Voit antaa sivustoon liittyvää palautetta lähettämällä sähköpostia osoitteeseen digiturva@dvv.fi.
Toimenpiteet tietoturvatiedon jakamiseen ja viestintään:
Huom! | TASO 1 > TASO 2 |
---|---|
Toimenpiteet on jaoteltu kahdelle tasolle siten, että perustason toimenpiteet toimivat pohjana edistyneemmän tason toimenpiteille. TASO 1: Perustason kyvykkyydet TASO 2: Edistyneemmät kyvykkyydet |
1. | Määritä käytännöt, joilla varmistetaan digitaalisen turvallisuuden poikkeamien raportointi mahdollisimman nopeasti ja asiaankuuluvaa kanavaa käyttäen. |
2. | Varmista, että kaikki työntekijät ja kumppanit ovat tietoisia velvollisuudestaan raportoida digitaalisen turvallisuuden tapahtumista mahdollisimman nopeasti ja he tuntevat raportointikäytännöt. |
3. | Tunnista myös lainsäädännön puolelta tulevat vaatimukset raportointiin liittyen (esim. EU: yleinen tietosuoja-asetus ja tietosuojalainsäädäntö). |
Lisätietoja
Tiedonhallintalaki 906/2019: 4.2§, 13§, 15.1§
NIST CSF RS.CO-2 (englanniksi)
CIS CSC 17 (englanniksi)
ISO/IEC 27001:2022 A.5.5, A.6.8
JulKri HAL-08, TEK-13
Katakri 2020 T-06, T-07
PiTuKri TJ-04, TJ-05
VAHTI 2/2012, VAHTI 2/2016, VAHTI 8/2017 (kappale 6.3)
Linkit johtavat ulkoisille sivustoille.
HENKILÖTIETOJEN TIETOTURVALOUKKAUKSISTA ILMOITTAMINEN Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta. Jos tietoturvaloukkaus tapahtuu ja loukkaus aiheuttaa riskin henkilön oikeuksille ja vapauksille, siitä on ilmoitettava tietosuojaviranomaiselle 72 tunnin kuluessa tietoon tulleesta loukkauksesta. Riippuen siitä, aiheutuuko tietoturvaloukkauksesta suurta riskiä kyseisille henkilöille, organisaatio voidaan myös velvoittaa ilmoittamaan tapauksesta heille kaikille. |
1. | Dokumentoi jatkuvuus- ja varautumissuunnitelmiin viestintäkäytännöt, joilla poikkeamaan reagointitilanteessa jaetaan tietoa sisäisille ja ulkoisille sidosryhmille. |
2. | Määritä, miten poikkeaman jälkianalyysitilanteessa jaetaan tietoa digitaalisen turvallisuuden parantamiseksi. |
Lisätietoja
Tiedonhallintalaki 906/2019: 4.2§, 13§, 15.1§
NIST CSF RS.CO-3 (englanniksi)
CIS CSC 17 (englanniksi)
ISO/IEC 27001:2022 Kappale 7.4, A.6.8
JulKri HAL-08, TEK-13, VAR-03
Katakri 2020 T-06, T-07
PiTuKri TJ-04, TJ-05
VAHTI 2/2012, VAHTI 2/2016, VAHTI 8/2017 (kappaleet 3.3-3.7, 5.3, 6.2)
Linkit johtavat ulkoisille sivustoille.
1. | Määritä kriittisten suojattavien kohteiden jatkuvuus- ja varautumissuunnitelmiin sidosryhmien koordinointivastuut ja -menettelyt kun reagoidaan digitaalisen turvallisuuden poikkeamiin. |
2. | Huomioi sidosryhmien vastuut myös kumppanisopimuksissa. |
Lisätietoja
NIST CSF RS.CO-4 (englanniksi)
CIS CSC 17 (englanniksi)
ISO/IEC 27001:2022 Kappale 7.4
JulKri HAL-08, TEK-13, VAR-03
Linkit johtavat ulkoisille sivustoille.
1. | Tunnista digitaalisen turvallisuuden osaamisyhteisöt, muut turvallisuusasiantuntijaryhmät ja ammatilliset järjestöt, jotka ovat merkityksellisiä organisaation digitaalisen turvallisuuden kannalta. |
2. | Tee tarvittessa tiedonjakamissopimus turvallisuusyhteistyön ja -koordinoinnin parantamiseksi. Varmista, että tiedonjakamissopimuksessa otetaan huomioon luottamuksellisen tiedon suojaamista koskevat vaatimukset. |
3. | Ilmoita digitaalisen turvallisuuden poikkeamista myös viranomaisille. Kyberturvallisuuskeskuksen CERT-toiminnon tehtävänä on ennaltaehkäistä tietoturvaloukkauksia ja tiedottaa tietoturva-asioista. |
Lisätietoja
NIST CSF RS.CO-5 (englanniksi)
ISO/IEC 27001:2022 A.5.6
Linkit johtavat ulkoisille sivustoille.
ESIMERKKI
Esimerkkejä: Digitaalisen turvallisuuden tiedonvaihtosidosryhmistä
Kyberturvallisuuskeskuksen tilannekuva- ja verkostot:
- Kyberturvallisuuskeskuksen harjoitustoiminta
- ISAC-tiedonvaihtoryhmät
- NIS-yhteistyöryhmät
- Tietoturvan standardointiverkosto
HENKILÖTIETOPYYNTÖÖN VASTAAMINEN Jos organisaatio vastaanottaa pyynnön henkilöltä, joka haluaa käyttää oikeuksiaan, pyyntöön on vastattava ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Tätä vastausaikaa voidaan jatkaa kahdella kuukaudella, jos pyyntö on monimutkainen tai niitä on useita. Henkilölle on ilmoitettava vastausajan jatkamisesta. Pyynnöt on käsiteltävä maksutta. Jos pyyntö hylätään, henkilölle on ilmoitettava hylkäyksen syistä ja hänen oikeudestaan tehdä kantelu tietosuojaviranomaiselle. |