ISO 27001

Työsuhteen aikana

Teema-alueen vaatimukset

Teeman tehtävien osa-alueet

No items found.
ISO 270017: Human resource security7Henkilöstöturvallisuus

Työsuhteen aikana

Vaatimuskategoriaan liittyvät vaatimukset

Esimerkkejä vaatimuksiin liittyvistä tehtävistä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Henkilöstön yleinen tietoturvapätevyys ja -tietoisuus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Koko organisaation ohjauksessa toimivan henkilöstön on oltava tietoisia:

  • miten he voivat osaltaan lisätä tietoturvallisuuden hallintajärjestelmän vaikuttavuutta ja millaista hyötyä tietoturvallisuuden tason parantamisesta on
  • seurauksista, joita tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten noudattamatta jättämisellä voi ollaminkä osan henkilöstöstä työ vaikuttaa tietoturvan tasoon

Lisäki johto on määrittänyt tavat, joilla henkilöstö pidetään tietoisina omaan työrooliinsa liittyvistä tietoturvaohjeista.

Johdon sitoutuminen tietoturvan hallintaan ja hallintajärjestelmään

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation johdon on osoitettava sitoutumista tietoturvatyötä ja tietoturvallisuuden hallintajärjestelmää kohtaan. Johto sitoutuu:

  • määrittämään työn perusteena toimivat vaatimukset (esim. asiakasvaatimukset, lait ja asetukset tai standardit)
  • määrittämään tietoturvan hallintaan tarvittavat resurssit
  • viestimäään tietoturvallisuuden tärkeydestä
  • varmistamaan, että työllä saavutetaan halutut tulokset
  • edistämään tietoturvan jatkuvaa parantamista

Johto päättää lisäksi tietoturvan hallintajärjestelmän soveltamisalan ja kirjaa päätöksen ylös hallintajärjestelmän kuvaukseen. Tämä tarkoittaa, rajataanko esimerkiksi joitain osia organisaation toiminnasta tai hallinnoimasta tiedosta pois hallintajärjestelmän piiristä, vai koskeeko se organisaation kaikkea tietoa / toimintaa.

Henkilöstön ohjeistus- ja koulutusmenettely digiturva-asioissa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiomme on määritellyt toimintatavat henkilöstön digiturvaosaamisen ylläpitämiseen. Näihin voi liittyä mm. seuraavia asioita:

  • henkilöstölle on olemassa ohjeet, joilla kuvataan työrooliin liittyvät digiturvan yleiset säännöt
  • henkilöstöä koulutetaan, jotta he pystyvät toimimaan turvallisesti, tietävät ohjeet ja kykenevät noudattamaan niitä
  • henkilöstö osoittaa testien tai muun vastaavan avulla omaavansa turvallisen toiminnan vaatimat digiturvataidot ja -tiedot

Koulutus keskittyy kullekin työroolille oleellisimpiin digiturvateemoihin, mutta sisältää tarpeeksi usein myös kaikkia työntekijöitä koskevat "perusasiat":

  • työntekijän henkilökohtainen vastuu (mm. päätelaitteista ja käsittelemästään tiedosta)
  • kaikkia koskevat käytännöt (mm. tietoturvahäiriöiden raportointi)
  • kaikkia koskevat säännöt (mm. puhdas työpöytä)
  • organisaation tietoturvaroolit (keneen yhteyttä ongelmatilanteissa)

Tietoturvamittarien määrittely ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio arvioi tietoturvan tasoa ja tietoturvallisuuden hallintajärjestelmän tehokkuutta säännöllisesti.

Organisaatio on määrittänyt:

  • seurattavat mittarit, joilla saadaan vertailtavissa olevia tuloksia tietoturvan kehittymisestä
  • vastuuhenkilöt mittareiden seurannalle
  • tavat, aikataulun ja henkilöt mittareiden katselmointiin ja arviointiin
  • tavat mittareiden ja niihin liittyvien arviointien dokumentointiin

Tehokkaita mittareita tulisi pystyä käyttämään heikkouksien tunnistamiseen, resurssien parempaan kohdistamiseen sekä oman onnistumisen / epäonnistumisen arviointiin.

Lokin ylläpito järjestetyistä digiturvakoulutuksista

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation henkilöstölleen järjestämistä digiturvakoulutuksista pidetään lokia. Lokin avulla voidaan osoittaa, millaisia täsmäpanostuksia organisaatio on tehnyt henkilöstön digiturvaosaamisen eteen.

Jokaisesta koulutuksesta voidaan kirjata ylös esimerkiksi:

  • ajankohta
  • koulutuksen aihepiirit ja kesto
  • koulutuksen toteutustapa ja kouluttaja
  • koulutukseen osallistuneet henkilöt

Ohjeistukset henkilötietojen ja muun luottamuksellisen tiedon käsittelyyn liittyen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietosuojan vastuuhenkilö on muodostanut toimintaohjeet henkilötietoja käsittelevälle henkilöstölle. Lisäksi tietosuojan vastuuhenkilö on valmiina antamaan neuvoja rekisterinpitäjälle, henkilötietoja käsitteleville kumppaneille tai omalle henkilöstölle tietosuojaan liittyen tietosuoja-asetuksen tai muiden tietosuojavaatimusten noudattamiseen.

Ohjeistukset henkilöstölle turvalliseen etätyöhön liittyen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Etätyötä tekevälle henkilöstölle on luotu omat toimintaohjeet, joiden noudattamista seurataan. Lisäksi henkilöstölle järjestetään säännöllisesti koulutusta, jossa selvitetään mobiililaitteiden käytöstä ja etätyöstä aiheutuvia uhkia tietoturvallisuudelle ja kerrataan toimintaohjeita.

Ohjeistukset tiedostojen käyttöön ja paikallisiin tietoihin liittyen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Etenkin kun paikallista tai rakenteetonta tietoa on toiminnan luonteen vuoksi tarpeen käsitellä paljon, voi olla tarpeen kehittää koulutusta, joka kuvaa näihin liittyiviä riskejä henkilöstölle.

Paikallisen ja rakenteettoman tiedon yleisiä ongelmia ovat mm.:

  • ei varmuuskopiointia
  • ei pääsynhallintaa
  • vaikea löydettävyys

Tiedoille, joiden et haluat häviävän, joiden käyttöä haluat valvoa tai jotka on tärkeä löytää jatkossa, henkilöstön pitäisi käyttää niihin suunniteltuja järjestelmiä.

Henkilöstön ohjeistaminen ja kouluttaminen haittaohjelmiin liittyen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio kouluttaa henkilöstöä säännöllisesti sekä hyödynnetyn haittaohjelmasuojauksen käytöstä, haittaohjelmahyökkäyksistä raportoinnista sekä haittaohjelmahyökkäyksistä toipumisesta.

Henkilöstön tiedottaminen uusista, relevanteista haittaohjelmista

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Henkilöstön tietoturvatietoisuuden varmistaminen on tärkeä osa haittaohjelmilta suojautumista. Tämän vuoksi henkilöstölle tiedotetaan säännöllisesti uudenlaisista haittaohjelmista, joiden uhka heihin voi kohdistua.

Häiriöiden hallinnan resursointi ja seuranta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Johdon on määriteltävä hallintavastuut ja luotava menettelyt, joilla taataan tehokas ja johdonmukainen reagointi tietoturvahäiriöihin.

Johdon on varmistettava mm.:

  • häiriöiden hallinta on vastuutettu
  • häiriöiden vastaamiseen, käsittelyyn ja raportointiin on dokumentoitu prosessi

Prosessin on varmistettava mm.:

  • henkilöstöllä on selkeä yhteydenottopiste / -työkalu sekä ohjeistus häiriöiden raportoimiselle
  • pätevä henkilöstö käsittelee raportoidut tietoturvahäiriöt tarpeeksi kattavasti

Yksikkö- tai roolikohtaiset tietoturvaohjeet

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietoturvaohjeistusta tarkennetaan työntekijän työtehtävään liittyen. Organisaatio on määritellyt yksiköt ja roolit, jotka vaativat erillistä ohjeistusta, ja muodostaa näille omia tarkennettuja tietoturvaohjeitaan.

Esimerkkejä omaa ohjeistusta vaativista yksiköistä ovat mm. asiakaspalvelu, IT ja HR. Esimerkkejä omaa ohjeistusta vaativista työrooleista puolestaan järjestelmän pääkäyttäjä sekä etätyön tekijä.

IT-henkilöstön suojausjärjestelmäkoulutus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tarvittavaa henkilöstöä koulutetaan säännöllisesti valittujen suojausjärjestelmien käytöstä.

Koulutuksen tehokkuuden arviointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Digiturvakoulutuksen tehokuutta arvioidaan säännöllisesti. Arviointiin voidaan sisällyttää mm. seuraavia näkökulmia:

  • Onko henkilöstön osaaminen tarpeeksi syvällistä?
  • Ovatko koulutustavat ja -määrät oikeat?
  • Koulutetaanko eri yksiköille oikeita asioita?
  • Onko henkilöstö motivoitunutta oppimaan?
  • Ymmärtääkö henkilöstö syyt koulutukselle (esim. millaisia negatiivia vaikutuksia digiturvan laiminlyönnistä voi aiheutua)?


Säännöllisen yksikkökohtaisen tietoturvatiedotuksen organisointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tiedottamalla yksiköitä heille tärkeimmistä digiturva-asioista ja heidän ymmärtämällään kielellä voidaan saavuttaa suuria edistysaskelia digiturvatasossa, kun henkilöstö ymmärtää paremmin miksi erilaisia käytäntöjä ja sääntöjä sovelletaan. Tiedotus voi olla sääntöjen jakelua pienissä paloissa, erilaisia kampanjoita (esim. ”tietoturvapäivä”), ohjelehtisiä, uutiskirjeitä, kilpailuja tai mitä tahansa.

Tietoturvatiedotuksesta voidaan myös käyttää nimitystä "tietoisuusohjelma".

Suojausjärjestelmien käytön sekä haittaohjelmahyökkäyksien raportoinnin kouluttaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiomme on määritellyt menettelyohjeet ja vastuut järjestelmien suojaamiseen haittaohjelmilta ja koulutetaan henkilöstöä suojauksien käyttöön sekä haittaohjelmahyökkäyksistä raportointiin ja niistä toipumiseen.

Yleisen tietoturvapolitiikan muodollinen hyväksyminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiomme työntekijät hyväksyvät johdon muodostaman yleisen tietoturvapolitiikan allekirjoituksellaan. Politiikka voi viitata useisiin tarkempiin tietoturvasääntöihin.

Kurinpitoprosessi tietoturvarikkomuksia varten

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiomme on määritellyt toimenpiteet, joihin ryhdytään tietoturvarikkomustapauksissa. Nämä voidat sisältää mm. seuraavia vaiheita:

  • selvitetään, mitä tietoja vuodettiin ja miten vahingollista tämä oli
  • selvitetään, oliko teko tahallinen
  • selvitetään, mitä salassapitositoumuksessa oli sovittu toimenpiteiksi
  • päätetään, halutaanko asiaa viedä eteenpäin ja miten (esim. oikeudelliset toimet)
  • selvitetään, tarvitaanko ulkopuolista apua

Työsuhteen aikana

Tämän vaatimuksen toteuttamiseen liittyvät tehtävät

Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.

No items found.
No items found.