Toimittajien turvallisuus

kumppanit
suhteet toimittajiin
henkilötietojen käsittelijät
Huom.! Tätä artikkelia täydennetään vielä. Lisää sisältöä tulossa piakkoin.

Vaatimustaso

Tason 1 asiat ovat pakollisia peruasioita, joista jokaisen organisaation, vaikka digitaalisuus tai datan käsittely ei korostuisikaan, olisi syytä pitää hyvää huolta.
Tason 2 asiat ovat digiturvan oleellisia ydinasioita, jotka ovat tärkeitä useimmille organsiaatioille ja joilla voidaan huomattavasti parantaa digiturvan tasoa. Nämä liittyvät yleensä tiiviisti tason 1 asioihin.
Tason 3 asiat ovat syventäviä digiturvateemoja, jotka eivät korostu jokaisen organisaation toiminnassa, mutta joiden voidaan entisestään parantaa tietoturvan ja tietosuojan saralla.
Taso 1
Taso 2
Taso 3
Taso 1
Taso 2
Taso 3
Taso 1
Taso 2
Taso 3

Suositeltu organisointi

Teemoille, jotka ovat sopivan kokoisia ja koordinoitavissa ilman jalkauttamista yksikkö- tai esimerkiksi järjestelmäkohtaisesti, on helpompaa nimetä selkeä(t) vastuuhenkilö(t). Vastuuhenkilöllä on oltava tarvittavat valtuudet ja resurssit teeman hoitamiseen. Vastuuhenkilö voi olla esimerkiksi tietoturvapäällikkö tai tietosuojavastaava.
Teemoille, jotka vaativat järjestelmä- tai rekisterikohtaista koordinointia, organisointi kannattaa hoitaa pääkäyttäjien kautta. Tietojärjestelmät ja rekisterit ovat organisaation avainomaisuutta, joiden pääkäyttäjälle tai yhteyshenkilölle kuuluu vastuilleen erilaisten käytäntöjen hoitamista tai sääntöjen valvomista.
Teemoille, jotka ovat turhan laajoja yksittäisten vastuuhenkilöiden koordinoitaviksi, ja jotka eivät suoraan organisoidu järjestelmä- tai rekisterivetoisesti, suosittelemme yksikkökohtaista koordinointia. Jokaisessa yksikössä (myynti, tuotanto, talous, asiakaspalvelu, jne.) olisi oltava vastuuhenkilö, joka huolehtii esimerkiksi tiedon keräämisen tai sääntöjen jalkauttamisen oman yksikkönsä henkilöstölle.
Selkeä vastuuhenkilö
Pääkäyttäjät
Yksiköt
Selkeä vastuuhenkilö
Pääkäyttäjät
Yksiköt
Selkeä vastuuhenkilö
Pääkäyttäjät
Yksiköt

Osa-alueen tavoite, riskit ja haasteet

Yhä isompaa määrää tiedoistamme käsittelevät kolmannet osapuolet, joten toimittajien ja muiden kumppanien turvallisuus ja sen valvonta tulee jatkuvasti tärkeämmäksi teemaksi. Mutta miten suojata tietoa, joka ei varsinaisesti ole omassa kontrollissamme?

Voimme esimerkiksi panostaa vedenpitäviin käsittelysopimuksiin, auditoida kumppaneiden toimintaa, määrittää vastuuhenkilöitä valvomaan sopimusvelvotteiden noudattamista, vaatia kumppaneilta sertifikaatteja tai rajoittaa kumppanien pääsyä tietoihin. Ensin on kuitenkin tärkeää ymmärtää, mitkä kumppanit ovat meille kaikkein kriittisimpiä ja minkä kumppanien toimintaan voimme yleensäkin vaikuttaa. Isojen SaaS-palveluntarjoajien kanssa ainoa päätös voi olla hankkia palvelu joltain muulta toimijalta, kun pienemmän räätälöityä palvelua meille tarjoavan kumppanin kanssa saatamme omata enemmän neuvotteluvaraa.

Oleellista on siis kohdistaa eniten katsetta niihin kumppaneihin, joilla on pääsyä tärkeisiin tietoihin, joiden kanssa yhteistyön päättyminen olisi kova kolaus ja joiden toimintaan voimme vaikuttaa.

Esimerkkejä sisällöistä

Toimittajia ja muita tietojamme käsitteleviä kumppaneita voivat olla mm. seuraavat:

  • Hosting-toimittaja, joka ylläpitää palveliamme
  • ICT-kumppani, joka tarjoaa ja huoltaa työasemia
  • Kehityskumppani, jonka kanssa rakennamme uutta IT-palvelua
  • SaaS-tuotetoimittaja, joka toimittaa CRM-järjestelmämme
  • Muu oma alihankkija, joka osallistuu palveluidemme tuottamiseen
  • Myyntikumppani, joka kontaktoi asiakkaita puolestamme
  • Tilitoimisto
  • Palveluntarjoaja, joka liikkuu tiloissamme

Selvitettäviä kysymyksiä

Nämä ovat esimerkkejä asioista, joiden selvittämistä ja mahdollisesti raportoimista tämän osa-alueen käsitteleminen vaatii organisaartiolta.
No items found.

Mahdollisia toimintatapoja

Seuraavat sisältöesimerkit antavat tarkempia esimerkkejä siitä, millaisilla käytännöillä tai säännöillä tämän osa-alueen turvallisuutta voidaan kehittää.
Tärkeiden toimittajien käsittelysopimusten erillinen analysointi

Käsittelysopimuksella sidotaan henkilötietoja käsittelevän kumppaniin tekemisiä.

Meille voi olla tärkeää vastuuttaa tärkeää kumppania haluamallamme tasolla huolehtimaan mm. käytön valvonnasta (lokituksista) sekä tietojen palauttamisesta sopimuksen päättyessä haluamiemme toimintatapojen mukaan.

Toimittajatyyppien määrittely, joille sallitaan pääsy luottamuksellisiin tietoihin

Määrittelemme ennakkoon toimittajatyypit, joiden kanssa yhteistyö vaatii pääsyä luottamuksellisiin tietoihin tai niiden käsittelyalueille sekä tätä kautta mm. käsittelysopimusten tekemistä. Tällaisia toimittajatyyppejä voivat olla esim. tietotekniset palvelut, logistiikka, taloushallinto sekä tietotekniset infrastruktuurikomponentit.


Vaadittujen sertifikaattien tai standardien määrittely tärkeille toimittajille

Huolella valitut sertifikaatit voivat olla hyviä yleisesti tunnistettuja todisteita tietystä tietoturva- tai tietosuojatasosta.

Organisaatio voi päättää vaatia tärkeiltä kumppaneilta tietyn sertifikaatin omaamista. Yleisesti tunnistettuja digiturvaan liittyviä sertifikaatteja ovat mm.:

  • ISO 27001 (yleinen tietoturva)
  • SOC2 (yleinen tietoturva, kutsutaan myös SSAE 16)
  • ISO 27017 (digiturva pilvipalveluissa)
  • ISO 27018 (tietosuoja pilvipalveluille)
  • muita suosittuja digiturvaan liittyviä standardeja mm. NIST (yleinen), CSA (pilviohjelmistot), PCI DSS (korttimaksaminen)
Toimittajayrityskohtaiset vastuuhenkilöt ja katselmointi

Toimittajayrityksille on nimetty vastuuhenkilö, joka seuraa toimittajan toimintaa sekä sopimuksen noudattamista. Vastuuhenkilöllä on oltava riittävät taidot digiturvavaatimusten analysointiin toimittajan kriittisyydestä riippuen.

Toimittajien henkilöstön kanssa vuorovaikutuksessa olevaa vastuuhenkilöä voi olla tarpeen myös kouluttaa asianmukaisesta yhteistoiminnasta.

Kriittisille verkkopalveluille on määritelty vaaditut turvajärjestelyt

Kriittisten verkkopalvelujen tarvitsemat turvajärjestelyt, kuten turvallisuusominaisuudet, palvelutasot ja hallintavaatimukset, on huolellisesti määritelty ennakkoon. Verkkopalveluja ovat mm. liitännät, verkot ja verkon turvallisuusratkaisut (esim. palomuurit).

Verkkopalvelujen turvallisuusominaisuudet voivat olla mm. seuraavanlaisia:

  • vaadittu turvallisuuteen liittyvä teknologia, kuten todennus, salaustekniikka ja verkkoyhteyden hallintakeinot
  • verkkopalvelujen suojatun yhteyden edellyttämät tekniset parametrit
  • verkkopalvelun käyttökriteerit, jotka rajoittavat pääsyä verkkopalveluun tai sovelluksiin tarvittaessa

Vaatimuksia muissa frameworkeissä

Läheisesti liittyvät Digiturvakartan muut kohdat

Tämän osa-alueen sisällöt liittyvät läheisesti etenkin näihin kohtiin Digiturvakartan muista osasista:
Käsittelysopimukset
Käsittelysopimus on tietossuoja-asetuksen vaatima ja siinä sovitaan vastuunjaosta rekisterinpitäjän sekä henkilötietojen käsittelijän välillä. Henkilötietojen käsittelijä ns. käsittelee henkilötietoja rekisterinpitäjän lukuun sopimuksessa säädetyin tavoin.
Hankintakriteerit
Tietojärjestelmät ovat kriittinen osa digiturvaa. Pienelläkin organisaatiolla erilaisia järjestelmiä on kymmeniä, isommilla satoja. Tietojärjestelmien järjestelmällisellä hankinnalla voidaan parantaa portfolion yhteensopivuutta, turvallisuutta ja keskittää avainasioita halutuille toimittajille.
Tietosuojaselosteet
Tietosuojaselosteet ovat yksi tapa toteuttaa henkilötietojen käsittelystä vaadittavaa läpinäkyvää, avointa informointia rekisteröidyille.