Seuraava webinaari
"
ISO 27001 (osa 1/5): Mikä on nykyaikainen digiturvan hallintajärjestelmä?
"
alkaa
00
pv
00
h
00
min
päästä  
Digiturvamalli

Järjestelmien hankinta

Teema-alueen vaatimukset

Teeman tehtävien osa-alueet

No items found.
DigiturvamalliJärjestelmien hallintaEJärjestelmien hallinta

Järjestelmien hankinta

Vaatimuskategoriaan liittyvät vaatimukset

No items found.

Esimerkkejä vaatimuksiin liittyvistä tehtävistä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

No items found.

Järjestelmien hankinta

Tämän vaatimuksen toteuttamiseen liittyvät tehtävät

Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.

Tärkeiden järjestelmätoimittajien käsittelysopimusten erillinen analysointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Käsittelysopimuksella sidotaan henkilötietojen käsittelijän (kuten järjestelmätoimittajan) tekemisiä.

Meille voi olla tärkeää vastuuttaa tärkeää kumppania haluamallamme tasolla huolehtimaan mm. käytön valvonnasta (lokituksista) sekä tietojen palauttamisesta sopimuksen päättyessä haluamiemme toimintatapojen mukaan.

Hankitun järjestelmän koodin tarkistettavuus (ST III-II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kaikki hankitun palvelun/sovelluksen/järjestelmän turvallisuuteen oleellisesti vaikuttava koodi on tarkastettavissa (esim. mahdolliset takaportit, turvattomat toteutukset).

Järjestelmien hankintaa ja valintaa koskevat yleiset säännöt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Aina hankittaessa uusia tietojärjestelmiä noudatetaan ennalta määriteltyä hankintaprosessia ja -sääntöjä. Sääntöjen avulla varmistetaan, että toimittaja pystyy takaamaan riittävän turvallisuustason järjestelmän tärkeys huomioiden.

Tietojärjestelmien kehittämistä ja hankintaa koskevat turvallisuussäännöt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Aina hankittaessa tai kehitettäessä uusia tietojärjestelmiä noudatetaan ennalta määritettyjä turvallisuussääntöjä huomioiden järjestelmän prioriteetti. Sääntöjen avulla varmistetaan, että tietojen käsittelyn turvallisuus järjestelmässä on varmistettu riittävin toimenpitein.

Järjestelmäportfolion hallinta ja ennakoiva suunnittelu

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Määrätietoinen järjestelmäportfolion hallinta tarkoittaa selkeää kuvaa organisaation järjestelmäkokonaisuudesta, eri järjestelmien hyödyistä ja tulevista tarpeista.

Järjestelmäportfolion hallinnalla pyritään saavuttamaan mm.:

  • tehokkuushyötyjä ymmärtämällä kokonaisuus ja esim. integraatioiden mahdollisuudet
  • poistamaan päällekkäisyyksiä
  • säästämään turhissa lisenssikustannuksissa
  • hallitsemaan toimittajien määrää
  • helpottamaan henkilöstön ohjeistamista

Kriteerit korkean prioriteetin tietojärjestelmien toimittajille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio on määritellyt tärkeiltä kumppaneilta vaaditut sertifioinnit tai noudatettavat standardit. Yleisesti tunnistettuja digiturvaan liittyviä standardeja ovat mm.:

  • ISO 27001 (tietoturvan hallintajärjestelmä)
  • SOC2 (yleinen tietoturva, kutsutaan myös SSAE 16)
  • ISO 27701 (tietosuojan hallintajärjestelmä)
  • ISO 27017 (digiturva pilvipalveluissa) tai ISO 27018 (tietosuoja pilvipalveluissa)
  • muita suosittuja mm. NIST (yleinen), CSA (pilviohjelmistot), PCI DSS (korttimaksaminen)

Esimerkiksi kumppanilta vaadittava sertifiointi voi tehostaa omaa kumppanihallintaa ja toimia hyvänä todisteena kumppanin tietystä tietoturva- tai tietosuojatasosta.

Pilvipalveluiden tarjoamista koskevien sopimusehtojen kattavuus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Pilvipalvelun tarjoajan ja organisaation välisen sopimuksen tulee sisältää vaatimukset organisaation tietojen suojaamisesta ja palvelujen saatavuudesta mm. seuraavilla tavoilla:

  • ratkaisun tarjoaminen alalla yleisesti hyväksyttyihin arkkitehtuuri- ja infrastruktuuristandardeihin perustuen
  • käyttöoikeuksien hallinta organisaation vaatimusten täyttämiseksi
  • haittaohjelmien valvonta- ja suojaratkaisujen toteuttaminen
  • organisaation arkaluonteisten tietojen käsittely ja säilytys hyväksytyissä sijainneissa (esim. tietty maa tai lainsäädäntöalue)
  • tuen tarjoaminen tietoturvahäiriön sattuessa
  • organisaation tietoturvavaatimusten täyttymisen varmistaminen myös alihankintaketjuissa
  • tuen tarjoaminen digitaalisten todisteiden keräämisessä
  • riittävän tuen tarjoaminen, kun organisaatio haluaa päättää palvelun käytön
  • vaadittu varmuuskopiointi ja varmuuskopioiden turvallinen hallinta soveltuvin osin
  • organisaation omistamien tietojen (mahdollisesti esim. lähdekoodin, palveluun täytetyn / muodostuneen datan) palauttaminen pyydettäessä tai palvelun päättyessä
  • ilmoitusvaatimukset merkittäviin muutoksiin (kuten infrastruktuuriin, tärkeisiin ominaisuuksiin, tiedon sijaintiin tai alihankkijoiden käyttöön) liittyen

Järjestelmäkuvauksen vaatiminen hankittavien tärkeiden tietojärjestelmien toimittajilta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on varmistettava jo ennakolta, että hankittavat tietojärjestelmät ovat tietoturvallisia. Tämän varmistamiseksi tärkeä hankittavan tietojärjestelmän toimittajalta on vaadittava riittäviä turvallisuuteen liittyviä selvityksiä jo hankintavaiheessa.

Toimittajan tulee selvittää vähintään seuraavat:

  • Palvelusta on järjestelmäkuvaus. Palveluntarjoajan kuvauksen perusteella on pystyttävä arvioimaan kyseisen palvelun yleistä soveltuvuutta kyseiseen asiakkaan käyttötapaukseen. Järjestelmäkuvauksesta tulee käydä ilmi vähintään
  • Palvelun palvelu- ja toteutusmallit, sekä näihin liittyvät palvelutasosopimukset (Service Level Agreements, SLAs).
  • Palvelun tarjoamisen elinkaaren (kehittäminen, käyttö, käytöstä poisto) periaatteet, menettelyt ja turvatoimet, valvontatoimet mukaan lukien.
  • Palvelun kehittämisessä, ylläpidossa/hallinnassa ja käytössä käytettävän infrastruktuurin, verkon ja järjestelmäkomponenttien kuvaus.
  • Muutostenhallinnan periaatteet ja käytännöt, erityisesti turvallisuuteen vaikuttavien muutosten käsittelyprosessit.
  • Käsittelyprosessit merkittäville normaalikäytöstä poikkeaville tapahtumille, esimerkiksi toimintatavat merkittävissä järjestelmävikaantumisissa.
  • Palvelun tarjoamiseen ja käyttöön liittyvät roolit ja vastuunjako asiakkaan ja palveluntarjoajan välillä. Kuvauksesta on käytävä selvästi esille ne toimet, jotka kuuluvat asiakkaan vastuulle palvelun turvallisuuden varmistamisessa. Palveluntarjoajan vastuisiin tulee sisältyä yhteistyövelvollisuus erityisesti poikkeamatilanteiden selvittelyssä.
  • Alihankkijoille siirretyt tai ulkoistetut toiminnot.


Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.