Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja
Aiheet
Alkuun pääsy
ISO 27001
NIS2
Tiedonhallinta
Jatkuva parantaminen
Tiimin yhteistyö
Dokumentointi
Henkilöstön ohjeet
Raportointi
Tehtävien hallinta
Yhteisö
Asetukset & advanced
Kokeilu ja tilaus
Käyttäjähallinta
Tuotteen tietoturva
Vaatimuskehikkojen hallinta
Henkilöstöturvallisuus
Riskien hallinta
Sisäinen auditointi
Työskentely kumppanina
GDPR
Näytä kaikki aiheet
Webinaarit
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Intro NIS2-direktiiviin, Kyberturvallisuuslakiin sekä Digiturvamalli-työkaluun
Näytä kaikki webinaarit
Videot
Automatisoi henkilöstön tietoturvaohjeistus Teamsissa
Digiturvamallin yleisesittely
Dokumentoi oma tietojenkäsittely-ympäristö yhteistyössä
GDPR & ISO 27701:n hyvät käytännöt
ISO 27001 ja henkilöstön osaaminen
ISO 27001 ja riskien hallinta
ISO 27001 ja sertifiointiauditoinnin avainasiat
ISO 27001:n yleisesittely
Luo tehokas tietoturvariskien hallinnan toimintamalli
NIS2:n yleisesittely
Oman ISMS:n jatkuva parantaminen
Paranna omaa tietoturvasuunnitelmaa jatkuvasti
Tiedonhallintamalli ja riskien hallinta
Tiedonhallintamalli ja tietoturvatoimenpiteet
Tiedonhallintamallin perusteet
Näytä kaikki videot
Ohjeet
Asennus ja integraatiot
Dokumentaatio
Kumppaneille
Käyttäjähallinta
Muut ominaisuudet
Ohjeiden hallinta
Pääkäyttäjälle
Raportointi
Tehtävien hallinta
Vaatimuskehikot
Näytä kaikki ohjeet
Blogit
DORA: Esittely, soveltamisala ja keskeiset vaatimukset
Cyberday mukana Cyber Security Nordicissa 2024!
Tietoturva toimitusketjujen riskienhallinnassa
Vaatimustenmukaisuudesta yhteistyöhön: Miten NIS2 kannustaa vahvempaan toimitusketjun tietoturvayhteistyöhön?
Agendium Oy on nyt Cyberday Oy!
Näytä kaikki blogit
Sisältökirjasto
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Unfortunately something went wrong. You can contact us at team@cyberday.ai.
Digiturvamalli.fi
Kokeile
Kirjaudu
Sisältökirjasto
Tekninen tietoturva
Varmuuskopiointi

Omien varmuuskopiointiprosessien dokumentointi ja vastuuttaminen

Tehtävän vaatimuskuvaus

Kuvaamme tietojärjestelmälistauksen yhteydessä, minkä järjestelmien suhteen vastuu varmuuskopioinnin toteutuksesta on itsellämme. Organisaation omalla vastuulla olevat varmuuskopiointiprosessit on dokumentoitu ja jokaiselle on määritelty omistaja. Dokumentaatio sisältää mm.:

  • millä järjestelmällä ja kuinka usein varmuuskopiot toteutetaan?
  • kuinka varmuuskopiot suojataan (salaus, fyysinen sijainti)?
  • kuinka pitkään varmuuskopiot säilytetään?

Tehtävään liittyvät digiturvavaatimukset

12.3: Varmuuskopiointi
ISO27 Täysi
12.3.1: Tietojen varmuuskopiointi
ISO27 Täysi
2.9.1: Plan for regular backups of all the organisation’s data
NSM ICT-SP

Esimerkkikuvaus toteutuksesta

Organisaation käyttämien tietojärjestelmien varmuuskopiointiprosessit dokumentoidaan organisaation digiturvan hallintajärjestelmässä. Tietojärjestelmille merkityt omistajat vastaavat dokumentaation täydentämisestä ja tehtävän omistaja ohjeistaa heitä tarvittaessa.

Varmuuskopiointiprosessit dokumentoidaan oletuksellisesti vain omassa kehityksessä / ylläpidossa oleville järjestelmille, mutta tehtävän omistaja voi halutessaan ottaa kysymyksen käyttöön kaikille järjestelmille.

Tehtävän omistaja katselmoi varmuuskopiointiprosessien kokonaislistausta säännöllisesti varmistaakseen, että se on tarkka, ajantasainen sekä johdonmukainen.

