Ohjelmisto

Digiturvamalli

Suomen suosituin digiturvan hallintajärjestelmä

OMINAISUUDET

Tavoitteista digiturvan raportointiin

BLOGI

Lue palvelun kehityksestä
Asiakkaat
Hinnasto
Kirjaudu
Konsepti

Digiturvakartta

Digiturvakartta tiivistää digiturvan "yhdelle slaidille"

Webinarit

Ilmoittaudu ilmaisiin tietoiskuihimme
Järjestelmien hallinta
Henkilötietojen käsittely
Tekninen tietoturva
Tulkki

Digiturvasisällöt

Vinkkejä ja uutisia digiturvasta

Tilaa uutiskirje

Helpoin tapa pysyä kärryillä digiturva-asioista
Webinar: Riskit ja tavoitteet digiturvatyössä
Webinar: Tietojärjestelmien hallinta
Webinar: 15min intro Digiturvamalliin
Varaa esittely
Kokeile
Kirjaudu
Ohjelmisto

Digiturvamalli

Suomen suosituin digiturvan hallintajärjestelmä

OMINAISUUDET

Tavoitteista digiturvan raportointiin

BLOGI

Lue palvelun kehityksestä
Asiakkaat
Hinnasto
Kirjaudu
Konsepti

Digiturvakartta

Digiturvakartta tiivistää digiturvan "yhdelle slaidille"

Webinarit

Ilmoittaudu ilmaisiin tietoiskuihimme
Itse ylläpidetyt IT-palvelut
Kehitys- ja tukikäytännöt
Tiimi ja yksiköt
Tulkki

DIGITURVAsisällöt

Vinkkejä ja uutisia digiturvasta

Tilaa uutiskirje

Helpoin tapa pysyä kärryillä digiturva-asioista
Webinar: Riskit ja tavoitteet digiturvatyössä
Webinar: Tietojärjestelmien hallinta
Webinar: 15min intro Digiturvamalliin
PrivacyDNA
Varaa esittely
Kokeile
Kirjaudu

Digiturvakartta

takaisin kartalle
Yleiset käytännöt
Digiturva sopimuksissa
Työsuhteen muutoshetket
Laitteiston suojaus ja huolto
Toimittajien turvallisuus
Järjestelmien hallinta
Hankintakriteerit
Tietolähteet
Integraatiot
Tunnistautumistavat
Pääsyoikeusroolit
Järjestelmätoimittajat
Tietojärjestelmät
Oma IT-kehitys
Kehitys- ja tukikäytännöt
Käytön valvonta / lokit
Varmuuskopiointi
Käsittelysopimukset
Itse ylläpidetyt IT-palvelut
Muut tietovarannot
Rekisterinpitäjät
Ulkoiset tiedot
Piilotiedot
Henkilötietojen käsittely
Tietojen hävitysprosessit
Tietopyynnöt
Tietosuojaselosteet
Käyttötarkoitukset
Tietoturvaloukkaukset
Rekisterit
Yleiset käytännöt
Toimittajien turvallisuus
Laitteiston suojaus ja huolto
Työsuhteen muutoshetket
Digiturva sopimuksissa
Tekniset käytännöt
Haavoittuvuudet
Salauskäytännöt
Haittaohjelmilta suojaus
Suojausjärjestelmät
Henkilöstön käytännöt
Kulunvalvonta
Tiedostot ja paperit
Etätyö ja laitteet
Verkkoviestintä
Salasanat ja pääsynhallinta
Digiturvakoulutukset
Yksiköt ja vastuuhenkilöt
Riskit ja tavoitteet
Vaikutustenarvioinnit
Riskien arviointi
Häiriöiden käsittely
Työkohteet ja tavoitetaso
Vastuut ja johtaminen
Työkohteittain
Pääkäyttäjät
Tiimi ja yksiköt
Tulokset ja raportointi
Kokonaisvaltainen
Vaatimustenmukainen
Perustason raportointi

Digiturva sopimuksissa

Henkilöstöä voidaan sitouttaa digiturva-asioiden noudattamiseen mm. käsittelemällä digiturvavastuut selkeästi työsopimuksissa, käyttäen salassapitositoumuksia sekä ohjaamalla digiturvasääntöjen noudattamiseen esimerkiksi sääntöjen muodollisella hyväksymisellä.
työ- ja salassapitosopimukset
henkilöstön turvallisuus
riskien hallinta
Huom.! Tätä artikkelia täydennetään vielä. Lisää sisältöä tulossa piakkoin.

Vaatimustaso

Tason 1 asiat ovat pakollisia peruasioita, joista jokaisen organisaation, vaikka digitaalisuus tai datan käsittely ei korostuisikaan, olisi syytä pitää hyvää huolta.
Tason 2 asiat ovat digiturvan oleellisia ydinasioita, jotka ovat tärkeitä useimmille organsiaatioille ja joilla voidaan huomattavasti parantaa digiturvan tasoa. Nämä liittyvät yleensä tiiviisti tason 1 asioihin.
Tason 3 asiat ovat syventäviä digiturvateemoja, jotka eivät korostu jokaisen organisaation toiminnassa, mutta joiden voidaan entisestään parantaa tietoturvan ja tietosuojan saralla.
Taso 1
Taso 2
Taso 3
Taso 1
Taso 2
Taso 3
Taso 1
Taso 2
Taso 3

Suositeltu organisointi

Teemoille, jotka ovat sopivan kokoisia ja koordinoitavissa ilman jalkauttamista yksikkö- tai esimerkiksi järjestelmäkohtaisesti, on helpompaa nimetä selkeä(t) vastuuhenkilö(t). Vastuuhenkilöllä on oltava tarvittavat valtuudet ja resurssit teeman hoitamiseen. Vastuuhenkilö voi olla esimerkiksi tietoturvapäällikkö tai tietosuojavastaava.
Teemoille, jotka vaativat järjestelmä- tai rekisterikohtaista koordinointia, organisointi kannattaa hoitaa pääkäyttäjien kautta. Tietojärjestelmät ja rekisterit ovat organisaation avainomaisuutta, joiden pääkäyttäjälle tai yhteyshenkilölle kuuluu vastuilleen erilaisten käytäntöjen hoitamista tai sääntöjen valvomista.
Teemoille, jotka ovat turhan laajoja yksittäisten vastuuhenkilöiden koordinoitaviksi, ja jotka eivät suoraan organisoidu järjestelmä- tai rekisterivetoisesti, suosittelemme yksikkökohtaista koordinointia. Jokaisessa yksikössä (myynti, tuotanto, talous, asiakaspalvelu, jne.) olisi oltava vastuuhenkilö, joka huolehtii esimerkiksi tiedon keräämisen tai sääntöjen jalkauttamisen oman yksikkönsä henkilöstölle.
Selkeä vastuuhenkilö
Pääkäyttäjät
Yksiköt
Selkeä vastuuhenkilö
Pääkäyttäjät
Yksiköt
Selkeä vastuuhenkilö
Pääkäyttäjät
Yksiköt

Osa-alueen tavoite, riskit ja haasteet

Henkilöstön sitouttaminen omien digiturvasääntöjen noudattamiseen on tärkeä osa digiturvatyötä. Iso osa syntyy ymmärryksen kautta - tiedetään miksi sääntöjä on ja mitä negatiivisia vaikutuksia voi organisaatiolle syntyä, jos näitä ei noudata.

Sopimukselliset keinot ovat kuitenkin yhtä lailla relevantteja digiturvan parantamiselle. Lisäksi esimerkiksi tietosuoja-asetus vaatii henkilötietojen käsittelijää varmistamaan, että omaa henkilöstöä sitoo joko sopimuksellinen tai lakisääteinen salassapitovelvollisuus.

Esimerkkejä sisällöistä

Selvitettäviä kysymyksiä

Nämä ovat esimerkkejä asioista, joiden selvittämistä ja mahdollisesti raportoimista tämän osa-alueen käsitteleminen vaatii organisaartiolta.
No items found.

Mahdollisia toimintatapoja

Seuraavat sisältöesimerkit antavat tarkempia esimerkkejä siitä, millaisilla käytännöillä tai säännöillä tämän osa-alueen turvallisuutta voidaan kehittää.
Digiturva-asioiden käsittely työsopimuksissa

Työsopimuksissa eritellään työntekijän ja organisaation vastuut tietoturvallisuudesta.

