Sisältökirjasto
GDPR
5. Henkilötietojen käsittelyä koskevat periaatteet
Yleinen tietosuoja-asetus

Aloita ilmainen kokeilu

Vaatimuksen kuvaus

Kuinka täyttää vaatimus

Yleinen tietosuoja-asetus

5. Henkilötietojen käsittelyä koskevat periaatteet

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Tietojärjestelmien listaus ja omistajien nimeäminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Tietojärjestelmien hallinta
53
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
I06: Pääsyoikeuksien hallinnointi
Katakri
13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
24. Rekisterinpitäjän vastuu
GDPR
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
32. Käsittelyn turvallisuus
GDPR
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietojärjestelmien listaus ja omistajien nimeäminen
1. Tehtävän vaatimuskuvaus

Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä sekä tietojärjestelmille nimetyistä omistajista. Omistaja vastaa järjestelmän tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti järjestelmään.

Järjestelmiin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

  • Järjestelmään liittyvät vastuut ja sen käyttötarkoitus
  • Järjestelmän tietojen sijainti (käsitellään tarkemmin erillisessä tehtävässä)
  • Kuvaus järjestelmän ylläpito- ja kehitysvastuista sekä tähän mahdollisesti liittyvät toimittajat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tietojärjestelmän pääsyoikeusroolit ja tunnistautumistavat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa liittymät muihin järjestelmiin (käsitellään tarkemmin erillisessä tehtävässä)

Järjestelmien käyttöoikeuksien säännöllinen katselmointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
31
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
24. Rekisterinpitäjän vastuu
GDPR
32. Käsittelyn turvallisuus
GDPR
9.2.5: Pääsyoikeuksien uudelleenarviointi
ISO 27001
16 §: Tietojärjestelmien käyttöoikeuksien hallinta
TiHL
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Järjestelmien käyttöoikeuksien säännöllinen katselmointi
1. Tehtävän vaatimuskuvaus

Tietojärjestelmästä vastaava taho määrittää järjestelmän käyttöoikeudet käyttäjien tehtäviin liittyen. Todellisten käyttöoikeuksien vastaavuutta suunniteltuun on valvottava ja oikeuksia uudelleenarvioitava säännöllisin aikavälein.

Pääsyoikeuksia katselmoitaessa on huomiotava lisäksi ylläpito-oikeuksien minimointi sekä tarpeettomien tunnusten sulkeminen.

Tietovarantojen listaus ja omistajien nimeäminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Käsittelyperiaatteet ja osoitusvelvollisuus
45
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
5 §: Tiedonhallintamalli ja muutosvaikutuksen arviointi
TiHL
6. Käsittelyn lainmukaisuus
GDPR
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
8.1.1: Suojattavan omaisuuden luetteloiminen
ISO 27001
6.7: Asiakas- ja potilastietojärjestelmät, niihin liitetyt tietojärjestelmät ja muut tietojärjestelmät
Omavalvontasuunnitelma
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietovarantojen listaus ja omistajien nimeäminen
1. Tehtävän vaatimuskuvaus

Organisaation on ylläpidettävä listaa hallinnoimistaan tietovarannoista sekä nimetyistä omistajista. Omistaja vastaa varannon tietojen täydentämisestä sekä mahdollisista muista digiturvatoimenpiteistä, jotka liittyvät tiiviisti tietovarantoon.

Tietovarantoihin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

  • Tietovarantoon liittyvät vastuut
  • Tietojen käyttötarkoitukset (käsitellään tarkemmin erillisessä tehtävässä)
  • Tietoaineistot, joista tietovaranto muodostuu (käsitellään tarkemmin erillisessä tehtävässä)
  • Tietojen säännönmukaiset luovutukset (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tieto tietovarannon sidoksesta toimintaprosesseihin

Tietoturvariskien tunnistaminen ja dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Riskien hallinta
42
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
T04: Turvallisuusriskien hallinta
Katakri
13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
24. Rekisterinpitäjän vastuu
GDPR
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
8.3: Tietoturvariskien käsittely
ISO 27001
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvariskien tunnistaminen ja dokumentointi
1. Tehtävän vaatimuskuvaus

Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:

  • Riskin kuvaus
  • Riskin vakavuus ja todennäköisyys
  • Riskiä hallitsevat ohjeet ja hallintatehtävät
  • Riskin hyväksyttävyys

Tietoaineistojen dokumentointi tietovarannoille

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietoaineistojen hallinta
Tietoaineistojen hallinta
49
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
T07: Tietojen luokittelu
Katakri
13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
15 §: Tietoaineistojen turvallisuuden varmistaminen
TiHL
6. Käsittelyn lainmukaisuus
GDPR
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoaineistojen dokumentointi tietovarannoille
1. Tehtävän vaatimuskuvaus

Organisaation on ylläpidettävä listaa sen hallinnoimiin tietovarantoihin sisältyvistä tietoaineistoista.

Dokumentaation on sisällettävä vähintään seuraavat tiedot:

  • Aineiston käsittelyyn käytetyt tietojärjestelmät ja muut keinot
  • Keskeiset tietoryhmät aineistossa (ja sisältääkö henkilötietoja)
  • Tietojen säilytysaika (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tieto aineistojen arkistoinnista / hävittämisestä (käsitellään tarkemmin erillisessä tehtävässä)

Liittyvien tietoturvariskien dokumentointi tapahtuneille tietoturvahäiriöille

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Riskien hallinta
14
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
T05: Jatkuvuuden hallinta
Katakri
24. Rekisterinpitäjän vastuu
GDPR
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
8.3: Tietoturvariskien käsittely
ISO 27001
21.2.a: Risk management and information system security
NIS2
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Liittyvien tietoturvariskien dokumentointi tapahtuneille tietoturvahäiriöille
1. Tehtävän vaatimuskuvaus

Organisaatio arvioi tietoturvaan liittyvien riskejä reagoimalla tilanteisiin, joissa tietoturva on lievästi tai vakavasti pettänyt. Dokumentaatio sisältää vähintään seuraavat asiat:

  • Häiriön kuvaus
  • Häiriöön liittyneet riskit
  • Häiriön johdosta käyttöön otetut uudet hallintatehtävät
  • Häiriön johdosta toteutetut muut toimenpiteet

Pääsyoikeusroolien määrittely ja dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
48
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
I06: Pääsyoikeuksien hallinnointi
Katakri
25. Sisäänrakennettu ja oletusarvoinen tietosuoja
GDPR
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
9.1.1: Pääsynhallintapolitiikka
ISO 27001
9.2.2: Pääsyoikeuksien jakaminen
ISO 27001
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Pääsyoikeusroolien määrittely ja dokumentointi
1. Tehtävän vaatimuskuvaus

Organisaatio toteuttaa roolipohjaista pääsynhallintaa, jossa on ennakkoon määritetty eri suojattavalle omaisuudelle pääsyoikeusroolit, jotka oikeuttavat pääsyn. Roolien tiukkuuden tulisi heijastaa omaisuuteen liittyviä tietoturvariskejä.

Määrittelyn tueksi pitää harkita seuraavia asioita:

  • kuinka laajoihin tietoihin kukin käyttäjä tarvitsee pääsyn
  • kuinka laajasti käyttäjän tulee pystyä muokkaamaan tietoja (luku-, kirjoitus-, poisto-, tulostamis-, suorittamisoikeus)
  • onko muilla sovelluksilla pääsyä tietoihin
  • voidaanko tietoja eriyttää omaisuuden sisällä niin, että arkaluonteiset tiedot paljastuvat vähemmän

Säilytysaikojen määrittäminen ja dokumentointi tietoaineistoille

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Käsittelyperiaatteet ja osoitusvelvollisuus
16
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
21 §: Tietoaineistojen säilytystarpeen määrittäminen
TiHL
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
18.1.3: Tallenteiden suojaaminen
ISO 27001
PR.IP-6: Data destruction
NIST
A.7.4.2: Limit processing
ISO 27701
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Säilytysaikojen määrittäminen ja dokumentointi tietoaineistoille
1. Tehtävän vaatimuskuvaus

Säilytyksen rajoittaminen on yksi henkilötietojen käsittelyn periaatteista. Mikäli tietoaineiston säilytysajasta ei ole säädetty laissa, säilytysaikoja määritettäessä tulee huomioida esimerkiksi:

  • tietoaineiston alkuperäisen käyttötarkoituksen mukainen tarpeellisuus
  • luonnollisen henkilön tai oikeushenkilön etujen, oikeuksien, velvollisuuksien ja oikeusturvan toteuttaminen ja todentaminen
  • sopimuksen tai muun yksityisoikeudellisen oikeustoimen oikeusvaikutus
  • vahingonkorvausoikeudelliset vanhentumisajat
  • rikosoikeudelliset vanhentumisajat

Kuvaa oma prosessinne säilytysaikojen oikeellisuuden arvioimiseen.

Tietojärjestelmien ulkopuolisen henkilötiedon dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietoaineistojen hallinta
Tietoaineistojen hallinta
10
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
8.1.1: Suojattavan omaisuuden luetteloiminen
ISO 27001
5.9: Tietojen ja niihin liittyvien omaisuuserien luettelo
ISO 27001
63: Rakenteettoman tiedon tunnistaminen ja hallinta
Digiturvan kokonaiskuvapalvelu
CC6.1a: Identification and listing of assets
SOC 2
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietojärjestelmien ulkopuolisen henkilötiedon dokumentointi
1. Tehtävän vaatimuskuvaus

Rekisteröidyillä on samat oikeudet henkilötietoihinsa, säilytimmepä niitä missä muodossa tahansa. Meidän on kyettävä viestimään käsittelystä ja tarjoamaan rekisteröidyille pääsy henkilötietoihin, olivatpa ne paperilla, paikallisissa tiedostoissa tai tietojärjestelmissä.

Dokumentoimme erikseen henkilötiedot, joita säilytetään tietojärjestelmien ulkopuolella.

Henkilötietoinventaario ja dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Informointi ja tietopyynnöt
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
12. Läpinäkyvä informointi, viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten
GDPR
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
18.1.4: Tietosuoja ja henkilötietojen suojaaminen
ISO 27001
8.1.1: Suojattavan omaisuuden luetteloiminen
ISO 27001
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Henkilötietoinventaario ja dokumentointi
1. Tehtävän vaatimuskuvaus

Organisaation käsittelemät henkilötiedot on kartoitettu ja dokumentoitu. Dokumentaatio sisältää mm.:

  • Henkilötietojen tallennuspaikan (esim. tietty tietojärjestelmä)
  • Henkilötietoryhmät
  • Tietojen sijainnin
  • Tietoja käsittelevät kumppanit

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset
No items found.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu
Tutustu Digiturvamalliin
Aloita ilmainen kokeilu
Digiturvamallin avulla rakennat tietoturvallisen ja halutut vaatimukset täyttävän organisaation. Halusitko kehittää tietoturvan hallintaa yleisesti, raportoida omasta NIS2-valmiudesta tai hankkia ISO 27001 -sertifioinnin, Digiturvamalli yksinkertaistaa koko prosessia.
AI-pohjaiset parannussuositukset ja käyttäjäystävällinen työkalu varmistavat, että organisaationne voi olla luottavainen vaatimusten täyttymisestä ja keskittyä oman tietoturvan jatkuvaan parantamiseen.
Selkeä suunnitelma vaatimusten täyttämiseen
Aktivoi teille tärkeät vaatimuskehikot ja jalkauta niiden vaatimukset täyttäviä selkeitä toimenpiteitä.
Uskottavat raportit todisteiksi hyvästä tietoturvasta
Etene tehtävien avulla varmistaaksesi turvallisen toiminnan. Luo ammattimaisia ​​raportteja muutamalla napsautuksella.
AI-avusteiset parannussuositukset
Keskity vaikuttavimpiin parannuksiin Digiturvamallin suositusten avulla.

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin