.png)
(1) A szervezet elektronikus információs rendszerei, valamint az azokban kezelt adatok, a nyújtott szolgáltatások kockázatokkal arányos védelmének biztosítása érdekében a szervezet az e törvény hatálya alá tartozó, a szervezet rendelkezésében lévő elektronikus információs rendszereit „alap”, „jelentős” vagy „magas” biztonsági osztályba sorolja az érintett elektronikus információs rendszer sértetlensége és rendelkezésre állása, valamint az általa kezelt adat bizalmassága, sértetlensége és rendelkezésre állásának kockázata alapján, szigorodó védelmi előírásokkal.
(2) A biztonsági osztályba sorolásról a szervezet vezetője dönt, és felel annak a jogszabályoknak és kockázatoknak való megfelelőségéért, a felhasznált adatok teljességéért és időszerűségéért. A biztonsági osztályba sorolás eredményét a szervezet az elektronikus információs rendszerek nyilvántartásában vagy egyéb belső szabályzatban rögzíti.
(3) A biztonsági osztályba sorolás követelményeit, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedéseket az informatikáért felelős miniszter rendeletben határozza meg.
(4) A szervezet az elektronikus információs rendszer biztonsági osztálya alapján meghatározza és megvalósítja az informatikáért felelős miniszter rendeletében előírt védelmi intézkedéseket az adott elektronikus információs rendszerre vonatkozóan.
(5) Az 1. § (1) bekezdés a) és a honvédelmi célú elektronikus információs rendszerei vonatkozásában az f) pontja szerinti szervezet, valamint a 2. és 3. melléklet szerinti szervezetnek nem minősülő, 1. § (1) bekezdés b) pontja szerinti szervezet elektronikus információs rendszere vonatkozásában az e törvény hatálya alá kerüléskor teljesítenie kell legalább az informatikáért felelős miniszter rendeletében az „alap” biztonsági osztály vonatkozásában előírt védelmi intézkedéseket.
(6) Ha az (5) bekezdés szerinti elektronikus információs rendszer vonatkozásában a biztonsági osztályba sorolás alapján az „alap”-nál magasabb biztonsági osztály került meghatározásra, a védelem elvárt erősségének eléréséhez a szervezetnek a biztonsági osztályba sorolást követően legfeljebb két év áll rendelkezésére a biztonsági osztályhoz rendelt biztonsági intézkedések kivitelezésére.
(7) A biztonsági osztályba sorolást legalább kétévente, vagy az elektronikus rendszer biztonságát érintő, jogszabályban meghatározott változás esetén soron kívül, dokumentált módon felül kell vizsgálni.
Organisaation on luokiteltava sähköiset tietojärjestelmänsä perusluokkaan, merkittävään tai korkeaan turvallisuusluokkaan. Luokituksen on perustuttava järjestelmän eheyteen ja käytettävyyteen sekä sen käsittelemien tietojen luottamuksellisuus-, eheys- ja käytettävyysriskeihin.
Kullekin sähköiselle tietojärjestelmälle määritetyn turvallisuusluokan perusteella organisaation olisi määriteltävä ja toteutettava erityiset suojatoimenpiteet.
Organisaation olisi kirjattava sähköisen tietojärjestelmän turvallisuusluokituksen tulokset omaan rekisteriinsä tai sisäisiin sääntöihinsä. Organisaation johtaja on vastuussa siitä, että kirjatut tiedot ovat vaatimusten mukaisia, täydellisiä ja ajantasaisia.
Organisaation olisi tarkistettava sähköisten tietojärjestelmiensä turvallisuusluokitus dokumentoidusti vähintään joka toinen vuosi. Tarkastus on tehtävä välittömästi, jos sähköisen järjestelmän turvallisuuteen vaikuttava muutos tapahtuu.
Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.
.svg)
.svg)
