Tämä on NIS2- blogisarjan viimeinen osa. Lue osa 1: NIS2 – taustaa ja syitä direktiivin päivittämiselle ja osa 2: NIS2:n soveltamisala ja tärkeimmät tietoturvavaatimukset
Kuten aiemmissa osissa mainittiin, NIS2 tuo organisaatiolle lukuisia vaatimuksia. Vaatimusten ymmärtäminen ja toimenpiteet niiden täyttämiseksi voi olla työlästä ja hidasta. Digiturvamalli tarjoaa tietoturvan hallintaan kätevän työkalun. Digiturvamallilla organisaatio voi rakentaa selkeän ja toimivan tietoturvan hallintajärjestelmän.
Aloita työskentely vaatimustenmukaisuutta kohti
Työskentelyn aloittaminen on helppoa. Aktivoi NIS2 vaatimuskehikko Digiturvamallissa. Avaa Organisaation työpöytä ja klikkaa Vaatimuskehikot -> Lisää tai muokkaa
Jaa vastuuta organisaation sisällä
Vaatimusten täyttäminen on helpompaa kun työskentelette tiiminä. Voit lisätä käyttäjiä ja delegoida eri vastuita käyttäjille. Lue lisää käyttäjänhallinnasta Digiturvamallissa. Vastuun jakaminen on helppoa, voit asettaa teemoille omistajat suoraan Organisaation työpöydältä. Lue lisää vastuun jakamisesta Digiturvamallissa.
Tehtävien kautta työtä edistetään ja todisteita synnytetään
Digiturvamallin avulla voit tunnistaa mm. tunnistaa riskejä, dokumentoida tietojärjestelmiä, kumppaneita, prosesseja sekä palveluita ja kasvattaa varmuutta Digiturvamallin tehtävien ja politiikoiden avulla. Suureen osaan tehtävistä on saatavilla esimerkkitoteutus, josta voi ottaa mallia omassa toteutuksessa.
Kun avaat teeman, näet listan politiikoista. Politiikat sisältävät eri tehtävät, joita organisaation tulee suorittaa varmuuden kasvattamiseksi ja direktiivin vaatimusten täyttämiseksi. Teemassa näet politiikoiden lisäksi liittyvät dokumentaation osat, raportit sekä työntekijöille jaeltavat ohjeet. Politiikoissa voi aktivoida tehtäviä tai siirtää ne tilaan "Ei relevantti", jos tehtävä ei ole organisaatiolle oleellinen. Voit myös lisätä organisaatiolle sopivia tehtäviä itse. Lue lisää tehtävistä Digiturvamallissa.
Hallitse riskejä
Liittyvät vaatimus NIS2 direktiivissä: 21.2-4
Riskein tunnistaminen Digiturvamallissa on helppoa automaattisen riskien tunnistuksen ansiosta. Uusia riskejä tunnistetaan kun uusia tehtäviä aktivoidaan politiikoihin. Näet kaikki tietoturvariskit listattuna, jonka avulla voit työskennellä riskien parissa helposti.
Voit esikäsitellä riskit, esimerkiksi tunnistaa liittyvän omaisuuden ja tehtävät, jotka liittyvät riskienhallintaan. Kun riski on tunnistettu ja esikäsitelty, voit siirtyä riskin arviointiin ja riskienhallintaan. Löydät Digiturvamallista ohjeita riskin kortin täyttämiseen. Vastaa kortin kysymyksiin ja liitä tarvittavat tehtävät sekä muut kohteet.
Kun olet merkinnyt kaikki kortin osat valmiiksi, voit sulkea kortin. Kun riski on käsitelty, voit varmistua sen valvonnasta esimerkiksi asettamalla uuden tarkastusajankohdan kortin yläreunasta. Lue lisää tietoturvariskien hallinnasta Digiturvamallissa.
Häiriöiden hallinta
Liittyvät vaatimukset NIS2 direktiivissä: 23.1
Digiturvamallissa työntekijät voivat ilmoittaa havaitsemastaan häiriöstä suoraan työkalun sisällä Ohjekirja-sivulla.
Pääkäyttäjät näkevät ilmoitukset häiriöistä omalla käyttäjällään ja voivat alkaa toimiin samantien. Lue lisää häiriöiden hallinnasta Digiturvamallista.
Tuotantoketjun turvallisuus
Liittyvät vaatimukset NIS2 direktiivissä: 21.1d ja 21.3
Digiturvamallissa voit tehdä kumppanihallinnasta systemaattista. Voit dokumentoida mm. järjestelmäntoimittajat ja henkilötietojenkäsittelijät raportointia varten ja määritellä niille omistajat, joiden kyseisiä kumppanisuhteita on tarkoitus huoltaa. Lisäksi voit dokumentoida sopimusten tilaa.
Kumppanihallinnan politiikoissa tarkennetaan omia toimintatapoja, joilla kumppanien digiturvatasosta pyritään riittävissä määrin varmistumaan.
Olemme tuomassa Digiturvamalliin mukaan myös uusia ominaisuuksia kumppanivalvontaan, joiden kautta määritellyille kumppaneille voidaan lähettää tietoturvakysely halutulla tarkkuudella, ja näin kerätä lisätodisteita kumppanin valmiustasosta.
Paranna työntekijöiden osaamista
Liittyvä vaatimus NIS2 direktiivissä: 20.2
Digiturvamalli tarjoaa erilaisia työkaluja kouluttaa työntekijöitä. Työkalu eroaa muista tietoturvan hallintajärjestelmistä. Toisin kuin useimmati tietoturvan hallintajärjestelmät, Digiturvamallia ei käytetä vain vaatimustenmukaisuuden täyttämiseen. Työntekijöiden osaaminen on olennainen osa tietoturvaa ja siksi olemme luoneet työkalun Digiturvamalliin, joka ei ainoastaan tarjoa, vaan myös seuraa työntekijöiden koulutusta. Jokainen työntekijäsi saa Digiturvamalliin oman Ohjekirjan. Ohjekirjassa on kaikki ohjeet, jotka on erityisesti tehty kyseiselle työntekijälle hänen roolinsa perusteella. Esimerkiksi jos työntekijä on henkilöstöosastolla, hänelle tarpeelliset ohjeet varmasti eroavat IT-osaston työntekijöiden kanssa. Voit valita, kuka näkee mitkäkin ohjeet. Työntekijäsi pystyvät lukemaan ja hyväksymään ohjeet sekä saavat muistutuksia niiden uudelleen lukemisesta kerran vuodessa. Voit myös aktivoida case-esimerkkejä ja taitotestejä Digiturvamallissa työntekijöidesi osaamisen vahvistamista varten. Pääkäyttäjänä voit seurata koulutuksen ja hyväksynnän tilaa milloin tahansa varmistaaksesi, että työntekijäsi pitävät organisaation turvassa. Lue lisää ohjekirjasta ja sen käytöstä.
Todista vaatimustenmukaisuus raporteilla
Yksi tärkeä askel aineiston keräämisessä auditointia varten on raportointi. Voit luoda raportteja edistymisestä itsellesi, tiimillesi tai esimerkiksi kumppaneille, asiakkaille tai johtoryhmälle. Digiturvamalli tarjoaa laajan valikoiman eri raporttipohjia. Valitse haluamasi pohja ja raportti muodostuu automaattisesti. Voit myös luoda raportteja eri kielillä. Lue lisää Digiturvamallin raportointityökalusta.
Seuraa edistymistä
Yksi erinomainen tapa seurata edistymistä on Vaatimusten soveltuvuus ja toteutus raportti. Raportin osat muuttuvat virheiksi, kun täytät tehtäviä. Tavoitteena on luoda raportista kokonaan vihreä, jolloin organisaatiosi on valmis auditointiin.
Palautetta tai kysyttävää?
Jos sinulla on lisää kysyttävää, tiimiimme voi olla yhteydessä chatin kautta tai sähköpostitse tiimi@digiturvamalli.fi. Otamme myös mielellämme vastaan palautetta Digiturvamallin käytöstä.