Digiturvakoulutukset

Digiturvakoulutuksella tarkoitetaan tietoturvaan ja tietosuojaan liittyvien periaatteiden sekä organisaation päättämien toimintasäätöjen kouluttamista henkilöstölle. Tehdyn koulutuksen osoittaminen ja riittävyyden arviointi ovat oleellinen osa osaamisen varmistamista.
henkilöstön osaaminen
osaamisen kehittäminen
henkilöstön turvallisuus
Huom.! Tätä artikkelia täydennetään vielä. Lisää sisältöä tulossa piakkoin.

Vaatimustaso

Tason 1 asiat ovat pakollisia peruasioita, joista jokaisen organisaation, vaikka digitaalisuus tai datan käsittely ei korostuisikaan, olisi syytä pitää hyvää huolta.
Tason 2 asiat ovat digiturvan oleellisia ydinasioita, jotka ovat tärkeitä useimmille organsiaatioille ja joilla voidaan huomattavasti parantaa digiturvan tasoa. Nämä liittyvät yleensä tiiviisti tason 1 asioihin.
Tason 3 asiat ovat syventäviä digiturvateemoja, jotka eivät korostu jokaisen organisaation toiminnassa, mutta joiden voidaan entisestään parantaa tietoturvan ja tietosuojan saralla.
Taso 1
Taso 2
Taso 3
Taso 1
Taso 2
Taso 3
Taso 1
Taso 2
Taso 3

Suositeltu organisointi

Teemoille, jotka ovat sopivan kokoisia ja koordinoitavissa ilman jalkauttamista yksikkö- tai esimerkiksi järjestelmäkohtaisesti, on helpompaa nimetä selkeä(t) vastuuhenkilö(t). Vastuuhenkilöllä on oltava tarvittavat valtuudet ja resurssit teeman hoitamiseen. Vastuuhenkilö voi olla esimerkiksi tietoturvapäällikkö tai tietosuojavastaava.
Teemoille, jotka vaativat järjestelmä- tai rekisterikohtaista koordinointia, organisointi kannattaa hoitaa pääkäyttäjien kautta. Tietojärjestelmät ja rekisterit ovat organisaation avainomaisuutta, joiden pääkäyttäjälle tai yhteyshenkilölle kuuluu vastuilleen erilaisten käytäntöjen hoitamista tai sääntöjen valvomista.
Teemoille, jotka ovat turhan laajoja yksittäisten vastuuhenkilöiden koordinoitaviksi, ja jotka eivät suoraan organisoidu järjestelmä- tai rekisterivetoisesti, suosittelemme yksikkökohtaista koordinointia. Jokaisessa yksikössä (myynti, tuotanto, talous, asiakaspalvelu, jne.) olisi oltava vastuuhenkilö, joka huolehtii esimerkiksi tiedon keräämisen tai sääntöjen jalkauttamisen oman yksikkönsä henkilöstölle.
Selkeä vastuuhenkilö
Pääkäyttäjät
Yksiköt
Selkeä vastuuhenkilö
Pääkäyttäjät
Yksiköt
Selkeä vastuuhenkilö
Pääkäyttäjät
Yksiköt

Osa-alueen tavoite, riskit ja haasteet

Henkilöstön sitouttaminen omien digiturvasääntöjen noudattamiseen on tärkeä osa digiturvatyötä. Iso osa syntyy ymmärryksen kautta - tiedetään miksi sääntöjä on ja mitä negatiivisia vaikutuksia voi organisaatiolle syntyä, jos näitä ei noudata.

Digiturvakoulutuksen ei tarvitse olla vanhanaikaista ja kallista luokkahuoneissa istumista, vaan tehokkaampaa saattaa olla toteuttaa koulutusta esim. etäopetuksena, webinareina, verkkokursseina tai sähköpostitse jaeltavina sääntöinä. Oleellisina koulutuksen onnistumise nkannalta on, että kullekin roolille koulutetaan heidän työssään korostuvia asioita. Liikkuvaa työtä tekeville tietosuojan, etätyön ja mobiililaitteiden käytön sääntöjä, toimistolla työskenteleville vaikkapa paperien ja tiedostojen oikeaoppista käsittelä sekä tulostus- ja kulunvalvontasääntöjä.

Digiturvamallista löytyy laajennus, jolla henkilöstö voidaan kutsua suorittamaan halutut verkkokurssit hyvin ketterästi, ja suorituksia seurataan automaattisesti.

Esimerkkejä sisällöistä

Selvitettäviä kysymyksiä

Nämä ovat esimerkkejä asioista, joiden selvittämistä ja mahdollisesti raportoimista tämän osa-alueen käsitteleminen vaatii organisaartiolta.
No items found.

Mahdollisia toimintatapoja

Seuraavat sisältöesimerkit antavat tarkempia esimerkkejä siitä, millaisilla käytännöillä tai säännöillä tämän osa-alueen turvallisuutta voidaan kehittää.
Koulutuksen ja ohjeistuksen järjestäminen ennen pääsyoikeuksien myöntämistä

Työntekijät ovat ennen pääsyoikeuksien myötämistä luottamukselliseen tietoon tai tietojärjestelmiin:

  • saaneet asianmukaisen opastuksen tietoturvavastuistaan (mm. ilmoitusvastuu ja vastuu omista päätelaitteista)
  • saaneet asianmukaisen opastuksen omaan työrooliinsa liittyvistä tietoturvarooleistaan (mm. omaan työrooliin liittyvät digiturvasäännöt sekä tietojärjestelmät ja niiden hyväksyttävä käyttö)
  • saaneet tiedot digiturvan yhteyshenkilöistä, joilta voi kysyä lisää
Työroolia vaihtaneiden henkilöiden koulutus

Ennen pääsyoikeuksien myöntämistä järjestettävä koulutus koskee uusien työntekijöiden lisäksi niitä, jotka siirtyvät uusiin tehtäviin tai rooleihin, etenkin kun henkilön käyttämät tietojärjestelmät sekä työrooliin liittyvät tietoturvavaatimukset muuttuvat merkittävsti työroolin vaihdoksen myötä. Koulutus järjestetään ennen uuden työroolin muuttumista aktiiviseksi.


Lokin ylläpito järjestetyistä digiturvakoulutuksista

Pitämällä kirjaa koulutuksista voidaan osoittaa, millaisia panostuksia organisaatiomme on tehnyt henkilöstön digiturvaosaamisen eteen.

Jokaisesta koulutuksesta voidaan kirjata ylös esimerkiksi:

  • ajankohta
  • koulutuksen aihepiirit ja kesto
  • koulutuksen toteutustapa ja kouluttaja
  • koulutukseen osallistuneet henkilöt
Säännöllinen, tarpeisiin perustuvalla digiturvakoulutus ja -ohjeistus

Organisaatiomme on määritellyt toimintatavat henkilöstön digiturvaosaamisen ylläpitämiseen. Näihin voi liittyä mm. seuraavia asioita:

  • saavat ohjeistusta, jossa kuvataan työrooliin liittyvät digiturvan yleiset säännöt
  • saavat koulutusta, jotta säilyttävät työroolin vaatimat asianmukaiset digiturvataidot ja -tiedot
  • osoittavat testien tai muun vastaavan avulla, että omaavat työroolin vaatimat digiturvataidot ja -tiedot

Koulutuksen tulisi kohdistua niihin oman digiturvasuunnitelman asioihin, jotka ovat kullekin työroolille kaikkein relevanteimpia. Eri tapoja koulutuksen järjestämiseen ovat mm. luokkahuone, etäopetus, webinarit, verkkokurssit, itseopiskelu tai sähköpostitse jaeltavat säännöt.

Koulutusten tulee sisältää tarpeeksi usein kaikkia työntekijöitä koskevat "perusasiat":

  • työntekijän henkilökohtainen vastuu (mm. päätelaitteista ja käsittelemästään tiedosta)
  • kaikkia koskevat käytännöt (mm. tietoturvahäiriöiden raportointi)
  • kaikkia koskevat säännöt (mm. puhdas työpöytä)
  • organisaation tietoturvaroolit (keneen yhteyttä ongelmatilanteissa)

Vaatimuksia muissa frameworkeissä

Läheisesti liittyvät Digiturvakartan muut kohdat

Tämän osa-alueen sisällöt liittyvät läheisesti etenkin näihin kohtiin Digiturvakartan muista osasista:
Yksiköt ja vastuuhenkilöt
Osa digiturva-asioista on järkevintä organisoida yksikkölähtöisesti. Tiedon kerääminen esimerkiksi henkilötietojen käyttötarkoituksista, käytetyistä tietojärjestelmistä tai digiturvasääntöjen noudattamisen valvonta onnistuu paremmin yksikön nimetyltä vastuuhenkilöltä.
Digiturva sopimuksissa
Henkilöstöä voidaan sitouttaa digiturva-asioiden noudattamiseen mm. käsittelemällä digiturvavastuut selkeästi työsopimuksissa, käyttäen salassapitositoumuksia sekä ohjaamalla digiturvasääntöjen noudattamiseen esimerkiksi sääntöjen muodollisella hyväksymisellä.
Työsuhteen muutoshetket
Uusien työntekijöiden palkkaukset, nykyisten ylennykset ja siirrot tai päättyneet työsuhteet ovat tärkeitä koordinoitavia hetkiä, joihin digiturvatyössä on varauduttava ennalta.