Digiturvamalli.fi
Kokeile
Kirjaudu
Aiheet
Alkuun pääsy
ISO 27001
NIS2
Tiedonhallinta
Jatkuva parantaminen
Tiimin yhteistyö
Dokumentointi
Henkilöstön ohjeet
Raportointi
Tehtävien hallinta
Yhteisö
Asetukset & advanced
Kokeilu ja tilaus
Käyttäjähallinta
Tuotteen tietoturva
Vaatimuskehikkojen hallinta
Henkilöstöturvallisuus
Riskien hallinta
Sisäinen auditointi
Työskentely kumppanina
GDPR
Näytä kaikki aiheet
Webinaarit
Intro NIS2-direktiiviin, Kyberturvallisuuslakiin sekä Digiturvamalli-työkaluun
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Näytä kaikki webinaarit
Videot
Automatisoi henkilöstön tietoturvaohjeistus Teamsissa
Digiturvamallin yleisesittely
Dokumentoi oma tietojenkäsittely-ympäristö yhteistyössä
GDPR & ISO 27701:n hyvät käytännöt
ISO 27001 ja henkilöstön osaaminen
ISO 27001 ja riskien hallinta
ISO 27001 ja sertifiointiauditoinnin avainasiat
ISO 27001:n yleisesittely
Luo tehokas tietoturvariskien hallinnan toimintamalli
NIS2:n yleisesittely
Oman ISMS:n jatkuva parantaminen
Paranna omaa tietoturvasuunnitelmaa jatkuvasti
Tiedonhallintamalli ja riskien hallinta
Tiedonhallintamalli ja tietoturvatoimenpiteet
Tiedonhallintamallin perusteet
Näytä kaikki videot
Ohjeet
Asennus ja integraatiot
Dokumentaatio
Kumppaneille
Käyttäjähallinta
Muut ominaisuudet
Ohjeiden hallinta
Pääkäyttäjälle
Raportointi
Tehtävien hallinta
Vaatimuskehikot
Näytä kaikki ohjeet
Blogit
Fyysisen turvallisuuden ymmärtäminen osana tietoturvaa: Näkemyksiä ISO 27001 -standardista ja parhaita käytäntöjä
DORA: Esittely, soveltamisala ja keskeiset vaatimukset
Cyberday mukana Cyber Security Nordicissa 2024!
Tietoturva toimitusketjujen riskienhallinnassa
Vaatimustenmukaisuudesta yhteistyöhön: Miten NIS2 kannustaa vahvempaan toimitusketjun tietoturvayhteistyöhön?
Näytä kaikki blogit
Sisältökirjasto
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Unfortunately something went wrong. You can contact us at team@cyberday.ai.
Sisältökirjasto
SOC 2
CC7.3: Evaluation of security events
SOC 2 (järjestelmät ja organisaation hallintakeinot)
CC7.3

Evaluation of security events

The entity evaluates security events to determine whether they could or have resulted in a failure of the entity to meet its objectives (security incidents) and, if so, takes actions to prevent or address such failures.

Points of focus:

- Responds to Security Incidents
- Communicates and Reviews Detected Security Events
- Develops and Implements Procedures to Analyze Security Incidents
- Assesses the Impact on Personal Information
- Determines Personal Information Used or Disclosed

Aloita ilmainen kokeilu

Kuinka täyttää vaatimus

SOC 2 (järjestelmät ja organisaation hallintakeinot)

CC7.3: Evaluation of security events

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Tapahtuneiden tietoturvahäiriöiden käsittelyprosessi ja dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Häiriöiden hallinta
Häiriöiden hallinta ja ilmoittaminen
41
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
T06: Turvallisuuspoikkeamien hallinta
Katakri
32. Käsittelyn turvallisuus
GDPR
12. Läpinäkyvä informointi, viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten
GDPR
16.1.5: Tietoturvahäiriöihin vastaaminen
ISO27 Täysi
6.4: Menettelytavat virhe- ja ongelmatilanteissa
Omavalvonta
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tapahtuneiden tietoturvahäiriöiden käsittelyprosessi ja dokumentointi
1. Tehtävän vaatimuskuvaus

Kaikki tietoturvahäiriöt käsitellään johdonmukaisesti, jotta tietoturvaa voidaan parantaa tapahtuneen perusteella.

