Sisäisten auditointien toteuttaminen ja dokumentointi

Critical
High
Normal
Low

Organisaatio toteuttaa sisäisiä auditointeja oman menettelykuvauksensa mukaisesti. Tavoitteena on tarkistaa:

  • onko tietoturvallisuuden hallintajärjestelmä organisaation omien tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten mukainen
  • onko tietoturvallisuuden hallintajärjestelmä muiden toimintaa koskevien tietoturvavaatimusten tai noudatettujen standardien mukainen
  • onko hallintajärjestelmää toteutettu ja ylläpidetty vaikuttavasti

Auditointien järjestämisestä ja tuloksista on säilytettävä dokumentoitua tietoa.

Liittyvät muut vaatimuskehikot ja vaatimukset:
18.2.1: Independent review of information security
ISO 27001
12.7: Information systems audit considerations
ISO 27001

Tietojärjestelmien kehittämistä ja hankintaa koskevat turvallisuussäännöt

Critical
High
Normal
Low

Aina hankittaessa tai kehitettäessä uusia tietojärjestelmiä noudatetaan ennalta määritettyjä turvallisuussääntöjä huomioiden järjestelmän prioriteetti. Sääntöjen avulla varmistetaan, että tietojen käsittelyn turvallisuus järjestelmässä on varmistettu riittävin toimenpitein.

Liittyvät muut vaatimuskehikot ja vaatimukset:
I13: Ohjelmistoilla toteutettavat pääsynhallintatoteutukset
Katakri
4 luku, 13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL

Säännöllinen ulkopuolinen tietoturvakäytäntöjen auditointi

Critical
High
Normal
Low

Organisaatiossa suoritetaan säännöllisesti tietoturva-auditointia. Auditoinnin avulla tunnistetaan esimerkiksi tietojärjestelmiin sekä järjestelmätoimittajiin liittyviä puutteita ja kehitystarpeita.

Tärkeät auditointia suorittavat kumppanit kannattaa listata Muut sidosryhmät -osiossa.

Liittyvät muut vaatimuskehikot ja vaatimukset:
18.2.1: Independent review of information security
ISO 27001
5.35: Tietoturvallisuuden riippumaton katselmointi
ISO 27001
No items found.