käsittelyprosessin toiminta

Katselmusten suorittamisesta ja tuloksista on ylläpidettävä dokumentoitua tietoa.

Tietoturvan hallintajärjestelmän viestintäsuunnitelma

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
14
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
RC.CO-2: Reputation
NIST
5.1: Leadership and commitment
ISO 27001
7.4: Communication
ISO 27001
20.1: Top management commitment
NIS2
CC2.2: Internal communication of information
SOC 2
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvan hallintajärjestelmän viestintäsuunnitelma
1. Tehtävän vaatimuskuvaus

Organisaation on määritettävä, mistä asioista tietoturvallisuuden hallintajärjestelmään liittyen on säännöllisesti viestittävä. Suunnitelman on sisällettävä vastaukset mm. seuraaviin kohtiin:

  • Mistä asioista viestitään? Nämä voivat olla mm. uusia tai muuttuneita tietoturvatavoitteita.
  • Miten ja milloin viestitään? Mitä kanavia pitkin ja kuinka usein.
  • Kenelle viestitään? Miten useasti tietoturvan avainhenkilöille, miten usein koko organisaatiolle tai kumppaneille.
  • Kuka osallistuu? Kenellä on oikeus viestiä ja keneltä viesteille pitää esimerkiksi saada hyväksyntä.

Tehtävän omistaja huolehtii suunnitelman toteuttamisen ja sen tehokkuuden säännöllisen arvioinnin.

Jatkuva parantaminen ja parannusten dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
13
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
PR.IP-7: Protection processes
NIST
10.2: Continuous improvement
ISO 27001
21.4: Non-conformities and corrective actions
NIS2
CC4.2: Evaluation and communication of internal control deficiencies
SOC 2
1.5.2: External review of ISMS
TISAX
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Jatkuva parantaminen ja parannusten dokumentointi
1. Tehtävän vaatimuskuvaus

Organisaation on pyrittävä jatkuvasti parantamaan tietoturvallisuuden hallintajärjestelmän suorituskykyä. Tapoja parantamiseen pyritään löytämään aktiivisesti - ei ainoastaan auditointien tai selkeiden havaittujen poikkeamien kautta.

Tehtävän omistaja vastaa siitä, että hallintajärjestelmään tehdyt parannukset dokumentoidaan ja jaotellaan toteutettaviksi tehtäviksi, tehtävät toteutetaan suunnitelmien mukaisesti ja niillä aikaansaadut vaikutukset arvioidaan.

Turvallisuusvaatimuksiin liittyvien tietueiden eheyden varmistaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
7.1.1: Compliance management
TISAX
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Turvallisuusvaatimuksiin liittyvien tietueiden eheyden varmistaminen
1. Tehtävän vaatimuskuvaus

Lainsäädännön, määräysten tai sopimuksellisten määräyksien noudattamatta jättäminen voi aiheuttaa riskejä organisaation tietoturvalle.

Jotta vaatimukset täyttyvät, organisaatiossa huolehditaan, että tietueiden eheys on oikeudellisten, sääntely- tai sopimusmääräysten ja liiketoimintavaatimusten mukaista.

Projektien luokittelumenettely

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
1.2.3: Information Security requirements in projects
TISAX
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Projektien luokittelumenettely
1. Tehtävän vaatimuskuvaus

Organisaatiolla olisi oltava menettely, jolla projektit luokitellaan vaaditun tietoturvatason ja muiden hanketta koskevien tietoturvavaatimusten näkökulmasta.

Projektien luokitteluperusteet tulisi dokumentoida.

Petoksien mahdollisuuden huomioiminen riskien arvioinnissa

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
CC3.3: Potential of fraud is considered
SOC 2
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Petoksien mahdollisuuden huomioiminen riskien arvioinnissa
1. Tehtävän vaatimuskuvaus

Organisaation on huomioitava tietoturvaan liittyvien petosten mahdollisuus riskejä arvioitaessa.

Huomioitava on ainakin:

  • Erilaiset petokset ja niiden mahdolliset seuraukset (virheellinen raportointi, tieto-omaisuuden menettäminen ja korruptio)
  • Erilaisten kannustimien ja paineiden vaikutus petoksen tekemiseen
  • Asenteiden ja perusteluiden arviointi, kuinka johtava tai muu työntekijä voisi perustella petoksellista toimintaansa
  • Arviointi petoksen mahdollisuuksista tietojärjestelmien käytössä

Organisaation tieto-omaisuuden prioriteettiluokittelu

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
7
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
ID.AM-5: Resource prioritization
NIST
HAL-04.2: Suojattavat kohteet - luokittelu
Julkri
CC3.2: Identification of risks related to objectives
SOC 2
2.4: Luokittelu ja turvallisuusluokittelu
TiHL tietoturvavaatimukset
ID.AM-5: Resources are prioritized based on their classification, criticality, and business value.
CyberFundamentals
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Organisaation tieto-omaisuuden prioriteettiluokittelu
1. Tehtävän vaatimuskuvaus

Organisaation on luokiteltava sen tieto-omaisuus, kuten tietojärjestelmät, tiedot, yksiköt, avainhenkilöstö ja muu suojattava omaisuus (esim. laitteet) prioriteettien mukaan. Priorisoinnin voi tehdä esimerkiksi käsiteltävän tiedon luottamuksellisuus-, eheys- ja saatavuusvaatimusten perusteella.

Tietoturvasertifioinnit

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
5
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
18.2.2: Turvallisuuspolitiikkojen ja -standardien noudattaminen
ISO 27001
21.2.f: Assessing effectiveness of security measures
NIS2
9.1 §: Toimien vaikuttavuuden arviointi
Kyberturvallisuuslaki
9.2 §: Kyberturvallisuuden toimintaperiaatteet
Kyberturvallisuuslaki
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvasertifioinnit
1. Tehtävän vaatimuskuvaus

Sertifiointimekanismien ideana on osoittaa, että tietojenkäsittelyssä noudatetaan hyvää tietojenkäsittelytapaa ja yleisiä hyviä käytäntöjä. Tietoturvaa koskeva sertifikaatti on mm. ISO27001.

Sisäisten auditointien toteutuksen arviointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Article 5: Governance and organisation
DORA
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Sisäisten auditointien toteutuksen arviointi
1. Tehtävän vaatimuskuvaus

Tehtävän omistaja arvioi säännöllisesti sisäiten auditointien toteutusta etenkin seuraavista näkökulmista:

  • onko auditoijat valittu niin, että auditointiprosessin objektiivisuus ja puolueettomuus toteutuu
  • onko auditoinnit suoritettu niin, että auditointiprosessin objektiivisuus ja puolueettomuus toteutuu

Tehtävän omistaja tekee tarvittaessa muutoksia sisäisten auditointien menettelyyn sekä menettelykuvaukseen.

test

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
test
1. Tehtävän vaatimuskuvaus

Sovellusturvallisuuteen liittyvien tietoturvamittarien dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Sovellusturvallisuuteen liittyvien tietoturvamittarien dokumentointi
1. Tehtävän vaatimuskuvaus

Organisaation on dokumentoitava tietoturvamittarit sovellusturvallisuuteen liittyen. Totoeutuksessa tulee ottaa huomioon organisaation tavoitteet, turvallisuusvaatimukset ja vaatimusten mukaisuus.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu
Tutustu Digiturvamalliin
Aloita ilmainen kokeilu
Digiturvamallin avulla rakennat tietoturvallisen ja halutut vaatimukset täyttävän organisaation. Halusitko kehittää tietoturvan hallintaa yleisesti, raportoida omasta NIS2-valmiudesta tai hankkia ISO 27001 -sertifioinnin, Digiturvamalli yksinkertaistaa koko prosessia.
AI-pohjaiset parannussuositukset ja käyttäjäystävällinen työkalu varmistavat, että organisaationne voi olla luottavainen vaatimusten täyttymisestä ja keskittyä oman tietoturvan jatkuvaan parantamiseen.
Selkeä suunnitelma vaatimusten täyttämiseen
Aktivoi teille tärkeät vaatimuskehikot ja jalkauta niiden vaatimukset täyttäviä selkeitä toimenpiteitä.
Uskottavat raportit todisteiksi hyvästä tietoturvasta
Etene tehtävien avulla varmistaaksesi turvallisen toiminnan. Luo ammattimaisia ​​raportteja muutamalla napsautuksella.
AI-avusteiset parannussuositukset
Keskity vaikuttavimpiin parannuksiin Digiturvamallin suositusten avulla.