Sisältökirjasto
Norm for informasjonssikkerhet
5.5.1: Styring av informasjonssikkerhet i nettverk- og informasjonssystemer
Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Norge)
5.5.1

Styring av informasjonssikkerhet i nettverk- og informasjonssystemer

Aloita ilmainen kokeilu

Vaatimuksen kuvaus

Informasjonssikkerhet i nettverk- og informasjonssystemer er et sentralt tiltak for å sikre behandling av helse- og personopplysninger.

Virksomheten skal tydelig definere hvilke sikkerhetskrav som gjelder for nettverk- og informasjonssystemer. Tiltakene som etableres skal være basert på risikovurdering og inkludere teknologiske sikkerhetstiltak tilpasset omfang, kompleksitet, driftsmiljø, brukermiljø, funksjon og risiko ved virksomhetens nettverk- og informasjonssystemer.

Sikkerhetstiltakene for nettverk- og informasjonssystemer skal minst inkludere:

  • bruk av to- eller flerfaktorautentisering for å sikre tilgang for både brukere og administratorer
  • tilgangskontroll basert på tjenstlig behov for å beskytte innholdet i nettverk- og informasjonssystemer
  • kontroll over hvem som har tilgang til virksomhetens nettverk- og informasjonssystemer
  • segmentering av tjenester basert på prinsippet om minste nødvendige rettigheter
  • tiltak som sikrer at systemene kan håndtere avbrudd og gjenopprettes raskt uten betydelig reduksjon i tjenestekvaliteten
  • kapasitetsstyring for å tåle overbelastning og utstyrssvikt
  • kontinuerlig videreutvikling og kvalitetssikring av oppdateringer, inkludert installasjon og testing
  • overvåkning av nettverk- og informasjonssystemer for å oppdage sikkerhetshendelser

Kuinka täyttää vaatimus

Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Norge)

5.5.1: Styring av informasjonssikkerhet i nettverk- og informasjonssystemer

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Hyväksyttyjen tunnistautumistapojen määrittely ja dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
100
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Članak 30.1.i (Pristup): Politike kontrole pristupa
NIS2 Croatia
Članak 30.1.j: Korištenje višefaktorske provjere autentičnosti ili rješenja kontinuirane provjere autentičnosti
NIS2 Croatia
4.5: Käyttöoikeuksien hallinta
TiHL tietoturvavaatimukset
9.7 §: Pääsynhallinta, todentaminen ja MFA
Kyberturvallisuuslaki
4.1.2: Security of authentication
TISAX
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Hyväksyttyjen tunnistautumistapojen määrittely ja dokumentointi
1. Tehtävän vaatimuskuvaus

Organisaatio on ennalta määritellyt tunnistautumistavat, joita työntekijöiden tulisi suosia tietojärjestelmiä käytettäessä.

Useita pilvipalveluita käyttäessään käyttäjä voi itse määritellä, millä tavalla hän palveluun tunnistautuu. Yksittäinen keskitetty tunnistautumistili (esim. Google- tai Office365-tili) voi auttaa sulkemaan iso määrä pääsyoikeuksia kerralla, kun tunnistautumistapana toimiva käyttäjätili suljetaan.

Ohjeistukset henkilöstölle tietojärjestelmien ja tunnistautumistietojen käyttöön liittyen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Tietojärjestelmien hallinta
65
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Članak 30.1.j: Korištenje višefaktorske provjere autentičnosti ili rješenja kontinuirane provjere autentičnosti
NIS2 Croatia
9.7 §: Pääsynhallinta, todentaminen ja MFA
Kyberturvallisuuslaki
4.1.3: Management of users in data systems
TISAX
30 § 3.10°: D'authentification à plusieurs facteurs
NIS2 Belgium
PR.AC-7: Identities are proofed, bound to credentials and asserted in interactions.
CyberFundamentals
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Ohjeistukset henkilöstölle tietojärjestelmien ja tunnistautumistietojen käyttöön liittyen
1. Tehtävän vaatimuskuvaus

Organisaatiolla tulisi olla määritelly ohjeet tietojärjestelmien yleisesti hyväksyttävälle käytölle sekä tarvittavien tunnistautumistietojen hallinnalle.

Tärkeäksi luokiteltujen tietojärjestelmien omistaja voi lisäksi määritellä, dokumentoida ja jalkauttaa tarkempia sääntöjä juuri tämän tietojärjestelmän käytöstä. Nämä saannöt voivat kuvata mm. tietoturvavaatimukset, jotka järjestelmän sisältävään tietoon liittyvät.

Tietoturvahäiriöihin liittyvien tietoturvamittarien määrittely

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Häiriöiden hallinta
Häiriöiden hallinta ja ilmoittaminen
9
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
RESPONSE-2: Analyze Cybersecurity Events and Declare Incidents
C2M2
Article 17: ICT-related incident management process
DORA
17.9: Establish and Maintain Security Incident Thresholds
CIS 18
§ 20.4.b: Detekcia kybernetických bezpečnostných incidentov
NIS2 Slovakia
4: Kibernetinių incidentų valdymas pagal kibernetinių incidentų valdymo planą
NIS2 Guide Lithuania
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvahäiriöihin liittyvien tietoturvamittarien määrittely
1. Tehtävän vaatimuskuvaus

Organisaatiolla on määritellyt seurattavat mittarit, jotka liittyvät tietoturvahäiriöiden hallintaan. Parhaimmillaan hyvät mittarit auttavat havaitsemaan heikkouksia häiriöiden tunnistamiseen liittyen.

Mahdollisia mittareita ovat mm.:

  • tietoturvatapahtumien määrä ja suhde häiriöihin
  • häiriöiden määrä tarjottavan palvelun, osaston, vakavuuden tai tyypin mukaan
  • vaadittu aika häiriöin tunnistamiseen, tutkimiseen ja käsittelyyn
  • poikkeamat dokumentoiduista toimintatavoista

Kriittisille verkkopalveluille on määritelty vaaditut turvajärjestelyt

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kumppanihallinta
Toimittajien turvallisuus
23
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
13.1.2: Verkkopalvelujen turvaaminen
ISO 27001
15.2.1: Toimittajien palvelujen seuranta ja katselmointi
ISO 27001
ID.BE-5: Resilience requirements
NIST
DE.CM-1: The network monitoring
NIST
5.22: Toimittajien palvelujen seuranta, katselmointi ja muutoksenhallinta
ISO 27001
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Kriittisille verkkopalveluille on määritelty vaaditut turvajärjestelyt
1. Tehtävän vaatimuskuvaus

Kriittisten verkkopalvelujen tarvitsemat turvajärjestelyt, kuten turvallisuusominaisuudet, palvelutasot ja hallintavaatimukset, on huolellisesti määritelty ennakkoon. Verkkopalveluja ovat mm. liitännät, verkot ja verkon turvallisuusratkaisut (esim. palomuurit).

Verkkopalvelujen turvallisuusominaisuudet voivat olla mm. seuraavanlaisia:

  • vaadittu turvallisuuteen liittyvä teknologia, kuten todennus, salaustekniikka ja verkkoyhteyden hallintakeinot
  • verkkopalvelujen suojatun yhteyden edellyttämät tekniset parametrit
  • verkkopalvelun käyttökriteerit, jotka rajoittavat pääsyä verkkopalveluun tai sovelluksiin tarvittaessa

Kapasiteettiongelmien ennakointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Teknisten haavoittuvuuksien hallinta
19
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
11.2.2: Peruspalvelut
ISO 27001
12.1.3: Kapasiteetinhallinta
ISO 27001
PR.DS-4: Availability
NIST
TEK-22: Tietojärjestelmien saatavuus
Julkri
7.11: Tukipalvelut
ISO 27001
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Kapasiteettiongelmien ennakointi
1. Tehtävän vaatimuskuvaus

Tietojärjestelmien toiminta voi olla riippuvaista tietyistä avainresursseista, kuten palvelinkapasiteetista, tallennustilasta, tietojenkäsittelykapasiteetista, valvontakapasiteetista tai tietyistä avainhenkilöistä.

Etenkin osalla näistä resursseista voi tietyissä tilanitessa olla pitkät toimitusajat tai korkeat kustannukset, jolloin tuleviin kapasiteettiongelmiin niiden kanssa on kiinnitettävä erityistä huomiota.

Tarkkailemme tärkeimpien järjestelmäresurssien käyttöä ja tunnistamme suuntaukset, turvallisuutta mahdollisesti uhkaavat pullonkaulat ja riippuvuudet tärkeistä henkilöistä.

Yksityiskohtaiset menettelyt verkkojen hallintaa, valvontaa ja segmentointia varten

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tekninen tietoturva
Verkon turvallisuus
25
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
5.2.7: Network management
TISAX
PR.IR-01: Unauthorized access to networks and environments
NIST 2.0
Članak 30.1.e: Sigurnost u nabavi, razvoju i održavanju mrežnih i informacijskih sustava
NIS2 Croatia
14.5.10.b): Prieigos kontrolė
NIS2 Lithuania
13.2: Gennemførelse af prioriteringer
NIS2 Denmark
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Yksityiskohtaiset menettelyt verkkojen hallintaa, valvontaa ja segmentointia varten
1. Tehtävän vaatimuskuvaus

Organisaation on kehitettävä ja dokumentoitava selkeät menettelyt verkkojen hallintaa ja valvontaa varten sekä varmistettava johdonmukaisuus kaikissa verkkotoiminnoissa.

Organisaation tulisi ottaa huomioon seuraavat näkökulmat verkon segmentoinnissa:

  • Rajoitusten asettaminen tietojärjestelmien liittämiselle verkkoon riskinarviointien perusteella.
  • Tietoturvatekniikoiden toteutus, jotka täyttävät organisaation erityiset tietoturvavaatimukset.
  • Varmistetaan, että suorituskyky, luottamus, saatavuus, turvallisuus ja suojaus asetetaan etusijalle kaikissa verkonhallintaa koskevissa päätöksissä.
  • Määritellään strategiat vaikutusten rajoittamiseksi, jos tietojärjestelmät ovat vaarassa, ja keskitytään nopeaan torjuntaan.
  • Integroidaan mekanismeja mahdollisten hyökkäysten ja hyökkääjien lateraalisen liikkumisen havaitsemiseksi verkon eri segmenttien välillä.
  • Eri käyttötarkoituksia (esim. testaus/kehitys, toimisto, valmistus) palvelevien verkkojen erottaminen toisistaan ristikkäisten verkkoriskien estämiseksi.
  • Puututaan lisääntyneeseen riskiin, joka aiheutuu Internetin kautta saatavilla olevista verkkopalveluista, erityisesti ulkoisiin palveluihin suuntautuvista palveluista.
  • Käytetään teknologiakohtaisia erotteluvaihtoehtoja, kun ulkoiset IT-palvelut ovat käytössä riskien vähentämiseksi.
  • Varmistetaan omien verkkojen ja asiakasverkkojen riittävä erottelu asiakkaan vaatimusten mukaisesti.
  • Toteutetaan toimenpiteitä tietojen katoamisen tai vuotamisen havaitsemiseksi ja estämiseksi sekä varmistetaan arkaluonteisten tietojen suojaus.

Muodollisten pääsynhallintaprosessien toteuttaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
73
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Članak 30.1.i (Pristup): Politike kontrole pristupa
NIS2 Croatia
9.7 §: Pääsynhallinta, todentaminen ja MFA
Kyberturvallisuuslaki
4.1.2: Security of authentication
TISAX
30 § 3.9° (l'accès): Contrôle d'accès
NIS2 Belgium
2.6.2: Establish a formal process for administration of accounts, access rights and privileges
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Muodollisten pääsynhallintaprosessien toteuttaminen
1. Tehtävän vaatimuskuvaus

Varmistaakseen valtuutettujen käyttäjien pääsyn järjestelmiin ja estääkseen luvattoman pääsyn, organisaatio on määritellyt muodolliset prosessit seuraaviin asioihin:

  • Käyttäjien rekisteröinti ja poistaminen
  • Pääsyoikeuksien jakaminen
  • Pääsyoikeuksien uudelleenarviointi
  • Pääsyoikeuksien poistaminen tai muuttaminen

Näiden asioiden toteuttaminen tulee toteutua aina määritellyn, muodollisen prosessin kautta.

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset
No items found.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu
Tutustu Digiturvamalliin
Aloita ilmainen kokeilu
Digiturvamallin avulla rakennat tietoturvallisen ja halutut vaatimukset täyttävän organisaation. Halusitko kehittää tietoturvan hallintaa yleisesti, raportoida omasta NIS2-valmiudesta tai hankkia ISO 27001 -sertifioinnin, Digiturvamalli yksinkertaistaa koko prosessia.
AI-pohjaiset parannussuositukset ja käyttäjäystävällinen työkalu varmistavat, että organisaationne voi olla luottavainen vaatimusten täyttymisestä ja keskittyä oman tietoturvan jatkuvaan parantamiseen.
Selkeä suunnitelma vaatimusten täyttämiseen
Aktivoi teille tärkeät vaatimuskehikot ja jalkauta niiden vaatimukset täyttäviä selkeitä toimenpiteitä.
Uskottavat raportit todisteiksi hyvästä tietoturvasta
Etene tehtävien avulla varmistaaksesi turvallisen toiminnan. Luo ammattimaisia ​​raportteja muutamalla napsautuksella.
AI-avusteiset parannussuositukset
Keskity vaikuttavimpiin parannuksiin Digiturvamallin suositusten avulla.

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiTrust centerVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin