Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja
Akatemian etusivu
Blogit
Tietosuojamallista päivittyi Digiturvamalli

GDPR:n myötä tietosuojasta tuli teema, joka sai organisaatioita liikkeelle ja huomioimaan asetuksen korostamia asioita, mm. tietosuojaviestintää, tietoturvaloukkausten käsittelyä, koulutusta sekä omien henkilötietojen kartoittamista.

Edistyneet organisaatiot ovat kokoajan nähneet tietosuojan ja tietoturvan yhtenä kokonaisuutena, josta me käytämme nykyään nimitystä digiturva. Toisaalta liian moni on hoitanut "tietosuojaprojektin maaliin" hallinnollisena haasteena, jossa tuunattiin papereita, eikä kajottu arjen käytäntöihin.

Toisaalta liian moni on hoitanut "tietosuojaprojektinsa maaliin" hallinnollisena haasteena, jossa tuunattiin papereita, eikä kajottu arjen käytäntöihin.

Tietosuoja-asetus vaatii tietoturva-asioiden hoitamista, mutta tarjoaa vähän tukea siihen, miten tämä pitää tehdä. Tietosuojamalli laajentui kesäkuussa 2019 Digiturvamalliksi, jotta voimme tarjota mahdollisimman valmiin toimintamallin sekä tietosuoja- että tietoturva-asioihin.

Tässä kirjoituksessa yhteenveto uudistuksista, joita Digiturvamalli sai päivityksen yhteydessä.

Uudistettu työpöytä = Digiturvakartta

Digiturvakartta tiivistää koko digiturvan "yhdelle slaidille", joskin taustalta löytyy iso määrä ohjeistavaa ja esimerkkejä antavaa materiaalia. Kartta on luotu vuosien kokemuksemme ja useiden vaatimuskehikkojen pohjalta (ISO 27001, GDPR, NIST, VAHTI, jne.).

Digiturvakartasta löytyy paljon sisältöä osoitteesta https://digiturvamalli.fi/konsepti

Kartan ideana on tarjota mahdollisimman valmis toimintamalli digiturva-asioihin, jossa riskienhallintaa on jo sisäänrakennettu kartan logiikkaan mm. tasoajattelun avulla. Karttaan voi kuka tahansa tutustua tarkemmin Digiturvamalli.fi-sivustolla.

Digiturvamalli-ohjelmiston avulla kartasta luodaan oma digiturvasuunnitelma, jota vastuutetaan, valvotaan ja raportoidaan.
Digiturvamallin työpöytä näyttää digiturva-asioiden tilan

Digiturvamallin avulla viet kartan asiat käytäntöön, ja näytät digiturvan olevan kunnossa, seuraavasti:

1. Luo oma digiturvasuunnitelma valitsemalla teille tärkeät kohdat ja oma tavoitetaso


2. Vastuuta osa-alueita eri henkilöille


3. Valvo totetusta


4. Raportoi digiturvan tilasta

P.s. Kun klikkaat itsenne työpöydältä haluamaasi kohtaan, avautuu oikealta ohjeartikkeli. Ohjeista saat vinkkejä kartan eri osa-alueiden hoitoon. Kun olet jo vanha konkari, voit klikata ohjeartikkelit pois päältä.

Sisällöissä sama käyttöidea - laajennuksia tietoturvapuoleen ja käytäntöihin

Vaikka työpöytä on isoilta osin uusi, Digiturvamallin toiminta muuten on pysynyt hyvin muuttumattomana. Asioita vastuutetaan ja dokumentoidaan edelleen samaan tapaan kuin ennenkin, ja raportointikin on vanhaa tuttua.

Teimme lisäksi pieniä muutoksia, jotka yhtenäistävät työpöydän ja muiden osien toimintaa. Rakenne Dokumentaatio-kohdassa on hieman uudistunut, jotta se on synkassa työpöydän kanssa. Lisäksi Toteutus-sivu on poistunut. Sen asioista Ohjaustehtävät löytyy Työnhallinta-kohdan alta nimellä "Vuosikello" ja muut asiat näkyvät suoraan työpöydällä.

Digiturvakäytännöt

Digiturvakartan oikea yläreuna käsittelee erilaisia käytäntöjä, joita toteuttamalla luottamuksellisia tietoja pyritään suojaamaan. Näihin liittyen Digiturvamalliin on tullut iso kasa esimerkkikäytäntöjä mukaan, joita voitte hyödyntää omassa toiminnassanne.

Käytännöt jakautuvat kolmeen päälaariin:

  • Yleiset käytännöt (mm. sopimukset, toimittajien valvonta)
  • Tekniset käytännöt (mm. salaus, teknisten haavoittuvuuksien hallinta)
  • Henkilöstön käytännöt (mm. salasanahallinta, koulutus)

Voit perehtyä teemoihin lisää esimerkiksi Digiturvakartan avulla tai suoraan tutustumalla Digiturvamallin pohjasisältöihin kussakin listassa.

Jokaisessa listassa näet esimerkkejä tämän teeman digiturvaa parantavista käytännöistä

Käytäntöjä voi hyödyntää ennakoivasti tai reagoimalla todettuihin ongelmiin, joista seuraavana esiteltävät tietoturvahäiriöt ovat yksi esimerkki.

Tietoturvahäiriöt

Yksi tapa kehittää omaa digiturvatoimintaa on tunnistaa herkästi häiriöitä, käsitellä ne järjestelmällisesti ja luoda uusia käytäntöjä, joilla vakavat häiriöt estetään jatkossa.

Digiturvamallissa kaikkiin digiturvaongelmiin, kuten häiriöihin, tunnistettuihin riskeihin tai tietoturvaloukkauksiin, on tarkoitus kohdistaa käytäntöjä, joilla näihin ongelmiin reagoidaan. Tämä onnistuu nyt helpommin, kun näiden asioiden korteilla on yksi selkeä paikka, jonne liittyvät käytännöt voi kirjata, kuuluivatpa ne mihin tahansa Digiturvamallin käytäntöjä käsittelevään kohtaan.

Häiriöön kirjataan mahdolliset käytännöt, joilla sama ongelma pyritään estämään jatkossa
Käytännöt voi poimia samaan paikkaan kaikista käytäntöjä sisältävistä listoista

Lue lisää häiriöiden käsittelystä >>

Käsittelysopimukset

Käsittelysopimukset ovat pakollisia henkilötietojen käsittelijän ja rekisterinpitäjän välillä. Etenkin tärkeiden kumppaneiden kanssa tarkempi sopimuksen analyysi voi oilla tarpeen.

Lue lisää käsittelysopimuksista >>

Integraatiot

Tietojen käsittelyyn liittyvien tietovirtojen ymmärtäminen on oleellista, kun yhä useammin tiedot virtaavat automatisoidusti järjestelmien välillä ympäri maailmaa. Jatkossa integraatioiden raportointiin tulee kohdistumaan lisää vaatimuksia.

Lue lisää integraatioiden käsittelystä >>

Raportit (mm. Tietotilinpäätös) kehittyivät

Digiturvamalli-päivityksen yhteydessä päivitimme myös raportointia.

Tietotilinpäätös viimeistelty

Tietotilinpäätöstä viimeisteltiin ennen kesää kehittämällä siihen tärkeänä osana liittyvää mittarointia. Nyt "Seuranta ja mittaaminen" -lukuun ilmestyy automaattisesti tärkeimpiä digiturvatyön mitattavia asioita. Graafit kuvaavat määrien kehitystä viimeisen 12 kuukauden ajalta raportin ottamisesta.

Tietotilinpäätöksen "Seuranta ja mittaaminen" -lukua täydennettiin

Muita raportteja päivitetty

Muita raportteja on päivitetty tukemaan laajennettua sisältörakennetta. Esimerkiksi "Organisaation digiturvakäytännöt" -raportti listaa nyt yhteen raporttiin kaikki käytännöt, kuuluivatpa ne mihin tahansa listaan.

Palautetta, kysyttävää, kommentteja?

Haluamme ehdottomasti kuulla, mitä tykkäätte Digiturvamallista ja mitä seuraavia asioita toivotte meiltä digiturvatyönne tueksi. Kommentoidaksesi tai kysyäksesi mistä tahansa asiasta tarkemmin, tavoitat meidät chatissa työkalun "Chat-tuki" -kohdasta, perinteisesti sähköpostitse tai vaikkapa Twitterissä!

Sisältö

Jaa artikkeli