Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

5.1
ISO27k1 Täysi

ISO 27001 (2022): Täysi

5.1.1
ISO27 Täysi

ISO 27001 (2013): Täysi

7.2.2
ISO27 Täysi

ISO 27001 (2013): Täysi

HAL-01
Julkri

Julkri: TL IV-I

Muita saman teeman digiturvatehtäviä

Digiturva-asioiden käsittely työsopimuksissa

Critical
High
Normal
Low

Työsopimuksissa eritellään työntekijän ja organisaation vastuut tietoturvallisuudesta.

Sopimuksen tulisi sisältää mm.:

  • työntekijän juridiset vastuut ja oikeudet, esim. tekijänoikeus- tai tietosuojalainsäädäntöön liittyvät vastuut
  • työntekijän vastuu ohjeiden noudattamisesta mm. laitteiston ja tiedon käyttöön ja tietojen luokitteluun liittyen
  • työntekijän tai vuokratyöntekijän vastuu muilta yrityksiltä tai muilta osapuolilta saadun tiedon käsittelyssä
  • toimenpiteet, jos työntekijä tai vuokratyöntekijä rikkoo organisaation turvallisuusvaatimuksia
  • työsuhteen päättymisen jälkeen jatkuvat velvollisuudet
7.1.2: Työsopimuksen ehdot
ISO27 Täysi
7.3: Työsuhteen päättyminen tai muuttuminen
ISO27 Täysi
7.3.1: Työsuhteen päättyminen tai vastuiden muuttuminen
ISO27 Täysi
PR.DS-5: Data leak protection
NIST
PR.IP-11: Cybersecurity in human resources
NIST

Salassapitositoumusten käyttö

Critical
High
Normal
Low

Kaikkien luottamuksellisia tietoja käsittelevien työntekijöiden olisi allekirjoitettava salassapito- tai vaitiolositoumus ennen luottamuksellisen tiedon käsittelyä.

Salassapitositoumuksen tulisi sisältää mm.:

  • luottamuksellisen tiedon selkeä määrittely
  • sitoumuksen oletettu kesto
  • edellytetyt toimenpiteet, kun sitoumus puhdistetaan.
  • allekirjoittaneiden vastuut ja toimenpiteet, jotta vältetään luvaton tiedon paljastaminen.
  • tiedon, liikesalaisuuksien ja aineettoman omaisuuden omistajuus ja miten tämä liittyy luottamuksellisen tiedon suojaamiseen.
  • luottamuksellisen tiedon sallittu käyttö ja allekirjoittaneen oikeudet käyttää tietoa
  • oikeus tarkastaa ja valvoa toimintoja, joihin liittyy luottamuksellista tietoa.

Salassapitosopimuksien edellytyksiä ja tarpeita tarkistellaan ja päivitetään säännöllisin väliajoin.

T10: Salassapito- ja vaitiolositoumukset
Katakri
7.1.2: Työsopimuksen ehdot
ISO27 Täysi
7.3: Työsuhteen päättyminen tai muuttuminen
ISO27 Täysi
7.3.1: Työsuhteen päättyminen tai vastuiden muuttuminen
ISO27 Täysi
13.2.4: Salassapito- ja vaitiolositoumukset
ISO27 Täysi

Personnel compliance with information security policies

Critical
High
Normal
Low

Salassapitositoumusten katselmointi

Critical
High
Normal
Low

Salassapito- ja vaitiolositoumuksia koskevia vaatimuksia katselmoidaan säännöllisin aikavälein ja aina silloin, kun tapahtuu näihin vaatimuksiin vaikuttavia muutoksia.

7.1.2: Työsopimuksen ehdot
ISO27 Täysi
13.2.4: Salassapito- ja vaitiolositoumukset
ISO27 Täysi
6.2: Työsuhteen ehdot
ISO27k1 Täysi
6.6: Salassapito- ja vaitiolositoumukset
ISO27k1 Täysi
6.1.2: Non-disclosure agreement management
TISAX

Kurinpitoprosessi tietoturvarikkomuksia varten

Critical
High
Normal
Low

Organisaatiomme on määritellyt toimenpiteet, joihin ryhdytään tietoturvarikkomustapauksissa. Nämä voidat sisältää mm. seuraavia vaiheita:

  • selvitetään, mitä tietoja vuodettiin ja miten vahingollista tämä oli
  • selvitetään, oliko teko tahallinen
  • selvitetään, mitä salassapitositoumuksessa oli sovittu toimenpiteiksi
  • päätetään, halutaanko asiaa viedä eteenpäin ja miten (esim. oikeudelliset toimet)
  • selvitetään, tarvitaanko ulkopuolista apua
7.2.3: Kurinpitoprosessi
ISO27 Täysi
PR.IP-11: Cybersecurity in human resources
NIST
6.4: Kurinpitoprosessi
ISO27k1 Täysi
5.28: Todisteiden kerääminen
ISO27k1 Täysi
7.3: Tietoisuus
ISO27k1 Täysi

Työsopimuksen allekirjoittaminen ennen tietoihin pääsyn antamista

Critical
High
Normal
Low

Organisaation täytyy varmistaa, että uusi työntekijä allekirjoittaa työsopimuksen ennen kuin hän pääsee käsiksi mihinkään organisaation tietoaineistoihin tai tietojärjestelmiin.

Työsopimuksesta pitäisi käydä ilmi työntekijän vastuut tietoturvallisuuteen liittyen sekä muut organisaation tietoturvalle oleelliset roolit.

Yleisen tietoturvapolitiikan muodollinen hyväksyminen

Critical
High
Normal
Low

Organisaatiomme työntekijät hyväksyvät johdon muodostaman yleisen tietoturvapolitiikan allekirjoituksellaan. Politiikka voi viitata useisiin tarkempiin tietoturvasääntöihin.

7.2.2: Tietoturvatietoisuus, -opastus ja -koulutus
ISO27 Täysi
5.1.1: Tietoturvapolitiikat
ISO27 Täysi
HAL-01: Periaatteet
Julkri
5.1: Tietoturvapolitiikat
ISO27k1 Täysi

Tarvittavien näkökohtien varmistaminen henkilöstön salassapito- tai vaitiolosopimuksiin

Critical
High
Normal
Low

Organisaation luottamuksellisuus- tai salassapitosopimukset jatkuvat työsopimuksen tai toimeksiannon jälkeenkin.

Organisaatio on myös määritellyt menettelyn, jolla käsitellään henkilöstön velvollisuusrikkomuksia.

2.1.2: Staff compliance with information security policies
TISAX
6.1.2: Non-disclosure agreement management
TISAX