Organisaation on luotava ja ylläpidettävä tietoturvasuunnitelmaa.
Asiakastietolain 27 §:n mukaisesti palvelunantajan on laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä tietoturvasuunnitelma.
Tämän määräyksen(MÄÄRÄYS 3/2021) mukaista tietoturvasuunnitelmaa ei tule sisällyttää tai yhdistää julkaistaviin tai julkisesti saatavilla oleviin omavalvontasuunnitelmiin. Tietoturvasuunnitelmaa ja siinä viitattuja liitedokumentteja tulee käsitellä ja säilyttää ottaen huomioon tarvittava suojaaminen sivullisilta ja tarvittaessa niihin tulee merkitä salassa pidettävä -tieto
Kaikkien tietojen käsittelyyn suorasti tai välillisesti osallistuvien kumppanien kanssa laaditaan toimittajasopimus. Tavoitteena on varmistaa, että organisaation ja toimittajan välillä ei ole väärinymmärryksiä osapuolten velvoitteista tietoturvavaatimusten täyttämisessä.
Organisaatio sisällyttää toimittajasopimukseen tarvittaessa seuraavat asiat:
Organisaation on ylläpidettävä listaa kumppaneista, joilla on pääsy luottaumuksellisiin tietoihin. Järjestelmätoimittajat sekä henkilötietojen käsittelijät listataan erillään muista sidosryhmistä, koska heillä on aktiivinen rooli tietojen käsittelyssä.
Organisaation johto asettaa tietoturvatavoitteet. Tietoturvatavoitteet täyttävät seuraavat vaatimukset:
Tietoturvatavoitteiden dokumentoinnin yhteydessä määritellään lisäksi tarvittavat ylätason toimenpiteet, resurssit, vastuuhenkilöt, aikataulu sekä tavat tulosten arviointiin, jotta tavoitteet saavutetaan.
Organisaation on käytettävä, ylläpidettävä ja jatkuvasti kehitettävä tietoturvallisuuden hallintajärjestelmää.
Hallintajärjestelmään liittyvät rajaukset ja soveltamisala, sisällöt, roolitus, kertyvä toteutustieto sekä muu tarpeellinen kuvaustieto on oltava selkeästi dokumentoitu.
Top management must ensure clear responsibilities / authority on at least the following themes:
The ISMS theme owners are presented on the desktop of the management system and in the Information security policy report.
In addition, top management shall ensure that all roles relevant to information security, as well as related responsibilities and authorities, are defined and communicated. It is also important to recognize the roles and responsibilities of external partners and providers.
Tietoturvan hallintajärjestelmän tulisi valvoa sinne kirjattujen tehtävien ja ohjeistusten toteuttamista.
Tehtävän omistajan tulisi tarkastalle tietoturvan hallintajärjestelmän toteutustilannetta kokonaisuutena säännöllisesti.