Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

9.7.2
TISAX

TISAX: Information security

Muita saman teeman digiturvatehtäviä

Henkilöstön ohjeistus- ja koulutusmenettely digiturva-asioissa

Critical
High
Normal
Low

Organisaatiomme on määritellyt toimintatavat henkilöstön digiturvaosaamisen ylläpitämiseen. Näihin voi liittyä mm. seuraavia asioita:

  • henkilöstölle on olemassa ohjeet, joilla kuvataan työrooliin liittyvät digiturvan yleiset säännöt
  • henkilöstöä koulutetaan, jotta he pystyvät toimimaan turvallisesti, tietävät ohjeet ja kykenevät noudattamaan niitä
  • henkilöstö osoittaa testien tai muun vastaavan avulla omaavansa turvallisen toiminnan vaatimat digiturvataidot ja -tiedot

Koulutus keskittyy kullekin työroolille oleellisimpiin digiturvateemoihin, mutta sisältää tarpeeksi usein myös kaikkia työntekijöitä koskevat "perusasiat":

  • työntekijän henkilökohtainen vastuu (mm. päätelaitteista ja käsittelemästään tiedosta)
  • kaikkia koskevat käytännöt (mm. tietoturvahäiriöiden raportointi)
  • kaikkia koskevat säännöt (mm. puhdas työpöytä)
  • organisaation tietoturvaroolit (keneen yhteyttä ongelmatilanteissa)
T11: Turvallisuuskoulutus ja -tietoisuus
Katakri
4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL
29. Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa
GDPR
32. Käsittelyn turvallisuus
GDPR
7.2.1: Johdon vastuut
ISO27 Täysi

Lokin ylläpito järjestetyistä digiturvakoulutuksista

Critical
High
Normal
Low

Organisaation henkilöstölleen järjestämistä digiturvakoulutuksista pidetään lokia. Lokin avulla voidaan osoittaa, millaisia täsmäpanostuksia organisaatio on tehnyt henkilöstön digiturvaosaamisen eteen.

Jokaisesta koulutuksesta voidaan kirjata ylös esimerkiksi:

  • ajankohta
  • koulutuksen aihepiirit ja kesto
  • koulutuksen toteutustapa ja kouluttaja
  • koulutukseen osallistuneet henkilöt
T11: Turvallisuuskoulutus ja -tietoisuus
Katakri
7.2.2: Tietoturvatietoisuus, -opastus ja -koulutus
ISO27 Täysi
6.1: Tietojärjestelmien käyttäjiltä vaadittava koulutus ja kokemus
Omavalvonta
PR.AT-1: Awareness
NIST
HAL-13: Koulutukset
Julkri

Henkilöstön koulutus- ja ohjausprosesseja koskevien aiheiden kattavuuden varmistaminen

Critical
High
Normal
Low

Organisaatiolla tulee luoda menettely henkilöstöään koskevaa koulutusta ja ohjausta varten. Näihin menettelyiden tulisi sisältää ja kattaa ainakin seuraavat aiheet:

  • Tietoturvapolitiikka.
  • Turvallisuuspoikkeamien raportointi.
  • Reagointi haittaohjelmahäiriöihin.
  • Käyttäjätiliä ja kirjautumistietoja koskevat käytännöt (esim. salasanakäytännöt).
  • Tietoturvasäännösten noudattaminen.
  • Salassapitosopimusten (NDA) käyttö arkaluonteisia tietoja jaettaessa.
  • Ulkoisten IT-palveluiden käyttö.

Koulutusohjelmassa olisi yksilöitävä tietyt työntekijäryhmät, jotka tarvitsevat tätä koulutusta, kuten järjestelmänvalvojat, tuotantohenkilöstö sekä henkilöt, joilla on pääsy asiakasverkkoihin.

Vastuullisen johdon on hyväksyttävä koulutusmenettely. Koulutus- ja tietoisuusohjelmat on toteutettava säännöllisesti ja erityisten tapahtumien yhteydessä. Varmista, että työntekijät tietävät, keneen ottaa yhteyttä tietoturva asioissa.

2.1.3: Staff training
TISAX

Tietosuojaa koskevan erityiskoulutuksen järjestäminen henkilöstölle

Critical
High
Normal
Low

Organisaatiolla on oltava henkilöstölle määritelty tietosuojaa koskeva koulutusohjelma. Koulutuksissa olisi otettava huomioon tietosuojatarpeet määriteltäessä koulutuksen laajuutta, tiheyttä ja sisältöä.

Kriittisillä alueilla työskentelevä henkilöstö (esim. IT-ylläpitäjät) on koulutettava ja opastettava ottaen huomioon heidän työnsä vaatimukset. Heille pitäisi järjestää erityisiä koulutuksia ja ohjeita.

9.7.2: Employee data protection training
TISAX

Koulutuksen ja ohjeistuksen järjestäminen perehdytyksen yhteydessä (tai ennen pääsyoikeuksien myöntämistä)

Critical
High
Normal
Low

Työntekijät ovat ennen pääsyoikeuksien myötämistä luottamukselliseen tietoon tai tietojärjestelmiin:

  • saaneet asianmukaisen opastuksen tietoturvavastuistaan (mm. ilmoitusvastuu ja vastuu omista päätelaitteista)
  • saaneet asianmukaisen opastuksen omaan työrooliinsa liittyvistä tietoturvarooleistaan (mm. omaan työrooliin liittyvät digiturvasäännöt sekä tietojärjestelmät ja niiden hyväksyttävä käyttö)
  • saaneet tiedot digiturvan yhteyshenkilöistä, joilta voi kysyä lisää
4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL
7.3: Työsuhteen päättyminen tai muuttuminen
ISO27 Täysi
7.3.1: Työsuhteen päättyminen tai vastuiden muuttuminen
ISO27 Täysi
9.2.2: Pääsyoikeuksien jakaminen
ISO27 Täysi
PR.IP-11: Cybersecurity in human resources
NIST

Koulutuksen tehokkuuden arviointi

Critical
High
Normal
Low

Digiturvakoulutuksen tehokuutta arvioidaan säännöllisesti. Arviointiin voidaan sisällyttää mm. seuraavia näkökulmia:

  • Onko henkilöstön osaaminen tarpeeksi syvällistä?
  • Ovatko koulutustavat ja -määrät oikeat?
  • Koulutetaanko eri yksiköille oikeita asioita?
  • Onko henkilöstö motivoitunutta oppimaan?
  • Ymmärtääkö henkilöstö syyt koulutukselle (esim. millaisia negatiivia vaikutuksia digiturvan laiminlyönnistä voi aiheutua)?


7.2.2: Tietoturvatietoisuus, -opastus ja -koulutus
ISO27 Täysi
6.3: Tietoturvatietoisuus, -opastus ja -koulutus
ISO27k1 Täysi
21.2.f: Assessing effectiveness of security measures
NIS2
9.1 §: Toimien vaikuttavuuden arviointi
KyberTL

Säännöllisen yksikkökohtaisen tietoturvatiedotuksen organisointi

Critical
High
Normal
Low

Tiedottamalla yksiköitä heille tärkeimmistä digiturva-asioista ja heidän ymmärtämällään kielellä voidaan saavuttaa suuria edistysaskelia digiturvatasossa, kun henkilöstö ymmärtää paremmin miksi erilaisia käytäntöjä ja sääntöjä sovelletaan. Tiedotus voi olla sääntöjen jakelua pienissä paloissa, erilaisia kampanjoita (esim. ”tietoturvapäivä”), ohjelehtisiä, uutiskirjeitä, kilpailuja tai mitä tahansa.

Tietoturvatiedotuksesta voidaan myös käyttää nimitystä "tietoisuusohjelma".

7.2.2: Tietoturvatietoisuus, -opastus ja -koulutus
ISO27 Täysi
CC2.2: Internal communication of information
SOC 2
PR.AT-1: All users are informed and trained.
CyFun
4.4.4: Communicate and share findings with relevant stakeholders
NSM ICT-SP

Työroolia vaihtaneiden henkilöiden koulutus

Critical
High
Normal
Low

Ennen pääsyoikeuksien myöntämistä järjestettävä koulutus koskee uusien työntekijöiden lisäksi niitä, jotka siirtyvät uusiin tehtäviin tai rooleihin, etenkin kun henkilön käyttämät tietojärjestelmät sekä työrooliin liittyvät tietoturvavaatimukset muuttuvat merkittävsti työroolin vaihdoksen myötä. Koulutus järjestetään ennen uuden työroolin muuttumista aktiiviseksi.

7.3: Työsuhteen päättyminen tai muuttuminen
ISO27 Täysi
7.3.1: Työsuhteen päättyminen tai vastuiden muuttuminen
ISO27 Täysi
PR.IP-11: Cybersecurity in human resources
NIST
6.5: Työsuhteen päättymisen tai muuttumisen jälkeiset vastuut
ISO27k1 Täysi
PR.IP-11: Cybersecurity is included in human resources practices (deprovisioning, personnel screening…).
CyFun

Suojausjärjestelmien käytön sekä haittaohjelmahyökkäyksien raportoinnin kouluttaminen

Critical
High
Normal
Low

Organisaatiomme on määritellyt menettelyohjeet ja vastuut järjestelmien suojaamiseen haittaohjelmilta ja koulutetaan henkilöstöä suojauksien käyttöön sekä haittaohjelmahyökkäyksistä raportointiin ja niistä toipumiseen.

7.2.2: Tietoturvatietoisuus, -opastus ja -koulutus
ISO27 Täysi
12.2.1: Haittaohjelmilta suojautuminen
ISO27 Täysi
12.2: Haittaohjelmilta suojautuminen
ISO27 Täysi
8.7: Haittaohjelmilta suojautuminen
ISO27k1 Täysi

Henkilöstön muistuttaminen tietoturvavastuistaan

Critical
High
Normal
Low

Organisaation täytyy muistuttaa työntekijöitä rooleistaan ja tietoturvavastuistaan. Muistuttamalla vahvistetaan henkilöstön tietoturvatietoisuutta, turvallisia toimintatapoja sekä heidän työrooliinsa liittyvien ohjeistusten sekä lakisääteisten vaatimusten noudattamista.

21.2.g: Cyber hygiene practices and training
NIS2
2.1.3: Staff training
TISAX
9.11 §: Perustason tietoturvakäytännöt ja henkilöstön vastuu
KyberTL

Todellisten turvallisuustapahtumien sisällyttäminen henkilöstön koulutukseen

Critical
High
Normal
Low

Organisaation tulisi käyttää koulutusmateriaaleissaan todellisia skenaarioita tietoturvaloukkauksista henkilöstön kouluttamiseksi ja tietoisuuden lisäämiseksi. Simuloimalla todellisia häiriöitä työntekijät voivat paremmin ymmärtää mahdollisia riskejä, tunnistaa haavoittuvuuksia ja reagoida tehokkaammin todellisten häiriöiden aikana.

4.4.4: Communicate and share findings with relevant stakeholders
NSM ICT-SP