Digiturvamalli.fi
Kokeile
Kirjaudu
Aiheet
Alkuun pääsy
ISO 27001
NIS2
Tiedonhallinta
Jatkuva parantaminen
Tiimin yhteistyö
Dokumentointi
Henkilöstön ohjeet
Raportointi
Tehtävien hallinta
Yhteisö
Asetukset & advanced
Kokeilu ja tilaus
Käyttäjähallinta
Tuotteen tietoturva
Vaatimuskehikkojen hallinta
Henkilöstöturvallisuus
Riskien hallinta
Sisäinen auditointi
Työskentely kumppanina
GDPR
Näytä kaikki aiheet
Webinaarit
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Intro NIS2-direktiiviin, Kyberturvallisuuslakiin sekä Digiturvamalli-työkaluun
Näytä kaikki webinaarit
Videot
Automatisoi henkilöstön tietoturvaohjeistus Teamsissa
Digiturvamallin yleisesittely
Dokumentoi oma tietojenkäsittely-ympäristö yhteistyössä
GDPR & ISO 27701:n hyvät käytännöt
ISO 27001 ja henkilöstön osaaminen
ISO 27001 ja riskien hallinta
ISO 27001 ja sertifiointiauditoinnin avainasiat
ISO 27001:n yleisesittely
Luo tehokas tietoturvariskien hallinnan toimintamalli
NIS2:n yleisesittely
Oman ISMS:n jatkuva parantaminen
Paranna omaa tietoturvasuunnitelmaa jatkuvasti
Tiedonhallintamalli ja riskien hallinta
Tiedonhallintamalli ja tietoturvatoimenpiteet
Tiedonhallintamallin perusteet
Näytä kaikki videot
Ohjeet
Asennus ja integraatiot
Dokumentaatio
Kumppaneille
Käyttäjähallinta
Muut ominaisuudet
Ohjeiden hallinta
Pääkäyttäjälle
Raportointi
Tehtävien hallinta
Vaatimuskehikot
Näytä kaikki ohjeet
Blogit
DORA: Esittely, soveltamisala ja keskeiset vaatimukset
Cyberday mukana Cyber Security Nordicissa 2024!
Tietoturva toimitusketjujen riskienhallinnassa
Vaatimustenmukaisuudesta yhteistyöhön: Miten NIS2 kannustaa vahvempaan toimitusketjun tietoturvayhteistyöhön?
Agendium Oy on nyt Cyberday Oy!
Näytä kaikki blogit
Sisältökirjasto
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Unfortunately something went wrong. You can contact us at team@cyberday.ai.
Sisältökirjasto
ISO27k1 Täysi
5.18: Pääsyoikeudet
ISO 27001 (2022): Täysi
5.18

Pääsyoikeudet

Tietojen ja niihin liittyvän omaisuuden käyttöoikeuden on noudatettava organisaation pääsynhallintapolitiikkaa, joka sisältää käyttöoikeuksien määrittämisen, tarkistamisen, muokkaamisen ja poistamisen organisaation sääntöjen mukaisesti. Käyttöoikeuksien myöntämis- tai peruutusprosessi voi sisältää mm. valtuutuksen hankkiminen omaisuuden omistajilta, tarvittaessa erillisen johdon hyväksynnän, tehtävien eriyttämisen sekä käyttöoikeuksien oikea-aikaisen poistamisen, kun niitä ei tarvita.

Aloita ilmainen kokeilu

Kuinka täyttää vaatimus

ISO 27001 (2022): Täysi

5.18: Pääsyoikeudet

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Järjestelmien käyttöoikeuksien säännöllinen katselmointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
26
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
I06: Pääsyoikeuksien hallinnointi
Katakri
16 §: Tietojärjestelmien käyttöoikeuksien hallinta
TiHL
24. Rekisterinpitäjän vastuu
GDPR
32. Käsittelyn turvallisuus
GDPR
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
1. Tehtävän vaatimuskuvaus

Tietojärjestelmästä vastaava taho määrittää järjestelmän käyttöoikeudet käyttäjien tehtäviin liittyen. Todellisten käyttöoikeuksien vastaavuutta suunniteltuun on valvottava ja oikeuksia uudelleenarvioitava säännöllisin aikavälein.

