Seuraava webinaari
"
Demo: Riskienhallinnan toteuttaminen ja vinkit Digiturvamallissa
"
alkaa
00
pv
pv
00
h
h
00
min
päästä  
ISO 27001

Tietoturvallisuuden organisointi

Vaatimuskategoriaan liittyvät vaatimukset

No items found.

Esimerkkejä vaatimuksiin liittyvistä tehtävistä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Tietoturvaroolien ja -vastuiden määrittäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Ylimmän johdon on varmistettava selkeät vastuut / valtuudet vähintään seuraavissa teemoissa:

  • kuka on päävastuussa siitä, että tietoturvallisuuden hallintajärjestelmä on tietoturvallisuutta koskevien vaatimusten mukainen
  • ketkä toimivat tietoturvan hallintajärjestelmän pääteemojen vastuuhenkilöinä
  • kenellä on vastuu ja valtuudet raportoida ylimmälle johdolle tietoturvallisuuden hallintajärjestelmän suorituskyvystä
  • kenellä on valtuudet sisäisten auditointien toteuttamiseen

Tietoturvan hallintajärjestelmän pääteemojen vastuuhenkilöt esitetään hallintajärjestelmän työpöydällä sekä Tietoturvapolitiikka-raportissa.

Ylimmän johdon on lisäksi varmistettava, että kaikki tietoturvan kannalta tärkeät roolit sekä niihin liittyvät vastuut ja valtuudet on määritelty ja niistä viestitään.

Tietojärjestelmien omistajien nimeäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Jokaiselle tietojärjestelmälle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.

Omistajan tehtäviin kuuluu mm.:

  • varmistaa omaisuuden dokumentointi
  • varmistaa omaisuuden asianmukainen suojaus
  • pääsyoikeuksien säännöllinen katselmointi
  • varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa

Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.

Tietoturvaloukkauksesta rekisteröidyille aiheutuneen riskin tarkempi arviointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Rekisterinpitäjän on arvioitava, millainen riski tietoturvaloukkauksesta aiheutuu vuodon kohteena olevalle henkilölle. Arviossa on huomioitava esimerkiksi seuraavat asiat:

  • Miten todennäköistä on, että tietoja käytetään haitantekoon?
  • Millaista haittaa tietojen avulla voitaisiin tehdä (mahdollistuuko esim. identiteettivarkaus, petos, psyykkisen ahdistuksen tuottaminen, nöyryyttäminen tai mainevahingon tuottaminen)?
  • Henkilötietojen luonne, arkaluonteisuus ja määrä
  • Kuinka helppoa rekisteröity on tunnistaa tiedoista?
  • Onko rekisteröityjen joukossa paljon esimerkiksi lapsia tai muuten heikossa asemassa olevia?

Riskiarvio vaikuttaa loukkauksesta ilmoittamisen kiireellisyyteen ja laajuuteen.

Tietoturvaloukkauksesta ilmoittaminen viranomaiselle / rekisteröidyille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Henkilötietojen tietoturvaloukkauksesta täytyy ilmoittaa valvontaviranomaiselle, mikäli loukkauksesta voi aiheutua riski ihmisten oikeuksille ja vapauksille. Rekisteröidyille on puolestaan ilmoitettava, mikäli loukkauksestta todennäköisesti aiheutuu korkean riski oikeuksille ja vapauksille. Ilmoituksen perusteella rekisteröidyt voivat esimerkiksi ryhtyä toimiin haittavaikutuksen pienentämiseksi (esim. sulkemalla luottokorttinsa).

Ilmoitukseen on sisällytettävä seuraavat tiedot:

  • selkeä kuvaus henkilötietojen tietoturvaloukkauksesta
  • tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa
  • henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset
  • toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on jo toteuttanut; tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

Tietoturvan avainhenkilöstön määrä, pätevyys ja riittävyys

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiossa on tarpeeksi koulutettua, valvottua ja tarvittaessa asianmukaisesti turvallisuusselvitettyä henkilöstöä, jotka toimivat tietoturvan avainrooleissa suorittaen tietoturvallisuuden hallintajärjestelmään liittyviä hallintatehtäviä.

Organisaatio on määritellyt:

  • millainen pätevyys tällä henkilöstöllä tulee olla
  • kuinka pätevyys hankitaan ja varmistetaan (esim. soveltuvan koulutuksen ja koulutuksen seurannan avulla)
  • kuinka pätevyys voidaan osoittaa dokumentaation avulla

Tehtävän omistaja katselmoi turvallisuushenkilöstön määrää ja osaamistasoa säännöllisesti.

Ohjeistukset henkilöstölle mobiililaitteiden käyttöön liittyen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Mobiililaitteiden käyttöä varten on luotu omat ohjeistukset henkilöstölle. Ohjeissa käsitellään:

  • rajoituksia ohjelmistojen asentamiselle sekä eri palvelujen käyttämiselle organisaation laitteilla
  • toimintatapoja uusien laitteiden rekisteröintiin
  • vaatimuksia laitteiden fyysisestä suojaamisesta ja päivitysten asentamisesta
  • pääsynhallintaa koskevia vaatimukset
  • organisaation tietojen suojausta salauksen, haittaohjelmasuojauksen sekä varmuuskopioinnin avulla
  • organisaation mahdollisuuksia etähallita laitetta

Ohjeistukset henkilöstölle turvalliseen etätyöhön liittyen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Etätyötä tekevälle henkilöstölle on luotu omat toimintaohjeet, joiden noudattamista seurataan. Lisäksi henkilöstölle järjestetään säännöllisesti koulutusta, jossa selvitetään mobiililaitteiden käytöstä ja etätyöstä aiheutuvia uhkia tietoturvallisuudelle ja kerrataan toimintaohjeita.

