Digiturvamalli.fi
Kokeile
Kirjaudu
Aiheet
Alkuun pääsy
ISO 27001
NIS2
Tiedonhallinta
Jatkuva parantaminen
Tiimin yhteistyö
Dokumentointi
Henkilöstön ohjeet
Raportointi
Tehtävien hallinta
Yhteisö
Asetukset & advanced
Kokeilu ja tilaus
Käyttäjähallinta
Tuotteen tietoturva
Vaatimuskehikkojen hallinta
Henkilöstöturvallisuus
Riskien hallinta
Sisäinen auditointi
Työskentely kumppanina
GDPR
Näytä kaikki aiheet
Webinaarit
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Intro NIS2-direktiiviin, Kyberturvallisuuslakiin sekä Digiturvamalli-työkaluun
Näytä kaikki webinaarit
Videot
Automatisoi henkilöstön tietoturvaohjeistus Teamsissa
Digiturvamallin yleisesittely
Dokumentoi oma tietojenkäsittely-ympäristö yhteistyössä
GDPR & ISO 27701:n hyvät käytännöt
ISO 27001 ja henkilöstön osaaminen
ISO 27001 ja riskien hallinta
ISO 27001 ja sertifiointiauditoinnin avainasiat
ISO 27001:n yleisesittely
Luo tehokas tietoturvariskien hallinnan toimintamalli
NIS2:n yleisesittely
Oman ISMS:n jatkuva parantaminen
Paranna omaa tietoturvasuunnitelmaa jatkuvasti
Tiedonhallintamalli ja riskien hallinta
Tiedonhallintamalli ja tietoturvatoimenpiteet
Tiedonhallintamallin perusteet
Näytä kaikki videot
Ohjeet
Asennus ja integraatiot
Dokumentaatio
Kumppaneille
Käyttäjähallinta
Muut ominaisuudet
Ohjeiden hallinta
Pääkäyttäjälle
Raportointi
Tehtävien hallinta
Vaatimuskehikot
Näytä kaikki ohjeet
Blogit
10 vaatimustenmukaisuuden sudenkuoppaa ja miten välttää niitä
Kyberturvallisuuslaki & NIS2: kansalliset lainsäädännöt ja soveltaminen
ISO 9001 -standardi: Katsaus vaatimuskehikkoon
Top 7 tietoturvastandardia, vaatimuskehikkoa ja lakia tutuksi
Selviytyminen tietoturvan labyrintissa: Hallitse NIS2 ISO 27001 -standardin avulla
Näytä kaikki blogit
Sisältökirjasto
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Unfortunately something went wrong. You can contact us at team@cyberday.ai.
Sisältökirjasto
SOC 2
CC2.2: Internal communication of information
SOC 2 (järjestelmät ja organisaation hallintakeinot)
CC2.2

Internal communication of information

COSO Principle 14: The entity internally communicates information, including objectives and responsibilities for internal control, necessary to support the functioning of internal control.

Points of focus:

- Communicates Internal Control Information
- Communicates With the Board of Directors
- Provides Separate Communication Lines
- Selects Relevant Method of Communication
- Communicates Responsibilities
- Communicates Information on Reporting Failures, Incidents, Concerns, and Other Matters
- Communicates Objectives and Changes to Objectives
- Communicates Information to Improve Security Knowledge and Awareness
- Communicates Information About System Operation and Boundaries
- Communicates System Objectives
- Communicates System Changes

Aloita ilmainen kokeilu

Kuinka täyttää vaatimus

SOC 2 (järjestelmät ja organisaation hallintakeinot)

CC2.2: Internal communication of information

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Yleiset tietoturvaohjeet henkilöstölle

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Henkilöstöturvallisuus
Tietoturvaohjeet
23
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
T11: Turvallisuuskoulutus ja -tietoisuus
Katakri
4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL
29. Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa
GDPR
9.4.4: Ylläpito- ja hallintasovellukset
ISO27 Täysi
11.2.7: Laitteiden turvallinen käytöstä poistaminen ja kierrättäminen
ISO27 Täysi
1. Tehtävän vaatimuskuvaus

Henkilöstöllä on oltava tietoturvaohjeet, joissa on käsiteltävä mm. seuraavia aiheita:

  • mobiilaitteiden käyttö ja päivitykset
  • tiedon tallentaminen ja varmuuskopiointi
  • tietosuoja
  • sähköpostin käyttö
  • tulosteiden, papereiden ja tiedostojen käsittely
  • häiriöistä ilmoittaminen
  • huijausten estäminen

