Sisältökirjasto
Norm for informasjonssikkerhet
5.7.3: Tjenesteutsetting
Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Norge)
5.7.3

Tjenesteutsetting

Aloita ilmainen kokeilu

Vaatimuksen kuvaus

Ved tjenesteutsetting (utkontraktering) av IKT-funksjoner eller andre funksjoner av betydning for informasjonssikkerhet eller personvern skal avtalen som minimum omfatte følgende punkter knyttet til informasjonssikkerhet og personvern:

  • dokumentert risikovurdering som viser at den tjenesteutsettende virksomhetens akseptkriterier samt Normens sikkerhetsnivå er etablert. Ved tjenesteutsetting av IKT-tjenester til andre land bør forhold ved vertslandet vurderes fordi de kan påvirke risikovurderingen.
  • hvilke oppgaver av sikkerhetsmessig betydning som er omfattet, og ansvarsforholdene for disse
  • beskrivelse av leverandørens løsning og grensesnitt mot virksomheten i form av konfigurasjonskart

Avtalen skal sikre at virksomheten også gis rett til å revidere leverandørens aktiviteter som er knyttet til avtalen. Revisjonene kan gjennomføres av en avtalt tredjepart.

Virksomheten skal sørge for å ha en god plan for ivaretakelse av informasjonssikkerhet og personvern ved avslutning av tjenesteleveransen. Ved terminering av kontrakten skal det foreligge en signert erklæring fra leverandøren om at alle data tilhørende virksomheten er tilbakelevert eller slettet til avtalt tid.

Kuinka täyttää vaatimus

Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Norge)

5.7.3: Tjenesteutsetting

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Toimittajasopimusten nykytilan dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kumppanihallinta
Sopimukset ja seuranta
89
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Članak 30.1.d: Sigurnost lanca opskrbe
NIS2 Croatia
9.4 §: Toimitusketjun hallinta ja valvonta
Kyberturvallisuuslaki
30 § 3.4°: La sécurité de la chaîne d'approvisionnement
NIS2 Belgium
30 § 4°: Définir et contrôler les mesures de sécurité requises pour la chaîne d'approvisionnement
NIS2 Belgium
2.1.9: Maintain security responsibility during outsourcing
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Toimittajasopimusten nykytilan dokumentointi
1. Tehtävän vaatimuskuvaus

Kaikkien tietojen käsittelyyn suorasti tai välillisesti osallistuvien kumppanien kanssa laaditaan toimittajasopimus. Tavoitteena on varmistaa, että organisaation ja toimittajan välillä ei ole väärinymmärryksiä osapuolten velvoitteista tietoturvavaatimusten täyttämisessä.

Organisaatio sisällyttää toimittajasopimukseen tarvittaessa seuraavat asiat:

  • toimittajan käyttämät tiedot (ja tiedon mahdollinen luokitus) sekä tietoihin pääsyn saava henkilöstö
  • tiedon hyväksyttävän käytön säännöt
  • tietoja käsittelevän henkilöstön salassapitovelvollisuus
  • työnjako viranomaisvaatimusten täyttämisessä
  • sopimusosapuolten hallintatehtävät tietoturvaan liittyen (esim. pääsynhallinta, valvonta)
  • häiriöiden ilmoittaminen ja korjaaminen
  • vaatimukset toimittajan alihankkijoiden käytölle
  • lupa auditoida sopimukseen liittyvät toimittajan prosessit ja hallintakeinot (ja puutteiden korjaaminen)
  • sitoutuminen tietojen palauttamiseen tai tuhoamiseen sopimuksen päättyessä
  • toimittajan vastuu noudattaa organisaation tietoturvakäytäntöjä

Hyväksyttyjen toimittajien sopimusehdot

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kumppanihallinta
Sopimukset ja seuranta
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
5.7.3: Tjenesteutsetting
Norm for informasjonssikkerhet
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Hyväksyttyjen toimittajien sopimusehdot
1. Tehtävän vaatimuskuvaus

Hyväksyttyjen toimittajien kanssa tehtäviin sopimuksiin olisi sisällytettävä konfiguraatiokartta, jossa kuvataan toimittajan ratkaisu ja sen rajapinta organisaation kanssa. Siinä olisi dokumentoitava tietovirrat, integraatiopisteet, käyttömekanismit ja mahdolliset aliprosessorit tai neljännen osapuolen riippuvuudet. Kartan tulisi muodostaa perusta tietoturvavastuiden määrittelylle ja tukea asianmukaista valvontaa ja poistumissuunnittelua.

Organisaation on myös dokumentoitava, mitkä turvallisuuden kannalta merkittävät tehtävät kuuluvat sopimuksen piiriin, ja määriteltävä kullekin niistä selkeä omistajuus. Organisaatiolle jäävät vastuut olisi erotettava toimittajalle siirretyistä vastuista. Tähän kuuluu myös sellaisen irtisanomissuunnitelman laatiminen, jossa edellytetään, että toimittaja palauttaa tai poistaa kaikki organisaation tiedot turvallisesti sopimuksen päättyessä, mikä vahvistetaan allekirjoitetulla ilmoituksella. Osana jäsenneltyä palveluntarjoajan poistamista olisi käsiteltävä myös käyttöoikeuksien peruuttamista, valtuuksien vaihtamista ja tarkastuslokien hakua.

Toimitusketjun tietoturvariskien hallinta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kumppanihallinta
Toimittajien turvallisuus
56
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Članak 30.2: Dobavljačka kibernetička sigurnost i rizici
NIS2 Croatia
9.4 §: Toimitusketjun hallinta ja valvonta
Kyberturvallisuuslaki
30 § 4°: Définir et contrôler les mesures de sécurité requises pour la chaîne d'approvisionnement
NIS2 Belgium
2.1.4: Reduce the risk of targeted manipulation of ICT products in the supply chain
NSM ICT-SP
2.1.9: Maintain security responsibility during outsourcing
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Toimitusketjun tietoturvariskien hallinta
1. Tehtävän vaatimuskuvaus

Organisaatio sopii ja toteuttaa yhteisen tietoturvariskien hallintamenettelyn ja prosessit sidosryhmien kanssa.

Organisaation tulisi pyrkiä integroimaan kolmannen osapuolen riskien hallinta osaksi oman organisaation yleistä tietoturvariskienhallintaa. Siinä tulisi:

  • Arvioida keskenäisiä riippuvuuksia
  • Arvioida riskejä liittyen kolmannen osapuolen tarjoamiin sopimuksiin
  • Huolehtia riskienhallinnan skaalasta organisaation koon ja tarpeen perusteella

Tarjottujen digipalvelujen toimitusketjuun kuuluvien kumppaneiden säännöllinen turvallisuusarviointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Digipalvelujen hallinta
43
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Članak 30.1.d: Sigurnost lanca opskrbe
NIS2 Croatia
9.4 §: Toimitusketjun hallinta ja valvonta
Kyberturvallisuuslaki
30 § 3.4°: La sécurité de la chaîne d'approvisionnement
NIS2 Belgium
2.1.4: Reduce the risk of targeted manipulation of ICT products in the supply chain
NSM ICT-SP
ID.SC-3: Contracts with suppliers and third-party partners are used to implement appropriate measures designed to meet the objectives of an organization’s cybersecurity program and Cyber Supply Chain Risk Management Plan.
CyberFundamentals
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tarjottujen digipalvelujen toimitusketjuun kuuluvien kumppaneiden säännöllinen turvallisuusarviointi
1. Tehtävän vaatimuskuvaus

Organisaation on määriteltävä turvallisuusarviointi ja toteutettava se tarjottujen digipalveluiden toimitusketjuun kuuluville kumppaneille säännöllisesti.

Tällä tulisi varmistaa tarjottaiven palvelujen turvallisuuteen vaikuttavien kumppanien vaatimustenmukaisuus ja sitä kautta sopimusehtojen täyttyminen.

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset
No items found.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu
Tutustu Digiturvamalliin
Aloita ilmainen kokeilu
Digiturvamallin avulla rakennat tietoturvallisen ja halutut vaatimukset täyttävän organisaation. Halusitko kehittää tietoturvan hallintaa yleisesti, raportoida omasta NIS2-valmiudesta tai hankkia ISO 27001 -sertifioinnin, Digiturvamalli yksinkertaistaa koko prosessia.
AI-pohjaiset parannussuositukset ja käyttäjäystävällinen työkalu varmistavat, että organisaationne voi olla luottavainen vaatimusten täyttymisestä ja keskittyä oman tietoturvan jatkuvaan parantamiseen.
Selkeä suunnitelma vaatimusten täyttämiseen
Aktivoi teille tärkeät vaatimuskehikot ja jalkauta niiden vaatimukset täyttäviä selkeitä toimenpiteitä.
Uskottavat raportit todisteiksi hyvästä tietoturvasta
Etene tehtävien avulla varmistaaksesi turvallisen toiminnan. Luo ammattimaisia ​​raportteja muutamalla napsautuksella.
AI-avusteiset parannussuositukset
Keskity vaikuttavimpiin parannuksiin Digiturvamallin suositusten avulla.

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiTrust centerVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin