Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

4.1.1
TISAX

TISAX: Information security

4.1.3
TISAX

TISAX: Information security

5.11
ISO27k1 Täysi

ISO 27001 (2022): Täysi

5.16
ISO27k1 Täysi

ISO 27001 (2022): Täysi

8.1.4
ISO27 Täysi

ISO 27001 (2013): Täysi

9.2.1
ISO27 Täysi

ISO 27001 (2013): Täysi

9.2.6
ISO27 Täysi

ISO 27001 (2013): Täysi

9.6 §
KyberTL

Kyberturvallisuuslaki (NIS2)

CC6.2
SOC 2

SOC 2 (järjestelmät ja organisaation hallintakeinot)

CC6.3
SOC 2

SOC 2 (järjestelmät ja organisaation hallintakeinot)

CC6.5
SOC 2

SOC 2 (järjestelmät ja organisaation hallintakeinot)

HAL-14.2
Julkri

Julkri: TL IV-I

PR.AC-1
NIST

NIST Cybersecurity Framework

PR.IP-11
CyFun

CyberFundamentals (Belgia)

T-09
Katakri 2020

Katakri 2020

UAC-03
Cyber Essentials

Cyber Essentials

WORKFORCE-1
C2M2: MIL1

C2M2: MIL1

Muita saman teeman digiturvatehtäviä

Pääsyoikeuksien myöntämisprosessi työsuhteen alkaessa

Critical
High
Normal
Low

Henkilön työsuhteen käynnistyessä hänelle huolehditaan kerralla käyttöoikeus kaikkien rooliinsa liittyvien tietojärjestelmien käyttöön.

9.2.1: Käyttäjien rekisteröinti ja poistaminen
ISO27 Täysi
9.2.2: Pääsyoikeuksien jakaminen
ISO27 Täysi
PR.AC-1: Identity and credential management
NIST
UAC-01: User account creation
Cyber Essentials
5.16: Identiteetin hallinta
ISO27k1 Täysi

Prosessi työsuhteiden päättymishetkelle mm. laitteiston ja pääsyoikeuksien poistoon

Critical
High
Normal
Low

Organisaatiomme on määritellyt toimintatavat, joiden avulla koordinoidaan työsuhteen päättymishetkellä mm.:

  • Laitteiston palauttaminen
  • Pääsyoikeuksien poisto
  • Muun tieto-omaisuuden palauttaminen
8.1.4: Suojattavan omaisuuden palauttaminen
ISO27 Täysi
9.2.1: Käyttäjien rekisteröinti ja poistaminen
ISO27 Täysi
9.2.6: Pääsyoikeuksien poistaminen tai muuttaminen
ISO27 Täysi
PR.AC-1: Identity and credential management
NIST
UAC-03: Disabling unnecessary user accounts
Cyber Essentials

Ohjeistukset työsuhteen elinkaaren huomioimiseksi

Critical
High
Normal
Low

Organisaatio on muodostanut ohjeistukset, joilla varmistetaan turvallisuutta eri työsuhteen elinkaaren vaiheissa. Ohjeistuksia koulutetaan ja valvotaan tarvittavien henkilöstöryhmien parissa (esim. esihenkilöt).

Menettelyohjeet voidaan kohdistaa työsuhteen eri elinkaaren vaiheisiin. Eri ohjeistuksia voivat olla esimerkiksi:

  • rekrytointiohjeet
  • perehdyttämisohjeet
  • työsuhteen aikaisten muutosten ohjeet
  • työsuhteen päättymisen ohjeet
  • ja ohjeet yksityiskohtaisempiin toimiin kuten esimerkiksi ohjeet käyttö- ja pääsyoikeuksien muutoksiin
T08: Työsuhteen elinkaaren huomioiminen
Katakri
HAL-15: Työskentelyn tietoturvallisuus koko palvelussuhteen ajan
Julkri
T-09: TYÖSUHTEEN AIKAISET MUUTOKSET TURVALLISUUSLUOKITELTUJEN TIETOJEN KÄSITTELYSSÄ
Katakri 2020

Taustatarkistus ennen henkilön palkkaamista

Critical
High
Normal
Low

Vähintään digiturvan kannalta tärkeisiin rooleihin hakeutuvien työnhakijoiden tausta olisi tarkastettava, huomioiden asianmukaiset lait ja määräykset.

Tarkastus voi sisältää mm.:

  • suositusten tarkistuksen
  • CV:n oikeellisuuden tarkistuksen
  • koulutuksellisen pätevyyden varmistamisen
  • henkilöllisyyden tarkistamisen riippumattomasta lähteestä
  • muut yksityiskohtaisemmat tarkistukset (esim. luottotietojen, aiempien korvausvaatimusten tai rikosrekisterin tarkistus)

Taustatarkistus voi olla syytä ulottaa myös esimerkiksi täysin etänä työskenteleviin, urakoitsijoihin tai muihin kolmansiin osapuoliin. Taustatarkistuksen syvyyttä voidaan suhteuttaa tehtävän oikeuttavaan tietoluokkaan.

7.1.1: Taustatarkistus
ISO27 Täysi
T09: Henkilöstön luotettavuuden arviointi
Katakri
PR.AC-6: Proof of identity
NIST
PR.IP-11: Cybersecurity in human resources
NIST
HAL-15: Työskentelyn tietoturvallisuus koko palvelussuhteen ajan
Julkri

Pääsyoikeuksien katselmointi työsuhteen muutostilanteissa

Critical
High
Normal
Low

Kaikissa työsuhteen muutostilanteissa pääsyoikeudet olisi katselmoitava yhteistyössä suojattavan omaisuuden omistajien kanssa, ja myönnettävä henkilölle kokonaan uudelleen, kun henkilön työsuhteessa tapahtuu merkittävä muutos. Muutos voi olla ylennys tai roolin vaihtaminen (esim. yksiköstä toiseen siirtyminen).

9.2.5: Pääsyoikeuksien uudelleenarviointi
ISO27 Täysi
UAC-06: Managing user privileges
Cyber Essentials
HAL-15: Työskentelyn tietoturvallisuus koko palvelussuhteen ajan
Julkri
TEK-07.3: Pääsyoikeuksien hallinnointi - pääsyoikeuksien ajantasaisuus
Julkri
5.18: Pääsyoikeudet
ISO27k1 Täysi

Työsuhteen päättymisen jälkeen säilyvistä tietoturvavelvollisuuksista tiedottaminen

Critical
High
Normal
Low

Työsopimuksessa olisi eroteltava tietoturvavastuut ja -velvollisuudet, jotka jäävät voimaan työsuhteen päättymisen. Työntekijää muistutetaan vielä näistä työsuhteen päättyessä, jotta noudattamista voidaan varmistaa.

7.3: Työsuhteen päättyminen tai muuttuminen
ISO27 Täysi
7.3.1: Työsuhteen päättyminen tai vastuiden muuttuminen
ISO27 Täysi
PR.DS-5: Data leak protection
NIST
6.5: Työsuhteen päättymisen tai muuttumisen jälkeiset vastuut
ISO27k1 Täysi
CC2.2: Internal communication of information
SOC 2

Turvallisuusselvitysten tarpeen arviointi ja toteuttaminen

Critical
High
Normal
Low

Organisaatio arvioi turvallisuusselvityksen tarpeen ja mikäli sellaista edellytetään, toteuttaa turvallisuusselvityksen myöntää henkilöille pääsyn suojattaviin kohteisiin vasta turvallisuusselvityksen jälkeen.

Turvallisuusselvityksen laajuus riippuu ihmisen työtehtävästä ja tarvittavista oikeuksista esimerkiksi salassa pidettävän tiedon käsittelyyn. Selvityksen laajuus ratkaisee, mitä tietolähteitä selvityksen tekemisessä käytetään. Henkilöä itseään voidaan tarvittaessa haastatella.

HAL-10.1: Henkilöstön luotettavuuden arviointi - turvallisuusselvitys
Julkri

Turvallisuusluokiteltuja tietoja käsittelevän henkilön luotettavuuden arviointi

Critical
High
Normal
Low

Viranomaisen on tunnistettava ne tehtävät, joiden suorittaminen edellyttää sen palveluksessa olevilta tai sen lukuun toimivilta henkilöiltä erityistä luotettavuutta. Henkilöturvallisuusselvitystä hakee turvallisuusluokitellun tiedon omistava viranomainen.

Selvitystä haetaan Suojelupoliisilta, joka päättää sen tekemisestä. Selvitystä haetaan Pääesikunnalta, joka päättää sen tekemisestä, jos selvityksen kohteen (henkilö) on tarkoitus hoitaa puolustusvoimien antamaa tehtävää taikka jos selvitys liittyy puolustusvoimien toimintaan tai hankintoihin. Selvitys laaditaan suppeana, perusmuotoisena tai laajana riippuen käsiteltävästä turvallisuusluokitellusta tiedosta.

Kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi tarpeellista henkilöturvallisuusselvitystodistusta (PSC, Personnel Security Clearance) haetaan Ulkoministeriössä toimivalta Kansalliselta turvallisuusviranomaiselta (NSA, National Security Authority). Esimerkiksi EU:n ja Naton turvallisuusluokiteltujen tietojen käsittely edellyttää turvallisuusluokasta III (CONFIDENTIAL) lähtien PSC:tä.

T-10: HENKILÖSTÖN LUOTETTAVUUDEN ARVIOINTI
Katakri 2020

Käyttöoikeuksien rajoittaminen työsuhteen riskihetkillä

Critical
High
Normal
Low

Mikäli henkilön työsuhde on päättymässä tai merkittävästi muuttumassa, käyttöoikeuksien vähentämistä suojattavaan omaisuuteen on harkittava riippuen seuraavista asioista:

  • henkilön haluttomuus tulevaan muutokseen
  • henkilön tämänhetkisten käyttöoikeuksien ja vastuiden laajuus
  • suojattavan omaisuuden arvo, johon työntekijällä on pääsy
9.2.6: Pääsyoikeuksien poistaminen tai muuttaminen
ISO27 Täysi
5.18: Pääsyoikeudet
ISO27k1 Täysi
CC6.2: Registering and authorizing new users before granting access
SOC 2
T-09: TYÖSUHTEEN AIKAISET MUUTOKSET TURVALLISUUSLUOKITELTUJEN TIETOJEN KÄSITTELYSSÄ
Katakri 2020
4.5: Käyttöoikeuksien hallinta
TiHL: Tietoturva

Irtisanomisajalla olevien työntekijöiden erityisvalvonta

Critical
High
Normal
Low

Työsuhteen irtisanomisaikana organisaation olisi valvottava, ettei irtisanottu työntekijä esimerkiksi kopioi tärkeää tietoa (esim. aineetonta omaisuutta) luvattomasti.

8.1.4: Suojattavan omaisuuden palauttaminen
ISO27 Täysi
9.2.6: Pääsyoikeuksien poistaminen tai muuttaminen
ISO27 Täysi
5.11: Omaisuuden palauttaminen
ISO27k1 Täysi