Voit antaa sivustoon liittyvää palautetta lähettämällä sähköpostia osoitteeseen digiturva@dvv.fi.
Toimenpiteet digitaalisen turvallisuuden hallintaan:
Huom! | TASO 1 > TASO 2 |
---|---|
Toimenpiteet on jaoteltu kahdelle tasolle siten, että perustason toimenpiteet toimivat pohjana edistyneemmän tason toimenpiteille. TASO 1: Perustason kyvykkyydet TASO 2: Edistyneemmät kyvykkyydet |
1. | Määrittele organisaation digitaalisen turvallisuuden roolit, vastuut ja valtuudet:
|
2. | Yhdenmukaista digitaalisen turvallisuuden roolit ja vastuut kumppaneiden kanssa, jotta voidaan varmistua digitaalisen turvallisuuden toteutumisesta koko palveluketjun ajan. |
3. | Huomioi johdon vastuut digitaalisesta turvallisuudesta: |
4. | Huomioi eirtyistä luotettavuutta edellyttävät roolit ja tehtävät
|
Lisätietoja
NIST CSF ID.AM-6, ID.GV-2 (englanniksi)
CIS CSC 14, 15, 17 (englanniksi)
ISO/IEC 27001:2022 A.5.2, A.5.4, A.5.19
JulKri HAL-02, TSU-02, TSU-05
Linkit johtavat ulkoisille sivustoille.
ESIMERKKI
Esimerkki: Vastuunjakotaulukko
Vastuunjakotaulukko (RACI-malli) on yksi tapa esittää tehtävät ja niihin liittyvät vastuut tiivistetyssä muodossa. Vastuunjakotaulukon ensimmäiseen sarakkeeseen kirjataan hallintamallin tärkeimmät tehtävät. Seuraavien sarakkeiden otsikkoina ovat hallintamallin tehtävien kannalta merkittävimmät roolit tai sidosryhmät. Kullekin riville merkitään vastuut seuraavasti:
- Kullekin tehtävälle määritellään vähintään yksi tekijä (R – responsible), joka on vastuussa tehtävän käytännön toteuttamisesta.
- Jokaisella tehtävällä on täsmälleen yksi vastuutaho (A – accountable), joka on vastuussa siitä, että tehtävä hoidetaan, ja joka voi tehdä tehtävää koskevia päätöksiä ja hyväksyä tulokset.
- Tarvittaessa voidaan kuvata yksi tai useampi konsultoiva rooli tai sidosryhmä (C – consulted), joilta voidaan saada mielipiteitä tai erityistietoja tehtävän suorittamista varten.
- Tarvittaessa voidaan kuvata yksi tai useampi rooli tai sidosryhmä, jotka tarvitse-
vat tietoa tehtävän suorittamisesta (I – informed).
Tehtävä | Johtoryhmä | Viestintä | Tietoturvavastaava | Valmiusvastaava |
---|---|---|---|---|
Jatkuvuussuunnitelman laatiminen | A | C | C | R |
Strategisten riskien arviointi | R/A | C | C | |
Tietoturvariskien arviointi | A | R | C |
Lähde: Digiturvallisuuden hallinta – tukimateriaali digiturvan kehittäjille
TIETOSUOJAVASTUISTA Henkilötietojen käsittelyprosessissa toimii kaksi pääprofiilia, jotka hoitavat henkilötietojen käsittelyä:
Rekisterinpitäjä on ihminen tai organisaatio, joka määrittelee, mihin tarkoitukseen ja millä tavalla henkilötietoja käsitellään. Rekisterinpitäjä voi olla esimerkiksi jäsenistään tietoja keräävä yhdistys, potilastietoja käsittelevä sairaala, verkkokauppa tai sosiaalisen median palvelu. Henkilötietojen käsittelijä on ihminen tai organisaatio, joka käsittelee henkilötietoja rekisterinpitäjän puolesta. Henkilötietojen käsittelijä voi olla esimerkiksi toisen yrityksen markkinointia hoitava markkinointitoimisto tai IT-palveluntarjoaja, jolla on pääsy rekisterinpitäjän henkilötietoihin. Edellä mainittujen lisäksi organisaatio on voinut nimetä tietosuojavastaavan, joka valvoo henkilötietojen käsittelyä sekä neuvoo henkilötietoja käsitteleviä työntekijöitä heidän velvoitteistaan ja tiedottaa heille niistä. Tietosuojavastaava tekee yhteistyötä myös tietosuojaviranomaisen kanssa ja toimii yhteyshenkilönä tietosuojaviranomaisen ja yksityishenkilöiden välillä. |
1. | Toteuta johdon hyväksymä tietoturvapolitiikka ja jalkauta sen henkilökunnalle sekä asiaankuuluville sidosryhmille. |
2. | Varmista, että tietoturvapolitiikka katselmoidaan ja tarvittaessa päivitetään tietoturvallisuuden vuosikellon mukaisesti. |
Lisätietoja
Tiedonhallintalaki 906/2019: 4§, 13§
NIST CSF ID.GV-1 (englanniksi)
CIS CSC 14 (englanniksi)
ISO/IEC 27001:2022 A.5.1
JulKri HAL-12, TSU-06
Katakri 2020 T-04, T-12
PiTuKri HT-04
VAHTI 2/2008
Linkit johtavat ulkoisille sivustoille.
ESIMERKKI
Esimerkki: Tietoturvapolitiikan sisällysluettelosivusta (ja pari linkkiä hyviin julkisiin tietoturvapolitiikkoihin)
Organisaation tietoturvavaatimukset kirjataan tietoturvapolitiikkaan. Se sisältää yläta-
son linjauksia organisaation tietoturvallisuuden johtamisesta, organisoinnista ja vas-
tuista sekä menettelytavoista. Esimerkkejä tietoturvapolitiikan rakenteesta löytyy ver-
kosta, esimerkiksi:
ESIMERKKI
Esimerkki: Tietoturvapolitiikan sisällysluettelosta
1. Johdanto
2. Tietoturvapolitiikan tavoite
2.1. Tietoturvallisuuden käsite ja merkitys
2.2. Määritelmät
3. Tietoturvatoimintaa ohjaavat tekijät
4. Tietoturvallisuuteen kohdistuvat uhat
5. Tietoturvallisuuden merkitys organisaatiolle
5.1. Toiminnan kannalta elintärkeät palvelutehtävät
5.2. Tietoturvaperiaatteet
5.3. Tietoturvallisuuden toteutumista tukevia käytäntöjä
6. Turvatoimien priorisointi
7. Tietoturvallisuuden hallintajärjestelmä
8. Tietoturvavastuut
8.1. Organisaation tietoturvavastuut
8.2. Organisaation yhteistyökumppaneiden vastuut
9. Tietoturvakoulutus ja -ohjeet
10. Tietoturvallisuudesta tiedottaminen
11. Tietoturvallisuuden toteutumisen valvonta
12. Toiminta poikkeustilanteissa ja -oloissa
1. | Tunnista organisaation toimintaan ja toimialaan kohdistuvat lakisääteiset ja muut vaatimukset. |
2. | Varmista, että organisaation toiminta täyttää lakisääteiset ja muut vaatimukset. |
3. | Tunnista organisaation sidosryhmiin kohdistuvat lakisääteiset ja muut vaatimukset. |
4. | Varmista sopimuksilla, että sidosryhmiin kohdistuvat lakisääteiset ja muut vaatimukset huomioidaan. |
5. | Huomioi Tiedonhallintalautakunnan suositus tiedonhallintamallista (valtioneuvosto.fi) (Kappale 5: Toimintaympäristön kuvaus alkaa tehtävistä). |
6. | Huomioi myös tiedon suojaus koko tiedon elinkaaren ajan. |
7. | Tunnista, milloin, missä ja miten tietosuoja-asetusta sovelletaan organisaatiossasi. |
Lisätietoja
Tiedonhallintalaki 906/2019: 13§, 15§, 17§
NIST CSF ID.GV-3 (englanniksi)
ISO/IEC 27001:2022 A.5.31, A.5.32, A.5.33, A.5.34
JulKri HAL-05, VAR-01, TSU-07
GDPR ja tietosuojalaki
Tietosuojavaltuutetun toimisto
Linkit johtavat ulkoisille sivustoille.
ESIMERKKI
Esimerkki: Terveyden ja hyvinvoinnin laitoksen määräyksestä tietoturvasuunnitelmaan sisällytettävistä vaatimuksista.
Kyseisessä määräyksessä luetellaan sosiaali- ja terveydenhuollon toimijoilta vaadittavaan tietoturvasuunnitelmaan sisällytettävät selvitykset ja vaatimukset sekä ne lakisääteiset ja muut vaatimukset, joiden perusteella määräys on annettu. Määräyksen tavoitteena on varmistaa tietoturvan toteutuminen, tietosuojasääntelyn noudattaminen ja asiakastietojen asianmukainen käsittely niiden toimijoiden keskuudessa, joita määräys koskee.
HENKILÖTIETOJEN KÄSITTELY EU:n yleistä tietosuoja-asetusta sovelletaan, jos:
EU:n kansalaisten tietoja käsittelevien EU:n ulkopuolisten organisaatioiden on nimettävä EU:ssa toimiva edustaja. Organisaation on pystyttävä osoittamaan, että se toimii EU:n yleisen tietosuoja-asetuksen mukaisesti ja täyttää kaikki sovellettavat velvoitteet, erityisesti tietosuojaviranomaisen pyynnöstä tai sen suorittamassa tarkastuksessa. Tämä voidaan tehdä esimerkiksi ylläpitämällä yksityiskohtaista rekisteriä seuraavista tiedoista:
|