Häiriöiden käsittelyprosessissa:

  • vahvistetaan raportoitu häiriö (tai todetaan tarpeettomaksi kirjata ylös)
  • dokumentoidaan häiriön tyyppi ja syy
  • dokumentoidaan häiriöön liittyneet riskit
  • käsitellään riskit, mikäli häiriön perusteella niiden käsittelyä täytyy päivittää
  • määritellään ja dokumentoidaan toimenpiteet riskien pienentämiseksi tai päätös niiden hyväksymisestä
  • määritellään tahot, joille on tärkeää tiedottaa käsittelyn tuloksista (myös organisaation ulkopuoliset)
  • määritetään tarve häiriön jälkianalyysille

Ohjeistukset ja ilmoitusprosessi häiriöiden ilmoittamiseen henkilöstölle

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Häiriöiden hallinta
Häiriöiden hallinta ja ilmoittaminen
33
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
T06: Turvallisuuspoikkeamien hallinta
Katakri
24. Rekisterinpitäjän vastuu
GDPR
16.1.3: Tietoturvaheikkouksien raportointi
ISO27 Täysi
16.1.2: Tietoturvatapahtumien raportointi
ISO27 Täysi
6.4: Menettelytavat virhe- ja ongelmatilanteissa
Omavalvonta
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Ohjeistukset ja ilmoitusprosessi häiriöiden ilmoittamiseen henkilöstölle
1. Tehtävän vaatimuskuvaus

Häiriöiden ilmoittamiseen ylläpidetään prosessia, joka auttaa henkilöstöä ilmoittamaan häiriöistä tehokkaasti ja johdonmukaisesti.

Häiriönä ilmoitettavia asioita ovat mm.:

  • luvaton pääsy tietoihin / tiloihin
  • tietoturvaohjeiden vastainen toiminta
  • epäilty tietoturvaongelma (esim. tietojenkalastelu, haittaohjelmatartunta)
  • tietojärjestelmän käyttökatko
  • tietojen tuhoutuminen / muuttuminen vahingossa tai tahallaan
  • kadonnut tai varastettu laite
  • vaarantunut salasana
  • kadonnut fyysinen tunniste (esim. avaimenperä, älykortti, älytarra)
  • epäilty tietoturvaheikkous (esim. käytetyssä tietojärjestelmässä tai muissa toimintatavoissa)

Henkilöstön ohjeissa korostetaan velvollisuutta raportoida tietoturvahäiriöistä mahdollisimman pian sovitun prosessin mukaisesti. Ohjeistus kuvaa myös muun toiminnan häiriön tapauksessa (mm. virheilmoitusten ja muiden yksityiskohtien kirjaaminen ylös).

Tietoturvaloukkauksesta ilmoittaminen viranomaiselle / rekisteröidyille

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Häiriöiden hallinta
Tietoturvaloukkausten hallinta
21
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
33. Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle
GDPR
34. Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle
GDPR
16.1.5: Tietoturvahäiriöihin vastaaminen
ISO27 Täysi
6.1.3: Yhteydet viranomaisiin
ISO27 Täysi
A.10.1: Notification of a data breach involving PII
ISO 27018
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvaloukkauksesta ilmoittaminen viranomaiselle / rekisteröidyille
1. Tehtävän vaatimuskuvaus

Henkilötietojen tietoturvaloukkauksesta täytyy ilmoittaa valvontaviranomaiselle, mikäli loukkauksesta voi aiheutua riski ihmisten oikeuksille ja vapauksille. Rekisteröidyille on puolestaan ilmoitettava, mikäli loukkauksestta todennäköisesti aiheutuu korkean riski oikeuksille ja vapauksille. Ilmoituksen perusteella rekisteröidyt voivat esimerkiksi ryhtyä toimiin haittavaikutuksen pienentämiseksi (esim. sulkemalla luottokorttinsa).

Ilmoitukseen on sisällytettävä seuraavat tiedot:

  • selkeä kuvaus henkilötietojen tietoturvaloukkauksesta
  • tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa
  • henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset
  • toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on jo toteuttanut; tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

Tietoturvahäiriöiden ensimmäisen tason reagointiprosessi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Häiriöiden hallinta
Häiriöiden hallinta ja ilmoittaminen
29
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
16.1.4: Tietoturvatapahtumien arviointi ja niitä koskevien päätösten tekeminen
ISO27 Täysi
6.4: Menettelytavat virhe- ja ongelmatilanteissa
Omavalvonta
DE.AE-4: Impact of events
NIST
RS.RP: Response Planning
NIST
RS.RP-1: Incident response plan
NIST
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvahäiriöiden ensimmäisen tason reagointiprosessi
1. Tehtävän vaatimuskuvaus

Organisaatio on määritellyt prosessin ja siihen osallistuvan tiimin, jonka avulla tietoturvahäiriöihin reagoidaan pikaisesti ja sopivat jatkotoimet päätetään johdonmukaisesti.

Ensimmäisen tason reagointiprosessissa vähintään:

  • pyritään tehokkaasti vahvistamaan todettu häiriö
  • päätetään tarpeesta välittömään reagointiin

Tietoturvaloukkauksesta rekisteröidyille aiheutuneen riskin tarkempi arviointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Häiriöiden hallinta
Tietoturvaloukkausten hallinta
10
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
34. Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle
GDPR
6.1.3: Yhteydet viranomaisiin
ISO27 Täysi
16.1.5: Tietoturvahäiriöihin vastaaminen
ISO27 Täysi
RS.CO-3: Information sharing
NIST
66: Tietoturvaloukkausten hallinta
Kokonaiskuva (DVV)
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvaloukkauksesta rekisteröidyille aiheutuneen riskin tarkempi arviointi
1. Tehtävän vaatimuskuvaus

Rekisterinpitäjän on arvioitava, millainen riski tietoturvaloukkauksesta aiheutuu vuodon kohteena olevalle henkilölle. Arviossa on huomioitava esimerkiksi seuraavat asiat:

  • Miten todennäköistä on, että tietoja käytetään haitantekoon?
  • Millaista haittaa tietojen avulla voitaisiin tehdä (mahdollistuuko esim. identiteettivarkaus, petos, psyykkisen ahdistuksen tuottaminen, nöyryyttäminen tai mainevahingon tuottaminen)?
  • Henkilötietojen luonne, arkaluonteisuus ja määrä
  • Kuinka helppoa rekisteröity on tunnistaa tiedoista?
  • Onko rekisteröityjen joukossa paljon esimerkiksi lapsia tai muuten heikossa asemassa olevia?

Riskiarvio vaikuttaa loukkauksesta ilmoittamisen kiireellisyyteen ja laajuuteen.

Prosessi tietoturvaloukkauksen käsittelyn aloittamiseen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Häiriöiden hallinta
Tietoturvaloukkausten hallinta
9
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
24. Rekisterinpitäjän vastuu
GDPR
32. Käsittelyn turvallisuus
GDPR
16.1.5: Tietoturvahäiriöihin vastaaminen
ISO27 Täysi
16.1.7: Todisteiden kokoaminen
ISO27 Täysi
5.26: Tietoturvahäiriöihin reagointi
ISO27k1 Täysi
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Prosessi tietoturvaloukkauksen käsittelyn aloittamiseen
1. Tehtävän vaatimuskuvaus

Organisaatiomme on ennalta määritellyt toimintatavat, joiden kautta havaittua tietoturvaloukkausta aletaan käsitellä. Prosessi voivat sisältää mm. seuraavia asioita:

  • ketkä kuuluvat tiimiin, joka on valmiina reagoimaan loukkauksiin
  • kuinka ja mitä kanavaa myöten loukkauksesta tiedotetaan välittömästi koko tiimia
  • tiimi määrittää loukkaukselle vakavuuden (matala, keskiverto, korkea) ennaltamääriteltyjen kriteerien perusteella
  • loukkauksen käsittelyä jatketaan isommalla porukalla vakavuustason mukaisesti
No items found.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu

Liity Akatemian postituslistalle tänään

Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.

Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
Aiheet
Jatkuva parantaminen
Tehtävien hallinta
Tiedonhallinta
Vaatimuskehikkojen hallinta
Tiimin yhteistyö
Näytä kaikki
Webinarit
Intro NIS2-direktiiviin, Kyberturvallisuuslakiin sekä Digiturvamalli-työkaluun
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Näytä kaikki
Videot
ISO 27001:n yleisesittely
NIS2:n yleisesittely
ISO 27001 ja riskien hallinta
Tiedonhallintamalli ja tietoturvatoimenpiteet
Automatisoi henkilöstön tietoturvaohjeistus Teamsissa
Näytä kaikki
Ohjeet
Pääkäyttäjälle
Vaatimuskehikot
Ohjeiden hallinta
Asennus ja integraatiot
Tehtävien hallinta
Näytä kaikki
Blogit
Fyysisen turvallisuuden ymmärtäminen osana tietoturvaa: Näkemyksiä ISO 27001 -standardista ja parhaita käytäntöjä
DORA: Esittely, soveltamisala ja keskeiset vaatimukset
Cyberday mukana Cyber Security Nordicissa 2024!
Vaatimustenmukaisuudesta yhteistyöhön: Miten NIS2 kannustaa vahvempaan toimitusketjun tietoturvayhteistyöhön?
Agendium Oy on nyt Cyberday Oy!
Näytä kaikki
Sisältökirjasto
Avaa sisältökirjastoLabs
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.