Voit antaa sivustoon liittyvää palautetta lähettämällä sähköpostia osoitteeseen digiturva@dvv.fi.
Toimenpiteet tietoisuuteen ja koulutukseen:
Huom! | TASO 1 > TASO 2 |
---|---|
Toimenpiteet on jaoteltu kahdelle tasolle siten, että perustason toimenpiteet toimivat pohjana edistyneemmän tason toimenpiteille. TASO 1: Perustason kyvykkyydet TASO 2: Edistyneemmät kyvykkyydet |
1. | Varmista, että ylin johto ymmärtää roolinsa ja vastuunsa digitaalisen turvallisuuden näkökulmasta. |
2. | Varmista, että johto on sitoutunut ja osoittaa johtajuutta digitaalisen turvallisuuden hallintaan ja kehittämiseen. |
3. | Varmista, että ylin johto laatii ja jalkauttaa organisaatioon tietoturvastrategian ja -politiikan, joka ohjaa myös digitaalista turvallisuutta. |
4. | Käytä apuna Tiedonhallintalautakunnan suositusta johdon vastuiden toteuttamisesta tiedonhallinnassa. |
Lisätietoja
Tiedonhallintalaki 906/2019: 4§, 12§
NIST CSF PR.AT-4 (englanniksi)
CIS CSC 14 (englanniksi)
ISO/IEC 27001:2022 Kappale 5.1, A.5.2, A.5.4
JulKri HAL-01, HAL-02, HAL-12, TSU-02
Katakri 2020 T-01, T-02, T-04, T-05, T-12
PiTuKri TJ-01, HT-04
VAHTI 2/2008, VAHTI 2/2011
Linkit johtavat ulkoisille sivustoille.
1. | Määrittele säännöllinen ja pakollinen digitaalisen turvallisuuden koulutus henkilökunnalle ja kumppaneille, joilla on pääsy organisaation omistamaan tai hallinnoimaan tietoon ja tietojenkäsittely-ympäristöön. |
2. | Tunnista erikois- tai lisäkoulutusta vaativat roolit ja määrittele heille koulutussuunnitelma digitaalisen turvallisuuden osaamisen kehittämiseksi. |
3. | Huomioi koulutuksessa henkilötietojen käsittely. |
4. | Tutustu Digi- ja väestötietoviraston Digiturvallinen elämä -koulutuksiin ja -peliin. |
Lisätietoja
Tiedonhallintalaki 906/2019: 4§
NIST CSF PR.AT-1 (englanniksi)
CIS CSC 14, 16, 17 (englanniksi)
- ISO/IEC 27001:2022 A.6.3, A.8.7
JulKri HAL-13, TSU-06
Katakri 2020 T-04, T-12, I-09, I-18
PiTuKri HT-04, IP-03, JT-04, JT-05, SA-02
VAHTI 2/2008, VAHTI 4/2013
Linkit johtavat ulkoisille sivustoille.
ESIMERKKI
Esimerkkejä: Organisaatioiden koko henkilöstölle tarkoitetuista koulutuksista DVV:n Digiturvallinen elämä -sivustolla
Esimerkki tietosuojan koulutuksesta: Tietosuojan ABC julkishallinnon henkilöstölle (eOppiva)
VINKKI DIGITAALISEN TURVALLISUUDEN KOULUTUKSESTA Säännöllisen ja pakollisen digitaalisen turvalisuuden koulutuksen tavoitteena on antaa organisaation työntekijöille paremmat valmiudet toimia tietoturvallisesti organisaation omaisuuden ja tietojen kanssa. Koulutus tulisi järjestää uusille työntekijöille heidän aloittaessaan ja kaikille organisaation työntekijöille vähintään vuosittain. Digitaalisen turvallisuuden koulutus voi kattaa muun muassa seuraavia teemoja:
|
1. | Määrittele korotettujen oikeuksien käyttäjien (esim. pääkäyttäjät) digitaalisen turvallisuuden vastuut ja valtuudet ja kirjaa ne osaksi käyttäjien työnkuvaa. |
2. | Tunnista erikois- tai lisäkoulutusta vaativat roolit ja määrittele heille koulutussuunnitelma digitaalisen turvallisuuden osaamisen kehittämiseksi. |
3. | Huomioi myös kumppaneiden hallussa olevat korotetut oikeudet (esim. ohjelmistotoimittajien ja ulkoistuskumppaneiden pääkäyttäjäoikeudet) (kts. S12). |
4. | Katso myös Tiedonhallintalautakunnan suositus tiettyjen tietoturvallisuussäännösten soveltamisesta (Kappale 3: Luotettavuuden varmistaminen). |
Lisätietoja
Tiedonhallintalaki 906/2019: 4§, 12§
NIST CSF PR.AT-2 (englanniksi)
CIS CSC 14, 16 (englanniksi)
ISO/IEC 27001:2022 A.5.2, A.6.3
JulKri HAL-02, HAL-12, HAL-13, HAL-14, TSU-05
- Katakri 2020 I-18, T-04, T-12
PiTuKri HT-04, IP-03, JT-05, SA-02
VAHTI 2/2008
Linkit johtavat ulkoisille sivustoille.
1. | Määrittele sekä fyysisen että digitaalisen turvallisuuden henkilöstön digitaalisen turvallisuuden vastuut ja valtuudet ja kirjaa ne osaksi käyttäjien työnkuvaa. |
2. | Tutustu myös Tiedonhallintalautakunnan suositukseen johdon vastuiden toteuttamisesta tiedonhallinnassa. |
Lisätietoja
Tiedonhallintalaki 906/2019: 4§, 12§
NIST CSF PR.AT-5 (englanniksi)
CIS CSC 14 (englanniksi)
ISO/IEC 27001:2022 A.5.2, A.6.3
JulKri HAL-02, HAL-04.1, HAL-06, HAL-12, HAL-13, HAL-14, TSU-05
- Katakri 2020 I-18, T-04, T-12
PiTuKri HT-04, IP-03, JT-05, SA-02
VAHTI 2/2008
Linkit johtavat ulkoisille sivustoille.
1. | Määrittele sidosryhmien (esim. toimittajat, asiakkaat, kumppanit) digitaalisen turvallisuuden vastuut ja valtuudet. |
2. | Varmista, että vastuut ja valtuudet sekä digitaalisen turvallisuuden koulutusvaatimukset on otettu huomioon kumppanisopimuksissa, esimerkiksi tietoturvaliitteellä. |
3. | Huomioi kolmansien osapuolten tekemä henkilötietojen käsittely. |
Lisätietoja
Tiedonhallintalaki 906/2019: 4§
NIST CSF PR.AT-3 (englanniksi)
CIS CSC 15 (englanniksi)
ISO/IEC 27001:2022 A.5.2, A.5.4, A.5.20, A.6.3
- JulKri HAL-02, HAL-04.6, HAL-12, HAL-13, HAL-14, TSU-05
- Katakri 2020 I-18, T-04, T-12
PiTuKri HT-04, IP-03, JT-05, SA-02
VAHTI 2/2008
Linkit johtavat ulkoisille sivustoille.
VINKKI KUMPPANISOPIMUKSISTA
|