Sopimuksen tulisi sisältää mm.:

  • työntekijän juridiset vastuut ja oikeudet, esim. tekijänoikeus- tai tietosuojalainsäädäntöön liittyvät vastuut
  • työntekijän vastuu ohjeiden noudattamisesta mm. laitteiston ja tiedon käyttöön ja tietojen luokitteluun liittyen
  • työntekijän tai vuokratyöntekijän vastuu muilta yrityksiltä tai muilta osapuolilta saadun tiedon käsittelyssä
  • toimenpiteet, jos työntekijä tai vuokratyöntekijä rikkoo organisaation turvallisuusvaatimuksia
  • työsuhteen päättymisen jälkeen jatkuvat velvollisuudet
Salassapitositoumusten käyttö

Kaikkien luottamuksellisia tietoja käsittelevien työntekijöiden olisi allekirjoitettava salassapito- tai vaitiolositoumus ennen luottamuksellisen tiedon käsittelyä.

Salassapitositoumuksen tulisi sisältää mm.:

  • luottamuksellisen tiedon selkeä määrittely
  • sitoumuksen oletettu kesto
  • edellytetyt toimenpiteet, kun sitoumus puretaan
  • allekirjoittaneiden vastuut ja toimenpiteet, jotta vältetään luvaton tiedon paljastaminen
  • tiedon, liikesalaisuuksien ja aineettoman omaisuuden omistajuus ja miten tämä liittyy luottamuksellisen tiedon suojaamiseen
  • luottamuksellisen tiedon sallittu käyttö ja allekirjoittaneen oikeudet käyttää tietoa
  • oikeus tarkastaa ja valvoa toimintoja, joihin liittyy luottamuksellista tietoa
Kurinpitoprosessi johon ryhdytään salassapitoa rikottaessa

Organisaatiomme on määritellyt toimenpiteet, joihin ryhdytään salassapitositoumusta rikottaessa. Nämä voidat sisältää mm. seuraavia vaiheita:

  • selvitetään, mitä tietoja vuodettiin ja miten vahingollista tämä oli
  • selvitetään, oliko teko tahallinen
  • selvitetään, mitä salassapitositoumuksessa oli sovittu toimenpiteiksi
  • päätetään, halutaanko asiaa viedä eteenpäin ja miten (esim. oikeudelliset toimet)
  • selvitetään, tarvitaanko ulkopuolista apua
Digiturvasääntöjen tai -politiikan muodollinen hyväksyminen

Organisaatiomme työntekijät hyväksyvät rooliinsa liittyvät digiturvasäännöt muodollisesti, esimerkiksi allekirjoittamalla henkilökohtaisesti yleisen politiikan, joka viittaa useisiin eri sääntöihin.


Vaatimuksia muissa frameworkeissä

Läheisesti liittyvät Digiturvakartan muut kohdat

Tämän osa-alueen sisällöt liittyvät läheisesti etenkin näihin kohtiin Digiturvakartan muista osasista:
Työsuhteen muutoshetket
Uusien työntekijöiden palkkaukset, nykyisten ylennykset ja siirrot tai päättyneet työsuhteet ovat tärkeitä koordinoitavia hetkiä, joihin digiturvatyössä on varauduttava ennalta.
Yksiköt ja vastuuhenkilöt
Osa digiturva-asioista on järkevintä organisoida yksikkölähtöisesti. Tiedon kerääminen esimerkiksi henkilötietojen käyttötarkoituksista, käytetyistä tietojärjestelmistä tai digiturvasääntöjen noudattamisen valvonta onnistuu paremmin yksikön nimetyltä vastuuhenkilöltä.

Lue Yrityksemme tarina 

Digiturvamalli on rakennettu vankan ohjelmisto-, tietosuoja-, tietoturva-, ja juridiikkaosaamisen varaan. Lue koko tarina.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa, olitpa konsultti, kouluttaja, ICT-kumppani tai muu aktiivinen partneri.
Digiturvamalli
OminaisuudetAsiakkaatHinnastoKirjauduVaraa 15min demoKokeile ilmaiseksi
Yleistä Tietoa
YritysTuki & TiimiLähde kumppaniksiSuosittele Digiturvamallia?KäyttöehdotTietosuojaselosteetEvästeiden käyttö
Resurssit
DigiturvakarttaDigiturvatulkkiBlogiLabsWebinaritAkatemiaYhteisöFaktaAsiantuntijat
Yhteystiedot
Agendium Oy
Kalevantie 2, 33100 Tampere, Suomi+358 10 231 6010
tiimi@digiturvamalli.fi
© Agendium Oy | Digiturvamalli 2019