Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

21.2.b (incidents)
NIS2

NIS2-direktiivi

5.23
ISO27k1 Täysi

ISO 27001 (2022): Täysi

9.6.2
TISAX

TISAX: Information security

9.9b §
KyberTL

Kyberturvallisuuslaki (NIS2)

A.10.1
ISO 27018

ISO 27018

DE.CM-6
NIST

NIST Cybersecurity Framework

DE.CM-6
CyFun

CyberFundamentals (Belgia)

P6.3
SOC 2

SOC 2 (järjestelmät ja organisaation hallintakeinot)

P6.5
SOC 2

SOC 2 (järjestelmät ja organisaation hallintakeinot)

Muita saman teeman digiturvatehtäviä

Tapahtuneiden tietoturvaloukkausten käsittely ja dokumentointi

Critical
High
Normal
Low

Organisaation on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset sekä niiden vaikutukset ja toteutetut korjaavat toimet riippumatta siitä, mitä toimenpiteitä tietoturvaloukkauksesta lopulta seuraa.

Dokumentointivelvollisuuden tai ilmoituksen tekemisen laiminlyöminen on tietosuoja-asetuksen vastaista. Se voi johtaa tietosuoja-asetuksessa määritettyihin seuraamuksiin.

18.1.4: Tietosuoja ja henkilötietojen suojaaminen
ISO27 Täysi
TSU-14: Tietoturvaloukkaukset
Julkri
5.34: Tietosuoja ja henkilötietojen suojaaminen
ISO27k1 Täysi
66: Tietoturvaloukkausten hallinta
Kokonaiskuva (DVV)
P6.5: Notification of unauthorized disclosure of personal information from third parties
SOC 2

Tietoturvaloukkauksesta ilmoittaminen viranomaiselle / rekisteröidyille

Critical
High
Normal
Low

Henkilötietojen tietoturvaloukkauksesta täytyy ilmoittaa valvontaviranomaiselle, mikäli loukkauksesta voi aiheutua riski ihmisten oikeuksille ja vapauksille. Rekisteröidyille on puolestaan ilmoitettava, mikäli loukkauksestta todennäköisesti aiheutuu korkean riski oikeuksille ja vapauksille. Ilmoituksen perusteella rekisteröidyt voivat esimerkiksi ryhtyä toimiin haittavaikutuksen pienentämiseksi (esim. sulkemalla luottokorttinsa).

Ilmoitukseen on sisällytettävä seuraavat tiedot:

  • selkeä kuvaus henkilötietojen tietoturvaloukkauksesta
  • tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa
  • henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset
  • toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on jo toteuttanut; tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
33. Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle
GDPR
34. Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle
GDPR
16.1.5: Tietoturvahäiriöihin vastaaminen
ISO27 Täysi
6.1.3: Yhteydet viranomaisiin
ISO27 Täysi
A.10.1: Notification of a data breach involving PII
ISO 27018

Tietoturvaloukkauksesta rekisteröidyille aiheutuneen riskin tarkempi arviointi

Critical
High
Normal
Low

Rekisterinpitäjän on arvioitava, millainen riski tietoturvaloukkauksesta aiheutuu vuodon kohteena olevalle henkilölle. Arviossa on huomioitava esimerkiksi seuraavat asiat:

  • Miten todennäköistä on, että tietoja käytetään haitantekoon?
  • Millaista haittaa tietojen avulla voitaisiin tehdä (mahdollistuuko esim. identiteettivarkaus, petos, psyykkisen ahdistuksen tuottaminen, nöyryyttäminen tai mainevahingon tuottaminen)?
  • Henkilötietojen luonne, arkaluonteisuus ja määrä
  • Kuinka helppoa rekisteröity on tunnistaa tiedoista?
  • Onko rekisteröityjen joukossa paljon esimerkiksi lapsia tai muuten heikossa asemassa olevia?

Riskiarvio vaikuttaa loukkauksesta ilmoittamisen kiireellisyyteen ja laajuuteen.

34. Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle
GDPR
6.1.3: Yhteydet viranomaisiin
ISO27 Täysi
16.1.5: Tietoturvahäiriöihin vastaaminen
ISO27 Täysi
RS.CO-3: Information sharing
NIST
66: Tietoturvaloukkausten hallinta
Kokonaiskuva (DVV)

Prosessi tietoturvaloukkauksen käsittelyn aloittamiseen

Critical
High
Normal
Low

Organisaatiomme on ennalta määritellyt toimintatavat, joiden kautta havaittua tietoturvaloukkausta aletaan käsitellä. Prosessi voivat sisältää mm. seuraavia asioita:

  • ketkä kuuluvat tiimiin, joka on valmiina reagoimaan loukkauksiin
  • kuinka ja mitä kanavaa myöten loukkauksesta tiedotetaan välittömästi koko tiimia
  • tiimi määrittää loukkaukselle vakavuuden (matala, keskiverto, korkea) ennaltamääriteltyjen kriteerien perusteella
  • loukkauksen käsittelyä jatketaan isommalla porukalla vakavuustason mukaisesti
24. Rekisterinpitäjän vastuu
GDPR
32. Käsittelyn turvallisuus
GDPR
16.1.5: Tietoturvahäiriöihin vastaaminen
ISO27 Täysi
16.1.7: Todisteiden kokoaminen
ISO27 Täysi
5.26: Tietoturvahäiriöihin reagointi
ISO27k1 Täysi

Prosessi toimitusketjuun liittyneiden tietoturvaloukkausten havaitsemiseen ja tiedottamiseen

Critical
High
Normal
Low

Organisaation on määriteltävä toimintatavat, joita noudattaen tiedotetaan toimitusketjun tietoturvaloukkauksista. Prosessin on huomioitava kaikenlaiset omat roolit toimitusketjussa, olimmepa itse lopputuotteen tilaaja tai yksi ketjuun kuuluva toimittaja.

Toimintatapojen on huomioitava kumppanien sekä asiakkaiden kanssa tehdyt sopimukset ja niihin sisältyvät sitoumukset molempien osapuolten velvollisuuksista loukkauksien ilmoittamiseen liittyen.

A.10.1: Notification of a data breach involving PII
ISO 27018
DE.CM-6: External service provider activity monitoring
NIST
5.23: Pilvipalvelujen tietoturvallisuus
ISO27k1 Täysi
P6.5: Notification of unauthorized disclosure of personal information from third parties
SOC 2
21.2.b (incidents): Incident management
NIS2