Ohjeistukset henkilötietojen ja muun luottamuksellisen tiedon käsittelyyn liittyen

Critical
High
Normal
Low

Tietosuojan vastuuhenkilö on muodostanut toimintaohjeet henkilötietoja käsittelevälle henkilöstölle. Lisäksi tietosuojan vastuuhenkilö on valmiina antamaan neuvoja rekisterinpitäjälle, henkilötietoja käsitteleville kumppaneille tai omalle henkilöstölle tietosuojaan liittyen tietosuoja-asetuksen tai muiden tietosuojavaatimusten noudattamiseen.

Liittyvät muut vaatimuskehikot ja vaatimukset:
29. Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa
GDPR
7.2.2: Information security awareness, education and training
ISO 27001

Yleiset tietoturvaohjeet henkilöstölle

Critical
High
Normal
Low

Henkilöstöllä on oltava tietoturvaohjeet, joissa on käsiteltävä mm. seuraavia aiheita:

  • mobiilaitteiden käyttö ja päivitykset
  • tiedon tallentaminen ja varmuuskopiointi
  • tietosuoja
  • sähköpostin käyttö
  • tulosteiden, papereiden ja tiedostojen käsittely
  • häiriöistä ilmoittaminen
  • huijausten estäminen
Liittyvät muut vaatimuskehikot ja vaatimukset:
T11: Turvallisuuskoulutus ja -tietoisuus
Katakri
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL

Ohjeistukset henkilöstölle tietojärjestelmien ja tunnistautumistietojen käyttöön liittyen

Critical
High
Normal
Low

Organisaatiolla tulisi olla määritelly ohjeet tietojärjestelmien yleisesti hyväksyttävälle käytölle sekä tarvittavien tunnistautumistietojen hallinnalle.

Tärkeäksi luokiteltujen tietojärjestelmien omistaja voi lisäksi määritellä, dokumentoida ja jalkauttaa tarkempia sääntöjä juuri tämän tietojärjestelmän käytöstä. Nämä saannöt voivat kuvata mm. tietoturvavaatimukset, jotka järjestelmän sisältävään tietoon liittyvät.

Liittyvät muut vaatimuskehikot ja vaatimukset:
32. Käsittelyn turvallisuus
GDPR
29. Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa
GDPR

Varmuuskopioiden säännöllinen testaus, arviointi ja palautusohjeet

Critical
High
Normal
Low

Varmuuskopiointiin käytettäviä tietovälineitä ja varmuuskopioiden palauttamista testataan säännöllisesti, jotta voidaan varmistua siitä, että hätätilanteessa niihin voidaan luottaa.

Varmuuskopioiden palauttamisesta ylläpidetään tarkkoja ja täydellisiä ohjeita. Toimintaohjeiden avulla seurataan varmuuskopioiden toimintaa ja varaudutaan varmuuskopioiden epäonnistumiseen.

Liittyvät muut vaatimuskehikot ja vaatimukset:
12.3: Backup
ISO 27001
12.1.1: Documented operating procedures
ISO 27001

Tietoluokkien merkitsemistapojen määrittely ja ohjeistaminen

Critical
High
Normal
Low

Tiedon merkitsemistavat on määritelty, ne ovat helposti tunnistettavia ja ne kattavat sekä fyysiset että sähköiset tiedot ja omaisuudet. Merkinnästä tulee käydä ilmi, miltä osin asiakirja on salassa pidettävä ja mihin salassapito perustuu. Henkilöstöä ohjeistetaan merkintöjen tekemisestä.

Liittyvät muut vaatimuskehikot ja vaatimukset:
8.2.1: Classification of information
ISO 27001
8.2.2: Labelling of information
ISO 27001

Ohjeiden jatkuva kehittäminen

Critical
High
Normal
Low

Mikäli henkilöstöllä on ristiriitaisia tavoitteita tietoturvaohjeiden kanssa, he eivät todennäköisesti noudata ohjeita.

Organisaatio pyrkii aktiivisesti löytämään huonosti toimivat ohjeet ja muokkaamaan joko ohjetta, työkaluja tai henkilöstön prioriteetteja, jotta ohjeita noudatetaan.

Liittyvät muut vaatimuskehikot ja vaatimukset:
12.1.1: Documented operating procedures
ISO 27001
T11: Turvallisuuskoulutus ja -tietoisuus
Katakri
No items found.