Tavoitteet
|
Toimenpiteet digitaalisen turvallisuuden hallintaan:
Huom! | TASO 1 > TASO 2 |
---|---|
Toimenpiteet on jaoteltu kahdelle tasolle siten, että perustason toimenpiteet toimivat pohjana edistyneemmän tason toimenpiteille. TASO 1: Perustason kyvykkyydet TASO 2: Edistyneemmät kyvykkyydet |
T11: Digitaalisen turvallisuuden roolit ja vastuut on määritelty TASO 1 |
1. | Määrittele organisaation digitaalisen turvallisuuden roolit, vastuut ja valtuudet:
|
2. | Yhdenmukaista digitaalisen turvallisuuden roolit ja vastuut kumppaneiden kanssa, jotta voidaan varmistua digitaalisen turvallisuuden toteutumisesta koko palveluketjun ajan. |
3. | Huomioi johdon vastuut digitaalisesta turvallisuudesta: |
4. | Huomioi eirtyistä luotettavuutta edellyttävät roolit ja tehtävät
|
Linkit johtavat ulkoisille sivustoille. |
|
Esimerkki: Vastuunjakotaulukko Vastuunjakotaulukko (RACI-malli) on yksi tapa esittää tehtävät ja niihin liittyvät vastuut tiivistetyssä muodossa. Vastuunjakotaulukon ensimmäiseen sarakkeeseen kirjataan hallintamallin tärkeimmät tehtävät. Seuraavien sarakkeiden otsikkoina ovat hallintamallin tehtävien kannalta merkittävimmät roolit tai sidosryhmät. Kullekin riville merkitään vastuut seuraavasti:
Lähde: Digiturvallisuuden hallinta – tukimateriaali digiturvan kehittäjille |
TIETOSUOJAVASTUISTA Henkilötietojen käsittelyprosessissa toimii kaksi pääprofiilia, jotka hoitavat henkilötietojen käsittelyä:
Rekisterinpitäjä on ihminen tai organisaatio, joka määrittelee, mihin tarkoitukseen ja millä tavalla henkilötietoja käsitellään. Rekisterinpitäjä voi olla esimerkiksi jäsenistään tietoja keräävä yhdistys, potilastietoja käsittelevä sairaala, verkkokauppa tai sosiaalisen median palvelu. Henkilötietojen käsittelijä on ihminen tai organisaatio, joka käsittelee henkilötietoja rekisterinpitäjän puolesta. Henkilötietojen käsittelijä voi olla esimerkiksi toisen yrityksen markkinointia hoitava markkinointitoimisto tai IT-palveluntarjoaja, jolla on pääsy rekisterinpitäjän henkilötietoihin. Edellä mainittujen lisäksi organisaatio on voinut nimetä tietosuojavastaavan, joka valvoo henkilötietojen käsittelyä sekä neuvoo henkilötietoja käsitteleviä työntekijöitä heidän velvoitteistaan ja tiedottaa heille niistä. Tietosuojavastaava tekee yhteistyötä myös tietosuojaviranomaisen kanssa ja toimii yhteyshenkilönä tietosuojaviranomaisen ja yksityishenkilöiden välillä. |
T12: Organisaatio on laatinut tietoturvapolitiikan ja siitä on tiedotettu TASO 1 |
1. | Toteuta johdon hyväksymä tietoturvapolitiikka ja jalkauta sen henkilökunnalle sekä asiaankuuluville sidosryhmille. |
2. | Varmista, että tietoturvapolitiikka katselmoidaan ja tarvittaessa päivitetään tietoturvallisuuden vuosikellon mukaisesti. |
Linkit johtavat ulkoisille sivustoille. |
|
Esimerkki: Tietoturvapolitiikan sisällysluettelosivusta (ja pari linkkiä hyviin julkisiin tietoturvapolitiikkoihin) Organisaation tietoturvavaatimukset kirjataan tietoturvapolitiikkaan. Se sisältää yläta- |
Esimerkki: Tietoturvapolitiikan sisällysluettelosta 1. Johdanto 2. Tietoturvapolitiikan tavoite 2.1. Tietoturvallisuuden käsite ja merkitys 2.2. Määritelmät 3. Tietoturvatoimintaa ohjaavat tekijät 4. Tietoturvallisuuteen kohdistuvat uhat 5. Tietoturvallisuuden merkitys organisaatiolle 5.1. Toiminnan kannalta elintärkeät palvelutehtävät 5.2. Tietoturvaperiaatteet 5.3. Tietoturvallisuuden toteutumista tukevia käytäntöjä 6. Turvatoimien priorisointi 7. Tietoturvallisuuden hallintajärjestelmä 8. Tietoturvavastuut 8.1. Organisaation tietoturvavastuut 8.2. Organisaation yhteistyökumppaneiden vastuut 9. Tietoturvakoulutus ja -ohjeet 10. Tietoturvallisuudesta tiedottaminen 11. Tietoturvallisuuden toteutumisen valvonta 12. Toiminta poikkeustilanteissa ja -oloissa |
T13: Digitaalista turvallisuutta koskevat lakisääteiset ja muut vaatimukset, mukaan lukien yksityisyyttä ja henkilötietojen käsittelyyn liittyvät velvoitteet, on ymmärretty ja hallittu TASO 1 |
1. | Tunnista organisaation toimintaan ja toimialaan kohdistuvat lakisääteiset ja muut vaatimukset. |
2. | Varmista, että organisaation toiminta täyttää lakisääteiset ja muut vaatimukset. |
3. | Tunnista organisaation sidosryhmiin kohdistuvat lakisääteiset ja muut vaatimukset. |
4. | Varmista sopimuksilla, että sidosryhmiin kohdistuvat lakisääteiset ja muut vaatimukset huomioidaan. |
5. | Huomioi Tiedonhallintalautakunnan suositus tiedonhallintamallista (valtioneuvosto.fi) (Kappale 5: Toimintaympäristön kuvaus alkaa tehtävistä). |
6. | Huomioi myös tiedon suojaus koko tiedon elinkaaren ajan. |
7. | Tunnista, milloin, missä ja miten tietosuoja-asetusta sovelletaan organisaatiossasi. |
Linkit johtavat ulkoisille sivustoille. |
|
Esimerkki: Terveyden ja hyvinvoinnin laitoksen määräyksestä tietoturvasuunnitelmaan sisällytettävistä vaatimuksista. Kyseisessä määräyksessä luetellaan sosiaali- ja terveydenhuollon toimijoilta vaadittavaan tietoturvasuunnitelmaan sisällytettävät selvitykset ja vaatimukset sekä ne lakisääteiset ja muut vaatimukset, joiden perusteella määräys on annettu. Määräyksen tavoitteena on varmistaa tietoturvan toteutuminen, tietosuojasääntelyn noudattaminen ja asiakastietojen asianmukainen käsittely niiden toimijoiden keskuudessa, joita määräys koskee. |
HENKILÖTIETOJEN KÄSITTELY EU:n yleistä tietosuoja-asetusta sovelletaan, jos:
EU:n kansalaisten tietoja käsittelevien EU:n ulkopuolisten organisaatioiden on nimettävä EU:ssa toimiva edustaja. Organisaation on pystyttävä osoittamaan, että se toimii EU:n yleisen tietosuoja-asetuksen mukaisesti ja täyttää kaikki sovellettavat velvoitteet, erityisesti tietosuojaviranomaisen pyynnöstä tai sen suorittamassa tarkastuksessa. Tämä voidaan tehdä esimerkiksi ylläpitämällä yksityiskohtaista rekisteriä seuraavista tiedoista:
|