Aina hankittaessa uusia tietojärjestelmiä noudatetaan ennalta määriteltyä hankintaprosessia ja -sääntöjä. Sääntöjen avulla varmistetaan, että toimittaja pystyy takaamaan riittävän turvallisuustason järjestelmän tärkeys huomioiden.

Organisaation on sisällytettävä turvallisuusriskien arviointi hankintaprosessiinsa. Riskinarviointiin on sisällyttävä:

• Alustava arviointi sen määrittämiseksi, onko hankinnan riski vähäinen tai ei-vähäinen.
• hankinnan riskinarviointi
• Lopullinen tietoon perustuva ja dokumentoitu päätös, johon voi sisältyä hankinnan hyväksyminen sellaisenaan, hyväksyminen erityisin lieventävin turvatoimin, vaihtoehtoisen tuotteen valitseminen tai hankinnan hylkääminen.

Ulkopuolisia tietotekniikkapalveluja ei käytetä ilman tietoturvavaatimusten nimenomaista arviointia ja täytäntöönpanoa:

• Ulkoisista IT-palveluista on saatavilla riskinarviointi.
• Oikeudelliset, sääntelyyn liittyvät ja sopimusvaatimukset otetaan huomioon.

Ulkoisen IT-palvelun on täytettävä niiden käsittelemien tietojen osalta tarvittavat vaatimukset.

• Organisaatiolla olisi oltava menettely, jolla määritetään, täyttääkö ulkoinen IT-palvelu vaatimukset, ennen kuin sille annetaan pääsy tietoihin.
• Ennen kuin ulkoisia IT-palveluja (kuten pilvipalveluja, ohjelmistoja tai kolmannen osapuolen IT-tukea) aletaan käyttää, palvelun on täytettävä organisaation vaatimukset (esim. yhteensopivuuden, turvallisuuden, kustannustehokkuuden ja organisaation tarpeiden mukaisuuden osalta).

Organisaation on tarkistettava säännöllisin väliajoin, että vain hyväksyttyjä ulkoisia IT-palveluja on käytössä.

Pilvipalvelun tarjoajan ja organisaation välisen sopimuksen tulee sisältää vaatimukset organisaation tietojen suojaamisesta ja palvelujen saatavuudesta mm. seuraavilla tavoilla:

• ratkaisun tarjoaminen alalla yleisesti hyväksyttyihin arkkitehtuuri- ja infrastruktuuristandardeihin perustuen
• käyttöoikeuksien hallinta organisaation vaatimusten täyttämiseksi
• haittaohjelmien valvonta- ja suojaratkaisujen toteuttaminen
• organisaation arkaluonteisten tietojen käsittely ja säilytys hyväksytyissä sijainneissa (esim. tietty maa tai lainsäädäntöalue)
• tuen tarjoaminen tietoturvahäiriön sattuessa
• organisaation tietoturvavaatimusten täyttymisen varmistaminen myös alihankintaketjuissa
• tuen tarjoaminen digitaalisten todisteiden keräämisessä
• riittävän tuen tarjoaminen, kun organisaatio haluaa päättää palvelun käytön
• vaadittu varmuuskopiointi ja varmuuskopioiden turvallinen hallinta soveltuvin osin
• organisaation omistamien tietojen (mahdollisesti esim. lähdekoodin, palveluun täytetyn / muodostuneen datan) palauttaminen pyydettäessä tai palvelun päättyessä
• ilmoitusvaatimukset merkittäviin muutoksiin (kuten infrastruktuuriin, tärkeisiin ominaisuuksiin, tiedon sijaintiin tai alihankkijoiden käyttöön) liittyen

Organisaatio on määritellyt tärkeiltä kumppaneilta vaaditut sertifioinnit tai noudatettavat standardit. Yleisesti tunnistettuja digiturvaan liittyviä standardeja ovat mm.:

• ISO 27001 (tietoturvan hallintajärjestelmä)
• SOC2 (yleinen tietoturva, kutsutaan myös SSAE 16)
• ISO 27701 (tietosuojan hallintajärjestelmä)
• ISO 27017 (digiturva pilvipalveluissa) tai ISO 27018 (tietosuoja pilvipalveluissa)
• muita suosittuja mm. NIST (yleinen), CSA (pilviohjelmistot), PCI DSS (korttimaksaminen)

Esimerkiksi kumppanilta vaadittava sertifiointi voi tehostaa omaa kumppanihallintaa ja toimia hyvänä todisteena kumppanin tietystä tietoturva- tai tietosuojatasosta.