Pääsyoikeuksia katselmoitaessa on huomiotava lisäksi ylläpito-oikeuksien minimointi sekä tarpeettomien tunnusten sulkeminen.

Ohjeet pääsyoikeuksiin vaikuttavien muutosten ilmoittamisesta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
9
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
I06: Pääsyoikeuksien hallinnointi
Katakri
9.2.6: Pääsyoikeuksien poistaminen tai muuttaminen
ISO27 Täysi
PR.AC-1: Identity and credential management
NIST
TEK-07.3: Pääsyoikeuksien hallinnointi - pääsyoikeuksien ajantasaisuus
Julkri
5.18: Pääsyoikeudet
ISO27k1 Täysi
1. Tehtävän vaatimuskuvaus

Esihenkilöitä on ohjeistettu ilmoittamaan etukäteen tietojärjestelmien omistajille merkittävistä muutoksista alaisten työsuhteissa, kuten ylennyksistä, alennuksista, työsuhteen päättymisestä tai muista muutoksista työroolissa.

Ilmoituksen perusteella henkilön pääsyoikeuksia voidaan päivittää joko keskitetystä hallintajärjestelmästä tai yksittäisistä tietojärjestelmistä.

Pääsyoikeuksien katselmointi työsuhteen muutostilanteissa

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Henkilöstöturvallisuus
Työsuhteen muutoshetket
13
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
9.2.5: Pääsyoikeuksien uudelleenarviointi
ISO27 Täysi
UAC-06: Managing user privileges
Cyber Essentials
HAL-15: Työskentelyn tietoturvallisuus koko palvelussuhteen ajan
Julkri
TEK-07.3: Pääsyoikeuksien hallinnointi - pääsyoikeuksien ajantasaisuus
Julkri
5.18: Pääsyoikeudet
ISO27k1 Täysi
1. Tehtävän vaatimuskuvaus

Kaikissa työsuhteen muutostilanteissa pääsyoikeudet olisi katselmoitava yhteistyössä suojattavan omaisuuden omistajien kanssa, ja myönnettävä henkilölle kokonaan uudelleen, kun henkilön työsuhteessa tapahtuu merkittävä muutos. Muutos voi olla ylennys tai roolin vaihtaminen (esim. yksiköstä toiseen siirtyminen).

Käyttöoikeuksien rajoittaminen työsuhteen riskihetkillä

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Henkilöstöturvallisuus
Työsuhteen muutoshetket
5
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
9.2.6: Pääsyoikeuksien poistaminen tai muuttaminen
ISO27 Täysi
5.18: Pääsyoikeudet
ISO27k1 Täysi
CC6.2: Registering and authorizing new users before granting access
SOC 2
T-09: TYÖSUHTEEN AIKAISET MUUTOKSET TURVALLISUUSLUOKITELTUJEN TIETOJEN KÄSITTELYSSÄ
Katakri 2020
4.5: Käyttöoikeuksien hallinta
TiHL: Tietoturva
1. Tehtävän vaatimuskuvaus

Mikäli henkilön työsuhde on päättymässä tai merkittävästi muuttumassa, käyttöoikeuksien vähentämistä suojattavaan omaisuuteen on harkittava riippuen seuraavista asioista:

  • henkilön haluttomuus tulevaan muutokseen
  • henkilön tämänhetkisten käyttöoikeuksien ja vastuiden laajuus
  • suojattavan omaisuuden arvo, johon työntekijällä on pääsy

Varjo-IT:n tunnistaminen ja hallinta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Tietojärjestelmien hallinta
3
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
9.2.2: Pääsyoikeuksien jakaminen
ISO27 Täysi
5.18: Pääsyoikeudet
ISO27k1 Täysi
1.1.5: Identify the organisation’s deliverables, information systems and supporting ICT functions
NSM ICT-SP
1. Tehtävän vaatimuskuvaus

Keskimäärin IT-pääkäyttäjä arvioi henkilöstön käyttävän n. 50 pilvipalvelua, kun todellinen määrä on 1 000. Useat näistä ovat tärkeitä henkilöstön tuottavuuden kannalta ja niitä käytetään organisaation verkon ulkopuolelta, joten palomuurisäännöillä ei haastetta ratkaista.

Pilvipalvelujen tunnistamiseen ja hallintaan keskittyvien järjestelmien avulla voit tunnistaa henkilöstön käyttämiä pilvipalveluita ja valvoa eri palvelujen käyttäjiä. Tämä auttaa mm.:

  • määrittämään omaa riskitasoanne pilvipalveluissa olevan tiedon suhteen
  • tarkistamaan palveluita tietoturvan suhteen
  • pystymään raportoimaan vaatimusten mukaisesti esim. tietojen sijiannista ja kumppaneista

Koulutuksen ja ohjeistuksen järjestäminen perehdytyksen yhteydessä (tai ennen pääsyoikeuksien myöntämistä)

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Henkilöstöturvallisuus
Tietoturvakoulutus
18
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL
7.3: Työsuhteen päättyminen tai muuttuminen
ISO27 Täysi
7.3.1: Työsuhteen päättyminen tai vastuiden muuttuminen
ISO27 Täysi
9.2.2: Pääsyoikeuksien jakaminen
ISO27 Täysi
PR.IP-11: Cybersecurity in human resources
NIST
1. Tehtävän vaatimuskuvaus

Työntekijät ovat ennen pääsyoikeuksien myötämistä luottamukselliseen tietoon tai tietojärjestelmiin:

  • saaneet asianmukaisen opastuksen tietoturvavastuistaan (mm. ilmoitusvastuu ja vastuu omista päätelaitteista)
  • saaneet asianmukaisen opastuksen omaan työrooliinsa liittyvistä tietoturvarooleistaan (mm. omaan työrooliin liittyvät digiturvasäännöt sekä tietojärjestelmät ja niiden hyväksyttävä käyttö)
  • saaneet tiedot digiturvan yhteyshenkilöistä, joilta voi kysyä lisää
No items found.

Liity Akatemian postituslistalle tänään

Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.

Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
Aiheet
NIS2
Alkuun pääsy
Henkilöstön ohjeet
Asetukset & advanced
Dokumentointi
Näytä kaikki
Webinarit
Intro NIS2-direktiiviin, Kyberturvallisuuslakiin sekä Digiturvamalli-työkaluun
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Näytä kaikki
Videot
ISO 27001 ja riskien hallinta
Luo tehokas tietoturvariskien hallinnan toimintamalli
ISO 27001 ja henkilöstön osaaminen
Automatisoi henkilöstön tietoturvaohjeistus Teamsissa
Tiedonhallintamalli ja tietoturvatoimenpiteet
Näytä kaikki
Ohjeet
Vaatimuskehikot
Dokumentaatio
Pääkäyttäjälle
Muut ominaisuudet
Tehtävien hallinta
Näytä kaikki
Blogit
DORA: Esittely, soveltamisala ja keskeiset vaatimukset
Cyberday mukana Cyber Security Nordicissa 2024!
Vaatimustenmukaisuudesta yhteistyöhön: Miten NIS2 kannustaa vahvempaan toimitusketjun tietoturvayhteistyöhön?
Agendium Oy on nyt Cyberday Oy!
10 vaatimustenmukaisuuden sudenkuoppaa ja miten välttää niitä
Näytä kaikki
Sisältökirjasto
Avaa sisältökirjastoLabs
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.