Kaikkien tietojen käsittelyyn suorasti tai välillisesti osallistuvien kumppanien kanssa laaditaan toimittajasopimus. Tavoitteena on varmistaa, että organisaation ja toimittajan välillä ei ole väärinymmärryksiä osapuolten velvoitteista tietoturvavaatimusten täyttämisessä.
Organisaatio sisällyttää toimittajasopimukseen tarvittaessa seuraavat asiat:
Organisaation on ylläpidettävä listaa kumppaneista, joilla on pääsy luottaumuksellisiin tietoihin. Järjestelmätoimittajat sekä henkilötietojen käsittelijät listataan erillään muista sidosryhmistä, koska heillä on aktiivinen rooli tietojen käsittelyssä.
Organisaation on määritettävä
Organisaation toiminnalle tärkeät asiakasryhmät tai yksittäiset merkittävät asiakkaat ovat yleensä yksi tärkeimmistä sidosryhmistä myös tietoturvallisuuden näkökulmasta. Muita sidosryhmiä tarkastellaan muiden tehtävien kautta.
Organisaation on määritettävä
Tietojärjestelmätoimittajia sekä henkilötietojen käsittelijöitä tarkastellaan muiden tehtävien kautta.
Toimittajayrityksille on nimetty vastuuhenkilö, joka seuraa toimittajan toimintaa, tiedotusta sekä sopimuksen noudattamista.
Vastuuhenkilöllä on oltava riittävät taidot digiturvavaatimusten analysointiin toimittajan kriittisyydestä riippuen. Vastuuhenkilö myös huolehtii, että toimittaja nimittää omalta puoleltaan vastuuhenkilön varmistamaan sopimuksen noudattamisen.
Nimetty vastuuhenkilö seuraa toimittajan toimintaa ja palveluita aktiivisesti, jotta varmistetaan sopimusten tietoturvaehtojen noudattaminen ja tietoturvahäiriöiden asianmukainen hallinta.
Seurantaan sisältyvät seuraavat asiat:
Osallistaessaan alikäsittelijöitä mukaan tarjottuihin pilvipalveluihin liittyvien henkilötietojen käsittelyyn organisaatio varmistaa, että sopimuksissa on selkeästi määritelty alikäsittelijöiltä vaadittavat tekniset ja organisatoriset vähimmäisturvatoimenpiteet.
Organisaation on sisällyttänyt toiminnan jatkuvuuden edellyttämät palvelutasovaatimukset osaksi hankintavaatimuksia ja sopimuksia.
Etenkin kriittisten toimintojen kannalta välttämättömistä tietojenkäsittely-ympäristön osista (mm. näitä toimintoja tukevat tietojärjestelmät ja kumppanit) on tärkeää sopia tavalla, jolla taataan palvelujen riittävä saatavuus. Sopimuksiin voidaan sisällyttää vaatimuksia mm. yleisestä palvelutasosta (SLA) sekä ongelmatilanteista palautumisesta (RPO, RTO).
Organisaation on viestittävä toimittajille heidän roolinsa ja vastuunsa toimitusketjun tietoturvassa. On myös varmistettava, että toimittajat ymmärtävät heille kohdistetut tietoturvaohjeensa sekä mahdolliset muut tietoturvavastuut sopimusten mukaisesti.
Organisaatio listaa relevantit viranomaistoimijat, joihin on tärkeää pitää aktiivisesti yhteyttä sekä tarvittaessa saada yhteys nopeasti. Näitä viranomaisia ovat mm. kansallisia lakeja toimeenpanevat sekä valvontaa toteuttavat viranomaiset.
Relevantteihin viranomaisiin olisi määriteltävä selkeä yhteyshenkilö, joka toimii yhteyspisteenä organisaatioon.
Organisaation tulee ylläpitää aktiivisesti yhteyksiä cloud-toimialaan liittyviin sidosryhmiin ja muihin merkittäviin tekijöihin, jotka liittyvät organisaation toimintaan.
Määrittele osallistumisedellytykset tietojen jakamisjärjestelyissä ja ilmoita osallistumisesta toimivaltaisille viranomaisille.
Arvioidessaan kriittisiä toimintoja tukeviin ICT-palveluihin liittyviä riskejä tulee ottaa huomioon:
Mitä tulee alihankintaan:
Tärkeitä ICT-palveluita koskevien sopimusten tulee sisältää:
Ulkopuolisia tietotekniikkapalveluja ei käytetä ilman tietoturvavaatimusten nimenomaista arviointia ja täytäntöönpanoa:
Ulkoisen IT-palvelun on täytettävä niiden käsittelemien tietojen osalta tarvittavat vaatimukset.
Organisaation on tarkistettava säännöllisin väliajoin, että vain hyväksyttyjä ulkoisia IT-palveluja on käytössä.
Organisaatio koordinoi, miten suhteita yleisöön hoidetaan ottamalla käyttöön jäsennelty ulkosuhteiden ja yleisön hallintaprosessi. Organisaatio nimeää oman ulkosuhteista vastaavan henkilön hoitamaan kaikki mediavuorovaikutukset, käsittelemään haastattelupyyntöjä, käsittelemään puhelinsoittoja ja sähköpostipyyntöjä sekä varmistamaan, että julkisuuteen suunnattu tieto on organisaation toimintaperiaatteiden mukaista.
The organization should establish agreements with relevant third parties to provide consultation if needed during an incident.
These third parties could include, e.g., CERTs (Computer Emergency Response Teams), IT specialists in various fields, and equipment or software providers.
Organization establishes processes and means to handle and share vulnerability disclosures such as:
Vastuuhenkilö seuraa merkittäviä muutoksia toimittajan toiminnassa, jotka voivat vaikuttaa toimittajasuhteeseen ja palveluntarjontaan sekä vaatia täten muita toimenpiteitä. Seuraavat näkökohdat huomioidaan:
Käsittelysopimuksella sidotaan henkilötietoja käsittelevän kumppaniin tekemisiä. Etenkin tärkeiden kumppanien kanssa käsittelysopimuksen sisältöä on syytä analysoida tarkemmin, josta dokumentoidaan oma arvioinsa. Tärkeät kumppanit voivat olla meihin nähden joko henkilötietojen käsittelijöitä tai rekisterinpitäjiä.
Meille voi olla tärkeää esimerkiksi vastuuttaa tärkeää kumppania huolehtimaan salassapitovelvollisuuden varmistamisesta henkilöstölleen sekä rajoittaa toisten henkilötietojen käsittelijöiden (alihankinnan) käyttöä tietoihimme liittyen.
Toimittaja- ja kumppanisopimuksiin tulee sisällyttää vaatimuksia, jotka rajaavat suorasti asiakasympäristöihin vaikuttavia muutoksia.
Muutosten tulisi olla nimenomaisesti hyväksyttyjä sekä palveluntasosopimusten piiriin sisältyviä.
Organisaation tulee ylläpitää aktiivisesti yhteyksiä organisaation toimialaan liittyviin sidosryhmiin ja muihin merkittäviin tekijöihin, jotka liittyvät organisaation toimintaan ja turvallisuuteen.
Tavoitteena etenkin:
Organisaation tulee hankkia luottamuksellisuutta koskevia sitoumuksia:
Lisäksi tulee hankkia yksityisyyssitoumuksia:
sitoumuksien hankkimisen lisäksi organisaation tulee arvioida: