Organisaation on otettava huomioon kuhunkin suoraan toimittajaan ja palveluntarjoajaan liittyvät erityiset haavoittuvuudet sekä toimittajien ja palveluntarjoajien tietoturvatuotteiden ja -käytäntöjen yleinen laatu, mukaan lukien niiden turvalliset kehitysmenettelyt.

Lisäksi organisaation on otettava huomioon verkko- ja tietoturvayhteistyöryhmän toteuttamien kriittisiin toimitusketjuihin kohdistuvien turvallisuusriskien koordinoitujen arviointien tulokset.

The organization should ensure that the data centers used by the organization have controls in place to protect ICT and information assets from unauthorized access, attacks, and accidents.

The data center should also have controls and plans in place to protect the assets from environmental threats and hazards. The protection from environmental threats and hazards should commensurate with the importance of the data centers and the criticality of the operations or ICT systems located there.

Organisaatio luo kriteerit palveluntarjoajien luokittelua varten, jotka perustuvat esimerkiksi tietojen herkkyyteen, määrään, saatavuuteen, säännöstenmukaisuuteen ja riskitasoihin, ja päivittää luokitukset säännöllisesti, jotta mahdollisia vaikutuksia organisaatioon voidaan hallita tehokkaasti.

Kaikki mahdolliset toimittajat, kriittisten resurssien toimittajat ja muut asiaankuuluvat kolmannet osapuolet arvioidaan ennen hankintaa esimerkiksi seuraavin keinoin:

• Perusteellisen due diligence -tarkastuksen tekeminen sekä hankinnansuunnittelu, jotka vastaavat kunkin toimittajasuhteen riskitasoa, kriittisyyttä ja monimutkaisuutta.
• Arvioidaan teknologian sekä riskinhallinta- ja kyberturvallisuuskäytäntöjen soveltuvuus.
• Tehdään toimittajien riskinarviointeja liiketoiminnan ja sovellettavien kyberturvallisuusvaatimusten perusteella.
• Arvioidaan kriittisten tuotteiden aitous, eheys ja turvallisuus ennen hankintaa ja käyttöä.

Organisaatiolla olisi oltava määritellyt ja dokumentoidut prosessit kriittisten toimittajasuhteiden irtisanomista varten sekä tavanomaisissa että epäsuotuisissa olosuhteissa. Epäsuotuisat olosuhteet voivat olla esimerkiksi seuraavat:

• tietomurto tai tietoturvaloukkaus
• oikeudelliset, eettiset tai sääntelyyn liittyvät rikkomukset
• Sopimusrikkomus tai palveluhäiriö

Prosesseissa tulisi määritellä ainakin seuraavat asiat:

• Miten organisaation tietoja sisältävä omaisuus palautetaan tai hävitetään turvallisesti ja miten toimittajan pääsy organisaation resursseihin poistetaan.
• Järjestelmän jatkuvuus ja häiriönsietokyky, esim. miten riippuvaiset toiminnot säilytetään toimintakykyisinä, kun toimittaja poistetaan tai vaihdetaan.
• Komponenttien elinkaaren loppuvaiheen huoltotuki ja vanhentuminen.
• Keinot, joilla estetään ja lievennetään tietovuotoja tai tietoihin ja järjestelmiin liittyviä riskejä toimittajan irtisanoessa toimintansa.

Organisaatio on ottanut käyttöön kriittisiä tai tärkeitä toimintoja tukevia ICT-palveluja koskevat poistumisstrategiat, joilla varaudutaan mahdollisiin vikoihin, laadun heikkenemiseen tai muihin palveluun liittyviin liiketoimintahäiriöihin.

Poistumisstrategioilla varmistetaan, että organisaatio voi luopua asiaan liittyvistä sopimusjärjestelyistä ilman:

• häiriöitä liiketoiminnalleen
• vaatimusten laiminlyömistä
• haittaa tarjottujen palvelujen jatkuvuudelle tai laadulle.

Poistumissuunnitelmat ovat kattavia, dokumentoituja, riittävästi testattuja ja säännöllisesti tarkistettuja.

Organisaatio on osana poistumisstrategioita myös yksilöinyt vaihtoehtoisia ratkaisuja ja laatinut siirtymäsuunnitelmia, joiden avulla se voi vaihtaa palveluja ja siirtää asiaankuuluvat tiedot turvallisesti.

Organisaation on tunnistettava kriittiset IT-kumppanit. Kriittisellä kumppanilla (sisäinen tai ulkoinen) tarkoitetaan kumppania, jota ilman toiminta keskeytyy.

Organisaatio sopii ja toteuttaa yhteisen tietoturvariskien hallintamenettelyn ja prosessit sidosryhmien kanssa.

Organisaation tulisi pyrkiä integroimaan kolmannen osapuolen riskien hallinta osaksi oman organisaation yleistä tietoturvariskienhallintaa. Siinä tulisi:

• Arvioida keskenäisiä riippuvuuksia
• Arvioida riskejä liittyen kolmannen osapuolen tarjoamiin sopimuksiin
• Huolehtia riskienhallinnan skaalasta organisaation koon ja tarpeen perusteella

Organisaation tulisi asettaa kumppaninsa tärkeysjärjestykseen seuraavien asioiden perusteella:

• Toimittajien käsittelemien tai hallussaan pitämien tietojen arkaluonteisuus ja luottamuksellisuus.
• Organisaation järjestelmiin pääsyn asteen mukaan
• Tuotteiden tai palvelujen merkitys organisaation tehtävän kannalta.

Tietoliikennepalveluissa ja -sopimuksissa on huomioitu toiminnan kannalta tärkeiden palveluiden saatavuus häiriötilanteissa.

Tärkeiden palvelujen verkkoympäristöt ja tietoliikennepalvelut varmennetaan esimerkiksi kahdentamalla. Tietoliikenne voidaan kahdentaa fyysisesti kahta eri reittiä pitkin kahden eri operaattorin toimesta.

Tärkeissä ympäristöissä varmistetaan, että yksittäisen tietoliikennekomponentin vikaantuminen ei keskeytä palvelun toimintaa.

Erikseen valittuihin työasemiin voidaan esimerkiksi asentaa erillinen tietoliikenneyhteys, jonka kautta voi päästä yleiseen tietoverkkoon.

Sopimusvaiheessa tulisi huomioida myös Suomen ulkopuolisten yhteyksien vikasietoisuus.

Organisaatio käsittelee säännöllisesti digiturvallisuutta kriittisten toimittajien ja muiden kumppanien kanssa toimittajahallintakokouksissa.

Kriittisten verkkopalvelujen tarvitsemat turvajärjestelyt, kuten turvallisuusominaisuudet, palvelutasot ja hallintavaatimukset, on huolellisesti määritelty ennakkoon. Verkkopalveluja ovat mm. liitännät, verkot ja verkon turvallisuusratkaisut (esim. palomuurit).

Verkkopalvelujen turvallisuusominaisuudet voivat olla mm. seuraavanlaisia:

• vaadittu turvallisuuteen liittyvä teknologia, kuten todennus, salaustekniikka ja verkkoyhteyden hallintakeinot
• verkkopalvelujen suojatun yhteyden edellyttämät tekniset parametrit
• verkkopalvelun käyttökriteerit, jotka rajoittavat pääsyä verkkopalveluun tai sovelluksiin tarvittaessa

Digiturvan minimitasoa koskevat vaatimukset on määritetty luottamuksellista tietoamme käsittelevillä kumppaniyrityksille ja nämä on sisällytetty toimittajasopimuksiin. Vaatimukset vaihtelevat sen mukaan, kuinka kriittistä tietoa kumppani käsittelee.

Vaatimusten on järkevää koostua säännöistä ja käytännöistä, joita omassa organisaatiossanne noudatetaan. Voitte jaotella vaatimustasot matalan, keskitason ja korkean riskin toimittajiin.

Organisaatio on määritellyt tärkeiltä kumppaneilta vaaditut sertifioinnit tai noudatettavat standardit. Yleisesti tunnistettuja digiturvaan liittyviä standardeja ovat mm.:

• ISO 27001 (tietoturvan hallintajärjestelmä)
• SOC2 (yleinen tietoturva, kutsutaan myös SSAE 16)
• ISO 27701 (tietosuojan hallintajärjestelmä)
• ISO 27017 (digiturva pilvipalveluissa) tai ISO 27018 (tietosuoja pilvipalveluissa)
• muita suosittuja mm. NIST (yleinen), CSA (pilviohjelmistot), PCI DSS (korttimaksaminen)

Esimerkiksi kumppanilta vaadittava sertifiointi voi tehostaa omaa kumppanihallintaa ja toimia hyvänä todisteena kumppanin tietystä tietoturva- tai tietosuojatasosta.

Määrittelemme ennakkoon toimittajatyypit, joiden kanssa yhteistyö vaatii pääsyä luottamuksellisiin tietoihin tai niiden käsittelyalueille sekä tätä kautta mm. käsittelysopimusten tekemistä. Tällaisia toimittajatyyppejä voivat olla esim. tietotekniset palvelut, logistiikka, taloushallinto sekä tietotekniset infrastruktuurikomponentit.

Kun organisaatio käyttää pilvipohjaista tietojärjestelmää, organisaation tulee ymmärtää ja vahvistaa siihen liittyvät tietoturvaroolit ja -vastuut palvelusopimuksen mukaisesti.

Näihin voi kuulua esimerkiksi seuraaviin vastuisiin liittyviä tehtäviä:

• Suojaus haittaohjelmilta
• Kryptografiset ohjaimet
• Varmuuskopiointi
• Haavoittuvuuden ja tapausten hallinta
• Vaatimustenmukaisuus ja turvallisuustestaus
• Tunnistus, identiteetin ja käyttöoikeuksien hallinta

Kun organisaatio päättää käyttää toisen pilvipalvelun tarjoajan palveluita omien pilvipalveluidensa tuottamiseen, organisaation on varmistettava, että sen asiakkaiden tietoturvataso säilyy tai ylittyy.

Tämän varmistamiseksi organisaation tulee määritellä tarvittavat turvallisuustavoitteet toimitusketjuun kuuluville alihankkijoille. Näiden tavoitteiden tulisi edellyttää riskienhallinnan suorittamista tavoitteiden saavuttamiseksi.

Tietoteknisissä ympäristöissä ja niihin liittyvissä sopimuksissa on huomioitu toiminnan kannalta tärkeiden palveluiden saatavuus häiriötilanteissa.

Tärkeiden palvelujen tietotekniset ympäristöt varmennetaan esimerkiksi kahdentamalla siten, että yksittäisten komponenttien vikaantumiset eivät aiheuta toiminnan edellyttämää palvelutasoa pidempiä käyttökatkoja.

Tietotekniset ympäristöt voidaan varmentaa varavoimalla tai varavoimaliitännöillä siten, että sähkönjakelu voidaan käynnistää riittävän nopeasti ja ylläpitää sitä riittävän ajan suhteessa toiminnan vaatimuksiin.

Kun esimerkiksi tietoliikenneverkon vikasietoisuus on kriittistä, sitä voidaan parantaa entisestään hankkimalla verkon peruspalvelut useampaa reittiä ja useamman palveluntuottajan kautta.