Seuraava webinaari
"
Pääkäyttäjäkoulutus (osa 4/5): Henkilöstön digiturvakoulutuksen ja -ohjeistuksen automatisointi
"
alkaa
00
pv
00
h
00
min
päästä  
ISO 27001

Tietoturvallisuuden katselmoinnit

Teema-alueen vaatimukset

Teeman tehtävien osa-alueet

No items found.
ISO 2700118: Compliance18Vaatimustenmukaisuus

Tietoturvallisuuden katselmoinnit

Vaatimuskategoriaan liittyvät vaatimukset

Esimerkkejä vaatimuksiin liittyvistä tehtävistä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Sisäisten auditointien toteuttaminen ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio toteuttaa sisäisiä auditointeja oman menettelykuvauksensa mukaisesti. Tavoitteena on tarkistaa:

  • onko tietoturvallisuuden hallintajärjestelmä organisaation omien tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten mukainen
  • onko tietoturvallisuuden hallintajärjestelmä muiden toimintaa koskevien tietoturvavaatimusten tai noudatettujen standardien mukainen
  • onko hallintajärjestelmää toteutettu ja ylläpidetty vaikuttavasti

Auditointien järjestämisestä ja tuloksista on säilytettävä dokumentoitua tietoa.

Säännöllinen ulkopuolinen tietoturvakäytäntöjen auditointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiossa suoritetaan säännöllisesti tietoturva-auditointia. Auditoinnin avulla tunnistetaan esimerkiksi tietojärjestelmiin sekä järjestelmätoimittajiin liittyviä puutteita ja kehitystarpeita.

Tärkeät auditointia suorittavat kumppanit kannattaa listata Muut sidosryhmät -osiossa.

Säännöllinen tunkeutumistestaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Staattiset skannaukset koodiin ovat ensimmäinen askel riskialttiiden haavoittuvuuksien havaitsemiseksi. Kun palvelu on otettu käyttöön, se kuitenkin altistuu uudenlaisille hyökkäyksille (esim. cross-site scripting tai tunnistautumisen ongelmat). Näitä voidaan pyrkiä tunnistamaan tunkteutumistestauksella.

Tietosuojavastaavasta ilmoittaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on julkistettava tietosuojavastaavan yhteystiedot (esim. organisaation verkkosivulla) ja ilmoitettava ne valvontaviranomaiselle.

Tietoturvaohjeiden noudattamisen valvonta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Ohjeiden noudattamista voidaan valvoa joko teknisesti tai suoraan kysymällä / testaamalla työntekijöiltä.

Tietosuojaviestinnän ajantasaisuuden varmistaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Henkilötietojen käsittelyn käyttötarkoitukset muuttuvat toiminnan kehittyessä. Tietosuojaviestinnän tulee pysyä mukana ja vastata todellista käsittelyn tilaa.

Varmistamme säännöllisesti, että kaikki käyttötarkoitukset on mainittu viestinnässä (esim. tietosuojaselosteissa), käsittely on kuvattu todenmukaisesti ja viestintä toimitetaan rekisteröidyille vaadittujen aikamääreiden puitteissa.

Säännöllinen haavoittuvuusskannaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio tekee säännöllisesti haavoittuvuusskannausta, jossa etsitään tietokoneista, työasemista, mobiililaitteista, verkoista tai sovelluksista tunnettuja haavoittuvuuksia. Skannausta on tärkeää tehdä myös merkittävien muutosten jälkeen.

On huomioitava, että haavoittuvaa lähdekoodia voi löytyä niin käyttöjärjestelmäohjelmistoista, palvelinsovelluksista, loppukäyttäjäsovelluksista, kuin esimerkiksi laiteohjelmistotason (firmware) sovelluksista sekä ajureista, BIOS:ista ja erillisistä hallintaliittymistä (esim. iLo, iDrac). Ohjelmistovirheiden lisäksi haavoittuvuuksia aiheutuu konfiguraatiovirheistä ja vanhoista käytänteistä, esimerkiksi vanhentuneiden salausalgoritmien käytöstä.

Tietoturvan hallintajärjestelmän toteuttamisen säännöllinen sisäinen valvonta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietoturvan hallintajärjestelmän tulisi valvoa sinne kirjattujen tehtävien ja ohjeistusten toteuttamista.

Tehtävän omistajan tulisi tarkastalle tietoturvan hallintajärjestelmän toteutustilannetta kokonaisuutena säännöllisesti.

Tietoturvasertifioinnit

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Sertifiointimekanismien ideana on osoittaa, että tietojenkäsittelyssä noudatetaan hyvää tietojenkäsittelytapaa ja yleisiä hyviä käytäntöjä. Tietoturvaa koskeva sertifikaatti on mm. ISO27001.

ISO 2700118: Compliance18VaatimustenmukaisuusTietoturvallisuuden katselmoinnit

Tietoturvallisuuden katselmoinnit

Tämän vaatimuksen toteuttamiseen liittyvät tehtävät

Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.