Digiturvamalli.fi
Kokeile
Kirjaudu
Aiheet
Alkuun pääsy
ISO 27001
NIS2
Tiedonhallinta
Jatkuva parantaminen
Tiimin yhteistyö
Dokumentointi
Henkilöstön ohjeet
Raportointi
Tehtävien hallinta
Yhteisö
Asetukset & advanced
Kokeilu ja tilaus
Käyttäjähallinta
Tuotteen tietoturva
Vaatimuskehikkojen hallinta
Henkilöstöturvallisuus
Riskien hallinta
Sisäinen auditointi
Työskentely kumppanina
GDPR
Näytä kaikki aiheet
Webinaarit
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Intro NIS2-direktiiviin, Kyberturvallisuuslakiin sekä Digiturvamalli-työkaluun
Näytä kaikki webinaarit
Videot
Automatisoi henkilöstön tietoturvaohjeistus Teamsissa
Digiturvamallin yleisesittely
Dokumentoi oma tietojenkäsittely-ympäristö yhteistyössä
GDPR & ISO 27701:n hyvät käytännöt
ISO 27001 ja henkilöstön osaaminen
ISO 27001 ja riskien hallinta
ISO 27001 ja sertifiointiauditoinnin avainasiat
ISO 27001:n yleisesittely
Luo tehokas tietoturvariskien hallinnan toimintamalli
NIS2:n yleisesittely
Oman ISMS:n jatkuva parantaminen
Paranna omaa tietoturvasuunnitelmaa jatkuvasti
Tiedonhallintamalli ja riskien hallinta
Tiedonhallintamalli ja tietoturvatoimenpiteet
Tiedonhallintamallin perusteet
Näytä kaikki videot
Ohjeet
Asennus ja integraatiot
Dokumentaatio
Kumppaneille
Käyttäjähallinta
Muut ominaisuudet
Ohjeiden hallinta
Pääkäyttäjälle
Raportointi
Tehtävien hallinta
Vaatimuskehikot
Näytä kaikki ohjeet
Blogit
DORA: Esittely, soveltamisala ja keskeiset vaatimukset
Cyberday mukana Cyber Security Nordicissa 2024!
Tietoturva toimitusketjujen riskienhallinnassa
Vaatimustenmukaisuudesta yhteistyöhön: Miten NIS2 kannustaa vahvempaan toimitusketjun tietoturvayhteistyöhön?
Agendium Oy on nyt Cyberday Oy!
Näytä kaikki blogit
Sisältökirjasto
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Unfortunately something went wrong. You can contact us at team@cyberday.ai.
Sisältökirjasto
KyberTL
9.1 §: Toimien vaikuttavuuden arviointi
Kyberturvallisuuslaki (NIS2)
9.1 §

Toimien vaikuttavuuden arviointi

Toimijoiden on toteutettava kyberturvallisuutta koskevan riskienhallinnan toimintamallin mukaiset oikeasuhtaiset tekniset, operatiiviset tai organisatoriset hallintatoimenpiteet viestintäverkkojen ja tietojärjestelmien turvallisuuteen kohdistuvien riskien hallitsemiseksi ja haitallisten vaikutusten estämiseksi tai minimoimiseksi.

Toimintamallissa ja siihen perustuvissa hallintatoimenpiteissä on otettava huomioon ja pidettävä yllä ajantasaisesti kyberturvallisuuden hallintatoimenpiteiden vaikuttavuuden arviointi.

Aloita ilmainen kokeilu

Kuinka täyttää vaatimus

Kyberturvallisuuslaki (NIS2)

9.1 §: Toimien vaikuttavuuden arviointi

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Sisäisten auditointien toteuttaminen ja dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
24
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
18.2.1: Tietoturvallisuuden riippumaton katselmointi
ISO27 Täysi
12.7: Tietojärjestelmien auditointinäkökohtia
ISO27 Täysi
12.7.1: Tietojärjestelmien auditointimekanismit
ISO27 Täysi
ID.GV-3: Legal and regulatory requirements
NIST
HAL-07: Seuranta ja valvonta
Julkri
1. Tehtävän vaatimuskuvaus

Organisaatio toteuttaa sisäisiä auditointeja oman menettelykuvauksensa mukaisesti. Tavoitteena on tarkistaa:

  • onko tietoturvallisuuden hallintajärjestelmä organisaation omien tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten mukainen
  • onko tietoturvallisuuden hallintajärjestelmä muiden toimintaa koskevien tietoturvavaatimusten tai noudatettujen standardien mukainen
  • onko hallintajärjestelmää toteutettu ja ylläpidetty vaikuttavasti

Auditointien järjestämisestä ja tuloksista on säilytettävä dokumentoitua tietoa.

Tietoturvamittarien määrittely ja dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
11
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
7.2.1: Johdon vastuut
ISO27 Täysi
HAL-07: Seuranta ja valvonta
Julkri
9.1: Seuranta, mittaus, analysointi ja arviointi
ISO27k1 Täysi
11: Digiturvan mittarien määrittäminen
Kokonaiskuva (DVV)
1. Tehtävän vaatimuskuvaus

Organisaatio arvioi tietoturvan tasoa ja tietoturvallisuuden hallintajärjestelmän tehokkuutta säännöllisesti.

Organisaatio on määrittänyt:

  • seurattavat mittarit, joilla saadaan vertailtavissa olevia tuloksia tietoturvan kehittymisestä
  • vastuuhenkilöt mittareiden seurannalle
  • tavat, aikataulun ja henkilöt mittareiden katselmointiin ja arviointiin
  • tavat mittareiden ja niihin liittyvien arviointien dokumentointiin

Tehokkaita mittareita tulisi pystyä käyttämään heikkouksien tunnistamiseen, resurssien parempaan kohdistamiseen sekä oman onnistumisen / epäonnistumisen arviointiin.

Tietoturvan hallintajärjestelmän toteuttamisen säännöllinen sisäinen valvonta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Riskien hallinta
19
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
18.2.2: Turvallisuuspolitiikkojen ja -standardien noudattaminen
ISO27 Täysi
8.1: Toiminnan suunnittelu ja ohjaus
ISO27k1 Täysi
CC4.2: Evaluation and communication of internal control deficiencies
SOC 2
5.36: Tietoturvallisuutta koskevien toimintaperiaatteiden, sääntöjen ja standardien noudattaminen
ISO27k1 Täysi
4.4: Tietoturvallisuuden hallintajärjestelmä
ISO27k1 Täysi
1. Tehtävän vaatimuskuvaus

Tietoturvan hallintajärjestelmän tulisi valvoa sinne kirjattujen tehtävien ja ohjeistusten toteuttamista.

Tehtävän omistajan tulisi tarkastalle tietoturvan hallintajärjestelmän toteutustilannetta kokonaisuutena säännöllisesti.

Koulutuksen tehokkuuden arviointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Henkilöstöturvallisuus
Tietoturvakoulutus
5
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
7.2.2: Tietoturvatietoisuus, -opastus ja -koulutus
ISO27 Täysi
6.3: Tietoturvatietoisuus, -opastus ja -koulutus
ISO27k1 Täysi
21.2.f: Assessing effectiveness of security measures
NIS2
9.1 §: Toimien vaikuttavuuden arviointi
KyberTL
1. Tehtävän vaatimuskuvaus

Digiturvakoulutuksen tehokuutta arvioidaan säännöllisesti. Arviointiin voidaan sisällyttää mm. seuraavia näkökulmia:

  • Onko henkilöstön osaaminen tarpeeksi syvällistä?
  • Ovatko koulutustavat ja -määrät oikeat?
  • Koulutetaanko eri yksiköille oikeita asioita?
  • Onko henkilöstö motivoitunutta oppimaan?
  • Ymmärtääkö henkilöstö syyt koulutukselle (esim. millaisia negatiivia vaikutuksia digiturvan laiminlyönnistä voi aiheutua)?


Tietoturvasertifioinnit

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
4
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
18.2.2: Turvallisuuspolitiikkojen ja -standardien noudattaminen
ISO27 Täysi
21.2.f: Assessing effectiveness of security measures
NIS2
9.1 §: Toimien vaikuttavuuden arviointi
KyberTL
9.2 §: Kyberturvallisuuden toimintaperiaatteet
KyberTL
1. Tehtävän vaatimuskuvaus

Sertifiointimekanismien ideana on osoittaa, että tietojenkäsittelyssä noudatetaan hyvää tietojenkäsittelytapaa ja yleisiä hyviä käytäntöjä. Tietoturvaa koskeva sertifikaatti on mm. ISO27001.

Säännöllinen ulkopuolinen tietoturvakäytäntöjen auditointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Riskien hallinta
10
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
18.2.1: Tietoturvallisuuden riippumaton katselmointi
ISO27 Täysi
5.35: Tietoturvallisuuden riippumaton katselmointi
ISO27k1 Täysi
51: Tietoturvallisuuden auditointi
Kokonaiskuva (DVV)
CC4.1: Evaluation of internal controls
SOC 2
21.2.f: Assessing effectiveness of security measures
NIS2
1. Tehtävän vaatimuskuvaus

Organisaatiossa suoritetaan säännöllisesti tietoturva-auditointia. Auditoinnin avulla tunnistetaan esimerkiksi tietojärjestelmiin sekä järjestelmätoimittajiin liittyviä puutteita ja kehitystarpeita.

Tärkeät auditointia suorittavat kumppanit kannattaa listata Muut sidosryhmät -osiossa.

No items found.

Liity Akatemian postituslistalle tänään

Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.

Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
Aiheet
Kokeilu ja tilaus
Henkilöstöturvallisuus
Tiimin yhteistyö
Yhteisö
Tuotteen tietoturva
Näytä kaikki
Webinarit
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Intro NIS2-direktiiviin, Kyberturvallisuuslakiin sekä Digiturvamalli-työkaluun
Näytä kaikki
Videot
Digiturvamallin yleisesittely
ISO 27001 ja riskien hallinta
GDPR & ISO 27701:n hyvät käytännöt
Oman ISMS:n jatkuva parantaminen
Tiedonhallintamalli ja riskien hallinta
Näytä kaikki
Ohjeet
Pääkäyttäjälle
Kumppaneille
Ohjeiden hallinta
Muut ominaisuudet
Tehtävien hallinta
Näytä kaikki
Blogit
DORA: Esittely, soveltamisala ja keskeiset vaatimukset
Cyberday mukana Cyber Security Nordicissa 2024!
Vaatimustenmukaisuudesta yhteistyöhön: Miten NIS2 kannustaa vahvempaan toimitusketjun tietoturvayhteistyöhön?
Agendium Oy on nyt Cyberday Oy!
10 vaatimustenmukaisuuden sudenkuoppaa ja miten välttää niitä
Näytä kaikki
Sisältökirjasto
Avaa sisältökirjastoLabs
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.