Digiturvamalli

Järjestelmien hankinta

Teema-alueen vaatimukset

Teeman tehtävien osa-alueet

No items found.
DigiturvamalliJärjestelmien hallintaEJärjestelmien hallinta

Järjestelmien hankinta

Vaatimuskategoriaan liittyvät vaatimukset

No items found.

Esimerkkejä vaatimuksiin liittyvistä tehtävistä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

No items found.

Järjestelmien hankinta

Tämän vaatimuksen toteuttamiseen liittyvät tehtävät

Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.

Tärkeiden järjestelmätoimittajien käsittelysopimusten erillinen analysointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Käsittelysopimuksella sidotaan henkilötietojen käsittelijän (kuten järjestelmätoimittajan) tekemisiä.

Meille voi olla tärkeää vastuuttaa tärkeää kumppania haluamallamme tasolla huolehtimaan mm. käytön valvonnasta (lokituksista) sekä tietojen palauttamisesta sopimuksen päättyessä haluamiemme toimintatapojen mukaan.

Järjestelmien hankintaa ja valintaa koskevat yleiset säännöt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Uusia tietojärjestelmiä hankittaessa tarkistetaan seuraavien kriteerien täyttyminen:

  • Järjestelmä täyttää uuden, erillisen liiketoimintatarpeen
  • Järjestelmä integroituu hyvin muihin käytettyihin järjestelmiin ja tunnistautumistapoihin
  • Järjestelmä täyttää turvallisuuden minimivaatimukset kriittisyysluokkansa mukaan
  • Järjestelmä ei vaadi liikaa kustomointia ja henkilöstöllä on osaaminen sen käyttöön
  • Palveluntarjoaja on kannattava yritys vahvoilla referensseillä ja historialla

Hankittujen / kehitettyjen järjestelmien turvallisuutta koskevat yleiset säännöt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Uusia tietojärjestelmiä hankittaessa tarkistetaan seuraavien turvallisuuskriteerien täyttyminen:

Matalan riskin järjestelmä

  • Järjestelmä käyttää hyväksyttyjä tunnistautumistapoja
  • Palveluntarjoaja toimii kannattavasti ja tiedottaa selvästi muutoksista
  • Tietoliikenne on salattu vaaditusti (esim. vähintään TLS 1.1 -salauksella)

Keskiverron riskin järjestelmä

  • Järjestelmä tukee kaksivaiheista tunnistautumista tai voidaan integroida keskitettyyn kirjautumisratkaisuun
  • Järjestelmä sisältää kattavan käytön valvonnan ja ehdoissa on sitouduttu lokien toimittamiseen asiakkaalle pyynnöstä
  • Palveluntarjoaja on sitoutunut sopimuksellisesti palauttamaan ja tuhoamaan asiakkaan tiedot käytön päättyessä

Korkean riskin järjestelmä

  • Palveluntarjoaja omaa määritellyt sertifikaatit (esim. ISO27001, SOC2, NIST, PCI DSS)
  • Palveluntarjoaja on läpäissyt tarkemman tietoturva- ja tietosuoja-analyysin

Hankitun järjestelmän koodin tarkistettavuus (ST III-II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kaikki hankitun palvelun/sovelluksen/järjestelmän turvallisuuteen oleellisesti vaikuttava koodi on tarkastettavissa (esim. mahdolliset takaportit, turvattomat toteutukset).

Järjestelmäportfolion hallinta ja ennakoiva suunnittelu

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Määrätietoinen järjestelmäportfolion hallinta tarkoittaa selkeää kuvaa organisaation järjestelmäkokonaisuudesta, eri järjestelmien hyödyistä ja tulevista tarpeista.

Järjestelmäportfolion hallinnalla pyritään saavuttamaan mm.:

  • tehokkuushyötyjä ymmärtämällä kokonaisuus ja esim. integraatioiden mahdollisuudet
  • poistamaan päällekkäisyyksiä
  • säästämään turhissa lisenssikustannuksissa
  • hallitsemaan toimittajien määrää
  • helpottamaan henkilöstön ohjeistamista

Vaadittujen sertifikaattien tai standardien määrittely korkean riskin järjestelmien toimittajille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Huolella valitut sertifikaatit voivat olla hyviä yleisesti tunnistettuja todisteita tietystä tietoturva- tai tietosuojatasosta.

Organisaatio voi päättää vaatia tärkeiltä kumppaneilta tietyn sertifikaatin omaamista. Yleisesti tunnistettuja digiturvaan liittyviä sertifikaatteja ovat mm.:

  • ISO 27001 (yleinen tietoturva)
  • SOC2 (yleinen tietoturva, kutsutaan myös SSAE 16)
  • ISO 27017 (digiturva pilvipalveluissa)
  • ISO 27018 (tietosuoja pilvipalveluille)
  • muita suosittuja digiturvaan liittyviä standardeja mm. NIST (yleinen), CSA (pilviohjelmistot), PCI DSS (korttimaksaminen)

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.