Tietojärjestelmien hallinta

Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä sekä tietojärjestelmille nimetyistä omistajista. Omistaja vastaa järjestelmän tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti järjestelmään.

Järjestelmiin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

• Järjestelmään liittyvät vastuut ja sen käyttötarkoitus
• Järjestelmän tietojen sijainti (käsitellään tarkemmin erillisessä tehtävässä)
• Kuvaus järjestelmän ylläpito- ja kehitysvastuista sekä tähän mahdollisesti liittyvät toimittajat (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa tietojärjestelmän pääsyoikeusroolit ja tunnistautumistavat (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa liittymät muihin järjestelmiin (käsitellään tarkemmin erillisessä tehtävässä)

Organisaatiolla on prosessi, jonka avulla ohjelmisto tarkastetaan ja hyväksytään ennen asennusta tai käyttöä. Prosessi sisältää ainakin seuraavat asiat

• Arvioi rajoitettu hyväksyntä: Tarkistetaan, onko ohjelmisto hyväksytty tiettyihin käyttötapauksiin tai rooleihin organisaatiossa.
• Tarkistetaan vaatimustenmukaisuus: Varmistetaan, että ohjelmisto täyttää organisaation tietoturvavaatimukset.
• Tarkistetaan ohjelmiston käyttöoikeudet ja lisensointi: Varmistetaan, että ohjelmistolla on asianmukainen lisenssi aiottua käyttöä varten.
• Arvioi lähde ja maine: Arvioi ohjelmiston toimittajan tai lähteen uskottavuus ja maine.

Tähän prosessiin olisi sisällyttävä myös erityistarkoituksiin käytettävien ohjelmistojen, kuten ylläpitotyökalujen, valinta.

Organisaation on määriteltävä (tarkempien toimittajavastuita, -häiriöitä sekä pilvipalveluiden hankintaa koskevien käytäntöjen lisäksi), millä yleisillä periaatteilla se aikoo hallita pilvipalveluiden käyttöön liittyviä tietoturvariskejä.

Määritelmissä on otettava huomioon mm.:

• kuinka palveluntarjoajan mahdollistamia tietoturvaominaisuuksia hyödynnetään
• kuinka vaatia todisteita palveluntarjoajan toteuttamista toimenpiteistä tietoturvan eteen
• mitä tekijöitä on huomioitava omissa toimintatavoissa kun hyödynnetään isoa palveluntarjoaja määrää
• pilvipalveluiden käytön huomiointi tietoturvariskien hallinnassa
• toimintatavat pilvipalvelun käytön päättämishetkellä

Organisaatiolla tulisi olla määritelly ohjeet tietojärjestelmien yleisesti hyväksyttävälle käytölle sekä tarvittavien tunnistautumistietojen hallinnalle.

Tärkeäksi luokiteltujen tietojärjestelmien omistaja voi lisäksi määritellä, dokumentoida ja jalkauttaa tarkempia sääntöjä juuri tämän tietojärjestelmän käytöstä. Nämä saannöt voivat kuvata mm. tietoturvavaatimukset, jotka järjestelmän sisältävään tietoon liittyvät.

Organisaatio vahvistaa palveluntarjoajien hallintaa kehittämällä rooliin, kriittisyyteen ja arkaluonteiseen tietoon pääsyyn perustuvan luokittelukehyksen, ylläpitämällä yksityiskohtaista luetteloa sekä tekemällä säännöllisiä arviointeja ja due diligence -tarkastuksia. Suorituskyvyn ja vaatimustenmukaisuuden jatkuvalla seurannalla, selkeillä käytöstäpoistomenettelyillä ja säännöllisillä toimintaperiaatteiden päivityksillä varmistetaan, että palveluntarjoajat ovat linjassa turvallisuusvaatimusten, organisaation tavoitteiden ja kehittyvän uhkakuvan kanssa.

Organisaatio parantaa tietoturvaa ottamalla käyttöön erillisiä työasemia ja virtuaalisen työpöydän hallintatehtäviä varten, käyttämällä verkon segmentointia, rajoittamalla Internet-yhteyksiä, ottamalla käyttöön tiukkoja pääsynvalvontajärjestelmiä ja käyttämällä suojattuja käyttöjärjestelmiä.

Organisaatio on ottanut käyttöön riskiperusteisen korjausstrategian, jossa toimet asetetaan tärkeysjärjestykseen vaikutusten perusteella, dokumentoidaan johdonmukaisuuden varmistamiseksi, tarkastellaan kuukausittain niiden tehokkuutta, kohdennetaan resurssit tehokkaasti riskinarviointien perusteella ja otetaan sidosryhmät mukaan kattavan tuen saamiseksi.

Organisaatio on parantanut tilien hallintaa ja tietoturvaa ottamalla käyttöön keskitetyn hakemistopalvelun, jossa on integroitu kertakirjautuminen, standardoitu käyttöönotto, keskitetty käyttöoikeuksien valvonta sekä parannetut tarkastus- ja raportointimahdollisuudet.

Organisaatio on ottanut käyttöön automaattisen tilien seuranta- ja deaktivointiprosessin, jossa on 45 päivän toimimattomuusraja ja jota täydennetään säännöllisillä tarkistuksilla ja käyttäjille tehtävillä ilmoituksilla ennen deaktivointia, mikä takaa tehokkaan tilinhallinnan ja turvallisuuskäytäntöjen noudattamisen.

Organisaatio on ottanut käyttöön isäntäpohjaisen DLP-työkalun (Data Loss Prevention), joka valvoo arkaluonteisia tietoja kaikissa yrityksen resursseissa, myös etäkäytössä olevissa resursseissa, integroituu tietovarastointijärjestelmiin reaaliaikaista seurantaa varten, luo hälytyksiä luvattomista tietotoimista ja käy läpi säännöllisiä tarkastuksia tehokkuutensa varmistamiseksi.

Organisaatio on kehittänyt tiedonhallintakehyksen luokittelemalla tietojen arkaluonteisuuden, erottelemalla käsittely-ympäristöt toisistaan, ottamalla käyttöön tiukat pääsynvalvontamekanismit ja laatimalla yksityiskohtaiset käsittelykäytännöt, joita kaikkia tarkistetaan säännöllisesti.

Organisaatio on kehittänyt tieto-omaisuudenhallintastrategian, joka sisältää kattavat ja säännöllisesti päivitettävät inventoinnit kaikesta fyysisestä, virtuaalisesta, etä- ja pilvipalveluun liitetystä omaisuudesta. Tieto-omaisuudenhallintastrategia kattaa myös ulkoisen omaisuuden, ja siinä hyödynnetään automatisoituja seurantatyökaluja tarkkuuden ja tietosuojamääräysten noudattamisen varmistamiseksi.

Organisaatio varmistaa, että hyväksyttyjä ohjelmistoja tuetaan:

• ohjelmistoluettelon säännöllinen tarkistaminen nimeämällä vain toimittajan tukemat ohjelmistot valtuutetuiksi.
• dokumentoimalla poikkeukset lieventävine kontrolleineen
• riskien hyväksyminen tarvittavien tukemattomien ohjelmistojen osalta
• tunnistamalla luvattomat ohjelmistot ilman poikkeuksia
• ottamalla käyttöön riskinhallintatoimenpiteitä, kuten verkon segmentointi ja tehostettu valvonta.