Aina hankittaessa tai kehitettäessä uusia tietojärjestelmiä noudatetaan ennalta määritettyjä turvallisuussääntöjä huomioiden järjestelmän prioriteetti. Sääntöjen avulla varmistetaan, että tietojen käsittelyn turvallisuus järjestelmässä on varmistettu riittävin toimenpitein.

Riittämätön muutosten hallinta on yleinen syy tietojenkäsittelypalvelujen toiminta- ja turvallisuushäiriöille.

Organisaation on dokumentoitava muutostenhallintaprosessi, jota on noudatettava aina tehtäessä merkittäviä tietoturvallisuuten vaikuttavia muutoksia itse kehitettyihin digipalveluihin tai muihin tietojenkäsittelypalveluihin. Prosessi sisältää vaatimukset mm. seuraaville asioille:

• muutoksen määrittely ja dokumentointi
• riskien arviointi ja tarvittavien hallintakeinojen määrittely
• muutoksen muu vaikutusten arviointi
• testaus ja laadunvarmistus
• muutoksen julkaisun hallittu toteutus
• muutoslokin päivittäminen

Organisaatioilla olisi oltava selkeä suunnitelma, jossa esitetään yksityiskohtaisesti, miten käytöstä poistamista hallitaan. Suunnitelmaan olisi sisällyttävä esimerkiksi prosessit ja se, miten uuteen tuotteeseen siirtyminen hoidetaan.

Jos ICT-tuotteessa ei ole viimeisimpiä turvatoimintoja ja -protokollia, sitä ei pitäisi käyttää ja se on poistettava käytöstä asteittain.

Vaiheittainen käytöstä poistaminen olisi suunniteltava etukäteen, ennen kuin palveluntarjoaja lopettaa tuotetuen, jotta voidaan varmistaa uusimpien tietoturvatoimintojen ja -protokollien käyttö. Esimerkiksi joissakin vanhemmissa sovelluksissa saattaa olla uusimmat turvatoiminnot, mutta ne eivät toimi hyvin uudempien hyökkäysten esto työkalujen kanssa. Tässä tilanteessa olisi tehtävä poikkeuksia, jotta suojausta ei poistettaisi kokonaan käytöstä, mutta on tärkeää muistaa, että käytöstä poistamisprosessi on todennäköisesti ajankohtainen lähitulevaisuudessa.

Vaiheittaisen poistamisen jälkeen on tärkeää arvioida prosesseja ja dokumentoida niistä opitut asiat tulevaisuutta varten.

Organisaation on varmistettava jo ennakolta, että hankittavat tietojärjestelmät ovat tietoturvallisia. Tämän varmistamiseksi tärkeä hankittavan tietojärjestelmän toimittajalta on vaadittava riittäviä turvallisuuteen liittyviä selvityksiä jo hankintavaiheessa.

Toimittajan tulee selvittää vähintään seuraavat:

• Palvelusta on järjestelmäkuvaus. Palveluntarjoajan kuvauksen perusteella on pystyttävä arvioimaan kyseisen palvelun yleistä soveltuvuutta kyseiseen asiakkaan käyttötapaukseen. Järjestelmäkuvauksesta tulee käydä ilmi vähintään
• Palvelun palvelu- ja toteutusmallit, sekä näihin liittyvät palvelutasosopimukset (Service Level Agreements, SLAs).
• Palvelun tarjoamisen elinkaaren (kehittäminen, käyttö, käytöstä poisto) periaatteet, menettelyt ja turvatoimet, valvontatoimet mukaan lukien.
• Palvelun kehittämisessä, ylläpidossa/hallinnassa ja käytössä käytettävän infrastruktuurin, verkon ja järjestelmäkomponenttien kuvaus.
• Muutostenhallinnan periaatteet ja käytännöt, erityisesti turvallisuuteen vaikuttavien muutosten käsittelyprosessit.
• Käsittelyprosessit merkittäville normaalikäytöstä poikkeaville tapahtumille, esimerkiksi toimintatavat merkittävissä järjestelmävikaantumisissa.
• Palvelun tarjoamiseen ja käyttöön liittyvät roolit ja vastuunjako asiakkaan ja palveluntarjoajan välillä. Kuvauksesta on käytävä selvästi esille ne toimet, jotka kuuluvat asiakkaan vastuulle palvelun turvallisuuden varmistamisessa. Palveluntarjoajan vastuisiin tulee sisältyä yhteistyövelvollisuus erityisesti poikkeamatilanteiden selvittelyssä.
• Alihankkijoille siirretyt tai ulkoistetut toiminnot.