Sisältökirjasto
Digiturvamalli
Sopimukset ja seuranta

Kuinka täyttää vaatimus

Digiturvamallin sisältökirjasto

Sopimukset ja seuranta

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset
No items found.

Toimittajasopimusten nykytilan dokumentointi

Critical
High
Normal
Low

Kaikkien tietojen käsittelyyn suorasti tai välillisesti osallistuvien kumppanien kanssa laaditaan toimittajasopimus. Tavoitteena on varmistaa, että organisaation ja toimittajan välillä ei ole väärinymmärryksiä osapuolten velvoitteista tietoturvavaatimusten täyttämisessä.

Organisaatio sisällyttää toimittajasopimukseen tarvittaessa seuraavat asiat:

  • toimittajan käyttämät tiedot (ja tiedon mahdollinen luokitus) sekä tietoihin pääsyn saava henkilöstö
  • tiedon hyväksyttävän käytön säännöt
  • tietoja käsittelevän henkilöstön salassapitovelvollisuus
  • työnjako viranomaisvaatimusten täyttämisessä
  • sopimusosapuolten hallintatehtävät tietoturvaan liittyen (esim. pääsynhallinta, valvonta)
  • häiriöiden ilmoittaminen ja korjaaminen
  • vaatimukset toimittajan alihankkijoiden käytölle
  • lupa auditoida sopimukseen liittyvät toimittajan prosessit ja hallintakeinot (ja puutteiden korjaaminen)
  • sitoutuminen tietojen palauttamiseen tai tuhoamiseen sopimuksen päättyessä
  • toimittajan vastuu noudattaa organisaation tietoturvakäytäntöjä

Tietoja käsittelevien kumppanien listaus ja omistajien nimeäminen

Critical
High
Normal
Low

Organisaation on ylläpidettävä listaa kumppaneista, joilla on pääsy luottaumuksellisiin tietoihin. Järjestelmätoimittajat sekä henkilötietojen käsittelijät listataan erillään muista sidosryhmistä, koska heillä on aktiivinen rooli tietojen käsittelyssä.

Asiakasryhmien dokumentointi, joiden tietoja organisaatio käsittelee

Critical
High
Normal
Low

Organisaation on määritettävä

  • tietoturvallisuuden hallintajärjestelmän kannalta olennaiset sidosryhmät
  • näiden sidosryhmien asettamat tietoturvallisuutta koskevat vaatimukset

Organisaation toiminnalle tärkeät asiakasryhmät tai yksittäiset merkittävät asiakkaat ovat yleensä yksi tärkeimmistä sidosryhmistä myös tietoturvallisuuden näkökulmasta. Muita sidosryhmiä tarkastellaan muiden tehtävien kautta.

Muiden sidosryhmien dokumentointi

Critical
High
Normal
Low

Organisaation on määritettävä

  • tietoturvallisuuden hallintajärjestelmän kannalta olennaiset sidosryhmät
  • näiden sidosryhmien asettamat tietoturvallisuutta koskevat vaatimukset

Tietojärjestelmätoimittajia sekä henkilötietojen käsittelijöitä tarkastellaan muiden tehtävien kautta.

Toimittajayrityskohtaisten vastuuhenkilöiden määrittely

Critical
High
Normal
Low

Toimittajayrityksille on nimetty vastuuhenkilö, joka seuraa toimittajan toimintaa, tiedotusta sekä sopimuksen noudattamista.

Vastuuhenkilöllä on oltava riittävät taidot digiturvavaatimusten analysointiin toimittajan kriittisyydestä riippuen. Vastuuhenkilö myös huolehtii, että toimittaja nimittää omalta puoleltaan vastuuhenkilön varmistamaan sopimuksen noudattamisen.

Toimittajien tietoturvavaatimusten noudattamisen seuranta

Critical
High
Normal
Low

Nimetty vastuuhenkilö seuraa toimittajan toimintaa ja palveluita aktiivisesti, jotta varmistetaan sopimusten tietoturvaehtojen noudattaminen ja tietoturvahäiriöiden asianmukainen hallinta.

Seurantaan sisältyvät seuraavat asiat:

  • luvatun palvelutason tarkkailu
  • toimittajan raporttien katselmointi ja seurantapalaverien järjestäminen
  • riippumattomien auditointien säännöllinen järjestäminen
  • auditoinneissa tunnistettujen ongelmien seuranta
  • tietoturvahäiriöiden tarkempi selvittäminen ja niihin liittyvän dokumentaation katselmointi
  • toimittajan tulevaisuuteen liittyvien suunnitelmien läpikäynti (palvelutason ylläpitämiseen liittyen)

Yksityiskohtaiset kuvaukset vaadittavista turvatoimenpiteistä tarjottaviin pilvipalveluihin liittyville alihankkijoille

Critical
High
Normal
Low

Osallistaessaan alikäsittelijöitä mukaan tarjottuihin pilvipalveluihin liittyvien henkilötietojen käsittelyyn organisaatio varmistaa, että sopimuksissa on selkeästi määritelty alikäsittelijöiltä vaadittavat tekniset ja organisatoriset vähimmäisturvatoimenpiteet.

Palvelutasovaatimukset tietojenkäsittely-ympäristöön liittyvissä sopimuksissa

Critical
High
Normal
Low

Organisaation on sisällyttänyt toiminnan jatkuvuuden edellyttämät palvelutasovaatimukset osaksi hankintavaatimuksia ja sopimuksia.

Etenkin kriittisten toimintojen kannalta välttämättömistä tietojenkäsittely-ympäristön osista (mm. näitä toimintoja tukevat tietojärjestelmät ja kumppanit) on tärkeää sopia tavalla, jolla taataan palvelujen riittävä saatavuus. Sopimuksiin voidaan sisällyttää vaatimuksia mm. yleisestä palvelutasosta (SLA) sekä ongelmatilanteista palautumisesta (RPO, RTO).

Vastuiden viestittäminen toimittajille

Critical
High
Normal
Low

Organisaation on viestittävä toimittajille heidän roolinsa ja vastuunsa toimitusketjun tietoturvassa. On myös varmistettava, että toimittajat ymmärtävät heille kohdistetut tietoturvaohjeensa sekä mahdolliset muut tietoturvavastuut sopimusten mukaisesti.

Yhteydenpito relevantteihin viranomaisiin

Critical
High
Normal
Low

Organisaatio listaa relevantit viranomaistoimijat, joihin on tärkeää pitää aktiivisesti yhteyttä sekä tarvittaessa saada yhteys nopeasti. Näitä viranomaisia ovat mm. kansallisia lakeja toimeenpanevat sekä valvontaa toteuttavat viranomaiset.

Relevantteihin viranomaisiin olisi määriteltävä selkeä yhteyshenkilö, joka toimii yhteyspisteenä organisaatioon.

Yhteydenpito cloud-toimialaan liittyviin sidosryhmiin

Critical
High
Normal
Low

Organisaation tulee ylläpitää aktiivisesti yhteyksiä cloud-toimialaan liittyviin sidosryhmiin ja muihin merkittäviin tekijöihin, jotka liittyvät organisaation toimintaan.

Tiedonjakosopimusten ja ilmoittamisvelvollisuuksien määrittäminen

Critical
High
Normal
Low

Määrittele osallistumisedellytykset tietojen jakamisjärjestelyissä ja ilmoita osallistumisesta toimivaltaisille viranomaisille.

  1. Määritä osallistumisedellytykset tietojen jakamisjärjestelyissä, mukaan lukien julkisten viranomaisten osallistuminen ja niiden mahdolliset roolit, kolmannen osapuolen palveluntarjoajien osallistuminen ja operatiiviset yksityiskohdat, kuten omistettujen IT-alustojen käyttö.
  2. Ilmoita osallistumisesta tietojen jakamisjärjestelyihin toimivaltaisille viranomaisille jäsenyyden vahvistamisen yhteydessä tai tarvittaessa jäsenyyden lopettamisesta sen tullessa voimaan.

Riskinarviointi ja harkinta kriittisiä toimintoja tukevien ICT-palvelujen hankinnassa

Critical
High
Normal
Low

Arvioidessaan kriittisiä toimintoja tukeviin ICT-palveluihin liittyviä riskejä tulee ottaa huomioon:

  • Onko kyseessä sopimuksen tekeminen ei-korvattavan ICT-palveluntarjoajan kanssa.
  • Useiden sopimusten vaikutukset samojen tai läheisesti toisiinsa liittyvien ICT-palveluntarjoajien kanssa.
  • Vvaihtoehtoisten ratkaisujen arviointi, kuten eri palveluntarjoajien käyttö, liiketoiminnan tarpeiden mukauttaminen ja digitaalinen häiriönsietostrategia.

Mitä tulee alihankintaan:

  • Rahoituslaitosten tulee arvioida alihankinnan hyödyt ja riskit, erityisesti kun alihankkijat sijaitsevat kolmansissa maissa.
  • Maksukyvyttömyyslain säännösten huomioon ottaminen palveluntarjoajan konkurssin ja tietojen palauttamisen rajoitusten yhteydessä.
  • Unionin tietosuojasääntöjen noudattaminen ja lainvalvonta kolmansissa maissa.
  • Monimutkaisten alihankintaketjujen mahdollisten vaikutusten arviointi seuranta- ja valvontakykyyn.

Keskeiset sopimusvaatimukset kriittisiä toimintoja tukeville palveluntarjoajille

Critical
High
Normal
Low

Tärkeitä ICT-palveluita koskevien sopimusten tulee sisältää:

  • Yksityiskohtaiset palvelutason kuvaukset ja selkeät suorituskykytavoitteet tehokkaan valvonnan ja korjaavien toimenpiteiden varmistamiseksi.
  • Ilmoitusajat ja raportointivelvoitteet palvelun tarjontaan vaikuttavista muutoksista.
  • Varasuunnitelmat, turvatoimenpiteet ja käytännöt liiketoiminnan jatkuvuuden ja säännösten noudattamisen varmistamiseksi.
  • Osallistuminen rahoitusyksikön TLPT:hen (uhkalähtöinen penetraatriotestaus).
  • Oikeudet seurata suorituskykyä pääsyn, tarkastusten ja auditointien avulla, ja vaihtoehtoisia vakuutustasoja koskevat määräykset.
  • Yhteistyö toimivaltaisten viranomaisten tai nimettyjen tahojen suorittamien tarkastusten ja auditointien aikana.
  • Yksityiskohdat tarkastusten ja auditointien laajuudesta, menettelyistä ja tiheydestä.
  • Irtautumisstrategiat, mukaan lukien siirtymäkaudet saumattomalle siirtymiselle tai uudelleenjärjestelylle.
  • Mikroyrityksille mahdollisuus siirtää valvontaoikeudet palveluntarjoajan nimeämälle riippumattomalle kolmannelle osapuolelle.

Ulkoisten tietotekniikkapalvelujen hankinnan ja käytön hallinta

Critical
High
Normal
Low

Ulkopuolisia tietotekniikkapalveluja ei käytetä ilman tietoturvavaatimusten nimenomaista arviointia ja täytäntöönpanoa:

  • Ulkoisista IT-palveluista on saatavilla riskinarviointi.
  • Oikeudelliset, sääntelyyn liittyvät ja sopimusvaatimukset otetaan huomioon.

Ulkoisen IT-palvelun on täytettävä niiden käsittelemien tietojen osalta tarvittavat vaatimukset.

  • Organisaatiolla olisi oltava menettely, jolla määritetään, täyttääkö ulkoinen IT-palvelu vaatimukset, ennen kuin sille annetaan pääsy tietoihin.
  • Ennen kuin ulkoisia IT-palveluja (kuten pilvipalveluja, ohjelmistoja tai kolmannen osapuolen IT-tukea) aletaan käyttää, palvelun on täytettävä organisaation vaatimukset (esim. yhteensopivuuden, turvallisuuden, kustannustehokkuuden ja organisaation tarpeiden mukaisuuden osalta).

Organisaation on tarkistettava säännöllisin väliajoin, että vain hyväksyttyjä ulkoisia IT-palveluja on käytössä.

Ulkosuhdevastaavan nimeäminen

Critical
High
Normal
Low

Organisaatio koordinoi, miten suhteita yleisöön hoidetaan ottamalla käyttöön jäsennelty ulkosuhteiden ja yleisön hallintaprosessi. Organisaatio nimeää oman ulkosuhteista vastaavan henkilön hoitamaan kaikki mediavuorovaikutukset, käsittelemään haastattelupyyntöjä, käsittelemään puhelinsoittoja ja sähköpostipyyntöjä sekä varmistamaan, että julkisuuteen suunnattu tieto on organisaation toimintaperiaatteiden mukaista.

Sopimusten tekeminen kolmansien osapuolten kanssa konsultoinnin tarjoamisesta poikkeamien aikana

Critical
High
Normal
Low

Organisaation olisi tehtävä sopimuksia asiaankuuluvien kolmansien osapuolten kanssa, jotta ne voivat tarvittaessa tarjota konsultointia poikkeamien aikana.

Tällaisia kolmansia osapuolia voivat olla esimerkiksi CERT-ryhmät (Computer Emergency Response Teams), eri alojen tietotekniikka-asiantuntijat sekä laitteiden tai ohjelmistojen toimittajat.

Process for handling and sharing vulnerability disclosures

Critical
High
Normal
Low

Organization establishes processes and means to handle and share vulnerability disclosures such as:

  • Processes for receiving, analyzing, and responding to vulnerability disclosures from suppliers, customers, partners, and government cybersecurity organizations
  • Vulnerability information sharing between the organization and suppliers, following contractual rules and protocols
  • Assigning responsibilities to relevant personnel for processing and analyzing the impact of disclosed cybersecurity threats, vulnerabilities, or incidents

Toimittajan palveluja koskevien muutosten hallinta

Critical
High
Normal
Low

Vastuuhenkilö seuraa merkittäviä muutoksia toimittajan toiminnassa, jotka voivat vaikuttaa toimittajasuhteeseen ja palveluntarjontaan sekä vaatia täten muita toimenpiteitä. Seuraavat näkökohdat huomioidaan:

  • suorat muutokset toimittajasopimuksiin
  • palvelusisällön parannukset, uudet teknologiat tai uusien palvelujen kehittäminen
  • toimintatapojen merkittävät muutokset (joko tietoturvaan tai muuhun toimintaan liittyen)
  • tietojen fyysistä sijaintia koskevat muutokset
  • toimittajaketjun / alihankintaprosessin muutokset

Tärkeiden henkilötietojen käsittelijöiden käsittelysopimusten arviointi

Critical
High
Normal
Low

Käsittelysopimuksella sidotaan henkilötietoja käsittelevän kumppaniin tekemisiä. Etenkin tärkeiden kumppanien kanssa käsittelysopimuksen sisältöä on syytä analysoida tarkemmin, josta dokumentoidaan oma arvioinsa. Tärkeät kumppanit voivat olla meihin nähden joko henkilötietojen käsittelijöitä tai rekisterinpitäjiä.

Meille voi olla tärkeää esimerkiksi vastuuttaa tärkeää kumppania huolehtimaan salassapitovelvollisuuden varmistamisesta henkilöstölleen sekä rajoittaa toisten henkilötietojen käsittelijöiden (alihankinnan) käyttöä tietoihimme liittyen.

Sopimusehdot suorasti asiakasympäristöihin liittyvien muutosten rajoittamiseksi

Critical
High
Normal
Low

Toimittaja- ja kumppanisopimuksiin tulee sisällyttää vaatimuksia, jotka rajaavat suorasti asiakasympäristöihin vaikuttavia muutoksia.

Muutosten tulisi olla nimenomaisesti hyväksyttyjä sekä palveluntasosopimusten piiriin sisältyviä.

Yhteydenpito toimialakohtaisiin intressiryhmiin

Critical
High
Normal
Low

Organisaation tulee ylläpitää aktiivisesti yhteyksiä organisaation toimialaan liittyviin sidosryhmiin ja muihin merkittäviin tekijöihin, jotka liittyvät organisaation toimintaan ja turvallisuuteen.

Tavoitteena etenkin:

  • lisätä tietoa parhaista käytännöistä ja pysyä ajan tasalla olennaisesta turvallisuustiedosta
  • varmistaa, että ymmärtämys tietoturvaympäristöstä on ajantasaista ja täydellistä

Toimittajakohtaisten tietosuojasitoumusten kerääminen ja valvonta

Critical
High
Normal
Low

Organisaation tulee hankkia luottamuksellisuutta koskevia sitoumuksia:

  • myyjiltä
  • liikekumppaneilta

Lisäksi tulee hankkia yksityisyyssitoumuksia:

  • myyjiltä
  • liikekumppaneilta

sitoumuksien hankkimisen lisäksi organisaation tulee arvioida:

  • myyjien ja liikekumppaneiden tietosuojasitoumusten noudattamista
  • myyjien ja liikekumppaneiden luottamuksellisuussitoumusten noudattamista

Jatkuvuussuunnitelmiin liittyvä viestintä sidosryhmille

Critical
High
Normal
Low

Luo yhteys, ja kommunikoi, sidosrymien ja osallistujien kanssa jatkuvuussuunnitelman ja selviytymismenettelyjen aikana.