Organisaatio määrittelee prosessit ja keinot, joilla varmistetaan käytössä olevien tietojen luottamuksellisuus, eheys ja saatavuus. Näihin prosesseihin voivat kuulua esimerkiksi

• Luottamuksellisten tietojen poistaminen prosessoreista, muistista ja välimuistista välittömästi sen jälkeen, kun niitä ei enää tarvita, altistumisriskien minimoimiseksi.
• Sen varmistaminen, että käytössä olevat tiedot eristetään ja suojataan muiden käyttäjien tai samalla alustalla olevien prosessien luvattomalta käytöltä.
• Laitteistopohjaisten suojausten (esim. luotettavien suoritusympäristöjen tai turvallisten erillisalueiden) soveltaminen, jotta estetään arkaluonteisten tietojen peukalointi tai luvaton pääsy niihin niiden käsittelyn aikana.
• Rajoitetaan tietoihin pääsy vain niille, jotka sitä tarvitsevat.

Ohjelmistotuotteet tulisi ladata vain palveluntarjoajan viralliselta verkkosivustolta (vain HTTPS-yhteyden kautta). Näin varmistetaan ohjelmiston eheys ja legitimiteetti. Organisaation tulisi säilyttää kaikki asennusohjelmistot tiedostokansioissa, joihin vain ohjelmistojen asennuksesta vastaavilla henkilöillä on kirjoitusoikeus.

Kun ICT-tuotteita huolletaan, palveluntarjoajan fyysistä pääsyä on säänneltävä ja valvottava.

Organisaatioilla olisi oltava selkeä suunnitelma, jossa esitetään yksityiskohtaisesti, miten käytöstä poistamista hallitaan. Suunnitelmaan olisi sisällyttävä esimerkiksi prosessit ja se, miten uuteen tuotteeseen siirtyminen hoidetaan.

Jos ICT-tuotteessa ei ole viimeisimpiä turvatoimintoja ja -protokollia, sitä ei pitäisi käyttää ja se on poistettava käytöstä asteittain.

Vaiheittainen käytöstä poistaminen olisi suunniteltava etukäteen, ennen kuin palveluntarjoaja lopettaa tuotetuen, jotta voidaan varmistaa uusimpien tietoturvatoimintojen ja -protokollien käyttö. Esimerkiksi joissakin vanhemmissa sovelluksissa saattaa olla uusimmat turvatoiminnot, mutta ne eivät toimi hyvin uudempien hyökkäysten esto työkalujen kanssa. Tässä tilanteessa olisi tehtävä poikkeuksia, jotta suojausta ei poistettaisi kokonaan käytöstä, mutta on tärkeää muistaa, että käytöstä poistamisprosessi on todennäköisesti ajankohtainen lähitulevaisuudessa.

Vaiheittaisen poistamisen jälkeen on tärkeää arvioida prosesseja ja dokumentoida niistä opitut asiat tulevaisuutta varten.

Kartoita työprosessien, käyttäjien, laitteiden ja palvelujen välinen tiedonkulku. Tämä kartoitus auttaa organisaatiota ymmärtämään tiedonkulkua paremmin.

Suunnittele ICT-järjestelmä käyttäen hyvin integroitavia ICT-tuotteita. Tämä tarkoittaa, että:

• Käytettävien ICT-tuotteiden tulisi olla moduulipohjaisia. (Järjestelmien vähimmän toiminnallisuuden periaate)
• Käytettyjen ICT-tuotteiden tulisi olla alan standardien mukaisia.
• Tuotteiden ja tietoturvatoimintojen (myös eri toimittajilta) tulisi toimia hyvin yhteen tietoturvan kannalta. Näiden tuotteiden olisi käytettävä uudelleen organisaatioiden yhteisestä identiteettitietokannasta otettuja tunnisteita.

Suunnittele ICT-järjestelmä käyttäen hyvin integroitavia ICT-tuotteita. Tämä tarkoittaa, että:

• Käytettävien ICT-tuotteiden tulisi olla moduulipohjaisia. (Järjestelmien vähimmän toiminnallisuuden periaate)
• Käytettyjen ICT-tuotteiden tulisi olla alan standardien mukaisia.
• Tuotteiden ja tietoturvatoimintojen (myös eri toimittajilta) tulisi toimia hyvin yhteen tietoturvan kannalta. Näiden tuotteiden olisi käytettävä uudelleen organisaatioiden yhteisestä identiteettitietokannasta otettuja tunnisteita.

Kattavan turvallisuusarkkitehtuurin luominen ja ylläpitäminen. ICT-järjestelmään olisi sisällytettävä seuraavat toiminnot:

• Käyttäjien ja tilien hallintatoiminnot
• Toiminnallisuus laitteiden (esim. asiakkaiden) hallinnassa pysymistä varten.
• Toiminnallisuus resurssien ja palveluiden käyttöoikeuksien hallintaa varten
• Toiminnallisuus ohjelmistojen suorittamisen ja asennuksen valvomiseksi (erityisesti asiakkaissa).
• Työkalut koko ICT-arkkitehtuurin tai sen osien käyttämiseen ja virtualisointiin (paikallisesti ja pilvipalveluna).
• Verkkolaitteet (kytkimet, reitittimet, yhteyspisteet) ja palomuurit.
• Haittaohjelmien torjuntamekanismit (virustorjunta).
• Salausmoduulit
• Digitaaliset varmenteet ja julkisen avaimen infrastruktuuri (PKI).
• Tietokannat
• Järjestelmänvalvontatyökalut
• Työkalut tietoturvamääritysten hallintaan
• tunkeutumisen havaitsemis- (IDS) ja suojausjärjestelmät (IPS).
• Varmuuskopiointi ja palautus

Varmista ulkoisten järjestelmien yhteyksien turvallisuus tarkistamalla ja dokumentoimalla ne virallisilla sopimuksilla. Tarkista nykyiset yhteydet ja niiden turvatoimenpiteet dokumentoitujen sopimusten puitteissa, kuten esimerkiksi:

• Palvelutasosopimus (SLA)
• tietojenkäsittelysopimus (DPA)
• salassapitosopimus (NDA)
• Yhteenliittämisen turvallisuussopimus (ISA)
• Kolmannen osapuolen riskienhallintasopimus

Organisaatiolla on oltava määritellyt vaatimukset tietojärjestelmien auditointien suorittamiselle tai auditointia suorittavalle palvelulle. Lisäksi on otettava huomioon seuraavat seikat:

• Järjestelmäauditoinnin laajuuden määrittely ajoissa.
• Auditoinnit on sovitettava yhteen järjestelmän ylläpitäjien ja käyttäjien kanssa.
• Auditointitulokset tulee olla tallennettu jäljitettävällä tavalla ja raportoidaan asianomaiselle johdolle.
• Tulokset on analysoitava, jotta niiden perusteella voidaan johtaa uusia toimenpiteitä.

Organisaation tulisi:

• Tunnistaa ja luetella hallinnoitavat ohjelmistotyypit, mukaan lukien laiteohjelmistot, käyttöjärjestelmät, sovellukset, kirjastot ja laiteajurit.
• Varmistaa, että hallinnoitavien ohjelmistojen arkistoja luodaan ja ylläpidetään.
• Toteuttaa turvatoimet, joilla suojataan ohjelmistovarastot luvattomalta käytöltä ja manipuloinnilta.
• Suorittaa säännöllisiä tarkistuksia varmistaakseen, että kaikki käytössä olevat ohjelmistot pysyvät hyväksyttyinä ja täyttävät organisaation turvallisuus- ja toimintastandardit.
• Pidä päivitettyä rekisteriä kaikista ohjelmistoversioista ja niiden korjaustasoista sen varmistamiseksi, että kaikki ohjelmistot ovat ajan tasalla ja turvallisia.

Kriittiset järjestelmänvalvojan toiminnot tarkoittavat toimintoja, joissa vika voi aiheuttaa peruuttamatonta vahinkoa pilvilaskentaympäristön sisällölle.

Kriittiset järjestelmänvalvojan toiminnot voivat sisältää esimerkiksi virtualisoituihin laitteisiin (esim. palvelimet, verkot, tallennus) liittyvät muutokset, lopetusmenettelyt, varmuuskopiointi ja palautus.

Jos tietojärjestelmä sisältää säännöllisiä kriittisiä järjestelmänvalvojan toimintoja, ne dokumentoidaan. Myös kriittisten järjestelmänvalvojatoimintojen suorittamisen menettelyt on dokumentoitu etukäteen tarvittavalla tarkkuudella kaikille käytettäville tietojärjestelmille.

Aina kun kriittinen järjestelmänvalvojan toiminto suoritetaan, dokumentaatiossa nimetty valvoja valvoo toimintaa.

Organisaatio hyödyntää vähimmän toiminnallisuuden periaatetta (principle of least functionality) järjestelmien käyttöönotossa ja asetuksissa. Järjestelmillä ei saa olla oikeuksia mihinkään mitä ei tarvita toteuttamaan sitä mihin ne on tarkoitettu.

Organisaation on hyödynnettävä mekanismeja kuten:

• Vikaturvallisuutta (failsafe) minimoimaan vahingot ongelman sattuessa
• Kuorman tasausta, vähentämään riskiä ongelmaan
• “Kuumana vaihdettavuutta” (hot swappable) eli komponentteja tai muita prosessin osia voidaan vaihtaa ilman toimintakatkosta

Olennaisilla tietojärjestelmillä tarkoitetaan sellaisia tietojärjestelmiä, jotka ovat kriittisiä viranomaisen lakisääteisten tehtäviä toteuttamisen kannalta erityisesti hallinnon asiakkaille palveluja tuotettaessa.

Toiminnallisella käytettävyydellä tarkoitetaan tietojärjestelmän käyttäjän kannalta sen varmistamista, että tietojärjestelmä on helposti opittava ja käytössä sen toimintalogiikka on helposti muistettava, sen toiminta tukee niitä työtehtäviä, joita käyttäjän pitää tehdä tietojärjestelmällä ja tietojärjestelmä edistää sen käytön virheettömyyttä.

• Organisaatio tunnistaa ja luetteloi tehtävien hoitamisen kannalta olennaiset tietojärjestelmät esimerkiksi osana suojattavien kohteiden luettelointia ja tiedon luokittelua.
• Organisaatio määrittelee olennaisten tietojärjestelmien saatavuuskriteerit, joita vasten vikasietoisuus voidaan testata. Järjestelmäkohtaisten saatavuuskriteerien määrittelyssä voidaan hyödyntää tietojärjestelmien saatavuusluokittelua.
• Organisaatio määrittelee toiminnallisen käytettävyyden kriteerit.
• Organisaation hankintaprosesseissa ja hankintaohjeissa on huomioitu toiminnalliseen käytettävyyteen ja vikasietoisuuteen liittyvät vaatimukset.
• Organisaatio dokumentoi vikasietoisuuden testaukset.

Orgaisaation on myös varmistettava digitaalisten palveluiden saavutettavuus lainsäädännön edellyttämässä laajuudessa:

Saavutettavuus tarkoittaa sitä, että mahdollisimman moni erilainen ihminen voi käyttää verkkosivuja ja mobiilisovelluksia mahdollisimman helposti. Saavutettavuus on ihmisten erilaisuuden ja moninaisuuden huomiointia verkkosivujen ja mobiilisovelluksien suunnittelussa ja toteutuksessa. Saavutettavan digipalvelun suunnittelussa ja toteutuksessa pitää huomioida kolme osa-aluetta: tekninen toteutus, helppokäyttöisyys ja sisältöjen selkeys ja ymmärrettävyys.

Tietojärjestelmiin ja verkkoihin liittyvää turvallisuusdokumentaatiota ylläpidetään ja sitä kehitetään jatkuvasti tärkeänä osana yleistä muutostenhallintaprosessia.

Viranomaisen on varmistettava tietojärjestelmien saatavuus koko niiden elinkaaren ajan. Tämän vuoksi eri tietojärjestelmien saatavuusvaatimukset (etenkin pisin aika, jonka järjestelmä voi olla pois käytöstä, palautusaikatavoite sekä palautuspistetavoite).

Saatavuusvaatimusten toteutuksen tulee huomioida tietojärjestelmältä edellytettävä kuormituksen kesto, vikasietoisuus ja palautumisaika.

Lisäksi tarve saatavuutta suojaaville menettelyille on tunnistettu ja menettelyt on toteutettu kriittisille järjestelmille järjestelmäkohtaisesti räätälöidyillä suojauksilla. Suojauksiin voi sisältyä esimerkiksi keskeisten verkkoyhteyksien, laitteistojen ja sovellusten ajoympäristöjen kahdentamiset.

Jos palvelulla on saatavuus vaatimuksia, seurataan sen saatavuutta valvontajärjestelmällä. Valvontajärjestelmän tulee lähettää hälyttää havaitusta saatavuuspoikkeamista.

Organisaation tietojärjestelmät ja laitteisto ovat kattavasti järjestelmienhallinnan piirissä. Järjestelmienhallinnan kautta voidaan mahdollistaa mm. automaattiset päivitykset.

Tietojärjestelmiin kohdistuvien, esimerkiksi auditointien aikana tehtävien, tarkistusten sekä muiden varmennustoimien tulee olla ennalta suunniteltuja ja sovittuja asianmukaisten testaajien sekä johdon kanssa. Tällä pyritään minimoimaan toimien vaikutus toimintaprosesseihin.

Käytäntöjä suunniteltaessa on huomioitava seuraavat seikat:

• tarkastuspyynnöt hyväksytään asianmukaisen vastuuhenkilön kanssa
• teknisten testien laajudesta sovitaan etukäteen ja niiden toteutusta valvotaan
• testit rajoitetaan mahdollisuuksien mukaan vain luku -käyttöön tai toteutetaan vain kokeneiden järjestelmänvalvojien toimesta
• turvallisuusvaatimusten toteutuminen varmistetaan ennalta laitteissa, joilla tarvitaan pääsyä järjestelmiin
• testit, jotka voivat vaikuttaa tärkeiden järjestelmän käytettävyyteen, suoritetaan virka-ajan ulkopuolella
• tarkastuksissa tehdyt toimet ja niitä varten myönnetyt pääsyoikeudet kirjataan lokiin

Käsiteltäessä samalla varmistusjärjestelmällä eri omistajien tietoja, tarkastusoikeuden mahdollistavat erottelumenettelyt on toteutettava varmistusjärjestelmän liittymien ja tallennemedioiden osalta (esim. omistaja-/hankekohtaiset eri avaimilla salatut nauhat, joita säilytetään asiakaskohtaisissa kassakaapeissa/kassakaappilokeroissa).

Organisaation täytyy huolehtia, että sen lisensoimat ohjelmistot:

• ovat lisensoituja ja aktiivisesti tuettuja
• poistetaan laitteista, kun ne eivät ole enään tuettuja
• on säädetty päivittymään automaattisesti, kun mahdollista

Organisaation on huolehdittava turhien ohjelmistojen, kuten sovellusten, järjestelmien apuohjelmien ja tietoverkkopalveluiden poistamisesta.

Organisaatio katselmoi säännöllisesti tietojärjestelmien teknistä vaatimuksenmukaisuutta organisaatiota koskevien vaatimusten kanssa.

Katselmoinnissa voidaan hyödyntää manuaalista toteutusta kokeneiden ammattilaisten toimista tai automatisoituja työkaluja (mm. tunkeutumistestaus).

Tekninen katselmointi on aina suunniteltava ja toteutettava osaavan ja ennalta hyväksytyn henkilöstön toimesta.

Organisaatio pitää kirjaa tietojärjestelmän liittymistä muihin tietojärjestelmiin sekä liittymissä käytettävistä tiedonsiirtotavoista.

Dokumentaatio liittymien suhteen on katselmoitava säännöllisesti sekä järjestelmiin tehtävien muutosten jälkeen.

Organisaatioilla olisi oltava selkeä suunnitelma, jossa esitetään yksityiskohtaisesti, miten käytöstä poistamista hallitaan. Suunnitelmaan olisi sisällyttävä esimerkiksi prosessit ja se, miten uuteen tuotteeseen siirtyminen hoidetaan.

Jos ICT-tuotteessa ei ole viimeisimpiä turvatoimintoja ja -protokollia, sitä ei pitäisi käyttää ja se on poistettava käytöstä asteittain.

Vaiheittainen käytöstä poistaminen olisi suunniteltava etukäteen, ennen kuin palveluntarjoaja lopettaa tuotetuen, jotta voidaan varmistaa uusimpien tietoturvatoimintojen ja -protokollien käyttö. Esimerkiksi joissakin vanhemmissa sovelluksissa saattaa olla uusimmat turvatoiminnot, mutta ne eivät toimi hyvin uudempien hyökkäysten esto työkalujen kanssa. Tässä tilanteessa olisi tehtävä poikkeuksia, jotta suojausta ei poistettaisi kokonaan käytöstä, mutta on tärkeää muistaa, että käytöstä poistamisprosessi on todennäköisesti ajankohtainen lähitulevaisuudessa.

Vaiheittaisen poistamisen jälkeen on tärkeää arvioida prosesseja ja dokumentoida niistä opitut asiat tulevaisuutta varten.

Tietoturvallisuutta koskevat tarkastukset ja uudelleentarkastelut on tärkeää suorittaa määräajoin tietojenkäsittely-ympäristön normaalin toiminnan aikana, huoltotoimenpiteiden yhteydessä sekä poikkeuksellisten tilanteiden ilmetessä.

Organisaatio on määritellyt aikamääreet ja tapahtumat, joiden mukaisesti tietoturvallisuutta koskevia tarkastuksia suoritetaan.

Organisaation on varmistettava, että tietojärjestelmiä asentaa, ylläpitää ja päivittää ainoastaan henkilöstö, jolla on siihen tarvittava ammattitaito ja asiantuntemus. Lisäksi on kuvattava tietojärjestelmiä asentavan, ylläpitävän ja päivittävän henkilön rooli ja vastuut suhteessa organisaation sekä tietojärjestelmän tuottajaan.

Keskimäärin IT-pääkäyttäjä arvioi henkilöstön käyttävän n. 50 pilvipalvelua, kun todellinen määrä on 1 000. Useat näistä ovat tärkeitä henkilöstön tuottavuuden kannalta ja niitä käytetään organisaation verkon ulkopuolelta, joten palomuurisäännöillä ei haastetta ratkaista.

Pilvipalvelujen tunnistamiseen ja hallintaan keskittyvien järjestelmien avulla voit tunnistaa henkilöstön käyttämiä pilvipalveluita ja valvoa eri palvelujen käyttäjiä. Tämä auttaa mm.:

• määrittämään omaa riskitasoanne pilvipalveluissa olevan tiedon suhteen
• tarkistamaan palveluita tietoturvan suhteen
• pystymään raportoimaan vaatimusten mukaisesti esim. tietojen sijiannista ja kumppaneista

Jokaiselle tietojärjestelmälle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.

Omistajan tehtäviin kuuluu mm.:

• varmistaa omaisuuden dokumentointi
• varmistaa omaisuuden asianmukainen suojaus
• pääsyoikeuksien säännöllinen katselmointi
• varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa

Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.

Tietojärjestelmälistausta on katselmoitava säännöllisesti, jotta varmistetaan sen tarkkuus, ajantasaisuus ja johdonmukaisuus.