top of page

Henkilöstöturvallisuus  


Tehtävät  

Työsopimuksissa eritellään työntekijän ja organisaation vastuut tietoturvallisuudesta.  

 

Sopimuksen tulisi sisältää mm.:  

  • työntekijän juridiset vastuut ja oikeudet, esim. tekijänoikeus- tai tietosuojalainsäädäntöön liittyvät vastuut  

  • työntekijän vastuu ohjeiden noudattamisesta mm. laitteiston ja tiedon käyttöön ja tietojen luokitteluun liittyen  

  • työntekijän tai vuokratyöntekijän vastuu muilta yrityksiltä tai muilta osapuolilta saadun tiedon käsittelyssä  

  • toimenpiteet, jos työntekijä tai vuokratyöntekijä rikkoo organisaation turvallisuusvaatimuksia  

  • työsuhteen päättymisen jälkeen jatkuvat velvollisuudet.    


Salassapitositoumusten käyttö    

  Kaikkien luottamuksellisia tietoja käsittelevien työntekijöiden olisi allekirjoitettava salassapito- tai vaitiolositoumus ennen luottamuksellisen tiedon käsittelyä.  

 

Salassapitositoumuksen tulisi sisältää mm.:  

  • luottamuksellisen tiedon selkeä määrittely  

  • sitoumuksen oletettu kesto  

  • edellytetyt toimenpiteet, kun sitoumus puretaan  

  • allekirjoittaneiden vastuut ja toimenpiteet, jotta vältetään luvaton tiedon paljastaminen  

  • tiedon, liikesalaisuuksien ja aineettoman omaisuuden omistajuus ja miten tämä liittyy luottamuksellisen tiedon suojaamiseen  

  • luottamuksellisen tiedon sallittu käyttö ja allekirjoittaneen oikeudet käyttää tietoa  

  • oikeus tarkastaa ja valvoa toimintoja, joihin liittyy luottamuksellista tietoa.  

  

Organisaatio on määritellyt toimintatavat henkilöstön digiturvaosaamisen ylläpitämiseen. 

Näihin voi liittyä mm. seuraavia asioita:    

  • henkilöstölle on olemassa ohjeet, joilla kuvataan työrooliin liittyvät digiturvan yleiset säännöt  

  • henkilöstöä koulutetaan, jotta he pystyvät toimimaan turvallisesti, tietävät ohjeet ja kykenevät noudattamaan niitä  

  • henkilöstö osoittaa testien tai muun vastaavan avulla omaavansa turvallisen toiminnan vaatimat digiturvataidot ja –tiedot.  

  

Koulutus keskittyy kullekin työroolille oleellisimpiin digiturvateemoihin, mutta sisältää tarpeeksi usein myös kaikkia työntekijöitä koskevat "perusasiat":  

  • työntekijän henkilökohtainen vastuu (mm. päätelaitteista ja käsittelemästään tiedosta)  

  • kaikkia koskevat käytännöt (mm. tietoturvahäiriöiden raportointi)  

  • kaikkia koskevat säännöt (mm. puhdas työpöytä)  

  • organisaation tietoturvaroolit (keneen yhteyttä ongelmatilanteissa)  

   

Lokin ylläpito järjestetyistä digiturvakoulutuksista  

  Organisaation henkilöstölleen järjestämistä digiturvakoulutuksista pidetään lokia. Lokin avulla voidaan osoittaa, millaisia täsmä panostuksia organisaatio on tehnyt henkilöstön digiturvaosaamisen eteen.  

Jokaisesta koulutuksesta voidaan kirjata ylös esimerkiksi:  

  • ajankohta  

  • koulutuksen aihepiirit ja kesto  

  • koulutuksen toteutustapa ja kouluttaja  

  • koulutukseen osallistuneet henkilöt  

  

Tietoturvaohjeet  

Yleiset tietoturvaohjeet henkilöstölle  

Henkilöstöllä on oltava tietoturvaohjeet, joissa on käsiteltävä mm. seuraavia aiheita:  

  • mobiililaitteiden käyttö ja päivitykset  

  • tiedon tallentaminen ja varmuuskopiointi  

  • tietosuoja  

  • sähköpostin käyttö  

  • tulosteiden, papereiden ja tiedostojen käsittely  

  • häiriöistä ilmoittaminen  

  • huijausten estäminen  

   

Työsuhteen muutoshetket   

​Prosessi työsuhteiden päättymishetkelle mm. laitteiston ja pääsyoikeuksien poistoon  

  

Organisaatio on määritellyt toimintatavat, joiden avulla koordinoidaan työsuhteen päättymishetkellä mm.:  

  • Laitteiston palauttaminen  

  • Pääsyoikeuksien poisto  

  • Muun tieto-omaisuuden palauttaminen   

  

Pääsyoikeuksien myöntämisprosessi työsuhteen alkaessa  

  

Henkilön työsuhteen käynnistyessä hänelle huolehditaan kerralla käyttöoikeus kaikkien rooliinsa liittyvien tietojärjestelmien käyttöön.  


 

Järjestelmien hallinta  


Tehtävät  

  

Tietojärjestelmien hallinta   

Ohjeistukset henkilöstölle tietojärjestelmien ja tunnistautumistietojen käyttöön liittyen  

  

Organisaatiolla tulisi olla määritellyt ohjeet tietojärjestelmien yleisesti hyväksyttävälle käytölle sekä tarvittavien tunnistautumistietojen hallinnalle.  

Tärkeäksi luokiteltujen tietojärjestelmien omistaja voi lisäksi määritellä, dokumentoida ja jalkauttaa tarkempia sääntöjä juuri tämän tietojärjestelmän käytöstä. Nämä säännöt voivat kuvata mm. tietoturvavaatimukset, jotka järjestelmän sisältävään tietoon liittyvät.   

  

Tietojärjestelmien listaus ja omistajien nimeäminen  

  

Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä sekä tietojärjestelmille nimetyistä omistajista. Omistaja vastaa järjestelmän tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti järjestelmään.  

Järjestelmiin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:  

  • Järjestelmään liittyvät vastuut ja sen käyttötarkoitus  

  • Järjestelmän tietojen sijainti (käsitellään tarkemmin erillisessä tehtävässä)  

  • Kuvaus järjestelmän ylläpito- ja kehitysvastuista sekä tähän mahdollisesti liittyvät toimittajat (käsitellään tarkemmin erillisessä tehtävässä)  

  • Tarvittaessa tietojärjestelmän pääsyoikeusroolit ja tunnistautumistavat (käsitellään tarkemmin erillisessä tehtävässä)  

  • Tarvittaessa liittymät muihin järjestelmiin (käsitellään tarkemmin erillisessä tehtävässä)   

  

Pääsynhallinta ja tunnistautuminen   

  

Monivaiheisen tunnistautumisen käyttö tärkeiksi määriteltyihin järjestelmiin  

Tärkeää tietoa sisältäviin järjestelmiin olisi kirjauduttava useita tunnistamiskeinoja käyttävällä kirjautumisella, jota kutsutaan englanniksi joko "two-factor", “multi-factor” tai “dual factor” tunnistautumiseksi.  

Esimerkiksi kirjautuessaan ensin salasanalla, käyttäjälle voidaan lähettää lisäksi kertakäyttöinen tunnistautumiskoodi tekstiviestinä. Tällöin hänet on tunnistettu kahden tekijän avulla (salasanan tietäminen ja puhelimen omistajuus).  

Kaksivaiheisessa tunnistautumisessa voidaan käyttää apuna myös biometrisiä tunnisteita (esim. sormenjälki) ja muita laitteita. Kannattaa kuitenkin huomioida kustannukset ja vaikutukset yksityisyydensuojalle.  

  

Jaettujen käyttäjätunnusten välttäminen ja dokumentointi  

Jaetut käyttäjätunnukset olisi sallittava vain, jos ne ovat tarpeellisia liiketoiminnallisista tai toiminnallisista syistä, ja ne olisi hyväksytettävä ja dokumentoitava.  

Mikäli jaettuja käyttäjätunnuksia käytetään ylläpitokäyttöön, salasanat on vaihdettava mahdollisimman pian sen jälkeen, kun ylläpito oikeuksin varustettu käyttäjä jättää työnsä.   

  

Järjestelmien käyttöoikeuksien säännöllinen katselmointi  

Tietojärjestelmästä vastaava taho määrittää järjestelmän käyttöoikeudet käyttäjien tehtäviin liittyen. Todellisten käyttöoikeuksien vastaavuutta suunniteltuun on valvottava ja oikeuksia uudelleenarvioitava säännöllisin aikavälein.  

Pääsyoikeuksia katselmoitaessa on huomioitava lisäksi ylläpito-oikeuksien minimointi sekä tarpeettomien tunnusten sulkeminen.  

   

Monivaiheisen tunnistautumisen käyttö pääkäyttäjille  

Organisaation tärkeimmissä järjestelmissä pääkäyttäjinä toimivilta vaaditaan useita tunnistamiskeinoja käyttävää kirjautumista (engl. multi-factor authentication, MFA).  

Esimerkiksi kirjautuessaan ensin salasanalla, käyttäjälle voidaan lähettää lisäksi kertakäyttöinen tunnistautumiskoodi tekstiviestinä. Tällöin hänet on tunnistettu kahden tekijän avulla (salasanan tietäminen ja puhelimen omistajuus).  

Monivaiheisessa tunnistautumisessa voidaan käyttää apuna myös biometrisiä tunnisteita (esim. sormenjälki) ja muita laitteita. Kannattaa kuitenkin huomioida kustannukset ja vaikutukset yksityisyydensuojalle.  


 

Riskien hallinta ja johtaminen


Digiturvan johtaminen   

Henkilöstön yleinen tietoturvapätevyys ja -tietoisuus  

  

Koko organisaation ohjauksessa toimivan henkilöstön on oltava tietoisia:  

  • miten he voivat osaltaan lisätä tietoturvallisuuden hallintajärjestelmän vaikuttavuutta ja millaista hyötyä tietoturvallisuuden tason parantamisesta on  

  • seurauksista, joita tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten noudattamatta jättämisellä voi olla minkä osan henkilöstöstä työ vaikuttaa tietoturvan tasoon  

  • Lisäksi johto on määrittänyt tavat, joilla henkilöstö pidetään tietoisina omaan työrooliinsa liittyvistä tietoturvaohjeista.   

  

Häiriöiden hallinnan resursointi ja seuranta  

Johdon on määriteltävä hallintavastuut ja luotava menettelyt, joilla taataan tehokas ja johdonmukainen reagointi tietoturvahäiriöihin.  

Johdon on varmistettava mm.:  

  • häiriöiden hallinta on vastuutettu  

  • häiriöiden vastaamiseen, käsittelyyn ja raportointiin on dokumentoitu prosessi  

Prosessin on varmistettava mm.:  

  • henkilöstöllä on selkeä yhteydenottopiste / -työkalu sekä ohjeistus häiriöiden raportoimiselle  

  • pätevä henkilöstö käsittelee raportoidut tietoturvahäiriöt tarpeeksi kattavasti   

  

Tietoturvaroolien ja -vastuiden määrittäminen  

Ylimmän johdon on varmistettava selkeät vastuut / valtuudet vähintään seuraavissa teemoissa:  

  • kuka on päävastuussa siitä, että tietoturvallisuuden hallintajärjestelmä on tietoturvallisuutta koskevien vaatimusten mukainen  

  • ketkä toimivat tietoturvan hallintajärjestelmän pääteemojen vastuuhenkilöinä  

  • kenellä on vastuu ja valtuudet raportoida ylimmälle johdolle tietoturvallisuuden hallintajärjestelmän suorituskyvystä  

  • kenellä on valtuudet sisäisten auditointien toteuttamiseen  

Tietoturvan hallintajärjestelmän pääteemojen vastuuhenkilöt esitetään hallintajärjestelmän työpöydällä sekä Tietoturvapolitiikka-raportissa.  

Ylimmän johdon on lisäksi varmistettava, että kaikki tietoturvan kannalta tärkeät roolit sekä niihin liittyvät vastuut ja valtuudet on määritelty ja niistä viestitään.  

  

Johdon sitoutuminen tietoturvan hallintaan ja hallintajärjestelmään  

Organisaation johdon on osoitettava sitoutumista tietoturvatyötä ja tietoturvallisuuden hallintajärjestelmää kohtaan. Johto sitoutuu:  

  • määrittämään työn perusteena toimivat vaatimukset (esim. asiakasvaatimukset, lait ja asetukset tai standardit)  

  • määrittämään tietoturvan hallintaan tarvittavat resurssit  

  • viestimään tietoturvallisuuden tärkeydestä  

  • varmistamaan, että työllä saavutetaan halutut tulokset  

  • edistämään tietoturvan jatkuvaa parantamista  

  

Johto päättää lisäksi tietoturvan hallintajärjestelmän soveltamisalan ja kirjaa päätöksen ylös hallintajärjestelmän kuvaukseen. Tämä tarkoittaa, rajataanko esimerkiksi joitain osia organisaation toiminnasta tai hallinnoimasta tiedosta pois hallintajärjestelmän piiristä, vai koskeeko se organisaation kaikkea tietoa / toimintaa.  

  

Tietoturvan avainhenkilöstön määrä, pätevyys ja riittävyys    

Organisaatiossa on tarpeeksi koulutettua, valvottua ja tarvittaessa asianmukaisesti turvallisuusselvitettyä henkilöstöä, jotka toimivat tietoturvan avainrooleissa suorittaen tietoturvallisuuden hallintajärjestelmään liittyviä hallintatehtäviä.  

Organisaatio on määritellyt:  

  • millainen pätevyys tällä henkilöstöllä tulee olla  

  • kuinka pätevyys hankitaan ja varmistetaan (esim. soveltuvan koulutuksen ja koulutuksen seurannan avulla)  

  • kuinka pätevyys voidaan osoittaa dokumentaation avulla  

Tehtävän omistaja katselmoi turvallisuushenkilöstön määrää ja osaamistasoa säännöllisesti.  

  

Häiriöiden hallinnan resursointi ja seuranta    

Johdon on määriteltävä hallintavastuut ja luotava menettelyt, joilla taataan tehokas ja johdonmukainen reagointi tietoturvahäiriöihin.  

Johdon on varmistettava mm.:  

  • häiriöiden hallinta on vastuutettu  

  • häiriöiden vastaamiseen, käsittelyyn ja raportointiin on dokumentoitu prosessi  

Prosessin on varmistettava mm.:  

  • henkilöstöllä on selkeä yhteydenottopiste / -työkalu sekä ohjeistus häiriöiden raportoimiselle  

  • pätevä henkilöstö käsittelee raportoidut tietoturvahäiriöt tarpeeksi kattavasti  

  

Henkilöstön yleinen tietoturvapätevyys ja -tietoisuus     

Koko organisaation ohjauksessa toimivan henkilöstön on oltava tietoisia:  

  • miten he voivat osaltaan lisätä tietoturvallisuuden hallintajärjestelmän vaikuttavuutta ja millaista hyötyä tietoturvallisuuden tason parantamisesta on  

  • seurauksista, joita tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten noudattamatta jättämisellä voi olla minkä osan henkilöstöstä työ vaikuttaa tietoturvan tasoon  

Lisäksi johto on määrittänyt tavat, joilla henkilöstö pidetään tietoisina omaan työrooliinsa liittyvistä tietoturvaohjeista.  

