Identify devices in use at the organisation in accordance with the process described in 1.2.1. a) Identify information such as network addresses, hardware addresses, device names, department affiliation and whether the devices are managed by the organisation. Every device with an IP address on the network should be included on the list, including stationary and portable computers, servers, network equipment (routers, switches, firewalls etc.), printers, storage networks, IP phones, IoT devices etc. b) Create a list of all mobile devices and storage media in use outside the organisation’s network which contain organisation data. c) Create a plan for managing devices not approved for use at the organisation (see 1.2.2). For access control, see 2.4.1.b. d) The organisation should also maintain a list of virtual devices (whether they are running at the organisation’s premises or in a provider’s cloud). Such devices are often temporary (e.g. stateless virtual desktops), so one can simplify this by keeping in the inventory only the templates that the virtual devices are based on. Keeping a list of virtual devices running in a provider's cloud is strictly only necessary when buying IaaS. The process described above can be simplified by being consistent in allowlisting all devices (and/or wired and wireless network connections) on the organisation’s network. See also principle 2.4 – Protect the organisations networks.
Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä sekä tietojärjestelmille nimetyistä omistajista. Omistaja vastaa järjestelmän tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti järjestelmään.
Järjestelmiin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:
Organisaation on lueteltava kaikki asiaankuuluvat suojatut omaisuuserät omistusoikeuden määrittämiseksi ja sen varmistamiseksi, että turvatoimenpiteet kattavat kaikki tarvittavat kohteet.
Suuri osa suojatusta omaisuudesta (mukaan lukien tietojoukot, tietojärjestelmät, henkilöstö/yksiköt ja kumppanit) käsitellään muiden tehtävien kautta. Lisäksi organisaation on lueteltava muut tärkeät omaisuuserät, joita voivat olla toiminnan luonteesta riippuen esimerkiksi laitteisto (palvelimet, verkkolaitteet, työasemat, tulostimet) tai infrastruktuuri (kiinteistöt, sähköntuotanto, ilmastointi). Lisäksi organisaation on varmistettava, että asiaankuuluvat ulkoiset laitteet dokumentoidaan.
Mobiilaitteiden hallintajärjestelmässä määriteltävien turvallisuuskäytäntöjen avulla pyritään suojaamaan organisaation dataa. Pienentääksesi riskejä laitteiden häviämisen hetkellä, voit esimerkiksi määrittää, että laite lukitaan 5 minuutin passiivisuuden jälkeen tai että laite pyyhitään täysin 3 epäonnistuneen kirjautumisyrityksen jälkeen.
Uusia käytäntöjä voi olla järkevää ensin testata pienellä käyttäjäryhmällä. Käytännöt vaativat myös valvontaa. Käytännöille voi aluksi valita asetuksen, jossa pääkäyttäjää tiedotetaan käytännön vastaisista asetuksista, mutta käyttöä ei täysin estetä.
Laitteet on kirjattava mobiilailaitteiden hallintajärjestelmään, jotta laitteelle saadaan oma tunniste ja hallintaominaisuuksia voidaan käyttää. Uusien laitteiden hankinnan yhteydessä laitteet kirjataan aina mobiilaitteiden hallintajärjestelmään.
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
