Digiturvamalli.fi
Kokeile
Kirjaudu
Ohjeet
Alkuun pääsy
Asetukset ja pääkäyttäjä
Digiturvamallin käyttö
Riskienhallinta, auditointi ja edistyneet ominaisuudet
Tilin hallinta
Yleistä Digiturvamallista
Näytä kaikki ohjeet
Videokurssit
Digiturvamallin perusteet
NIS2:n yleisesittely
Näytä kaikki videot
Haku
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.
Takaisin

Eri tavat tehtävien toteutuksen varmentamiseen

Tehtävien toteutuksen varmentamiseen on Digiturvamallissa useita eri tapoja. Toteutus voi riippua tehtävän luonteesta, mutta voit aina varmentaa toteutusta lisäämällä muita keinoja toteutuksen tueksi.

Digiturvamallissa tehtävien toteutuksen varmentamiseen on useita eri tapoja. Toteutus riippuu tehtävän luonteesta, mutta toteutusta voi varmentaa lisäämällä muita keinoja toteutuksen tueksi. Tässä artikkelissa saat lisätietoja eri varmennusmenetelmistä ja niiden käytöstä.

Yleiset varmennusmenetelmät

Toteutuksen kuvaus

Toteutuksen kuvaus on tärkeä osa kerättäessä näyttöä siitä miten tehtävä suoritetaan. Löydät toteutuksen kuvauksen paikan tehtäväkorttisi Toteutus-välilehdeltä. Voit käyttää kyseistä paikkaa tarkempien tietojen antamiseen siitä, miten tehtävä toteutetaan.

Toteutuksen kuvaus on tärkeä tapa varmentaa miten tehtävä suoritetaan

Useimmista tehtävistämme löydät myös esimerkkikuvauksia, joiden pohjalta toteutuksen kuvaus on helppo kirjoittaa. Voit käyttää esimerkkikuvauksia ja muokata sitä sopimaan organisaatiosi tehtävien toteuttamiseen.

Useimmissa tehtävissä on tarjolla esimerkkikuvauksia

Tehtävän määräpäivä

Tehtävän määräpäivää voidaan käyttää kun halutaan vahvat muistutukset tehtävästä. Muistutukset lähetetään seitsemän päivää ennen määräpäivää, sekä määräpäivänä.

Määräpäivää voidaan käyttää esim. kun halutaan tehdä joitain parannuksia ennen kuin tehtävä voidaan dokumentoida täysin tehdyksi.

Määräpäivä löytyy tehtävän yläreunasta

Tehtävän tarkistusväli

Voit parantaa tehtävän toteutuksen ajantasaisuutta asettamalla tehtävälle tarkistusvälin. Tehtävän omistaja saa ilmoituksen aina, kun tehtävä on aika tarkistaa.

Tarkistusväliä voidaan käyttää kun kyseessä on tärkeä tehtävä ja halutaan varmistaa ettei tehtävä unohdu. Tarkistusväliä voidaan käyttää myös säännöllistä tarkastusta vaativilla kohteilla, esim. kun tarvitaan uusi arviointi vuosittain.

Tarkistusväliä voidaan käyttää tärkeiden dokumentaatioiden kohdalla, esim. tietojärjestelmien.

Tarkistusvälin voi asettaa tehtäväkohtaisesti

Tehtäväkohtaiset varmennusmenetelmät

Dokumentaation liittäminen

Asiakirjojen ylläpitäminen on pääasiallinen varmennusmenetelmä joidenkin Digiturvamallin organisaatiotehtävien osalta. Näet linkin jo luotuihin dokumentaatiokohteisiin jos niitä on liitetty. Klikkaamalla linkkiä pääset dokumentaatioluetteloon (tässä tapauksessa: tietojärjestelmät) josta voit lisätä tai poistaa tietojärjestelmiä.

Esimerkkejä organisaation teemoista, jotka edellyttävät dokumentaation ylläpitoa, ovat esimerkiksi omaisuuden hallinta, riskienhallinta, kumppaneiden hallinta tai häiriöiden hallinta.

Klikkaamalla kohdasta Tietojärjestelmät, pääset tarkastelemaan ja muokkaamaan tietojärjestelmien listaa. Lue lisää dokumentaation täyttämisesta Digiturvamallissa.

Tehtävään on liitetty tietojärjestelmiä dokumentaationa

Raporttien liittäminen

Raporttien liittäminen on myös osa hallinnollisia tehtäviä. Kun aktivoit tehtävän joka vaatii raportin liittämistä, olemassaoleva raportti siirtyy kortille automaattisesti. Jos raporttia ei ole vielä luotu, näet mahdollisuuden luoda raportin.

Pääset tarkastelemaan raporttia klikkaamalla otsikkoa. Lue lisää raportoinnista Digiturvamallissa.

Tehtävään on liitetty raportti. Klikkaamalla kohtaa "Liittyvät raportit" pääset liittämään raportteja tai poistamaan liitoksia

Ohjeistuksen lisääminen ja jakaminen

Henkilöstölähtöiset tehtävät vaativat toteutukseen ohjeiden jakamista henkilöstölle. Henkilöstö voi lukea ja hyväksyä digiturvaan liittyvä ohjeita henkilökohtaisen ohjekirjan avulla. Kun aktivoit tehtävän joka vaatii toteutukseen ohjeiden lisäämistä, löydät tehtäväkortilta linkin ohjesivulle. Jos ohjeita on jo aktivoituna ja jakelussa, näet edistymisen hyväksymisprosenttina.

Kun klikkaat kohtaa "Lisää ohjeita" pääset ohjesivulle. Sivulta löytyy yksityiskohtaisempaa tietoa ohjeista ja voit esimerkiksi aktivoida ohjeille koulutussisältöjä.

Tehtävään on liitetty ohjeita. "Lisää ohjeita" -painikkeen takaa pääsee lisäämään ohjeita

Suojausjärjestelmän liittäminen

Tekniset tehtävät vaativat toteutukseen suojausjärjestelmän liittämisen. Voit valita järjestelmän valmiista listasta tai lisätä kokonaan uuden.

Tehtäväkortissa on merkintä että kyseessä on tekninen tehtävä ja sen toteuttamiseksi tulee liittää suojausjärjestelmä. Kun siirryt kohtaan "Suojausjärjestelmät" voit muokata kohtaa ja lisätä toteutukseen järjestelmiä.

Tekniseen tehtävään on liitetty suojausjärjestelmiä
Suojausjärjestelmien lisäämiseen voi hyödyntää aiemmin käytettyjä kohteita, yleistä kirjastoa tai lisätä uuden kohteen

Lisää tapoja varmennukseen

Näet tehtäväkortin alareunassa valinnan Lisää tapoja varmennukseen. Löydät napin takaa seuraavia keinoja vahvistaa toteutusta:

  • Linkitä ulkoisia tiedostoja - Yhdistä SharePoint-tiedostoja, jotka sisältävät lisätietoja tehtävän toteutuksesta, esim. tarkempia kuvauksia prosesseista tai nykyisiä politiikka-asiakirjoja. (Vain Teams -sovelluksessa)
  • Toteuttaako tehtävää tekninen järjestelmä? - Mikäli tämä tehtävä toteutetaan teknologiavetoisesti, liitä relevantti suojausjärjestelmä tehtävän kortille.
  • Minkä yksiköiden / toimipaikkojen tulisi vahvistaa oma toteutuksensa? - Valitse sopiva yksiköt tai toimitilat, joiden tulee kuvata omat toteutukset tämän käytännön jalkautukselle.
  • Kenen on vahvistettava oman osansa toteutus tehtävästä? - Pyydä valittuja käyttäjiä (esim. tietojärjestelmien tai yksikköjen omistajia) vahvistamaan Tehtäväkirjan kautta, kun he ovat suorittaneet oman osuuden tehtävästä. Voit kirjoittaa ohjeet tarvittavista toimista.
  • Tuleeko työntekijöiden noudattaa tehtävään liittyviä ohjeita? - Jos haluat toteuttaa tämän tehtävän ohjeistamalla työntekijöitä, liitä relevantit ohjeet tähän tehtävään ja jaa ne hyväksyttäviksi tarpeellisille käyttäjille Ohjekirja-näkymän kautta.
  • Haluatko kirjoittaa tarkemmat sisäiset ohjeet tehtävää varten? - Jos haluat kirjoittaa tarkemman selityksen auttamaan tämän tehtävän säännöllisessä suorittamisessa, kirjoita se Toteutusohje-kohtaan. Tämä teksti on sisäinen, eikä sitä nosteta raportteihin.

Voit milloin tahansa lisätä tehtävään lisää varmennustapoja. Mitä enemmän varmennustapoja lisäät tehtävään, sitä vahvempi suojaustaso organisaatiollesi on.

Tehtävälle voi lisätä useita erilaisia varmennustapoja

Minkä yksiköiden / toimipaikkojen tulisi vahvistaa oma toteutuksensa?

Voit aina lisätä tehtävään lisää tapoja varmennukseen. Yksi näistä tavoista on toteutuksen jakaminen yksiköille/toimipaikoille. 

Tehtävien toteutus voi vaihdella esimerkiksi yksiköittäin tai toimipaikoittain. Siksi toteutusta on mahdollista tarkentaa lisäämällä kuvauksia näiden yksiköiden tai toimipaikkojen vastuuhenkilöiltä.

Sinun tulee valita kyseiset yksiköt tai toimipaikat, joiden on kirjoitettava oma kuvauksensa tehtävään. Yksikön tai tehtävän vastuuhenkilö vastaa pyydetyn kuvauksen laatimisesta.

Valitse ensin "Lisää"
Valitse halutut yksiköt
Valitse halutut tilat
Yksiköltä pyydetty toteutuksen kuvaus näkyy yksikön/toimipaikan vastuuhenkilön Tehtäväkirjassa (Taskbook). Toteutuksen kuvausta voi täydentää ja muokata Tehtäväkirjan kautta.

Tehtävän omistaja näkee kuvauspyynnön etenemisen tehtäväkortilla. Kuvausten tarkastussykli täsmää automaattisesti tehtävän tarkastussyklin kanssa.

Kenen on vahvistettava oman osansa toteutus tehtävästä?

Tehtävälle voidaan pyytää suorittamisen vahvistamista valitsemalla eri kohteiden vastuuhenkilöitä täydentämään tietoja. Kun kohteen vastuuhenkilöä pyydetään valvomaan toteutusta, hän saa suoritettavan tehtävän Tehtäväkirjaansa. Kaikki yksiköihin liittyvät käyttäjät voivat tarkastella tehtävää ja suoritusohjeita Tehtäväkirjassaan, ja heitä ohjataan merkitsemään oma osuutensa suoritetuksi.

Valitse "Lisää"
Valitse halutut kohteiden vastuuyksiköt ja kirjoita tehtäväohjeet
Tehtäväkirjassa näkyy, että työpanostasi tarvitaan.

Milloin tehtävä on "Ei relevantti" ja milloin "Tehty"?

Tehtävän merkitseminen tilaan "Ei relevantti" vaikuttaa vaatimustenmukaisuuden pisteytykseen (compliance score). Pääsääntöisesti "Ei relevantti" -tilassa olevia tehtäviä ei lasketa mukaan pisteytykseen.

Vaatimustenmukaisuusraportissa pisteytys lasketaan vaatimuksen tilan perusteella.

  • Jos vaatimukseen liittyy useita tehtäviä (esim. 4 kpl), ja merkitset yhden niistä tehdyksi ja kolme muuta "Ei relevantiksi", vaatimus katsotaan täysin suoritetuksi (tumman vihreä tila). Tällöin saat vaatimuksesta täydet vaatimustenmukaisuuspisteet, koska organisaatio hoitaa sen osan vaatimuksesta, joka on sille olennainen.

Huomioitavaa pisteytyksessä: Jos vaatimuksen kaikki tehtävät on merkitty "Ei relevantiksi" (tai vaatimuksella on vain yksi tehtävä, joka merkitään ei-relevantiksi), vaatimuksesta ei kerry vaatimustenmukaisuuspisteitä lainkaan. Tämä johtuu siitä, että teknisesti ottaen organisaatio ei tee mitään kyseisen vaatimuksen eteen.

Paras käytäntö: Tietoinen päätös vs. epäolennaisuus

On tärkeää erottaa toisistaan tilanne, jossa asia on täysin epäolennainen, ja tilanne, jossa organisaatio on tehnyt tietoisen linjauksen asiasta.

Jos organisaatiolla on selkeä päätös tai linjaus siitä, miksi jokin asia ei koske teitä, tehtävä voidaan usein merkitä tilaan "Tehty" perusteluineen, "Ei relevantti" sijaan.

Esimerkki: Tehtävä koskee lasten henkilötietojen käsittelyä. Organisaationne on tehnyt linjauksen: "Emme tarjoa palveluita alle 16-vuotiaille, emmekä täten käsittele lasten henkilötietoja."

Tässä tapauksessa:

  1. Merkitse tehtävä tilaan Tehty (Done).
  2. Kirjaa toteutuksen kuvaukseen perustelu: "Emme tarjoa palveluita alle 16-vuotiaille, joten lasten tietojen käsittelyä ei tapahdu."

Tällä tavoin varmistetaan, että asialla on selkeä omistaja ja päätös on dokumentoitu. Jos toimintaympäristö myöhemmin muuttuu (esim. alatte tarjota palveluita nuoremmille), tehtävä on olemassa ja omistaja voi reagoida siihen. Jos tehtävä olisi vain piilotettu "Ei relevantti" -tilalla, riski asian unohtumiselle muutostilanteessa kasvaa.

Palautetta tai kysyttävää?

Jos sinulla on lisää kysyttävää, tiimiimme voi olla yhteydessä chatin kautta tai sähköpostitse tiimi@digiturvamalli.fi. Otamme myös mielellämme vastaan palautetta Digiturvamallin käytöstä.

Sisältö

Aiheeseen liittyviä artikkeleja

Jaa artikkeli

Alkuun pääsy

Vinkit käytön aloittamiseen ja Digiturvamallin perusasioihin

Digiturvamallin käyttö

Yksityiskohtaisia ohjeartikkeleita Digiturvamallin eri pääominaisuuksista

Asetukset ja pääkäyttäjä

Käyttäjähallinta, organisaation asetukset ja muut pääkäyttäjän toiminnot

Tilin hallinta

Miten tehdä yhteistyötä muun tiimin kanssa

Yleistä Digiturvamallista

Miten varmuuskopioimme sisältösi, miten näet lokit ja muuta tietoa

Riskienhallinta, auditointi ja edistyneet ominaisuudet

Näiden avulla edistätte jatkuvaa parantamista tietoturvatyössä

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiTrust centerVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin