.png)
Virksomhetens øverste ledelse skal sørge for å etablere roller og funksjoner med tilstrekkelige ressurser og kompetanse til å gjennomføre nødvendige oppgaver for å ivareta ansvaret for informasjonssikkerhet og personvern. Oppgavene kan utføres av egne ansatte eller av eksterne. Den som har ansvar for en funksjon eller en enhet, bør også ha ansvaret med å følge opp informasjonssikkerhet og personvern i funksjonen eller enheten.
Virksomheten beslutter hvilke roller og funksjoner for informasjonssikkerhet og personvern som er nødvendig. Det skal være tydelig hvem som er ansvarlig, og hva de er ansvarlig for. Alle skal være kjent med hvilke oppgaver de har, i tillegg til å ha tilstrekkelig kunnskap om andres relevante ansvar og oppgaver, og hvem som har myndighet til å ta beslutninger.
En større virksomhet bør ha en egen informasjonssikkerhetsleder eller sikkerhetsorganisasjon knyttet opp mot virksomhetens ledelse.
Offentlige virksomheters øverste ledelse skal sørge for at det utpekes et personvernombud. For en privat virksomhet skal øverste ledelse utpeke et personvernombud når informasjonsbehandlingens omfang, art og formål krever det. Dette gjelder også små virksomheter. Personvernombudet kan være ansatt i virksomheten eller ekstern og utføre oppgavene på grunnlag av en tjenesteavtale.
Personvernombudet skal gis tilstrekkelige ressurser og tilgang på relevant kompetanse til å utføre sine plikter. Ombudet skal ikke ha interessekonflikt med eventuelle andre roller som vedkommende har i virksomheten, og skal ikke motta instruksjoner om hvordan oppgavene skal utføres.
Organisaatiomme on määritellyt, tuleeko tietosuojavastaava nimittää, ja tarvittaessa tehnyt nimityksen.
Tietosuojavastaava on nimitettävä, jos:
Nimittämisen lisäksi oleellista on säännöllisesti arvioida, toimiiko tietosuojavastaava tietosuoja-asetuksen määräämässä asemassa ja toteuttaen asetuksen määräämiä tehtäviä.
Organisaation olisi varmistettava, että tietosuojavastaavalla on riittävät resurssit ja mahdollisuus käyttää asianmukaista asiantuntemusta tehtäviensä hoitamiseen. Organisaation olisi myös varmistettava, että tietosuojavastaavalla ei ole eturistiriitoja muiden tehtäviensä kanssa eikä hän saa ohjeita siitä, miten hänen tehtävänsä olisi suoritettava, mikä takaa hänen riippumattomuutensa.
Organisaation olisi nimitettävä kyberturvallisuuspäällikkö, jonka rooli on riippumaton tietotekniikkatoimintojen ja -kehityksen hallintorakenteesta. Kyberturvallisuuspäällikön vastuualueet, valtuudet ja raportointilinjat olisi dokumentoitava virallisesti. Näin varmistetaan, että tietoturvapäätökset ovat puolueettomia eivätkä operatiiviset tai kehityspaineet vaaranna niitä.
Ylimmän johdon on varmistettava selkeät vastuualueet/valtuudet ainakin seuraavissa asioissa:
ISMS-teemojen omistajat esitellään johtamisjärjestelmän työpöydällä ja tietoturvapoliitiikan raportissa.
Lisäksi ylimmän johdon on varmistettava, että kaikki tietoturvan kannalta merkitykselliset roolit sekä niihin liittyvät vastuut ja valtuudet määritellään ja niistä tiedotetaan. On myös tärkeää tunnistaa ulkoisten kumppaneiden ja palveluntarjoajien roolit ja vastuut.
Organisaatiossa on tarpeeksi koulutettua, valvottua ja tarvittaessa asianmukaisesti turvallisuusselvitettyä henkilöstöä, jotka toimivat tietoturvan avainrooleissa suorittaen tietoturvallisuuden hallintajärjestelmään liittyviä hallintatehtäviä.
Organisaatio on määritellyt:
Tehtävän omistaja katselmoi turvallisuushenkilöstön määrää ja osaamistasoa säännöllisesti.
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.
.svg)
.svg)
