Sisältökirjasto
Digiturvamalli
Tietoturvakoulutus

Kuinka täyttää vaatimus

Digiturvamallin sisältökirjasto

Tietoturvakoulutus

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset
No items found.

Henkilöstön ohjeistus- ja koulutusmenettely digiturva-asioissa

Critical
High
Normal
Low

Organisaatiomme on määritellyt toimintatavat henkilöstön digiturvaosaamisen ylläpitämiseen. Näihin voi liittyä mm. seuraavia asioita:

  • henkilöstölle on olemassa ohjeet, joilla kuvataan työrooliin liittyvät digiturvan yleiset säännöt
  • henkilöstöä koulutetaan, jotta he pystyvät toimimaan turvallisesti, tietävät ohjeet ja kykenevät noudattamaan niitä
  • henkilöstö osoittaa testien tai muun vastaavan avulla omaavansa turvallisen toiminnan vaatimat digiturvataidot ja -tiedot

Koulutus keskittyy kullekin työroolille oleellisimpiin digiturvateemoihin, mutta sisältää tarpeeksi usein myös kaikkia työntekijöitä koskevat "perusasiat":

  • työntekijän henkilökohtainen vastuu (mm. päätelaitteista ja käsittelemästään tiedosta)
  • kaikkia koskevat käytännöt (mm. tietoturvahäiriöiden raportointi)
  • kaikkia koskevat säännöt (mm. puhdas työpöytä)
  • organisaation tietoturvaroolit (keneen yhteyttä ongelmatilanteissa)

Lokin ylläpito järjestetyistä digiturvakoulutuksista

Critical
High
Normal
Low

Organisaation henkilöstölleen järjestämistä digiturvakoulutuksista pidetään lokia. Lokin avulla voidaan osoittaa, millaisia täsmäpanostuksia organisaatio on tehnyt henkilöstön digiturvaosaamisen eteen.

Jokaisesta koulutuksesta voidaan kirjata ylös esimerkiksi:

  • ajankohta
  • koulutuksen aihepiirit ja kesto
  • koulutuksen toteutustapa ja kouluttaja
  • koulutukseen osallistuneet henkilöt

Henkilöstön koulutus- ja ohjausprosesseja koskevien aiheiden kattavuuden varmistaminen

Critical
High
Normal
Low

Organisaatiolla tulee luoda menettely henkilöstöään koskevaa koulutusta ja ohjausta varten. Näihin menettelyiden tulisi sisältää ja kattaa ainakin seuraavat aiheet:

  • Tietoturvapolitiikka.
  • Turvallisuuspoikkeamien raportointi.
  • Reagointi haittaohjelmahäiriöihin.
  • Käyttäjätiliä ja kirjautumistietoja koskevat käytännöt (esim. salasanakäytännöt).
  • Tietoturvasäännösten noudattaminen.
  • Salassapitosopimusten (NDA) käyttö arkaluonteisia tietoja jaettaessa.
  • Ulkoisten IT-palveluiden käyttö.

Koulutusohjelmassa olisi yksilöitävä tietyt työntekijäryhmät, jotka tarvitsevat tätä koulutusta, kuten järjestelmänvalvojat, tuotantohenkilöstö sekä henkilöt, joilla on pääsy asiakasverkkoihin.

Vastuullisen johdon on hyväksyttävä koulutusmenettely. Koulutus- ja tietoisuusohjelmat on toteutettava säännöllisesti ja erityisten tapahtumien yhteydessä. Varmista, että työntekijät tietävät, keneen ottaa yhteyttä tietoturva asioissa.

Tietosuojaa koskevan erityiskoulutuksen järjestäminen henkilöstölle

Critical
High
Normal
Low

Organisaatiolla on oltava henkilöstölle määritelty tietosuojaa koskeva koulutusohjelma. Koulutuksissa olisi otettava huomioon tietosuojatarpeet määriteltäessä koulutuksen laajuutta, tiheyttä ja sisältöä.

Kriittisillä alueilla työskentelevä henkilöstö (esim. IT-ylläpitäjät) on koulutettava ja opastettava ottaen huomioon heidän työnsä vaatimukset. Heille pitäisi järjestää erityisiä koulutuksia ja ohjeita.

Koulutuksen ja ohjeistuksen järjestäminen perehdytyksen yhteydessä (tai ennen pääsyoikeuksien myöntämistä)

Critical
High
Normal
Low

Työntekijät ovat ennen pääsyoikeuksien myötämistä luottamukselliseen tietoon tai tietojärjestelmiin:

  • saaneet asianmukaisen opastuksen tietoturvavastuistaan (mm. ilmoitusvastuu ja vastuu omista päätelaitteista)
  • saaneet asianmukaisen opastuksen omaan työrooliinsa liittyvistä tietoturvarooleistaan (mm. omaan työrooliin liittyvät digiturvasäännöt sekä tietojärjestelmät ja niiden hyväksyttävä käyttö)
  • saaneet tiedot digiturvan yhteyshenkilöistä, joilta voi kysyä lisää

Koulutuksen tehokkuuden arviointi

Critical
High
Normal
Low

Digiturvakoulutuksen tehokuutta arvioidaan säännöllisesti. Arviointiin voidaan sisällyttää mm. seuraavia näkökulmia:

  • Onko henkilöstön osaaminen tarpeeksi syvällistä?
  • Ovatko koulutustavat ja -määrät oikeat?
  • Koulutetaanko eri yksiköille oikeita asioita?
  • Onko henkilöstö motivoitunutta oppimaan?
  • Ymmärtääkö henkilöstö syyt koulutukselle (esim. millaisia negatiivia vaikutuksia digiturvan laiminlyönnistä voi aiheutua)?


Säännöllisen yksikkökohtaisen tietoturvatiedotuksen organisointi

Critical
High
Normal
Low

Tiedottamalla yksiköitä heille tärkeimmistä digiturva-asioista ja heidän ymmärtämällään kielellä voidaan saavuttaa suuria edistysaskelia digiturvatasossa, kun henkilöstö ymmärtää paremmin miksi erilaisia käytäntöjä ja sääntöjä sovelletaan. Tiedotus voi olla sääntöjen jakelua pienissä paloissa, erilaisia kampanjoita (esim. ”tietoturvapäivä”), ohjelehtisiä, uutiskirjeitä, kilpailuja tai mitä tahansa.

Tietoturvatiedotuksesta voidaan myös käyttää nimitystä "tietoisuusohjelma".

Työroolia vaihtaneiden henkilöiden koulutus

Critical
High
Normal
Low

Ennen pääsyoikeuksien myöntämistä järjestettävä koulutus koskee uusien työntekijöiden lisäksi niitä, jotka siirtyvät uusiin tehtäviin tai rooleihin, etenkin kun henkilön käyttämät tietojärjestelmät sekä työrooliin liittyvät tietoturvavaatimukset muuttuvat merkittävsti työroolin vaihdoksen myötä. Koulutus järjestetään ennen uuden työroolin muuttumista aktiiviseksi.

Suojausjärjestelmien käytön sekä haittaohjelmahyökkäyksien raportoinnin kouluttaminen

Critical
High
Normal
Low

Organisaatiomme on määritellyt menettelyohjeet ja vastuut järjestelmien suojaamiseen haittaohjelmilta ja koulutetaan henkilöstöä suojauksien käyttöön sekä haittaohjelmahyökkäyksistä raportointiin ja niistä toipumiseen.

Henkilöstön muistuttaminen tietoturvavastuistaan

Critical
High
Normal
Low

Organisaation täytyy muistuttaa työntekijöitä rooleistaan ja tietoturvavastuistaan. Muistuttamalla vahvistetaan henkilöstön tietoturvatietoisuutta, turvallisia toimintatapoja sekä heidän työrooliinsa liittyvien ohjeistusten sekä lakisääteisten vaatimusten noudattamista.

Todellisten turvallisuustapahtumien sisällyttäminen henkilöstön koulutukseen

Critical
High
Normal
Low

Organisaation tulisi käyttää koulutusmateriaaleissaan todellisia skenaarioita tietoturvaloukkauksista henkilöstön kouluttamiseksi ja tietoisuuden lisäämiseksi. Simuloimalla todellisia häiriöitä työntekijät voivat paremmin ymmärtää mahdollisia riskejä, tunnistaa haavoittuvuuksia ja reagoida tehokkaammin todellisten häiriöiden aikana.