Tietosuojan ja tietoturvan kehittämisen avainpelurit organisaatiossa Pyry Heikkinen

Samankaltaiset tiedostot
Tiedätkö, olet oman elämäsi riskienhallintapäällikkö! Miten sovellat riskienhallintaa omassa työssäsi? Pyry Heikkinen

Oletusarvoinen ja sisäänrakennettu tietosuoja. Pyry Heikkinen

Tietosuoja sovelluskehityksessä. Pyry Heikkinen

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

Henkilöstön ohjeistaminen JUDO-työpaja Juho Nurmi, tietosuojavastaava, Espoon kaupunki

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

TIETOTURVAPOLITIIKKA

Tietosuojatehtävät. Järvenpään kaupungissa

1 Tietosuojapolitiikka

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

Eläketurvakeskuksen tietosuojapolitiikka

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Asiakaspäivät 2018 Turvallisuus- ja riskienhallinta ohjelmalinjan avaus. Marko Ruotsala

Tietotilinpäätös tietosuojan dokumentoinnissa Parhaat käytännöt: tietotilinpäätösmalli

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 4

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Tietoturvallisuuden johtaminen

Tietosuoja-asetus (GDPR)

Kehmet. Yleisesittely

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Tietoturvapolitiikka

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Teknologia avusteiset palvelutverkostopalaveri

Tietosuojakoulutus. Suomen Golfliitto ry Castrén & Snellman

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Ulvilan kaupungin tietosuojapolitiikka

Tietoturvapolitiikka Porvoon Kaupunki

Miten tietoturvallisuus ja tietosuoja saadaan palveluihin sisäänrakennetuksi? Pyry Heikkinen

Vihdin kunnan tietoturvapolitiikka

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

TIETOSUOJAOHJE PARTIOLIPPUKUNNILLE

TIETOSUOJA- ASETUKSEN HUOMIOINTI YRITYSTASOLLA. FINNET-LIITTO Mikko Viemerö (KTL, CIPP/E, CIPM, CIPT, CISA, CISM)

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

32E Markkinoiden juridinen toimintaympäristö. Tietosuojalainsäädännön soveltaminen käytännön liiketoiminnassa

Kasva tietoturvallisena yrityksenä

Sähköi sen pal l tietototurvatason arviointi

Laatua ja tehoa toimintaan

GDPR Tietosuoja-asetus

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 5

HAVAINTOJA PARHAISTA KÄYTÄNNÖISTÄ. Harri Vilander, Nixu Oy

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC Reijo Savola Johtava tutkija VTT

Tietoturvavastuut Tampereen yliopistossa

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Tietohallintomallin soveltamisohje julkiselle hallinnolle. Säätytalo

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

EU:n yleinen tietosuoja-asetus (GDPR) ja sen toimeenpano Tampereen kaupungilla

D9 - TILANNEKATSAUS

TIETOSUOJAPOLITIIKKA. Turun kaupunki

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

JUHTA: n toteuttamat tietosuojayhteishankkeet Kick off-tilaisuus ja 1. työpaja

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 2

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

EU:n tietosuoja-asetus (GDPR)

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Kolarin kunnan tietosuojapolitiikka

T E R H O N E V A S A L O

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

EU:n yleisen tietosuoja-asetuksen (GDPR) vaikutusten arviointi alueellisesti

EU TIETOSUOJA- ASETUS

Espoon kaupunki Tietoturvapolitiikka

Suomen Tilaajavastuu Oy:n palvelut ja tietosuojaasetuksen. Mika Huhtamäki ja Antti-Eemeli J. Mäkinen

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Yritysturvallisuuden johtamisen arviointi ja hallintamalli

Kokonaisarkkitehtuurin kehittäminen Satu Pajuniemi. Conversatum Oy

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Sofia Wilson

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Tietosuojavaltuutetun toimiston tietoisku

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat. Diplomityöesitelmä Juha Kalander

Kertomusluonnoksesta annetut lausunnot 20/2018 Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus 263/54/2017

Tietosuojan etukäteinen vaikutustenarviointi (DPIA)

Riskienhallinta Maanmittauslaitoksessa mitä pitkäaikainen kehittäminen on opettanut?

