Sisältökirjasto
Norm for informasjonssikkerhet
2.4: Styringssystem
Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Norge)
2.4

Styringssystem

Aloita ilmainen kokeilu

Vaatimuksen kuvaus

Alle virksomheter skal ha et styringssystem for informasjonssikkerhet og personvern (internkontroll). Med styringssystem menes formalisering av hvordan virksomheten planlegger, gjennomfører, evaluerer, kontrollerer og korrigerer etterlevelse av relevant regelverk, sikkerhetskrav, avtaler, tjenester og produkter.

Informasjonssikkerhet og personvern bør inngå som en del av det totale styringssystemet i virksomheten. Styringssystemet skal tilpasses virksomhetens størrelse og ha en risikobasert tilnærming. Det skal ta hensyn til virksomhetens risiko, egenart og aktiviteter, samt informasjonsbehandlingens art, omfang, formål og sammenhengen den utføres i. For mindre virksomheter betyr det at de ikke trenger et like omfattende styringssystem som store virksomheter.

Virksomhetens ledelse har ansvaret for å fastsette mål og strategi for informasjonssikkerhet, etablere styringssystem, sikkerhetsorganisering med roller og ansvar, og sørge for at det inngå som en del av den overordnede virksomhetsstyringen. Virksomhetens leder skal gi tilstrekkelige økonomiske rammer og ressurser for gjennomføring av alle nødvendige aktiviteter for å etablere og opprettholde et egnet sikkerhetsnivå i virksomheten.

Styringssystemet skal godkjennes av virksomhetens leder og gjennomgås minst årlig med sikte på å forbedre virksomhetens sikkerhetsarbeid.

Styringssystemet skal gjøres kjent for samtlige ansatte med tjenstlig behov samt leverandører og underleverandører.

Styringssystemet skal dokumenteres. Dokumenter angitt i styringssystemet skal holdes løpende oppdatert, kontinuerlig forbedres og arkiveres fra det tidspunktet dokumentet ble erstattet med en ny gjeldende versjon. Dette kan f.eks. være rutiner for sikkerhetsrevisjoner, risikovurderinger, driftsrutiner, avvik og hvordan de håndteres, ledelsens gjennomgang, databehandleravtaler mv.

Dokumentasjon av risiko og tiltak knyttet til informasjonssikkerhet skal sikres ut fra de behov for sikkerhet som foreligger. Dersom dokumentasjon skal deles med annen virksomhet må dataansvarlig vurdere om detaljert informasjon som kan ha sikkerhetsmessig betydning skal fjernes før utlevering. Dokumentasjonen skal til enhver tid være oppdatert og tilgjengelig.

Alle offentlige virksomheter skal beskrive mål og etablere strategi for informasjonssikkerhet. Dette skal danne grunnlaget for styringssystemet.

Kuinka täyttää vaatimus

Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Norge)

2.4: Styringssystem

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Riskienhallintapolitiikka -raportin julkaiseminen, informointi ja ylläpito

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Riskien hallinta
7
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
GV.PO-01: Policy for managing cybersecurity risks
NIST 2.0
GV.PO-02: Policy for managing cybersecurity risks
NIST 2.0
§ 12: Politik for risikostyring
Energisektor beredskabsbekendtgørelse
2.1.1: Risk management framework
NIS2 Opas
2.4: Styringssystem
Norm for informasjonssikkerhet
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Riskienhallintapolitiikka -raportin julkaiseminen, informointi ja ylläpito
1. Tehtävän vaatimuskuvaus

Organisaatiolla on määritelty tietoturvariskien hallintaa koskeva politiikka, josta on tiedotettu asianomaisille sidosryhmille ja jonka ylin johto on hyväksynyt. Politiikkaan olisi sisällyttävä ainakin seuraavat asiat

  • Peruste riskienhallinnan vaatimusten ja tavoitteiden asettamiselle organisaation kontekstin perusteella.
  • Sitoutuminen tietoturvariskien hallintajärjestelmään.
  • Riskienhallintaprosessin strategiset suuntaviivat
  • Yleiskatsaus riskienhallinnan rooleihin ja vastuualueisiin

Politiikka olisi pidettävä ajan tasalla, sitä olisi tarkistettava säännöllisesti ja siinä olisi otettava huomioon organisaatiomuutokset. Tehtävän omistajan olisi myös varmistettava, että politiikka on ymmärrettävä ja kaikkien osapuolten saatavilla.

Yksityisyys- ja tietosuojapolitiikka -raportin julkaisu, tiedottaminen ja ylläpito

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Sisäänrakennettu ja oletusarvoinen tietosuoja
8
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
9.1: Data Protection Policies
TISAX
9.1.1: Data Protection policies
TISAX
§ 20.2.p: Ochrana údajov a súkromie
NIS2 Slovakia
Article 23: Information security
PDPL
2.5: Ledelsens gjennomgang
Norm for informasjonssikkerhet
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Yksityisyys- ja tietosuojapolitiikka -raportin julkaisu, tiedottaminen ja ylläpito
1. Tehtävän vaatimuskuvaus

Organisaatiolla on oltava yksityisyyden suojaa ja tietosuojaa koskeva politiikka, jota on päivitettävä säännöllisesti ja jonka organisaation johto on hyväksynyt.

Tietoturvallisuuden hallintajärjestelmän kuvaus ja ylläpito

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
63
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
2.1: Tietoturvallisuusvastuiden määrittely
TiHL tietoturvavaatimukset
2.3: Tietoturvallisuus tiedonhallintamallissa
TiHL tietoturvavaatimukset
1.2.1: Scope of Information Security management
TISAX
PR.AT-5: Physical security and cybersecurity personnel understand their roles and responsibilities.
CyberFundamentals
Article 21: Ensuring the network is free from interference, damage or unauthorized access
CSL (China)
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvallisuuden hallintajärjestelmän kuvaus ja ylläpito
1. Tehtävän vaatimuskuvaus

Organisaation on käytettävä, ylläpidettävä ja jatkuvasti kehitettävä tietoturvallisuuden hallintajärjestelmää.

Hallintajärjestelmään liittyvät rajaukset ja soveltamisala, sisällöt, roolitus, kertyvä toteutustieto sekä muu tarpeellinen kuvaustieto on oltava selkeästi dokumentoitu.

Tietoturvaloukkauksesta rekisteröidyille aiheutuneen riskin tarkempi arviointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Häiriöiden hallinta
Tietoturvaloukkausten hallinta
13
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
34. Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle
GDPR
6.1.3: Yhteydet viranomaisiin
ISO 27001
16.1.5: Tietoturvahäiriöihin vastaaminen
ISO 27001
RS.CO-3: Information sharing
NIST
66: Tietoturvaloukkausten hallinta
Digiturvan kokonaiskuvapalvelu
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvaloukkauksesta rekisteröidyille aiheutuneen riskin tarkempi arviointi
1. Tehtävän vaatimuskuvaus

Rekisterinpitäjän on arvioitava, millainen riski tietoturvaloukkauksesta aiheutuu vuodon kohteena olevalle henkilölle. Arviossa on huomioitava esimerkiksi seuraavat asiat:

  • Miten todennäköistä on, että tietoja käytetään haitantekoon?
  • Millaista haittaa tietojen avulla voitaisiin tehdä (mahdollistuuko esim. identiteettivarkaus, petos, psyykkisen ahdistuksen tuottaminen, nöyryyttäminen tai mainevahingon tuottaminen)?
  • Henkilötietojen luonne, arkaluonteisuus ja määrä
  • Kuinka helppoa rekisteröity on tunnistaa tiedoista?
  • Onko rekisteröityjen joukossa paljon esimerkiksi lapsia tai muuten heikossa asemassa olevia?

Riskiarvio vaikuttaa loukkauksesta ilmoittamisen kiireellisyyteen ja laajuuteen.

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset
No items found.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu
Tutustu Digiturvamalliin
Aloita ilmainen kokeilu
Digiturvamallin avulla rakennat tietoturvallisen ja halutut vaatimukset täyttävän organisaation. Halusitko kehittää tietoturvan hallintaa yleisesti, raportoida omasta NIS2-valmiudesta tai hankkia ISO 27001 -sertifioinnin, Digiturvamalli yksinkertaistaa koko prosessia.
AI-pohjaiset parannussuositukset ja käyttäjäystävällinen työkalu varmistavat, että organisaationne voi olla luottavainen vaatimusten täyttymisestä ja keskittyä oman tietoturvan jatkuvaan parantamiseen.
Selkeä suunnitelma vaatimusten täyttämiseen
Aktivoi teille tärkeät vaatimuskehikot ja jalkauta niiden vaatimukset täyttäviä selkeitä toimenpiteitä.
Uskottavat raportit todisteiksi hyvästä tietoturvasta
Etene tehtävien avulla varmistaaksesi turvallisen toiminnan. Luo ammattimaisia ​​raportteja muutamalla napsautuksella.
AI-avusteiset parannussuositukset
Keskity vaikuttavimpiin parannuksiin Digiturvamallin suositusten avulla.

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiTrust centerVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin