Järjestelmien hankintaa ja valintaa koskevat yleiset säännöt

Critical
High
Normal
Low

Aina hankittaessa uusia tietojärjestelmiä noudatetaan ennalta määriteltyä hankintaprosessia ja -sääntöjä. Sääntöjen avulla varmistetaan, että toimittaja pystyy takaamaan riittävän turvallisuustason järjestelmän tärkeys huomioiden.

Liittyvät muut vaatimuskehikot ja vaatimukset:
14.1.1: Information security requirements analysis and specification
ISO 27001
4 luku, 13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL

Tietojärjestelmien kehittämistä ja hankintaa koskevat turvallisuussäännöt

Critical
High
Normal
Low

Aina hankittaessa tai kehitettäessä uusia tietojärjestelmiä noudatetaan ennalta määritettyjä turvallisuussääntöjä huomioiden järjestelmän prioriteetti. Sääntöjen avulla varmistetaan, että tietojen käsittelyn turvallisuus järjestelmässä on varmistettu riittävin toimenpitein.

Liittyvät muut vaatimuskehikot ja vaatimukset:
I13: Ohjelmistoilla toteutettavat pääsynhallintatoteutukset
Katakri
4 luku, 13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL

Kriteerit korkean prioriteetin tietojärjestelmien toimittajille

Critical
High
Normal
Low

Organisaatio on määritellyt tärkeiltä kumppaneilta vaaditut sertifioinnit tai noudatettavat standardit. Yleisesti tunnistettuja digiturvaan liittyviä standardeja ovat mm.:

  • ISO 27001 (tietoturvan hallintajärjestelmä)
  • SOC2 (yleinen tietoturva, kutsutaan myös SSAE 16)
  • ISO 27701 (tietosuojan hallintajärjestelmä)
  • ISO 27017 (digiturva pilvipalveluissa) tai ISO 27018 (tietosuoja pilvipalveluissa)
  • muita suosittuja mm. NIST (yleinen), CSA (pilviohjelmistot), PCI DSS (korttimaksaminen)

Esimerkiksi kumppanilta vaadittava sertifiointi voi tehostaa omaa kumppanihallintaa ja toimia hyvänä todisteena kumppanin tietystä tietoturva- tai tietosuojatasosta.

Liittyvät muut vaatimuskehikot ja vaatimukset:
14.1.1: Information security requirements analysis and specification
ISO 27001
15.1.1: Information security policy for supplier relationships
ISO 27001

Järjestelmäkuvauksen vaatiminen hankittavien tärkeiden tietojärjestelmien toimittajilta

Critical
High
Normal
Low

Organisaation on varmistettava jo ennakolta, että hankittavat tietojärjestelmät ovat tietoturvallisia. Tämän varmistamiseksi tärkeä hankittavan tietojärjestelmän toimittajalta on vaadittava riittäviä turvallisuuteen liittyviä selvityksiä jo hankintavaiheessa.

Toimittajan tulee selvittää vähintään seuraavat:

  • Palvelusta on järjestelmäkuvaus. Palveluntarjoajan kuvauksen perusteella on pystyttävä arvioimaan kyseisen palvelun yleistä soveltuvuutta kyseiseen asiakkaan käyttötapaukseen. Järjestelmäkuvauksesta tulee käydä ilmi vähintään
  • Palvelun palvelu- ja toteutusmallit, sekä näihin liittyvät palvelutasosopimukset (Service Level Agreements, SLAs).
  • Palvelun tarjoamisen elinkaaren (kehittäminen, käyttö, käytöstä poisto) periaatteet, menettelyt ja turvatoimet, valvontatoimet mukaan lukien.
  • Palvelun kehittämisessä, ylläpidossa/hallinnassa ja käytössä käytettävän infrastruktuurin, verkon ja järjestelmäkomponenttien kuvaus.
  • Muutostenhallinnan periaatteet ja käytännöt, erityisesti turvallisuuteen vaikuttavien muutosten käsittelyprosessit.
  • Käsittelyprosessit merkittäville normaalikäytöstä poikkeaville tapahtumille, esimerkiksi toimintatavat merkittävissä järjestelmävikaantumisissa.
  • Palvelun tarjoamiseen ja käyttöön liittyvät roolit ja vastuunjako asiakkaan ja palveluntarjoajan välillä. Kuvauksesta on käytävä selvästi esille ne toimet, jotka kuuluvat asiakkaan vastuulle palvelun turvallisuuden varmistamisessa. Palveluntarjoajan vastuisiin tulee sisältyä yhteistyövelvollisuus erityisesti poikkeamatilanteiden selvittelyssä.
  • Alihankkijoille siirretyt tai ulkoistetut toiminnot.
Liittyvät muut vaatimuskehikot ja vaatimukset:
HAL-16: Hankintojen turvallisuus
Julkri
No items found.