Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Henkilöstön ohjeistus- ja koulutusmenettely digiturva-asioissa

Critical
High
Normal
Low

Organisaatiomme on määritellyt toimintatavat henkilöstön digiturvaosaamisen ylläpitämiseen. Näihin voi liittyä mm. seuraavia asioita:

  • henkilöstölle on olemassa ohjeet, joilla kuvataan työrooliin liittyvät digiturvan yleiset säännöt
  • henkilöstöä koulutetaan, jotta he pystyvät toimimaan turvallisesti, tietävät ohjeet ja kykenevät noudattamaan niitä
  • henkilöstö osoittaa testien tai muun vastaavan avulla omaavansa turvallisen toiminnan vaatimat digiturvataidot ja -tiedot

Koulutus keskittyy kullekin työroolille oleellisimpiin digiturvateemoihin, mutta sisältää tarpeeksi usein myös kaikkia työntekijöitä koskevat "perusasiat":

  • työntekijän henkilökohtainen vastuu (mm. päätelaitteista ja käsittelemästään tiedosta)
  • kaikkia koskevat käytännöt (mm. tietoturvahäiriöiden raportointi)
  • kaikkia koskevat säännöt (mm. puhdas työpöytä)
  • organisaation tietoturvaroolit (keneen yhteyttä ongelmatilanteissa)
Liittyvät muut vaatimuskehikot ja vaatimukset:
T11: Turvallisuuskoulutus ja -tietoisuus
Katakri
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL

Ajantasaisen ohjeistuksen varmistaminen

Critical
High
Normal
Low

Johdon on huolehdittava, että organisaatiossa on ajantasaiset ohjeet tiedonhallintaan liittyvistä teemoista.

Liittyvät muut vaatimuskehikot ja vaatimukset:
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL

Tiedonhallinnan vastuiden määrittäminen

Critical
High
Normal
Low

Johdon on huolehdittava siitä, että organisaatiossa on määritelty tiedonhallintalaissa (sekä muissa laeissa) säädettyjen tiedonhallinnan toteuttamiseen liittyvien tehtävien vastuut.

Vastuut voidaan määrittää Digiturvamallissa vastuuttamalla eri tiedonhallinnan osa-alueisiin (esim. tietoturvaohjeet, tietojärjestelmät, rekisterinpito, asiahallinta) liittyvät tehtävät sekä dokumentaatiokohteet.

Liittyvät muut vaatimuskehikot ja vaatimukset:
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL
1: Tehtävät ja vastuut

Yleiset tietoturvaohjeet henkilöstölle

Critical
High
Normal
Low

Henkilöstöllä on oltava tietoturvaohjeet, joissa on käsiteltävä mm. seuraavia aiheita:

  • mobiilaitteiden käyttö ja päivitykset
  • tiedon tallentaminen ja varmuuskopiointi
  • tietosuoja
  • sähköpostin käyttö
  • tulosteiden, papereiden ja tiedostojen käsittely
  • häiriöistä ilmoittaminen
  • huijausten estäminen
Liittyvät muut vaatimuskehikot ja vaatimukset:
T11: Turvallisuuskoulutus ja -tietoisuus
Katakri
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL

Riittävän valvonnan varmistaminen

Critical
High
Normal
Low

Johdon on huolehdittava, että organisaatiossa on järjestetty riittävä valvonta tiedonhallintaan liittyvien säädösten, määräysten ja ohjeiden noudattamisesta. Valvonnan toteuttamista voidaan edistää esimerkiksi seuraavasti:

  • Valvontavastuiden dokumentointi johdolle ja esihenkilöille
  • Valvontasuunnitelman laatiminen ja aikataulutus
  • Tietoturvallisuusosaamisen testaaminen henkilöstölle
  • Automaattiset valvontakontrollit tietojärjestelmille
  • Valvonnan toimivuuden arviointi ja kehitys
  • Valvonnan tulosten raportointi

Digiturvamallin avulla kuvataan vastuita eri tehtävien ja kohteiden suhteen sekä pyritään seuraamaan vaatimuksenmukaisuutta. Sisäisen valvonnan toteuttamisesta organisaatiossa on tärkeää kuvata oma prosessi, jonka mukaisesti valvontaa toteutetaan ja johdolle raportoidaan.

Liittyvät muut vaatimuskehikot ja vaatimukset:
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL

Tarvittavan koulutuksen huolehtiminen

Critical
High
Normal
Low

Johdon on huolehdittava, että organisaatiossa on tarjolla koulutusta, jolla varmistetaan henkilöstön riittävä osaaminen tiedonhallintaa, tietojenkäsittelyä sekä asiakirjojen julkisuutta ja salassapitoa koskevista säädöksistä, määräyksistä ja ohjeista.

Digiturvamallissa ohjeiden kouluttamista ja valvontaa tehdään automaattisesti, mikäli henkilöstö on yhdistetty järjestelmään esim. Teams-sovelluksen tai selainlaajennuksen kautta.

Liittyvät muut vaatimuskehikot ja vaatimukset:
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL
9: Henkilöstön digiturvakoulutukset

Yksikkö- tai roolikohtaiset tietoturvaohjeet

Critical
High
Normal
Low

Tietoturvaohjeistusta tarkennetaan työntekijän työtehtävään liittyen. Organisaatio on määritellyt yksiköt ja roolit, jotka vaativat erillistä ohjeistusta, ja muodostaa näille omia tarkennettuja tietoturvaohjeitaan.

Esimerkkejä omaa ohjeistusta vaativista yksiköistä ovat mm. asiakaspalvelu, IT ja HR. Esimerkkejä omaa ohjeistusta vaativista työrooleista puolestaan järjestelmän pääkäyttäjä sekä etätyön tekijä.

Liittyvät muut vaatimuskehikot ja vaatimukset:
7.2.2: Information security awareness, education and training
ISO 27001
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL

Asianmukaisten työvälineiden tarjoaminen henkilöstölle

Critical
High
Normal
Low

Johdon on huolehdittava, että organisaatiossa on tarjolla asianmukaiset työvälineet tiedonhallintaa koskevien velvollisuuksien toteuttamiseksi. Työvälineillä tarkoitetaan päätelaitteita ja ohjelmistoja, joita tiedonhallintayksikössä työskentelevät käyttävät.

Digiturvamalli sisältää omat tehtävänsä tähän kokonaisuuteen liittyville osille (esim. tietojärjestelmien tietoturvallisuusvaatimukset ja testaus, tietojärjestelmien ja tietovarantojen yhteentoimivuus, tekniset rajapinnat), joiden toteutusta vastuuttamalla ja valvomalla johto voi teemasta huolehtia.

Liittyvät muut vaatimuskehikot ja vaatimukset:
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL

Koulutuksen ja ohjeistuksen järjestäminen perehdytyksen yhteydessä (tai ennen pääsyoikeuksien myöntämistä)

Critical
High
Normal
Low

Työntekijät ovat ennen pääsyoikeuksien myötämistä luottamukselliseen tietoon tai tietojärjestelmiin:

  • saaneet asianmukaisen opastuksen tietoturvavastuistaan (mm. ilmoitusvastuu ja vastuu omista päätelaitteista)
  • saaneet asianmukaisen opastuksen omaan työrooliinsa liittyvistä tietoturvarooleistaan (mm. omaan työrooliin liittyvät digiturvasäännöt sekä tietojärjestelmät ja niiden hyväksyttävä käyttö)
  • saaneet tiedot digiturvan yhteyshenkilöistä, joilta voi kysyä lisää
Liittyvät muut vaatimuskehikot ja vaatimukset:
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL
7.3: Termination and change of employment
ISO 27001
No items found.