Tietoturvasuunnitelmassa on kuvattava, miten tietojärjestelmien käyttöympäristössä huolehditaan asiakas- ja potilastietojärjestelmien käytössä olevien työasemien ja mobiililaitteiden hallinnasta tietoturvallisuuden näkökulmasta. Tietoturvasuunnitelmassa tai siihen liittyvissä dokumenteissa on myös kuvattava, miten laitteiden ja palvelujen virusturva- ja haittaohjelmien suojaamisen ohjelmistojen toimivuus ja päivitykset on käytännössä varmistettu, ja miten muut suojauskäytännöt on järjestetty, kuten esimerkiksi laitteiden käyttäjätunnukset, salasanat, PIN-koodit, SIM-korttien hallinta sekä kadonneiden mobiililaitteiden etälukitseminen ja/tai tyhjentäminen.
Lisäksi tietoturvasuunnitelmassa tulee kuvata, kuinka huolehditaan yleisistä käyttöympäristön tukipalveluista, kuten esimerkiksi käyttöjärjestelmän päivityksistä ja varusohjelmistojen (esimerkiksi MS Office) päivityksistä. Kokonaisuuteen liittyy mahdolliset niin kutsutut koventamiset sekä käyttöjärjestelmä- että varusohjelmistojen yhteentoimivuuden varmistaminen ja toimivuuden seuranta sosiaali- ja terveydenhuollon tietojärjestelmien kanssa.
Keskeistä on kuvata tietoturvasuunnitelmaan ja/tai sen liitteisiin ainakin edellä mainittujen asioiden osalta käyttöympäristön kokonaisuus ja se, mitkä seikat ovat palvelunantajan omaa toimintaa ja mitkä sopimuskumppanien vastuulla. Myös mahdolliset alihankkijat tulee kuvata. Asiat tulee ilmaista toimijoiden välisissä sopimuksissa riittävän tarkasti ja käytännönläheisesti, jotta muun muassa vastuu- ja työnjakokysymykset eri tilanteissa ovat sopimuskumppaneiden välillä selkeitä omavalvonnan kohteen tietoturvallisen ja sujuvan toiminnan varmistamiseksi.
Valitaan ja asennetaan haittaohjelmien havaitsemis- ja korjausohjelmat keskitetysti ja päivitetään ne säännöllisesti tietokoneiden ja tietovälineiden ennaltaehkäisevää tai säännöllistä tutkimista varten.
Ohjelmien tulisi tarkastaa ainakin seuraavat asiat:
Mobiililaitteiden käyttöä varten on luotu omat ohjeistukset henkilöstölle. Ohjeissa käsitellään:
Tietosuojan vastuuhenkilö on muodostanut toimintaohjeet henkilötietoja käsittelevälle henkilöstölle. Lisäksi tietosuojan vastuuhenkilö on valmiina antamaan neuvoja rekisterinpitäjälle, henkilötietoja käsitteleville kumppaneille tai omalle henkilöstölle tietosuojaan liittyen tietosuoja-asetuksen tai muiden tietosuojavaatimusten noudattamiseen.
Organisaatiolla tulisi olla määritelly ohjeet tietojärjestelmien yleisesti hyväksyttävälle käytölle sekä tarvittavien tunnistautumistietojen hallinnalle.
Tärkeäksi luokiteltujen tietojärjestelmien omistaja voi lisäksi määritellä, dokumentoida ja jalkauttaa tarkempia sääntöjä juuri tämän tietojärjestelmän käytöstä. Nämä saannöt voivat kuvata mm. tietoturvavaatimukset, jotka järjestelmän sisältävään tietoon liittyvät.
Haittaohjelmien suojaukseen käytetyt järjestelmät tarkistavat ja asentavat päivitykset automaattisesti halutuin väliajoin ja ajavat myös halutut tarkistukset valitulla frekvenssillä ilman käyttäjän toimia.
Omavalvontasuunnitelmassa on selvitettävä, miten on varmistettu, että tietojärjestelmän käyttäjällä on saatavilla tarpeelliset käyttöohjeet vähintään sillä kielellä, jonka osaaminen on vähimmäisvaatimus työtehtävässä toimimiselle.
Lisäksi omavalvontasuunnitelmassa kuvataan, millaisia tukipalveluja on saatavissa järjestelmien käytön tueksi ja kuinka käyttäjät saavuttavat nämä tukipalvelut.
Mobiilaitteiden hallintajärjestelmässä määriteltävien turvallisuuskäytäntöjen avulla pyritään suojaamaan organisaation dataa. Pienentääksesi riskejä laitteiden häviämisen hetkellä, voit esimerkiksi määrittää, että laite lukitaan 5 minuutin passiivisuuden jälkeen tai että laite pyyhitään täysin 3 epäonnistuneen kirjautumisyrityksen jälkeen.
Uusia käytäntöjä voi olla järkevää ensin testata pienellä käyttäjäryhmällä. Käytännöt vaativat myös valvontaa. Käytännöille voi aluksi valita asetuksen, jossa pääkäyttäjää tiedotetaan käytännön vastaisista asetuksista, mutta käyttöä ei täysin estetä.
Organisaation on varmistettava, että tietojärjestelmiä ylläpidetään ja päivitetään valmistajan ohjeiden mukaisesti.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
