Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

5.1
ISO 27001

ISO 27001:2022

5.1.1
ISO 27001

ISO 27001:2013

7.2.2
ISO 27001

ISO 27001:2013

HAL-01
Julkri

Julkisen hallinnon tietoturvakriteeristö

Muita saman teeman digiturvatehtäviä

Digiturva-asioiden käsittely työsopimuksissa

Critical
High
Normal
Low

Työsopimuksissa eritellään työntekijän ja organisaation vastuut tietoturvallisuudesta.

Sopimuksen tulisi sisältää mm.:

  • työntekijän juridiset vastuut ja oikeudet, esim. tekijänoikeus- tai tietosuojalainsäädäntöön liittyvät vastuut
  • työntekijän vastuu ohjeiden noudattamisesta mm. laitteiston ja tiedon käyttöön ja tietojen luokitteluun liittyen
  • työntekijän tai vuokratyöntekijän vastuu muilta yrityksiltä tai muilta osapuolilta saadun tiedon käsittelyssä
  • toimenpiteet, jos työntekijä tai vuokratyöntekijä rikkoo organisaation turvallisuusvaatimuksia
  • työsuhteen päättymisen jälkeen jatkuvat velvollisuudet
7.3: Termination and change of employment
ISO 27001
7.1.2: Terms and conditions of employment
7.3.1: Termination or change of employment responsibilities
ISO 27001
PR.DS-5: Data leak protection
NIST
PR.IP-11: Cybersecurity in human resources
NIST

Salassapitositoumusten käyttö

Critical
High
Normal
Low

Kaikkien luottamuksellisia tietoja käsittelevien työntekijöiden olisi allekirjoitettava salassapito- tai vaitiolositoumus ennen luottamuksellisen tiedon käsittelyä.

Salassapitositoumuksen tulisi sisältää mm.:

  • luottamuksellisen tiedon selkeä määrittely
  • sitoumuksen oletettu kesto
  • edellytetyt toimenpiteet, kun sitoumus puhdistetaan.
  • allekirjoittaneiden vastuut ja toimenpiteet, jotta vältetään luvaton tiedon paljastaminen.
  • tiedon, liikesalaisuuksien ja aineettoman omaisuuden omistajuus ja miten tämä liittyy luottamuksellisen tiedon suojaamiseen.
  • luottamuksellisen tiedon sallittu käyttö ja allekirjoittaneen oikeudet käyttää tietoa
  • oikeus tarkastaa ja valvoa toimintoja, joihin liittyy luottamuksellista tietoa.

Salassapitosopimuksien edellytyksiä ja tarpeita tarkistellaan ja päivitetään säännöllisin väliajoin.

7.3: Termination and change of employment
ISO 27001
7.1.2: Terms and conditions of employment
7.3.1: Termination or change of employment responsibilities
ISO 27001
13.2.4: Confidentiality or non-disclosure agreements
ISO 27001
T10: Salassapito- ja vaitiolositoumukset
Katakri

Personnel compliance with information security policies

Critical
High
Normal
Low

Salassapitositoumusten katselmointi

Critical
High
Normal
Low

Salassapito- ja vaitiolositoumuksia koskevia vaatimuksia katselmoidaan säännöllisin aikavälein ja aina silloin, kun tapahtuu näihin vaatimuksiin vaikuttavia muutoksia.

7.1.2: Terms and conditions of employment
13.2.4: Confidentiality or non-disclosure agreements
ISO 27001
6.2: Työsuhteen ehdot
ISO 27001
6.6: Salassapito- ja vaitiolositoumukset
ISO 27001

Kurinpitoprosessi tietoturvarikkomuksia varten

Critical
High
Normal
Low

Organisaatiomme on määritellyt toimenpiteet, joihin ryhdytään tietoturvarikkomustapauksissa. Nämä voidat sisältää mm. seuraavia vaiheita:

  • selvitetään, mitä tietoja vuodettiin ja miten vahingollista tämä oli
  • selvitetään, oliko teko tahallinen
  • selvitetään, mitä salassapitositoumuksessa oli sovittu toimenpiteiksi
  • päätetään, halutaanko asiaa viedä eteenpäin ja miten (esim. oikeudelliset toimet)
  • selvitetään, tarvitaanko ulkopuolista apua
7.2.3: Disciplinary process
ISO 27001
PR.IP-11: Cybersecurity in human resources
NIST
5.28: Todisteiden kerääminen
ISO 27001
6.4: Kurinpitoprosessi
ISO 27001
7.3: Tietoisuus
ISO 27001

Työsopimuksen allekirjoittaminen ennen tietoihin pääsyn antamista

Critical
High
Normal
Low

Organisaation täytyy varmistaa, että uusi työntekijä allekirjoittaa työsopimuksen ennen kuin hän pääsee käsiksi mihinkään organisaation tietoaineistoihin tai tietojärjestelmiin.

Työsopimuksesta pitäisi käydä ilmi työntekijän vastuut tietoturvallisuuteen liittyen sekä muut organisaation tietoturvalle oleelliset roolit.

Yleisen tietoturvapolitiikan muodollinen hyväksyminen

Critical
High
Normal
Low

Organisaatiomme työntekijät hyväksyvät johdon muodostaman yleisen tietoturvapolitiikan allekirjoituksellaan. Politiikka voi viitata useisiin tarkempiin tietoturvasääntöihin.

5.1.1: Policies for information security
ISO 27001
7.2.2: Information security awareness, education and training
ISO 27001
HAL-01: Periaatteet
Julkri
5.1: Tietoturvapolitiikat
ISO 27001

Tarvittavien näkökohtien varmistaminen henkilöstön salassapito- tai vaitiolosopimuksiin

Critical
High
Normal
Low

Organisaation luottamuksellisuus- tai salassapitosopimukset jatkuvat työsopimuksen tai toimeksiannon jälkeenkin.

Organisaatio on myös määritellyt menettelyn, jolla käsitellään henkilöstön velvollisuusrikkomuksia.