Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

6.1
Omavalvonta

Tietoturvan ja tietosuojan omavalvontasuunnitelma

6.3
Tietoturvasuunnitelma

Tietoturvasuunnitelma (THL 3/2024)

Muita saman teeman digiturvatehtäviä

Ohjeistukset asiakas- ja potilastietojen käsittelystä

Critical
High
Normal
Low

Kirjalliset ohjeet asiakas- ja potilastietojen käsittelystä tulee olla annettu ja niiden jakelukanavat selvitetty niitä käsitteleville työntekijöille.

Ohjeistuksissa käsitellään vähintään seuraavia teemoja:

  • Asiakas- ja potilastietojärjestelmien turvallinen käyttö
  • Asiakas- ja potilastietojen turvallinen käsittely
  • Salassapito
  • Tietojen oikeaoppinen luovuttaminen
  • Käsittelyyn liittyvä lainsäädäntö
6.1: Tietojärjestelmien käyttäjiltä vaadittava koulutus ja kokemus
Omavalvonta
6.2: Tietojärjestelmien asianmukaisen käytön kannalta tarpeelliset käyttöohjeet
Omavalvonta
6.3: Henkilöstön koulutus sekä osaamisen ylläpito ja kehittäminen
Tietoturvasuunnitelma
6.4: Tietojärjestelmien käyttöohjeet ja ohjeiden mukainen käyttö
Tietoturvasuunnitelma

Kanta-palveluiden huomiointi henkilöstön ohjeistamisessa ja kouluttamisessa

Critical
High
Normal
Low

Palvelujen antajan on huolehdittava siitä, että henkilöstö hallitsee Kanta-palvelujen käyttöön liittyvät toimintamallit ja periaatteet sekä tietää väärinkäytösten seuraamukset.

Organisaation on suunniteltava, kuinka Kanta-palveluiden käyttö on otettu huomioon henkilöstön ohjeistuksissa sekä koulutuksissa.

6.2: Tietojärjestelmien asianmukaisen käytön kannalta tarpeelliset käyttöohjeet
Omavalvonta
6.8: Valtakunnallisiin tietojärjestelmäpalveluihin liittyminen
Omavalvonta
6.12: Kanta-palvelujen liittymisen ja käytön tietoturvakäytännöt
Tietoturvasuunnitelma

Täsmäkoulutukset potilastietojen käsittelyyn

Critical
High
Normal
Low

Henkilöstöllä on oltava koulutusta potilastietojen käsittelyyn.

6.1: Tietojärjestelmien käyttäjiltä vaadittava koulutus ja kokemus
Omavalvonta
6.3: Henkilöstön koulutus sekä osaamisen ylläpito ja kehittäminen
Tietoturvasuunnitelma

Täsmäkoulutusten järjestäminen tietojärjestelmien käyttäjille

Critical
High
Normal
Low

Omavalvontasuunnitelmaan on sisällytettävä selvitys siitä, kuinka tietojärjestelmiä käyttäville henkilöille varmistetaan järjestelmien käytön vaatima koulutus ja kokemus.

Koulutussuunnitelman laatiminen

Critical
High
Normal
Low

Tietoturvallisuuden omavalvonnan kohteella on oltava koulutussuunnitelma tai vastaava dokumentti, jossa kuvataan toimintamalli henkilökunnan perehdyttämiseen, koulutukseen sekä osaamisen ylläpitoon, seurantaan ja ajantasaisuuden varmistamiseen asiakastietojen käsittelyssä sekä tietosuoja- ja tietoturva-aiheissa.

Koulutussuunnitelmassa on kuvattava erilaisissa työtehtävissä ja rooleissa vaadittavan koulutuksen sisältö ja toteuttamistavat.

Tietojärjestelmän käyttäjiltä vaadittava koulutus ja osaaminen voidaan todentaa todistuksilla, merkinnöillä koulutuksiin osallistumisesta tai muulla organisaatiossa sovitulla tavalla.

6.3: Henkilöstön koulutus sekä osaamisen ylläpito ja kehittäminen
Tietoturvasuunnitelma

Kanta-palveluiden huomiointi häiriö- ja erityistilanteiden ohjeistamisessa

Critical
High
Normal
Low

Yleisissä häiriötilanteiden toimintaohjeissa on otettava huomioon Kanta-palvelut. Esimerkiksi vastuutahot häiriötilanteiden ilmoittamisesta myös Kanta-palveluiden tekniseen tukeen on oltava todennettavissa. Palvelujen antajan on lisäksi ilmoitettava Kelalle sen antamien ohjeiden mukaisesti muutoksista sen käyttämissä tietojärjestelmäversiossa.

6.2: Tietojärjestelmien asianmukaisen käytön kannalta tarpeelliset käyttöohjeet
Omavalvonta
6.8: Valtakunnallisiin tietojärjestelmäpalveluihin liittyminen
Omavalvonta
6.12: Kanta-palvelujen liittymisen ja käytön tietoturvakäytännöt
Tietoturvasuunnitelma

Tietojärjestelmän käyttäjien kokemuksen varmistaminen

Critical
High
Normal
Low

Lain mukaan tietojärjestelmien käyttäjillä on oltava niiden käytön vaatima kokemus. Organisaation on määriteltävä toimintatavat, joilla käyttäjien kokemusta testataan / seurataan.

6.1: Tietojärjestelmien käyttäjiltä vaadittava koulutus ja kokemus
Omavalvonta
6.3: Henkilöstön koulutus sekä osaamisen ylläpito ja kehittäminen
Tietoturvasuunnitelma

Järjestelmän käytön perehdytys vähäisen kokemuksen työntekijöille

Critical
High
Normal
Low

Niille työntekijöille, joilla on vähäinen kokemus käytössä olevasta tietojärjestelmästä, tai uusien tietojärjestelmien tullessa käyttöön tulee järjestää riittävä perehdytys ja tarvittaessa ohjausta tietojärjestelmän käyttöön.

6.1: Tietojärjestelmien käyttäjiltä vaadittava koulutus ja kokemus
Omavalvonta
6.3: Henkilöstön koulutus sekä osaamisen ylläpito ja kehittäminen
Tietoturvasuunnitelma