Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Järjestelmien hankintaa ja valintaa koskevat yleiset säännöt

Critical
High
Normal
Low

Aina hankittaessa uusia tietojärjestelmiä noudatetaan ennalta määriteltyä hankintaprosessia ja -sääntöjä. Sääntöjen avulla varmistetaan, että toimittaja pystyy takaamaan riittävän turvallisuustason järjestelmän tärkeys huomioiden.

Liittyvät muut vaatimuskehikot ja vaatimukset:
14.1.1: Information security requirements analysis and specification
ISO 27001
4 luku, 13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL

Kriteerit korkean prioriteetin kumppaneille

Critical
High
Normal
Low

Organisaatio on määritellyt tärkeiltä kumppaneilta vaaditut sertifioinnit tai noudatettavat standardit. Yleisesti tunnistettuja digiturvaan liittyviä standardeja ovat mm.:

  • ISO 27001 (tietoturvan hallintajärjestelmä)
  • SOC2 (yleinen tietoturva, kutsutaan myös SSAE 16)
  • ISO 27701 (tietosuojan hallintajärjestelmä)
  • ISO 27017 (digiturva pilvipalveluissa) tai ISO 27018 (tietosuoja pilvipalveluissa)
  • muita suosittuja mm. NIST (yleinen), CSA (pilviohjelmistot), PCI DSS (korttimaksaminen)

Esimerkiksi kumppanilta vaadittava sertifiointi voi tehostaa omaa kumppanihallintaa ja toimia hyvänä todisteena kumppanin tietystä tietoturva- tai tietosuojatasosta.

Liittyvät muut vaatimuskehikot ja vaatimukset:
15.1.1: Information security policy for supplier relationships
ISO 27001
ID.BE-1: Role in supply chain
NIST
No items found.