Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Henkilöstön ohjeistus- ja koulutusmenettely digiturva-asioissa

Critical
High
Normal
Low

Organisaatiomme on määritellyt toimintatavat henkilöstön digiturvaosaamisen ylläpitämiseen. Näihin voi liittyä mm. seuraavia asioita:

  • henkilöstölle on olemassa ohjeet, joilla kuvataan työrooliin liittyvät digiturvan yleiset säännöt
  • henkilöstöä koulutetaan, jotta he pystyvät toimimaan turvallisesti, tietävät ohjeet ja kykenevät noudattamaan niitä
  • henkilöstö osoittaa testien tai muun vastaavan avulla omaavansa turvallisen toiminnan vaatimat digiturvataidot ja -tiedot

Koulutus keskittyy kullekin työroolille oleellisimpiin digiturvateemoihin, mutta sisältää tarpeeksi usein myös kaikkia työntekijöitä koskevat "perusasiat":

  • työntekijän henkilökohtainen vastuu (mm. päätelaitteista ja käsittelemästään tiedosta)
  • kaikkia koskevat käytännöt (mm. tietoturvahäiriöiden raportointi)
  • kaikkia koskevat säännöt (mm. puhdas työpöytä)
  • organisaation tietoturvaroolit (keneen yhteyttä ongelmatilanteissa)
Liittyvät muut vaatimuskehikot ja vaatimukset:
T11: Turvallisuuskoulutus ja -tietoisuus
Katakri
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL

Ohjeistukset henkilötietojen ja muun luottamuksellisen tiedon käsittelyyn liittyen

Critical
High
Normal
Low

Tietosuojan vastuuhenkilö on muodostanut toimintaohjeet henkilötietoja käsittelevälle henkilöstölle. Lisäksi tietosuojan vastuuhenkilö on valmiina antamaan neuvoja rekisterinpitäjälle, henkilötietoja käsitteleville kumppaneille tai omalle henkilöstölle tietosuojaan liittyen tietosuoja-asetuksen tai muiden tietosuojavaatimusten noudattamiseen.

Liittyvät muut vaatimuskehikot ja vaatimukset:
29. Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa
GDPR
7.2.2: Information security awareness, education and training
ISO 27001

Ohjeistukset henkilöstölle turvalliseen etätyöhön liittyen

Critical
High
Normal
Low

Etätyötä tekevälle henkilöstölle on luotu omat toimintaohjeet, joiden noudattamista seurataan. Lisäksi henkilöstölle järjestetään säännöllisesti koulutusta, jossa selvitetään mobiililaitteiden käytöstä ja etätyöstä aiheutuvia uhkia tietoturvallisuudelle ja kerrataan toimintaohjeita.

Liittyvät muut vaatimuskehikot ja vaatimukset:
6.2.2: Teleworking
ISO 27001
7.2.2: Information security awareness, education and training
ISO 27001

Ohjeistukset tiedostojen käyttöön ja paikallisiin tietoihin liittyen

Critical
High
Normal
Low

Etenkin kun paikallista tai rakenteetonta tietoa on toiminnan luonteen vuoksi tarpeen käsitellä paljon, voi olla tarpeen kehittää koulutusta, joka kuvaa näihin liittyiviä riskejä henkilöstölle.

Paikallisen ja rakenteettoman tiedon yleisiä ongelmia ovat mm.:

  • ei varmuuskopiointia
  • ei pääsynhallintaa
  • vaikea löydettävyys

Tiedoille, joiden et haluat häviävän, joiden käyttöä haluat valvoa tai jotka on tärkeä löytää jatkossa, henkilöstön pitäisi käyttää niihin suunniteltuja järjestelmiä.

Liittyvät muut vaatimuskehikot ja vaatimukset:
7.2.2: Information security awareness, education and training
ISO 27001
11.2.9: Clear desk and clear screen policy
ISO 27001

Henkilöstön yleinen tietoturvapätevyys ja -tietoisuus

Critical
High
Normal
Low

Koko organisaation ohjauksessa toimivan henkilöstön on oltava tietoisia:

  • miten he voivat osaltaan lisätä tietoturvallisuuden hallintajärjestelmän vaikuttavuutta ja millaista hyötyä tietoturvallisuuden tason parantamisesta on
  • seurauksista, joita tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten noudattamatta jättämisellä voi ollaminkä osan henkilöstöstä työ vaikuttaa tietoturvan tasoon

Lisäki johto on määrittänyt tavat, joilla henkilöstö pidetään tietoisina omaan työrooliinsa liittyvistä tietoturvaohjeista.

Liittyvät muut vaatimuskehikot ja vaatimukset:
29. Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa
GDPR
32. Käsittelyn turvallisuus
GDPR

Yksikkö- tai roolikohtaiset tietoturvaohjeet

Critical
High
Normal
Low

Tietoturvaohjeistusta tarkennetaan työntekijän työtehtävään liittyen. Organisaatio on määritellyt yksiköt ja roolit, jotka vaativat erillistä ohjeistusta, ja muodostaa näille omia tarkennettuja tietoturvaohjeitaan.

Esimerkkejä omaa ohjeistusta vaativista yksiköistä ovat mm. asiakaspalvelu, IT ja HR. Esimerkkejä omaa ohjeistusta vaativista työrooleista puolestaan järjestelmän pääkäyttäjä sekä etätyön tekijä.

Liittyvät muut vaatimuskehikot ja vaatimukset:
7.2.2: Information security awareness, education and training
ISO 27001
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL

Johdon sitoutuminen tietoturvan hallintaan ja hallintajärjestelmään

Critical
High
Normal
Low

Organisaation johdon on osoitettava sitoutumista tietoturvatyötä ja tietoturvallisuuden hallintajärjestelmää kohtaan. Johto sitoutuu:

  • määrittämään työn perusteena toimivat vaatimukset (esim. asiakasvaatimukset, lait ja asetukset tai standardit)
  • määrittämään tietoturvan hallintaan tarvittavat resurssit
  • viestimäään tietoturvallisuuden tärkeydestä
  • varmistamaan, että työllä saavutetaan halutut tulokset
  • edistämään tietoturvan jatkuvaa parantamista

Johto päättää lisäksi tietoturvan hallintajärjestelmän soveltamisalan ja kirjaa päätöksen ylös hallintajärjestelmän kuvaukseen. Tämä tarkoittaa, rajataanko esimerkiksi joitain osia organisaation toiminnasta tai hallinnoimasta tiedosta pois hallintajärjestelmän piiristä, vai koskeeko se organisaation kaikkea tietoa / toimintaa.

Liittyvät muut vaatimuskehikot ja vaatimukset:
24. Rekisterinpitäjän vastuu
GDPR
7.2.1: Management responsibilities
ISO 27001

Lokin ylläpito järjestetyistä digiturvakoulutuksista

Critical
High
Normal
Low

Organisaation henkilöstölleen järjestämistä digiturvakoulutuksista pidetään lokia. Lokin avulla voidaan osoittaa, millaisia täsmäpanostuksia organisaatio on tehnyt henkilöstön digiturvaosaamisen eteen.

Jokaisesta koulutuksesta voidaan kirjata ylös esimerkiksi:

  • ajankohta
  • koulutuksen aihepiirit ja kesto
  • koulutuksen toteutustapa ja kouluttaja
  • koulutukseen osallistuneet henkilöt
Liittyvät muut vaatimuskehikot ja vaatimukset:
7.2.2: Information security awareness, education and training
ISO 27001
T11: Turvallisuuskoulutus ja -tietoisuus
Katakri

Henkilöstön ohjeistaminen ja kouluttaminen haittaohjelmiin liittyen

Critical
High
Normal
Low

Organisaatio kouluttaa henkilöstöä säännöllisesti sekä hyödynnetyn haittaohjelmasuojauksen käytöstä, haittaohjelmahyökkäyksistä raportoinnista sekä haittaohjelmahyökkäyksistä toipumisesta.

Liittyvät muut vaatimuskehikot ja vaatimukset:
12.2: Protection from malware
ISO 27001
7.2.2: Information security awareness, education and training
ISO 27001

Henkilöstön tiedottaminen uusista, relevanteista haittaohjelmista

Critical
High
Normal
Low

Henkilöstön tietoturvatietoisuuden varmistaminen on tärkeä osa haittaohjelmilta suojautumista. Tämän vuoksi henkilöstölle tiedotetaan säännöllisesti uudenlaisista haittaohjelmista, joiden uhka heihin voi kohdistua.

Liittyvät muut vaatimuskehikot ja vaatimukset:
12.2: Protection from malware
ISO 27001
7.2.2: Information security awareness, education and training
ISO 27001

IT-henkilöstön suojausjärjestelmäkoulutus

Critical
High
Normal
Low

Tarvittavaa henkilöstöä koulutetaan säännöllisesti valittujen suojausjärjestelmien käytöstä.

Liittyvät muut vaatimuskehikot ja vaatimukset:
7.2.2: Information security awareness, education and training
ISO 27001

Koulutuksen tehokkuuden arviointi

Critical
High
Normal
Low

Digiturvakoulutuksen tehokuutta arvioidaan säännöllisesti. Arviointiin voidaan sisällyttää mm. seuraavia näkökulmia:

  • Onko henkilöstön osaaminen tarpeeksi syvällistä?
  • Ovatko koulutustavat ja -määrät oikeat?
  • Koulutetaanko eri yksiköille oikeita asioita?
  • Onko henkilöstö motivoitunutta oppimaan?
  • Ymmärtääkö henkilöstö syyt koulutukselle (esim. millaisia negatiivia vaikutuksia digiturvan laiminlyönnistä voi aiheutua)?


Liittyvät muut vaatimuskehikot ja vaatimukset:
7.2.2: Information security awareness, education and training
ISO 27001
6.3: Tietoturvatietoisuus, -opastus ja -koulutus
ISO 27001

Säännöllisen yksikkökohtaisen tietoturvatiedotuksen organisointi

Critical
High
Normal
Low

Tiedottamalla yksiköitä heille tärkeimmistä digiturva-asioista ja heidän ymmärtämällään kielellä voidaan saavuttaa suuria edistysaskelia digiturvatasossa, kun henkilöstö ymmärtää paremmin miksi erilaisia käytäntöjä ja sääntöjä sovelletaan. Tiedotus voi olla sääntöjen jakelua pienissä paloissa, erilaisia kampanjoita (esim. ”tietoturvapäivä”), ohjelehtisiä, uutiskirjeitä, kilpailuja tai mitä tahansa.

Tietoturvatiedotuksesta voidaan myös käyttää nimitystä "tietoisuusohjelma".

Liittyvät muut vaatimuskehikot ja vaatimukset:
7.2.2: Information security awareness, education and training
ISO 27001

Suojausjärjestelmien käytön sekä haittaohjelmahyökkäyksien raportoinnin kouluttaminen

Critical
High
Normal
Low

Organisaatiomme on määritellyt menettelyohjeet ja vastuut järjestelmien suojaamiseen haittaohjelmilta ja koulutetaan henkilöstöä suojauksien käyttöön sekä haittaohjelmahyökkäyksistä raportointiin ja niistä toipumiseen.

Liittyvät muut vaatimuskehikot ja vaatimukset:
12.2: Protection from malware
ISO 27001
7.2.2: Information security awareness, education and training
ISO 27001

Yleisen tietoturvapolitiikan muodollinen hyväksyminen

Critical
High
Normal
Low

Organisaatiomme työntekijät hyväksyvät johdon muodostaman yleisen tietoturvapolitiikan allekirjoituksellaan. Politiikka voi viitata useisiin tarkempiin tietoturvasääntöihin.

Liittyvät muut vaatimuskehikot ja vaatimukset:
5.1.1: Policies for information security
ISO 27001
7.2.2: Information security awareness, education and training
ISO 27001
No items found.