Identification and listing of assets

Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä sekä tietojärjestelmille nimetyistä omistajista. Omistaja vastaa järjestelmän tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti järjestelmään.

Järjestelmiin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

• Järjestelmään liittyvät vastuut ja sen käyttötarkoitus
• Järjestelmän tietojen sijainti (käsitellään tarkemmin erillisessä tehtävässä)
• Kuvaus järjestelmän ylläpito- ja kehitysvastuista sekä tähän mahdollisesti liittyvät toimittajat (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa tietojärjestelmän pääsyoikeusroolit ja tunnistautumistavat (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa liittymät muihin järjestelmiin (käsitellään tarkemmin erillisessä tehtävässä)

Organisaation on ylläpidettävä listaa hallinnoimistaan tietovarannoista sekä nimetyistä omistajista. Omistaja vastaa varannon tietojen täydentämisestä sekä mahdollisista muista digiturvatoimenpiteistä, jotka liittyvät tiiviisti tietovarantoon.

Tietovarantoihin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

• Tietovarantoon liittyvät vastuut
• Tietojen käyttötarkoitukset (käsitellään tarkemmin erillisessä tehtävässä)
• Tietoaineistot, joista tietovaranto muodostuu (käsitellään tarkemmin erillisessä tehtävässä)
• Tietojen säännönmukaiset luovutukset (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa tieto tietovarannon sidoksesta toimintaprosesseihin

The organization shall list all relevant protected assets to determine ownership and to ensure that security measures cover all necessary items.

A large portion of the protected assets (including data sets, data systems, personnel / units, and partners) are treated through other tasks. In addition, the organization must list other important assets, which may be, depending on the nature of its operations, e.g. hardware (servers, network equipment, workstations, printers) or infrastructure (real estate, power generation, air conditioning). In addition the organization should make sure that relevant external devices are documented.

Tietoon ja tietojenkäsittelypalveluihin liittyvä suojattava omaisuus olisi luotteloitava. Tarkoituksena on varmistaa, että suojaus kattaa tarvittavan omaisuuden.

Luettelointia voidaan tehdä suoraan hallintajärjestelmässä, mutta organisaatiolla voi olla käytössä tietylle omaisuudelle (mm. koodivarastoille, tietokannoille, verkkolaitteille, mobiililaitteille, työasemille, palvelimille tai muulle fyysiselle omaisuudelle) muita, hyvin toimivia listauspaikkoja.

Kuvaa tässä tehtävässä, mitkä hallintajärjestelmän ulkopuoliset luettelot liittyvät suojattavan omaisuuden hallintaan.

Organisaatio pitää kirjaa tietojärjestelmän liittymistä muihin tietojärjestelmiin sekä liittymissä käytettävistä tiedonsiirtotavoista.

Dokumentaatio liittymien suhteen on katselmoitava säännöllisesti sekä järjestelmiin tehtävien muutosten jälkeen.

Rekisteröidyillä on samat oikeudet henkilötietoihinsa, säilytimmepä niitä missä muodossa tahansa. Meidän on kyettävä viestimään käsittelystä ja tarjoamaan rekisteröidyille pääsy henkilötietoihin, olivatpa ne paperilla, paikallisissa tiedostoissa tai tietojärjestelmissä.

Dokumentoimme erikseen henkilötiedot, joita säilytetään tietojärjestelmien ulkopuolella.