Sisältökirjasto
Norm for informasjonssikkerhet
5.7.7: Leverandøroppfølging
Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Norge)
5.7.7

Leverandøroppfølging

Aloita ilmainen kokeilu

Vaatimuksen kuvaus

Informasjonssikkerhet og personvern knyttet til anskaffelser og leverandøroppfølging skal inngå i virksomhetens styringssystem for informasjonssikkerhet og personvern. Alle faser i leverandørstyring, fra anskaffelse til avtalen er avsluttet, skal omfattes.

Virksomheten skal sikre

  • klarhet i ansvar og roller
  • at kompetanseressurser innen informasjonssikkerhet og personvern deltar i anskaffelser og leverandørstyring
  • at virksomhetens ledelse (og styret hvis dette er relevant) som hovedregel involveres i beslutninger som gjelder bruk av private leverandører og tjenesteutsetting av et visst omfang

Kravstilling og nødvendige sikkerhetstiltak ved bruk av leverandører skal bygge på en dekkende risikovurdering. Risikovurderingen skal alltid omfatte scenarioer som omfatter leverandørens autoriserte og ev. uautoriserte tilgang til helse- og personopplysninger og annen taushetsbelagt informasjon.

Virksomheten skal sikre at relevante sikkerhetskrav inngår i alle anskaffelser. Virksomheten skal sørge for at den har tilstrekkelig bestillerkompetanse tilgjengelig.

Kuinka täyttää vaatimus

Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Norge)

5.7.7: Leverandøroppfølging

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Toimittajasopimuksiin sisältyvät riskinarvioinnit

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kumppanihallinta
Sopimukset ja seuranta
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
5.7.7: Leverandøroppfølging
Norm for informasjonssikkerhet
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Toimittajasopimuksiin sisältyvät riskinarvioinnit
1. Tehtävän vaatimuskuvaus

Johdon olisi osallistuttava päätöksiin, jotka koskevat yksityisten toimittajien käyttöä ja tietyn laajuista ulkoistamista. Organisaation olisi myös varmistettava, että kaikkiin toimittajasopimuksiin sisältyy erityisiä tietoturvaa ja yksityisyyden suojaa koskevia vaatimuksia yksityisten toimittajien kanssa ja että ne perustuvat riskinarviointeihin.

Riskinarviointiin olisi sisällyttävä skenaarioita, joihin liittyy toimittajan luvallinen ja mahdollisesti luvaton pääsy terveys- ja henkilötietoihin ja muihin luottamuksellisiin tietoihin. Näissä sopimusvaatimuksissa olisi määriteltävä selkeästi toimittajan vastuu tietojen suojaamisesta, vaaratilanteista ilmoittamisesta ja tietoturvatarkastusten mahdollistamisesta. Kaikkia toimittajahallinnan vaiheita hankinnasta sopimuksen päättämiseen olisi käsiteltävä.

Mahdollisten toimittajien arviointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kumppanihallinta
Toimittajien turvallisuus
16
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
GV.SC-06: Due diligence and planning with suppliers and third-party relationships
NIST 2.0
ID.RA-10: Critical suppliers
NIST 2.0
5.19: Informatiebeveiliging in relaties met leveranciers
NEN 7510
§ 8: Hantering av leverantörssäkerhet
MSBFS 2020:6
§ 19.6.f: Analýza rizík dodávateľského reťazca
NIS2 Slovakia
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Mahdollisten toimittajien arviointi
1. Tehtävän vaatimuskuvaus

Kaikki mahdolliset toimittajat, kriittisten resurssien toimittajat ja muut asiaankuuluvat kolmannet osapuolet arvioidaan ennen hankintaa esimerkiksi seuraavin keinoin:

  • Perusteellisen due diligence -tarkastuksen tekeminen sekä hankinnansuunnittelu, jotka vastaavat kunkin toimittajasuhteen riskitasoa, kriittisyyttä ja monimutkaisuutta.
  • Arvioidaan teknologian sekä riskinhallinta- ja kyberturvallisuuskäytäntöjen soveltuvuus.
  • Tehdään toimittajien riskinarviointeja liiketoiminnan ja sovellettavien kyberturvallisuusvaatimusten perusteella.
  • Arvioidaan kriittisten tuotteiden aitous, eheys ja turvallisuus ennen hankintaa ja käyttöä.

Kriittisten kumppanuuksien turvallinen päättäminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kumppanihallinta
Toimittajien turvallisuus
4
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
GV.SC-10: Post-partnership activities in cybersecurity supply chain risk management plans
NIST 2.0
5.7.7: Leverandøroppfølging
Norm for informasjonssikkerhet
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Kriittisten kumppanuuksien turvallinen päättäminen
1. Tehtävän vaatimuskuvaus

Organisaatiolla olisi oltava määritellyt ja dokumentoidut prosessit kriittisten toimittajasuhteiden irtisanomista varten sekä tavanomaisissa että epäsuotuisissa olosuhteissa. Epäsuotuisat olosuhteet voivat olla esimerkiksi seuraavat:

  • tietomurto tai tietoturvaloukkaus
  • oikeudelliset, eettiset tai sääntelyyn liittyvät rikkomukset
  • Sopimusrikkomus tai palveluhäiriö

Prosesseissa tulisi määritellä ainakin seuraavat asiat:

  • Miten organisaation tietoja sisältävä omaisuus palautetaan tai hävitetään turvallisesti ja miten toimittajan pääsy organisaation resursseihin poistetaan.
  • Järjestelmän jatkuvuus ja häiriönsietokyky, esim. miten riippuvaiset toiminnot säilytetään toimintakykyisinä, kun toimittaja poistetaan tai vaihdetaan.
  • Komponenttien elinkaaren loppuvaiheen huoltotuki ja vanhentuminen.
  • Keinot, joilla estetään ja lievennetään tietovuotoja tai tietoihin ja järjestelmiin liittyviä riskejä toimittajan irtisanoessa toimintansa.

Tietoturvaroolien ja -vastuiden määrittäminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
66
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
T02: Turvallisuustyön tehtävien ja vastuiden määrittäminen
Katakri
24. Rekisterinpitäjän vastuu
GDPR
6.1.1: Tietoturvaroolit ja -vastuut
ISO 27001
ID.AM-6: Cybersecurity roles and responsibilities
NIST
ID.GV-2: Cybersecurity role coordination
NIST
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvaroolien ja -vastuiden määrittäminen
1. Tehtävän vaatimuskuvaus

Ylimmän johdon on varmistettava selkeät vastuualueet/valtuudet ainakin seuraavissa asioissa:

  • kuka on ensisijaisesti vastuussa siitä, että tietoturvallisuuden hallintajärjestelmä on tietoturvavaatimusten mukainen.
  • ketkä toimivat ISMS:n teemojen omistajina, jotka vastaavat tietoturvallisuuden hallintajärjestelmän pääteemoista.
  • kenellä on vastuu ja valtuudet raportoida ylimmälle johdolle tietoturvallisuuden hallintajärjestelmän toimivuudesta.
  • kenellä on valtuudet suorittaa sisäisiä tarkastuksia

ISMS-teemojen omistajat esitellään johtamisjärjestelmän työpöydällä ja tietoturvapoliitiikan raportissa.

Lisäksi ylimmän johdon on varmistettava, että kaikki tietoturvan kannalta merkitykselliset roolit sekä niihin liittyvät vastuut ja valtuudet määritellään ja niistä tiedotetaan. On myös tärkeää tunnistaa ulkoisten kumppaneiden ja palveluntarjoajien roolit ja vastuut.

Toimittajien tietoturvavaatimusten noudattamisen seuranta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kumppanihallinta
Sopimukset ja seuranta
69
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Članak 30.2: Dobavljačka kibernetička sigurnost i rizici
NIS2 Croatia
1.2.4: Definition of responsibilities with service providers
TISAX
30 § 4°: Définir et contrôler les mesures de sécurité requises pour la chaîne d'approvisionnement
NIS2 Belgium
2.1.10: Review the service provider’s security when outsourcing
NSM ICT-SP
ID.SC-3: Contracts with suppliers and third-party partners are used to implement appropriate measures designed to meet the objectives of an organization’s cybersecurity program and Cyber Supply Chain Risk Management Plan.
CyberFundamentals
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Toimittajien tietoturvavaatimusten noudattamisen seuranta
1. Tehtävän vaatimuskuvaus

Nimetty vastuuhenkilö seuraa toimittajan toimintaa ja palveluita aktiivisesti, jotta varmistetaan sopimusten tietoturvaehtojen noudattaminen ja tietoturvahäiriöiden asianmukainen hallinta.

Seurantaan sisältyvät seuraavat asiat:

  • luvatun palvelutason tarkkailu
  • toimittajan raporttien katselmointi ja seurantapalaverien järjestäminen
  • riippumattomien auditointien säännöllinen järjestäminen
  • auditoinneissa tunnistettujen ongelmien seuranta
  • tietoturvahäiriöiden tarkempi selvittäminen ja niihin liittyvän dokumentaation katselmointi
  • toimittajan tulevaisuuteen liittyvien suunnitelmien läpikäynti (palvelutason ylläpitämiseen liittyen)

Tietoturvan avainhenkilöstön määrä, pätevyys ja riittävyys

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
68
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
T03: Turvallisuustyön resurssit
Katakri
32. Käsittelyn turvallisuus
GDPR
37. Tietosuojavastaavan nimittäminen
GDPR
6.1.1: Tietoturvaroolit ja -vastuut
ISO 27001
ID.GV-2: Cybersecurity role coordination
NIST
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvan avainhenkilöstön määrä, pätevyys ja riittävyys
1. Tehtävän vaatimuskuvaus

Organisaatiossa on tarpeeksi koulutettua, valvottua ja tarvittaessa asianmukaisesti turvallisuusselvitettyä henkilöstöä, jotka toimivat tietoturvan avainrooleissa suorittaen tietoturvallisuuden hallintajärjestelmään liittyviä hallintatehtäviä.

Organisaatio on määritellyt:

  • millainen pätevyys tällä henkilöstöllä tulee olla
  • kuinka pätevyys hankitaan ja varmistetaan (esim. soveltuvan koulutuksen ja koulutuksen seurannan avulla)
  • kuinka pätevyys voidaan osoittaa dokumentaation avulla

Tehtävän omistaja katselmoi turvallisuushenkilöstön määrää ja osaamistasoa säännöllisesti.

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset
No items found.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu
Tutustu Digiturvamalliin
Aloita ilmainen kokeilu
Digiturvamallin avulla rakennat tietoturvallisen ja halutut vaatimukset täyttävän organisaation. Halusitko kehittää tietoturvan hallintaa yleisesti, raportoida omasta NIS2-valmiudesta tai hankkia ISO 27001 -sertifioinnin, Digiturvamalli yksinkertaistaa koko prosessia.
AI-pohjaiset parannussuositukset ja käyttäjäystävällinen työkalu varmistavat, että organisaationne voi olla luottavainen vaatimusten täyttymisestä ja keskittyä oman tietoturvan jatkuvaan parantamiseen.
Selkeä suunnitelma vaatimusten täyttämiseen
Aktivoi teille tärkeät vaatimuskehikot ja jalkauta niiden vaatimukset täyttäviä selkeitä toimenpiteitä.
Uskottavat raportit todisteiksi hyvästä tietoturvasta
Etene tehtävien avulla varmistaaksesi turvallisen toiminnan. Luo ammattimaisia ​​raportteja muutamalla napsautuksella.
AI-avusteiset parannussuositukset
Keskity vaikuttavimpiin parannuksiin Digiturvamallin suositusten avulla.

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiTrust centerVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin