Henkilöstön ohjeistus- ja koulutusmenettely digiturva-asioissa

Critical
High
Normal
Low

Organisaatiomme on määritellyt toimintatavat henkilöstön digiturvaosaamisen ylläpitämiseen. Näihin voi liittyä mm. seuraavia asioita:

  • henkilöstölle on olemassa ohjeet, joilla kuvataan työrooliin liittyvät digiturvan yleiset säännöt
  • henkilöstöä koulutetaan, jotta he pystyvät toimimaan turvallisesti, tietävät ohjeet ja kykenevät noudattamaan niitä
  • henkilöstö osoittaa testien tai muun vastaavan avulla omaavansa turvallisen toiminnan vaatimat digiturvataidot ja -tiedot

Koulutus keskittyy kullekin työroolille oleellisimpiin digiturvateemoihin, mutta sisältää tarpeeksi usein myös kaikkia työntekijöitä koskevat "perusasiat":

  • työntekijän henkilökohtainen vastuu (mm. päätelaitteista ja käsittelemästään tiedosta)
  • kaikkia koskevat käytännöt (mm. tietoturvahäiriöiden raportointi)
  • kaikkia koskevat säännöt (mm. puhdas työpöytä)
  • organisaation tietoturvaroolit (keneen yhteyttä ongelmatilanteissa)
Liittyvät muut vaatimuskehikot ja vaatimukset:
T11: Turvallisuuskoulutus ja -tietoisuus
Katakri
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL

Ohjeistukset henkilöstölle tietojenkalasteluun liittyen

Critical
High
Normal
Low

Organisaatio on muodostanut henkilöstölle toimintaohjeet, joilla määritellään eri viestintäpalvelujen hyväksyttävä käyttö ja joiden avulla pyritään estämään luottamuksellisen tiedon paljastaminen esimerkiksi tietojenkalastelijalle tai muille ulkopuolisille.

Liittyvät muut vaatimuskehikot ja vaatimukset:
13.2.1: Information transfer policies and procedures
ISO 27001
13.2.3: Electronic messaging
ISO 27001

Yleiset tietoturvaohjeet henkilöstölle

Critical
High
Normal
Low

Henkilöstöllä on oltava tietoturvaohjeet, joissa on käsiteltävä mm. seuraavia aiheita:

  • mobiilaitteiden käyttö ja päivitykset
  • tiedon tallentaminen ja varmuuskopiointi
  • tietosuoja
  • sähköpostin käyttö
  • tulosteiden, papereiden ja tiedostojen käsittely
  • häiriöistä ilmoittaminen
  • huijausten estäminen
Liittyvät muut vaatimuskehikot ja vaatimukset:
T11: Turvallisuuskoulutus ja -tietoisuus
Katakri
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL

Tietoturvaohjeiden noudattamisen valvonta

Critical
High
Normal
Low

Ohjeiden noudattamista voidaan valvoa joko teknisesti tai suoraan kysymällä / testaamalla työntekijöiltä.

Liittyvät muut vaatimuskehikot ja vaatimukset:
29. Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa
GDPR
18.2.2: Compliance with security policies and standards
ISO 27001

Ohjeiden jatkuva kehittäminen

Critical
High
Normal
Low

Mikäli henkilöstöllä on ristiriitaisia tavoitteita tietoturvaohjeiden kanssa, he eivät todennäköisesti noudata ohjeita.

Organisaatio pyrkii aktiivisesti löytämään huonosti toimivat ohjeet ja muokkaamaan joko ohjetta, työkaluja tai henkilöstön prioriteetteja, jotta ohjeita noudatetaan.

Liittyvät muut vaatimuskehikot ja vaatimukset:
12.1.1: Documented operating procedures
ISO 27001
T11: Turvallisuuskoulutus ja -tietoisuus
Katakri
No items found.