Tiedonhallintalaki

Tietoturvallisuus

Vaatimuskategoriaan liittyvät vaatimukset

No items found.

Esimerkkejä vaatimuksiin liittyvistä tehtävistä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Lokitietojen kerääminen tietojärjestelmien käytöstä

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Viranomaisen on huolehdittava, että sen tietojärjestelmien käytöstä ja niistä tehtävistä tietojen luovutuksista kerätään tarpeelliset lokitiedot, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista. Lokitietojen käyttötarkoituksena on tietojärjestelmissä olevien tietojen käytön ja luovutuksen seuranta sekä tietojärjestelmän teknisten virheiden selvittäminen.

Digiturvamallissa tietojärjestelmän omistaja voi vastata tietojärjestelmän lokitietojen keräämisen tarkastamisesta. Organisaatio dokumentoi lokien sisällön tarkemmin niissä tietojärjestelmissä, joiden teknisestä ylläpidosta se vastaa itse. Muissa tietojärjestelmissä omistaja tarkistaa yhteistyössä järjestelmätoimittajan kanssa, että tarvittavat lokit kertyvät.

Salassapidettävien tietojen turvallinen siirtäminen tietoverkossa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Viranomaisen on toteutettava tietojensiirto yleisessä tietoverkossa salattua tai muuten suojattua tiedonsiirtoyhteyttä tai -tapaa käyttämällä, jos siirrettävät tiedot ovat salassa pidettäviä. Lisäksi tietojensiirto on järjestettävä siten, että vastaanottaja varmistetaan tai tunnistetaan riittävän tietoturvallisella tavalla ennen kuin vastaanottaja pääsee käsittelemään siirrettyjä salassa pidettäviä tietoja.

Tietoaineistojen omistajien nimeäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Jokaiselle tietoaineistolle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.

Omistajan tehtäviin kuuluu mm.:

  • varmistaa omaisuuden dokumentointi
  • varmistaa omaisuuden asianmukainen suojaus
  • pääsyoikeuksien säännöllinen katselmointi
  • varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa

Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.

Viranomaisen tehtävien kannalta oleellisten tietojärjestelmien säännöllinen testaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Viranomaisen tehtävien hoitamisen kannalta olennaisten tietojärjestelmien vikasietoisuus ja toiminnallinen käytettävyys on varmistettava riittävällä testauksella säännöllisesti.

Digiturvamallissa viranomaisen tehtävien hoitamisen kannalta olennaiset tietojärjestelmät kannattaa merkitä korkean tärkeyden järjestelmiksi Tietojärjestelmät-listassa.

Tietoaineistojen arkistointi- tai tuhoamisprosessit säilytysajan päättyessä

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tiedonhallintamallin tulee sisältää kuvaus tietoaineiston säilytysajasta sekä arkistoon siirtämisestä, arkistointitavasta ja arkistopaikasta tai tuhoamisesta. Tietoaineiston säilytysajan päättymisen jälkeen tietoaineistot on arkistoitava tai tuhottava viipymättä tietoturvallisella tavalla.

Tietoaineiston arkistointi- tai tuhoamisprosessi määritellään dokumentaation yhteydessä ja tietoaineiston omistaja vastaa sen toteutuksesta.

Tietoaineistojen dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on ylläpidettävä listaa sen hallinnoimiin tietovarantoihin sisältyvistä tietoaineistoista.

Dokumentaation on sisällettävä vähintään seuraavat tiedot:

  • Aineiston käsittelyyn käytetyt tietojärjestelmät ja muut keinot
  • Keskeiset tietoryhmät aineistossa (ja sisältääkö henkilötietoja)
  • Tietojen säilytysaika (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tieto aineistojen arkistoinnista / hävittämisestä (käsitellään tarkemmin erillisessä tehtävässä)

Tietoturvatason mittaaminen ja säännöllinen arviointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio arvioi tietoturvan tasoa ja tietoturvallisuuden hallintajärjestelmän tehokkuutta säännöllisesti.

Organisaatio on määrittänyt:

  • seurattavat mittarit, joilla saadaan vertailtavissa olevia tuloksia tietoturvan kehittymisestä
  • vastuuhenkilöt mittareiden seurannalle
  • tavat, aikataulun ja henkilöt mittareiden katselmointiin ja arviointiin
  • tavat mittareiden ja niihin liittyvien arviointien dokumentointiin

Tehokkaita mittareita tulisi pystyä käyttämään heikkouksien tunnistamiseen, resurssien parempaan kohdistamiseen sekä oman onnistumisen / epäonnistumisen arviointiin.

Tehtävän omistaja arvioi säännöllisesti, saadaanko valituilla mittareilla sekä mittaus- ja arviointimenetelmillä kelvollisia tuloksia. Omistaja varmistaa, että mittaroinnista syntyy todisteena riittävästi dokumentaatiota.

