Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Järjestelmien hankintaa ja valintaa koskevat yleiset säännöt

Critical
High
Normal
Low

Aina hankittaessa uusia tietojärjestelmiä noudatetaan ennalta määriteltyä hankintaprosessia ja -sääntöjä. Sääntöjen avulla varmistetaan, että toimittaja pystyy takaamaan riittävän turvallisuustason järjestelmän tärkeys huomioiden.

Liittyvät muut vaatimuskehikot ja vaatimukset:
4 luku, 13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
14.1.1: Information security requirements analysis and specification
ISO 27001

Tietojärjestelmien kehittämistä ja hankintaa koskevat turvallisuussäännöt

Critical
High
Normal
Low

Aina hankittaessa tai kehitettäessä uusia tietojärjestelmiä noudatetaan ennalta määritettyjä turvallisuussääntöjä huomioiden järjestelmän prioriteetti. Sääntöjen avulla varmistetaan, että tietojen käsittelyn turvallisuus järjestelmässä on varmistettu riittävin toimenpitein.

Liittyvät muut vaatimuskehikot ja vaatimukset:
I13: Ohjelmistoilla toteutettavat pääsynhallintatoteutukset
Katakri
4 luku, 13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL

Kriteerit korkean prioriteetin tietojärjestelmien toimittajille

Critical
High
Normal
Low

Organisaatio on määritellyt tärkeiltä kumppaneilta vaaditut sertifioinnit tai noudatettavat standardit. Yleisesti tunnistettuja digiturvaan liittyviä standardeja ovat mm.:

  • ISO 27001 (tietoturvan hallintajärjestelmä)
  • SOC2 (yleinen tietoturva, kutsutaan myös SSAE 16)
  • ISO 27701 (tietosuojan hallintajärjestelmä)
  • ISO 27017 (digiturva pilvipalveluissa) tai ISO 27018 (tietosuoja pilvipalveluissa)
  • muita suosittuja mm. NIST (yleinen), CSA (pilviohjelmistot), PCI DSS (korttimaksaminen)

Esimerkiksi kumppanilta vaadittava sertifiointi voi tehostaa omaa kumppanihallintaa ja toimia hyvänä todisteena kumppanin tietystä tietoturva- tai tietosuojatasosta.

Liittyvät muut vaatimuskehikot ja vaatimukset:
15.1.1: Information security policy for supplier relationships
ISO 27001
14.1.1: Information security requirements analysis and specification
ISO 27001

Järjestelmäportfolion hallinta ja ennakoiva suunnittelu

Critical
High
Normal
Low

Määrätietoinen järjestelmäportfolion hallinta tarkoittaa selkeää kuvaa organisaation järjestelmäkokonaisuudesta, eri järjestelmien hyödyistä ja tulevista tarpeista.

Järjestelmäportfolion hallinnalla pyritään saavuttamaan mm.:

  • tehokkuushyötyjä ymmärtämällä kokonaisuus ja esim. integraatioiden mahdollisuudet
  • poistamaan päällekkäisyyksiä
  • säästämään turhissa lisenssikustannuksissa
  • hallitsemaan toimittajien määrää
  • helpottamaan henkilöstön ohjeistamista
Liittyvät muut vaatimuskehikot ja vaatimukset:
14.1.1: Information security requirements analysis and specification
ISO 27001

Tärkeiden järjestelmätoimittajien käsittelysopimusten erillinen analysointi

Critical
High
Normal
Low

Käsittelysopimuksella sidotaan henkilötietojen käsittelijän (kuten järjestelmätoimittajan) tekemisiä.

Meille voi olla tärkeää vastuuttaa tärkeää kumppania haluamallamme tasolla huolehtimaan mm. käytön valvonnasta (lokituksista) sekä tietojen palauttamisesta sopimuksen päättyessä haluamiemme toimintatapojen mukaan.

Liittyvät muut vaatimuskehikot ja vaatimukset:
28. Henkilötietojen käsittelijä
GDPR
15.1.2: Addressing security within supplier agreements
ISO 27001
No items found.