Sisältökirjasto
ISO 27017
6.1: Sisäinen organisaatio

Kuinka täyttää vaatimus

ISO 27017

6.1: Sisäinen organisaatio

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Selkeä viestintä organisaation sekä tiedon tallennuspaikkojen sijainneista tarjottujen digipalvelujen näkökulmasta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Digipalvelujen hallinta
2
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
6.1: Sisäinen organisaatio
ISO 27017
6.1.3: Yhteydet viranomaisiin
ISO 27017
1. Tehtävän vaatimuskuvaus

Pilvipalveluita tarjoaessaan organisaation tulee tiedottaa asiakkaalle selkeästi ja aktiivisesti organisaation maantieteellisestä sijainnista ja maista, joissa asiakkaan tietoja säilytetään.

Nämä tiedot voivat auttaa asiakasta esimerkiksi määrittämään asiaankuuluvat valvontaviranomaiset ja lainkäyttöalueet pilvipalvelua hyödyntäessään.

Tarjottujen pilvipalveluiden ja tietojärjestelmien tietoturvavastuiden dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Digipalvelujen hallinta
8
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
6: Tietoturvallisuuden organisointi
ISO 27017
CLD 6.3: Relationship between cloud service customer and cloud service provider
ISO 27017
CLD 6.3.1: Shared roles and responsibilities within a cloud computing environment
ISO 27017
6.1: Sisäinen organisaatio
ISO 27017
6.1.3: Yhteydet viranomaisiin
ISO 27017
1. Tehtävän vaatimuskuvaus

Pilvipalveluita hyödyntäessä tai tarjottaessa turvallisuusvastuita voi olla sekä palveluntarjoajalla että asiakkaalla. Palveluntarjoaja voi vastata teknisestä kyberturvallisuudesta, mutta esim. asiakas pääsynhallinnasta ja turvallisen käytön ohjeistamisesta.

Vastuut jaetuista tietoturvarooleista tarjottavia pilvipalveluita ja pilvipohjaisten tietojärjestelmien hyödyntämistä kohtaan on määriteltävä ja dokumentoitava selkeästi sekä pilvipalvelun asiakkaan että palveluntarjoajan toimesta.

Tarjottujen digipalvelujen listaus ja omistajien nimeäminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Digipalvelujen hallinta
17
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
A.2.1: Obligation to co-operate regarding PII principals’ rights
ISO 27018
A.2: Consent and choice
ISO 27018
6: Tietoturvallisuuden organisointi
ISO 27017
CLD 6.3: Relationship between cloud service customer and cloud service provider
ISO 27017
CLD 6.3.1: Shared roles and responsibilities within a cloud computing environment
ISO 27017
1. Tehtävän vaatimuskuvaus

Organisaation on ylläpidettävä listaa tarjotuista digipalveluista sekä näille nimetyistä omistajista. Omistaja vastaa palvelun tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti palveluun.

Digipalveluun liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

  • Tarjotun digipalvelun tyyppi, palvelukategoria sekä käyttötarkoitus
  • Tietojen rekisterinpitäjä sekä liittyvät käsittelysopimukset
  • Palvelun toimitusketjuun liittyvät avainkumppanit ja turvallisuuvastuiden jakautuminen (käsitellään tarkemmin erillisessä tehtävässä)
No items found.