Tietoturvaloukkauksesta ilmoittaminen viranomaiselle / rekisteröidyille

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Häiriöiden hallinta
Tietoturvaloukkausten hallinta
20
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
33. Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle
GDPR
34. Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle
GDPR
16.1.5: Tietoturvahäiriöihin vastaaminen
ISO27 Täysi
6.1.3: Yhteydet viranomaisiin
ISO27 Täysi
A.10.1: Notification of a data breach involving PII
ISO 27018
1. Tehtävän vaatimuskuvaus

Henkilötietojen tietoturvaloukkauksesta täytyy ilmoittaa valvontaviranomaiselle, mikäli loukkauksesta voi aiheutua riski ihmisten oikeuksille ja vapauksille. Rekisteröidyille on puolestaan ilmoitettava, mikäli loukkauksestta todennäköisesti aiheutuu korkean riski oikeuksille ja vapauksille. Ilmoituksen perusteella rekisteröidyt voivat esimerkiksi ryhtyä toimiin haittavaikutuksen pienentämiseksi (esim. sulkemalla luottokorttinsa).

Ilmoitukseen on sisällytettävä seuraavat tiedot:

  • selkeä kuvaus henkilötietojen tietoturvaloukkauksesta
  • tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa
  • henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset
  • toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on jo toteuttanut; tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

Digiturva-asioiden käsittely työsopimuksissa

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Henkilöstöturvallisuus
Digiturva sopimuksissa
17
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
7.1.2: Työsopimuksen ehdot
ISO27 Täysi
7.3: Työsuhteen päättyminen tai muuttuminen
ISO27 Täysi
7.3.1: Työsuhteen päättyminen tai vastuiden muuttuminen
ISO27 Täysi
PR.DS-5: Data leak protection
NIST
PR.IP-11: Cybersecurity in human resources
NIST
1. Tehtävän vaatimuskuvaus

Työsopimuksissa eritellään työntekijän ja organisaation vastuut tietoturvallisuudesta.

Sopimuksen tulisi sisältää mm.:

  • työntekijän juridiset vastuut ja oikeudet, esim. tekijänoikeus- tai tietosuojalainsäädäntöön liittyvät vastuut
  • työntekijän vastuu ohjeiden noudattamisesta mm. laitteiston ja tiedon käyttöön ja tietojen luokitteluun liittyen
  • työntekijän tai vuokratyöntekijän vastuu muilta yrityksiltä tai muilta osapuolilta saadun tiedon käsittelyssä
  • toimenpiteet, jos työntekijä tai vuokratyöntekijä rikkoo organisaation turvallisuusvaatimuksia
  • työsuhteen päättymisen jälkeen jatkuvat velvollisuudet

Tietoturvan hallintajärjestelmän viestintäsuunnitelma

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
11
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
RC.CO-2: Reputation
NIST
5.1: Johtajuus ja sitoutuminen
ISO27k1 Täysi
7.4: Viestintä
ISO27k1 Täysi
20.1: Top management commitment
NIS2
CC2.2: Internal communication of information
SOC 2
1. Tehtävän vaatimuskuvaus

Organisaation on määritettävä, mistä asioista tietoturvallisuuden hallintajärjestelmään liittyen on säännöllisesti viestittävä. Suunnitelman on sisällettävä vastaukset mm. seuraaviin kohtiin:

  • Mistä asioista viestitään? Nämä voivat olla mm. uusia tai muuttuneita tietoturvatavoitteita.
  • Miten ja milloin viestitään? Mitä kanavia pitkin ja kuinka usein.
  • Kenelle viestitään? Miten useasti tietoturvan avainhenkilöille, miten usein koko organisaatiolle tai kumppaneille.
  • Kuka osallistuu? Kenellä on oikeus viestiä ja keneltä viesteille pitää esimerkiksi saada hyväksyntä.

Tehtävän omistaja huolehtii suunnitelman toteuttamisen ja sen tehokkuuden säännöllisen arvioinnin.

Työsuhteen päättymisen jälkeen säilyvistä tietoturvavelvollisuuksista tiedottaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Henkilöstöturvallisuus
Työsuhteen muutoshetket
9
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
7.3: Työsuhteen päättyminen tai muuttuminen
ISO27 Täysi
7.3.1: Työsuhteen päättyminen tai vastuiden muuttuminen
ISO27 Täysi
PR.DS-5: Data leak protection
NIST
6.5: Työsuhteen päättymisen tai muuttumisen jälkeiset vastuut
ISO27k1 Täysi
CC2.2: Internal communication of information
SOC 2
1. Tehtävän vaatimuskuvaus

Työsopimuksessa olisi eroteltava tietoturvavastuut ja -velvollisuudet, jotka jäävät voimaan työsuhteen päättymisen. Työntekijää muistutetaan vielä näistä työsuhteen päättyessä, jotta noudattamista voidaan varmistaa.

