Tavoitteet

Tietojenkäsittely-ympäristöön tehtävät muutokset, kuten tietojärjestelmien kehitys ja ylläpito, teollisuuden ohjausjärjestelmien huolto ja korjaukset sekä tietoverkkojen ja tietoliikennelaitteiden ylläpito suoritetaan sovittujen käytänötjen ja menettelytapojen mukaisesti, joiden tarkoituksena on varmistaa tietojenkäsittely-ympäristön toimivuuden lisäksi myös vaadittavan turvallisuustason ylläpito.

Toimenpiteet muutoshallintaan:

Huom!

TASO 1 > TASO 2

Toimenpiteet on jaoteltu kahdelle tasolle siten, että perustason toimenpiteet toimivat pohjana edistyneemmän tason toimenpiteille.

TASO 1: Perustason kyvykkyydet

TASO 2: Edistyneemmät kyvykkyydet

S27: Muutoshallintaprosessi on määritelty TASO 1

1.	Määrittele tietojenkäsittely-ympäristöön ja sen konfiguraatioon tehtäviin muutoksiin muutoshallintaprosessi, joilla muutokset saadaan tehtyä hallitusti ja konfiguraatio ylläpidettyä.
2.	Varmista, että muutoshallinta kattaa organisaatioon, toimintaprosesseihin, tietojenkäsittelypalveluihin, tietojärjestelmiin ja laitteisiin tehtävät muutokset ja niiden konfiguraatiot.
3.	Varmista, että kumppaneiden ja sidosryhmien muutoshallintaprosessit tukevat organisaation omaa muutoshallintaa.
4.	Tutustu myös seuraaviin suosituksiin: Tiedonhallintalautakunnan suositus tiedonhallinnan muutosvaikutusten arvioinnista. Tiedonhallintalautakunnan suositus tiettyjen tietoturvallisuussäännösten soveltamisesta (Kappale 5: Tiedon elinkaaren huomioiminen tietojärjestelmissä).

Lisätietoja

Tiedonhallintalaki 906/2019: 13§
NIST CSF PR.IP-3 (englanniksi)
ISO/IEC 27001:2022 A.8.9, A.8.19, A.8.32
JulKri TEK-17
Katakri 2020 I-08, I-16
PiTuKri JT-02, MH-01

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

Organisaation muutoshallintaprosessi
Tiedonhallintamalli

S28: Organisaation suojattavan omaisuuden ylläpito ja niihin liittyvät korjaukset suoritetaan ja kirjataan hyväksytyillä ja valvotuilla työkaluilla TASO 2

1.	Määrittele menettelyt, joilla varmistetaan kriittisten kohteiden saatavuus ja eheys ylläpito- ja korjaustoimien aikana.
2.	Määrittele järjestelmäkohtaisesti ylläpitokäytännöt ja hyväksytyt työkalut.
3.	Varmista, että etäyhdeydet ovat käytössä ainoastaan tarvittaessa, mikäli ylläpitotoimenpiteitä tehdään etäyhteyksien kautta.
4.	Varmista, että ylläpitotoimenpiteet voidaan yksilöidä identiteettiin.
5.	Varmista, että ylläpitomenettelyt on otettu huomioon kumppanisopimuksissa.

Lisätietoja

Tiedonhallintalaki 906/2019: 17§
NIST CSF PR.MA-1, PR.MA-2 (englanniksi)
CIS CSC 13
ISO/IEC 27001:2022 A.5.19, A.5.22, A.7.2, A.7.9, A.7.13, A.8.10
JulKri FYY-02, TEK-04, TEK-10, TEK-14, TEK-17, TEK-18
Katakri 2020 F-03, I-08, I-17, I-18, I-21
PiTuKri IP-03, JT-05, SA-02, SI-02

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

Järjestelmäkohtaiset ylläpitokäytännöt
Hyväksyttyjen työkalujen listaus
Etäkäyttöpolitiikka ja -ohjeistus
Verkkoarkkitehtuuri
Digitaalisen turvallisuuden vaatimukset kumppanisopimuksiin

Space shortcuts

Page tree

Tavoitteet

TASO 1 > TASO 2

S27: Muutoshallintaprosessi on määritelty TASO 1

1.

2.

3.

4.

Tiedonhallintalaki 906/2019: 13§

NIST CSF PR.IP-3 (englanniksi)

ISO/IEC 27001:2022 A.8.9, A.8.19, A.8.32

Katakri 2020 I-08, I-16

PiTuKri JT-02, MH-01

Linkit johtavat ulkoisille sivustoille.

Organisaation muutoshallintaprosessi

Tiedonhallintamalli

S28: Organisaation suojattavan omaisuuden ylläpito ja niihin liittyvät korjaukset suoritetaan ja kirjataan hyväksytyillä ja valvotuilla työkaluilla TASO 2

1.

2.

3.

4.

5.

Tiedonhallintalaki 906/2019: 17§

NIST CSF PR.MA-1, PR.MA-2 (englanniksi)

CIS CSC 13

ISO/IEC 27001:2022 A.5.19, A.5.22, A.7.2, A.7.9, A.7.13, A.8.10

PiTuKri IP-03, JT-05, SA-02, SI-02

Linkit johtavat ulkoisille sivustoille.

Järjestelmäkohtaiset ylläpitokäytännöt

Hyväksyttyjen työkalujen listaus

Etäkäyttöpolitiikka ja -ohjeistus

Verkkoarkkitehtuuri

Digitaalisen turvallisuuden vaatimukset kumppanisopimuksiin