Jatkuvasti kasvava kirjasto digiturvan vaatimuskehikkoja

Digiturvamalli tarjoaa kasvavan vaatimuskehikkokirjaston, jonka kaikki sisällöt on linkitetty ristiin tehtäväsisällömme kanssa. Kehikot tarjoavat sinulle jäsennellyn lähestymistavan; pohjaat työsi parhaisiin käytäntöihin ja tiedät aina nykyisen tasonne. Valitse kehikot, jotka parhaiten vastaavat organisaationne tarpeisiin.

Integrate when needed with Power Automate
Deploy easily as Microsoft Teams app

Tutustu nykyisiin ja tuleviin vaatimuskehikkoihin

ISO 27001:2022

Tietoturva
PRIVACY
Julkinen hallinto

Täysi, sertifionnin mahdollistava tietoturvan hallintajärjestelmä. Koko kattaus hallintakeinoja sekä johdon, auditoinnin sekä riskienhallinnan näkökulmat.

  • Johdolle suunnatut tehtävät hallintajärjestelmän johtamisesta, riskien arvioinnista ja käsittelystä sekä sisäisestä auditoinnista
  • Edistyneet tehtävät mm. hankintaan, fyysiseen tietoturvaan sekä haavoittuvuuksien hallintaan liittyen
  • Tarkempi dokumentaatio mm. riskeihin, poikkeamiin sekä parannuksiin liittyen

ISO 27001:2022 on jaoteltu 3 eri tasoon Digiturvamallissa, jotta voitte joko aloittaa pienesti tai päättää suoraan tavoitella sertifiointitasoa.

Lue lisää vaatimuskehikosta

ISO 27001:2013

Tietoturva
Julkinen hallinto

Täysi, sertifionnin mahdollistava tietoturvan hallintajärjestelmä. Koko kattaus hallintakeinoja sekä johdon, auditoinnin sekä riskienhallinnan näkökulmat.

  • Johdolle suunnatut tehtävät hallintajärjestelmän johtamisesta, riskien arvioinnista ja käsittelystä sekä sisäisestä auditoinnista
  • Edistyneet tehtävät mm. hankintaan, fyysiseen tietoturvaan sekä haavoittuvuuksien hallintaan liittyen
  • Tarkempi dokumentaatio mm. riskeihin, poikkeamiin sekä parannuksiin liittyen

ISO 27001:2013 on jaoteltu 3 eri tasoon Digiturvamallissa, jotta voitte joko aloittaa pienesti tai päättää suoraan tavoitella sertifiointitasoa.

Lue lisää vaatimuskehikosta

NIST Cybersecurity Framework

Tietoturva
Julkinen hallinto

NIST-tietoturvakehikko on yhteistyöhanke, jota koordinoi National Institute of Standards and Technology (NIST, osa Yhdysvaltain kauppaministeriötä) ja johon on osallistunut teollisuuden, yliopistoyhteisön ja hallituksen osallistujia.

Kehikko on suunniteltu auttamaan kriittisen infran omistajia ja operoijia tunnistamaan, arvioimaan ja hallitsemaan tietoturvariskejä.

  • Edistyneitä tehtäviä esim. riskien hallintaan ja häiriöiden havaitsemiseen, vastaamiseen ja palautumiseen.
  • Edistynyttä dokumentaatiota tietoturvariskeistä
  • Yleisiä tietoturvaohjeita työntekijöille, pääkäyttäjille, johdolle sekä muille sidosryhmille.
Lue lisää vaatimuskehikosta

General Data Protection Regulation

Tietosuoja
Julkinen hallinto

Tietosuoja-asetus määrää vaatimukset lailliselle henkilötietojen käsittelylle ja riittävän tietosuojatason osoittamiselle.

  • Tietosuojan ja henkilötietojen käsittelyn ohjeistukset henkilöstölle
  • Informointiin, käsittelijöihin sekä loukkasten hallintaan liittyvät tehtävät
  • Käsittelyprosessien, tietojen siirron ja vaikutusten arviointien dokumentointi
Lue lisää vaatimuskehikosta

Tiedonhallintalaki

Julkinen hallinto
Cyber security

Tiedonhallintalain tarkoituksena on edistää julkisen hallinnon tiedonhallintaa, tietoturvallisuutta sekä digitalisointia.

  • Tiedonhallinnan ohjeet eri yksikköjen työntekijöille
  • Tehtäviä liittyen tiedonhallinnan vastuuttamiseen, tiedonhallintamallin julkaisuun, muuhun raportointiin, arkistointiin sekä rajanpintojen hallintaan
  • Dokumentaatiota toimintaprosesseista, tietojärjestelmistä, tietovarannoista, tietojen käsittelystä sekä näihin liittyvistä riskeistä

Julkri (Julkisen hallinnon tietoturvallisuuden arviointikriteeristö)

Tietosuoja
Tietoturva
Julkinen hallinto

Tiedonhallintalautakunnan muodostama tietoturvallisuuden arviointikriteeristö, joka on kohdistettu suomalaiselle julkishallinnolle.

Julkri listaa 200 eri tasoista tietoturvakäytäntöä, joiden avulla voidaan käytännössä täyttää mm. tiedonhallintalaissa sekä tietosuoja-asetuksessa säädettyjä käsitellyn tiedon turvallisuuteen kohdistuvia vaatimuksia.

Julkri on jaoteltu 4 eri tasoon Digiturvamallissa, jotta voitte joko aloittaa pienesti tai ottaa mukaan TL IV - I -tasojen täsmäkriteerejä.

ISO 27017

Tietoturva

ISO 27017 on tietoturvastandardi, joka on kehitetty erityisesti pilvipalveluntarjoajille ja käyttäjille turvallisemman pilvipohjaisen ympäristön luomiseksi ja tietoturvahäiriöiden riskin vähentämiseksi.

  • Pilviympäristöön liittyvät tekniset tehtävät ja jaetut vastuut.
  • Edistyksellisiä tehtäviä mm. virtualisoinnista ja pilvipalvelujen valvonnasta

ISO 27017 antaa pilvikohtaisia lisäyksiä ISO 27001:een, joten näitä kahta viitekehystä tulee käyttää yhdessä.

ISO 27018

Tietosuoja
TIetoturva

ISO 27018 on tietoturvastandardi, joka on kehitetty erityisesti pilvipalveluntarjoajille, jotta voidaan varmistaa riskien arvioiminen ja valvonnan toteuttaminen henkilötietojen suojaamiseksi.

  • Henkilötietojen käsittelyyn liittyvät asiakirjat.
  • Tehtävät liittyvät tarkoituksen, tietojen ja säilytyksen minimointiin.
  • Tietoturvaan liittyvät edistyneet tehtävät henkilötietojen käsittelyn aikana.

ISO 27018 antaa pilvikohtaisia lisäyksiä ISO 27001:een, joten näitä kahta viitekehystä tulee käyttää yhdessä.

Katakri

Tietoturva

Katakria käytetään arvioitaessa kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa. Sitä voidaan käyttää ohjaamaan turvallisuustyötä organisaaiossa, joka haluaa olla valmis viranomaisen toteuttamaan auditointiin.

  • Tehtäviä pääkäyttäjille turvallisuusjohtamiseen, fyysiseen turvallisuuteen sekä tekniseen tietoturvaan liittyen.
  • Dokumentaatiota tunnistetuista ja arvioiduista tietoturvariskeistä sekä hallintakeinoista.
  • Ohjeita työntekijöille turva-alueilla työskentelystä sekä viranomaisten salassa pidettävän tiedon suojaamisesta.

Digiturvan kokonaiskuvapalvelu (DVV)

Julkinen hallinto
Tietoturva

ISO 13485:2016 specifies requirements for an organisation that needs to demonstrate its ability to provide medical devices and related services that consistently meet customer and applicable regulatory requirements.

Organisation utilising ISO 13485 can be involved in one or more stages of the life-cycle (e.g. design, development, production, storage, distribution, installation, or servicing) of a medical device or provision of associated activities (e.g. technical support).

ISO 13485:2016 can also be used by suppliers or external parties that provide product, including quality management system-related services to such organisations.

N.b.! Only the framework structure is currently available in Cyberday.

ISO 27701

Tietosuoja

ISO 27701 on tietosuojalaajennus ISO 27001 -standardiin. Vaatimuskehikon avulla olemassaoleva tietoturvan hallintajärjestelmä (ISMS) laajennetaan henkilötietojen käsittelyä ja suojaamista koskevilla vaatimuksilla tietosuojan hallintajärjestelmäksi (PIMS).

  • Dokumentaatiota henkilötietojen käsittelyyn, siirtoihin ja luovutuksiin liittyen.
  • Tehtäviä rekisteröityjen oikeuksiin sekä käsittelyn lainmukaisuuden varmistamiseen liittyen.
  • Kehittyneitä tietosuojatehtäviä rekisterinpitäjille sekä käsittelijöille mm. oikeaoppisen suostumuksen sekä muiden täsmävaatimusten täyttämiseen liittyen.

Organisaatio voi hankkia sertifioinnin ISO 27701:n mukaiselle hallintajärjestelmälle. Koska vaatimuskehikko laajentaa ISO 27001 -standardia, sertifiointia tavoittelevalla organisaatiolla on oltava myös ISO 27001 -sertifikaatti.

ISO 13485:2016

Julkinen hallinto
Tietoturva

ISO 13485:2016 specifies requirements for an organisation that needs to demonstrate its ability to provide medical devices and related services that consistently meet customer and applicable regulatory requirements.

Organisation utilising ISO 13485 can be involved in one or more stages of the life-cycle (e.g. design, development, production, storage, distribution, installation, or servicing) of a medical device or provision of associated activities (e.g. technical support).

ISO 13485:2016 can also be used by suppliers or external parties that provide product, including quality management system-related services to such organisations.

N.b.! Only the framework structure is currently available in Cyberday.

Our team is currently working on these frameworks and they will be published soon - in the upcoming weeks.
Coming soon

NIS 2 (Network Information Systems Directive)

Tietoturva
Julkinen hallinto

NIS 2 sets the baseline for cybersecurity risk management measures and reporting obligations across important industries covered by the directive, such as energy, transport, health, food, waste, public administration and digital infrastructure - and even more importantly to their supply chains.

NIS 2 tigthtens the rules and expand its scope when compared to original NIS Directive from 2016. It also adds top management accountability and tightens sanctions for non-compliance.

Coming soon

SOC 2 (Systems and Organization Controls 2)

Tietoturva
Tietosuoja

SOC 2 framework specifies how organizations should protect customer data from e.g. unauthorized access, security incidents or other vulnerabilities. It is developed by the American Institute of Certified Public Accountants (AICPA).

SOC 2 includes 5 different requirement sets: security, availability, processing integrity, confidentiality and privacy. A SOC 2 audit can be carried out related to one or all of these criteria. Each criteria has specific requirements that the company needs to comply with by implementing controls.

These frameworks are scheduled for next months. You can upvote frameworks on your Cyberday account that you would like to see implemented first.

Payment Card Industry Data Security Standard (PCI DSS)

You can vote for upcoming frameworks inside your own Cyberday account.
Cyber security

Maksukorttiteollisuuden tietoturvastandardi (PCI DSS) kehitettiin kannustamaan ja parantamaan maksukorttitietojen tietoturvaa ja helpottamaan yhdenmukaisten tietoturvatoimenpiteiden laajaa käyttöönottoa maailmanlaajuisesti.

PCI DSS tarjoaa perustason teknisiä ja toiminnallisia vaatimuksia, jotka on suunniteltu suojaamaan tilitietoja. Vaikka PCI DSS on erityisesti suunniteltu keskittymään ympäristöihin, joissa on maksukorttitietoja, sitä voidaan käyttää toiminnan ohjenuorana myös muissa tietojekäsittely-ympäristön kohteissa.

Cybersecurity Capability Maturity Model (C2M2)

You can vote for upcoming frameworks inside your own Cyberday account.
PUBLIC SECTOR
Cyber security

Cybersecurity Capability Maturity Model (C2M2) auttaa organisaatioita arvioimaan tietoturvatasoaan ja optimoimaan tietoturvainvestointejaan.

Se hyödyntää toimialalla yleisesti hyväksyttyjä tietoturvakäytäntöjä, jotka keskittyvät IT- ja OT-näkökulmiin, suojattavan omaisuuden hallintaan sekä tietojenkäsittely-ympäristön hallintaan.

These frameworks are scheduled for the future. You can upvote frameworks on your Cyberday account that you would like to see implemented first.

Cyber essentials (NCSC UK)

You can vote for upcoming frameworks inside your own Cyberday account.
PUBLIC SECTOR
Cyber security
Small business

Cyber Essentials is backed by the United Kingdom's government to help protect organisations, large or small, from cyber attacks. It is a good tool for getting the essentials of cyber security to a level which helps decrease the chance of your organisation to be vulnerable to basic cyber attacks.

  • Tasks for admins regarding firewall, password and device management policies and malware protection, user access control and software management.
  • Guidelines for employees regarding secure password practices and other cyber security basics.
  • Documentation of main software and hardware assets relevant for information security.

ISO 22301:2019

You can vote for upcoming frameworks inside your own Cyberday account.
PRIVACY
PUBLIC SECTOR
Continuity management

ISO 22301 specifies requirements for building a management system that protects organization's business continuity by ensuring preparedness, response and recovering from disruptions.

  • Documentation about the critical functions of the organization and any related assets on the data processing environment
  • Tasks related to building a strong business continuity policy
  • Guidelines related to continuing operations in cases of adverse events

ISO 22301 is generic and applicable to all organizations, regardless of type, size and nature of the organization. Organization can also get certified against ISO 22301.

HIPAA (U.S. Health Insurance Portability and Accountability Act)

You can vote for upcoming frameworks inside your own Cyberday account.
PUBLIC SECTOR
Privacy
Cyber security
Health care

HIPAA is a series of regulatory standards outlining the lawful use and disclosure of protected health information (PHI). HIPAA compliance is regulated in the USA by the Department of Health and Human Services (HHS) and enforced by the Office for Civil Rights (OCR).

CIS 18 (Critical Security Controls)

You can vote for upcoming frameworks inside your own Cyberday account.
Cyber security

The Center for Internet Security (CIS) has created CIS 18, a prioritized set of best practices created to stop the most pervasive and dangerous cyber security threats of today.

CIS 18 has been developed by leading security experts from around the world and is refined and validated every year.

Puuttuuko meiltä teille tärkeä vaatimuskehikko? Kerro siitä!

Täytä lyhyt lomake toivomastasi vaatimuskehikosta, niin tutkimme sitä lisää mahdollisimman pian!
Pyydä uutta vaatimuskehikkoa
Thank you! We received your message and will be in touch if relevant!

Kind regards,
Cyberday team 👋
Oops! Something went wrong while submitting the form.