Tietojärjestelmien listaus ja omistajien nimeäminen

Critical
High
Normal
Low

Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä sekä tietojärjestelmille nimetyistä omistajista. Omistaja vastaa järjestelmän tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti järjestelmään.

Järjestelmiin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

  • Järjestelmään liittyvät vastuut ja sen käyttötarkoitus
  • Järjestelmän tietojen sijainti (käsitellään tarkemmin erillisessä tehtävässä)
  • Kuvaus järjestelmän ylläpito- ja kehitysvastuista sekä tähän mahdollisesti liittyvät toimittajat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tietojärjestelmän pääsyoikeusroolit ja tunnistautumistavat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa liittymät muihin järjestelmiin (käsitellään tarkemmin erillisessä tehtävässä)
Liittyvät muut vaatimuskehikot ja vaatimukset:
I06: Pääsyoikeuksien hallinnointi
Katakri
4 luku, 13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL

Tietoaineistojen dokumentointi tietovarannoille

Critical
High
Normal
Low

Organisaation on ylläpidettävä listaa sen hallinnoimiin tietovarantoihin sisältyvistä tietoaineistoista.

Dokumentaation on sisällettävä vähintään seuraavat tiedot:

  • Aineiston käsittelyyn käytetyt tietojärjestelmät ja muut keinot
  • Keskeiset tietoryhmät aineistossa (ja sisältääkö henkilötietoja)
  • Tietojen säilytysaika (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tieto aineistojen arkistoinnista / hävittämisestä (käsitellään tarkemmin erillisessä tehtävässä)
Liittyvät muut vaatimuskehikot ja vaatimukset:
T07: Tietojen luokittelu
Katakri
4 luku, 13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL

Tietovarantojen listaus ja omistajien nimeäminen

Critical
High
Normal
Low

Organisaation on ylläpidettävä listaa hallinnoimistaan tietovarannoista sekä nimetyistä omistajista. Omistaja vastaa varannon tietojen täydentämisestä sekä mahdollisista muista digiturvatoimenpiteistä, jotka liittyvät tiiviisti tietovarantoon.

Tietovarantoihin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

  • Tietovarantoon liittyvät vastuut
  • Tietojen käyttötarkoitukset (käsitellään tarkemmin erillisessä tehtävässä)
  • Tietoaineistot, joista tietovaranto muodostuu (käsitellään tarkemmin erillisessä tehtävässä)
  • Tietojen säännönmukaiset luovutukset (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tieto tietovarannon sidoksesta toimintaprosesseihin
Liittyvät muut vaatimuskehikot ja vaatimukset:
2 luku, 5 §: Tiedonhallintamalli ja muutosvaikutuksen arviointi
TiHL
6. Käsittelyn lainmukaisuus
GDPR

Muun suojattavan omaisuuden dokumentointi

Critical
High
Normal
Low

Organisaation on luetteloitava kaikki oleellinen suojattava omaisuus määrittääkseen omistajuuksia sekä varmistaakseen, että tietoturvallisuuden toimenpiteet kattavat kaikki tarvittavat kohteet. 

Iso osa suojattavasta omaisuudesta (mm. tieto, tietojärjestelmät, henkilöstö / yksiköt sekä kumppanit) käsitellään muiden tehtävien kautta. Organisaation tulee lisäksi listata muu oleellinen suojattava omaisuus, joka voi oman toiminnan luonteesta riippuen olla mm. laitteistoa (palvelimet, verkkolaitteet, työasemat, tulostimet) tai infrastruktuuria (kiinteistöt, sähköntuotto, ilmastointi).

Liittyvät muut vaatimuskehikot ja vaatimukset:
8.1.1: Inventory of assets
ISO 27001
8.1.2: Ownership of assets
ISO 27001

Alkuperäisten turvatoimien soveltaminen tietojen kopioihin ja käännöksiin

Critical
High
Normal
Low

Tulostimet ja kopiokoneet tulkitaan tietojärjestelmiksi ja niiden tulee siten täyttää vaatimukset sekä teknisen, fyysisen että hallinnollisen tietoturvallisuuden osalta. Tekniset vaatimukset voi täyttää muun muassa erillislaiteratkaisulla.

Vaatimus voidaan täyttää siten, että toteutetaan alla mainitut toimenpiteet:

  • Kopioita käsitellään kuten alkuperäistä tietoa.
  • Kopion voi luovuttaa edelleen vain henkilölle, jolla on käsittelyoikeus tietoon ja tarve tietosisältöön.
  • Kopion/tulosteen saa ottaa vain ko. turvallisuustason vaatimukset täyttävällä laitteella.



Liittyvät muut vaatimuskehikot ja vaatimukset:
FYY-09: Tietojen kopioiminen
Julkri
1.1 (MIL1): Manage IT and OT Asset Inventory
C2M2

Kriittisten toimintojen ja liittyvien kohteiden tunnistaminen

Critical
High
Normal
Low

Organisaatiolla on selkeä prosessi, jonka mukaisesti se tunnistaa toimintansa kannalta kaikkein kriittisimmät toiminnot (esim. asiakkaille tarjottavat palvelut), joihin kohdistuvat jatkuvuusvaatimukset ovat kaikkein korkeimmat.

Näiden toimintojen kannalta välttämättömät tietojenkäsittely-ympäristön kohteet (kuten tietojärjestelmät, tietovarannot, toimintaprosessit, kumppanit, yksiköt, laitteisto) luokitellaan kriittisiksi.

Kriittiset toiminnot huomioidaan korkeimmalla prioriteetilla mm. jatkuvuussuunnittelussa ja niihin voidaan muutenkin kohdistaa tiukempia turvallisuusvaatimuksia, kuin ympäristön muihin kohteisiin.

Liittyvät muut vaatimuskehikot ja vaatimukset:
26: Kriittisten toimintojen tunnistaminen
72: Organisaation kriittisten palveluiden tunnistaminen
No items found.