Organisaation on ylläpidettävä listaa kumppaneista, joilla on pääsy luottaumuksellisiin tietoihin. Järjestelmätoimittajat sekä henkilötietojen käsittelijät listataan erillään muista sidosryhmistä, koska heillä on aktiivinen rooli tietojen käsittelyssä.
Organisaation on määritettävä
Tietojärjestelmätoimittajia sekä henkilötietojen käsittelijöitä tarkastellaan muiden tehtävien kautta.
Organisaatio on määritellyt tärkeiltä kumppaneilta vaaditut sertifioinnit tai noudatettavat standardit. Yleisesti tunnistettuja digiturvaan liittyviä standardeja ovat mm.:
Esimerkiksi kumppanilta vaadittava sertifiointi voi tehostaa omaa kumppanihallintaa ja toimia hyvänä todisteena kumppanin tietystä tietoturva- tai tietosuojatasosta.
Digiturvan minimitasoa koskevat vaatimukset on määritetty luottamuksellista tietoamme käsittelevillä kumppaniyrityksille ja nämä on sisällytetty toimittajasopimuksiin. Vaatimukset vaihtelevat sen mukaan, kuinka kriittistä tietoa kumppani käsittelee.
Vaatimusten on järkevää koostua säännöistä ja käytännöistä, joita omassa organisaatiossanne noudatetaan. Voitte jaotella vaatimustasot matalan, keskitason ja korkean riskin toimittajiin.
Organisaatio on määritellyt tärkeiltä kumppaneilta vaaditut sertifioinnit tai noudatettavat standardit. Yleisesti tunnistettuja digiturvaan liittyviä standardeja ovat mm.:
Esimerkiksi kumppanilta vaadittava sertifiointi voi tehostaa omaa kumppanihallintaa ja toimia hyvänä todisteena kumppanin tietystä tietoturva- tai tietosuojatasosta.
Ulkopuolisia tietotekniikkapalveluja ei käytetä ilman tietoturvavaatimusten nimenomaista arviointia ja täytäntöönpanoa:
Ulkoisen IT-palvelun on täytettävä niiden käsittelemien tietojen osalta tarvittavat vaatimukset.
Organisaation on tarkistettava säännöllisin väliajoin, että vain hyväksyttyjä ulkoisia IT-palveluja on käytössä.
Organisaation tulee huomioida kumppaneista aiheutuvat riskit tietoturvariskien hallinnassa. Tarvittaessa kriittisistä kumppaneista voidaan tehdä erillisiä teemakohtaisia riskiarvioita.