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Yhteinen eurooppalainen tietosuoja Apulaistietosuojavaltuutettu Jari Råman

Sisäisen valvonnan kehittäminen osana johtamisjärjestelmää

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Tietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

Pilvipalvelut ja henkilötiedot

Transkriptio:

Tietosuojan ja tietoturvan kehittämisen avainpelurit organisaatiossa Pyry Heikkinen

Taustaa ICT-tietoturvapäällikkö Tullissa Tietoturvan ja riskien hallinta Tietosuoja ja yksityisyys Tietoturvaarkkitehtuuri OWASP Helsingin hallituksen jäsen ISC 2 CISSP IAPP CIPP/E SABSA SCF VAHTI-sihteeristön jäsen ISACA CISM IAPP CIPT CSA CCSK LinkedIn: pyryheikkinen ITIL v3 Foundation PRINCE2 Foundation TOGAF 9 Certified Pyry Heikkinen 2

Tietoturvariskit ja tietosuojariskit eivät analogisia Tieto vuotaa luvattomille tahoille Organisaation toiminta häiriintyy Tietoturvariskit Tietosuojariskit Yksilön oikeuksia ja vapauksia loukataan Tieto ei ole saatavilla Pyry Heikkinen Tietosuojaa ei siis ratkaista pelkällä tietoturvallisuudella. 3

Tietosuoja ja tietoturva ovat joskus myös (näennäisesti) ristiriidassa Tietosuoja Tietoturva Pyry Heikkinen 4

Miten organisaatio huolehtii tietosuojan ja tietoturvan kehittämisestä? START Pyry Heikkinen 5

Sisäinen tarkastus (IA) (ISMS/PIMS) (EA) (ERM) Tietoturvan/ Tietosuojan hallintajärjestelmät Arkkitehtuuri Riskienhallinta Tietosuojavastaava (DPO) Organisaatiokulttuuri ja Omistajuus Pyry Heikkinen 6

Tietoturvan ja tietosuojan hallintajärjestelmät (ISMS/PIMS) Merkitys Luovat kivijalan tietoturvan ja tietosuojan toteutumiselle Toteuttavat periaatteita, velvollisuuksia ja oikeuksia Lainmukaisuus Käsittelyn turvallisuus ja tietosuojaloukkausten hallinta Rekisteröidyn oikeudet ja rekisterinpitäjän velvollisuudet Viitekehykset (esim.) ISO 27001 + 27002, TTA+VAHTI, ISO 20000 osiltaan ISO 27552 (tulossa), ISO 29100 Pyry Heikkinen 7

ISO 27552 Tietosuojan ja -turvan hallinnan linkitys? Security techniques Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management Requirements and guidelines Luonnosvaiheessa (Draft International Standard valmistelussa) ISO:ssa: https://www.iso.org/standard/71670.html Laajentaa standardin mukaista tietoturvallisuuden hallintajärjestelmää (ISO 27001) ja tämän kontrolleja (ISO 27002) tietosuojan hallinnan vaatimuksilla. Pyry Heikkinen 8

Riskienhallintajärjestelmä (tai prosessi) - ERM Merkitys Havaitsee uuden säätelyn (toimintaympäristöanalyysi) Hallitsee ja raportoi tietosuoja- ja tietoturvariskit johdolle Lainmukaisuus Riskilähtöisyys Osoitusvelvollisuus Viitekehykset (esim.) ISO 31000, ISO 27005 (Tietoturvariskit) COSO ERM Pyry Heikkinen 9

Kokonaisarkkitehtuuri - EA Merkitys Suunnittelee ja toteuttaa muutoksen ja vaatimukset tietojärjestelmissä: periaatteet, oikeudet ja velvollisuudet Lainmukaisuus Tietosuoja- ja turvaperiaatteet, rekisteröidyn oikeudet, rekisterinpitäjän velvollisuudet, jne. (tietojärjestelmissä) Viitekehykset (esim.) TOGAF JHS 179 Pyry Heikkinen 10

Sisäinen tarkastus - IA Merkitys Varmistaa hyvän hallinnon, vaatimustenmukaisuuden ja riskienhallinnan toteutumista auditoi ja ehdottaa Lainmukaisuus Lainmukaisuus kokonaisuudessaan Hyvä hallinto (eettisyys) ja riskilähtöisyys Viitekehykset (esim.) IIA COBIT (tietohallintokontrollit) Pyry Heikkinen 11

Tietosuojavastaava - DPO Merkitys Valvoo ja tukee tietosuojan toteutumista Toimii linkkinä rekisteröityihin ja valvontaviranomaisiin Lainmukaisuus Tietosuojavastaavan tehtävä Vaikutustenarviointi, informointi ja tietosuojaloukkaukset Viitekehykset (esim.) GDPR, eprivacy, kansalliset lait IAPP BoK Pyry Heikkinen 12

