Digiturvamalli.fi
Kokeile
Kirjaudu
Aiheet
Alkuun pääsy
ISO 27001
NIS2
Tiedonhallinta
Jatkuva parantaminen
Tiimin yhteistyö
Dokumentointi
Henkilöstön ohjeet
Raportointi
Tehtävien hallinta
Yhteisö
Asetukset & advanced
Kokeilu ja tilaus
Käyttäjähallinta
Tuotteen tietoturva
Vaatimuskehikkojen hallinta
Henkilöstöturvallisuus
Riskien hallinta
Sisäinen auditointi
Työskentely kumppanina
GDPR
Näytä kaikki aiheet
Webinaarit
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
NIS2: Intro NIS2-direktiiviin sekä Digiturvamalli-työkaluun
Toukokuun kuukausikatsaus Digiturvamalli-pääkäyttäjille (5/2024)
Näytä kaikki webinaarit
Videot
Automatisoi henkilöstön tietoturvaohjeistus Teamsissa
Digiturvamallin yleisesittely
Dokumentoi oma tietojenkäsittely-ympäristö yhteistyössä
GDPR & ISO 27701:n hyvät käytännöt
ISO 27001 ja henkilöstön osaaminen
ISO 27001 ja riskien hallinta
ISO 27001 ja sertifiointiauditoinnin avainasiat
ISO 27001:n yleisesittely
Luo tehokas tietoturvariskien hallinnan toimintamalli
NIS2:n yleisesittely
Oman ISMS:n jatkuva parantaminen
Paranna omaa tietoturvasuunnitelmaa jatkuvasti
Tiedonhallintamalli ja riskien hallinta
Tiedonhallintamalli ja tietoturvatoimenpiteet
Tiedonhallintamallin perusteet
Näytä kaikki videot
Ohjeet
Asennus ja integraatiot
Dokumentaatio
Kumppaneille
Käyttäjähallinta
Muut ominaisuudet
Ohjeiden hallinta
Pääkäyttäjälle
Raportointi
Tehtävien hallinta
Vaatimuskehikot
Näytä kaikki ohjeet
Blogit
Pääsynhallinta ja MFA (NIS2 21.2): Luo tukeva perusta ISO 27001:n parhaiden käytäntöjen avulla.
Henkilöstön tietoturvaperusteita ISO 27001 ja NIS2 -vaatimustenmukaisuutta varten
Kehitä NIS2 jatkuvuussuunnitelma ja varmuuskopioinnin toimenpiteet ISO 27001 -standardin mukaisesti
ISO 27001 -standardin parhaat käytännöt turvalliseen järjestelmähankintaan ja kehittämiseen: Luo NIS2-toimenpiteet
Haasteita, jotka IT-yritykset saattavat kohdata häiriöiden havaitsemisessa ja raportoinnissa
Näytä kaikki blogit
Sisältökirjasto
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.
Akatemian etusivu
Ohjeet
Compliance-raporttien käyttö Digiturvamallissa

Compliance-raporttien käyttö Digiturvamallissa

Digiturvamallissa on compliance-raportti jokaiselle vaatimuskehikolle. Raportti toimii kattavana yleiskatsauksena vaatimuskehikon sisältöihin ja organisaation tasoon sisältöäjen noudattamisessa. Tässä ohjeartikkelissa tietoa raporteista ja vinkkejä niiden käyttöön.

ISO 27001- vaatimuskehikon compliance-raportin nimi on Statement of Applicability (SoA).

Raportin yleisnäkymä

Mistä pääset tähän näkymään? Organisaation työpöytä -> Compliance-raportti (oikeassa yläkulmassa)

Pääset tarkastelemaan raportteja suoraan Organisaation työpöydältä tai Raportointi-sivulta.

Compliance-raportit on suunniteltu tarjoamaan selkeä kuva organisaation vaatimustenmukaisuudesta.

  • Tummanvihreä: Kaikki suositellut tehtävät tehty
  • Vihreä: Kaikki paitsi matalan prioriteetin tehtävät tehty
  • Vaaleanvihreä: Tehtävät suoritettu
  • Keltainen: Tehtävät käynnissä
  • Harmaa: Tehtäviä ei ole aktivoitu
  • Tummanharmaa: Ei relevantti (Ei vaikuta vaatimuksen statukseen eikä näy ulkopuolisille tarkastelijoille esim. auditoijalle)
Huom.! Jos merkitset tehtävän luokkaan 'Ei relevantti', se ei enää vaikuta tähän kategorisointiin.

Compliance-raportti on saatavilla kaikille vaatimuskehikoille Digiturvamallissa.

Esimerkki compliance-raportista.

Klikkaamalla soluja pääset tarkastelemaan toteutusta tarkemmin.

Tarkemmat tiedot jokaisen yksittäisen vaatimuksen suhteen

Kunkin vaatimuksen raportin tiedot viittaavat raporttien yleisnäkymän  alla näkyvään tehtävälistaan. Pääset sinne klikkaamalla mitä tahansa yleisnäkymän solua, esim. klikkaa "5.15" ISO 27001 -compliance-raportista. Siirryt suoraan seuraavanlaiseen näkymään (punaiset numerot selitetään alla):

  1. Pääset liikkumaan osien välillä klikkaamalla numeroita.
  2. Luo yhteenveto tilasta ja muokkaa vaatimusta. Vaatimusten arvot täytetään oletusarvoisesti automaattisesti, mutta voit muuttaa soveltuvuutta ja suoritustilaa manuaalisesti täällä. Esim. kerro, jos kyseinen vaatimus ei koske organisaatiotasi ja miksi. Valitse "Soveltuvuus"-kohdan vieressä olevasta avattavasta valikosta "ei sovelleta" ja kirjoita vapaa kuvaus. Osio näkyy tumman harmaana yleisnäkymässä raportin alussa.
  1. Täältä löydät listan tehtävistä, joita ehdotetaan vaatimukseen vaatimustenmukaisuuden saavuttamiseksi. Taulukosta näet tehtävän nimen, tehtävätyypin (joka kertoo tehtävän suorittamiseen vaadittavat toimenpiteet), varmuustiedot, prioriteettitason (esiasetettu, ellei sitä muutettu manuaalisesti) ja tilan. Klikkaamalla tehtävän vasemmalla puolella olevaa "+" -merkkiä saat lisätietoa tehtävästä, jos sellaisia ​​on saatavilla. Tämä edellyttää, että tehtävällä on jo jotain sisältöä. Klikkaamalla tehtävän oikealla puolella olevaa "->" -painiketta pääset suoraan tehtäväkortille, jolloin voit aloittaa tai jatkaa tehtävän käsittelyä.
  2. Voit lisätä vaatimukselle vapaamuotoisen kuvauksen.

Compliance-raporteista saatava hyöty

Compliance-raportissa on useita erilaisia ​​avainkohtia. Seuraavasta luettelosta löydät joitakin tärkeimmistä.

Nykytason ymmärtäminen

Raporttien avulla saat kuvan siitä, millä tasolla tietoturvasi tällä hetkellä on. Täyttääkö organisaatio 25 %, 50 % vai 75 % vaatimuksista, ja riittääkö se vai pitäisikö toimia paremmin?

Arvioi erilaisten vaatimusten toteuttamista

Raporteissa luetellaan ehdottamamme tehtävät, joita voit käyttää valittujen vaatimusten toteuttamiseen. Nämä ovat ehdotuksia ja niillä on prioriteetit Kriittinen / Korkea / Normaali / Matala, joten sinun tulee aloittaa ylhäältä ja pohtia omaa riskilähtöistä ajatteluasi siitä, kuinka pitkälle haluat kussakin aiheessa mennä.

Voit varmasti täydentää tehtäväeluetteloa myös manuaalisilla tehtävälisäyksillä. Yhteenvetona voidaan todeta, että compliance-raportin avulla voit saada ideoita toteutuksen parantamiseksi tiettyjen vaatimusten / kontrollien osalta entisestään, esim. jos analyysisi paljastaa suuria riskejä tai niihin liittyviä läheltä piti -tapahtumia.

Hanki näyttöä vaatimustenmukaisuudesta

Compliance-raportti hoitaa puitteiden rakenteen niin, että se auttaa mm. auditoijaa, joka tuntee tietyn kehyksen, katsomaan ISMS-järjestelmääsi. Esim. auditoinnissa auditoijan on saatava sinulta näyttöä kunkin viitekehyksen vaatimuksen täytäntöönpanosta. Compliance-raportti auttaa sinua keräämään nämä tiedot yhteen paikkaan.

Mihin Compliance-raportteja kannattaa käyttää?

  • Sisäiset arvioinnit: Organisaatiot käyttävät näitä raportteja sisäisesti arvioidakseen tietoturvaa, tunnistaakseen osat, joita ei ole vielä käsitelty, ja priorisoidakseen parannustoimia.
  • Sisäiset ja ulkoiset auditoinnit: Auditoijat voivat tarkastella näitä raportteja varmistaakseen, että organisaatio noudattaa alan standardeja, lakisääteisiä vaatimuksia tai sopimusvelvoitteita. Voit myös käyttää auditointiominaisuuttamme tehdäksesi auditoinnit suoraan Digiturvamallissa.
  • Riskien hallinta: Kun toiminta on selkeää, se auttaa hallitsemaan tietoturvaan liittyviä riskejä. Paranna organisaation turvallisuutta puuttumalla tunnistettuihin uhkiin ja haavoittuvuuksiin sekä dokumentoimalla ja käsittelemällä riskejäsi suoraan ISMS:ssä. Voit jopa aktivoida työntekijöillesi häiriöstä raportoinnin, jotta tapahtumat raportoidaan ja dokumentoidaan ISMS:llesi reaaliajassa, jolloin voit aloittaa häiriöiden- ja riskienhallintaprosessit suoraan Digiturvamallissa.
  • Tietoturvaviestintä: Se auttaa viestimään organisaation sitoutumisesta tietoturvaan sidosryhmille, asiakkaille ja kumppaneille ja siten luomaan luottamusta ja läpinäkyvyyttä.
  • Jatkuva parantaminen: Raportti toimii etenemissuunnitelmana jatkuvalle tietoturvan parantamiselle ja ohjaa organisaatiota ylläpitämään tai parantamaan tietoturvaa. Digiturvamalli ehdottaa sinulle lisätehtäviä, jotka vahvistavat turvallisuutta entisestään.

Pohjimmiltaan compliance-raportti, kuten ISO 27001:n soveltuvuuslausunto (SoA), on keskeinen työkalu organisaatioille osoittaakseen omistautumisensa arkaluonteisten tietojensa suojaamiseen, säännösten noudattamisen varmistamiseen ja tietoturvaan liittyvien toimenpiteiden jatkuvaan parantamiseen.

Palautetta tai kysyttävää?

Jos sinulla on lisää kysyttävää, tiimiimme voi olla yhteydessä chatin kautta tai sähköpostitse tiimi@digiturvamalli.fi. Otamme myös mielellämme vastaan palautetta Digiturvamallin käytöstä.

Sisältö

Jaa artikkeli

Muuta samanlaista sisältöä Akatemiassa

Ohjeartikkelit

Ei vielä liittyviä ohjeartikkeleja.

Liity Akatemian postituslistalle tänään

Elevate Your Knowledge with Exclusive Access to Weekly Webinars, Video Courses, Help Articles, and Blogs.

Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
Aiheet
Yhteisö
Riskien hallinta
GDPR
Kokeilu ja tilaus
Tiimin yhteistyö
Näytä kaikki
Webinarit
NIS2: Intro NIS2-direktiiviin sekä Digiturvamalli-työkaluun
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Toukokuun kuukausikatsaus Digiturvamalli-pääkäyttäjille (5/2024)
Näytä kaikki
Videot
Luo tehokas tietoturvariskien hallinnan toimintamalli
ISO 27001 ja riskien hallinta
NIS2:n yleisesittely
Dokumentoi oma tietojenkäsittely-ympäristö yhteistyössä
GDPR & ISO 27701:n hyvät käytännöt
Näytä kaikki
Ohjeet
Ohjeiden hallinta
Asennus ja integraatiot
Kumppaneille
Pääkäyttäjälle
Raportointi
Näytä kaikki
Blogit
ISO 27001 -standardin parhaat käytännöt turvalliseen järjestelmähankintaan ja kehittämiseen: Luo NIS2-toimenpiteet
Kehitä NIS2 jatkuvuussuunnitelma ja varmuuskopioinnin toimenpiteet ISO 27001 -standardin mukaisesti
Henkilöstön tietoturvaperusteita ISO 27001 ja NIS2 -vaatimustenmukaisuutta varten
Pääsynhallinta ja MFA (NIS2 21.2): Luo tukeva perusta ISO 27001:n parhaiden käytäntöjen avulla.
Haasteita, jotka IT-yritykset saattavat kohdata häiriöiden havaitsemisessa ja raportoinnissa
Näytä kaikki
Sisältökirjasto
Avaa sisältökirjastoLabs
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.