Häiriökäsittelyn tuloksista tiedottaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Häiriöiden hallinta
Häiriöiden hallinta ja ilmoittaminen
15
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
16.1.6: Tietoturvahäiriöistä oppiminen
ISO27 Täysi
PR.IP-8: Protection effectiveness
NIST
DE.DP-4: Event detection
NIST
5.27: Tietoturvahäiriöistä oppiminen
ISO27k1 Täysi
CC2.2: Internal communication of information
SOC 2
1. Tehtävän vaatimuskuvaus

Organisaatio on määritellyt toimintatavat, jotka varmistavat häiriön alkuperäisen raportoijan sekä muuten häiriöön liittyvän henkilöstön saavan tiedon häiriön käsittelyn tuloksista.

Häiriöön liittyvä henkilöstö voidaan kirjata valinnaiseen tietokenttään tietoturvahäiriöiden dokumentaatiopohjassa.

Koulutuksen ja ohjeistuksen järjestäminen perehdytyksen yhteydessä (tai ennen pääsyoikeuksien myöntämistä)

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Henkilöstöturvallisuus
Tietoturvakoulutus
16
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL
7.3: Työsuhteen päättyminen tai muuttuminen
ISO27 Täysi
7.3.1: Työsuhteen päättyminen tai vastuiden muuttuminen
ISO27 Täysi
9.2.2: Pääsyoikeuksien jakaminen
ISO27 Täysi
PR.IP-11: Cybersecurity in human resources
NIST
1. Tehtävän vaatimuskuvaus

Työntekijät ovat ennen pääsyoikeuksien myötämistä luottamukselliseen tietoon tai tietojärjestelmiin:

  • saaneet asianmukaisen opastuksen tietoturvavastuistaan (mm. ilmoitusvastuu ja vastuu omista päätelaitteista)
  • saaneet asianmukaisen opastuksen omaan työrooliinsa liittyvistä tietoturvarooleistaan (mm. omaan työrooliin liittyvät digiturvasäännöt sekä tietojärjestelmät ja niiden hyväksyttävä käyttö)
  • saaneet tiedot digiturvan yhteyshenkilöistä, joilta voi kysyä lisää

Säännöllisen yksikkökohtaisen tietoturvatiedotuksen organisointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Henkilöstöturvallisuus
Tietoturvakoulutus
4
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
7.2.2: Tietoturvatietoisuus, -opastus ja -koulutus
ISO27 Täysi
CC2.2: Internal communication of information
SOC 2
PR.AT-1: All users are informed and trained.
CyFun
1. Tehtävän vaatimuskuvaus

Tiedottamalla yksiköitä heille tärkeimmistä digiturva-asioista ja heidän ymmärtämällään kielellä voidaan saavuttaa suuria edistysaskelia digiturvatasossa, kun henkilöstö ymmärtää paremmin miksi erilaisia käytäntöjä ja sääntöjä sovelletaan. Tiedotus voi olla sääntöjen jakelua pienissä paloissa, erilaisia kampanjoita (esim. ”tietoturvapäivä”), ohjelehtisiä, uutiskirjeitä, kilpailuja tai mitä tahansa.

Tietoturvatiedotuksesta voidaan myös käyttää nimitystä "tietoisuusohjelma".

No items found.

Liity Akatemian postituslistalle tänään

Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.

Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
Aiheet
Jatkuva parantaminen
Tuotteen tietoturva
Tehtävien hallinta
Riskien hallinta
Dokumentointi
Näytä kaikki
Webinarit
Intro NIS2-direktiiviin, Kyberturvallisuuslakiin sekä Digiturvamalli-työkaluun
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Näytä kaikki
Videot
ISO 27001:n yleisesittely
ISO 27001 ja sertifiointiauditoinnin avainasiat
Oman ISMS:n jatkuva parantaminen
Tiedonhallintamalli ja riskien hallinta
Tiedonhallintamalli ja tietoturvatoimenpiteet
Näytä kaikki
Ohjeet
Raportointi
Vaatimuskehikot
Pääkäyttäjälle
Asennus ja integraatiot
Dokumentaatio
Näytä kaikki
Blogit
10 vaatimustenmukaisuuden sudenkuoppaa ja miten välttää niitä
Kyberturvallisuuslaki & NIS2: kansalliset lainsäädännöt ja soveltaminen
ISO 9001 -standardi: Katsaus vaatimuskehikkoon
Selviytyminen tietoturvan labyrintissa: Hallitse NIS2 ISO 27001 -standardin avulla
Yritysten tietoturva: Riskialttiiden sovellusten tunnistaminen työntekijöiden puhelimissa
Näytä kaikki
Sisältökirjasto
Avaa sisältökirjastoLabs
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.