ISO 27001

Vastuu suojattavasta omaisuudesta

Teema-alueen vaatimukset

Teeman tehtävien osa-alueet

No items found.
ISO 270018: Asset management8Suojattavan omaisuuden hallinta

Vastuu suojattavasta omaisuudesta

Vaatimuskategoriaan liittyvät vaatimukset

Esimerkkejä vaatimuksiin liittyvistä tehtävistä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Muun suojattavan omaisuuden dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Ymmärrys organisaation suojattavasta omaisuudesta auttaa määrittämään omistajuuksia sekä varmistamaan, että tietoturvallisuuden toimenpiteet kattavat kaikkia tarvittavat kohteet. 

Iso osa suojattavasta omaisuudesta (mm. tieto, tietojärjestelmät, henkilöstö / yksiköt sekä kumppanit) käsitellään muiden tehtävien kautta. Organisaation tulee lisäksi listata muu oleellinen suojattava omaisuus, joka voi oman toiminnan luonteesta riippuen olla mm. laitteistoa (palvelimet, verkkolaitteet, työasemat, tulostimet) tai infrastruktuuria (kiinteistöt, sähköntuotto, ilmastointi).

Hallintajärjestelmän ulkopuolisen suojattavan omaisuuden dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietoon ja tietojenkäsittelypalveluihin liittyvä suojattava omaisuus olisi luotteloitava. Tarkoituksena on varmistaa, että suojaus kattaa tarvittavan omaisuuden.

Luettelointia voidaan tehdä suoraan hallintajärjestelmässä, mutta organisaatiolla voi olla käytössä tietylle omaisuudelle (mm. koodivarastoille, tietokannoille, verkkolaitteille, mobiililaitteille, työasemille, palvelimille tai muulle fyysiselle omaisuudelle) muita, hyvin toimivia listauspaikkoja.

Kuvaa tässä tehtävässä, mitkä hallintajärjestelmän ulkopuoliset luettelot liittyvät suojattavan omaisuuden hallintaan.

Tietoaineistojen dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on ylläpidettävä listaa sen hallinnoimiin tietovarantoihin sisältyvistä tietoaineistoista.

Dokumentaation on sisällettävä vähintään seuraavat tiedot:

  • Aineiston käsittelyyn käytetyt tietojärjestelmät ja muut keinot
  • Keskeiset tietoryhmät aineistossa (ja sisältääkö henkilötietoja)
  • Tietojen säilytysaika (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tieto aineistojen arkistoinnista / hävittämisestä (käsitellään tarkemmin erillisessä tehtävässä)

Listausta tarkastellaan säännöllisesti, jotta se on tarkka, ajantasainen, ja johdonmukainen.

Liittymien ja rajapintojen kuvaukset

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio pitää kirjaa tietojärjestelmän liittymistä muihin tietojärjestelmiin sekä liittymissä käytettävistä tiedonsiirtotavoista.

Kumppanilistauksen ylläpito

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on ylläpidettävä listaa kumppaneista, joilla on pääsy luottaumuksellisiin tietoihin. Järjestelmätoimittajat sekä henkilötietojen käsittelijät listataan erillään muista sidosryhmistä.

Listauksia on tarkasteltava säännöllisesti, jotta ne ovat tarkkoja, ajantasaisia ja johdonmukaisia.

Tietojärjestelmien omistajien nimeäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Jokaiselle tietojärjestelmälle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.

Omistajan tehtäviin kuuluu mm.:

  • varmistaa omaisuuden dokumentointi
  • varmistaa omaisuuden asianmukainen suojaus
  • pääsyoikeuksien säännöllinen katselmointi
  • varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa

Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.

Tietojärjestelmien dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä.

Dokumentaatio sisältää vähintään seuraavat tiedot:

  • Järjestelmään liittyvät vastuut ja sen käyttötarkoitus
  • Järjestelmän tietojen sijainti
  • Kuvaus järjestelmän ylläpito- ja kehitysvastuista sekä tähän mahdollisesti liittyvät toimittajat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tietojärjestelmän pääsyoikeusroolit ja tunnistautumistavat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa liittymät muihin järjestelmiin (käsitellään tarkemmin erillisessä tehtävässä)

Tietovarantojen dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on dokumentoitava hallinnoimansa tietovarannot.

Dokumentaation tulee sisältää mm.:

  • Tietovarantoon liittyvät vastuut
  • Tietojen käyttötarkoitukset (käsitellään tarkemmin erillisessä tehtävässä)
  • Tietoaineistot, joista tietovaranto muodostuu (käsitellään tarkemmin erillisessä tehtävässä)
  • Tietojen säännönmukaiset luovutukset (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tieto tietovarannon sidoksesta toimintaprosesseihin

Henkilötietoinventaario ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation käsittelemät henkilötiedot on kartoitettu ja dokumentoitu. Dokumentaatio sisältää mm.:

  • Henkilötietojen tallennuspaikan (esim. tietty tietojärjestelmä)
  • Henkilötietoryhmät
  • Tietojen sijainnin
  • Tietoja käsittelevät kumppanit

Toimittajayrityskohtaisten vastuuhenkilöiden määrittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Toimittajayrityksille on nimetty vastuuhenkilö, joka seuraa toimittajan toimintaa, tiedotusta sekä sopimuksen noudattamista.

Vastuuhenkilöllä on oltava riittävät taidot digiturvavaatimusten analysointiin toimittajan kriittisyydestä riippuen. Vastuuhenkilö myös huolehtii, että toimittaja nimittää omalta puoleltaan vastuuhenkilön varmistamaan sopimuksen noudattamisen.

Ohjeet tietojärjestelmien ja tunnistautumistietojen käytölle

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiolla tulisi olla määritelly ohjeet tietojärjestelmien yleisesti hyväksyttävälle käytölle sekä tarvittavien tunnistautumistietojen hallinnalle.

Tärkeäksi luokiteltujen tietojärjestelmien omistaja voi lisäksi määritellä, dokumentoida ja jalkauttaa tarkempia sääntöjä juuri tämän tietojärjestelmän käytöstä. Nämä saannöt voivat kuvata mm. tietoturvavaatimukset, jotka järjestelmän sisältävään tietoon liittyvät.

Tietovarantojen omistajien nimeäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Jokaiselle tietovarannolle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.

Omistajan tehtäviin kuuluu mm.:

  • varmistaa omaisuuden dokumentointi
  • varmistaa omaisuuden asianmukainen suojaus
  • varmistaa rekisterinpitoon liittyvien vastuiden toteutuminen (mm. informointi, tietopyyntöjen hallinta)
  • varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa

Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.

Tietoaineistojen omistajien nimeäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Jokaiselle tietoaineistolle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.

Omistajan tehtäviin kuuluu mm.:

  • varmistaa omaisuuden dokumentointi
  • varmistaa omaisuuden asianmukainen suojaus
  • pääsyoikeuksien säännöllinen katselmointi
  • varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa

Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.

Tietojärjestelmien ulkopuolisen henkilötiedon dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Rekisteröidyillä on samat oikeudet henkilötietoihinsa, säilytimmepä niitä missä muodossa tahansa. Meidän on kyettävä viestimään käsittelystä ja tarjoamaan rekisteröidyille pääsy henkilötietoihin, olivatpa ne paperilla, paikallisissa tiedostoissa tai tietojärjestelmissä.

Dokumentoimme erikseen henkilötiedot, joita säilytetään tietojärjestelmien ulkopuolella.

Järjestelmädokumentaation säännöllinen katselmointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietojärjestelmälistausta on katselmoitava säännöllisesti, jotta varmistetaan sen tarkkuus, ajantasaisuus ja johdonmukaisuus.

Laitelistan ylläpito mobiilaitteiden hallintajärjestelmässä

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Laitteet on kirjattava mobiilailaitteiden hallintajärjestelmään, jotta laitteelle saadaan oma tunniste ja hallintaominaisuuksia voidaan käyttää. Uusien laitteiden hankinnan yhteydessä laitteet kirjataan aina mobiilaitteiden hallintajärjestelmään.

Irtisanomisajalla olevien työntekijöiden erityisvalvonta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Työsuhteen irtisanomisaikana organisaation olisi valvottava, ettei irtisanottu työntekijä esimerkiksi kopioi tärkeää tietoa (esim. aineetonta omaisuutta) luvattomasti.

Prosessi työsuhteiden päättymishetkelle mm. laitteiston ja pääsyoikeuksien poistoon

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiomme on määritellyt toimintatavat, joiden avulla koordinoidaan työsuhteen päättymishetkellä mm.:

  • Laitteiston palauttaminen 
  • Pääsyoikeuksien poisto
  • Muun tieto-omaisuuden palauttaminen

Tietojärjestelmien ulkopuolisen tiedon minimointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Suuri määrä organisaation arvokkaista tiedoista on usein aikojen saatossa kertynyt vaikeasti löydättäväksi ja hallittavaksi rakenteettomiin tietoihin - exceleihin, tekstidokumentteihin, intranetin sivuille tai sähköposteihin.

Kun nämä tiedot on tunnistettu, niiden määrää voidaan määrätietoisesti pyrkiä minimoimaan. Tärkeille järjestelmien ulkopuolisille tiedoille tehdään joku seuraavista päätöksistä:

  • siirretään järjestelmään
  • hankkiudutaan eroon (kun tieto vanhaa, ei enää tarpeen tai muuten merkityksetöntä)
  • pidetään tietoisesti käytössä ja nimetään vastuuhenkilö hallitsemaan riskejä
ISO 270018: Asset management8Suojattavan omaisuuden hallintaVastuu suojattavasta omaisuudesta

Vastuu suojattavasta omaisuudesta

Tämän vaatimuksen toteuttamiseen liittyvät tehtävät

Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.