Organisaation on varmistettava, että kaikki sen järjestelmien tuottamat ja pysyvään tallennukseen tallennetut lokimerkinnät sisältävät tarkat aikatiedot. Ihannetapauksessa tämän olisi oltava synkronoidun reaaliaikaisen kellon tarkka aikaleima. Jos synkronoitua aikalähdettä ei ole käytettävissä, tapahtumien aikajärjestyksen säilyttämiseksi olisi käytettävä vaihtoehtoista aikaviitettä, kuten monotonista laskuria tai muuta peräkkäistä tietoa.

Järjestelmälokien kehityksen tulee pysyä järjestemän kehityksen mukana ja mahdollistaa esim. tarvittava häriötilanteiden selvitys. Kuvaamme tietojärjestelmälistauksen yhteydessä, minkä järjestelmien suhteen vastuu lokituksen toteutuksesta on itsellämme. Näiden järjestelmien suhteen dokumentoimme:

• mitä tietoja lokiin tallentuu
• kuinka pitkään lokin tiedot säilytetään

Organisaation olisi otettava käyttöön ja ylläpidettävä menettelyjä terveys- ja henkilötietojen käsittelyyn liittyvien järjestelmien käyttöoikeuksien turvallista kirjaamista, seurantaa ja hallintaa varten.

• Järjestelmäkäyttölokit olisi analysoitava säännöllisesti asianmukaisia välineitä käyttäen, jotta voidaan havaita rikkomukset tai rikkomusyritykset.
• Kaikki havaitut tapaukset olisi käsiteltävä organisaation poikkeamanhallintaprosessin kautta.
• Olisi otettava käyttöön menettely, jolla verrataan järjestelmän käyttöoikeuslokeja käsittelyyn perustuvaan valtuutusrekisteriin.
• Valtuutusrekisteri ja lokit olisi suojattava muutoksilta ja poistamiselta.
• Omien valtuutusten käyttöä olisi valvottava.
• Terveydenhuollon lokien ja turvallisuuden kannalta merkityksellisten lokien säilytysajat olisi määriteltävä toiminnallisten ja turvallisuustarpeiden mukaisesti.
• Terveys- ja henkilötietojen käsittelyä terveydenhuollon ulkopuolella koskevat lokivaatimukset olisi määriteltävä riskinarvioinnin perusteella.

Hoitosuuntautuneiden terveysrekisterien lokitietojen olisi oltava riittävän yksityiskohtaisia, jotta niistä voidaan muodostaa selkeä kirjausketju. Niihin olisi kirjattava vähintään:

• sen henkilön henkilöllisyys, joka on käyttänyt tai muuttanut terveys- ja henkilötietoja.
• Käyttäjän rooli ja organisaatioon kuuluminen käyttöhetkellä.
• käyttö- tai luovutusperuste, kuten hoitosuhde.
• tapahtuman tarkka ajankohta.
• Katsotun tai muutetun tiedon tyyppi.

Rekisterit olisi myös suojattava muutoksilta ja poistamiselta.

Organisaation on määriteltävä, mitkä tapahtumat on lokitettava, kuinka kauan lokit säilytetään ja miten lokitiedot suojataan ja käsitellään lokien käyttötarkoituksen perusteella. On varmistettava, että yksityiskohtaisuuden taso tukee poikkeavien toimintojen havaitsemista tehokkaasti. Tähän on sisällyttävä tapahtumia seuraavista:

• looginen ja fyysinen pääsynvalvonta ja identiteetinhallinta
• kapasiteetinhallinta
• muutoksenhallinta
• ICT-toiminnot, mukaan lukien ICT-järjestelmätoiminnot
• verkkoliikennetoiminnot, mukaan lukien ICT-verkon suorituskyky

Organisaation on tunnistettava, mitä lakeja ja asetuksia sen on noudatettava. Näiden lakien ja asetusten perusteella organisaatio määrittää strategian ja ohjeet tietojen lokitusta ja analysointia varten.

Strategiassa ja ohjeissa tulisi kuvata seuraavat asiat:

• Kerättyjen tietojen tarkoitus ja käyttö
• Mitä tietoja kerätään
• Miten tiedot tallennetaan
• Kerättyjen tietojen säilytysaika
• Lakien ja asetusten velvoittamien tietoon liittyvien asioiden tiedottaminen asianomaisille sidosryhmille.

Suojausjärjestelmissä (esim. palomuuri, haittaohjelmasuojaus) on usein mahdollisuus tallentaa lokia tapahtumista. Varmistakaa säännöllisin aikavälein, että kattavaa lokia kertyy ja pyrkikää tunnistamaan epäilyttävää toimintaa. Lokista on hyötyä myös häiriöiden tai loukkausten tutkinnassa.

Organisaation on oltava selvillä eri tietojärjestelmien käytöstä kertyvistä tapahtumalokeista, olipa lokien tuottaminen omalla tai järjestelmätoimittajan vastuulla. Lokeihin tallentuvat käyttäjien suorittamat toiminnot sekä tapahtuneet poikkeamat, virheet ja tietoturvatapahtumat.

Kertyvän lokin riittävyyttä on katselmoitava säännöllisesti. Lokin avulla pitäisi tarvittaessa pystyä selvittämään järjestelmään liittyvät häiriötilanteet ja niiden syy.

Lokeja pyritään suojaamaan luvattomilta tietojen muutoksilta sekä toimintahäiriöiltä, joita ovat mm.:

• tallennettavien sanomatyyppien muutokset
• lokin tietojen muokkaaminen tai poistaminen
• lokin säilytyskapasiteetin ylittäminen, josta voi seurata tapahtumien ylikirjoittaminen tai jääminen kirjaamatta

Järjestelmälokit sisältävät usein runsaasti tietoa, josta suuri osa on tietoturvallisuuden tarkkailun kannalta epäolennaista. Jotta tietoturvallisuuden tarkkailun kannalta merkittävät tapahtumat saadaan tunnistettua, olisi harkittava tarkoituksenmukaisten sanomatyyppien automaattista kopiointia toiseen lokiin tai soveltuvien apuohjelmien tai tarkastustyökalujen käyttöä tiedostojen läpikäymisessä ja selvittämisessä.