Organisaation on luotava ja ylläpidettävä tietoturvasuunnitelmaa.
Asiakastietolain 27 §:n mukaisesti palvelunantajan on laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä tietoturvasuunnitelma.
Tämän määräyksen(MÄÄRÄYS 3/2021) mukaista tietoturvasuunnitelmaa ei tule sisällyttää tai yhdistää julkaistaviin tai julkisesti saatavilla oleviin omavalvontasuunnitelmiin. Tietoturvasuunnitelmaa ja siinä viitattuja liitedokumentteja tulee käsitellä ja säilyttää ottaen huomioon tarvittava suojaaminen sivullisilta ja tarvittaessa niihin tulee merkitä salassa pidettävä -tieto
Vaadittujen lakien, asetusten, standardien sekä sopimusvelvoitteiden noudattaminen voi olla yhtä suuri haaste, kuin jatkuvasti muuttuvan uhkaympäristön ja uusien kyberhyökkäysten muotojen käsittely.
Organisaation on dokumentoitava tietoturvallisuuteen liittyvät vaatimukset sekä organisaation toimintamalli niiden täyttämistä varten.
On tärkeää huomata, että iso osa vaatimuksista (esim. lait, standardit) ovat kehittyviä kokonaisuuksia. On suositeltavaa määritellä dokumentaatiolle tarkistusväli kuvaamaan sitä, millä frekvenssillä muutoksia vaatimuksissa on vähintään tarkasteltava.
Soveltuvuuslausunto (engl. Statement of Applicability tai SoA) on keskeinen dokumentti joka määrittelee, kuinka organisaatio toteuttaa ison osan omasta tietoturvastaan.
Sovelutuvuuslausunto kuvaa, mitkä ISO 27001 -standardin suosittelemista hallintakeinosta organisaatiossa toteutetaan, kuinka ne toteutetaan ja mikä on hallintakeinojen tämänhetkinen tila. Lisäksi kuvataan mahdolliset perustelut tiettyjen hallintakeinojen käyttämättä jättämiselle.
Organisaatio toteuttaa sisäisiä auditointeja oman menettelykuvauksensa mukaisesti. Tavoitteena on tarkistaa:
Auditointien järjestämisestä ja tuloksista on säilytettävä dokumentoitua tietoa.
Organisaation johto asettaa tietoturvatavoitteet. Tietoturvatavoitteet täyttävät seuraavat vaatimukset:
Tietoturvatavoitteiden dokumentoinnin yhteydessä määritellään lisäksi tarvittavat ylätason toimenpiteet, resurssit, vastuuhenkilöt, aikataulu sekä tavat tulosten arviointiin, jotta tavoitteet saavutetaan.
Organisaatiolla on ylimmän johdon laatima ja hyväksymä tietoturvapolitiikka. Politiikka sisältää ainakin seuraavat asiat:
Lisäksi tehtävän omistaja varmistaa, että:
Organisaatio on määritellyt menettelyn, jonka mukaisesti sisäiset auditoinnit tulee toteuttaa. Menettelykuvaus kuvaa vähintään:
Organisaation on käytettävä, ylläpidettävä ja jatkuvasti kehitettävä tietoturvallisuuden hallintajärjestelmää.
Hallintajärjestelmään liittyvät rajaukset ja soveltamisala, sisällöt, roolitus, kertyvä toteutustieto sekä muu tarpeellinen kuvaustieto on oltava selkeästi dokumentoitu.
Organisaation tulee määritellä vaatimuskehikot, joita käytetään hallintajärjestelmän pohjana. Vaatimuskehikoilla tulisi saavuuttaa:
Sisäiset raportointitavoitteet:
Vaatimuksien täyttötavoitteet:
Organisaation on pyrittävä jatkuvasti parantamaan tietoturvallisuuden hallintajärjestelmän suorituskykyä. Tapoja parantamiseen pyritään löytämään aktiivisesti - ei ainoastaan auditointien tai selkeiden havaittujen poikkeamien kautta.
Tehtävän omistaja vastaa siitä, että hallintajärjestelmään tehdyt parannukset dokumentoidaan ja jaotellaan toteutettaviksi tehtäviksi, tehtävät toteutetaan suunnitelmien mukaisesti ja niillä aikaansaadut vaikutukset arvioidaan.
Organisaation on määritettävä, mistä asioista tietoturvallisuuden hallintajärjestelmään liittyen on säännöllisesti viestittävä. Suunnitelman on sisällettävä vastaukset mm. seuraaviin kohtiin:
Tehtävän omistaja huolehtii suunnitelman toteuttamisen ja sen tehokkuuden säännöllisen arvioinnin.
Ylimmän johdon on katselmoitava organisaation tietoturvallisuuden hallintajärjestelmä suunnitelluin aikavälein varmistaakseen, että se on edelleen soveltuva, asianmukainen ja vaikuttava.
Johdon katselmuksessa on käsiteltävä ja kommentoitava vähintään seuraavien asioiden tilaa:
Katselmusten suorittamisesta ja tuloksista on ylläpidettävä dokumentoitua tietoa.
Organisaatio arvioi tietoturvan tasoa ja tietoturvallisuuden hallintajärjestelmän tehokkuutta säännöllisesti.
Organisaatio on määrittänyt:
Tehokkaita mittareita tulisi pystyä käyttämään heikkouksien tunnistamiseen, resurssien parempaan kohdistamiseen sekä oman onnistumisen / epäonnistumisen arviointiin.
Koko organisaation ohjauksessa toimivan henkilöstön on oltava tietoisia:
Lisäki johto on määrittänyt tavat, joilla henkilöstö pidetään tietoisina omaan työrooliinsa liittyvistä tietoturvaohjeista.
Johdon on määriteltävä hallintavastuut ja luotava menettelyt, joilla taataan tehokas ja johdonmukainen reagointi tietoturvahäiriöihin.
Johdon on varmistettava mm.:
Prosessin on varmistettava mm.:
Organisaation johdon on osoitettava sitoutumista tietoturvatyötä ja tietoturvallisuuden hallintajärjestelmää kohtaan. Johto sitoutuu:
Johto päättää lisäksi tietoturvan hallintajärjestelmän soveltamisalan ja kirjaa päätöksen ylös hallintajärjestelmän kuvaukseen. Tämä tarkoittaa, rajataanko esimerkiksi joitain osia organisaation toiminnasta tai hallinnoimasta tiedosta pois hallintajärjestelmän piiristä, vai koskeeko se organisaation kaikkea tietoa / toimintaa.
Organisaatiossa on tarpeeksi koulutettua, valvottua ja tarvittaessa asianmukaisesti turvallisuusselvitettyä henkilöstöä, jotka toimivat tietoturvan avainrooleissa suorittaen tietoturvallisuuden hallintajärjestelmään liittyviä hallintatehtäviä.
Organisaatio on määritellyt:
Tehtävän omistaja katselmoi turvallisuushenkilöstön määrää ja osaamistasoa säännöllisesti.
Ylimmän johdon on varmistettava selkeät vastuualueet/valtuudet ainakin seuraavissa asioissa:
ISMS-teemojen omistajat esitellään johtamisjärjestelmän työpöydällä ja tietoturvapoliitiikan raportissa.
Lisäksi ylimmän johdon on varmistettava, että kaikki tietoturvan kannalta merkitykselliset roolit sekä niihin liittyvät vastuut ja valtuudet määritellään ja niistä tiedotetaan. On myös tärkeää tunnistaa ulkoisten kumppaneiden ja palveluntarjoajien roolit ja vastuut.
Organisaatiolla tulee olla prosesseja sen varmistamiseksi, että ristiriitaiset vastuut erotetaan toisistaan, jotta vähennetään mahdollisuuksia käyttää organisaation omaisuutta väärin.
On syytä olla varovainen esim. siitä, että yksittäinen henkilö voi käsitellä tietoja huomaamatta. Usein myös tapahtuman aloittamisen erottaminen sen hyväksymisestä on hyvä käytäntö.
Kun tehtävien suoraa eriyttämistä on vaikea saavuttaa, voidaan käyttää seuraavia periaatteita:
Organisation should identify and document dependencies between its assets.
In Cyberday dependencies between asset elements are created when creating and linking documentation. Procedure can be expanded according to organisation's own needs.
Tietojärjestelmän tai muun useita tietoaineistoja sisältävän kohteen luokitus määräytyy ensi sijassa korkeimman luokituksen aineiston mukaan. Tietojärjestelmien luokitusta arvioitaessa tulee huomioida myös kasautumisvaikutus riskilähtöisesti.
Suuresta määrästä tietyn luottamuksellisuuden tason tietoa koostuvissa tietojärjestelmissä asiakokonaisuus voi nousta luokitukseltaan yksittäistä tietoa korkeammalle tasolle. Määrä ei ole kuitenkaan ainoa tekijä, vaan joskus esimerkiksi kahden eri tietolähteen yhdistäminen voi johtaa tietovarannon luokituksen nousemiseen.
Tyypillisesti kasautumisessa on kysymys IV-luokan tiedosta (esimerkiksi suuri määrä turvallisuusluokan IV tietoa voi muodostaa yhdistettynä turvallisuusluokan III tietovarannon), mutta kasautumisvaikutus tulee huomioida myös turvallisuusluokittelemattoman salassa pidettävän tiedon suojaamisessa.
Teemakohtaiset politiikkadokumentit voivat auttaa eri osa-alueisiin liittyvien tehtävien, ohjeistusten sekä muun dokumentaation viestintää ja katselmointia sekä mahdollisten ylätason periaatteiden liittämistä näihin tarkempaa toteutusta kuvaaviin hallintajärjestelmän sisältöihin.
Organisaation on määriteltävä, mitä teemakohtaisia politiikkadokumentteja ylläpidetään sekä tarvittaessa katselmoidaan kokonaisuuksina halutuin väliajoin. Esimerkkejä teemoista, joille omaa politiikkadokumenttia voidaan haluta ylläpidää, ovat mm.:
Organisaatio on selkeästi määrittänyt digitaalisen turvallisuuden ylläpitoon sekä kehittämiseen dedikoidun budjetin. Budjetti on riittävä digiturvalle asetettujen tavoitteiden saavuttamiseen.
Digiturvan budjetoinnissa on huomioitava etenkin kolme keskeistä osa-aluetta - henkilöstökulut, teknologiaratkaisut sekä toimintamenot.
Organisaatio on muodostanut suunnitelman siihen kohdistuvan mustamaalaus- tai vaikuttamiskampanjan varalle.
Organisaation on dedikoinut riittävät resurssit ja osaamisen digiturvallisuuden kehittämiseen osana organisaation strategian toteuttamista.
Digitaaliselle turvallisuudelle on lisäksi nimetty vastuuhenkilö ja tämä teema saa vastuuhenkilön työnkuvassa ja ajankäytössä tarpeeksi suuren huomion.
Organisaatiolla on toimintamalli säännölliseen tiedottamiseen koko organisaation laajuisesti digiturvallisuuden riskitilanteesta sekä uusista omaan organisaatioon vaikuttavista merkittävistä riskeistä.
Tiedotus voidaan toteuttaa esimerkiksi digiturvan ydintiimin sekä viestinnän ammattilaisten yhteistyönä.
Organisaatio on tunnistanut toimintaansa ja palveluihinsa liittyvät ICT-varautumista ohjaavan kansallisen ja EU-lainsäädännön sekä muut ICT-varautumiseen liittyvät normit.
Lainsäädäntö ja normit määrittävät minimitason ICT-varautumisen toteuttamiselle. Tämän lisäksi organisaation on huomioitava oman toimintansa erityispiirteistä nousevat tarpeet. Toimintojen sisäisten ja ulkoisten riippuvuussuhteiden ymmärtäminen on perusedellytys varautumisen kustannustehokkaalle johtamiselle.
Valtionhallinnon viranomaisen on pidettävä luetteloa henkilöistä, joilla on oikeus käsitellä turvallisuusluokan I, II tai III asiakirjoja. Luettelossa on mainittava henkilön tehtävä, johon turvallisuusluokitellun tiedon käsittelytarve perustuu.
Tietoturvallisuuteen liittyvä dokumentaatio on ajantasaista.
Organisaation tietoturvallisuusvaatimukset muodostuvat esimerkiksi lainsäädännössä ja sopimuksissa määritellyistä vähimmäisvaatimuksista sekä muista tunnistetuista tai itse tavoitelluiksi valituista vaatimuksista.
Organisaation on seurattava tietoturvallisuusvaatimusten muutoksia ja tehtävä tarvittavat toimenpiteet niihin reagoimiseksi.
Organisaatio on asettanut prioriteetit sen toiminnalle ja tavoitteille. Näiden prioriteettien pohjalta täytyy pystyä määrittämään tietoturvaroolit, -vastuut ja -tavoitteet.
Organisaatio on määritellyt, mikä on tärkeää turvallisuuteen liittyvää dokumentaatiota ja ohjeistusta (esim. raporttiasiakirjat tai kaikki tehtävien/ohjeiden sisältö), jotka tulee turvallisesti arkistoida sen jälkeen, kun ne on vaihdettu tai muuten vanhentuneet.
Nämä tiedot tulee säilyttää mahdollisia vanhojen käytäntöjen tai ohjeiden tarkistamista varten, jotka voivat olla tärkeitä esim. asiakasriidan tai tietosuojaviranomaisen suorittaman tutkimuksen yhteydessä.
Jos erityisessä laissa tai sopimuksessa ei määrätä säilytysaikaa, tietoja tulee säilyttää vähintään viisi vuotta.
Organisaation tietojärjestelmät keräävät dataa sisäisistä ja ulkoisista lähteistä ja jalostavat olennaisen datan tiedoksi. Tiedolla tuetaan sisäisen valvonnan komponentteja
Tiedon tulee olla:
Johdosta erillinen hallitus toteuttaa valvontaa sisäisten tietoturvatoimien kehitykselle ja toteuttamiselle.
Hallituksen tehtäviin kuuluu erityisesti:
Organisaatiossa täytyy:
Organisaation tulee määritellä, mitä teknologiaa tarvitaan, jotta tietoturvatavoitteet saavutetaan? Ja, mitä teknologiaa täytyy hankkia / kehittää, jotta tietoturvatavoitteet saavutetaan?
Organisaation tietoturvatavoitteita asettaessa täytyy ottaa huomioon ulkoiset tavoitteet. Tämä tarkoittaa esimerkiksi:
Organisaation on määriteltävä toimintansa sekä etenkin tietoturvallisuuden toteuttamisen kannalta relevantit yksiköt.
Yksiköille määritellyille omistajille voidaan jalkauttaa vastuita eri tehtävien yksikkökohtaisesta toteuttamisesta.
Organisaation on perustettava ja ylläpidettävä kyberturvallisuusohjelmaa. Ohjelmalla tulee olla korkeimman johdon tuki.
Ohjelma tulee perustaa:
Organisaation on luotava ja ylläpidettävä strategiaa kyberturvallisuusohjelmalle. Kyberturvallisuusohjelma määrittelee tavoitteet organisaation kyberturvallisuustoimenpiteille.
Organisaatiolla on oltava strategia kyberturvallisuusarkkitehtuurin kehittämiselle ja ylläpidolle.
Strategian on sovittava yhteen organisaation kyberturvallisuusohjelman ja organisaation arkkitehtuurin kanssa.
Arkkitehtuuriin on sisällytettävä:
Organisaation johto vastaa, että:
Organisaatiolla tulee olla prosessi, jonka avulla voidaan analysoida ja oppia digitaalisen häriönsietokyvyn testauksen tuloksista, todellisista kyberturvallisuushäiriöistä ja jatkuvuussuunnitelmien aktivointikokemuksista. Asiaankuuluvia tietoja ja kokemuksia tulisi vaihtaa kumppanien kanssa.
Opitut opetukset tulisi sisällyttää kyberriskien hallintaprosessiin.
Organisaation ylimmällä johdolla tulisi olla vuosittain raportti vanhempien ICT-henkilöstön opetuksista sekä parannussuositukset.
Organisaation tulee seurata digitaalisen häiriönsietokykystrategiansa tehokkuutta. Tämän pitäisi sisältää ainakin:
Tämän pitäisi lisätä tietoisuutta kyberhyökkäykseen liittyville riskeille altistumisesta erityisesti tärkeiden ja kriittisten toimintojen ja kyberhyökkäyksiä vastaan varautumiseen liittyen.
Organisaation on määriteltävä ja dokumentoitava organisaation tietoturvarakenne. Tässä tulee huomioida muut asiaankuuluvat tietoturvaroolit
Organisaation on määriteltävä, mitä työaloja ja tiettyjä työtehtäviä pidetään arkaluonteisina (esim. käsiteltyjen tietojen ja työntekijän käyttöoikeuksien perusteella).
&Arkaluonteiset työalat riippuvat organisaation toiminnan luonteesta, mutta niihin voi kuulua esimerkiksi tietoturva, tietotekniikka ja järjestelmähallinto, taloushallinto, henkilöstöhallinto, lakiasiainhallinto, tutkimus ja kehitys, asiakastuki, analytiikka, johto ja monet muut.
Organisaatio kehittää ja toteuttaa kriisitoimintastrategian, jolla suojellaan organisaatiota kriisin kielteisiltä seurauksilta ja maineen vahingoittumiselta. Strategian olisi sisällettävä ennalta määriteltyjä toimia, joilla hallitaan julkista kuvaa ja narratiivia sekä lievennetään kriisin vaikutusta organisaatioon.
Tunnista ja dokumentoi organisaation strategia ja prioriteetit, joilla voi olla vaikutusta tietojärjestelmien turvallisuuteen.
On tärkeää huomata, että tämä dokumentaatio olisi tarkistettava aina, kun organisaation strategia ja prioriteetit muuttuvat.
Organization defines the strategic approaches for responding to risks based on the risk types, and the organizational risk tolerance and exposure. These strategies can include for example:
Dependencies on external services might affect the organization's risk management and critical capabilities. The organization needs to identify and maintain a list of the organization’s external dependencies, including facilities, cloud providers, and any third-party services.
The documentation should also include:
Ensure that relevant personnel are informed about these dependencies and their associated risks.
Tehtävän omistaja arvioi säännöllisesti sisäiten auditointien toteutusta etenkin seuraavista näkökulmista:
Tehtävän omistaja tekee tarvittaessa muutoksia sisäisten auditointien menettelyyn sekä menettelykuvaukseen.
Sertifiointimekanismien ideana on osoittaa, että tietojenkäsittelyssä noudatetaan hyvää tietojenkäsittelytapaa ja yleisiä hyviä käytäntöjä. Tietoturvaa koskeva sertifikaatti on mm. ISO27001.
Organisaation on luokiteltava sen tieto-omaisuus, kuten tietojärjestelmät, tiedot, yksiköt, avainhenkilöstö ja muu suojattava omaisuus (esim. laitteet) prioriteettien mukaan. Priorisoinnin voi tehdä esimerkiksi käsiteltävän tiedon luottamuksellisuus-, eheys- ja saatavuusvaatimusten perusteella.
Organisaation on huomioitava tietoturvaan liittyvien petosten mahdollisuus riskejä arvioitaessa.
Huomioitava on ainakin:
Organisaatiolla olisi oltava menettely, jolla projektit luokitellaan vaaditun tietoturvatason ja muiden hanketta koskevien tietoturvavaatimusten näkökulmasta.
Projektien luokitteluperusteet tulisi dokumentoida.
Lainsäädännön, määräysten tai sopimuksellisten määräyksien noudattamatta jättäminen voi aiheuttaa riskejä organisaation tietoturvalle.
Jotta vaatimukset täyttyvät, organisaatiossa huolehditaan, että tietueiden eheys on oikeudellisten, sääntely- tai sopimusmääräysten ja liiketoimintavaatimusten mukaista.
Organisaation on dokumentoitava tietoturvamittarit sovellusturvallisuuteen liittyen. Totoeutuksessa tulee ottaa huomioon organisaation tavoitteet, turvallisuusvaatimukset ja vaatimusten mukaisuus.