Koko organisaation ohjauksessa toimivan henkilöstön on oltava tietoisia:

• miten he voivat osaltaan lisätä tietoturvallisuuden hallintajärjestelmän vaikuttavuutta ja millaista hyötyä tietoturvallisuuden tason parantamisesta on
• seurauksista, joita tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten noudattamatta jättämisellä voi ollaminkä osan henkilöstöstä työ vaikuttaa tietoturvan tasoon

Lisäki johto on määrittänyt tavat, joilla henkilöstö pidetään tietoisina omaan työrooliinsa liittyvistä tietoturvaohjeista.

Organisaation johdon on osoitettava sitoutumista tietoturvatyötä ja tietoturvallisuuden hallintajärjestelmää kohtaan. Johto sitoutuu:

• määrittämään työn perusteena toimivat vaatimukset (esim. asiakasvaatimukset, lait ja asetukset tai standardit)
• määrittämään tietoturvan hallintaan tarvittavat resurssit
• viestimäään tietoturvallisuuden tärkeydestä
• varmistamaan, että työllä saavutetaan halutut tulokset
• edistämään tietoturvan jatkuvaa parantamista

Johto päättää lisäksi tietoturvan hallintajärjestelmän soveltamisalan ja kirjaa päätöksen ylös hallintajärjestelmän kuvaukseen. Tämä tarkoittaa, rajataanko esimerkiksi joitain osia organisaation toiminnasta tai hallinnoimasta tiedosta pois hallintajärjestelmän piiristä, vai koskeeko se organisaation kaikkea tietoa / toimintaa.

Organisaatiomme on määritellyt toimintatavat henkilöstön digiturvaosaamisen ylläpitämiseen. Näihin voi liittyä mm. seuraavia asioita:

• henkilöstölle on olemassa ohjeet, joilla kuvataan työrooliin liittyvät digiturvan yleiset säännöt
• henkilöstöä koulutetaan, jotta he pystyvät toimimaan turvallisesti, tietävät ohjeet ja kykenevät noudattamaan niitä
• henkilöstö osoittaa testien tai muun vastaavan avulla omaavansa turvallisen toiminnan vaatimat digiturvataidot ja -tiedot

Koulutus keskittyy kullekin työroolille oleellisimpiin digiturvateemoihin, mutta sisältää tarpeeksi usein myös kaikkia työntekijöitä koskevat "perusasiat":

• työntekijän henkilökohtainen vastuu (mm. päätelaitteista ja käsittelemästään tiedosta)
• kaikkia koskevat käytännöt (mm. tietoturvahäiriöiden raportointi)
• kaikkia koskevat säännöt (mm. puhdas työpöytä)
• organisaation tietoturvaroolit (keneen yhteyttä ongelmatilanteissa)

Organisaatio arvioi tietoturvan tasoa ja tietoturvallisuuden hallintajärjestelmän tehokkuutta säännöllisesti.

Organisaatio on määrittänyt:

• seurattavat mittarit, joilla saadaan vertailtavissa olevia tuloksia tietoturvan kehittymisestä
• vastuuhenkilöt mittareiden seurannalle
• tavat, aikataulun ja henkilöt mittareiden katselmointiin ja arviointiin
• tavat mittareiden ja niihin liittyvien arviointien dokumentointiin

Tehokkaita mittareita tulisi pystyä käyttämään heikkouksien tunnistamiseen, resurssien parempaan kohdistamiseen sekä oman onnistumisen / epäonnistumisen arviointiin.

Organisaation henkilöstölleen järjestämistä digiturvakoulutuksista pidetään lokia. Lokin avulla voidaan osoittaa, millaisia täsmäpanostuksia organisaatio on tehnyt henkilöstön digiturvaosaamisen eteen.

Jokaisesta koulutuksesta voidaan kirjata ylös esimerkiksi:

• ajankohta
• koulutuksen aihepiirit ja kesto
• koulutuksen toteutustapa ja kouluttaja
• koulutukseen osallistuneet henkilöt

Tietosuojan vastuuhenkilö on muodostanut toimintaohjeet henkilötietoja käsittelevälle henkilöstölle. Lisäksi tietosuojan vastuuhenkilö on valmiina antamaan neuvoja rekisterinpitäjälle, henkilötietoja käsitteleville kumppaneille tai omalle henkilöstölle tietosuojaan liittyen tietosuoja-asetuksen tai muiden tietosuojavaatimusten noudattamiseen.

Etätyötä tekevälle henkilöstölle on luotu omat toimintaohjeet, joiden noudattamista seurataan. Lisäksi henkilöstölle järjestetään säännöllisesti koulutusta, jossa selvitetään mobiililaitteiden käytöstä ja etätyöstä aiheutuvia uhkia tietoturvallisuudelle ja kerrataan toimintaohjeita.

Etenkin kun paikallista tai rakenteetonta tietoa on toiminnan luonteen vuoksi tarpeen käsitellä paljon, voi olla tarpeen kehittää koulutusta, joka kuvaa näihin liittyiviä riskejä henkilöstölle.

Paikallisen ja rakenteettoman tiedon yleisiä ongelmia ovat mm.:

• ei varmuuskopiointia
• ei pääsynhallintaa
• vaikea löydettävyys

Tiedoille, joiden et haluat häviävän, joiden käyttöä haluat valvoa tai jotka on tärkeä löytää jatkossa, henkilöstön pitäisi käyttää niihin suunniteltuja järjestelmiä.

Organisaatio kouluttaa henkilöstöä säännöllisesti sekä hyödynnetyn haittaohjelmasuojauksen käytöstä, haittaohjelmahyökkäyksistä raportoinnista sekä haittaohjelmahyökkäyksistä toipumisesta.

Henkilöstön tietoturvatietoisuuden varmistaminen on tärkeä osa haittaohjelmilta suojautumista. Tämän vuoksi henkilöstölle tiedotetaan säännöllisesti uudenlaisista haittaohjelmista, joiden uhka heihin voi kohdistua.

Johdon on määriteltävä hallintavastuut ja luotava menettelyt, joilla taataan tehokas ja johdonmukainen reagointi tietoturvahäiriöihin.

Johdon on varmistettava mm.:

• häiriöiden hallinta on vastuutettu
• häiriöiden vastaamiseen, käsittelyyn ja raportointiin on dokumentoitu prosessi

Prosessin on varmistettava mm.:

• henkilöstöllä on selkeä yhteydenottopiste / -työkalu sekä ohjeistus häiriöiden raportoimiselle
• pätevä henkilöstö käsittelee raportoidut tietoturvahäiriöt tarpeeksi kattavasti

Tietoturvaohjeistusta tarkennetaan työntekijän työtehtävään liittyen. Organisaatio on määritellyt yksiköt ja roolit, jotka vaativat erillistä ohjeistusta, ja muodostaa näille omia tarkennettuja tietoturvaohjeitaan.

Esimerkkejä omaa ohjeistusta vaativista yksiköistä ovat mm. asiakaspalvelu, IT ja HR. Esimerkkejä omaa ohjeistusta vaativista työrooleista puolestaan järjestelmän pääkäyttäjä sekä etätyön tekijä.

Tarvittavaa henkilöstöä koulutetaan säännöllisesti valittujen suojausjärjestelmien käytöstä.

Työntekijät ovat ennen pääsyoikeuksien myötämistä luottamukselliseen tietoon tai tietojärjestelmiin:

• saaneet asianmukaisen opastuksen tietoturvavastuistaan (mm. ilmoitusvastuu ja vastuu omista päätelaitteista)
• saaneet asianmukaisen opastuksen omaan työrooliinsa liittyvistä tietoturvarooleistaan (mm. omaan työrooliin liittyvät digiturvasäännöt sekä tietojärjestelmät ja niiden hyväksyttävä käyttö)
• saaneet tiedot digiturvan yhteyshenkilöistä, joilta voi kysyä lisää

Digiturvakoulutuksen tehokuutta arvioidaan säännöllisesti. Arviointiin voidaan sisällyttää mm. seuraavia näkökulmia:

• Onko henkilöstön osaaminen tarpeeksi syvällistä?
• Ovatko koulutustavat ja -määrät oikeat?
• Koulutetaanko eri yksiköille oikeita asioita?
• Onko henkilöstö motivoitunutta oppimaan?
• Ymmärtääkö henkilöstö syyt koulutukselle (esim. millaisia negatiivia vaikutuksia digiturvan laiminlyönnistä voi aiheutua)?

Tiedottamalla yksiköitä heille tärkeimmistä digiturva-asioista ja heidän ymmärtämällään kielellä voidaan saavuttaa suuria edistysaskelia digiturvatasossa, kun henkilöstö ymmärtää paremmin miksi erilaisia käytäntöjä ja sääntöjä sovelletaan. Tiedotus voi olla sääntöjen jakelua pienissä paloissa, erilaisia kampanjoita (esim. ”tietoturvapäivä”), ohjelehtisiä, uutiskirjeitä, kilpailuja tai mitä tahansa.

Tietoturvatiedotuksesta voidaan myös käyttää nimitystä "tietoisuusohjelma".

Ennen pääsyoikeuksien myöntämistä järjestettävä koulutus koskee uusien työntekijöiden lisäksi niitä, jotka siirtyvät uusiin tehtäviin tai rooleihin, etenkin kun henkilön käyttämät tietojärjestelmät sekä työrooliin liittyvät tietoturvavaatimukset muuttuvat merkittävsti työroolin vaihdoksen myötä. Koulutus järjestetään ennen uuden työroolin muuttumista aktiiviseksi.

Organisaatiomme on määritellyt menettelyohjeet ja vastuut järjestelmien suojaamiseen haittaohjelmilta ja koulutetaan henkilöstöä suojauksien käyttöön sekä haittaohjelmahyökkäyksistä raportointiin ja niistä toipumiseen.

Vähintään digiturvan kannalta tärkeisiin rooleihin hakeutuvien työnhakijoiden tausta olisi tarkastettava, huomioiden asianmukaiset lait ja määräykset.

Tarkastus voi sisältää mm.:

• suositusten tarkistuksen
• CV:n oikeellisuuden tarkistuksen
• koulutuksellisen pätevyyden varmistamisen
• henkilöllisyyden tarkistamisen riippumattomasta lähteestä
• muut yksityiskohtaisemmat tarkistukset (esim. luottotietojen, aiempien korvausvaatimusten tai rikosrekisterin tarkistus)

Taustatarkistus voi olla syytä ulottaa myös esimerkiksi täysin etänä työskenteleviin, urakoitsijoihin tai muihin kolmansiin osapuoliin. Taustatarkistuksen syvyyttä voidaan suhteuttaa tehtävän oikeuttavaan tietoluokkaan.

Työsopimuksessa olisi eroteltava tietoturvavastuut ja -velvollisuudet, jotka jäävät voimaan työsuhteen päättymisen. Työntekijää muistutetaan vielä näistä työsuhteen päättyessä, jotta noudattamista voidaan varmistaa.

Työsopimuksissa eritellään työntekijän ja organisaation vastuut tietoturvallisuudesta.

Sopimuksen tulisi sisältää mm.:

• työntekijän juridiset vastuut ja oikeudet, esim. tekijänoikeus- tai tietosuojalainsäädäntöön liittyvät vastuut
• työntekijän vastuu ohjeiden noudattamisesta mm. laitteiston ja tiedon käyttöön ja tietojen luokitteluun liittyen
• työntekijän tai vuokratyöntekijän vastuu muilta yrityksiltä tai muilta osapuolilta saadun tiedon käsittelyssä
• toimenpiteet, jos työntekijä tai vuokratyöntekijä rikkoo organisaation turvallisuusvaatimuksia
• työsuhteen päättymisen jälkeen jatkuvat velvollisuudet

Kaikkien luottamuksellisia tietoja käsittelevien työntekijöiden olisi allekirjoitettava salassapito- tai vaitiolositoumus ennen luottamuksellisen tiedon käsittelyä.

Salassapitositoumuksen tulisi sisältää mm.:

• luottamuksellisen tiedon selkeä määrittely
• sitoumuksen oletettu kesto
• edellytetyt toimenpiteet, kun sitoumus puretaan
• allekirjoittaneiden vastuut ja toimenpiteet, jotta vältetään luvaton tiedon paljastaminen
• tiedon, liikesalaisuuksien ja aineettoman omaisuuden omistajuus ja miten tämä liittyy luottamuksellisen tiedon suojaamiseen
• luottamuksellisen tiedon sallittu käyttö ja allekirjoittaneen oikeudet käyttää tietoa
• oikeus tarkastaa ja valvoa toimintoja, joihin liittyy luottamuksellista tietoa

Organisaatiomme työntekijät hyväksyvät johdon muodostaman yleisen tietoturvapolitiikan allekirjoituksellaan. Politiikka voi viitata useisiin tarkempiin tietoturvasääntöihin.

Salassapito- ja vaitiolositoumuksia koskevia vaatimuksia katselmoidaan säännöllisin aikavälein ja aina silloin, kun tapahtuu näihin vaatimuksiin vaikuttavia muutoksia.

Organisaatiomme on määritellyt toimenpiteet, joihin ryhdytään tietoturvarikkomustapauksissa. Nämä voidat sisältää mm. seuraavia vaiheita:

• selvitetään, mitä tietoja vuodettiin ja miten vahingollista tämä oli
• selvitetään, oliko teko tahallinen
• selvitetään, mitä salassapitositoumuksessa oli sovittu toimenpiteiksi
• päätetään, halutaanko asiaa viedä eteenpäin ja miten (esim. oikeudelliset toimet)
• selvitetään, tarvitaanko ulkopuolista apua