Jatkuvasti kasvava kirjasto digiturvan vaatimuskehikkoja

Digiturvamalli tarjoaa kasvavan vaatimuskehikkokirjaston, jonka kaikki sisällöt on linkitetty ristiin tehtäväsisällömme kanssa. Kehikot tarjoavat sinulle jäsennellyn lähestymistavan; pohjaat työsi parhaisiin käytäntöihin ja tiedät aina nykyisen tasonne. Valitse kehikot, jotka parhaiten vastaavat organisaationne tarpeisiin.

Integrate when needed with Power Automate
Deploy easily as Microsoft Teams app

Tutustu nykyisiin ja tuleviin vaatimuskehikkoihin

ISO 27001:2022

Tietoturva
PRIVACY
Julkinen hallinto

Täysi, sertifionnin mahdollistava tietoturvan hallintajärjestelmä. Koko kattaus hallintakeinoja sekä johdon, auditoinnin sekä riskienhallinnan näkökulmat.

  • Johdolle suunnatut tehtävät hallintajärjestelmän johtamisesta, riskien arvioinnista ja käsittelystä sekä sisäisestä auditoinnista
  • Edistyneet tehtävät mm. hankintaan, fyysiseen tietoturvaan sekä haavoittuvuuksien hallintaan liittyen
  • Tarkempi dokumentaatio mm. riskeihin, poikkeamiin sekä parannuksiin liittyen

ISO 27001:2022 on jaoteltu 3 eri tasoon Digiturvamallissa, jotta voitte joko aloittaa pienesti tai päättää suoraan tavoitella sertifiointitasoa.

Lue lisää vaatimuskehikosta

ISO 27001:2013

Tietoturva
Julkinen hallinto

Täysi, sertifionnin mahdollistava tietoturvan hallintajärjestelmä. Koko kattaus hallintakeinoja sekä johdon, auditoinnin sekä riskienhallinnan näkökulmat.

  • Johdolle suunnatut tehtävät hallintajärjestelmän johtamisesta, riskien arvioinnista ja käsittelystä sekä sisäisestä auditoinnista
  • Edistyneet tehtävät mm. hankintaan, fyysiseen tietoturvaan sekä haavoittuvuuksien hallintaan liittyen
  • Tarkempi dokumentaatio mm. riskeihin, poikkeamiin sekä parannuksiin liittyen

ISO 27001:2013 on jaoteltu 3 eri tasoon Digiturvamallissa, jotta voitte joko aloittaa pienesti tai päättää suoraan tavoitella sertifiointitasoa.

Lue lisää vaatimuskehikosta

NIST Cybersecurity Framework

Tietoturva
Julkinen hallinto

NIST-tietoturvakehikko on yhteistyöhanke, jota koordinoi National Institute of Standards and Technology (NIST, osa Yhdysvaltain kauppaministeriötä) ja johon on osallistunut teollisuuden, yliopistoyhteisön ja hallituksen osallistujia.

Kehikko on suunniteltu auttamaan kriittisen infran omistajia ja operoijia tunnistamaan, arvioimaan ja hallitsemaan tietoturvariskejä.

  • Edistyneitä tehtäviä esim. riskien hallintaan ja häiriöiden havaitsemiseen, vastaamiseen ja palautumiseen.
  • Edistynyttä dokumentaatiota tietoturvariskeistä
  • Yleisiä tietoturvaohjeita työntekijöille, pääkäyttäjille, johdolle sekä muille sidosryhmille.
Lue lisää vaatimuskehikosta

General Data Protection Regulation

Tietosuoja
Julkinen hallinto

Tietosuoja-asetus määrää vaatimukset lailliselle henkilötietojen käsittelylle ja riittävän tietosuojatason osoittamiselle.

  • Tietosuojan ja henkilötietojen käsittelyn ohjeistukset henkilöstölle
  • Informointiin, käsittelijöihin sekä loukkasten hallintaan liittyvät tehtävät
  • Käsittelyprosessien, tietojen siirron ja vaikutusten arviointien dokumentointi
Lue lisää vaatimuskehikosta

Tiedonhallintalaki

Julkinen hallinto
Cyber security

Tiedonhallintalain tarkoituksena on edistää julkisen hallinnon tiedonhallintaa, tietoturvallisuutta sekä digitalisointia.

  • Tiedonhallinnan ohjeet eri yksikköjen työntekijöille
  • Tehtäviä liittyen tiedonhallinnan vastuuttamiseen, tiedonhallintamallin julkaisuun, muuhun raportointiin, arkistointiin sekä rajanpintojen hallintaan
  • Dokumentaatiota toimintaprosesseista, tietojärjestelmistä, tietovarannoista, tietojen käsittelystä sekä näihin liittyvistä riskeistä

Julkri (Julkisen hallinnon tietoturvallisuuden arviointikriteeristö)

Tietosuoja
Tietoturva
Julkinen hallinto

Tiedonhallintalautakunnan muodostama tietoturvallisuuden arviointikriteeristö, joka on kohdistettu suomalaiselle julkishallinnolle.

Julkri listaa 200 eri tasoista tietoturvakäytäntöä, joiden avulla voidaan käytännössä täyttää mm. tiedonhallintalaissa sekä tietosuoja-asetuksessa säädettyjä käsitellyn tiedon turvallisuuteen kohdistuvia vaatimuksia.

Julkri on jaoteltu 4 eri tasoon Digiturvamallissa, jotta voitte joko aloittaa pienesti tai ottaa mukaan TL IV - I -tasojen täsmäkriteerejä.

ISO 27017

Tietoturva

ISO 27017 on tietoturvastandardi, joka on kehitetty erityisesti pilvipalveluntarjoajille ja käyttäjille turvallisemman pilvipohjaisen ympäristön luomiseksi ja tietoturvahäiriöiden riskin vähentämiseksi.

  • Pilviympäristöön liittyvät tekniset tehtävät ja jaetut vastuut.
  • Edistyksellisiä tehtäviä mm. virtualisoinnista ja pilvipalvelujen valvonnasta

ISO 27017 antaa pilvikohtaisia lisäyksiä ISO 27001:een, joten näitä kahta viitekehystä tulee käyttää yhdessä.

ISO 27018

Tietosuoja
TIetoturva

ISO 27018 on tietoturvastandardi, joka on kehitetty erityisesti pilvipalveluntarjoajille, jotta voidaan varmistaa riskien arvioiminen ja valvonnan toteuttaminen henkilötietojen suojaamiseksi.

  • Henkilötietojen käsittelyyn liittyvät asiakirjat.
  • Tehtävät liittyvät tarkoituksen, tietojen ja säilytyksen minimointiin.
  • Tietoturvaan liittyvät edistyneet tehtävät henkilötietojen käsittelyn aikana.

ISO 27018 antaa pilvikohtaisia lisäyksiä ISO 27001:een, joten näitä kahta viitekehystä tulee käyttää yhdessä.

Katakri

Tietoturva

Katakria käytetään arvioitaessa kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa. Sitä voidaan käyttää ohjaamaan turvallisuustyötä organisaaiossa, joka haluaa olla valmis viranomaisen toteuttamaan auditointiin.

  • Tehtäviä pääkäyttäjille turvallisuusjohtamiseen, fyysiseen turvallisuuteen sekä tekniseen tietoturvaan liittyen.
  • Dokumentaatiota tunnistetuista ja arvioiduista tietoturvariskeistä sekä hallintakeinoista.
  • Ohjeita työntekijöille turva-alueilla työskentelystä sekä viranomaisten salassa pidettävän tiedon suojaamisesta.

Digiturvan kokonaiskuvapalvelu (DVV)

Julkinen hallinto
Tietoturva

Digiturvan kokonaiskuvapalvelu on DVV:n kehittämä ja ylläpitämä palvelu, joka kerää tietoa julkisen hallinnon organisaatioiden digitaalisen turvallisuuden tilanteesta.

Tämän vaatimuskehikon vaatimukset vastaavat palvelussa organisaatiolle esitettäviä, hallinnollisen digitaalisen turvallisuuden tilaa koskevia, väittämiä.

NIS2 (verkko- ja tietojärjestelmien turvallisuutta koskeva direktiivi)

Tietoturva
Julkinen hallinto

NIS 2 määrittää perustason digiturvallisuusriskien hallintatoimenpiteille ja raportointivelvollisuuksille kaikilla direktiivin kattamilla tärkeillä aloilla, kuten energia-, liikenne-, terveys-, elintarvike-, jäte-, julkishallinnossa ja digitaalisessa infrastruktuurissa – sekä niiden toimitusketjuissa.

NIS 2 tiukentaa sääntöjä ja laajentaa sen soveltamisalaa verrattuna alkuperäiseen NIS-direktiiviin vuodelta 2016. Se myös lisää ylimmän johdon vastuuvelvollisuutta ja tiukentaa seuraamuksia puutteista.

SOC 2 (Systems and Organization Controls 2)

Tietoturva
Tietosuoja

SOC 2 -vaatimuskehikko määrittelee, kuinka organisaatioiden tulee suojata asiakastietoja esimerkiksi luvattomalta käytöltä, tietoturvaloukkauksilta tai muilta haavoittuvuuksilta. Sen on kehittänyt American Institute of Certified Public Accountants (AICPA).

SOC 2 sisältää 5 erilaista vaatimusryhmää: turvallisuus, saatavuus, käsittelyn eheys, luottamuksellisuus ja yksityisyys. SOC 2 -tarkastus voidaan suorittaa liittyen yhteen tai kaikkiin näistä kriteereistä. Jokaisella kriteereillä on erityisiä vaatimuksia, jotka yrityksen on täytettävä ottamalla käyttöön kontrolleja.

Cyber Essentials

Tietoturva
Julkinen hallinto

Cyber Essentials on UK:n hallinnon tukema tietoturvakehikko. Sen lähestyminen on suoraviivainen ja haltuun otetaan tietoturvan olennaisimmat osat, joiden kautta vähennetään yleisimpien tietoturvahyökkäysten todennäköisyyttä.

  • Tehtäviä ydintiimille liittyen palomuurihallintaan, salasana- ja laitehallinnan käytäntöihin sekä haittaohjelmasuojaukseen ja pääsynhallintaan.
  • Ohjeita työntekijöille turvallisista salasanakäytännöistä ja muista tietoturvallisuuden perusteista.
  • Dokumentaatiota digiturvan kannalta tärkeimmästä tieto-omaisuudesta (kuten tietojärjestelmistä ja laitteista).
Tiimimme työskentelee parhaillaan näiden vaatimuskehikkojen parissa ja ne julkaistaan pian - tulevien viikkojen aikana.
Tulossa pian

Cybersecurity Capability Maturity Model (C2M2)

Julkinen hallinto
Tietoturva

Cybersecurity Capability Maturity Model (C2M2) auttaa organisaatioita arvioimaan tietoturvatasoaan ja optimoimaan tietoturvainvestointejaan.

Se hyödyntää toimialalla yleisesti hyväksyttyjä tietoturvakäytäntöjä, jotka keskittyvät IT- ja OT-näkökulmiin, suojattavan omaisuuden hallintaan sekä tietojenkäsittely-ympäristön hallintaan.

Nämä vaatimuskehikot on suunniteltu tuleville kuukausille. Työkalun sisällä voit äänestää vaatimuskehikkoa, jonka haluat nähdä Digiturvamallissa seuraavana.

Tietoturvasuunnitelma (THL 3/2021)

You can vote for upcoming frameworks inside your own Cyberday account.
Tietoturva

Tietoturvasuunnitelma on dokumentti, jolla sosiaali- ja terveyspalveluiden tuottajat kuvaavat tietoturvan- ja tietosuojan omavalvontaa. Tietoturvasuunnitelman täytyy kuvata kuinka palveluntuottaja täyttää asiakastietolain 27 §:n vaatimukset, joita asiakas- ja potilastietojen käsittelyyn ja niitä käsitteleviin tietojärjestelmiin liittyy. Vaatimuksia ovat mm.

  • tietojärjestelmien käyttäjillä on oltava tarvittava koulutus
  • tietojärejstelmien ylläpitoa toteuttaa vain henkilö, jolla on riittävä ammattitaito
  • järjestelmien käyttöohjeet on saatavilla
  • tietojärjestelmät täyttävät tarkoituksen mukaiset olennaiset vaatimukset
  • tietojärjestelmän tietoturva ja tietosuoja on varmistettava

Payment Card Industry Data Security Standard (PCI DSS)

You can vote for upcoming frameworks inside your own Cyberday account.
Tietoturva

Maksukorttiteollisuuden tietoturvastandardi (PCI DSS) kehitettiin kannustamaan ja parantamaan maksukorttitietojen tietoturvaa ja helpottamaan yhdenmukaisten tietoturvatoimenpiteiden laajaa käyttöönottoa maailmanlaajuisesti.

PCI DSS tarjoaa perustason teknisiä ja toiminnallisia vaatimuksia, jotka on suunniteltu suojaamaan tilitietoja. Vaikka PCI DSS on erityisesti suunniteltu keskittymään ympäristöihin, joissa on maksukorttitietoja, sitä voidaan käyttää toiminnan ohjenuorana myös muissa tietojekäsittely-ympäristön kohteissa.

Cybersecurity Capability Maturity Model (C2M2)

You can vote for upcoming frameworks inside your own Cyberday account.
Julkinen hallinto
Tietoturva

Cybersecurity Capability Maturity Model (C2M2) auttaa organisaatioita arvioimaan tietoturvatasoaan ja optimoimaan tietoturvainvestointejaan.

Se hyödyntää toimialalla yleisesti hyväksyttyjä tietoturvakäytäntöjä, jotka keskittyvät IT- ja OT-näkökulmiin, suojattavan omaisuuden hallintaan sekä tietojenkäsittely-ympäristön hallintaan.

These frameworks are scheduled for the future. You can upvote frameworks on your Cyberday account that you would like to see implemented first.

HIPAA (U.S. Health Insurance Portability and Accountability Act)

You can vote for upcoming frameworks inside your own Cyberday account.
PUBLIC SECTOR
Privacy
Cyber security
Health care

HIPAA is a series of regulatory standards outlining the lawful use and disclosure of protected health information (PHI). HIPAA compliance is regulated in the USA by the Department of Health and Human Services (HHS) and enforced by the Office for Civil Rights (OCR).

CIS 18 (Critical Security Controls)

You can vote for upcoming frameworks inside your own Cyberday account.
Cyber security

CIS18 hallintakeinot kattavat kyberturvallisuuden eri osa-alueet, mukaan lukien haavoittuvuuksien hallinnan, suojatun konfiguroinnin, kulunvalvonnan, häiriöihin reagoimisen ja paljon muuta. Ne on suunniteltu korjaamaan yleisiä haavoittuvuuksia ja tarjoamaan organisaatioille jäsennelty lähestymistapa turvallisuuden vahvistamiseen.

Digital Operational Resilience Act (DORA)

You can vote for upcoming frameworks inside your own Cyberday account.
Cyber security

The Digital Operational Resilience Act (DORA) on EU:n laki digitaalisen toiminnan resilienssistä. DORA:n avulla pyritään saavuttamaan yhtenäinen korkea digiresilienssi EU:n alueella. Se antaa yhtenäiset vaatimukset koskien tietoverkkoja ja -järjestelmiä, jotka tukevat rahoitusalan liiketoimintaprosesseja.

DORA asettaa vaatimuksia mm. suojauksesta, havaitsemisesta, eristämisestä, palautusta ja korjaamista tietoturvatapahtumiin liittyvissä tilanteissa. Lisäksi vaatimuksiin kuuluu laajaa riskien- ja häriöidenhallintaa, kyberuhkien ja haavoittuvuuksien jakaminen, vaatimukset resilienssin testaamisesta ja häiriöiden ilmoittamisesta viranomaisille.

Puuttuuko meiltä teille tärkeä vaatimuskehikko? Kerro siitä!

Täytä lyhyt lomake toivomastasi vaatimuskehikosta, niin tutkimme sitä lisää mahdollisimman pian!
Pyydä uutta vaatimuskehikkoa
Thank you! We received your message and will be in touch if relevant!

Kind regards,
Cyberday team 👋
Oops! Something went wrong while submitting the form.