Sisältökirjasto
Tietoturvasuunnitelma
6.5: Tietojärjestelmien perustiedot, kuvaukset ja olennaisten vaatimusten täyttyminen
Tietoturvasuunnitelma (THL 3/2024)
6.5

Tietojärjestelmien perustiedot, kuvaukset ja olennaisten vaatimusten täyttyminen

Aloita ilmainen kokeilu

Vaatimuksen kuvaus

Palvelunantajan tulee sisällyttää tietoturvasuunnitelmaansa tai sen liitteisiin perustiedot ja tarkemmat kuvaukset kaikista sen käytössä olevista, asiakastietolain mukaisista tietojärjestelmistä. Näitä ovat tietojärjestelmät, jotka on tarkoitettu käytettäväksi sosiaalihuollon asiakastietojen ja potilastietojen sähköiseen käsittelyyn, asiakasasiakirjojen tallentamiseen ja ylläpitoon tai valtakunnallisiin tietojärjestelmäpalveluihin liittämiseen tai joilla sosiaali- ja terveydenhuollon ammattihenkilö voi hyödyntää hyvinvointitietoja.

Tietojärjestelmäpalvelun tuottajan ja tietojärjestelmän valmistajan on toteutettava olennaiset vaatimukset tietojärjestelmiin, joita käytetään palvelunantajan toiminnassa (vrt. THL:n määräys 5/2021). Palvelunantajan on osaltaan huolehdittava näiden vaatimusten täyttymisestä tietojärjestelmiin liittyvissä järjestelyissä, kuten esimerkiksi hankinnoissa ja sopimuksissa. Tietoturvallisuuden omavalvonnan kohde vastaa osaltaan olennaisten vaatimusten täyttymisestä omassa toiminnassaan. Olennaisten vaatimusten täyttymisen varmistamiseen liittyvät menettelyt kuvataan tietoturvasuunnitelmaan.

Palvelunantajan tulee asiakastietolain 27 §:n 1 momentin kohdan 8 mukaisesti varmistaa, että 29 §:ssä tarkoitetut tietojärjestelmät täyttävät käyttötarkoituksensa mukaiset olennaiset vaatimukset 34 §:n 2 momentin mukaisesti. Palvelunantajan käyttämien tietojärjestelmien on vastattava käyttötarkoitukseltaan palvelunantajan toimintaa ja täytettävä palvelunantajan toimintaan liittyvät olennaiset vaatimukset. Olennaiset vaatimukset voidaan täyttää yhden tai useamman tietojärjestelmän muodostaman kokonaisuuden kautta.

Valvira ylläpitää julkista rekisteriä sosiaalihuollon asiakastietojen ja potilastietojen käsittelyyn tarkoitetuista tietojärjestelmistä. Valviran tietojärjestelmärekisteri perustuu tietojärjestelmäpalvelujen tuottajien ilmoituksiin ja luokan A järjestelmien sertifioinnin tuloksiin. Tietojärjestelmiin liittyvissä tietoturvasuunnitelman sisällöissä tulisi nojautua Valviran tietojärjestelmärekisterin hyödyntämiseen. Valviran tietojärjestelmärekisteri sisältää tietoja siitä, mitä olennaisia vaatimuksia eri tietojärjestelmiin on toteutettu ja kuinka luokan A järjestelmissä on todennettu olennaisten vaatimusten täyttyminen.

Tietoturvallisuuden omavalvonnan kohteen on kuvattava tietoturvasuunnitelmaan tai siinä viitatuissa dokumenteissa, mistä löytyy tieto seuraavan tyyppisistä tietojärjestelmistä ja niiden versioista, joita tietoturvallisuuden omavalvonnan kohteen toiminnassa käytetään (vrt. THL:n määräys 4/2021):

- sertifioidut – tietoturva-auditoidut ja yhteistestatut Kanta-palveluihin liitettävät luokkaan A2 tai A3 kuuluvat sosiaalihuollon asiakastietojen tai potilastietojen käsittelyyn tarkoitetut tietojärjestelmät

- sertifioidut – tietoturva-auditoidut luokkaan A1 kuuluvat sosiaalihuollon asiakastietojen tai potilastietojen käsittelyyn tarkoitetut tietojärjestelmät

- sosiaalihuollon asiakastietojen tai potilastietojen käsittelyyn tarkoitetut luokkaan B kuuluvat tietojärjestelmät

- muut tietojärjestelmät, joilla on vaikutusta ja jotka on otettava huomioon tietoturvasuunnitelman mukaisissa asennuksissa, ylläpidossa ja päivityksissä arkaluonteisten asiakastietojen suojaamisen kannalta.

Lisäksi tietojärjestelmistä on kuvattava niiden versiotiedot tai muut tietojärjestelmän statusta kuvaavat tiedot.

Tietoturvallisuuden omavalvonnan kohteen on selvitettävä tietoturvasuunnitelmassa, miten varmistetaan se, että Kanta-palveluihin liittyviin tietojärjestelmiin liitetyt tai käyttöympäristössä hyödynnettävät muut sovellukset tai tietojärjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia. Muilla sovelluksilla ja tietojärjestelmillä tarkoitetaan esimerkiksi tietokoneohjelmia, jotka eivät käsittele asiakas- ja potilastietoja, eivätkä siten ole asiakastietolain 29 §:n mukaisia luokan A tai B tietojärjestelmiä.

Määräyksen 5/2021 mukaisesti palvelunantajan on huomioitava omassa toiminnassaan ja tietojärjestelmien käyttöönotossa, tuotantokäytössä sekä tietoturvasuunnitelman mukaisessa toiminnassa ne olennaisiin vaatimuksiin kohdistuvat huomioitavat seikat ja sertifioinnissa esiin nousseet havainnot ja edellytykset, jotka vaikuttavat olennaisten vaatimusten toteutumiseen palvelunantajan käyttämissä tietojärjestelmissä. Erityisesti on huomioitava Valviran tietojärjestelmärekisterin kautta julkaistavat tarkennukset järjestelmien vaatimustenmukaisuuden toteutumiseen.

Tietoturvasuunnitelman ei tarvitse kattaa omavalvonnan kohteessa käytettäviä sovellusohjelmistoja tai tietojärjestelmiä, joiden käyttötarkoituksena ei ole asiakas- tai potilastietojen käsittely, mutta myös niitä on mahdollista sisällyttää suunnitelmaan.

Kuinka täyttää vaatimus

Tietoturvasuunnitelma (THL 3/2024)

6.5: Tietojärjestelmien perustiedot, kuvaukset ja olennaisten vaatimusten täyttyminen

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Tietojärjestelmien listaus ja omistajien nimeäminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Tietojärjestelmien hallinta
53
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
I06: Pääsyoikeuksien hallinnointi
Katakri
13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
24. Rekisterinpitäjän vastuu
GDPR
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
32. Käsittelyn turvallisuus
GDPR
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietojärjestelmien listaus ja omistajien nimeäminen
1. Tehtävän vaatimuskuvaus

Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä sekä tietojärjestelmille nimetyistä omistajista. Omistaja vastaa järjestelmän tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti järjestelmään.

Järjestelmiin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

  • Järjestelmään liittyvät vastuut ja sen käyttötarkoitus
  • Järjestelmän tietojen sijainti (käsitellään tarkemmin erillisessä tehtävässä)
  • Kuvaus järjestelmän ylläpito- ja kehitysvastuista sekä tähän mahdollisesti liittyvät toimittajat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tietojärjestelmän pääsyoikeusroolit ja tunnistautumistavat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa liittymät muihin järjestelmiin (käsitellään tarkemmin erillisessä tehtävässä)

Tietojärjestelmien luokittelu- ja versiotiedot

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Sote-palvelujen tietoturvasuunnitelma
Potilastietojärjestelmien tietoturva
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
6.7: Asiakas- ja potilastietojärjestelmät, niihin liitetyt tietojärjestelmät ja muut tietojärjestelmät
Omavalvontasuunnitelma
6.5: Tietojärjestelmien perustiedot, kuvaukset ja olennaisten vaatimusten täyttyminen
Tietoturvasuunnitelma
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietojärjestelmien luokittelu- ja versiotiedot
1. Tehtävän vaatimuskuvaus

Omavalvonnan kohteen on kuvattava selkeästi, mitä tietojärjestelmiä organisaation toiminnassa käytetään, mikä versio on nyt käytössä ja mitä tyyppiä seuraavista järjestelmät edustavat:

  • Tyyppi A = suoraan Kanta-palveluihin liitettävät järjestelmät
  • Tyyppi B = asiakas- tai potilastietojen käsittelyyn käytettävät järjestelmät
  • Muut järjestelmät

Järjestelmien hankintaa ja valintaa koskevat yleiset säännöt

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Järjestelmien hankinta
17
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
14.1.1: Tietoturvavaatimusten analysointi ja määrittely
ISO 27001
HAL-16: Hankintojen turvallisuus
Julkri
5.23: Pilvipalvelujen tietoturvallisuus
ISO 27001
52: Tietoturva- ja tietousojavaatimukset hankintavaatimuksissa
Digiturvan kokonaiskuvapalvelu
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Järjestelmien hankintaa ja valintaa koskevat yleiset säännöt
1. Tehtävän vaatimuskuvaus

Aina hankittaessa uusia tietojärjestelmiä noudatetaan ennalta määriteltyä hankintaprosessia ja -sääntöjä. Sääntöjen avulla varmistetaan, että toimittaja pystyy takaamaan riittävän turvallisuustason järjestelmän tärkeys huomioiden.

Tietoja käsittelevien kumppanien listaus ja omistajien nimeäminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kumppanihallinta
Sopimukset ja seuranta
43
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
28. Henkilötietojen käsittelijä
GDPR
44. Siirtoja koskeva yleinen periaate
GDPR
26. Yhteisrekisterinpitäjät
GDPR
15.1.1: Toimittajasuhteiden tietoturvapolitiikka
ISO 27001
8.1.1: Suojattavan omaisuuden luetteloiminen
ISO 27001
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoja käsittelevien kumppanien listaus ja omistajien nimeäminen
1. Tehtävän vaatimuskuvaus

Organisaation on ylläpidettävä listaa kumppaneista, joilla on pääsy luottaumuksellisiin tietoihin. Järjestelmätoimittajat sekä henkilötietojen käsittelijät listataan erillään muista sidosryhmistä, koska heillä on aktiivinen rooli tietojen käsittelyssä.

Valviran tietojärjestelmärekisterin seuraaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Sote-palvelujen tietoturvasuunnitelma
Potilastietojärjestelmien tietoturva
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
6.5: Tietojärjestelmien perustiedot, kuvaukset ja olennaisten vaatimusten täyttyminen
Tietoturvasuunnitelma
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Valviran tietojärjestelmärekisterin seuraaminen
1. Tehtävän vaatimuskuvaus

Tietoturvallisuuden omavalvonnan kohteen on huomioitava ja seurattava Valviran tietojärjestelmärekisterissä mahdollisesti julkaistavia tarkennuksia tietojärjestelmien ja hyvinvointisovellusten vaatimustenmukaisuuden toteuttamiseksi.

Samalla tulisi tunnistaa, minkä profiilien mukaisia käyttötarkoituksia omassa toiminnassa käytettävissä tietojärjestelmissä tulisi olla toteutettuna.

Tietojärjestelmien käyttötarkoitukseensa soveltuvuuden varmistaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Sote-palvelujen tietoturvasuunnitelma
Potilastietojärjestelmien tietoturva
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
6.5: Tietojärjestelmien perustiedot, kuvaukset ja olennaisten vaatimusten täyttyminen
Tietoturvasuunnitelma
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietojärjestelmien käyttötarkoitukseensa soveltuvuuden varmistaminen
1. Tehtävän vaatimuskuvaus

Palvelunantajan tulee asiakastietolain 27 §:n 1 momentin kohdan 8 mukaisesti varmistaa, että 29 §:ssä tarkoitetut tietojärjestelmät täyttävät käyttötarkoituksensa mukaiset olennaiset vaatimukset 34 §:n 2 momentin mukaisesti.

Palvelunantajan käyttämien tietojärjestelmien on vastattava käyttötarkoitukseltaan palvelunantajan toimintaa ja täytettävä palvelunantajan toimintaan liittyvät olennaiset vaatimukset. Olennaiset vaatimukset voidaan täyttää yhden tai useamman tietojärjestelmän muodostaman kokonaisuuden kautta.

Prosessit turvallisuuden ja suorituskyvyn varmistamiseen hyödynnettävistä sovelluksista ja tietojärjestelmistä

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Sote-palvelujen tietoturvasuunnitelma
Potilastietojärjestelmien tietoturva
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
6.5: Tietojärjestelmien perustiedot, kuvaukset ja olennaisten vaatimusten täyttyminen
Tietoturvasuunnitelma
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Prosessit turvallisuuden ja suorituskyvyn varmistamiseen hyödynnettävistä sovelluksista ja tietojärjestelmistä
1. Tehtävän vaatimuskuvaus

Tietoturvasuunnitelmassa on kuvattava kuinka varmistetaan se, että Kanta-palveluihin liittyviin tietojärjestelmiin liitetyt tai käyttöympäristössä hyödynnettävät muut sovellukset tai tietojärjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia.

Muilla sovelluksilla ja tietojärjestelmillä tarkoitetaan esimerkiksi tietokoneohjelmia, jotka eivät käsittele asiakas- ja potilastietoja, eivätkä siten ole asiakastietolain 29 §:n mukaisia luokan A tai B tietojärjestelmiä.


Toimittajien tietoturvavaatimusten noudattamisen seuranta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kumppanihallinta
Sopimukset ja seuranta
30
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
32. Käsittelyn turvallisuus
GDPR
15.1.1: Toimittajasuhteiden tietoturvapolitiikka
ISO 27001
15.2.1: Toimittajien palvelujen seuranta ja katselmointi
ISO 27001
ID.GV-2: Cybersecurity role coordination
NIST
ID.SC-1: Cyber supply chain
NIST
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Toimittajien tietoturvavaatimusten noudattamisen seuranta
1. Tehtävän vaatimuskuvaus

Nimetty vastuuhenkilö seuraa toimittajan toimintaa ja palveluita aktiivisesti, jotta varmistetaan sopimusten tietoturvaehtojen noudattaminen ja tietoturvahäiriöiden asianmukainen hallinta.

Seurantaan sisältyvät seuraavat asiat:

  • luvatun palvelutason tarkkailu
  • toimittajan raporttien katselmointi ja seurantapalaverien järjestäminen
  • riippumattomien auditointien säännöllinen järjestäminen
  • auditoinneissa tunnistettujen ongelmien seuranta
  • tietoturvahäiriöiden tarkempi selvittäminen ja niihin liittyvän dokumentaation katselmointi
  • toimittajan tulevaisuuteen liittyvien suunnitelmien läpikäynti (palvelutason ylläpitämiseen liittyen)

Minimivaatimukset kumppaniyrityksille saadakseen pääsy eri tasoiseen tietoon

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kumppanihallinta
Toimittajien turvallisuus
8
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
15.1.1: Toimittajasuhteiden tietoturvapolitiikka
ISO 27001
15.1.3: Tieto- ja viestintätekniikan toimitusketju
ISO 27001
ID.BE-1: Role in supply chain
NIST
5.21: Tietoturvallisuuden hallinta tietotekniikan toimitusketjussa
ISO 27001
6.5: Tietojärjestelmien perustiedot, kuvaukset ja olennaisten vaatimusten täyttyminen
Tietoturvasuunnitelma
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Minimivaatimukset kumppaniyrityksille saadakseen pääsy eri tasoiseen tietoon
1. Tehtävän vaatimuskuvaus

Digiturvan minimitasoa koskevat vaatimukset on määritetty luottamuksellista tietoamme käsittelevillä kumppaniyrityksille ja nämä on sisällytetty toimittajasopimuksiin. Vaatimukset vaihtelevat sen mukaan, kuinka kriittistä tietoa kumppani käsittelee.

Vaatimusten on järkevää koostua säännöistä ja käytännöistä, joita omassa organisaatiossanne noudatetaan. Voitte jaotella vaatimustasot matalan, keskitason ja korkean riskin toimittajiin.

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset
No items found.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu
Tutustu Digiturvamalliin
Aloita ilmainen kokeilu
Digiturvamallin avulla rakennat tietoturvallisen ja halutut vaatimukset täyttävän organisaation. Halusitko kehittää tietoturvan hallintaa yleisesti, raportoida omasta NIS2-valmiudesta tai hankkia ISO 27001 -sertifioinnin, Digiturvamalli yksinkertaistaa koko prosessia.
AI-pohjaiset parannussuositukset ja käyttäjäystävällinen työkalu varmistavat, että organisaationne voi olla luottavainen vaatimusten täyttymisestä ja keskittyä oman tietoturvan jatkuvaan parantamiseen.
Selkeä suunnitelma vaatimusten täyttämiseen
Aktivoi teille tärkeät vaatimuskehikot ja jalkauta niiden vaatimukset täyttäviä selkeitä toimenpiteitä.
Uskottavat raportit todisteiksi hyvästä tietoturvasta
Etene tehtävien avulla varmistaaksesi turvallisen toiminnan. Luo ammattimaisia ​​raportteja muutamalla napsautuksella.
AI-avusteiset parannussuositukset
Keskity vaikuttavimpiin parannuksiin Digiturvamallin suositusten avulla.

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin