ISO 27001

Tietojärjestelmiä koskevat turvallisuusvaatimukset

Teema-alueen vaatimukset

Teeman tehtävien osa-alueet

No items found.
ISO 2700114: System acquisition, development and maintenance14Järjestelmien hankkiminen, kehittäminen ja ylläpito

Tietojärjestelmiä koskevat turvallisuusvaatimukset

Vaatimuskategoriaan liittyvät vaatimukset

Esimerkkejä vaatimuksiin liittyvistä tehtävistä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Tärkeiden järjestelmätoimittajien käsittelysopimusten erillinen analysointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Käsittelysopimuksella sidotaan henkilötietojen käsittelijän (kuten järjestelmätoimittajan) tekemisiä.

Meille voi olla tärkeää vastuuttaa tärkeää kumppania haluamallamme tasolla huolehtimaan mm. käytön valvonnasta (lokituksista) sekä tietojen palauttamisesta sopimuksen päättyessä haluamiemme toimintatapojen mukaan.

Tietoluokkien määrittely ja luokkakohtaiset suojausmenettelyt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietoluokittelun avulla voidaan antaa tietoja käsitteleville henkilöille nopea näkemys siitä, miten kriittistä tietoa on kyseessä ja kuinka tietoa pitää käsitellä sekä suojata.

Käytetyt tietoluokat ja niitä vastaavat suojaustasot on määritelty. Tietoluokka määritellään analysoimalla kyseessä olevan tiedon luottamuksellisuus, eheys ja saatavuus sekä mahdolliset muut vaatimukset. Kullekin tasolle annetaan selkeä ja kuvaava nimi.

Tietoluokat voivat olla esimerkiksi seuraavia:

  • tietojen paljastaminen ei aiheuta harmia (JULKINEN)
  • tietojen paljastaminen aiheuttaa lievää kiusaa tai vähäistä toiminnallista harmia (LUOTTAMUKSELLINEN)
  • tietojen paljastamisella on huomattavia lyhyen aikavälin vaikutuksia toimintaan tai taktisiin tavoitteisiin (RAJOITETTU)
  • tietojen paljastamisella on vakavia vaikutuksia pitkän aikavälin strategisiin tavoitteisiin tai se vaarantaa koko organisaation olemassaolon (KIELLETTY)

RAJOITETULTA paperitiedolta voidaan vaatia mm. seuraavia suojauksia:

  • Lukittu kaappi
  • Luotettu siirtokumppani
  • Sinetöidyt kirjekuoret
  • Turvallinen hävittäminen

RAJOITETULTA sähköiseltä tiedolta voidaan vaatia mm. seuraavia suojauksia:

  • Valitun salaustason käyttö
  • Salasanasuojaus
  • Turvallinen hävittäminen
  • Tarkemmin rajatut pääsyoikeudet

Järjestelmien hankintaa ja valintaa koskevat yleiset säännöt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Uusia tietojärjestelmiä hankittaessa tarkistetaan seuraavien kriteerien täyttyminen:

  • Järjestelmä täyttää uuden, erillisen liiketoimintatarpeen
  • Järjestelmä integroituu hyvin muihin käytettyihin järjestelmiin ja tunnistautumistapoihin
  • Järjestelmä täyttää turvallisuuden minimivaatimukset kriittisyysluokkansa mukaan
  • Järjestelmä ei vaadi liikaa kustomointia ja henkilöstöllä on osaaminen sen käyttöön
  • Palveluntarjoaja on kannattava yritys vahvoilla referensseillä ja historialla

Hankittujen / kehitettyjen järjestelmien turvallisuutta koskevat yleiset säännöt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Uusia tietojärjestelmiä hankittaessa tarkistetaan seuraavien turvallisuuskriteerien täyttyminen:

Matalan riskin järjestelmä

  • Järjestelmä käyttää hyväksyttyjä tunnistautumistapoja
  • Palveluntarjoaja toimii kannattavasti ja tiedottaa selvästi muutoksista
  • Tietoliikenne on salattu vaaditusti (esim. vähintään TLS 1.1 -salauksella)

