Tietojärjestelmien listaus ja omistajien nimeäminen

Critical
High
Normal
Low

Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä sekä tietojärjestelmille nimetyistä omistajista. Omistaja vastaa järjestelmän tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti järjestelmään.

Järjestelmiin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

  • Järjestelmään liittyvät vastuut ja sen käyttötarkoitus
  • Järjestelmän tietojen sijainti (käsitellään tarkemmin erillisessä tehtävässä)
  • Kuvaus järjestelmän ylläpito- ja kehitysvastuista sekä tähän mahdollisesti liittyvät toimittajat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tietojärjestelmän pääsyoikeusroolit ja tunnistautumistavat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa liittymät muihin järjestelmiin (käsitellään tarkemmin erillisessä tehtävässä)
Liittyvät muut vaatimuskehikot ja vaatimukset:
I06: Pääsyoikeuksien hallinnointi
Katakri
4 luku, 13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL

Tietovarantojen listaus ja omistajien nimeäminen

Critical
High
Normal
Low

Organisaation on ylläpidettävä listaa hallinnoimistaan tietovarannoista sekä nimetyistä omistajista. Omistaja vastaa varannon tietojen täydentämisestä sekä mahdollisista muista digiturvatoimenpiteistä, jotka liittyvät tiiviisti tietovarantoon.

Tietovarantoihin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

  • Tietovarantoon liittyvät vastuut
  • Tietojen käyttötarkoitukset (käsitellään tarkemmin erillisessä tehtävässä)
  • Tietoaineistot, joista tietovaranto muodostuu (käsitellään tarkemmin erillisessä tehtävässä)
  • Tietojen säännönmukaiset luovutukset (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tieto tietovarannon sidoksesta toimintaprosesseihin
Liittyvät muut vaatimuskehikot ja vaatimukset:
2 luku, 5 §: Tiedonhallintamalli ja muutosvaikutuksen arviointi
TiHL
6. Käsittelyn lainmukaisuus
GDPR

Säännöllinen, sisäinen tietosuojakäytäntöjen arviointi

Critical
High
Normal
Low

Tietosuojan vastuuhenkilön tehtävänä on seurata, että tietosuoja-asetusta ja muita tietosuojavaatimuksia noudatetaan organisaation toiminnassa.

Vastuuhenkilön on arviointia tehdessään otettava asianmukaisesti huomioon käsittelytoimiin liittyvä riski sekä henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.

Liittyvät muut vaatimuskehikot ja vaatimukset:
25. Sisäänrakennettu ja oletusarvoinen tietosuoja
GDPR
A.7.2.1: Identify and document purpose
ISO 27701
No items found.