Asiakastietojen käsittelyyn tarkoitettua tietojärjestelmää ei saa ottaa tuotantokäyttöön, ellei siitä ole voimassa olevia tietoja Valviran tietojärjestelmärekisterissä. Luokkaan A kuuluvan tietojärjestelmän tai hyvinvointisovelluksen saa ottaa tuotantokäyttöön sen jälkeen, kun Valviran rekisteristä löytyy tieto järjestelmän sertifioinnista ja voimassa olevasta tietoturvallisuustodistuksesta. Tietojärjestelmää ei saa ottaa tuotantokäyttöön, jos luokkaan A kuuluvan tietojärjestelmän tietoturvallisuustodistus on vanhentunut, tai jos Valviran tietojärjestelmärekisterissä on järjestelmän käyttöönoton estävä poikkeama. Myös muut Valviran tietojärjestelmärekisterissä järjestelmään kohdistuvat olevat rajoitukset ja edellytykset on otettava huomioon (THL:n määräys 4/2021).
Tietoturvasuunnitelmaan on kuvattava tietoturvallisuuden omavalvonnan kohteeseen liittyvien tietojärjestelmien asennusten, ylläpidon ja päivitysten menettelytavat sekä niihin liittyvä tietoturvallisuuden varmistaminen. Kuvaukseen kuuluu myös henkilöstön roolit asennuksissa, ylläpidossa ja päivityksissä. Muutoksenhallinnan, testauksien ja hyväksymisten menettelyt sekä vastuut asennus-, ylläpito- ja päivitystyössä on sisällytettävä suunnitelmaan. Kuvaus on tehtävä sellaisella tarkkuustasolla, joka parhaiten tukee tietoturvallisuuteen ja asiakastietojen käsittelyyn liittyvää riskienhallintaa omavalvonnan kohteessa.
Tietoturvallisuuden omavalvonnan kohteen on selvitettävä tietoturvasuunnitelmassa, miten on varmistettu, että tietojärjestelmiä asennetaan, ylläpidetään ja päivitetään tietojärjestelmäpalvelun tuottajan ohjeiden mukaisesti. Tietojärjestelmäpalvelun tuottajien kanssa tehtävissä sopimuksissa tulisi kuvata tietoturvallisuuden omavalvonnan kohteen käyttöympäristön kannalta olennaiset seikat ja ohjeistukset liittyen tietojärjestelmien asennuksiin, ylläpitoon ja päivityksiin.
Vastaavasti tietoturvasuunnitelmassa on selvitettävä, miten on varmistettu, että tietojärjestelmiä asentaa, ylläpitää ja päivittää henkilöstö, jolla on siihen tarvittava ammattitaito ja asiantuntemus. Tietojärjestelmiä asentavien, ylläpitävien ja päivittävien henkilöiden roolit ja vastuut suhteessa tietoturvallisuuden omavalvonnan kohteeseen sekä tietojärjestelmäpalvelun tuottajaan on määriteltävä. Kuvauksiin voi kuulua myös mahdolliset tietojärjestelmien asennus-, ylläpito- ja päivitystyötä tekeviin henkilöihin kohdistuvat turvallisuusselvitykset. Tietojärjestelmäpalvelun tuottajan ja omavalvonnan kohteen välisissä sopimuksissa tulee ottaa kantaan näihin asioihin.
Edellä mainitut tietojärjestelmien asennukseen, ylläpitoon ja päivityksiin liittyvät seikat voidaan osoittaa tietoturvasuunnitelmaan sisältyvällä tai erillisellä suunnitelmalla, joka sisältää kuvaukset päivitys-, muutoksenhallinta- ja korjausprosesseista. Samassa suunnitelmassa on mahdollista esittää myös kuvaukset luvun 6.2 mukaisista virhe- ja poikkeustilanteisiin liittyvistä menettelytavoista. Päivitysprosessin kuvaamisessa on otettava huomioon muun muassa versio- ja korjauspäivitykset sekä muiden muutosten mahdollisesti vaatimat menettelyt. Muutoksenhallintaprosessissa voidaan kuvata muun muassa tietojärjestelmien muutosten ja uusien versioiden testaus- ja hyväksymismenettelyt. Asennus-, ylläpito- ja päivitystoimenpiteiden ongelma- ja virhetilanteiden hallinta tulee olla osa suunnitelmaa.
Järjestelmällisessä turvallisuustyössä merkittävien muutosten vaikutukset on arvioitava ennakkoon ja muutokset toteutettava systemaattisesti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.
Merkittäviä muutoksia voivat olla mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin sekä tietojärjestelmiin kohdistuvat muutokset. Muutoksia voidaan tunnistaa mm. johdon katselmuksissa sekä muuten toiminnan ohessa.
Organisaation on varmistettava, että tietojärjestelmiä ylläpidetään ja päivitetään valmistajan ohjeiden mukaisesti.
Asiakastietojen käsittelyyn tarkoitettua tietojärjestelmää ei saa ottaa tuotantokäyttöön, ellei siitä ole voimassa olevia tietoja Valviran tietojärjestelmärekisterissä.
Haavoittuvuuden toteamisen jälkeen toimittajilla on usein merkittäviä paineita julkaista korjaustiedostot mahdollisimman pian. Tämän vuoksi on mahdollista, ettei korjaustiedosto välttämättä käsittele ongelmaa riittävästi ja sillä on haitallisia sivuvaikutuksia.
Korjaustiedostojen arvioinnissa huomioidaan mm. seuraavat asiat:
Organisaation on varmistettava, että tietojärjestelmiä asentaa, ylläpitää ja päivittää ainoastaan henkilöstö, jolla on siihen tarvittava ammattitaito ja asiantuntemus. Lisäksi on kuvattava tietojärjestelmiä asentavan, ylläpitävän ja päivittävän henkilön rooli ja vastuut suhteessa organisaation sekä tietojärjestelmän tuottajaan.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
