Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Ohjeistukset henkilöstölle mobiililaitteiden käyttöön liittyen

Critical
High
Normal
Low

Mobiililaitteiden käyttöä varten on luotu omat ohjeistukset henkilöstölle. Ohjeissa käsitellään:

  • rajoituksia ohjelmistojen asentamiselle sekä eri palvelujen käyttämiselle organisaation laitteilla
  • toimintatapoja uusien laitteiden rekisteröintiin
  • vaatimuksia laitteiden fyysisestä suojaamisesta ja päivitysten asentamisesta
  • pääsynhallintaa koskevia vaatimukset
  • organisaation tietojen suojausta salauksen, haittaohjelmasuojauksen sekä varmuuskopioinnin avulla
  • organisaation mahdollisuuksia etähallita laitetta
Liittyvät muut vaatimuskehikot ja vaatimukset:
11.2.6: Security of equipment and assets off-premises
ISO 27001
6.2.1: Mobile device policy
ISO 27001

Prosessi mobiililaitteiden katoamisen tai varastamisen varalle

Critical
High
Normal
Low

Mobiililaitteiden varkautta tai katoamista varten on laadittu menettelytavat.

Käyttäjää voidaan velvoittaa:

  • vaihtamaan verkon käyttötunnukset
  • ilmoittamaan IT-osastolle tilanteesta (ja tarvittaessa poliisille tai mobiililiittymän tarjoajalle)
  • vaihtamaan muita tarvittavia käyttötunnuksia, jotka ovat voineet vaarantua

Organisaation prosessiin laitteen kadotessa voi sisältyä mm. laitteen tyhjentäminen (vähintään organisaation sisällön) etänä.

Liittyvät muut vaatimuskehikot ja vaatimukset:
6.2.1: Mobile device policy
ISO 27001
8.1: Käyttäjien päätelaitteet
ISO 27001

Mobiililaitteiden turvallisuuskäytännöt ja niiden valvonta

Critical
High
Normal
Low

Mobiilaitteiden hallintajärjestelmässä määriteltävien turvallisuuskäytäntöjen avulla pyritään suojaamaan organisaation dataa. Pienentääksesi riskejä laitteiden häviämisen hetkellä, voit esimerkiksi määrittää, että laite lukitaan 5 minuutin passiivisuuden jälkeen tai että laite pyyhitään täysin 3 epäonnistuneen kirjautumisyrityksen jälkeen.

Uusia käytäntöjä voi olla järkevää ensin testata pienellä käyttäjäryhmällä. Käytännöt vaativat myös valvontaa. Käytännöille voi aluksi valita asetuksen, jossa pääkäyttäjää tiedotetaan käytännön vastaisista asetuksista, mutta käyttöä ei täysin estetä.

Liittyvät muut vaatimuskehikot ja vaatimukset:
6.2.1: Mobile device policy
ISO 27001
8.1: Käyttäjien päätelaitteet
ISO 27001

Mobiililaitteiden hallintajärjestelmän käyttö

Critical
High
Normal
Low

Mobiililaitteiden hallintajärjestelmä (Mobile Device Management, MDM) auttaa turvaamaan ja hallinnoimaan henkilöstön mobiililaitteita, olivatpa ne iPhoneja, iPadeja, Android-laitteita tai Windows-laitteita. Microsoft 365 -tilaus sisältää mobiililaitteiden hallinnan perusteet.

Mobiilaitteiden hallintajärjestelmällä voidaan määrittää laitteiden turvallisuuskäytäntöjä, pyyhkiä laita etänä ja saada tarkkaa raportointia laitteiden käytöstä.

Liittyvät muut vaatimuskehikot ja vaatimukset:
6.2.1: Mobile device policy
ISO 27001
8.1: Käyttäjien päätelaitteet
ISO 27001

Päätelaitteiden tietoturvanhallintajärjestelmän käyttö (Endpoint security management system)

Critical
High
Normal
Low

Päätelaitteiden tietoturvanhallintajärjestelmän avulla voidaan vaatia päätelaitteilta haluttuja kriteerejä, ennen kuin niille sallitaan yhteys verkon resursseihin. Päätelaitteet voivat olla kannettavia tietokoneita, älypuhelimia, tabletteja tai alakohtaista erikoislaitteistoa.

Kriteerejä verkkoresurssien käytölle voivat olla mm. hyväksytty käyttöjärjestelmä, VPN- ja antivirus-järjestelmät sekä näiden päivitysten ajantasaisuus.

Liittyvät muut vaatimuskehikot ja vaatimukset:
6.2.1: Mobile device policy
ISO 27001
13.1.1: Network controls
ISO 27001

Luottamuksellisia tietoja koskevien latausten estäminen ei-tuetuille laitteille

Critical
High
Normal
Low

Usein työntekijöiden halutaan pääsevän tietojärjestelmiin käsiksi mahdollisimman helposti - mistä ja milloin vain. Tietojen suojaamiseksi voidaan kuitenkin haluta estää tietojen paikallinen lataaminen laitteille, joita ei hallita esimerkiksi organisaation mobiililaitteiden hallinnan kautta.

Liittyvät muut vaatimuskehikot ja vaatimukset:
6.2.1: Mobile device policy
ISO 27001
13.2.1: Information transfer policies and procedures
ISO 27001
No items found.