Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

2.1.4
NSM ICT-SP

NSM ICT Security Principles (Norway)

CC9.2
SOC 2

SOC 2 (järjestelmät ja organisaation hallintakeinot)

Muita saman teeman digiturvatehtäviä

Toimittajasopimusten nykytilan dokumentointi

Critical
High
Normal
Low

Kaikkien tietojen käsittelyyn suorasti tai välillisesti osallistuvien kumppanien kanssa laaditaan toimittajasopimus. Tavoitteena on varmistaa, että organisaation ja toimittajan välillä ei ole väärinymmärryksiä osapuolten velvoitteista tietoturvavaatimusten täyttämisessä.

Organisaatio sisällyttää toimittajasopimukseen tarvittaessa seuraavat asiat:

  • toimittajan käyttämät tiedot (ja tiedon mahdollinen luokitus) sekä tietoihin pääsyn saava henkilöstö
  • tiedon hyväksyttävän käytön säännöt
  • tietoja käsittelevän henkilöstön salassapitovelvollisuus
  • työnjako viranomaisvaatimusten täyttämisessä
  • sopimusosapuolten hallintatehtävät tietoturvaan liittyen (esim. pääsynhallinta, valvonta)
  • häiriöiden ilmoittaminen ja korjaaminen
  • vaatimukset toimittajan alihankkijoiden käytölle
  • lupa auditoida sopimukseen liittyvät toimittajan prosessit ja hallintakeinot (ja puutteiden korjaaminen)
  • sitoutuminen tietojen palauttamiseen tai tuhoamiseen sopimuksen päättyessä
  • toimittajan vastuu noudattaa organisaation tietoturvakäytäntöjä
28. Henkilötietojen käsittelijä
GDPR
15.1.3: Tieto- ja viestintätekniikan toimitusketju
ISO27 Täysi
A.7.2.6: Contracts with PII processors
ISO 27701
HAL-16.1: Hankintojen turvallisuus - sopimukset
Julkri
TSU-04: Henkilötietojen käsittelijä
Julkri

Tietoja käsittelevien kumppanien listaus ja omistajien nimeäminen

Critical
High
Normal
Low

Organisaation on ylläpidettävä listaa kumppaneista, joilla on pääsy luottaumuksellisiin tietoihin. Järjestelmätoimittajat sekä henkilötietojen käsittelijät listataan erillään muista sidosryhmistä, koska heillä on aktiivinen rooli tietojen käsittelyssä.

28. Henkilötietojen käsittelijä
GDPR
44. Siirtoja koskeva yleinen periaate
GDPR
26. Yhteisrekisterinpitäjät
GDPR
15.1.1: Toimittajasuhteiden tietoturvapolitiikka
ISO27 Täysi
8.1.1: Suojattavan omaisuuden luetteloiminen
ISO27 Täysi

Asiakasryhmien dokumentointi, joiden tietoja organisaatio käsittelee

Critical
High
Normal
Low

Organisaation on määritettävä

  • tietoturvallisuuden hallintajärjestelmän kannalta olennaiset sidosryhmät
  • näiden sidosryhmien asettamat tietoturvallisuutta koskevat vaatimukset

Organisaation toiminnalle tärkeät asiakasryhmät tai yksittäiset merkittävät asiakkaat ovat yleensä yksi tärkeimmistä sidosryhmistä myös tietoturvallisuuden näkökulmasta. Muita sidosryhmiä tarkastellaan muiden tehtävien kautta.

CLD 8.1.5: Removal of cloud service customer assets
ISO 27017
CLD 6.3: Relationship between cloud service customer and cloud service provider
ISO 27017
CLD 6.3.1: Shared roles and responsibilities within a cloud computing environment
ISO 27017
A.8.2.1: Customer agreement
ISO 27701
4.2: Sidosryhmät
ISO27k1 Täysi

Muiden sidosryhmien dokumentointi

Critical
High
Normal
Low

Organisaation on määritettävä

  • tietoturvallisuuden hallintajärjestelmän kannalta olennaiset sidosryhmät
  • näiden sidosryhmien asettamat tietoturvallisuutta koskevat vaatimukset

Tietojärjestelmätoimittajia sekä henkilötietojen käsittelijöitä tarkastellaan muiden tehtävien kautta.

HAL-04.6: Suojattavat kohteet - sidosryhmät
Julkri
HAL-05: Vaatimukset
Julkri
4.2: Sidosryhmät
ISO27k1 Täysi
3: Keskeisten sidos- ja asiakasryhmien kartoitus
Kokonaiskuva (DVV)
21.2.d: Supply chain security
NIS2

Toimittajayrityskohtaisten vastuuhenkilöiden määrittely

Critical
High
Normal
Low

Toimittajayrityksille on nimetty vastuuhenkilö, joka seuraa toimittajan toimintaa, tiedotusta sekä sopimuksen noudattamista.

Vastuuhenkilöllä on oltava riittävät taidot digiturvavaatimusten analysointiin toimittajan kriittisyydestä riippuen. Vastuuhenkilö myös huolehtii, että toimittaja nimittää omalta puoleltaan vastuuhenkilön varmistamaan sopimuksen noudattamisen.

15.2.2: Toimittajan palveluihin tulevien muutosten hallinta
ISO27 Täysi
8.1.2: Suojattavan omaisuuden omistajuus
ISO27 Täysi
ID.SC-4: Audit suppliers and third-party partners
NIST
CC9.2: Partner risk management
SOC 2
ID.SC-4: Suppliers and third-party partners are routinely assessed using audits, test results, or other forms of evaluations to confirm they are meeting their contractual obligations.
CyFun

Toimittajien tietoturvavaatimusten noudattamisen seuranta

Critical
High
Normal
Low

Nimetty vastuuhenkilö seuraa toimittajan toimintaa ja palveluita aktiivisesti, jotta varmistetaan sopimusten tietoturvaehtojen noudattaminen ja tietoturvahäiriöiden asianmukainen hallinta.

Seurantaan sisältyvät seuraavat asiat:

  • luvatun palvelutason tarkkailu
  • toimittajan raporttien katselmointi ja seurantapalaverien järjestäminen
  • riippumattomien auditointien säännöllinen järjestäminen
  • auditoinneissa tunnistettujen ongelmien seuranta
  • tietoturvahäiriöiden tarkempi selvittäminen ja niihin liittyvän dokumentaation katselmointi
  • toimittajan tulevaisuuteen liittyvien suunnitelmien läpikäynti (palvelutason ylläpitämiseen liittyen)
32. Käsittelyn turvallisuus
GDPR
15.1.1: Toimittajasuhteiden tietoturvapolitiikka
ISO27 Täysi
15.2.1: Toimittajien palvelujen seuranta ja katselmointi
ISO27 Täysi
ID.GV-2: Cybersecurity role coordination
NIST
ID.SC-1: Cyber supply chain
NIST

Yksityiskohtaiset kuvaukset vaadittavista turvatoimenpiteistä tarjottaviin pilvipalveluihin liittyville alihankkijoille

Critical
High
Normal
Low

Osallistaessaan alikäsittelijöitä mukaan tarjottuihin pilvipalveluihin liittyvien henkilötietojen käsittelyyn organisaatio varmistaa, että sopimuksissa on selkeästi määritelty alikäsittelijöiltä vaadittavat tekniset ja organisatoriset vähimmäisturvatoimenpiteet.

A.11.12: Sub-contracted PII processing
ISO 27018
15.1.3: Tieto- ja viestintätekniikan toimitusketju
ISO 27017
PR.AT-3: Third-party stakeholders (e.g., suppliers, customers, partners) understand their roles and responsibilities.
CyFun

Palvelutasovaatimukset tietojenkäsittely-ympäristöön liittyvissä sopimuksissa

Critical
High
Normal
Low

Organisaation on sisällyttänyt toiminnan jatkuvuuden edellyttämät palvelutasovaatimukset osaksi hankintavaatimuksia ja sopimuksia.

Etenkin kriittisten toimintojen kannalta välttämättömistä tietojenkäsittely-ympäristön osista (mm. näitä toimintoja tukevat tietojärjestelmät ja kumppanit) on tärkeää sopia tavalla, jolla taataan palvelujen riittävä saatavuus. Sopimuksiin voidaan sisällyttää vaatimuksia mm. yleisestä palvelutasosta (SLA) sekä ongelmatilanteista palautumisesta (RPO, RTO).

28: Palvelutasovaatimukset sopimuksissa
Kokonaiskuva (DVV)
Article 30: Key contractual provisions
DORA
2.1.9: Maintain security responsibility during outsourcing
NSM ICT-SP

Vastuiden viestittäminen toimittajille

Critical
High
Normal
Low

Organisaation on viestittävä toimittajille heidän roolinsa ja vastuunsa toimitusketjun tietoturvassa. On myös varmistettava, että toimittajat ymmärtävät heille kohdistetut tietoturvaohjeensa sekä mahdolliset muut tietoturvavastuut sopimusten mukaisesti.

PR.AT-3: Third-party stakeholders
NIST
1.2.4: Definition of responsibilities with service providers
TISAX
ID.BE-1: The organization’s role in the supply chain is identified and communicated.
CyFun
PR.AT-3: Third-party stakeholders (e.g., suppliers, customers, partners) understand their roles and responsibilities.
CyFun

Yhteydenpito relevantteihin viranomaisiin

Critical
High
Normal
Low

Organisaatio listaa relevantit viranomaistoimijat, joihin on tärkeää pitää aktiivisesti yhteyttä sekä tarvittaessa saada yhteys nopeasti. Näitä viranomaisia ovat mm. kansallisia lakeja toimeenpanevat sekä valvontaa toteuttavat viranomaiset.

Relevantteihin viranomaisiin olisi määriteltävä selkeä yhteyshenkilö, joka toimii yhteyspisteenä organisaatioon.

6.1.3: Yhteydet viranomaisiin
ISO27 Täysi
RC.CO-1: Public relations
NIST
5.5: Yhteydet viranomaisiin
ISO27k1 Täysi
23.1: Incident notifications to CSIRT and recipients of services
NIS2
CC2.3: Communication with external parties
SOC 2

Yhteydenpito cloud-toimialaan liittyviin sidosryhmiin

Critical
High
Normal
Low

Organisaation tulee ylläpitää aktiivisesti yhteyksiä cloud-toimialaan liittyviin sidosryhmiin ja muihin merkittäviin tekijöihin, jotka liittyvät organisaation toimintaan.

6.1.4: Yhteydet osaamisyhteisöihin
ISO 27017
ID.RA-2: Cyber threat intelligence
NIST

Tiedonjakosopimusten ja ilmoittamisvelvollisuuksien määrittäminen

Critical
High
Normal
Low

Määrittele osallistumisedellytykset tietojen jakamisjärjestelyissä ja ilmoita osallistumisesta toimivaltaisille viranomaisille.

  1. Määritä osallistumisedellytykset tietojen jakamisjärjestelyissä, mukaan lukien julkisten viranomaisten osallistuminen ja niiden mahdolliset roolit, kolmannen osapuolen palveluntarjoajien osallistuminen ja operatiiviset yksityiskohdat, kuten omistettujen IT-alustojen käyttö.
  2. Ilmoita osallistumisesta tietojen jakamisjärjestelyihin toimivaltaisille viranomaisille jäsenyyden vahvistamisen yhteydessä tai tarvittaessa jäsenyyden lopettamisesta sen tullessa voimaan.
Chapter VI: Information-sharing arrangements
DORA
Article 45: Information-sharing arrangements on cyber threat information and intelligence
DORA

Riskinarviointi ja harkinta kriittisiä toimintoja tukevien ICT-palvelujen hankinnassa

Critical
High
Normal
Low

Arvioidessaan kriittisiä toimintoja tukeviin ICT-palveluihin liittyviä riskejä tulee ottaa huomioon:

  • Onko kyseessä sopimuksen tekeminen ei-korvattavan ICT-palveluntarjoajan kanssa.
  • Useiden sopimusten vaikutukset samojen tai läheisesti toisiinsa liittyvien ICT-palveluntarjoajien kanssa.
  • Vvaihtoehtoisten ratkaisujen arviointi, kuten eri palveluntarjoajien käyttö, liiketoiminnan tarpeiden mukauttaminen ja digitaalinen häiriönsietostrategia.

Mitä tulee alihankintaan:

  • Rahoituslaitosten tulee arvioida alihankinnan hyödyt ja riskit, erityisesti kun alihankkijat sijaitsevat kolmansissa maissa.
  • Maksukyvyttömyyslain säännösten huomioon ottaminen palveluntarjoajan konkurssin ja tietojen palauttamisen rajoitusten yhteydessä.
  • Unionin tietosuojasääntöjen noudattaminen ja lainvalvonta kolmansissa maissa.
  • Monimutkaisten alihankintaketjujen mahdollisten vaikutusten arviointi seuranta- ja valvontakykyyn.
Article 29: Preliminary assessment of ICT concentration risk at entity level
DORA
2.1.9: Maintain security responsibility during outsourcing
NSM ICT-SP

Keskeiset sopimusvaatimukset kriittisiä toimintoja tukeville palveluntarjoajille

Critical
High
Normal
Low

Tärkeitä ICT-palveluita koskevien sopimusten tulee sisältää:

  • Yksityiskohtaiset palvelutason kuvaukset ja selkeät suorituskykytavoitteet tehokkaan valvonnan ja korjaavien toimenpiteiden varmistamiseksi.
  • Ilmoitusajat ja raportointivelvoitteet palvelun tarjontaan vaikuttavista muutoksista.
  • Varasuunnitelmat, turvatoimenpiteet ja käytännöt liiketoiminnan jatkuvuuden ja säännösten noudattamisen varmistamiseksi.
  • Osallistuminen rahoitusyksikön TLPT:hen (uhkalähtöinen penetraatriotestaus).
  • Oikeudet seurata suorituskykyä pääsyn, tarkastusten ja auditointien avulla, ja vaihtoehtoisia vakuutustasoja koskevat määräykset.
  • Yhteistyö toimivaltaisten viranomaisten tai nimettyjen tahojen suorittamien tarkastusten ja auditointien aikana.
  • Yksityiskohdat tarkastusten ja auditointien laajuudesta, menettelyistä ja tiheydestä.
  • Irtautumisstrategiat, mukaan lukien siirtymäkaudet saumattomalle siirtymiselle tai uudelleenjärjestelylle.
  • Mikroyrityksille mahdollisuus siirtää valvontaoikeudet palveluntarjoajan nimeämälle riippumattomalle kolmannelle osapuolelle.
Article 30: Key contractual provisions
DORA

Ulkoisten tietotekniikkapalvelujen hankinnan ja käytön hallinta

Critical
High
Normal
Low

Ulkopuolisia tietotekniikkapalveluja ei käytetä ilman tietoturvavaatimusten nimenomaista arviointia ja täytäntöönpanoa:

  • Ulkoisista IT-palveluista on saatavilla riskinarviointi.
  • Oikeudelliset, sääntelyyn liittyvät ja sopimusvaatimukset otetaan huomioon.

Ulkoisen IT-palvelun on täytettävä niiden käsittelemien tietojen osalta tarvittavat vaatimukset.

  • Organisaatiolla olisi oltava menettely, jolla määritetään, täyttääkö ulkoinen IT-palvelu vaatimukset, ennen kuin sille annetaan pääsy tietoihin.
  • Ennen kuin ulkoisia IT-palveluja (kuten pilvipalveluja, ohjelmistoja tai kolmannen osapuolen IT-tukea) aletaan käyttää, palvelun on täytettävä organisaation vaatimukset (esim. yhteensopivuuden, turvallisuuden, kustannustehokkuuden ja organisaation tarpeiden mukaisuuden osalta).

Organisaation on tarkistettava säännöllisin väliajoin, että vain hyväksyttyjä ulkoisia IT-palveluja on käytössä.

1.3.3: Use of approved external IT services
TISAX

Ulkosuhdevastaavan nimeäminen

Critical
High
Normal
Low

Organisaatio koordinoi, miten suhteita yleisöön hoidetaan ottamalla käyttöön jäsennelty ulkosuhteiden ja yleisön hallintaprosessi. Organisaatio nimeää oman ulkosuhteista vastaavan henkilön hoitamaan kaikki mediavuorovaikutukset, käsittelemään haastattelupyyntöjä, käsittelemään puhelinsoittoja ja sähköpostipyyntöjä sekä varmistamaan, että julkisuuteen suunnattu tieto on organisaation toimintaperiaatteiden mukaista.

RC.CO-1: Public relations are managed.
CyFun

Sopimusten tekeminen kolmansien osapuolten kanssa konsultoinnin tarjoamisesta poikkeamien aikana

Critical
High
Normal
Low

Organisaation olisi tehtävä sopimuksia asiaankuuluvien kolmansien osapuolten kanssa, jotta ne voivat tarvittaessa tarjota konsultointia poikkeamien aikana.

Tällaisia kolmansia osapuolia voivat olla esimerkiksi CERT-ryhmät (Computer Emergency Response Teams), eri alojen tietotekniikka-asiantuntijat sekä laitteiden tai ohjelmistojen toimittajat.

4.1.4: Establish agreements with relevant third parties
NSM ICT-SP

Process for handling and sharing vulnerability disclosures

Critical
High
Normal
Low

Organization establishes processes and means to handle and share vulnerability disclosures such as:

  • Processes for receiving, analyzing, and responding to vulnerability disclosures from suppliers, customers, partners, and government cybersecurity organizations
  • Vulnerability information sharing between the organization and suppliers, following contractual rules and protocols
  • Assigning responsibilities to relevant personnel for processing and analyzing the impact of disclosed cybersecurity threats, vulnerabilities, or incidents
RS.AN-5: Processes are established to receive, analyse, and respond to vulnerabilities disclosed to the organization from internal and external sources.
CyFun

Toimittajan palveluja koskevien muutosten hallinta

Critical
High
Normal
Low

Vastuuhenkilö seuraa merkittäviä muutoksia toimittajan toiminnassa, jotka voivat vaikuttaa toimittajasuhteeseen ja palveluntarjontaan sekä vaatia täten muita toimenpiteitä. Seuraavat näkökohdat huomioidaan:

  • suorat muutokset toimittajasopimuksiin
  • palvelusisällön parannukset, uudet teknologiat tai uusien palvelujen kehittäminen
  • toimintatapojen merkittävät muutokset (joko tietoturvaan tai muuhun toimintaan liittyen)
  • tietojen fyysistä sijaintia koskevat muutokset
  • toimittajaketjun / alihankintaprosessin muutokset
15.2.2: Toimittajan palveluihin tulevien muutosten hallinta
ISO27 Täysi
HAL-16.1: Hankintojen turvallisuus - sopimukset
Julkri
CC9.2: Partner risk management
SOC 2
CC3.4: Identification and assesment of changes
SOC 2

Tärkeiden henkilötietojen käsittelijöiden käsittelysopimusten arviointi

Critical
High
Normal
Low

Käsittelysopimuksella sidotaan henkilötietoja käsittelevän kumppaniin tekemisiä. Etenkin tärkeiden kumppanien kanssa käsittelysopimuksen sisältöä on syytä analysoida tarkemmin, josta dokumentoidaan oma arvioinsa. Tärkeät kumppanit voivat olla meihin nähden joko henkilötietojen käsittelijöitä tai rekisterinpitäjiä.

Meille voi olla tärkeää esimerkiksi vastuuttaa tärkeää kumppania huolehtimaan salassapitovelvollisuuden varmistamisesta henkilöstölleen sekä rajoittaa toisten henkilötietojen käsittelijöiden (alihankinnan) käyttöä tietoihimme liittyen.

28. Henkilötietojen käsittelijä
GDPR
15.1.2: Toimittajasopimusten turvallisuus
ISO27 Täysi
TSU-04.1: Henkilötietojen käsittelijä - Sopimukset
Julkri
5.20: Toimittajasopimusten tietoturvallisuus
ISO27k1 Täysi
P6.5: Notification of unauthorized disclosure of personal information from third parties
SOC 2

Sopimusehdot suorasti asiakasympäristöihin liittyvien muutosten rajoittamiseksi

Critical
High
Normal
Low

Toimittaja- ja kumppanisopimuksiin tulee sisällyttää vaatimuksia, jotka rajaavat suorasti asiakasympäristöihin vaikuttavia muutoksia.

Muutosten tulisi olla nimenomaisesti hyväksyttyjä sekä palveluntasosopimusten piiriin sisältyviä.

Yhteydenpito toimialakohtaisiin intressiryhmiin

Critical
High
Normal
Low

Organisaation tulee ylläpitää aktiivisesti yhteyksiä organisaation toimialaan liittyviin sidosryhmiin ja muihin merkittäviin tekijöihin, jotka liittyvät organisaation toimintaan ja turvallisuuteen.

Tavoitteena etenkin:

  • lisätä tietoa parhaista käytännöistä ja pysyä ajan tasalla olennaisesta turvallisuustiedosta
  • varmistaa, että ymmärtämys tietoturvaympäristöstä on ajantasaista ja täydellistä
6.1.4: Yhteydet osaamisyhteisöihin
ISO27 Täysi
ID.RA-2: Cyber threat intelligence
NIST
RS.CO-5: Voluntary information sharing
NIST
RC.CO-1: Public relations
NIST
5.6: Yhteydet osaamisyhteisöihin
ISO27k1 Täysi

Toimittajakohtaisten tietosuojasitoumusten kerääminen ja valvonta

Critical
High
Normal
Low

Organisaation tulee hankkia luottamuksellisuutta koskevia sitoumuksia:

  • myyjiltä
  • liikekumppaneilta

Lisäksi tulee hankkia yksityisyyssitoumuksia:

  • myyjiltä
  • liikekumppaneilta

sitoumuksien hankkimisen lisäksi organisaation tulee arvioida:

  • myyjien ja liikekumppaneiden tietosuojasitoumusten noudattamista
  • myyjien ja liikekumppaneiden luottamuksellisuussitoumusten noudattamista
CC9.2: Partner risk management
SOC 2
2.1.4: Reduce the risk of targeted manipulation of ICT products in the supply chain
NSM ICT-SP

Jatkuvuussuunnitelmiin liittyvä viestintä sidosryhmille

Critical
High
Normal
Low

Luo yhteys, ja kommunikoi, sidosrymien ja osallistujien kanssa jatkuvuussuunnitelman ja selviytymismenettelyjen aikana.