Competence of personnel

Organisaatiomme on määritellyt toimintatavat henkilöstön digiturvaosaamisen ylläpitämiseen. Näihin voi liittyä mm. seuraavia asioita:

• henkilöstölle on olemassa ohjeet, joilla kuvataan työrooliin liittyvät digiturvan yleiset säännöt
• henkilöstöä koulutetaan, jotta he pystyvät toimimaan turvallisesti, tietävät ohjeet ja kykenevät noudattamaan niitä
• henkilöstö osoittaa testien tai muun vastaavan avulla omaavansa turvallisen toiminnan vaatimat digiturvataidot ja -tiedot

Koulutus keskittyy kullekin työroolille oleellisimpiin digiturvateemoihin, mutta sisältää tarpeeksi usein myös kaikkia työntekijöitä koskevat "perusasiat":

• työntekijän henkilökohtainen vastuu (mm. päätelaitteista ja käsittelemästään tiedosta)
• kaikkia koskevat käytännöt (mm. tietoturvahäiriöiden raportointi)
• kaikkia koskevat säännöt (mm. puhdas työpöytä)
• organisaation tietoturvaroolit (keneen yhteyttä ongelmatilanteissa)

Ylimmän johdon on varmistettava selkeät vastuualueet/valtuudet ainakin seuraavissa asioissa:

• kuka on ensisijaisesti vastuussa siitä, että tietoturvallisuuden hallintajärjestelmä on tietoturvavaatimusten mukainen.
• ketkä toimivat ISMS:n teemojen omistajina, jotka vastaavat tietoturvallisuuden hallintajärjestelmän pääteemoista.
• kenellä on vastuu ja valtuudet raportoida ylimmälle johdolle tietoturvallisuuden hallintajärjestelmän toimivuudesta.
• kenellä on valtuudet suorittaa sisäisiä tarkastuksia

ISMS-teemojen omistajat esitellään johtamisjärjestelmän työpöydällä ja tietoturvapoliitiikan raportissa.

Lisäksi ylimmän johdon on varmistettava, että kaikki tietoturvan kannalta merkitykselliset roolit sekä niihin liittyvät vastuut ja valtuudet määritellään ja niistä tiedotetaan. On myös tärkeää tunnistaa ulkoisten kumppaneiden ja palveluntarjoajien roolit ja vastuut.

Vähintään digiturvan kannalta tärkeisiin rooleihin hakeutuvien työnhakijoiden tausta olisi tarkastettava, huomioiden asianmukaiset lait ja määräykset.

Tarkastus voi sisältää mm.:

• suositusten tarkistuksen
• CV:n oikeellisuuden tarkistuksen
• koulutuksellisen pätevyyden varmistamisen
• henkilöllisyyden tarkistamisen riippumattomasta lähteestä
• muut yksityiskohtaisemmat tarkistukset (esim. luottotietojen, aiempien korvausvaatimusten tai rikosrekisterin tarkistus)

Taustatarkistus voi olla syytä ulottaa myös esimerkiksi täysin etänä työskenteleviin, urakoitsijoihin tai muihin kolmansiin osapuoliin. Taustatarkistuksen syvyyttä voidaan suhteuttaa tehtävän oikeuttavaan tietoluokkaan.

Organisaation henkilöstölleen järjestämistä digiturvakoulutuksista pidetään lokia. Lokin avulla voidaan osoittaa, millaisia täsmäpanostuksia organisaatio on tehnyt henkilöstön digiturvaosaamisen eteen.

Jokaisesta koulutuksesta voidaan kirjata ylös esimerkiksi:

• ajankohta
• koulutuksen aihepiirit ja kesto
• koulutuksen toteutustapa ja kouluttaja
• koulutukseen osallistuneet henkilöt

Koko organisaation ohjauksessa toimivan henkilöstön on oltava tietoisia:

• miten he voivat osaltaan lisätä tietoturvallisuuden hallintajärjestelmän vaikuttavuutta ja millaista hyötyä tietoturvallisuuden tason parantamisesta on
• seurauksista, joita tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten noudattamatta jättämisellä voi ollaminkä osan henkilöstöstä työ vaikuttaa tietoturvan tasoon

Lisäki johto on määrittänyt tavat, joilla henkilöstö pidetään tietoisina omaan työrooliinsa liittyvistä tietoturvaohjeista.