Täysi, sertifionnin mahdollistava tietoturvan hallintajärjestelmä. Koko kattaus hallintakeinoja sekä johdon, auditoinnin sekä riskienhallinnan näkökulmat.

• Johdolle suunnatut tehtävät hallintajärjestelmän johtamisesta, riskien arvioinnista ja käsittelystä sekä sisäisestä auditoinnista
• Edistyneet tehtävät mm. hankintaan, fyysiseen tietoturvaan sekä haavoittuvuuksien hallintaan liittyen
• Tarkempi dokumentaatio mm. riskeihin, poikkeamiin sekä parannuksiin liittyen

ISO 27001:2022 on jaoteltu 3 eri tasoon Digiturvamallissa, jotta voitte joko aloittaa pienesti tai päättää suoraan tavoitella sertifiointitasoa.

Täysi, sertifionnin mahdollistava tietoturvan hallintajärjestelmä. Koko kattaus hallintakeinoja sekä johdon, auditoinnin sekä riskienhallinnan näkökulmat.

• Johdolle suunnatut tehtävät hallintajärjestelmän johtamisesta, riskien arvioinnista ja käsittelystä sekä sisäisestä auditoinnista
• Edistyneet tehtävät mm. hankintaan, fyysiseen tietoturvaan sekä haavoittuvuuksien hallintaan liittyen
• Tarkempi dokumentaatio mm. riskeihin, poikkeamiin sekä parannuksiin liittyen

ISO 27001:2013 on jaoteltu 3 eri tasoon Digiturvamallissa, jotta voitte joko aloittaa pienesti tai päättää suoraan tavoitella sertifiointitasoa.

NIST-tietoturvakehikko on yhteistyöhanke, jota koordinoi National Institute of Standards and Technology (NIST, osa Yhdysvaltain kauppaministeriötä) ja johon on osallistunut teollisuuden, yliopistoyhteisön ja hallituksen osallistujia.

Kehikko on suunniteltu auttamaan kriittisen infran omistajia ja operoijia tunnistamaan, arvioimaan ja hallitsemaan tietoturvariskejä.

• Edistyneitä tehtäviä esim. riskien hallintaan ja häiriöiden havaitsemiseen, vastaamiseen ja palautumiseen.
• Edistynyttä dokumentaatiota tietoturvariskeistä
• Yleisiä tietoturvaohjeita työntekijöille, pääkäyttäjille, johdolle sekä muille sidosryhmille.
  

Tietosuoja-asetus määrää vaatimukset lailliselle henkilötietojen käsittelylle ja riittävän tietosuojatason osoittamiselle.

• Tietosuojan ja henkilötietojen käsittelyn ohjeistukset henkilöstölle
• Informointiin, käsittelijöihin sekä loukkasten hallintaan liittyvät tehtävät
• Käsittelyprosessien, tietojen siirron ja vaikutusten arviointien dokumentointi
  

Tiedonhallintalain tarkoituksena on edistää julkisen hallinnon tiedonhallintaa, tietoturvallisuutta sekä digitalisointia.

• Tiedonhallinnan ohjeet eri yksikköjen työntekijöille
• Tehtäviä liittyen tiedonhallinnan vastuuttamiseen, tiedonhallintamallin julkaisuun, muuhun raportointiin, arkistointiin sekä rajanpintojen hallintaan
• Dokumentaatiota toimintaprosesseista, tietojärjestelmistä, tietovarannoista, tietojen käsittelystä sekä näihin liittyvistä riskeistä
  

Tiedonhallintalautakunnan muodostama tietoturvallisuuden arviointikriteeristö, joka on kohdistettu suomalaiselle julkishallinnolle.

Julkri listaa 200 eri tasoista tietoturvakäytäntöä, joiden avulla voidaan käytännössä täyttää mm. tiedonhallintalaissa sekä tietosuoja-asetuksessa säädettyjä käsitellyn tiedon turvallisuuteen kohdistuvia vaatimuksia.

Julkri on jaoteltu 4 eri tasoon Digiturvamallissa, jotta voitte joko aloittaa pienesti tai ottaa mukaan TL IV - I -tasojen täsmäkriteerejä.

ISO 27017 on tietoturvastandardi, joka on kehitetty erityisesti pilvipalveluntarjoajille ja käyttäjille turvallisemman pilvipohjaisen ympäristön luomiseksi ja tietoturvahäiriöiden riskin vähentämiseksi.

• Pilviympäristöön liittyvät tekniset tehtävät ja jaetut vastuut.
• Edistyksellisiä tehtäviä mm. virtualisoinnista ja pilvipalvelujen valvonnasta

ISO 27017 antaa pilvikohtaisia lisäyksiä ISO 27001:een, joten näitä kahta viitekehystä tulee käyttää yhdessä.

ISO 27018 on tietoturvastandardi, joka on kehitetty erityisesti pilvipalveluntarjoajille, jotta voidaan varmistaa riskien arvioiminen ja valvonnan toteuttaminen henkilötietojen suojaamiseksi.

• Henkilötietojen käsittelyyn liittyvät asiakirjat.
• Tehtävät liittyvät tarkoituksen, tietojen ja säilytyksen minimointiin.
• Tietoturvaan liittyvät edistyneet tehtävät henkilötietojen käsittelyn aikana.

ISO 27018 antaa pilvikohtaisia lisäyksiä ISO 27001:een, joten näitä kahta viitekehystä tulee käyttää yhdessä.

Katakria käytetään arvioitaessa kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa. Sitä voidaan käyttää ohjaamaan turvallisuustyötä organisaaiossa, joka haluaa olla valmis viranomaisen toteuttamaan auditointiin.

• Tehtäviä pääkäyttäjille turvallisuusjohtamiseen, fyysiseen turvallisuuteen sekä tekniseen tietoturvaan liittyen.
• Dokumentaatiota tunnistetuista ja arvioiduista tietoturvariskeistä sekä hallintakeinoista.
• Ohjeita työntekijöille turva-alueilla työskentelystä sekä viranomaisten salassa pidettävän tiedon suojaamisesta.
  

Digiturvan kokonaiskuvapalvelu on DVV:n kehittämä ja ylläpitämä palvelu, joka kerää tietoa julkisen hallinnon organisaatioiden digitaalisen turvallisuuden tilanteesta.

Tämän vaatimuskehikon vaatimukset vastaavat palvelussa organisaatiolle esitettäviä, hallinnollisen digitaalisen turvallisuuden tilaa koskevia, väittämiä.

NIS 2 määrittää perustason digiturvallisuusriskien hallintatoimenpiteille ja raportointivelvollisuuksille kaikilla direktiivin kattamilla tärkeillä aloilla, kuten energia-, liikenne-, terveys-, elintarvike-, jäte-, julkishallinnossa ja digitaalisessa infrastruktuurissa – sekä niiden toimitusketjuissa.

NIS 2 tiukentaa sääntöjä ja laajentaa sen soveltamisalaa verrattuna alkuperäiseen NIS-direktiiviin vuodelta 2016. Se myös lisää ylimmän johdon vastuuvelvollisuutta ja tiukentaa seuraamuksia puutteista.

SOC 2 -vaatimuskehikko määrittelee, kuinka organisaatioiden tulee suojata asiakastietoja esimerkiksi luvattomalta käytöltä, tietoturvaloukkauksilta tai muilta haavoittuvuuksilta. Sen on kehittänyt American Institute of Certified Public Accountants (AICPA).

SOC 2 sisältää 5 erilaista vaatimusryhmää: turvallisuus, saatavuus, käsittelyn eheys, luottamuksellisuus ja yksityisyys. SOC 2 -tarkastus voidaan suorittaa liittyen yhteen tai kaikkiin näistä kriteereistä. Jokaisella kriteereillä on erityisiä vaatimuksia, jotka yrityksen on täytettävä ottamalla käyttöön kontrolleja.

Cyber Essentials on UK:n hallinnon tukema tietoturvakehikko. Sen lähestyminen on suoraviivainen ja haltuun otetaan tietoturvan olennaisimmat osat, joiden kautta vähennetään yleisimpien tietoturvahyökkäysten todennäköisyyttä.

• Tehtäviä ydintiimille liittyen palomuurihallintaan, salasana- ja laitehallinnan käytäntöihin sekä haittaohjelmasuojaukseen ja pääsynhallintaan.
• Ohjeita työntekijöille turvallisista salasanakäytännöistä ja muista tietoturvallisuuden perusteista.
• Dokumentaatiota digiturvan kannalta tärkeimmästä tieto-omaisuudesta (kuten tietojärjestelmistä ja laitteista).
  

Tietoturvasuunnitelma on dokumentti, jolla sosiaali- ja terveyspalveluiden tuottajat kuvaavat tietoturvan- ja tietosuojan omavalvontaa. Tietoturvasuunnitelman täytyy kuvata kuinka palveluntuottaja täyttää asiakastietolain 27 §:n vaatimukset, joita asiakas- ja potilastietojen käsittelyyn ja niitä käsitteleviin tietojärjestelmiin liittyy. Vaatimuksia ovat mm.

• tietojärjestelmien käyttäjillä on oltava tarvittava koulutus
• tietojärejstelmien ylläpitoa toteuttaa vain henkilö, jolla on riittävä ammattitaito
• järjestelmien käyttöohjeet on saatavilla
• tietojärjestelmät täyttävät tarkoituksen mukaiset olennaiset vaatimukset
• tietojärjestelmän tietoturva ja tietosuoja on varmistettava
  

Katakria käytetään arvioitaessa kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa. Sitä voidaan käyttää ohjaamaan turvallisuustyötä organisaatiossa, joka haluaa olla valmis viranomaisen toteuttamaan auditointiin.

Tämä vaatimuskehikko on neljäs Katakrista päivitetty versio, joka julkaistiin vuonna 2020.

The Digital Operational Resilience Act (DORA) on EU:n laki digitaalisen toiminnan resilienssistä. DORA:n avulla pyritään saavuttamaan yhtenäinen korkea digiresilienssi EU:n alueella. Se antaa yhtenäiset vaatimukset koskien tietoverkkoja ja -järjestelmiä, jotka tukevat rahoitusalan liiketoimintaprosesseja.

DORA asettaa vaatimuksia mm. suojauksesta, havaitsemisesta, eristämisestä, palautusta ja korjaamista tietoturvatapahtumiin liittyvissä tilanteissa. Lisäksi vaatimuksiin kuuluu laajaa riskien- ja häriöidenhallintaa, kyberuhkien ja haavoittuvuuksien jakaminen, vaatimukset resilienssin testaamisesta ja häiriöiden ilmoittamisesta viranomaisille.

Cybersecurity Capability Maturity Model (C2M2) auttaa organisaatioita arvioimaan tietoturvatasoaan ja optimoimaan tietoturvainvestointejaan.

Se hyödyntää toimialalla yleisesti hyväksyttyjä tietoturvakäytäntöjä, jotka keskittyvät IT- ja OT-näkökulmiin, suojattavan omaisuuden hallintaan sekä tietojenkäsittely-ympäristön hallintaan.

ISO 9001 on maailmanlaajuisesti tunnustettu laadunhallinnan standardi. Se auttaa kaiken kokoisia ja kaikkien toimialojen organisaatioita parantamaan suorituskykyään, vastaamaan asiakkaiden odotuksiin ja osoittamaan sitoutumisensa laatuun.

Kyberturvallisuuslaki säätää tietoturvatoimenpiteistä keskeisiksi tai tärkeiksi nimetyillä toimialoilla sekä kyberturvallisuutta koskevien riskien hallinnasta. Kyberturvallisuuslaki vie Suomessa täytäntöön NIS2 -direktiivin.

TISAX on yritysten tietoturvan arviointi- ja tiedonvaihtojärjestelmä, joka mahdollistaa arviointien tulosten vastavuoroisen tunnustamisen osapuolten kesken.

The CyberFundamentals framework is created by Centre for Cybersecurity Belgium. It provides a set of concrete measures to protect your data, significantly reduce the risk of the most common cyber-attacks, and increase your organisation's cyber resilience. The framework is based on:

• Four commonly used cybersecurity frameworks (NIST CSF, ISO 27001 / ISO 27002, CIS Controls and IEC 62443)
• Anonymized historical data of successful cyber-attacks. Through retro-fitting, we are able to assess what percentage of past attacks the measures of the Framework will protect you against.

The Cyberfundamentals are structured in 4 levels, with a subsequent level containing a little more measures than the previous one each time. A beginner level Small, followed by Basic, Important and Essential. The Essential level contains all the basic information security mesures from previous ones and introduces more advanced controls. The essential level is in line with the NIS2 directive.