Tietosuojamalliin luottavat isot ja pienet, yritykset, kunnat ja järjestöt.
Yhteenveto tärkeimmistä teemoista
Tämä on viimeinen webinaari 5-osaisessa webinaarisarjassamme "Digiturvamallin huippuosaajaksi". Tässä osassa käsitellään saavutetun hyvän digiturvatason ylläpitämistä, osoittamista sekä jatkuvaa parantamista.
Webinaarisarjassa käytetään koulutustyökaluna Digiturvamallia (digiturvamalli.fi), jonka avulla organisaation oma digiturvan hallintajärjestelmä rakennetaan ja esimerkiksi sertifioitumisen vaatima tieto kerätään yhteen paikkaan.
Webinaari soveltuu erinomaisesti joko Digiturvamallista kiinnostuneille tai organisaatioiden uusille Digiturvamallin pääkäyttäjille / ydintiimin jäsenille.
Webinarin sisältö
1. Oman tietoturvan hallintajärjestelmän operointi
Avainhenkilöstön tehtävien valvonta
Henkilöstön ohjeistusten valvonta ja vaikuttavuus
Dokumentaation ajantasaisuuden ylläpito
2. Riskienhallinnan ylläpito ja merkittäviin tapahtumiin reagointi
Uudet / muuttuneet riskit
Tietoturvahäiriöt
Merkittävät muutokset
3. Hallintajärjestelmän ylläpitomenettelyt ja niiden tulosten käsittely
Sisäisten auditoinnit ja korjaavat toimenpiteet
Johdon katselmukset ja parannukset
Henkilöstömuutosten käsittely ja omistajuudet
Muutostenhallinta
4. Raportointi - hyvän digiturvatason osoittaminen
Vaatimustenmukaisuuden näkökulma
Politiikkadokumentit johdolle
Muut raportit
Otamme mielellään kysymyksiä ja kommentteja vastaan koko webinarin ajan! Nämä ovat myös tärkeä osa webinarin sisältöä.
P.s. Webinariin ilmoittautuminen ei sido sinua mihinkään. Voit myös osallistua webinaariin joko "livenä" tai tallenteen kautta, jonka saat ilmoittautuneena sähköpostiisi automaattisesti webinaarin jälkeen.
Onko ISO 27001 sama kuin ISO27001, IEC 27001 tai ISO 27001 standardi?
Kyllä on. Voit löytää kaikenlaisia viittauksia ISO 27001 tietoturvallisuuden standardiin. Virallinen nimi standardille on “ISO/IEC 27001 – Information technology — Security techniques — Information security management systems — Requirements.”
ISO 27001 on johtava kansainvälinen tietoturvaan keskittyvä standardi, jonka ovat julkaisseet kaksi tärkeää organisaatiota - Kansainvälinen standardointijärjestö (ISO) ja International Electrotechnical Commission (IEC). Molemmat ovat johtavia kansainvälisiä järjestöjä, jotka kehittävät kansainvälisiä standardeja. ISO 27001 -standardi on ensisijainen osa standardien sarjassa, joka on kehitetty tietoturvallisuuden ja digiturvallisuuden hallintaa varten: ISO/IEC 27000-sarja. Sarja on tarkoituksellisesti laaja, ja se kattaa enemmän kuin vain yksityisyyden, luottamuksellisuuden ja IT- / tekniset / kyberturvallisuuskysymykset.
27001 ISO, framework ISO 27001, ISO 27k... kaikki viittaavat samaan kokonaisuuteen.
Miksi ISO 27001 on tärkeä?
Standardi ei ainoastaan tarjoa yrityksille tarvittavaa osaamista arvokkaimpien tietojen suojaamiseen, vaan yritys voi myös saada ISO 27001 -sertifikaatin ja siten todistaa asiakkailleen ja yhteistyökumppaneilleen, että se suojaa heidän tietojaan. ISO 27001 -sertifiointi on luultavasti paras todiste asiakkaille siitä, että tietoturva otetaan vakavasti ja sitä hallitaan järjestelmällisesti organisaatiossa.
Myös yksityishenkilöt voivat saada ISO 27001 -sertifikaatin osallistumalla kurssille ja läpäisemällä kokeen ja siten todistamalla taitonsa esimerkiksi työnantajille. Yksityishenkilöille on erilaisia sertifiointeja, esimerkiksi ISO 27001 Internal Auditor, ISO 27001 Lead Auditor tai ISO 27001 Lead Implementer.
Koska ISO 27001 on kansainvälinen standardi, se tunnistetaan helposti kaikkialla maailmassa. Tämän takia sertifioituminen voi tuoda merkittäviä vaikutuksia organisaation myyntiin tai maineeseen.
Voit halutessasi samalla tilata itsellesi ilmaisen Digiturvatulkki-uutiskirjeen, jossa viikottain toimitamme tilaajille tärkeimmät digiturvauutiset lyhyiden tulkkausten kera sekä listauksen tulevista webinaareista.
Käytämme Livestorm-webinaariohjelmistoa, jonka käyttöehdot ilmoittautuessa tulee hyväksyä.
Saanko tallenteen webinaarista?
Kyllä - saat linkin tallenteeseen automaattisesti sähköpostiisi, mikäli olet rekisteröitynyt webinaariin. Voit välittää tallennetta halutessasi myös kollegoillesi.
Miten webinaariin osallistutaan?
Rekisteröityneenä saat sähköpostiisi viestin, jossa on suora linkki webinaarihuoneeseen. Tarvitset henkilökohtaisen pääsykoodin, joka löytyy myös sähköpostista.
Osallistumiseen suositellaan Chrome-, Firefox- tai Safari-selainta, mutta kaikilla nykyaikaisilla selaimilla lähetys yleensä toimii mainiosti.
Entä jos en ehdikään paikalle?
Ei mitään hätää - saat automaattisesti linkin tallenteeseen sähköpostiisi ja voit osallistua katselemalla sen sinulle sopivana aikana. Jos webinaari herättää kysymyksiä, voit kysyä esim. suoraan osoitteesta tiimi@digiturvamalli.fi.
Voinko kommentoida / kysyä webinaarissa?
Kyllä oikein mielellään. Webinaarissa voit kommentoida joko julkisesti käyttäen Keskustelu-näkymää tai yksityisesti käyttäen Kysymykset-välilehteä.
Näkyykö osallistumiseni muille?
Osallistujat eivät näe muita osallistujia webinaarissa. Mikäli kommentoit julkisessa Keskustelu-osiossa, etunimesi ja kommenttisi näkyy myös muille.
NIS2-direktiivi Digiturvamallissa
NIS2-direktiiviä ollaan ottamassa käyttöön kaikissa EU-maissa, ja Digiturvamalli auttaa teitä rakentamaan tietoturvasuunnitelman, jonka avulla otatte haltuun tämän ja tulevat tietoturvavaatimukset.
Työkalu jakaa direktiivin yleisiin ja hallittavan kokoisiin tietoturvatehtäviin, jotka auttavat teitä seuraamaan organisaationne edistymistä reaaliaikaisen raportoinnin ja ohjeistuksen avulla.
ISO 27001 on maailman tunnetuin tietoturvastandardi. Digiturvamalli auttaa teitä rakentamaan vaatimukset täyttävän tietoturvasuunnitelman, jonka avulla myös tulevien vaatimusten täyttäminen sujuu mutkitta.
Työkalu jakaa standardin yleisiin ja hallittavan kokoisiin tietoturvatehtäviin, jotka auttavat teitä seuraamaan organisaationne edistymistä reaaliaikaisen raportoinnin ja ohjeistuksen avulla.
Käsittelemme oman digiturvan hallintajärjestelmän uskottavaa pyörittämistä, jatkuvaa kehittämistä sekä digiturvatyöhön liittyvää valvontaa.
Webinaarin tarkempi kuvaus
Tämä on viimeinen webinaari 5-osaisessa webinaarisarjassamme "Digiturvamallin huippuosaajaksi". Tässä osassa käsitellään saavutetun hyvän digiturvatason ylläpitämistä, osoittamista sekä jatkuvaa parantamista.
Webinaarisarjassa käytetään koulutustyökaluna Digiturvamallia (digiturvamalli.fi), jonka avulla organisaation oma digiturvan hallintajärjestelmä rakennetaan ja esimerkiksi sertifioitumisen vaatima tieto kerätään yhteen paikkaan.
Webinaari soveltuu erinomaisesti joko Digiturvamallista kiinnostuneille tai organisaatioiden uusille Digiturvamallin pääkäyttäjille / ydintiimin jäsenille.
Webinarin sisältö
1. Oman tietoturvan hallintajärjestelmän operointi
Avainhenkilöstön tehtävien valvonta
Henkilöstön ohjeistusten valvonta ja vaikuttavuus
Dokumentaation ajantasaisuuden ylläpito
2. Riskienhallinnan ylläpito ja merkittäviin tapahtumiin reagointi
Uudet / muuttuneet riskit
Tietoturvahäiriöt
Merkittävät muutokset
3. Hallintajärjestelmän ylläpitomenettelyt ja niiden tulosten käsittely
Sisäisten auditoinnit ja korjaavat toimenpiteet
Johdon katselmukset ja parannukset
Henkilöstömuutosten käsittely ja omistajuudet
Muutostenhallinta
4. Raportointi - hyvän digiturvatason osoittaminen
Vaatimustenmukaisuuden näkökulma
Politiikkadokumentit johdolle
Muut raportit
Otamme mielellään kysymyksiä ja kommentteja vastaan koko webinarin ajan! Nämä ovat myös tärkeä osa webinarin sisältöä.
P.s. Webinariin ilmoittautuminen ei sido sinua mihinkään. Voit myös osallistua webinaariin joko "livenä" tai tallenteen kautta, jonka saat ilmoittautuneena sähköpostiisi automaattisesti webinaarin jälkeen.
Digiturvamalli - Työkalu kunnille tiedonhallintamallin rakentamiseksi ja ylläpitämiseksi
Digiturvamalli (https://digiturvamalli.fi) on Microsoft Teamsin sisällä toimiva hallintajärjestelmä tietoturva- ja tietosuoja-asioille.
1. Tiedonhallintalaki-vaatimuskehikko tarjoaa juuri oikeat sisällöt
Digiturvamallissa organisaation työskentelyä ohjataan valitsemalla sopiva vaatimuskehikko. Vaatimuskehikon valinta vaikuttaa kaikkiin muihin sisältöihin, joita ovat mm.
dokumentaatiolistat tiedonhallintamallin kaikkia elementtejä varten (mm. toimintaprosessit, tietovarannot, tietojärjestelmät)
tehtävälistat, joiden kautta työnjako eri vastuiden suhteen organisaatiossa määritetään ja tarvittavat todisteet toteutuksesta kerätään
ohjesisällöt, joiden avulla henkilöstön tietoturvaohjeistus ja -koulutus voidaan viedä ketterään ja valvottuun muotoon (tähän voidaan edetä työssä myöhemmin)
raporttipohjat, joiden avulla kaikkea palvelun sisältöä saadaan yhdellä klikkaukselle vedettyä yhteen näyttäviksi koosteiksi joko omalle johdolle, ulkoiselle auditoijalle tai raportointia vaativalle viranomaiselle
2. Toteutussuunnitelmaa laittaa tehtävät selkeään järjestykseen
Digiturvamallissa työtä ohjataan tehtävien kautta. Tehtävät kertovat, mitä pitäisi tehdä, ja toteutussuunnitelma laittaa tehtävät prioriteettijärjestykseen.
Voit edetä toteutussuunnitelmaan mukaisesti joko tarkasti tai vapaammin, mutta sen avulla joka tapauksessa hahmotat, mitkä ovat tärkeitä ensimmäisiä askelia.
3. Dokumentoi tehokkaasti valmiiden kirjastosisältöjen ja älykkäiden pohjien avulla
Digiturvamalli tarjoaa valmiit pohjat vaadittavien asioiden dokumentoimiseen.
KuntaDNA-kirjastomme tarjoaa esimerkkisisältöjä jokaisessa kohdassa, jossa käyttäjä lisää sisältöä.
Nimeämällä vastuuhenkilöitä dokumentointityötä voidaan jakaa useampien henkilöiden kesken. Kukin näkee omalla vastuullaan olevat kohteet omassa Tehtäväkirja-näkymässään.
4. Muodosta vaaditut raportit yhdellä klikkauksella
Tiedonhallintalaki vaatii raportointia sekä organisaation sisäisesti että ulkoisesti kansalaisille.
Tiedonhallintamalli on kuvaus koko organisaation tiedonhallinnasta, josta Tiedonhallintalautakunta voi tarvittaessa pyytää otetta.
Asiakirjajulkisuuskuvaus on puolestaan kuntalaiselle suunniteltu kooste tiedonhallintamallin sisällöistä, joka voidaan upottaa kunnan omille verkkosivuille.
Raportit syntyvät Digiturvamallissa dokumentaation perusteella yhdellä klikkauksella, eikä omaa työtä tarvitse käyttää tietojen keräilyyn. Raporttikirjastoa laajennetaan jatkuvasti uusien tulkintojen ja vaatimusten mukaisesti.
Kunnille suunniteltu, selkeä ja yllätyksetön hinnoittelu
Digiturvamalli hinnoitellaan selkeällä vuosihinnalla kunnan asukasmäärän mukaan. Käyttö ei sisällä muita kuluja ja hintaan sisältyy kattava asiakastuki mm. chatin, sähköpostin sekä säännöllisten webinaarien kautta.
Alle 10 000 asukasta - 2900 € / vuosi
10 000 - 20 000 asukasta - 3900 € / vuosi
20 000 - 35 000 asukasta - 4900 € / vuosi
35 000 - 60 000 asukasta - 5900 € / vuosi
Yli 60 000 asukasta - Pyydä tarjous osoitteesta tiimi@digiturvamalli.fi
Kuntayhtymille tarjoamme oman hinnoittelun, josta kerromme mielellään lisää.
Haluatko tietää lisää Digiturvamallista?
Seuraavilla tavoilla pääset riskittömästi alkuun Digiturvamallin käytössä:
Digiturvamalli (https://digiturvamalli.fi) on Microsoft Teamsin sisällä toimiva hallintajärjestelmä tietoturva- ja tietosuoja-asioille.
1. GDPR-vaatimuskehikko nostaa esille oikeat asiat tietosuoja-setuksen näkökulmasta
Digiturvamallissa organisaation työskentelyä ohjataan valitsemalla sopiva vaatimuskehikko. Vaatimuskehikon valinta vaikuttaa kaikkiin muihin sisältöihin, joita ovat mm.
dokumentaatiolistat tietosuojan ydinelementtejä varten (mm. henkilötietovarannot, tietojärjestelmät, henkilötietojen käsittelijät sekä vaikutustenarvioinnit)
tehtävälistat, joiden kautta työnjako eri vastuiden suhteen organisaatiossa määritetään ja tarvittavat todisteet toteutuksesta kerätään
ohjesisällöt, joiden avulla henkilöstön tietosuojaohjeistus ja -koulutus voidaan viedä ketterään ja valvottuun muotoon
raporttipohjat, joiden avulla kerätystä sisällöstä saadaan yhdellä klikkauksella muodostettua vaikkapa tietosuojaselosteet, Seloste käsittelytoimista -raportti tai muita osoitusvelvollisuutta täyttäviä raportteja
2. Toteutussuunnitelmaa laittaa tehtävät selkeään järjestykseen
Digiturvamallissa työtä ohjataan tehtävien kautta. Tehtävät kertovat, mitä pitäisi tehdä, ja toteutussuunnitelma laittaa tehtävät prioriteettijärjestykseen.
Voit edetä toteutussuunnitelmaan mukaisesti joko tarkasti tai vapaammin, mutta sen avulla joka tapauksessa hahmotat, mitkä ovat tärkeitä ensimmäisiä askelia.
3. Dokumentoi tehokkaasti valmiiden kirjastosisältöjen ja älykkäiden pohjien avulla
Digiturvamalli tarjoaa valmiit pohjat vaadittavien asioiden dokumentoimiseen.
Kirjastosisällöstämme saat kattavasti esimerkkejä dokumentoinnin tueksi ja kattavien ohjeiden avulla ymmärrät aina, mitä kullakin elementillä tarkoitetaan.
Nimeämällä vastuuhenkilöitä dokumentointityötä voidaan jakaa useampien henkilöiden kesken. Kukin näkee omalla vastuullaan olevat kohteet omassa Tehtäväkirja-näkymässään.
4. Muodosta vaaditut raportit yhdellä klikkauksella
Tiedonhallintalaki vaatii raportointia sekä organisaation sisäisesti että ulkoisesti kansalaisille.
Seloste käsittelytoimista on kuvaus koko organisaation henkilötietojen käsittelystä, jota valvova viranomainen voi tarvittaessa organisaatiolta pyytää.
Tietosuojaseloteet-koostetta voidaan hyödyntää henkilötietojen käsittelystä informointiin upottamalla listaus organisaation verkkosivuille. Kooste voi olla tarvittaessa isoissa organisaatioissa ryhmitelty palvelualueittain (kuten alla), mutta tämä ei ole välttämätöntä.
Raportit syntyvät Digiturvamallissa dokumentaation perusteella yhdellä klikkauksella, eikä omaa työtä tarvitse käyttää tietojen keräilyyn. Raporttikirjastoa laajennetaan jatkuvasti uusien tulkintojen ja vaatimusten mukaisesti.
Haluatko tietää lisää Digiturvamallista?
Seuraavilla tavoilla pääset riskittömästi alkuun Digiturvamallin käytössä:
Digiturvamalli - Työkalu ISO 27001 -standardin mukaisen hallintajärjestelmän ylläpitämiseksi
Digiturvamalli (https://digiturvamalli.fi) on Microsoft Teamsin sisällä toimiva hallintajärjestelmä tietoturva- ja tietosuoja-asioille.
1. ISO 27001 -vaatimuskehikot tarjoavat oikeat sisällöt 3-tasoiseksi suunnitelmaksi jaettuna
Digiturvamallissa organisaation työskentelyä ohjataan valitsemalla sopiva vaatimuskehikko. Vaatimuskehikon valinta vaikuttaa kaikkiin muihin sisältöihin, joita ovat mm.
dokumentaatiolistat tietoturvan ydinelementtejä varten (mm. tietojärjestelmät, tietoturvariskit, sidosryhmät, johdon katselmukset...)
tehtävälistat, joiden kautta työnjako eri vastuiden suhteen organisaatiossa määritetään ja tarvittavat todisteet toteutuksesta kerätään
ohjesisällöt, joiden avulla henkilöstön tietoturvaohjeistus ja -koulutus voidaan viedä ketterään ja valvottuun muotoon
raporttipohjat, joiden avulla saadaan muodostettua mm. auditoijan tarvitsemat älykkäät dokumentit, joissa on sekä kuvaus- että historiasisältöä halutusta teemasta (mm. riskienhallinta, tietoturvapolitiikka, sisäiset auditoinnit)
ISO 27001 -standardi on jaoteltu kolmelle eri tasolle, jotka korostavat erityyppisiä asioita:
ISO 27001 Core tarkoittaa tasoa 1, joka luo pohjaa muulle työlle sisältäen tietoturvan perusasioiden dokumentoimista ja ohjeistamista
ISO 27001 Extended tarkoittaa tasoa 2, joka syventää etenkin ISO 27002 listaamia tietoturvakontrolleja myös teknisille osa-alueille
ISO 27001 Full tarkoittaa tasoa 3, joka tuo mukaan myös standardin johtamis- ja hallintavastuut, kuten riskienhallinnan, auditoinnit ja johdon katselmukset
Suosittelemme aloittamaan tasolta 1, mutta jos organisaationne on jo pidemmällä ja standardi tuttu, voit sukeltaa myös suoraan tasolle 3 mm. riskienhallintaprosessien kimppuun.
2. Toteutussuunnitelmaa laittaa tehtävät selkeään järjestykseen
Digiturvamallissa työtä ohjataan tehtävien kautta. Tehtävät kertovat, mitä pitäisi tehdä, ja toteutussuunnitelma laittaa tehtävät prioriteettijärjestykseen.
Voit edetä toteutussuunnitelmaan mukaisesti joko tarkasti tai vapaammin, mutta sen avulla joka tapauksessa hahmotat, mitkä ovat tärkeitä ensimmäisiä askelia.
Kaikille 3 ISO 27001 -standardin eri tasolle löytyy oma toteutussuunnitelmansa.
3. Dokumentoi tehokkaasti valmiiden kirjastosisältöjen ja älykkäiden pohjien avulla
Digiturvamalli tarjoaa valmiit pohjat vaadittavien asioiden dokumentoimiseen.
Digiturvakirjastomme tarjoaa esimerkkisisältöjä jokaisessa kohdassa, jossa käyttäjä lisää sisältöä.
Nimeämällä vastuuhenkilöitä dokumentointityötä voidaan jakaa useampien henkilöiden kesken. Kukin näkee omalla vastuullaan olevat kohteet omassa Tehtäväkirja-näkymässään.
4. Muodosta vaaditut raportit yhdellä klikkauksella
Tiedonhallintalaki vaatii raportointia sekä organisaation sisäisesti että ulkoisesti kansalaisille.
Statement of Applicability on kuvaus ISO 27002 -standardin kontrolleista ja niiden toteuttamisesta organisaatiossa. Digiturvamallissa SoA muodostuu automaattisesti ja statukset eri kontrolleille muodustuvat liittyvien tehtävien statusten perusteella.
Riskienhallinnan menettelykuvaus on esimerkki toisenlaisesta raportista, joka on suositeltu palvelemaan organisaatiota ja auditoijaa. Raportti sisältää kattavan kuvauksen riskienhallinnan toteuttamisesta Digiturvamallissa sekä lopussa poiminnon dokumentaatioon tunnistetuista, arvioiduista ja käsitellyistä tietoturvariskeistä. Näin auditoja saa uskottavan kuvan siitä, että menettely on olemassa ja sitä toteutetaan.
Raportit syntyvät Digiturvamallissa dokumentaation perusteella yhdellä klikkauksella, eikä omaa työtä tarvitse käyttää tietojen keräilyyn. Raporttikirjastoa laajennetaan jatkuvasti uusien tulkintojen ja vaatimusten mukaisesti.
Haluatko tietää lisää Digiturvamallista?
Seuraavilla tavoilla pääset riskittömästi alkuun Digiturvamallin käytössä:
Sign up for a live session or watch a previous recording immediately
Rekisteröidy webinaariin
Rekisteröitymällä takaat itsellesi paikan webinaariin. Voit osallistua joko "livenä" tai katsomalla tallenteen, jonka saat sähköpostitse automaattisesti.