.svg)
.png)
.png){kind=icon}
.png){kind=icon}
.png){kind=icon}
Digiturvamalli tarjoaa kasvavan vaatimuskehikkokirjaston, jonka kaikki sisällöt on linkitetty ristiin tehtäväsisällömme kanssa. Kehikot tarjoavat sinulle jäsennellyn lähestymistavan; pohjaat työsi parhaisiin käytäntöihin ja tiedät aina nykyisen tasonne. Valitse kehikot, jotka parhaiten vastaavat organisaationne tarpeisiin.
Vaatimukset täyttyvät jalkauttamalla digiturvatehtäviä.
Mitä kukin tekee digiturvan eteen?
Osa tehtävistä vaatii asioiden ohjeistamista henkilöstölle.
Mitä pitää muistaa arjessa?
Osa tehtävistä vaatii listausten pitoa tietoturvan ydinelementeistä.
Mistä pitää voida raportoida?
Täysi, sertifionnin mahdollistava tietoturvan hallintajärjestelmä. Koko kattaus hallintakeinoja sekä johdon, auditoinnin sekä riskienhallinnan näkökulmat.
ISO 27001:2022 on jaoteltu 3 eri tasoon Digiturvamallissa, jotta voitte joko aloittaa pienesti tai päättää suoraan tavoitella sertifiointitasoa.
Täysi, sertifionnin mahdollistava tietoturvan hallintajärjestelmä. Koko kattaus hallintakeinoja sekä johdon, auditoinnin sekä riskienhallinnan näkökulmat.
ISO 27001:2013 on jaoteltu 3 eri tasoon Digiturvamallissa, jotta voitte joko aloittaa pienesti tai päättää suoraan tavoitella sertifiointitasoa.
NIST-tietoturvakehikko on yhteistyöhanke, jota koordinoi National Institute of Standards and Technology (NIST, osa Yhdysvaltain kauppaministeriötä) ja johon on osallistunut teollisuuden, yliopistoyhteisön ja hallituksen osallistujia.
Kehikko on suunniteltu auttamaan kriittisen infran omistajia ja operoijia tunnistamaan, arvioimaan ja hallitsemaan tietoturvariskejä.
Tietosuoja-asetus määrää vaatimukset lailliselle henkilötietojen käsittelylle ja riittävän tietosuojatason osoittamiselle.
Tiedonhallintalain tarkoituksena on edistää julkisen hallinnon tiedonhallintaa, tietoturvallisuutta sekä digitalisointia.
Tiedonhallintalautakunnan muodostama tietoturvallisuuden arviointikriteeristö, joka on kohdistettu suomalaiselle julkishallinnolle.
Julkri listaa 200 eri tasoista tietoturvakäytäntöä, joiden avulla voidaan käytännössä täyttää mm. tiedonhallintalaissa sekä tietosuoja-asetuksessa säädettyjä käsitellyn tiedon turvallisuuteen kohdistuvia vaatimuksia.
Julkri on jaoteltu 4 eri tasoon Digiturvamallissa, jotta voitte joko aloittaa pienesti tai ottaa mukaan TL IV - I -tasojen täsmäkriteerejä.
ISO 27017 on tietoturvastandardi, joka on kehitetty erityisesti pilvipalveluntarjoajille ja käyttäjille turvallisemman pilvipohjaisen ympäristön luomiseksi ja tietoturvahäiriöiden riskin vähentämiseksi.
ISO 27017 antaa pilvikohtaisia lisäyksiä ISO 27001:een, joten näitä kahta viitekehystä tulee käyttää yhdessä.
ISO 27018 on tietoturvastandardi, joka on kehitetty erityisesti pilvipalveluntarjoajille, jotta voidaan varmistaa riskien arvioiminen ja valvonnan toteuttaminen henkilötietojen suojaamiseksi.
ISO 27018 antaa pilvikohtaisia lisäyksiä ISO 27001:een, joten näitä kahta viitekehystä tulee käyttää yhdessä.
Katakria käytetään arvioitaessa kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa. Sitä voidaan käyttää ohjaamaan turvallisuustyötä organisaaiossa, joka haluaa olla valmis viranomaisen toteuttamaan auditointiin.
Digiturvan kokonaiskuvapalvelu on DVV:n kehittämä ja ylläpitämä palvelu, joka kerää tietoa julkisen hallinnon organisaatioiden digitaalisen turvallisuuden tilanteesta.
Tämän vaatimuskehikon vaatimukset vastaavat palvelussa organisaatiolle esitettäviä, hallinnollisen digitaalisen turvallisuuden tilaa koskevia, väittämiä.
NIS 2 määrittää perustason digiturvallisuusriskien hallintatoimenpiteille ja raportointivelvollisuuksille kaikilla direktiivin kattamilla tärkeillä aloilla, kuten energia-, liikenne-, terveys-, elintarvike-, jäte-, julkishallinnossa ja digitaalisessa infrastruktuurissa – sekä niiden toimitusketjuissa.
NIS 2 tiukentaa sääntöjä ja laajentaa sen soveltamisalaa verrattuna alkuperäiseen NIS-direktiiviin vuodelta 2016. Se myös lisää ylimmän johdon vastuuvelvollisuutta ja tiukentaa seuraamuksia puutteista.
SOC 2 -vaatimuskehikko määrittelee, kuinka organisaatioiden tulee suojata asiakastietoja esimerkiksi luvattomalta käytöltä, tietoturvaloukkauksilta tai muilta haavoittuvuuksilta. Sen on kehittänyt American Institute of Certified Public Accountants (AICPA).
SOC 2 sisältää 5 erilaista vaatimusryhmää: turvallisuus, saatavuus, käsittelyn eheys, luottamuksellisuus ja yksityisyys. SOC 2 -tarkastus voidaan suorittaa liittyen yhteen tai kaikkiin näistä kriteereistä. Jokaisella kriteereillä on erityisiä vaatimuksia, jotka yrityksen on täytettävä ottamalla käyttöön kontrolleja.
Cyber Essentials on UK:n hallinnon tukema tietoturvakehikko. Sen lähestyminen on suoraviivainen ja haltuun otetaan tietoturvan olennaisimmat osat, joiden kautta vähennetään yleisimpien tietoturvahyökkäysten todennäköisyyttä.
Tietoturvasuunnitelma on dokumentti, jolla sosiaali- ja terveyspalveluiden tuottajat kuvaavat tietoturvan- ja tietosuojan omavalvontaa. Tietoturvasuunnitelman täytyy kuvata kuinka palveluntuottaja täyttää asiakastietolain 27 §:n vaatimukset, joita asiakas- ja potilastietojen käsittelyyn ja niitä käsitteleviin tietojärjestelmiin liittyy. Vaatimuksia ovat mm.
Katakria käytetään arvioitaessa kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa. Sitä voidaan käyttää ohjaamaan turvallisuustyötä organisaatiossa, joka haluaa olla valmis viranomaisen toteuttamaan auditointiin.
Tämä vaatimuskehikko on neljäs Katakrista päivitetty versio, joka julkaistiin vuonna 2020.
The Digital Operational Resilience Act (DORA) on EU:n laki digitaalisen toiminnan resilienssistä. DORA:n avulla pyritään saavuttamaan yhtenäinen korkea digiresilienssi EU:n alueella. Se antaa yhtenäiset vaatimukset koskien tietoverkkoja ja -järjestelmiä, jotka tukevat rahoitusalan liiketoimintaprosesseja.
DORA asettaa vaatimuksia mm. suojauksesta, havaitsemisesta, eristämisestä, palautusta ja korjaamista tietoturvatapahtumiin liittyvissä tilanteissa. Lisäksi vaatimuksiin kuuluu laajaa riskien- ja häriöidenhallintaa, kyberuhkien ja haavoittuvuuksien jakaminen, vaatimukset resilienssin testaamisesta ja häiriöiden ilmoittamisesta viranomaisille.
Cybersecurity Capability Maturity Model (C2M2) auttaa organisaatioita arvioimaan tietoturvatasoaan ja optimoimaan tietoturvainvestointejaan.
Se hyödyntää toimialalla yleisesti hyväksyttyjä tietoturvakäytäntöjä, jotka keskittyvät IT- ja OT-näkökulmiin, suojattavan omaisuuden hallintaan sekä tietojenkäsittely-ympäristön hallintaan.
ISO 9001 on maailmanlaajuisesti tunnustettu laadunhallinnan standardi. Se auttaa kaiken kokoisia ja kaikkien toimialojen organisaatioita parantamaan suorituskykyään, vastaamaan asiakkaiden odotuksiin ja osoittamaan sitoutumisensa laatuun.
Kyberturvallisuuslaki säätää tietoturvatoimenpiteistä keskeisiksi tai tärkeiksi nimetyillä toimialoilla sekä kyberturvallisuutta koskevien riskien hallinnasta. Kyberturvallisuuslaki vie Suomessa täytäntöön NIS2 -direktiivin.
The CyberFundamentals framework is created by Centre for Cybersecurity Belgium. It provides a set of concrete measures to protect your data, significantly reduce the risk of the most common cyber-attacks, and increase your organisation's cyber resilience. The framework is based on:
The Cyberfundamentals are structured in 4 levels, with a subsequent level containing a little more measures than the previous one each time. A beginner level Small, followed by Basic, Important and Essential. The Essential level contains all the basic information security mesures from previous ones and introduces more advanced controls. The essential level is in line with the NIS2 directive.
NCM ICT Security Principles is a framework for ICT security published and maintained by the Norwegian National Security Authority (NSM). The security principles advise businesses and organisations on how to protect their information systems from unauthorized access, damage or misuse.
The principles focus on technological and organisational measures. Measures concerning physical security and the human perspective are generally not covered. The measures apply to both unintentional and intentional acts, although the main focus is on intentional acts.
In this framework there are 21 security principles with a total of 118 security measures, distributed across four categories: i) identify, ii) protect and maintain, iii) detect and iv) respond and recover.
TISAX is an assessment and exchange mechanism for the information security of enterprises and allows recognition of assessment results among the participants.
HIPAA is a series of regulatory standards outlining the lawful use and disclosure of protected health information (PHI). HIPAA compliance is regulated in the USA by the Department of Health and Human Services (HHS) and enforced by the Office for Civil Rights (OCR).
CIS18 hallintakeinot kattavat kyberturvallisuuden eri osa-alueet, mukaan lukien haavoittuvuuksien hallinnan, suojatun konfiguroinnin, kulunvalvonnan, häiriöihin reagoimisen ja paljon muuta. Ne on suunniteltu korjaamaan yleisiä haavoittuvuuksia ja tarjoamaan organisaatioille jäsennelty lähestymistapa turvallisuuden vahvistamiseen.
Maksukorttiteollisuuden tietoturvastandardi (PCI DSS) kehitettiin kannustamaan ja parantamaan maksukorttitietojen tietoturvaa ja helpottamaan yhdenmukaisten tietoturvatoimenpiteiden laajaa käyttöönottoa maailmanlaajuisesti.
PCI DSS tarjoaa perustason teknisiä ja toiminnallisia vaatimuksia, jotka on suunniteltu suojaamaan tilitietoja. Vaikka PCI DSS on erityisesti suunniteltu keskittymään ympäristöihin, joissa on maksukorttitietoja, sitä voidaan käyttää toiminnan ohjenuorana myös muissa tietojekäsittely-ympäristön kohteissa.
IEC 62443 keskittyy teollisuuden automaatio- ja ohjausjärjestelmien (IACS) turvallisuuteen. Vaatimukset on suunniteltu tarjoamaan puitteet IACS:n luomiselle, toteuttamiselle, toiminnalle, seurannalle, tarkistamiselle ja turvallisuuden parantamiselle.
Vaatimukset ovat relevantteja useille teollisuuden toimialoille, kuten valmistava teollisuus, energia ja muu kriittinen infrastruktuuri.
Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
.svg)
.svg)