  

Häiriöiden hallinnan resursointi ja seuranta    

Johdon on määriteltävä hallintavastuut ja luotava menettelyt, joilla taataan tehokas ja johdonmukainen reagointi tietoturvahäiriöihin.  

Johdon on varmistettava mm.:  

  • häiriöiden hallinta on vastuutettu  

  • häiriöiden vastaamiseen, käsittelyyn ja raportointiin on dokumentoitu prosessi  

  

Prosessin on varmistettava mm.:  

  • henkilöstöllä on selkeä yhteydenottopiste / -työkalu sekä ohjeistus häiriöiden raportoimiselle  

  • pätevä henkilöstö käsittelee raportoidut tietoturvahäiriöt tarpeeksi kattavasti  

  

Tietoturvaroolien ja -vastuiden määrittäminen    

Ylimmän johdon on varmistettava selkeät vastuut / valtuudet vähintään seuraavissa teemoissa:  

  • kuka on päävastuussa siitä, että tietoturvallisuuden hallintajärjestelmä on tietoturvallisuutta koskevien vaatimusten mukainen  

  • ketkä toimivat tietoturvan hallintajärjestelmän pääteemojen vastuuhenkilöinä  

  • kenellä on vastuu ja valtuudet raportoida ylimmälle johdolle tietoturvallisuuden hallintajärjestelmän suorituskyvystä  

  • kenellä on valtuudet sisäisten auditointien toteuttamiseen  

 

Tietoturvan hallintajärjestelmän pääteemojen vastuuhenkilöt esitetään hallintajärjestelmän työpöydällä sekä Tietoturvapolitiikka-raportissa.  

Ylimmän johdon on lisäksi varmistettava, että kaikki tietoturvan kannalta tärkeät roolit sekä niihin liittyvät vastuut ja valtuudet on määritelty ja niistä viestitään.  

  

Johdon sitoutuminen tietoturvan hallintaan ja hallintajärjestelmään    

Organisaation johdon on osoitettava sitoutumista tietoturvatyötä ja tietoturvallisuuden hallintajärjestelmää kohtaan. Johto sitoutuu:  

  • määrittämään työn perusteena toimivat vaatimukset (esim. asiakasvaatimukset, lait ja asetukset tai


    standardit)  

  • määrittämään tietoturvan hallintaan tarvittavat resurssit  

  • viestimään tietoturvallisuuden tärkeydestä  

  • varmistamaan, että työllä saavutetaan halutut tulokset  

  • edistämään tietoturvan jatkuvaa parantamista  

  

Johto päättää lisäksi tietoturvan hallintajärjestelmän soveltamisalan ja kirjaa päätöksen ylös hallintajärjestelmän kuvaukseen. Tämä tarkoittaa, rajataanko esimerkiksi joitain osia organisaation toiminnasta tai hallinnoimasta tiedosta pois hallintajärjestelmän piiristä, vai koskeeko se organisaation kaikkea tietoa / toimintaa.  


 

Tekninen tietoturva  


Valvo käyttöä ja suojaa tietoja haittaohjelmia sekä haavoittuvuuksien hyödyntämistä vastaan.  

    

Haittaohjelmilta suojautuminen   

Haittaohjelmajärjestelmän automaattinen päivittyminen ja ajaminen  

  

Haittaohjelmien suojaukseen käytetyt järjestelmät tarkistavat ja asentavat päivitykset automaattisesti halutuin väliajoin ja ajavat myös halutut tarkistukset valitulla frekvenssillä ilman käyttäjän toimia.  

Korkea  

  

Haittaohjelmien havaitsemis- ja korjausohjelmien valinta ja käyttö kaikissa laitteissa  

Valitaan ja asennetaan haittaohjelmien havaitsemis- ja korjausohjelmat keskitetysti ja päivitetään ne säännöllisesti tietokoneiden ja tietovälineiden ennaltaehkäisevää tai säännöllistä tutkimista varten.  

Ohjelmien tulisi tarkastaa ainakin seuraavat asiat:  

  • verkon tai tallennusvälineen kautta saapuneet tiedostot tarkistetaan haittaohjelmien varalta ennen käyttöä  

  • sähköpostiliitteet ja ladatut tiedostot tarkistetaan haittaohjelmien varalta ennen käyttöä  

  • verkkosivustot tarkistetaan haittaohjelmien varalta  

    

Salaus    

Kannettavien tietokoneiden salaus  

 Kannettavat tietokoneet on suojattu full-disk -salauksella.  

  

Älypuhelinten ja tablettien salaus  

 Työkäyttöön tarkoitetuiksi älypuhelimiksi ja tableteiksi valitaan laitteita, jotka tukevat full-device -salausta ja salaukset asetetaan päälle.  

   

Varmuuskopiointi    

Omien varmuuskopiointiprosessien dokumentointi ja vastuuttaminen  

  

Tietojärjestelmälistauksen yhteydessä kuvataan, minkä järjestelmien suhteen vastuu varmuuskopioinnin toteutuksesta on itsellämme. Organisaation omalla vastuulla olevat varmuuskopiointiprosessit on dokumentoitu ja jokaiselle on määritelty omistaja. Dokumentaatio sisältää mm.:  

  • millä järjestelmällä ja kuinka usein varmuuskopiot toteutetaan?  

  • kuinka varmuuskopiot suojataan (salaus, fyysinen sijainti)?  

  • kuinka pitkään varmuuskopiot säilytetään?  

    

Tärkeän tieto-omaisuuden varmuuskopiointivastuiden selvittäminen  

Riittävien varmuuskopioiden avulla kaikki tärkeät tiedot ja ohjelmat voidaan palauttaa katastrofin tai tietovälinevian jälkeen. Tärkeä ensiaskel toimivassa varmuuskopioinnissa on tunnistaa, kenen vastuulla kunkin tiedon varmuuskopioiminen on. Varmuuskopioinnin vastuun selvittäminen on tieto-omaisuuden (järjestelmät, laitteisto) omistajien vastuulla.  

Mikäli varmuuskopiointi on kumppanin vastuulla selvitämme:  

  • kuinka kattavasti kumppani varmuuskopioi tiedot?  

  • kuinka tiedot ovat tarvittaessa palautettavissa?  

  • mitä varmuuskopioinnista on sovittu sopimuksissa?  

Mikäli varmuuskopiointi on omalla vastuullamme selvitämme:  

  • onko tietoihin liittyvä varmuuskopiointiprosessi olemassa ja dokumentoitu?  

  • onko varmuuskopioinnin kattavuus ja toteutussykli tietojen tärkeyden vaatimalla tasolla?   

  

Verkon turvallisuus    

Langattoman verkon suojaaminen  

Langattoman verkon käyttö on suojattu riittävillä avaimilla ja yhteysliikenne verkon reitittimeen on salattu. Vieraskäyttöön tarkoitettu langaton verkko on eristetty yrityksen omasta sisäisestä verkosta.  

Suojausjärjestelmät  

  

Virtualisointi  

Tietosuoja  

Noudata vaatimuksia ja asetuksia henkilötietojen käsittelyssä.  

Tehtävät  

Informointi ja tietopyynnöt   

Tietosuojaselosteet-raportin julkaisu ja ylläpito  

  

Henkilötietojen käsittelystä on toimitettava rekisteröidylle tietosuoja-asetuksen määrittelemät tiedot tiiviissä, ymmärrettävässä ja helposti saatavilla olevassa muodossa. Usein tämä toteutetaan joko rekisterikohtaisina tai muuten koottuina tietosuojaselosteina, jotka julkaistaan esimerkiksi organisaation verkkosivulla.  

Tietosuojan vastuuhenkilö varmistaa, että selosteissa on viestitty tietosuoja-asetuksen (artikla 13) vaatimat asiat. Kun henkilötietoja eri ole kerätty rekisteröidyltä itseltään, selosteissa on kerrottava perussisällön lisäksi:  

  • mistä tiedot on saatu  

  • mitä henkilötietoryhmiä käsittely koskee   

  

Prosessi tietosuojapyyntöjen vastaanottamiseen ja käsittelyyn  

Aina kun käsittellään henkilötietoja, rekisteröidyllä on tiettyjä oikeuksia, mm. saada pääsy tietoihinsa ja tietyissä tilanteissa vastustaa käsittelyä tai saada tietonsa poistetuksi.  

On suunniteltu toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:  

  • tavat, joilla rekisteröity voi tietopyyntöjä lähettää  

  • tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan  

  • henkilöt, jotka auttavat rekisterin yhteyshenkilöä pyynnön käsittelyssä  

  • tavat, joilla tiedot toimitetaan rekisteröidylle turvallisesti   

  

Käsittelyperiaatteet ja osoitusvelvollisuus   

  

Henkilötietojen käyttötarkoitusten dokumentointi tietovarannoille  

Henkilötietojen käsittely on lainmukaista ainoastaan, mikäli jokin tietosuoja-asetuksen määrittämistä oikeusperusteista toteutuu. Organisaation on pystyttävä viestimään käsittelyn tarkoitus ja oikeusperuste rekisteröidylle sekä tarvittaessa valvontaviranomaiselle.  

Dokumentaation on sisällettävä vähintään:  

  • käsittelyn oikeusperuste sekä tarvittavat lisätiedot  

  • tahot, joille käsittelyä on ulkoistettu  

  • liittyvät tietoaineistot  

   

Ohjeistukset henkilöstölle henkilötietojen käsittelyyn liittyen  

Tietosuojan vastuuhenkilö on muodostanut toimintaohjeet henkilötietoja käsittelevälle henkilöstölle. Lisäksi tietosuojan vastuuhenkilö on valmiina antamaan neuvoja rekisterinpitäjälle, henkilötietoja käsitteleville kumppaneille tai omalle henkilöstölle tietosuojaan liittyen tietosuoja-asetuksen tai muiden tietosuojavaatimusten noudattamiseen.   

  

Tietovarantojen listaus ja omistajien nimeäminen  

Organisaation on ylläpidettävä listaa hallinnoimistaan tietovarannoista sekä nimetyistä omistajista. Omistaja vastaa varannon tietojen täydentämisestä sekä mahdollisista muista digiturvatoimenpiteistä, jotka liittyvät tiiviisti tietovarantoon.  

Tietovarantoihin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:  

  • Tietovarantoon liittyvät vastuut  

  • Tietojen käyttötarkoitukset (käsitellään tarkemmin erillisessä tehtävässä)  

  • Tietoaineistot, joista tietovaranto muodostuu (käsitellään tarkemmin erillisessä tehtävässä)  

  • Tietojen säännönmukaiset luovutukset (käsitellään tarkemmin erillisessä tehtävässä)  

  • Tarvittaessa tieto tietovarannon sidoksesta toimintaprosesseihin  



 

Etätyö ja mobiililaitteet  


Varmista turvallisuus henkilöstön toimiessa mobiililaitteilla ja toimitilojen ulkopuolella.  

    

Mobiililaitteiden hallinta    

Ohjeistukset henkilöstölle mobiililaitteiden käyttöön liittyen  

Mobiililaitteiden käyttöä varten on luotu omat ohjeistukset henkilöstölle. Ohjeissa käsitellään:  

  • rajoituksia ohjelmistojen asentamiselle sekä eri palvelujen käyttämiselle organisaation laitteilla  

  • toimintatapoja uusien laitteiden rekisteröintiin  

  • vaatimuksia laitteiden fyysisestä suojaamisesta ja päivitysten asentamisesta  

  • pääsynhallintaa koskevia vaatimukset  

  • organisaation tietojen suojausta salauksen, haittaohjelmasuojauksen sekä varmuuskopioinnin avulla  

  • organisaation mahdollisuuksia etähallinta laitetta   

  

Prosessi mobiililaitteiden katoamisen tai varastamisen varalle  

 Mobiililaitteiden varkautta tai katoamista varten on laadittu menettelytavat.  

Käyttäjää voidaan velvoittaa:  

  • vaihtamaan verkon käyttötunnukset  

  • ilmoittamaan IT-osastolle tilanteesta (ja tarvittaessa poliisille tai mobiililiittymän tarjoajalle)  

  • vaihtamaan muita tarvittavia käyttötunnuksia, jotka ovat voineet vaarantua  


Organisaation prosessiin laitteen kadotessa voi sisältyä mm. laitteen tyhjentäminen (vähintään organisaation sisällön) etänä.  

  

Päätelaitteiden PIN-suojaus ja automaattinen lukitus  

Laitteet olisi suojattava siten, ettei niihin tallennettua tai niissä käsiteltävää tietoa kyetä käyttämään tai paljastamaan luvattomasti. Laitteiden pakollinen suojaaminen esim. 5-numeroisella PIN-koodilla ennen jokaista käyttökertaa sekä laitteiden automaattinen lukittuminen esim. 5 minuutin käyttämättömyyden jälkeen voivat auttaa.  

   

Etätyö    

Ohjeistukset henkilöstölle turvalliseen etätyöhön liittyen  

Etätyötä tekevälle henkilöstölle on luotu omat toimintaohjeet, joiden noudattamista seurataan. Lisäksi henkilöstölle järjestetään säännöllisesti koulutusta, jossa selvitetään mobiililaitteiden käytöstä ja etätyöstä aiheutuvia uhkia tietoturvallisuudelle ja kerrataan toimintaohjeita.  


 

Sähköposti ja tietojenkalastelu  


Paranna sähköpostin oikeellisuutta ja suojaudu tietojenkalastelulta.  

  

Sähköposti ja selain     

Ohjeistukset henkilöstölle tietojenkalasteluun liittyen  

Organisaatio on muodostanut henkilöstölle toimintaohjeet, joilla määritellään eri viestintäpalvelujen hyväksyttävä käyttö ja joiden avulla pyritään estämään luottamuksellisen tiedon paljastaminen esimerkiksi tietojenkalastelijalle tai muille ulkopuolisille.  

  

Sähköpostitodennus: DKIM   

DKIM lisää digitaalisen allekirjoituksen lähtevän sähköpostin ylätunnisteeseen. Lähtevän sähköpostin ylätunniste salataan yksityisellä avaimella ja julkinen avain lisätään verkkotunnuksen DNS-tietoihin, jotta vastaanottava palvelin voi purkaa tiedot. Avaimen avulla siis varmistetaan, että viestit todella tulevat omasta verkkotunnuksestanne eivätkä teitä esittävältä lähettäjältä.  

   

Sähköpostitodennus: DMARC   

DMARC toimii yhteen SPF:n ja DKIM:n kanssa. Sen avulla määritetään vastaanottavalle sähköpostipalvelimelle, kuinka toimia viestin kanssa, jotka eivät läpäise SPF- tai DKIM-tarkistuksia.  

   

Sähköpostitodennus: SPF  

SPF:n käyttö auttaa vahvistamaan verkkotunnuksestanne lähetettyjen sähköpostien aitouden. SPF lisätään TXT-merkintänä verkkotunnuksenne DNS-tietoihin kertomaan, mitkä sähköpostipalvelimet saavat lähettää sähköpostia verkkotunnuksenne puolesta. Vastaanottava sähköpostipalvelin viittää tähän merkintään päätellessään, tuleeko sähköposti oikealta taholta.  


 

Päivitetty 9.4.2024

Tekijät


Tietoturva ja kyberturva

Text

Text

Text

Text

Text

Text

Text

Text

bottom of page