Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Käyttäjien salasanatietojen salaus

Critical
High
Normal
Low

Käytämme vahvaa salausta salasanojen siirron ja tallennuksen aikana kaikissa kehittämissämme palveluissa.

Liittyvät muut vaatimuskehikot ja vaatimukset:
9.4.2: Secure log-on procedures
ISO 27001
10.1.1: Policy on the use of cryptographic controls
ISO 27001

Sovelluspalvelujen julkisen verkkoliikenteen salaus

Critical
High
Normal
Low

Julkisten verkkojen kautta siirrettävää sovelluspalveluihin kuuluvaa tietoa on suojattava vilpilliseltä ja sopimuksen vastaiselta toiminnalta ja luvattomalta paljastumiselta ja muuttamiselta.

Käytämme vahvoja salaus- ja turvallisuusprotokollia (esim. TLS, IPSEC, SSH) suojaamaan luottamuksellisia tietoja niitä siirrettäessä julkisia verkkoja pitkin kehittämiemme IT-palvelujen yhteydessä.

Liittyvät muut vaatimuskehikot ja vaatimukset:
13.2.3: Electronic messaging
ISO 27001
14.1.2: Securing application services on public networks
ISO 27001

Turvallisen kehittämisen säännöt

Critical
High
Normal
Low

Kehitystyötä koskevat yleiset pelisäännöt on laadittu ja ne on hyväksytty kehitystyön johtohenkilöiden toimesta. Sääntöjen toteutumista valvotaan kaikessa organisaatiossa tehtävässä kehityksessä ja ne katselmoidaan vähintään vuosittain.

Turvallisen kehittämisen politiikka voi sisältää mm. seuraavia asioita:

  • kehitysympäristön turvallisuusvaatimukset
  • käytettyjen ohjelmointikielien turvallisen koodaamisen ohjeet
  • turvallisuusvaatimukset ominaisuuksien tai projektien suunnitteluvaiheessa
  • turvalliset ohjelmistovarastot
  • versionhallinnan turvallisuusvaatimukset
  • kehittäjältä vaaditut kyvyt välttää, löytää ja korjata haavoittuvuuksia
  • turvallisten koodausstandardien noudattaminen

Turvallisen kehittämisen sääntöjen noudattamista voidaan vaatia myös avainkumppaneilta.

Liittyvät muut vaatimuskehikot ja vaatimukset:
14.2.1: Secure development policy
ISO 27001
14.2.5: Secure system engineering principles
ISO 27001

Tietojärjestelmien kehittämistä ja hankintaa koskevat turvallisuussäännöt

Critical
High
Normal
Low

Aina hankittaessa tai kehitettäessä uusia tietojärjestelmiä noudatetaan ennalta määritettyjä turvallisuussääntöjä huomioiden järjestelmän prioriteetti. Sääntöjen avulla varmistetaan, että tietojen käsittelyn turvallisuus järjestelmässä on varmistettu riittävin toimenpitein.

Liittyvät muut vaatimuskehikot ja vaatimukset:
I13: Ohjelmistoilla toteutettavat pääsynhallintatoteutukset
Katakri
4 luku, 13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL

Kriittisen koodin tunnistaminen ja tarkastaminen

Critical
High
Normal
Low

Määrittelyä turvallisuuden kannalta kriittisestä koodista eri palvelujen suhteen pidetään yllä. Uusia kriittisen koodin osasia pyritään jatkuvasti tunnistamaan ja uudet päivitykset tarkistetaan erityisen tarkasti kriittistä koodia koskevien muutosten suhteen. Tavoitteena on pitää turvallisuusheikkouksien todennäköisyys mahdollisimman pienenä.

Liittyvät muut vaatimuskehikot ja vaatimukset:
14.2.3: Technical review of applications after operating platform changes
ISO 27001
14.2.5: Secure system engineering principles
ISO 27001
No items found.