Tietojärjestelmien omistajien nimeäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Jokaiselle tietojärjestelmälle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.

Omistajan tehtäviin kuuluu mm.:

  • varmistaa omaisuuden dokumentointi
  • varmistaa omaisuuden asianmukainen suojaus
  • pääsyoikeuksien säännöllinen katselmointi
  • varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa

Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.

Tietojärjestelmien listaus ja omistajien nimeäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä sekä tietojärjestelmille nimetyistä omistajista. Omistaja vastaa järjestelmän tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti järjestelmään.

Järjestelmiin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

  • Järjestelmään liittyvät vastuut ja sen käyttötarkoitus
  • Järjestelmän tietojen sijainti (käsitellään tarkemmin erillisessä tehtävässä)
  • Kuvaus järjestelmän ylläpito- ja kehitysvastuista sekä tähän mahdollisesti liittyvät toimittajat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tietojärjestelmän pääsyoikeusroolit ja tunnistautumistavat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa liittymät muihin järjestelmiin (käsitellään tarkemmin erillisessä tehtävässä)

Ennakoiva riskien arviointi ja käsittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:

  • Riskin kuvaus
  • Riskin vakavuus ja todennäköisyys
  • Riskiä hallitsevat ohjeet ja hallintatehtävät
  • Riskin hyväksyttävyys

Järjestelmien käyttöoikeuksien säännöllinen katselmointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietojärjestelmästä vastaava taho määrittää järjestelmän käyttöoikeudet käyttäjien tehtäviin liittyen. Todellisten käyttöoikeuksien vastaavuutta suunniteltuun on valvottava ja oikeuksia uudelleenarvioitava säännöllisin aikavälein.

Pääsyoikeuksia katselmoitaessa on huomiotava lisäksi ylläpito-oikeuksien minimointi sekä tarpeettomien tunnusten sulkeminen.

Tietoaineistojen turvalliset säilytystilat

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietoaineistoja on käsiteltävä ja säilytettävä toimitiloissa, jotka ovat tietoaineiston luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvien vaatimusten toteuttamiseksi riittävän turvallisia.

Digiturvamallissa tarkempia fyysiseen turvallisuuteen liittyviä toimenpiteitä tarkastellaan työpöydän Fyysinen turvallisuus -moduulin alla.

Turvallisuustoimenpiteiden määrittely tietoaineistojen turvallisuuden varmistamiseksi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Viranomaisen on varmistettava tarpeellisin tietoturvallisuustoimenpitein, että sen:

  • tietoaineistojen muuttumattomuus on riittävästi varmistettu
  • tietoaineistot on suojattu teknisiltä ja fyysisiltä vahingoilta
  • tietoaineistojen alkuperäisyys, ajantasaisuus ja virheettömyys on varmistettu
  • tietoaineistojen saatavuus ja käyttökelpoisuus on varmistettu
  • tietoaineistojen saatavuutta rajoitetaan vain, jos tiedonsaantia tai käsittelyoikeuksia on laissa erikseen rajoitettu
  • tietoaineistot voidaan tarvittavilta osin arkistoida

Asiakirjojen julkisuutta tukeva tiedonhallintasuunnittelu

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Viranomaisen on suunniteltava tietojärjestelmät, tietovarantojen tietorakenteet ja niihin liittyvä tietojenkäsittely siten, että asiakirjojen julkisuus voidaan vaivatta toteuttaa.

Erityistä luotettavuutta edellyttävien tehtävien tunnistaminen ja luotettavuudesta varmistuminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on tunnistettava ne tehtävät, joiden suorittaminen edellyttää sen palveluksessa olevilta tai sen lukuun toimivilta henkilöiltä erityistä luotettavuutta.

Erityisen luotettavuuden varmistamisesta voi määrittää oman prosessikuvauksen. Henkilöturvallisuusselvityksen laatimisessa sekä luottotietojen tai huumausainetestien tuloksien käsittelyssä on huomioitava annettu lainsäädäntö.

Järjestelmien hankintaa ja valintaa koskevat yleiset säännöt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Aina hankittaessa uusia tietojärjestelmiä noudatetaan ennalta määriteltyä hankintaprosessia ja -sääntöjä. Sääntöjen avulla varmistetaan, että toimittaja pystyy takaamaan riittävän turvallisuustason järjestelmän tärkeys huomioiden.

Hankittujen / kehitettyjen järjestelmien turvallisuutta koskevat yleiset säännöt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Aina hankittaessa tai kehitettäessä uusia tietojärjestelmiä noudatetaan ennalta määritettyjä turvallisuussääntöjä huomioiden järjestelmän prioriteetti. Sääntöjen avulla varmistetaan, että tietojen käsittelyn turvallisuus järjestelmässä on varmistettu riittävin toimenpitein.

TiedonhallintalakiTietoturvallisuus

Tietoturvallisuus

Tämän vaatimuksen toteuttamiseen liittyvät tehtävät

Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.