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

12.3
ISO27 Täysi

ISO 27001 (2013): Täysi

12.3.1
ISO27 Täysi

ISO 27001 (2013): Täysi

2.9.1
NSM ICT-SP

NSM ICT Security Principles (Norway)

21.2.c
NIS2

NIS2-direktiivi

47
Kokonaiskuva (DVV)

Digiturvan kokonaiskuvapalvelu (DVV)

5.2.9
TISAX

TISAX: Information security

8.13
ISO27k1 Täysi

ISO 27001 (2022): Täysi

9.10 §
KyberTL

Kyberturvallisuuslaki (NIS2)

A1.2
SOC 2

SOC 2 (järjestelmät ja organisaation hallintakeinot)

Article 12
DORA

Digital Operational Resilience Act (DORA)

I-20
Katakri 2020

Katakri 2020

I24
Katakri

Katakri 2015

PR.IP-4
NIST

NIST Cybersecurity Framework

PR.IP-4
CyFun

CyberFundamentals (Belgia)

RESPONSE-4
C2M2: MIL1

C2M2: MIL1

TEK-20
Julkri

Julkri: TL IV-I

Muita saman teeman digiturvatehtäviä

Omien varmuuskopiointiprosessien dokumentointi ja vastuuttaminen

Critical
High
Normal
Low

Kuvaamme tietojärjestelmälistauksen yhteydessä, minkä järjestelmien suhteen vastuu varmuuskopioinnin toteutuksesta on itsellämme. Organisaation omalla vastuulla olevat varmuuskopiointiprosessit on dokumentoitu ja jokaiselle on määritelty omistaja. Dokumentaatio sisältää mm.:

  • millä järjestelmällä ja kuinka usein varmuuskopiot toteutetaan?
  • kuinka varmuuskopiot suojataan (salaus, fyysinen sijainti)?
  • kuinka pitkään varmuuskopiot säilytetään?
Katso esimerkkikuvaus toteutuksesta tehtävän sivulla
I24: Varmuuskopiointi
Katakri
12.3.1: Tietojen varmuuskopiointi
ISO27 Täysi
12.3: Varmuuskopiointi
ISO27 Täysi
PR.IP-4: Backups
NIST
TEK-20: Varmuuskopiointi
Julkri

Varmuuskopioiden säännöllinen testaus, arviointi ja palautusohjeet

Critical
High
Normal
Low

Varmuuskopiointiin käytettäviä tietovälineitä ja varmuuskopioiden palauttamista testataan säännöllisesti, jotta voidaan varmistua siitä, että hätätilanteessa niihin voidaan luottaa.

Varmuuskopioiden palauttamisesta ylläpidetään tarkkoja ja täydellisiä ohjeita. Toimintaohjeiden avulla seurataan varmuuskopioiden toimintaa ja varaudutaan varmuuskopioiden epäonnistumiseen.

Katso esimerkkikuvaus toteutuksesta tehtävän sivulla
12.3: Varmuuskopiointi
ISO27 Täysi
12.3.1: Tietojen varmuuskopiointi
ISO27 Täysi
12.1.1: Dokumentoidut toimintaohjeet
ISO27 Täysi
PR.IP-4: Backups
NIST
TEK-20: Varmuuskopiointi
Julkri

Salassa pidettävää tietoa sisältävien varmuuskopioiden suojaus (ST III-II)

Critical
High
Normal
Low

Varmuuskopioinnin tavoitteena on rajata menetettävän tiedon määrää ja pystyä palauttamaan tiedot tarpeeksi nopeasti ja luotettavasti.

Suojaustasoilla III-II toteutetaan seuraavat toimenpiteet varmuuskopioiden suojaamiseksi:

  • Varmuuskopiot käsitellään ja säilytetään niiden elinkaaren ajan vähintään ko. suojaustason järjestelmissä
  • Käsiteltäessä samalla varmistusjärjestelmällä tarkastusoikeuden varaavien eri omistajien tietoja, tarkastusoikeuden mahdollistavat erottelumenettelyt on toteutettava ko. suojaustason mukaisesti varmistusjärjestelmän liittymien ja tallennemedioiden osalta
  • Varmuuskopioiden siirtämiseen sovelletaan samoja toimintatapoja kuin muun tietoaineiston siirtämiseen
  • Varmistusmediat hävitetään ko. suojaustason mukaisesti
  • Varmuuskopioista on rekisterit ja varmuuskopioiden käsittely kirjataan sähköiseen lokiin, tietojärjestelmään, asianhallintajärjestelmään, manuaaliseen diaariin tai asiakirjaan
Katso esimerkkikuvaus toteutuksesta tehtävän sivulla
I24: Varmuuskopiointi
Katakri

Salassa pidettävää tietoa sisältävien varmuuskopioiden suojaus (ST IV)

Critical
High
Normal
Low

Varmuuskopioinnin tavoitteena on rajata menetettävän tiedon määrää ja pystyä palauttamaan tiedot tarpeeksi nopeasti ja luotettavasti.

Suojaustasolla IV toteutetaan seuraavat toimenpiteet varmuuskopioiden suojaamiseksi:

  • Varmuuskopiot käsitellään ja säilytetään niiden elinkaaren ajan vähintään ko. suojaustason järjestelmissä
  • Käsiteltäessä samalla varmistusjärjestelmällä tarkastusoikeuden varaavien eri omistajien tietoja, tarkastusoikeuden mahdollistavat erottelumenettelyt on toteutettava ko. suojaustason mukaisesti varmistusjärjestelmän liittymien ja tallennemedioiden osalta
  • Varmuuskopioiden siirtämiseen sovelletaan samoja toimintatapoja kuin muun tietoaineiston siirtämiseen
  • Varmistusmediat hävitetään ko. suojaustason mukaisesti
Katso esimerkkikuvaus toteutuksesta tehtävän sivulla
I24: Varmuuskopiointi
Katakri

Tärkeän tieto-omaisuuden varmuuskopiointivastuiden selvittäminen

Critical
High
Normal
Low

Riittävien varmuuskopioiden avulla kaikki tärkeät tiedot ja ohjelmat voidaan palauttaa katastrofin tai tietovälinevian jälkeen. Tärkeä ensiaskel toimivassa varmuuskopioinnissa on tunnistaa, kenen vastuulla kunkin tiedon varmuuskopioiminen on. Varmuuskopioinnin vastuun selvittäminen on tieto-omaisuuden (järjestelmät, laitteisto) omistajien vastuulla.

Mikäli varmuuskopiointi on kumppanin vastuulla selvitämme:

  • kuinka kattavasti kumppani varmuuskopioi tiedot?
  • kuinka tiedot ovat tarvittaessa palautettavissa?
  • mitä varmuuskopioinnista on sovittu sopimuksissa?

Mikäli varmuuskopiointi on omalla vastuullamme selvitämme:

  • onko tietoihin liittyvä varmuuskopiointiprosessi olemassa ja dokumentoitu?
  • onko varmuuskopioinnin kattavuus ja toteutussykli tietojen tärkeyden vaatimalla tasolla?
Katso esimerkkikuvaus toteutuksesta tehtävän sivulla
I24: Varmuuskopiointi
Katakri
12.3.1: Tietojen varmuuskopiointi
ISO27 Täysi
12.3: Varmuuskopiointi
ISO27 Täysi
PR.IP-4: Backups
NIST
TEK-20: Varmuuskopiointi
Julkri

Varautuminen nopeaan tietojen palauttamiseen vikatilanteissa

Critical
High
Normal
Low

Palautuskyky viittaa siihen, miten nopeasti henkilötietojen saatavuus ja pääsy henkilötietoihin voidaan palauttaa fyysisen tai teknisen vian sattuessa.

Katso esimerkkikuvaus toteutuksesta tehtävän sivulla
12.3.1: Tietojen varmuuskopiointi
ISO27 Täysi
17.1.2: Tietoturvallisuuden jatkuvuuden toteuttaminen
ISO27 Täysi
12.3: Varmuuskopiointi
ISO27 Täysi
PR.PT-5: Mechanisms
NIST
TEK-22: Tietojärjestelmien saatavuus
Julkri

Varmuuskopioiden rekisteröinti ja käsittelyn seuranta (TL III)

Critical
High
Normal
Low

Varmuuskopioista on rekisterit ja varmuuskopioiden käsittely kirjataan sähköiseen lokiin, tietojärjestelmään, asianhallintajärjestelmään, manuaaliseen diaariin tai tietoon (esimerkiksi dokumentin osaksi).

Katso esimerkkikuvaus toteutuksesta tehtävän sivulla
TEK-20.2: Varmuuskopiointi - varmuuskopioiden rekisteröinti ja käsittelyn seuranta - TL III
Julkri
I-20: TIETOJENKÄSITTELY-YMPÄRISTÖN SUOJAUS KOKO ELINKAAREN AJAN – VARMUUSKOPIOINTI
Katakri 2020

Menettelyt ja loki tietojen palauttamista varten

Critical
High
Normal
Low

Organisaatiolla tulee olla selkeä, kirjallinen vaiheittainen menettely tietojen palauttamista varten. Myös suoritetuista tietojen palautuksista tulee tehdä loki. Lokin tulee sisältää:

  • vastuuhenkilö
  • restauroinnin päivämäärä ja kellonaika
  • palautettujen tietojen kuvaus
  • manuaalisesti palautetut tiedot
Katso esimerkkikuvaus toteutuksesta tehtävän sivulla
A.11.3: Control and logging of data restoration
ISO 27018
2.9.3: Test backups regularly
NSM ICT-SP

Varmuuskopioi käyttöjärjestelmien ja asennusohjelmistojen pääkuvat

Critical
High
Normal
Low

Varmuuskopioi käyttöjärjestelmien ja asennusohjelmistojen pääkuvat, jotta voidaan varmistaa palautusvalmiudet ohjelmistojen näkökulmasta.

Katso esimerkkikuvaus toteutuksesta tehtävän sivulla
2.9.2: Include backups of software to ensure recovery
NSM ICT-SP

Varmuuskopioiden suojaaminen tahalliselta ja tahattomalta poistamiselta ja manipuloinnilta

Critical
High
Normal
Low

Varmuuskopioiden kopiot on säilytettävä erillään organisaation tuotantoympäristöstä. Pääsy näihin kopioihin olisi rajoitettava vain työntekijöihin ja järjestelmäprosesseihin, jotka osallistuvat tietojen palauttamiseen.

Varmuuskopioita, joihin ei pääse käsiksi organisaation verkkojen kautta, olisi luotava säännöllisesti.

Näillä turvatoimilla varmistetaan varmuuskopioiden eheys ja saatavuus.

Katso esimerkkikuvaus toteutuksesta tehtävän sivulla
2.9.4: Protect backups against intentional and unintentional deletion, manipulation and reading
NSM ICT-SP

Varmuuskopiointistrategian määrittäminen

Critical
High
Normal
Low

Riittävien varmuuskopioiden avulla kaikki tärkeät tiedot ja ohjelmat voidaan palauttaa katastrofin tai tietovälinevian jälkeen. Varmuuskopiointistrategian määrittämiseksi on tärkeää kartoittaa / päättää ainakin seuraavat asiat:

  • Minkä tiedon varmuuskopiointi on omalla vastuullamme?
  • Kuinka kriittistä mikäkin tieto on ja kuinka usein tämän perusteella mitkäkin tiedot on tarve varmuuskopioida ja kuinka laajasti (osittainen vai täydellinen kopio)?
  • Missä varmuuskopioit säilytetään ja kuinka ne on suojattu?
  • Kuinka pitkään varmuuskopiot on tarpeen säilyttää?
  • Millä järjestelmällä varmuuskopiot otetaan?
  • Kuinka varmistusmediat hävitetään luotettavasti?
Katso esimerkkikuvaus toteutuksesta tehtävän sivulla
12.3.1: Tietojen varmuuskopiointi
ISO27 Täysi
12.3: Varmuuskopiointi
ISO27 Täysi
TEK-20: Varmuuskopiointi
Julkri
8.13: Tietojen varmuuskopiointi
ISO27k1 Täysi
A1.2: Recovery of infrastructure according to objectives
SOC 2

Liity Akatemian postituslistalle tänään

Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.

Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
Aiheet
Dokumentointi
Tiedonhallinta
Jatkuva parantaminen
Kokeilu ja tilaus
NIS2
Näytä kaikki
Webinarit
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Intro NIS2-direktiiviin, Kyberturvallisuuslakiin sekä Digiturvamalli-työkaluun
Näytä kaikki
Videot
NIS2:n yleisesittely
Automatisoi henkilöstön tietoturvaohjeistus Teamsissa
GDPR & ISO 27701:n hyvät käytännöt
Paranna omaa tietoturvasuunnitelmaa jatkuvasti
Tiedonhallintamalli ja riskien hallinta
Näytä kaikki
Ohjeet
Raportointi
Käyttäjähallinta
Kumppaneille
Tehtävien hallinta
Muut ominaisuudet
Näytä kaikki
Blogit
DORA: Esittely, soveltamisala ja keskeiset vaatimukset
Cyberday mukana Cyber Security Nordicissa 2024!
Vaatimustenmukaisuudesta yhteistyöhön: Miten NIS2 kannustaa vahvempaan toimitusketjun tietoturvayhteistyöhön?
Agendium Oy on nyt Cyberday Oy!
10 vaatimustenmukaisuuden sudenkuoppaa ja miten välttää niitä
Näytä kaikki
Sisältökirjasto
Avaa sisältökirjastoLabs
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.