Seuraava webinaari
"
ISO 27001 (osa 1/5): Mikä on nykyaikainen digiturvan hallintajärjestelmä?
"
alkaa
00
pv
00
h
00
min
päästä  
Digiturvamalli

Paperien käyttö

Teema-alueen vaatimukset

Teeman tehtävien osa-alueet

No items found.

Paperien käyttö

Vaatimuskategoriaan liittyvät vaatimukset

No items found.

Esimerkkejä vaatimuksiin liittyvistä tehtävistä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

No items found.

Paperien käyttö

Tämän vaatimuksen toteuttamiseen liittyvät tehtävät

Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.

Ohjeistukset paperitietojen turvalliseen hävittämiseen liittyen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Sensitiivistä tietoa sisältävät paperit olisi tuhottava sovitusti, esimerkiksi käyttäen katkaisusilppuria tai polttamalla.

Ohjeistukset kopiointilaitteiden käyttöön liittyen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kaikkien kopiointilaitteiden (esim. kopiokoneet, skannerit, digitaaliset kamerat) käyttöä varten on olemassa ohjeet ja niiden luvaton käyttö on kiellettyä.

Loki manuaalisten salassa pidettävien aineistojen käsittelystä (ST IV-II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kirjaamisella tarkoitetaan aineiston elinkaaren (luonti, käyttö, jakelu, hävittäminen) rekisteröimistä. Usein tietojärjestelmät hoitavat lokikirjaukset sisäisillä prosesseilla, mutta manuaalista tietoa käsiteltäessä voidaan tarvita erillisia kirjauskäytäntöjä ja kirjaamoja.

Turvallisuustarkoituksia varten suojaustasojen III-II tiedoille on määritelty seuraavat menettelyt:

  • Tietojenkäsittely-ympäristössä toteutetaan hallinnolliset ja tekniset toimenpiteet, jotka koskevat salassa pidettävien tietojen valvomista koko niiden elinkaaren ajan, jotta autetaan estämään ja havaitsemaan tällaisten tietojen tahallinen tai tahaton vaarantuminen tai katoaminen.
  • Salassa pidettävää tietoa käsitteleville organisaatioyksiköille on määritelty kirjaamo/rekisteröintipiste. Kirjaamot/rekisteröintipisteet on perustettu fyysisille ko. suojaustason vaatimukset täyttäville turva-alueille.
  • Salassa pidettävä tieto kirjataan/rekisteröidään sille tarkoitetuissa kirjaamoissa/rekisteröintipisteissä, kun aineisto saapuu organisaatioyksikköön tai lähtee siitä.
  • Asiakirjojen käsittely kirjataan sähköiseen lokiin, tietojärjestelmään, asianhallintajärjestelmään, manuaaliseen diaariin tai asiakirjaan.

Suojaustasolla IV edellytetään ensimmäisen kohdan toteuttamista silloin, kun käsitellään suojaustasoon IV kuuluvia erityisiä henkilötietoryhmiä (esim. biometriset tiedot).

Salassa pidettävien tietojen jäljentäminen - Tulostus ja kopiointi (ST II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tulostimet ja kopiokoneet tulkitaan tietojärjestelmiksi ja niiden tulisi siten täyttää ko. suojaustason vaatimukset sekä teknisen, fyysisen että hallinnollisen tietoturvallisuuden osalta.

Tulosteiden ja kopioiden suojaamiseksi toteutetaan seuraavat toimenpiteet:

  • Kopioita käsitellään kuten alkuperäistä asiakirjaa.
  • Kopion voi luovuttaa edelleen vain henkilölle, jolla on käsittelyoikeus aineistoon ja tarve tietosisältöön.
  • Kopion/tulosteen saa ottaa vain ko. suojaustason vaatimukset täyttävällä laitteella.
  • Kopiointi merkitään diaariin/rekisteriin tai luetteloidaan jollakin muulla vastaavalla menettelyllä.

Salassa pidettävien tietojen jäljentäminen - Tulostus ja kopiointi (ST IV-III)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tulostimet ja kopiokoneet tulkitaan tietojärjestelmiksi ja niiden tulisi siten täyttää ko. suojaustason vaatimukset sekä teknisen, fyysisen että hallinnollisen tietoturvallisuuden osalta.

Tulosteiden ja kopioiden suojaamiseksi toteutetaan seuraavat toimenpiteet:

  • Kopioita käsitellään kuten alkuperäistä asiakirjaa.
  • Kopion voi luovuttaa edelleen vain henkilölle, jolla on käsittelyoikeus aineistoon ja tarve tietosisältöön.
  • Kopion/tulosteen saa ottaa vain ko. suojaustason vaatimukset täyttävällä laitteella.

Lukitut kaapit / huonekalut arkaluonteisen paperitiedon säilyttämiseen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Mikäli arkaluonteista paperitietoa tarvitaan, niiden säilyttämistä varten on olemassa kassakaappeja, muita lukollisia kaappeja tai muita turvallisia huonekaluja.

Arkaluonteiset tiedot eivät saa olla lojumassa kenen tahansa saatavilla ympäri toimistoa.

Vaatimukset ei-sähköisten tietojen fyysiselle tuhoamiselle (TL II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Jos tiedon on laatinut toinen viranomainen, tarpeettomaksi käyneen tiedon tuhoamisesta on ilmoitettava tiedon laatineelle viranomaiselle, jollei sitä palauteta tiedon laatineelle viranomaiselle.

Tiedon tuhoamisen saa suorittaa vain henkilö, jonka viranomainen on tähän tehtävään määrännyt. Valmisteluvaiheen versiot voi tuhota ne laatinut henkilö.

  • Paperiaineistojen silppukoko on enintään 10 mm2 (DIN 66399 / P6).
  • Magneettisten kiintolevyjen silppukoko on enintään 10 mm2 (DIN 66399 / H-6).
  • SSD-kiintolevyjen ja USB-muistien silppukoko on enintään 1 mm2 (DIN 66399 / E-6).
  • Optisten medioiden silppukoko on enintään 5 mm2 (DIN 66399 / O-6)

Vaatimukset ei-sähköisten tietojen fyysiselle tuhoamiselle (TL III)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

  • Paperiaineistojen silppukoko on enintään 30 mm2 (DIN 66399 / P5 tai DIN 32757 / DIN 4).
  • Magneettisten kiintolevyjen silppukoko on enintään 10 mm2 (DIN 66399 / H-6).
  • SSD-kiintolevyjen ja USB-muistien silppukoko on enintään 10 mm2 (DIN 66399 / E-5).
  • Optisten medioiden silppukoko on enintään 5 mm2 (DIN 66399 / O-6).

Vaatimukset ei-sähköisten tietojen fyysiselle tuhoamiselle (TL IV)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

  • Paperiaineistojen silppukoko on enintään 30 mm2 (DIN 66399 / P5 tai DIN 32757 / DIN 4).
  • Magneettisten kiintolevyjen silppukoko on enintään 320 mm2 (DIN 66399 / H-5.
  • SSD-kiintolevyjen ja USB-muistien silppukoko on enintään 10 mm2 (DIN 66399 / E-5).
  • Optisten medioiden silppukoko on enintään 10 mm2 (DIN 66399 / O-5).

Alkuperäisten turvatoimien soveltaminen tietojen kopioihin ja käännöksiin (TL II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietojen kopiot ja niiden käsittelijät on luetteloitava. Tietojen kopiointia varten on hankittava tiedon laatineen viranomaisen lupa.

Turvallisuusluokan II tietoja kopioitaessa tarvittava tietoturvataso voidaan saavuttaa toteuttamalla aiempien turvallisuusluokkien toimien lisäksi seuraavat toimenpiteet:

  • Kopiointi ja käsittelijät merkitään diaariin/rekisteriin tai luetteloidaan jollakin muulla vastaavalla menettelyllä.

Ei-sähköisten tietojen fyysinen tuhoaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tiedon suojaamisesta tulee huolehtia tiedon elinkaaren päättymiseen asti.

Ei-sähköisten tietojen tuhoaminen on järjestetty luotettavasti. Tuhoamisessa käytetään menetelmiä (esim. polttaminen, silppuaminen), joilla estetään tietojen kokoaminen uudelleen kokonaan tai osittain. Tämä tulee huomioida myös tilanteissa, joissa käytetään kolmannen osapuolen palvelua tiedon tuhoamiseen.

Alkuperäisten turvatoimien soveltaminen tietojen kopioihin ja käännöksiin

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tulostimet ja kopiokoneet tulkitaan tietojärjestelmiksi ja niiden tulee siten täyttää vaatimukset sekä teknisen, fyysisen että hallinnollisen tietoturvallisuuden osalta. Tekniset vaatimukset voi täyttää muun muassa erillislaiteratkaisulla.

Vaatimus voidaan täyttää siten, että toteutetaan alla mainitut toimenpiteet:

  • Kopioita käsitellään kuten alkuperäistä tietoa.
  • Kopion voi luovuttaa edelleen vain henkilölle, jolla on käsittelyoikeus tietoon ja tarve tietosisältöön.
  • Kopion/tulosteen saa ottaa vain ko. turvallisuustason vaatimukset täyttävällä laitteella.



Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.