Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä sekä tietojärjestelmille nimetyistä omistajista. Omistaja vastaa järjestelmän tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti järjestelmään.
Järjestelmiin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:
Organisaation on ylläpidettävä listaa sen hallinnoimiin tietovarantoihin sisältyvistä tietoaineistoista.
Dokumentaation on sisällettävä vähintään seuraavat tiedot:
Organisaation on ylläpidettävä listaa kumppaneista, joilla on pääsy luottaumuksellisiin tietoihin. Järjestelmätoimittajat sekä henkilötietojen käsittelijät listataan erillään muista sidosryhmistä, koska heillä on aktiivinen rooli tietojen käsittelyssä.
Organisaation on ylläpidettävä listaa hallinnoimistaan tietovarannoista sekä nimetyistä omistajista. Omistaja vastaa varannon tietojen täydentämisestä sekä mahdollisista muista digiturvatoimenpiteistä, jotka liittyvät tiiviisti tietovarantoon.
Tietovarantoihin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:
Organisaation on luetteloitava kaikki oleellinen suojattava omaisuus määrittääkseen omistajuuksia sekä varmistaakseen, että tietoturvallisuuden toimenpiteet kattavat kaikki tarvittavat kohteet.
Iso osa suojattavasta omaisuudesta (mm. tieto, tietojärjestelmät, henkilöstö / yksiköt sekä kumppanit) käsitellään muiden tehtävien kautta. Organisaation tulee lisäksi listata muu oleellinen suojattava omaisuus, joka voi oman toiminnan luonteesta riippuen olla mm. laitteistoa (palvelimet, verkkolaitteet, työasemat, tulostimet) tai infrastruktuuria (kiinteistöt, sähköntuotto, ilmastointi).
Tietoon ja tietojenkäsittelypalveluihin liittyvä suojattava omaisuus olisi luotteloitava. Tarkoituksena on varmistaa, että suojaus kattaa tarvittavan omaisuuden.
Luettelointia voidaan tehdä suoraan hallintajärjestelmässä, mutta organisaatiolla voi olla käytössä tietylle omaisuudelle (mm. koodivarastoille, tietokannoille, verkkolaitteille, mobiililaitteille, työasemille, palvelimille tai muulle fyysiselle omaisuudelle) muita, hyvin toimivia listauspaikkoja.
Kuvaa tässä tehtävässä, mitkä hallintajärjestelmän ulkopuoliset luettelot liittyvät suojattavan omaisuuden hallintaan.
Organisaatio pitää kirjaa tietojärjestelmän liittymistä muihin tietojärjestelmiin sekä liittymissä käytettävistä tiedonsiirtotavoista.
Dokumentaatio liittymien suhteen on katselmoitava säännöllisesti sekä järjestelmiin tehtävien muutosten jälkeen.
Rekisteröidyillä on samat oikeudet henkilötietoihinsa, säilytimmepä niitä missä muodossa tahansa. Meidän on kyettävä viestimään käsittelystä ja tarjoamaan rekisteröidyille pääsy henkilötietoihin, olivatpa ne paperilla, paikallisissa tiedostoissa tai tietojärjestelmissä.
Dokumentoimme erikseen henkilötiedot, joita säilytetään tietojärjestelmien ulkopuolella.
Laitteet on kirjattava mobiilailaitteiden hallintajärjestelmään, jotta laitteelle saadaan oma tunniste ja hallintaominaisuuksia voidaan käyttää. Uusien laitteiden hankinnan yhteydessä laitteet kirjataan aina mobiilaitteiden hallintajärjestelmään.
Tietojärjestelmälistausta on katselmoitava säännöllisesti, jotta varmistetaan sen tarkkuus, ajantasaisuus ja johdonmukaisuus.
Organisaation käsittelemät henkilötiedot on kartoitettu ja dokumentoitu. Dokumentaatio sisältää mm.:
Elevate Your Knowledge with Exclusive Access to Weekly Webinars, Video Courses, Help Articles, and Blogs.
