Sisältökirjasto
ISO 27017
15.1.2: Toimittajasopimusten turvallisuus

Kuinka täyttää vaatimus

ISO 27017

15.1.2: Toimittajasopimusten turvallisuus

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Yksityiskohtaiset kuvaukset toteutetuista turvatoimenpiteistä tarjottaviin pilvipalveluihin liittyvissä sopimuksissa

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Digipalvelujen hallinta
4
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
A.11.11: Contract measures
ISO 27018
15: Suhteet toimittajiin
ISO 27017
15.1: Tietoturvallisuus toimittajasuhteissa
ISO 27017
15.1.2: Toimittajasopimusten turvallisuus
ISO 27017
1. Tehtävän vaatimuskuvaus

Kun organisaatio tarjoaa asiakkailleen pilvipalveluita, tulee palveluntarjoajan ja asiakkaan välisessä sopimuksessa määritellä selkeästi tietoturvan varmistamiseksi toteutetut tekniset ja organisatoriset toimenpiteet.

Sopimuksessa tulee myös mainita, että tietoja ei käsitellä muuhun tarkoitukseen kuin rekisterinpitäjän ohjeiden mukaisesti.

Pilvipalveluita tarjoaessaan palveluntarjoajan tulee olla läpinäkyvä tietoturvatoimenpiteistään sopimuksen solmimisprosessin aikana. Asiakkaan vastuulla on kuitenkin viime kädessä varmistaa, että palveluntarjoajan toteuttamat toimenpiteet täyttävät sen velvoitteet.

Käytettyihin pilvipalveluihin liittyvien tietoturvaroolien ja -vastuiden vahvistaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kumppanihallinta
Toimittajien turvallisuus
9
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
15: Suhteet toimittajiin
ISO 27017
15.1: Tietoturvallisuus toimittajasuhteissa
ISO 27017
15.1.2: Toimittajasopimusten turvallisuus
ISO 27017
15.1.3: Tieto- ja viestintätekniikan toimitusketju
ISO 27017
5.23: Pilvipalvelujen tietoturvallisuus
ISO27k1 Täysi
1. Tehtävän vaatimuskuvaus

Kun organisaatio käyttää pilvipohjaista tietojärjestelmää, organisaation tulee ymmärtää ja vahvistaa siihen liittyvät tietoturvaroolit ja -vastuut palvelusopimuksen mukaisesti.

Näihin voi kuulua esimerkiksi seuraaviin vastuisiin liittyviä tehtäviä:

  • Suojaus haittaohjelmilta
  • Kryptografiset ohjaimet
  • Varmuuskopiointi
  • Haavoittuvuuden ja tapausten hallinta
  • Vaatimustenmukaisuus ja turvallisuustestaus
  • Tunnistus, identiteetin ja käyttöoikeuksien hallinta
No items found.