Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.
Käsittelysopimuksella sidotaan henkilötietojen käsittelijän (kuten järjestelmätoimittajan) tekemisiä.
Meille voi olla tärkeää vastuuttaa tärkeää kumppania haluamallamme tasolla huolehtimaan mm. käytön valvonnasta (lokituksista) sekä tietojen palauttamisesta sopimuksen päättyessä haluamiemme toimintatapojen mukaan.
Tietoluokittelun avulla voidaan antaa tietoja käsitteleville henkilöille nopea näkemys siitä, miten kriittistä tietoa on kyseessä ja kuinka tietoa pitää käsitellä sekä suojata.
Käytetyt tietoluokat ja niitä vastaavat suojaustasot on määritelty. Tietoluokka määritellään analysoimalla kyseessä olevan tiedon luottamuksellisuus, eheys ja saatavuus sekä mahdolliset muut vaatimukset. Kullekin tasolle annetaan selkeä ja kuvaava nimi.
Tietoluokat voivat olla esimerkiksi seuraavia:
RAJOITETULTA paperitiedolta voidaan vaatia mm. seuraavia suojauksia:
RAJOITETULTA sähköiseltä tiedolta voidaan vaatia mm. seuraavia suojauksia:
Uusia tietojärjestelmiä hankittaessa tarkistetaan seuraavien kriteerien täyttyminen:
Uusia tietojärjestelmiä hankittaessa tarkistetaan seuraavien turvallisuuskriteerien täyttyminen:
Matalan riskin järjestelmä
Keskiverron riskin järjestelmä
Korkean riskin järjestelmä
Organisaatio tarjoaa työntekijöille VPN-palvelun jonka avulla liikenne julkisissa Wi-Fi -verkoissa tulee salata. Henkilöstöä ohjeistetaan palvelun käytöstä.
Kahvilan Wi-Fi -verkko on usein joko täysin salaamaton tai salasana on kaikille helposti saatavilla. Tällöin verkossa lähetetyt tiedot ovat alttiita vakoilulle. VPN-yhteys salaa tiedot verkon asetuksista riippumatta.
Julkisten verkkojen kautta siirrettävää sovelluspalveluihin kuuluvaa tietoa on suojattava vilpilliseltä ja sopimuksen vastaiselta toiminnalta ja luvattomalta paljastumiselta ja muuttamiselta.
Käytämme vahvoja salaus- ja turvallisuusprotokollia (esim. TLS, IPSEC, SSH) suojaamaan luottamuksellisia tietoja niitä siirrettäessä julkisia verkkoja pitkin kehittämiemme IT-palvelujen yhteydessä.
Määrätietoinen järjestelmäportfolion hallinta tarkoittaa selkeää kuvaa organisaation järjestelmäkokonaisuudesta, eri järjestelmien hyödyistä ja tulevista tarpeista.
Järjestelmäportfolion hallinnalla pyritään saavuttamaan mm.:
Huolella valitut sertifikaatit voivat olla hyviä yleisesti tunnistettuja todisteita tietystä tietoturva- tai tietosuojatasosta.
Organisaatio voi päättää vaatia tärkeiltä kumppaneilta tietyn sertifikaatin omaamista. Yleisesti tunnistettuja digiturvaan liittyviä sertifikaatteja ovat mm.:
Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.