Digiturva-asioiden käsittely työsopimuksissa

Critical
High
Normal
Low

Työsopimuksissa eritellään työntekijän ja organisaation vastuut tietoturvallisuudesta.

Sopimuksen tulisi sisältää mm.:

  • työntekijän juridiset vastuut ja oikeudet, esim. tekijänoikeus- tai tietosuojalainsäädäntöön liittyvät vastuut
  • työntekijän vastuu ohjeiden noudattamisesta mm. laitteiston ja tiedon käyttöön ja tietojen luokitteluun liittyen
  • työntekijän tai vuokratyöntekijän vastuu muilta yrityksiltä tai muilta osapuolilta saadun tiedon käsittelyssä
  • toimenpiteet, jos työntekijä tai vuokratyöntekijä rikkoo organisaation turvallisuusvaatimuksia
  • työsuhteen päättymisen jälkeen jatkuvat velvollisuudet
Liittyvät muut vaatimuskehikot ja vaatimukset:
7.3: Termination and change of employment
ISO 27001
7.1.2: Terms and conditions of employment

Ohjeistukset työsuhteen elinkaaren huomioimiseksi

Critical
High
Normal
Low

Organisaatio on muodostanut ohjeistukset, joilla varmistetaan turvallisuutta eri työsuhteen elinkaaren vaiheissa. Ohjeistuksia koulutetaan ja valvotaan tarvittavien henkilöstöryhmien parissa (esim. esihenkilöt).

Menettelyohjeet voidaan kohdistaa työsuhteen eri elinkaaren vaiheisiin. Eri ohjeistuksia voivat olla esimerkiksi:

  • rekrytointiohjeet
  • perehdyttämisohjeet
  • työsuhteen aikaisten muutosten ohjeet
  • työsuhteen päättymisen ohjeet
  • ja ohjeet yksityiskohtaisempiin toimiin kuten esimerkiksi ohjeet käyttö- ja pääsyoikeuksien muutoksiin
Liittyvät muut vaatimuskehikot ja vaatimukset:
T08: Työsuhteen elinkaaren huomioiminen
Katakri
HAL-15: Työskentelyn tietoturvallisuus koko palvelussuhteen ajan
Julkri

Taustatarkistus ennen henkilön palkkaamista

Critical
High
Normal
Low

Vähintään digiturvan kannalta tärkeisiin rooleihin hakeutuvien työnhakijoiden tausta olisi tarkastettava, huomioiden asianmukaiset lait ja määräykset.

Tarkastus voi sisältää mm.:

  • suositusten tarkistuksen
  • CV:n oikeellisuuden tarkistuksen
  • koulutuksellisen pätevyyden varmistamisen
  • henkilöllisyyden tarkistamisen riippumattomasta lähteestä
  • muut yksityiskohtaisemmat tarkistukset (esim. luottotietojen, aiempien korvausvaatimusten tai rikosrekisterin tarkistus)

Taustatarkistus voi olla syytä ulottaa myös esimerkiksi täysin etänä työskenteleviin, urakoitsijoihin tai muihin kolmansiin osapuoliin. Taustatarkistuksen syvyyttä voidaan suhteuttaa tehtävän oikeuttavaan tietoluokkaan.

Liittyvät muut vaatimuskehikot ja vaatimukset:
7.1.1: Screening
ISO 27001
T09: Henkilöstön luotettavuuden arviointi
Katakri

Pääsyoikeuksien katselmointi työsuhteen muutostilanteissa

Critical
High
Normal
Low

Kaikissa työsuhteen muutostilanteissa pääsyoikeudet olisi katselmoitava yhteistyössä suojattavan omaisuuden omistajien kanssa, ja myönnettävä henkilölle kokonaan uudelleen, kun henkilön työsuhteessa tapahtuu merkittävä muutos. Muutos voi olla ylennys tai roolin vaihtaminen (esim. yksiköstä toiseen siirtyminen).

Liittyvät muut vaatimuskehikot ja vaatimukset:
9.2.5: Review of user access rights
ISO 27001
HAL-15: Työskentelyn tietoturvallisuus koko palvelussuhteen ajan
Julkri
No items found.