Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

6.5
Tietoturvasuunnitelma

Tietoturvasuunnitelma (THL 3/2024)

6.7
Omavalvonta

Tietoturvan ja tietosuojan omavalvontasuunnitelma

Muita saman teeman digiturvatehtäviä

Tietojärjestelmien luokittelu- ja versiotiedot

Critical
High
Normal
Low

Omavalvonnan kohteen on kuvattava selkeästi, mitä tietojärjestelmiä organisaation toiminnassa käytetään, mikä versio on nyt käytössä ja mitä tyyppiä seuraavista järjestelmät edustavat:

  • Tyyppi A = suoraan Kanta-palveluihin liitettävät järjestelmät
  • Tyyppi B = asiakas- tai potilastietojen käsittelyyn käytettävät järjestelmät
  • Muut järjestelmät
6.7: Asiakas- ja potilastietojärjestelmät, niihin liitetyt tietojärjestelmät ja muut tietojärjestelmät
Omavalvonta
6.5: Tietojärjestelmien perustiedot, kuvaukset ja olennaisten vaatimusten täyttyminen
Tietoturvasuunnitelma

Tietojäjestelmien ei-sallitun käytön tekninen estäminen

Critical
High
Normal
Low

Sosiaalihuollon asiakastietoja ja potilastietoja käsittelevien tietojärjestelmien tulee estää ei-sallittu käyttö aina silloin, kun se vain on teknisesti mahdollista, ja omavalvonnan kohteen omien ohjeiden ja toimintatapojen tulee ohjata asiakastietojen käsittelijöitä oikeisiin toimintatapoihin ja tietojenkäsittelyyn.

6.8: Asiakas- ja potilastietojärjestelmien pääsynhallinnan ja käytön seurannan käytännöt
Tietoturvasuunnitelma

Asiakastietojen käsittelyyn tarkoitetun tietojärjestelmän tuotantokäytön vaatimukset

Critical
High
Normal
Low

Asiakastietojen käsittelyyn tarkoitettua tietojärjestelmää ei saa ottaa tuotantokäyttöön, ellei siitä ole voimassa olevia tietoja Valviran tietojärjestelmärekisterissä.

  • Luokkaan A kuuluvan tietojärjestelmän tai hyvinvointisovelluksen saa ottaa tuotantokäyttöön sen jälkeen, kun Valviran rekisteristä löytyy tieto järjestelmän sertifioinnista ja voimassa olevasta tietoturvallisuustodistuksesta.
  • Tietojärjestelmää ei saa ottaa tuotantokäyttöön, jos luokkaan A kuuluvan tietojärjestelmän tietoturvallisuustodistus on vanhentunut, tai jos Valviran tietojärjestelmärekisterissä on järjestelmän käyttöönoton estävä poikkeama.
  • Myös muut Valviran tietojärjestelmärekisterissä järjestelmään kohdistuvat olevat rajoitukset ja edellytykset on otettava huomioon (THL:n määräys 4/2021).



6.6: Tietojärjestelmien asennus, ylläpito ja päivitys
Tietoturvasuunnitelma

Prosessit turvallisuuden ja suorituskyvyn varmistamiseen hyödynnettävistä sovelluksista ja tietojärjestelmistä

Critical
High
Normal
Low

Tietoturvasuunnitelmassa on kuvattava kuinka varmistetaan se, että Kanta-palveluihin liittyviin tietojärjestelmiin liitetyt tai käyttöympäristössä hyödynnettävät muut sovellukset tai tietojärjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia.

Muilla sovelluksilla ja tietojärjestelmillä tarkoitetaan esimerkiksi tietokoneohjelmia, jotka eivät käsittele asiakas- ja potilastietoja, eivätkä siten ole asiakastietolain 29 §:n mukaisia luokan A tai B tietojärjestelmiä.


6.5: Tietojärjestelmien perustiedot, kuvaukset ja olennaisten vaatimusten täyttyminen
Tietoturvasuunnitelma

Tietojärjestelmien käyttötarkoitukseensa soveltuvuuden varmistaminen

Critical
High
Normal
Low

Palvelunantajan tulee asiakastietolain 27 §:n 1 momentin kohdan 8 mukaisesti varmistaa, että 29 §:ssä tarkoitetut tietojärjestelmät täyttävät käyttötarkoituksensa mukaiset olennaiset vaatimukset 34 §:n 2 momentin mukaisesti.

Palvelunantajan käyttämien tietojärjestelmien on vastattava käyttötarkoitukseltaan palvelunantajan toimintaa ja täytettävä palvelunantajan toimintaan liittyvät olennaiset vaatimukset. Olennaiset vaatimukset voidaan täyttää yhden tai useamman tietojärjestelmän muodostaman kokonaisuuden kautta.

6.5: Tietojärjestelmien perustiedot, kuvaukset ja olennaisten vaatimusten täyttyminen
Tietoturvasuunnitelma

Valviran tietojärjestelmärekisterin seuraaminen

Critical
High
Normal
Low

Tietoturvallisuuden omavalvonnan kohteen on huomioitava ja seurattava Valviran tietojärjestelmärekisterissä mahdollisesti julkaistavia tarkennuksia tietojärjestelmien ja hyvinvointisovellusten vaatimustenmukaisuuden toteuttamiseksi.

Samalla tulisi tunnistaa, minkä profiilien mukaisia käyttötarkoituksia omassa toiminnassa käytettävissä tietojärjestelmissä tulisi olla toteutettuna.

6.5: Tietojärjestelmien perustiedot, kuvaukset ja olennaisten vaatimusten täyttyminen
Tietoturvasuunnitelma

Pääkäyttäjien asiakastietoihin pääsyn rajoittaminen

Critical
High
Normal
Low

Kaikilla pääkäyttäjillä ja tietojärjestelmäasiantuntijoilla ei lähtökohtaisesti ole oikeutta asiakastietoihin riippumatta siitä, missä asiakastieto sijaitsee.

Poikkeuksen tähän muodostaa paikallisiin rekistereihin liittyvät virhetilanteiden selvitykset, joissa pääkäyttäjillä ja tietojärjestelmäasiantuntijoilla on oikeus tarkastaa ja korjata oman organisaationsa tietoja tai sen organisaation tietoja, jonka lukuun he selvityksen aikana toimivat.

Organisaation on kuvattava käytännöt virhetilanteiden selvityksiin.

6.7: Käyttövaltuuksien hallinnan ja tunnistautumisen käytännöt
Tietoturvasuunnitelma