Operatiivinen Taktinen Strateginen Tietosuojavastaava Omistajat ja kulttuuri Sisäinen tarkastus Ti-hallintajärjestelmät Kokonaisarkkitehtuuri Riskienhallinta Eettiset periaatteet Johdon katselmus Tietoturva -politiikka Tietosuoja -politiikka Työroolit Periaatteet Vaatimukset Tietovirrat Toimintaympäristön analyysi Riskiraportointi johdolle Prosessien riskiarviot Toiminta Koordinaatio -ryhmät Sidosryhmien hallinta Koulutus & ohjeistus Auditoinnit Prosessit ja työtavat Periaatteet Tietoturvapalvelut Tiedon elinkaari Tietosuojapalvelut Tietosuoja -hankkeet MDM Tietokokonaisuudet Tietosuojamenetelmät Turvallinen infra Koordinaatio-ryhmät Hankkeiden & osastojen riskien hallinta Projektien, palveluiden, järjestelmien ja ryhmien riskienhallinta Tieto/ järjestelmä Teknologia Pyry Heikkinen 13

Tiedonhallinta IA Johto Lakiosasto Luo puitteet ja valvoo DPO eprivacy GDPR Uhkataso Liiketoiminnot EA ISMS/PIMS Kivijalka (tietoturvan ja -suojan hallinta) ERM Pyry Heikkinen 14

Kehityksen etenemisen seuranta Johto Tietotilinpäätös Kehityshankkeiden status Tietoturvan tilannekuva Riskiraportointi Auditoinnit Tietosuojan hallinta Edistyminen Tietoturvan hallinta Tietosuoja /tietoturva -riskit Lainmukaisuus DPO PMO CISO CRO IA Pyry Heikkinen 15

Eri pelureiden motiivit tietosuojan varmistamisen suhteen.. Miksi meidän pitäisi panostaa tietosuojaan? Pyry Heikkinen 16

(Henkilö)asiakaslähtöisyys Tehokas asiakaspalvelu Asiakkaan oikeuksien toteuttaminen, läpinäkyvyys, MyData, asiakasarvostus, asiakkaan suojelu, asiakkaan edun ajaminen, prosessien tehokkuus, lean & agile Helppo tapa aloittaa järjestelmällistä riskienhallintaa: SWOT Sanktioriskin minimointi Lainmukaisuus, hallinnon ohjaus, vahingonkorvaukset, rikosoikeudellinen vastuu, virkavastuu, käsittelyn keskeytys, tarkastukset Kilpailuetu Ylivertainen asiakaskokemus, asiakastiedon hyödyntäminen palvelun kehittämiseksi, käyttäjien ja asiakkaiden saanti, eettisyys, brändi, innovatiivisuus, big data & AI Maineriskin minimointi Negatiivinen julkisuus, käyttäjien tai asiakkaiden menetys, sidosryhmäsuhteet, imago, yhteiskunta- ja työnantajakuva Maine- & brändiherkkyys Pyry Heikkinen 17

Eri pelureiden motiivit tietoturvan varmistamisen suhteen.. Miksi meidän pitäisi panostaa tietoturvaan? Pyry Heikkinen 18

Tiedon salassapidon tärkeys Helppo tapa aloittaa järjestelmällistä riskienhallintaa: SWOT Luotettu osapuoli Sensitiiviset tiedot suojattu turvallisesti ja lainmukaisesti ja asiakkaiden, kumppanien sekä viranomaisten luottamus varmistettu Yhteiskunnan kivijalka Toiminnan jatkuvuus ja luotettavuus varmistettu vaativissakin olosuhteissa ja kehittyneiden uhkien kohteeksi joutuessa Innovaatioiden hyödyntäjä Oikeanlaiset suojaukset ja lain vaatimukset toteutettu digitalisaation, globalisaation ja innovaatioiden kustannustehokkaaksi hyödyntämiseksi Ketjun vahvin lenkki Toiminnan jatkuvuus ja tehokkuus varmistettu, jotta yhteiskunnan kriittiset toiminnot eivät häiriinny tai lamaannu kokonaan Toiminnan jatkuvuuden ja oikeellisuuden kriittisyys Pyry Heikkinen 19

Kiitos! Ikonit: Open Security Architecture http://www.opensecurityarchitecture.org Kuvat: Tulli, unsplash.com, pixabay.com Pyry Heikkinen 20

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute