ISO 27001

Fyysinen turvallisuus ja ympäristön turvallisuus

Teema-alueen vaatimukset

Teeman tehtävien osa-alueet

ISO 27001

Fyysinen turvallisuus ja ympäristön turvallisuus

Vaatimuskategoriaan liittyvät vaatimukset

No items found.

Esimerkkejä vaatimuksiin liittyvistä tehtävistä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Tietoluokkien määrittely ja luokkakohtaiset suojausmenettelyt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietoluokittelun avulla voidaan antaa tietoja käsitteleville henkilöille nopea näkemys siitä, miten kriittistä tietoa on kyseessä ja kuinka tietoa pitää käsitellä sekä suojata.

Käytetyt tietoluokat ja niitä vastaavat suojaustasot on määritelty. Tietoluokka määritellään analysoimalla kyseessä olevan tiedon luottamuksellisuus, eheys ja saatavuus sekä mahdolliset muut vaatimukset. Kullekin tasolle annetaan selkeä ja kuvaava nimi.

Tietoluokat voivat olla esimerkiksi seuraavia:

  • tietojen paljastaminen ei aiheuta harmia (JULKINEN)
  • tietojen paljastaminen aiheuttaa lievää kiusaa tai vähäistä toiminnallista harmia (LUOTTAMUKSELLINEN)
  • tietojen paljastamisella on huomattavia lyhyen aikavälin vaikutuksia toimintaan tai taktisiin tavoitteisiin (RAJOITETTU)
  • tietojen paljastamisella on vakavia vaikutuksia pitkän aikavälin strategisiin tavoitteisiin tai se vaarantaa koko organisaation olemassaolon (KIELLETTY)

RAJOITETULTA paperitiedolta voidaan vaatia mm. seuraavia suojauksia:

  • Lukittu kaappi
  • Luotettu siirtokumppani
  • Sinetöidyt kirjekuoret
  • Turvallinen hävittäminen

RAJOITETULTA sähköiseltä tiedolta voidaan vaatia mm. seuraavia suojauksia:

  • Valitun salaustason käyttö
  • Salasanasuojaus
  • Turvallinen hävittäminen
  • Tarkemmin rajatut pääsyoikeudet

Laitteiston turvallinen ja harkittu sijoittaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Esimerkiksi tietojenkäsittelyyn käytettävät, sekä muut tärkeät laitteistot, olisi asetettava tiloihin turvallisesti ja harkitusti. Sijoittelun avulla tulee rajoittaa luvatonta pääsyä laitteille.

Ohjeistukset henkilöstölle mobiililaitteiden käyttöön liittyen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Mobiililaitteiden käyttöä varten on luotu omat ohjeistukset henkilöstölle. Ohjeissa käsitellään:

  • rajoituksia ohjelmistojen asentamiselle sekä eri palvelujen käyttämiselle organisaation laitteilla
  • toimintatapoja uusien laitteiden rekisteröintiin
  • vaatimuksia laitteiden fyysisestä suojaamisesta ja päivitysten asentamisesta
  • pääsynhallintaa koskevia vaatimukset
  • organisaation tietojen suojausta salauksen, haittaohjelmasuojauksen sekä varmuuskopioinnin avulla
  • organisaation mahdollisuuksia etähallita laitetta

Ohjeistukset henkilötietojen ja muun luottamuksellisen tiedon käsittelyyn liittyen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietosuojan vastuuhenkilö on muodostanut toimintaohjeet henkilötietoja käsittelevälle henkilöstölle. Lisäksi tietosuojan vastuuhenkilö on valmiina antamaan neuvoja rekisterinpitäjälle, henkilötietoja käsitteleville kumppaneille tai omalle henkilöstölle tietosuojaan liittyen tietosuoja-asetuksen tai muiden tietosuojavaatimusten noudattamiseen.

Vierailijaohjeet ja -loki

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Vierailijat pääsevät turva-alueille ainoastaan luvan kanssa, asiallisesti tunnistettuina ja heidän pääsyoikeutensa on rajattu ainoastaan tarvittaviin tiloihin. Kaikki vierailut kirjataan vierailijalokiin. Lisäksi henkilöstöä on ohjeistettu turvalliseen toimintaan vierailuihin liittyen.

Ohjeistukset tiedostojen käyttöön ja paikallisiin tietoihin liittyen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Etenkin kun paikallista tai rakenteetonta tietoa on toiminnan luonteen vuoksi tarpeen käsitellä paljon, voi olla tarpeen kehittää koulutusta, joka kuvaa näihin liittyiviä riskejä henkilöstölle.

Paikallisen ja rakenteettoman tiedon yleisiä ongelmia ovat mm.:

  • ei varmuuskopiointia
  • ei pääsynhallintaa
  • vaikea löydettävyys

Tiedoille, joiden et haluat häviävän, joiden käyttöä haluat valvoa tai jotka on tärkeä löytää jatkossa, henkilöstön pitäisi käyttää niihin suunniteltuja järjestelmiä.

Ohjeistukset toimintaan luottamuksellisen tiedon käsittelyalueilla

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio on määritellyt luottamuksellisen tiedon käsittelyalueet sekä toimintasäännöt, joita noudatetaan kaikessa luottamuksellisen tiedon käsittelyalueilla tapahtuvassa toiminnassa.

Toimintasäännöissä tulisi harkita seuraavien seikkojen huomiointia:

  • säännöistä ja liittyvistä alueista tiedotetaan ainoastaan henkilöstöä, jolle tieto on relevanttia
  • valvomaton työ alueilla minimoidaan
  • alueet ovat fyysisesti lukittuja ja ne tarkastetaan säännöllisesti
  • valtuuttamattomien tallennuslaitteiden (mm. puhelimet, videokamerat) kieltäminen
  • päätelaitteiden kuljettamisen valvominen
  • hätätilanneohjeiden julkaiseminen helposti saatavilla olevalla tavalla

Yleiset tietoturvaohjeet henkilöstölle

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Henkilöstöllä on oltava tietoturvaohjeet, joissa on käsiteltävä mm. seuraavia aiheita:

  • mobiilaitteiden käyttö ja päivitykset
  • tiedon tallentaminen ja varmuuskopiointi
  • tietosuoja
  • sähköpostin käyttö
  • tulosteiden, papereiden ja tiedostojen käsittely
  • häiriöistä ilmoittaminen
  • huijausten estäminen

Ilmoitusprosessi fyysisten tunnisteiden häviämisen varalle

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Henkilöstöllä on toimintaohjeet ja työkalut, joiden avulla he voivat ilmoittaa kadonneesta fyysisestä tunnisteesta (esim. avaimenperä, älykortti, älytarra).

Kapasiteettiongelmien ennakointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietojärjestelmien toiminta voi olla riippuvaista tietyistä avainresursseista, kuten palvelinkapasiteetista, tallennustilasta, tietojenkäsittelykapasiteetista, valvontakapasiteetista tai tietyistä avainhenkilöistä.

Etenkin osalla näistä resursseista voi tietyissä tilanitessa olla pitkät toimitusajat tai korkeat kustannukset, jolloin tuleviin kapasiteettiongelmiin niiden kanssa on kiinnitettävä erityistä huomiota.

Tarkkailemme tärkeimpien järjestelmäresurssien käyttöä ja tunnistamme suuntaukset, turvallisuutta mahdollisesti uhkaavat pullonkaulat ja riippuvuudet tärkeistä henkilöistä.

Ylijännitesuojien ja keskeytymättömien virtalähteiden (UPS) käyttö

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Ylijännitesuojat estävät virtatason nousujen ja laskujen vahingoittamasta laitteita. Keskeytymättömät virtalähteet (UPS) puolestaan takaavat rajallisen ajan akkuvirtaa, jonka avulla voidaan työskennellä lyhyiden sähkökatkostenkin aikana. Kriittiset laitteet pidetään kiinni UPS:ssä.

Hälytysjärjestelmät laitteiston ympäristöolosuhteille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Hälytysjärjestelmien avulla tarkkaillaan tärkeimpien ympäristöolosuhteiden (esim. lämpötila ja kosteus) tasoa, jotka voivat vaikuttaa haitallisesti tietojenkäsittelylaitteistojen toimintaan.

Laitteiston asiallisen huollon varmistaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Laitteistoja olisi huollettava toimittajan suosittelemin aikavälein sekä toimittajan antamia määrittelyjä noudattaen.

Kaapelien suojaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Virta- ja tietoliikennekaaplien, jotka joko liikuttavat tietoa itsessään tai tukevat tiedonsiirtopalveluita, suojataan vahingolta, salakuuntelulta ja häirinnältä.

Kaapeloinnin turvallisuudessa olisi otettava huomioon mm. seuraavat seikat:

  • tietoliikennelinjojen olisi mahdollisuuksien mukaan oltava maanalaisia tai muuten riittävän suojattuja
  • sähkökaapelit olisi eristettävä tietoliikennekaapeleista, jotta vältytään häiriöiltä
  • panssarikaapeleiden, sähkömagneettisen suojauksen tai teknisen haravoinnin käyttö erittäin kriittisissä paikoissa

Salamasuojaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kaikkiin rakennuksiin ja kaikkiin saapuviin voimalinjoihin ja ulkoisiin viestintälinjoihin on asennettu salamasuojaus.

Peruspalvelujen testaus, vikasietoisuuden arviointi ja varmistus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Peruspalvelujen (kuten sähkön, tietoliikenteen, vedenjakelun, viemäröinnin, lämmityksen, tuuletuksen ja ilmastoinnin) toimintaa seurataan, jotta voidaan varmistaa, että niiden kapasiteetti kattavan liiketoiminnan kasvun.

Sähkömagneettisen tietovuodon hallinta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Sähköiset laitteet kuten kaapelit, näyttöpäätteet, kopiokoneet, tabletit ja älypuhelimet vuotavat sähkömagneettista säteilyä, josta on oikealla laitteistolla mahdollista selvittää alkuperäinen lähetetty tieto - vaikkapa syötetty käyttäjätunnus ja salasana.

Toimitilan rakenteissa olevat aukot (ikkunat, ovet, ilmastointi) suojataan, jotta ne eivät päästä säteilyä ulos. Lisäksi luottamuksellista tietoa käsittelevät laitteet sijoitetaan niin, että sähkömagneettisesta vuodosta johtuva tietovuotoriski pidetään mahdollisimman pienenä.

Laitehuoltolokin ylläpito

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Laitteistolle tehdyt huollot kirjataan lokiin, joka sisältää tiedot mm.:

  • epäillyistä ja sattuneista vioista
  • ehkäisevistä ja korjaavista toimenpiteistä
  • laitteiden tarkistamisesta huollon jälkeen

Fyysisen pääsyn valvonta rakennuksiin, toimistoihin ja muihin toimipaikkoihin

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation turva-alueille ei pääse huomaamatta, vaan tilat on suojattu asianmukaisella kulunvalvonnalla. Vain luvan saaneet henkilöt pääsevät turva-alueille.

Sähköistä liikkumislokia tuottavien avainten tai muiden tunnisteiden käyttö

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Toimitiloissa ei voi liikkua ilman tunnisteita, jotka tallentavat henkilön liikkeet sähköiseen lokikirjaan.

Vahva tunnistus erittäin luottamuksellisen tiedon käsittely- tai varastointialueille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Pääsy alueille, joissa käsitellään tai varastoidaan luottamuksellista tietoa, olisi rajoitettava vain valtuutettuihin yksilöihin toteuttamalla asianmukainen pääsynhallinta, esim. käyttämällä kaksivaiheista todentamismekanismia, kuten kulkukorttia ja tunnuslukua.

Näkyvien tunnisteiden käyttö

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation toimitiloissa ei voi liikkua ilman näkyvää tunnistetta.

Tukipalvelujen työntekijöiden rajattu pääsy tiloihin ja sen tarkkailu

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Ulkopuolisten tukipalvelujen työntekijöille, kuten huoltotyötä tai siivousta toteuttaville henkiköille, myönnetään pääsyoikeudet vain niille välttämättömille turva-alueille ja luottamuksellisiin tietojenkäsittelypalveluihin, joihin heillä on tarve. Ulkopuolisten tukipalvelujen työntekijöiden pääsyoikeuksia tarkastellaan säännöllisesti.

Prosessi luottamuksellista tietoa sisältävien siirrettävien tietovälineiden turvalliseen hävittämiseen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tarpeettomat tietovälineet olisi hävitettävä turvallisella, toimialalla yleisesti hyväksytyllä, tavalla (esimerkiksi polttamalla, silppuamalla tai pyyhkimällä) muodollisten menettelyjen mukaisesti. Turvallista hävittämistä edellyttävät tietovälineet on merkitty selkeästi.

Prosessin mukaisesti hävitettyjen tietojen ei tule olla palautettavissa edes rikosteknisin keinoin.

Päätelaitteiden PIN-suojaus ja automaattinen lukitus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Laitteet olisi suojattava siten, ettei niihin tallennettua tai niissä käsiteltävää tietoa kyetä käyttämään tai paljastamaan luvattomasti. Laitteiden pakollinen suojaaminen esim. 5-numeroisella PIN-koodilla ennen jokaista käyttökertaa sekä laitteiden automaattinen lukittuminen esim. 5 minuutin käyttämättömyyden jälkeen voivat auttaa.

Kannettavien tietokoneiden turvallinen hävittäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio on määritellyt toimintatavat, joiden mukaisesti toimien tarpeettomaksi jääneet kannettavat tietokoneet hävitetään turvallisesti.

Sopivien laitteiden ja säilytyskalusteiden järjestäminen etätyötä varten

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Sopivien laitteiden ja säilytyskalusteiden järjestäminen etätyötä varten, jos organisaation valvonnan ulkopuolella olevien henkilökohtaisten laitteiden käyttö ei ole sallittua.

Lukitut kaapit / huonekalut arkaluonteisen paperitiedon säilyttämiseen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Mikäli arkaluonteista paperitietoa tarvitaan, niiden säilyttämistä varten on olemassa kassakaappeja, muita lukollisia kaappeja tai muita turvallisia huonekaluja.

Arkaluonteiset tiedot eivät saa olla lojumassa kenen tahansa saatavilla ympäri toimistoa.

Salakatselun estäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tiedon esiintymismuodosta riippumatta henkilötietoja tai muuta salassa pidettävää tietoa käsitellään niin, ettei tieto näy asiattomille.

Salakuuntelun estäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Henkilötiedoista tai muista salassa pidettävistä tiedoista käytävä keskustelu ei saa välittyä viereisiin tiloihin tiloihin niille, joilla ei ole tietoon oikeutta.

Kameravalvonta kiinteistöissä

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Turvallisuushenkilöstö käyttää kameravalvontaa luvattoman pääsyn, sabotaasin tai muiten hälytysten todentamiseksi organisaation toimitiloissa.

Vartiointipalvelut kiinteistöissä

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation toimitiloja sekä laitteiden käyttöympäristöjä suojataan aktiivisesti vartioinnilla.

ISO 27001Fyysinen turvallisuus ja ympäristön turvallisuus

Fyysinen turvallisuus ja ympäristön turvallisuus

Tämän vaatimuksen toteuttamiseen liittyvät tehtävät

Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.

No items found.
No items found.