Voit antaa sivustoon liittyvää palautetta lähettämällä sähköpostia osoitteeseen digiturva@dvv.fi.
- Created by Pelttari Tuomas (DVV) on 09.12.2022
1 Tunnistaminen (”Mitä suojattavaa meillä on?”)
Tunnistamisvaiheen tavoitteena on, että organisaatio on tunnistanut oman toimintaympäristönsä sekä toiminnan mahdollistavat ja toiminnan jatkuvuuteen liittyvät kriittiset suojattavat kohteet ja omaisuuden. Lisäksi organisaatio tunnistanut näihin kohdistuvat uhat ja riskit sekä niiden mahdollisen vaikutuksen toimintaansa.
Oman toimintaympäristön ja suojattavien kohteiden tunnistaminen on ensimmäinen osa digitaalisen turvallisuuden arkkitehtuurin muodostamista. Toimenpiteet, kuten kohteiden suojaus tai poikkeamien havainnointi voidaan tehdä vain, mikäli oma ympäristö tunnetaan riittävän hyvin.
Tunnistamisen lopputuloksena muodostuu kuvaus oman organisaation digitaalisesta ympäristöstä, kuten
- Järjestelmistä, tietovarannoista, laitteista ja niiden sisältämästä tiedosta
- Toimintaympäristöstä ja toimintaa ohjaavista tekijöistä kuten lainsäädännöstä
- Digitaalisen turvallisuuden hallintamallista, kuten käytännöistä ja suunnitelmista
- Digitaalisen ympäristön uhkista, riskeistä ja niiden hallintakeinoista
Oleellista digitaalisen turvallisuuden arkkitehtuurin kannalta on, että tunnistamisvaiheessa erityisiä suojaamisen, havainnoinnin, reagoinnin tai palautumisen toimenpiteitä vaativat kohteet kyetään määrittämään.
TUNNISTAMINEN | SUOJAUTUMINEN | HAVAINNOINTI | REAGOINTI | PALAUTUMINEN |
---|---|---|---|---|
Toimintaympäristön tunnistaminen | Identiteetin- ja pääsynhallinta | Poikkeamanhallinnan organisointi | Poikkeamien analysointi | Poikkeamista toipuminen |
Suojattavan omaisuuden hallinta | Tietoisuus ja koulutus | Poikkeamien havaitseminen | Tietoturvatiedon jakaminen ja viestintä | Viestintä |
Digitaalisen turvallisuuden hallinta | Tiedon suojaus | Poikkeamien käsittely | Jatkotoimenpiteet | |
Riskienhallinta | Tietojenkäsittely-ympäristöjen suojaus | |||
Tietojärjestelmien hankinta ja elinkaari | ||||
Muutoshallinta | ||||
Fyysisen toimintaympäristön suojaus | ||||
Jatkuvuus ja varautuminen |
TOIMINTAYMPÄRISTÖN TUNNISTAMINEN
Organisaation rooli toimitusketjussa on tunnistettu ja tiedotettu
Organisaation merkitys osana toimialan kriittistä infrastruktuuria on tunnistettu ja tiedotettu
Organisaation tehtävän, tavoitteiden ja toiminnan prioriteetit on määritetty ja tiedotettu
Kriittisten palveluiden tuottamisen riippuvuudet ja niihin liittyvät kriittiset toiminnot on määritetty
Kriittisten palveluiden tuottamista tukevat jatkuvuus- ja varautumisvaatimukset on määritelty
Toimintaympäristöön kohdistuvat sisäiset ja ulkoiset uhat on tunnistettu ja dokumentoitu
SUOJATTAVAN OMAISUUDEN HALLINTA
Organisaatio on tunnistanut fyysisen tietojenkäsittely-ympäristönsä (laitteet, järjestelmät, tietovarannot)
Organisaatio on tunnistanut ohjelmistoalustat, ohjelmistot, tietojärjestelmät ja tietovarannot
Organisaatio on tunnistanut tietovirtansa
Organisaation käyttämät ulkoiset järjestelmät on luetteloitu
Tunnistetut suojattavat kohteet on luokiteltu niiden kriittisyyden ja toiminta-arvon perusteella
DIGITAALISEN TURVALLISUUDEN HALLINTA
Organisaatio on laatinut tietoturvapolitiikan ja siitä on tiedotettu
Digitaalisen turvallisuuden roolit ja vastuut on määritelty ja yhdenmukaistettu sisäisten roolien ja ulkoisten kumppaneiden kanssa
Digitaalista turvallisuutta koskevat lakisääteiset ja muut vaatimukset, mukaan lukien yksityisyyttä ja henkilötietojen käsittelyyn liittyvät velvoitteet, on ymmärretty ja hallittu
RISKIENHALLINTA
Riskienhallinta
Riskienhallinnan periaatteet on laadittu, hallinnoitu ja sovittu organisaation sidosryhmien kanssa
Organisaation riskinsietokyky on määritetty ja tiedotettu
Hallinnointi- ja riskienhallintaprosesseissa käsitellään myös digitaalisen turvallisuuden riskejä
Tietojärjestelmien, komponenttien ja palvelujen toimittajat ja kolmannet osapuolet on tunnistettu, priorisoitu ja arvioitu toimitusketjun digitaalisen turvallisuuden riskienhallintaprosessin avulla
Suojattavan omaisuuden haavoittuvuudet on tunnistettu ja dokumentoitu
Mahdolliset vaikutukset toimintaan on tunnistettu ja niiden todennäköisyys on arvioitu
Uhka-, haavoittuvuus-, todennäköisyys- ja vaikuttavuustietoa käytetään riskin merkityksen arviointiin
Riskienhallintakeinot on tunnistettu ja priorisoitu
Organisaation sidosryhmät ovat tunnistaneet, määrittäneet, arvioineet ja sopineet toimitusketjun digitaalisen turvallisuuden riskienhallintaprosesseista sekä hallinnoivat niitä
Sopimuksilla toimittajien ja kolmansien osapuolten kanssa varmistetaan toimenpiteet, joilla toteutetaan organisaation toimitusketjun digitaalisen turvallisuuden ja siihen liittyvän riskienhallintasuunnitelman tavoitteita
Toimittajien, kumppaneiden ja kolmansien osapuolten sopimusvelvoitteiden täyttyminen arvioidaan säännöllisesti auditoinnein tai vastaavien arviointien avulla
- No labels
Voit antaa sivustoon liittyvää palautetta lähettämällä sähköpostia osoitteeseen digiturva@dvv.fi.