Keskiverron riskin järjestelmä

  • Järjestelmä tukee kaksivaiheista tunnistautumista tai voidaan integroida keskitettyyn kirjautumisratkaisuun
  • Järjestelmä sisältää kattavan käytön valvonnan ja ehdoissa on sitouduttu lokien toimittamiseen asiakkaalle pyynnöstä
  • Palveluntarjoaja on sitoutunut sopimuksellisesti palauttamaan ja tuhoamaan asiakkaan tiedot käytön päättyessä

Korkean riskin järjestelmä

  • Palveluntarjoaja omaa määritellyt sertifikaatit (esim. ISO27001, SOC2, NIST, PCI DSS)
  • Palveluntarjoaja on läpäissyt tarkemman tietoturva- ja tietosuoja-analyysin

VPN-palvelun hankinta ja ohjeistus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio tarjoaa työntekijöille VPN-palvelun jonka avulla liikenne julkisissa Wi-Fi -verkoissa tulee salata. Henkilöstöä ohjeistetaan palvelun käytöstä.

Kahvilan Wi-Fi -verkko on usein joko täysin salaamaton tai salasana on kaikille helposti saatavilla. Tällöin verkossa lähetetyt tiedot ovat alttiita vakoilulle. VPN-yhteys salaa tiedot verkon asetuksista riippumatta.

Käyttäjien salasanatietojen salaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Käytämme vahvaa salausta salasanojen siirron ja tallennuksen aikana kaikissa kehittämissämme palveluissa. 

Sovelluspalvelujen julkisen verkkoliikenteen salaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Julkisten verkkojen kautta siirrettävää sovelluspalveluihin kuuluvaa tietoa on suojattava vilpilliseltä ja sopimuksen vastaiselta toiminnalta ja luvattomalta paljastumiselta ja muuttamiselta.

Käytämme vahvoja salaus- ja turvallisuusprotokollia (esim. TLS, IPSEC, SSH) suojaamaan luottamuksellisia tietoja niitä siirrettäessä julkisia verkkoja pitkin kehittämiemme IT-palvelujen yhteydessä.

Järjestelmäportfolion hallinta ja ennakoiva suunnittelu

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Määrätietoinen järjestelmäportfolion hallinta tarkoittaa selkeää kuvaa organisaation järjestelmäkokonaisuudesta, eri järjestelmien hyödyistä ja tulevista tarpeista.

Järjestelmäportfolion hallinnalla pyritään saavuttamaan mm.:

  • tehokkuushyötyjä ymmärtämällä kokonaisuus ja esim. integraatioiden mahdollisuudet
  • poistamaan päällekkäisyyksiä
  • säästämään turhissa lisenssikustannuksissa
  • hallitsemaan toimittajien määrää
  • helpottamaan henkilöstön ohjeistamista

Vaadittujen sertifikaattien tai standardien määrittely korkean riskin järjestelmien toimittajille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Huolella valitut sertifikaatit voivat olla hyviä yleisesti tunnistettuja todisteita tietystä tietoturva- tai tietosuojatasosta.

Organisaatio voi päättää vaatia tärkeiltä kumppaneilta tietyn sertifikaatin omaamista. Yleisesti tunnistettuja digiturvaan liittyviä sertifikaatteja ovat mm.:

  • ISO 27001 (yleinen tietoturva)
  • SOC2 (yleinen tietoturva, kutsutaan myös SSAE 16)
  • ISO 27017 (digiturva pilvipalveluissa)
  • ISO 27018 (tietosuoja pilvipalveluille)
  • muita suosittuja digiturvaan liittyviä standardeja mm. NIST (yleinen), CSA (pilviohjelmistot), PCI DSS (korttimaksaminen)

Tietojärjestelmiä koskevat turvallisuusvaatimukset

Tämän vaatimuksen toteuttamiseen liittyvät tehtävät

Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.