Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

8.1.1
ISO 27017

ISO 27017

Muita saman teeman digiturvatehtäviä

Asiakastietojen riittävän erottelun ja suojan varmistaminen ulkoisissa IT-palveluissa

Critical
High
Normal
Low

Organisaatiolla on oltava menettely, jolla varmistetaan, että ulkoisessa palvelussa on tehokas ympäristöjen (palveluntarjoajan asiakkaiden) erottelu, jotta estetään luvaton pääsy organisaation omaan ympäristöön.

Palveluntarjoajien erottelumenettely on dokumentoitava ja sen täytyy olla mukautettavissa muutoksiin. Seuraavat seikat tulisi ottaa huomioon:

  • Tietojen erottelu
  • Toiminnot
  • Asiakaskohtaiset ohjelmistot
  • Käyttöjärjestelmät
  • Tallennusjärjestelmät
  • Verkkoyhteydet

Myös riskiarviointi tulisi olla tehty koskien ulkopuolisten ohjelmistojen käyttöä jaetussa ympäristössä.

5.3.4: Information protection in external IT services
TISAX

Asiakkaan auttaminen tietosuojapyyntöjen käsittelyssä

Critical
High
Normal
Low

Organisaation tulisi mahdollistaa asiakkaalle rekisteröityjä koskevien velvoitteiden täyttämisen.

A.8.3: Obligations to PII principals
ISO 27701
A.8.3.1: Obligations to PII principals
ISO 27701

Tietojen toimittaminen asiakkaan tietosuojavelvoitteiden täyttämistä varten

Critical
High
Normal
Low

Organisaation tulisi toimittaa asiakkaalle tarvittavat tiedot, jotta asiakas pystyy osoittamaan täyttävänsä velvollisuutensa.

A.8.2.5: Customer obligations
ISO 27701

Organisaation rooli kriittisessä infrastruktuurissa

Critical
High
Normal
Low

Organisaation oma paikka ja rooli kriittisessä infrastruktuurissa on määritelty ja kommunikoidaan eteenpäin tarpeellisille osapuolille.

Tärkeää on tunnistaa, onko yhteiskunta laajemmin riippuvainen organisaation tuottamista palveluista. Toiminnan tällainen kriittisyys voi lisätä esimerkiksi hybridi- ja informaatiovaikuttamisen riskejä ja korostaa niihin varautumisen tarvetta.

ID.BE-2: Place in critical infrastructure
NIST
71: Organisaation roolin tunnistaminen
Kokonaiskuva (DVV)
ID.BE-2: The organization’s place in critical infrastructure and its industry sector is identified and communicated.
CyFun

Organisaation rooli toimitusketjussa

Critical
High
Normal
Low

Organisaation oma rooli toimitusketjussa on määritelty ja se kommunikoidaan eteenpäin tarpeellisille kumppaneille.

ID.BE-1: Role in supply chain
NIST
ID.BE-1: The organization’s role in the supply chain is identified and communicated.
CyFun

Hallinnollisten tietovirtojen kuvaaminen

Critical
High
Normal
Low

Organisaation on kuvattava viestintään liittyvät hallinnolliset tietovirrat. Hallinnollisten tietovirtojen kuvaus täydentään järjestelmien välisten integraatioiden kuvaamista.

ID.AM-3: Communication and data flows
NIST
ID.AM-3: Organizational communication and data flows are mapped.
CyFun

IPR-valitusprosessi tarjottuihin digipalveluihin liittyen

Critical
High
Normal
Low

Pilvipalvelun tarjoajan tulee luoda prosessi immateriaalioikeuksia koskeviin valituksiin vastaamiseksi.

18.1: Lainsäädäntöön ja sopimuksiin sisältyvien vaatimusten noudattaminen
ISO 27017
18.1.2: Immateriaalioikeudet
ISO 27017
18: Vaatimustenmukaisuus
ISO 27017

Pilvipalvelukohtaisten resurssien turvallinen hävittäminen

Critical
High
Normal
Low

Pilvipalveluita tarjoaessaan organisaatiolla on oltava käytössään menettelyt palveluntarjonnassa käytettyjen resurssien turvalliseen hävittämiseen tai mahdolliseen uudelleenkäyttöön, kuten:

  • Välineet
  • Laitteet
  • Tietovarasto
  • Tiedostot
  • Muisti

Pilvipalveluita hyödyntäessään asiakasorganisaation tulee varmistaa turvallinen hävittäminen pyytämällä pilvipalveluntarjoajalta vahvistus näistä toimenpiteistä.

11: Fyysinen turvallisuus ja ympäristön turvallisuus
ISO 27017
11.2: Laitteet
ISO 27017
11.2.7: Laitteiden turvallinen käytöstä poistaminen ja kierrättäminen
ISO 27017
PR.DS-3: Asset management
NIST
PR.DS-3: Assets are formally managed throughout removal, transfers, and disposition.
CyFun

Digipalveluasiakkaiden hallinnoimien tietojen dokumentointi

Critical
High
Normal
Low

Tarjotessaan pilvipalveluita asiakkaille organisaation tulee tunnistaa ja listata asiakkaan hallitsemiin pilvipalveluihin liittyvät tiedot. Näillä viitataan ulkopuolisiin tietopankkeihin.

Organisaation on myös inventoitava pilvipalvelun tarjoamisen kautta luotuja tietoja. Organisaatio voi hallita niitä ja listata järjestelmädokumentaatiossa ulkoisten tietopankkien sijaan.

8.1.1: Suojattavan omaisuuden luetteloiminen
ISO 27017

Selkeä viestintä organisaation sekä tiedon tallennuspaikkojen sijainneista tarjottujen digipalvelujen näkökulmasta

Critical
High
Normal
Low

Pilvipalveluita tarjoaessaan organisaation tulee tiedottaa asiakkaalle selkeästi ja aktiivisesti organisaation maantieteellisestä sijainnista ja maista, joissa asiakkaan tietoja säilytetään.

Nämä tiedot voivat auttaa asiakasta esimerkiksi määrittämään asiaankuuluvat valvontaviranomaiset ja lainkäyttöalueet pilvipalvelua hyödyntäessään.

6.1: Sisäinen organisaatio
ISO 27017
6.1.3: Yhteydet viranomaisiin
ISO 27017

Yksityiskohtaiset kuvaukset toteutetuista turvatoimenpiteistä tarjottaviin pilvipalveluihin liittyvissä sopimuksissa

Critical
High
Normal
Low

Kun organisaatio tarjoaa asiakkailleen pilvipalveluita, tulee palveluntarjoajan ja asiakkaan välisessä sopimuksessa määritellä selkeästi tietoturvan varmistamiseksi toteutetut tekniset ja organisatoriset toimenpiteet.

Sopimuksessa tulee myös mainita, että tietoja ei käsitellä muuhun tarkoitukseen kuin rekisterinpitäjän ohjeiden mukaisesti.

Pilvipalveluita tarjoaessaan palveluntarjoajan tulee olla läpinäkyvä tietoturvatoimenpiteistään sopimuksen solmimisprosessin aikana. Asiakkaan vastuulla on kuitenkin viime kädessä varmistaa, että palveluntarjoajan toteuttamat toimenpiteet täyttävät sen velvoitteet.

A.11.11: Contract measures
ISO 27018
15: Suhteet toimittajiin
ISO 27017
15.1: Tietoturvallisuus toimittajasuhteissa
ISO 27017
15.1.2: Toimittajasopimusten turvallisuus
ISO 27017

Asiakaslähtöinen kuvaus tarjottujen pilvipalvelujen henkilötietojen palautus-, siirto- ja hävitysprosesseista

Critical
High
Normal
Low

Tarjottuihin pilvipalveluihin liittyvät henkilötiedot tulee hävittää asianmukaisesti ja tallennusrajoitusperiaatteita noudattaen. Hävittäminen voi sisältää tietojen palauttamisen asiakkaalle pyynnöstä, siirtämisen toiselle yritykselle (esim. sulautumisen seurauksena) tai joko tuhoamisen, anonymisoimisen tai arkistoinnin turvallisesti.

Organisaatiolla tulee olla selkeä kirjallinen kuvaus henkilötietojen säilytysajasta sekä palautus-, siirto- ja hävitysmekanismeista. Tämä kuvaus tulee olla asiakkaan saatavilla.

Tätä kuvausta käyttämällä asiakkaan tulee pystyä ymmärtämään, kuinka organisaatio varmistaa, että sopimuksen nojalla käsitellyt henkilötiedot poistetaan (myös minkä tahansa sen alihankkijan toimesta) kaikista tallennuspaikoista (mukaan lukien esim. varmuuskopiointitarkoitukset) heti, kun ne on poistettu. ei ole enää asiakkaalle välttämätön.

