Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

2.6
TiHL: Tietoturva

TiHL: Suositus tietoturvan vähimmäisvaatimuksista

4 §
TiHL

Tiedonhallintalaki

9
Kokonaiskuva (DVV)

Digiturvan kokonaiskuvapalvelu (DVV)

Muita saman teeman digiturvatehtäviä

Ajantasaisen ohjeistuksen varmistaminen

Critical
High
Normal
Low

Johdon on huolehdittava, että organisaatiossa on ajantasaiset ohjeet tiedonhallintaan liittyvistä teemoista.

4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL
2.1: Tietoturvallisuusvastuiden määrittely
TiHL: Tietoturva
2.6: Ohjeet ja koulutus
TiHL: Tietoturva

Tiedonhallinnan vastuiden määrittäminen

Critical
High
Normal
Low

Johdon on huolehdittava siitä, että organisaatiossa on määritelty tiedonhallintalaissa (sekä muissa laeissa) säädettyjen tiedonhallinnan toteuttamiseen liittyvien tehtävien vastuut.

Vastuut voidaan määrittää Digiturvamallissa vastuuttamalla eri tiedonhallinnan osa-alueisiin (esim. tietoturvaohjeet, tietojärjestelmät, rekisterinpito, asiahallinta) liittyvät tehtävät sekä dokumentaatiokohteet.

4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL
1: Tehtävät ja vastuut
Kokonaiskuva (DVV)
2.1: Tietoturvallisuusvastuiden määrittely
TiHL: Tietoturva

Turvallisuustoimenpiteiden määrittely tietoaineistojen turvallisuuden varmistamiseksi

Critical
High
Normal
Low

Viranomaisen on varmistettava tarpeellisin tietoturvallisuustoimenpitein, että sen:

  • tietoaineistojen muuttumattomuus on riittävästi varmistettu
  • tietoaineistot on suojattu teknisiltä ja fyysisiltä vahingoilta
  • tietoaineistojen alkuperäisyys, ajantasaisuus ja virheettömyys on varmistettu
  • tietoaineistojen saatavuus ja käyttökelpoisuus on varmistettu
  • tietoaineistojen saatavuutta rajoitetaan vain, jos tiedonsaantia tai käsittelyoikeuksia on laissa erikseen rajoitettu
  • tietoaineistot voidaan tarvittavilta osin arkistoida
15 §: Tietoaineistojen turvallisuuden varmistaminen
TiHL
3.1: Tietoaineistojen tietoturvallisuus
TiHL: Tietoturva

Viranomaisen tehtävien kannalta oleellisten tietojärjestelmien testaus ja vikasietoisuus

Critical
High
Normal
Low

Viranomaisen tehtävien hoitamisen kannalta olennaiset tietojärjestelmät on tunnistettu. Olennaiseksi tunnistettujen tietojärjestelmien vikasietoisuus ja toiminnallinen käytettävyys varmistetaan riittävällä testauksella säännöllisesti.

Testaus voi sisältää sekä teknistä käytettävyystestausta että käyttäjillä suoritettavia käytettävyysarviointeja. Räätälöidyissä järjestelmissä käytettävyys tulisi määritellä ja suunnitella organisaatiossa hyväksytyn menetelmän mukaan. Valmisohjelmistojen käytettävyys tulisi testata hyväksymistestauksen yhteydessä.

Tietojärjestelmien häiriöihin on varauduttu nopean palautumisen varmistamiseksi. Palautumisessa hyödynnetään mekanismeja, joiden tavoitteena on reaaliaikainen tai lähes reaaliaikainen viansietokyky kriittisten järjestelmien saatavuuden ylläpitämiseksi.

13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
TEK-23: Tietojärjestelmien toiminnallinen käytettävyys
Julkri
VAR-08: Vikasietoisuus
Julkri
4.3: Vikasietoisuuden ja toiminnallisen käytettävyyden testaus
TiHL: Tietoturva

Erityistä luotettavuutta edellyttävien tehtävien tunnistaminen ja luotettavuudesta varmistuminen

Critical
High
Normal
Low

Organisaation on tunnistettava ne tehtävät, joiden suorittaminen edellyttää sen palveluksessa olevilta tai sen lukuun toimivilta henkilöiltä erityistä luotettavuutta.

Erityisen luotettavuuden varmistamisesta voi määrittää oman prosessikuvauksen. Henkilöturvallisuusselvityksen laatimisessa sekä luottotietojen tai huumausainetestien tuloksien käsittelyssä on huomioitava annettu lainsäädäntö.

12 §: Luotettavuutta edellyttävien tehtävien tunnistaminen ja luotettavuudesta varmistuminen
TiHL
HAL-10: Henkilöstön luotettavuuden arviointi
Julkri
2.2: Erityistä luotettavuutta edellyttävät tehtävät
TiHL: Tietoturva

Riittävän valvonnan varmistaminen

Critical
High
Normal
Low

Johdon on huolehdittava, että organisaatiossa on järjestetty riittävä valvonta tiedonhallintaan liittyvien säädösten, määräysten ja ohjeiden noudattamisesta. Valvonnan toteuttamista voidaan edistää esimerkiksi seuraavasti:

  • Valvontavastuiden dokumentointi johdolle ja esihenkilöille
  • Valvontasuunnitelman laatiminen ja aikataulutus
  • Tietoturvallisuusosaamisen testaaminen henkilöstölle
  • Automaattiset valvontakontrollit tietojärjestelmille
  • Valvonnan toimivuuden arviointi ja kehitys
  • Valvonnan tulosten raportointi

Digiturvamallin avulla kuvataan vastuita eri tehtävien ja kohteiden suhteen sekä pyritään seuraamaan vaatimuksenmukaisuutta. Sisäisen valvonnan toteuttamisesta organisaatiossa on tärkeää kuvata oma prosessi, jonka mukaisesti valvontaa toteutetaan ja johdolle raportoidaan.

4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL
2.9: Valvonta
TiHL: Tietoturva

Tarvittavan koulutuksen huolehtiminen

Critical
High
Normal
Low

Johdon on huolehdittava, että organisaatiossa on tarjolla koulutusta, jolla varmistetaan henkilöstön riittävä osaaminen tiedonhallintaa, tietojenkäsittelyä sekä asiakirjojen julkisuutta ja salassapitoa koskevista säädöksistä, määräyksistä ja ohjeista.

Digiturvamallissa ohjeiden kouluttamista ja valvontaa tehdään automaattisesti, mikäli henkilöstö on yhdistetty järjestelmään esim. Teams-sovelluksen tai selainlaajennuksen kautta.

4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL
9: Henkilöstön digiturvakoulutukset
Kokonaiskuva (DVV)
2.6: Ohjeet ja koulutus
TiHL: Tietoturva

Ohjeistukset tiedonhallintatyöhön

Critical
High
Normal
Low

Organisaatiolla tulee olla ajantasaiset ohjeet tietoturvallisuudesta sekä tarjolla koulutusta niiden riittävän tuntemisen varmistamiseksi. Ohjeistuksessa on otettava huomioon:

  • Tietoaineistojen käsittely toimintaprosesseissa
  • Järjestelmien tietoturvallinen käyttäminen
  • Tietojenkäsittelyoikeuksien määrittäminen tietojärjestelmiin ja niiden sisältämiin tietovarantoihin ja -aineistoihin
  • Perusteet käyttöoikeuksien myöntämiselle ja kuka vastaa myöntämisestä
  • Kuinka ja kenen vastuulla on tietopyyntöihin vastaaminen
  • Ohjeet poikkeaviin tilanteisiin varautumisesta

Ohjeita laatiessa kannattaa kiinnittää huomiota ohjeiden laatuun ja ymmärrettävyyteen.

2.6: Ohjeet ja koulutus
TiHL: Tietoturva

Asianmukaisten työvälineiden tarjoaminen henkilöstölle

Critical
High
Normal
Low

Johdon on huolehdittava, että organisaatiossa on tarjolla asianmukaiset työvälineet tiedonhallintaa koskevien velvollisuuksien toteuttamiseksi. Työvälineillä tarkoitetaan päätelaitteita ja ohjelmistoja, joita tiedonhallintayksikössä työskentelevät käyttävät.

Digiturvamalli sisältää omat tehtävänsä tähän kokonaisuuteen liittyville osille (esim. tietojärjestelmien tietoturvallisuusvaatimukset ja testaus, tietojärjestelmien ja tietovarantojen yhteentoimivuus, tekniset rajapinnat), joiden toteutusta vastuuttamalla ja valvomalla johto voi teemasta huolehtia.

4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL
2.6: Ohjeet ja koulutus
TiHL: Tietoturva