Tietosuojavastaavasta ilmoittaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on julkistettava tietosuojavastaavan yhteystiedot (esim. organisaation verkkosivulla) ja ilmoitettava ne valvontaviranomaiselle.

VPN-palvelun hankinta ja ohjeistus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation tietoja voi käsitellä ainoastaan ennalta määritellyssä, luotetussa verkossa, tai hyödyntäen organisaation määrittämään VPN-palvelua.

Esimerkiksi kahvilan Wi-Fi -verkko on usein joko täysin salaamaton tai salasana on kaikille helposti saatavilla. Tällöin verkossa lähetetyt tiedot ovat alttiita vakoilulle. VPN-yhteys salaa tiedot verkon asetuksista riippumatta.

Luottamuksellisia tietoja koskevien latausten estäminen ei-tuetuille laitteille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Usein työntekijöiden halutaan pääsevän tietojärjestelmiin käsiksi mahdollisimman helposti - mistä ja milloin vain. Tietojen suojaamiseksi voidaan kuitenkin haluta estää tietojen paikallinen lataaminen laitteille, joita ei hallita esimerkiksi organisaation mobiililaitteiden hallinnan kautta.

Mobiililaitteiden turvallisuuskäytännöt ja niiden valvonta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Mobiilaitteiden hallintajärjestelmässä määriteltävien turvallisuuskäytäntöjen avulla pyritään suojaamaan organisaation dataa. Pienentääksesi riskejä laitteiden häviämisen hetkellä, voit esimerkiksi määrittää, että laite lukitaan 5 minuutin passiivisuuden jälkeen tai että laite pyyhitään täysin 3 epäonnistuneen kirjautumisyrityksen jälkeen.

Uusia käytäntöjä voi olla järkevää ensin testata pienellä käyttäjäryhmällä. Käytännöt vaativat myös valvontaa. Käytännöille voi aluksi valita asetuksen, jossa pääkäyttäjää tiedotetaan käytännön vastaisista asetuksista, mutta käyttöä ei täysin estetä.

Mobiililaitteiden hallintajärjestelmän käyttö

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Mobiililaitteiden hallintajärjestelmä (Mobile Device Management, MDM) auttaa turvaamaan ja hallinnoimaan henkilöstön mobiililaitteita, olivatpa ne iPhoneja, iPadeja, Android-laitteita tai Windows-laitteita. Microsoft 365 -tilaus sisältää mobiililaitteiden hallinnan perusteet.

Mobiilaitteiden hallintajärjestelmällä voidaan määrittää laitteiden turvallisuuskäytäntöjä, pyyhkiä laita etänä ja saada tarkkaa raportointia laitteiden käytöstä.

Etätyöhön sopivien sijaintien ja tarvittavien suojausten määrittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tehdessään etätyötä työntekijän on noudatettava seuraavia asioita:

  • etätyötä saa suoritettaa vain tiloissa, joissa salakuuntelu ja salakatselu ei ole mahdollista
  • etätyöstä tulee olla sovittu ennalta (esim. kertaluonteisesti tai työsopimuksessa joustavan työn järjestelyllä) tai etätyön tulee olla työnantajan pyytämää
  • työntekijän tulee huolehtia vaaditut suojaukset etätyössä tehtäviin laitteisiin (esim. varmuuskopiointi, haittaohjelmasuojaus, palomuuri, salaus, päivitykset)

Lukitut kaapit / huonekalut siirrettävien tietovälineiden säilyttämiseen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Siirrettäviä tietovälineitä on säilytettävä kassakaapissa, muussa lukillisessa kaapissa tai muussa turvallinen huonekalussa. Niitä ei saa olla lojumassa ympäri toimistoa. 

Prosessi mobiililaitteiden katoamisen tai varastamisen varalle

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Mobiililaitteiden varkautta tai katoamista varten on laadittu menettelytavat.

Käyttäjää voidaan velvoittaa:

  • vaihtamaan verkon käyttötunnukset
  • ilmoittamaan IT-osastolle tilanteesta (ja tarvittaessa poliisille tai mobiililiittymän tarjoajalle)
  • vaihtamaan muita tarvittavia käyttötunnuksia, jotka ovat voineet vaarantua

Organisaation prosessiin laitteen kadotessa voi sisältyä mm. laitteen tyhjentäminen (vähintään organisaation sisällön) etänä.

Päätelaitteiden tietoturvanhallintajärjestelmän käyttö (Endpoint security management system)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Päätelaitteiden tietoturvanhallintajärjestelmän avulla voidaan vaatia päätelaitteilta haluttuja kriteerejä, ennen kuin niille sallitaan yhteys verkon resursseihin. Päätelaitteet voivat olla kannettavia tietokoneita, älypuhelimia, tabletteja tai alakohtaista erikoislaitteistoa. 

Kriteerejä verkkoresurssien käytölle voivat olla mm. hyväksytty käyttöjärjestelmä, VPN- ja antivirus-järjestelmät sekä näiden päivitysten ajantasaisuus.

Etätyössä sallittavien toimenpiteiden määrittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Sallittavan työn, työaikojen ja käytettävän tiedon luokituksen määrittely ja sellaisten sisäisten järjestelmien ja palvelujen määrittely, joihin etätyöskentelijälle myönnetään pääsy.

Sopivien laitteiden ja säilytyskalusteiden järjestäminen etätyötä varten

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Sopivien laitteiden ja säilytyskalusteiden järjestäminen etätyötä varten, jos organisaation valvonnan ulkopuolella olevien henkilökohtaisten laitteiden käyttö ei ole sallittua.

ISO 27001Tietoturvallisuuden organisointi

Tietoturvallisuuden organisointi

Tämän vaatimuksen toteuttamiseen liittyvät tehtävät

Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.