A.10.3: PII return, transfer and disposal
ISO 27018
A.8.4.2: Return, transfer, or disposal of PII
ISO 27701

Rekisteröidyn oikeuksien helpottaminen tarjottujen digipalvelujen kautta

Critical
High
Normal
Low

Pilvipalvelun asiakas toimii usein henkilötietojen rekisterinpitäjänä ja on vastuussa rekisteröidyn oikeuksien toteuttamisesta, esimerkiksi pääsystä tietoihin ja niiden korjaamisesta tai poistamisesta. Pilvipalveluntarjoajan tulee tarjota asiakkaalle tarvittavat keinot tämän mahdollistamiseksi.

Organisaatio on määritellyt toimenpiteet, joilla tarjotaan pilvipalveluissa rekisterinpitäjiä autetaan rekisteröidyn oikeuksien toteuttamisessa. Tämä voi sisältää esimerkiksi pilvipalvelun ominaisuuksia tai manuaalisia tukitoimenpiteitä.

Asiaankuuluvat tiedot ja mahdolliset helpotukseen liittyvät tekniset toimenpiteet on määriteltävä asiaa koskevassa sopimuksessa.

A.2.1: Obligation to co-operate regarding PII principals’ rights
ISO 27018
A.2: Consent and choice
ISO 27018

Dokumentoidut toimintatavat ja valvonta kriittisille pääkäyttäjätehtäville tarjotuissa pilvipalveluissa

Critical
High
Normal
Low

Kriittiset järjestelmänvalvojan toiminnot tarkoittavat toimintoja, joissa vika voi aiheuttaa peruuttamatonta vahinkoa pilvilaskentaympäristön omaisuudelle.

Kriittiset järjestelmänvalvojan toiminnot voivat sisältää esimerkiksi virtualisoituihin laitteisiin (esim. palvelimet, verkot, tallennus) liittyvät muutokset, lopetusmenettelyt, varmuuskopiointi ja palautus.

Kaikkien tarjottujen pilvipalveluiden kriittiset järjestelmänvalvojan toiminnot dokumentoidaan. Myös kriittisten järjestelmänvalvojatoimintojen suorittamisen menettelyt on dokumentoitu etukäteen tarvittavalla tarkkuudella.

Aina kun kriittinen järjestelmänvalvojan toiminto suoritetaan, dokumentaatiossa nimetty valvoja valvoo toimintaa.

Pilvipalvelun tarjoajan on tarjottavien pilvipalvelujen osalta toimitettava asiakkaiden vaatiessa dokumentaatio kriittisistä järjestelmänvalvojan toiminnoista ja toimenpiteistä.

CLD 12.1: Operational procedures and responsibilities
ISO 27017
CLD 12.1.5: Administrator's operational security
ISO 27017

Asiakkaan virtuaaliympäristöjen erottelu suhteessa tarjottuihin pilvipalveluihin

Critical
High
Normal
Low

Pilvipalveluita tarjottaessa pilvipalveluasiakkaan virtuaaliympäristö tulee erottaa ja suojata muista asiakkailta ja asiattomilta henkilöiltä.

Tämän varmistamiseksi organisaation tulee varmistaa pilvipalvelun asiakastietojen, virtualisoitujen sovellusten, käyttöjärjestelmien, tallennustilan ja verkon asianmukainen looginen erottelu.

Erottelun tulisi myös varmistaa pilvipalvelun tarjoajan sisäisen hallinnon erottaminen pilvipalveluasiakkaiden käyttämistä resursseista.

CLD 9.5.1: Segregation in virtual computing environments
ISO 27017

Tarjottujen pilvipalveluiden ja tietojärjestelmien tietoturvavastuiden dokumentointi

Critical
High
Normal
Low

Pilvipalveluita hyödyntäessä tai tarjottaessa turvallisuusvastuita voi olla sekä palveluntarjoajalla että asiakkaalla. Palveluntarjoaja voi vastata teknisestä kyberturvallisuudesta, mutta esim. asiakas pääsynhallinnasta ja turvallisen käytön ohjeistamisesta.

Vastuut jaetuista tietoturvarooleista tarjottavia pilvipalveluita ja pilvipohjaisten tietojärjestelmien hyödyntämistä kohtaan on määriteltävä ja dokumentoitava selkeästi sekä pilvipalvelun asiakkaan että palveluntarjoajan toimesta.

6: Tietoturvallisuuden organisointi
ISO 27017
CLD 6.3: Relationship between cloud service customer and cloud service provider
ISO 27017
CLD 6.3.1: Shared roles and responsibilities within a cloud computing environment
ISO 27017
6.1: Sisäinen organisaatio
ISO 27017
6.1.3: Yhteydet viranomaisiin
ISO 27017

Ohjelmistopalomuurin käyttö tarjottujen digipalvelujen suojaamiseksi

Critical
High
Normal
Low

Organisaation kaikkien palvelinten suojana tulisi olla oikein konfiguroitu ohjelmistopalomuuri, joka tarkkailee liikennettä, hyväksyy säännöt täyttävän liikenteen sekä toteuttaa käyttäjien valvontaa.

WAF:in (web application firewall) avulla tulisi suojata tarjottuja digipalveluja hyökkäyksiltä (kuten SQL injection).

2.5.6: Protect particularly critical services with their own data flow
NSM ICT-SP

Tarjottujen digipalvelujen listaus ja omistajien nimeäminen

Critical
High
Normal
Low

Organisaation on ylläpidettävä listaa tarjotuista digipalveluista sekä näille nimetyistä omistajista. Omistaja vastaa palvelun tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti palveluun.

Digipalveluun liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

  • Tarjotun digipalvelun tyyppi, palvelukategoria sekä käyttötarkoitus
  • Tietojen rekisterinpitäjä sekä liittyvät käsittelysopimukset
  • Palvelun toimitusketjuun liittyvät avainkumppanit ja turvallisuuvastuiden jakautuminen (käsitellään tarkemmin erillisessä tehtävässä)
A.2.1: Obligation to co-operate regarding PII principals’ rights
ISO 27018
A.2: Consent and choice
ISO 27018
6: Tietoturvallisuuden organisointi
ISO 27017
CLD 6.3: Relationship between cloud service customer and cloud service provider
ISO 27017
CLD 6.3.1: Shared roles and responsibilities within a cloud computing environment
ISO 27017

Tarjottuihin digipalveluihin liittyvät sopimusehdot

Critical
High
Normal
Low

Organisaation tarjoamiin digipalveluihin liittyvät sopimusehdot on kartoitettu ja dokumentoitu. Sopimusehtoihin sisältyvät vähintään seuraavat kohdat:

  • Tarjotun palvelun luonne ja laajuus
  • Tietoturvallisuusvaatimukset (sisältäen jaetun turvallisuuden mallin)
  • Muutostenhallintamenettelyn kuvaus
  • Tallennetut lokit ja niiden valvonta
  • Häiriöiden hallinnan ja ilmoittamisen toimintatavat
  • Oikeus auditointiin ja kolmannen osapuolen arviointiin
  • Yhteensopivuus
  • Tietosuojavaatimukset ja kuvaukset henkilötietojen käsittelystä
  • Palvelun päättäminen
A.3.1: Public cloud PII processor’s purpose
ISO 27018

Tarjottujen digipalvelujen toimitusketjuun kuuluvien kumppaneiden dokumentointi

Critical
High
Normal
Low

Organisaation on dokumentoitava selkeästi kaikki digipalvelut, joita se tarjoaa pilvipalvelumallin mukaisesti asiakkailleen.

Digipalvelujen dokumentaation on sisällettävä palvelun toimitusketjuun liittyvät kumppanit. Kumppanilistauksen on sisällettävä tukevat palvelut (kuten IaaS esim. AWS tai MS Azure), pääasiallisen palveluntarjoajan toimitusketjuun sisällyttämät muut kumppanit (esim. ulkoistettu kehitys) sekä varsinaista palvelua täydentävät muut palvelut (mm. IDaaS, CDN).

Toimitusketjuun liittyvää dokumentaatiota voidaan jatkossa hyödyntää tarkemman turvallisuusvastuujaon tarkastelemiseksi.

A.8: Openness, transparency and notice
ISO 27018
A.8.1: Disclosure of sub-contracted PII processing
ISO 27018
15.1.3: Tieto- ja viestintätekniikan toimitusketju
ISO 27017
A.8.5.6: Disclosure of subcontractors used to process PII
ISO 27701
A.8.5.7: Engagement of subcontractor to process PII
ISO 27701

Toimenpiteet tietoturvatavoitteiden toteutukseksi tarjotuissa palveluissa

Critical
High
Normal
Low

Organisaation tulee asettaa hallintakeinoja tietoturvatavoitteiden toteutumiseksi tarjotuissa palveluissa. Hallintakeinoissa tulee ottaa huomioon:

  • Tiedon käsittelyn vaatimukset
  • Tarvittava tietojen käsittely
  • Tuotantovirheiden havaitseminen ja korjaaminen
  • Tietojenkäsittelyn loki
  • Tietojen syöttämisen kokonaisuus, tarkkuus ja ajantasaisuus
PI1.3: Procedures for system processing to produce results accodring to objectives
SOC 2

Järjestelmiin tulevan tiedon kokonaisuuden ja tarkkuuden varmistaminen

Critical
High
Normal
Low

Organisaation on asetettava hallintakeinoja, joilla varmistetaan järjestelmiin tulevan tiedon kokonaisuus ja tarkkuus. Tätä varten tulisi määrittää:

  • Tulevan tiedon tarvittavat ominaisuudet
  • Tulevan tiedon lähteiden arviointi
  • Tuleva tiedon lokitus ja lokin ylläpito
PI1.2: Implementation of policies and procedures for system inputs
SOC 2

Tarjottujen palveluiden tai tuotteiden ylläpitoon tarvittavan tiedon määrittely

Critical
High
Normal
Low

Kun tietoja toimitetaan osana palvelua tai tuotetta tai osana tuotetta tai palveluun liittyvää raportointivelvollisuutta on tietojen määritelmä oltava tietojen käyttäjien saatavilla.

Tietojen määritelmä sisältää seuraavat tiedot:

  • Tietoon sisältyvien tapahtumien tai tapausten määrä
  • Tietojen kunkin elementin (esimerkiksi kentän) sisältämän tiedon tyyppi (tapahtuma, johon kentän tieto liittyy)
  • Tietojen lähteet
  • Tietoelementtien (esimerkiksi kenttien) mittayksikkö(t)
  • Mittauksen tarkkuus
  • Epävarmuus tai luottamusväli, joka on luontainen jokaiselle tietoelementille
  • Tietoon liittyvän tapahtuman päivämäärä tai ajanjakso
  • Muuttujat (päivämäärän/ajanjakson lisäksi), joilla voidaan määritellä kohteiden sisällyttämistä tietoelementteihin
PI1.1: Definitions of processed data
SOC 2

Toimenpiteet palveluiden tietojen siirtymiseen tietoturvatavoitteiden mukaisesti

Critical
High
Normal
Low

Organisaation on otettava käyttöön käytäntöjä ja menettelytapoja, jotta palveluista ulos tuleva tieto on kokonaista ja oikea-aikaista. Menettelytavoissa on otettava huomioon:

  • Ulos tulevan tiedon suojaaminen, säilytettäessä tai siirrettäessä, varkaudelta, tuhoutumiselta, muokkaamiselta tai muulta tiedon eheyteen vaikuttavalta tapahtumalta
  • Ulos tuleva tieto jaetaan vain tarkoitetuille kohteille
  • Ulos tulevan tiedon lokitus
PI1.4: Procedures for availability accodring to objectives
SOC 2

Tarjottujen digipalvelujen toimitusketjuun kuuluvien kumppaneiden säännöllinen turvallisuusarviointi

Critical
High
Normal
Low

Organisaation on määriteltävä turvallisuusarviointi ja toteutettava se tarjottujen digipalveluiden toimitusketjuun kuuluville kumppaneille säännöllisesti.

Tällä tulisi varmistaa tarjottaiven palvelujen turvallisuuteen vaikuttavien kumppanien vaatimustenmukaisuus ja sitä kautta sopimusehtojen täyttyminen.

ID.SC-3: Contracts with suppliers and third-party partners
NIST
21.2.d: Supply chain security
NIS2
9.4 §: Toimitusketjun hallinta ja valvonta
KyberTL
ID.SC-3: Contracts with suppliers and third-party partners are used to implement appropriate measures designed to meet the objectives of an organization’s cybersecurity program and Cyber Supply Chain Risk Management Plan.
CyFun
ID.SC-4: Suppliers and third-party partners are routinely assessed using audits, test results, or other forms of evaluations to confirm they are meeting their contractual obligations.
CyFun