DIGITURVAOPAS JUDO-HANKE SEKÄ DI- GITAALINEN TURVALLISUUS TOIMINNAN MAHDOLLISTAJANA

Samankaltaiset tiedostot
SPL TAMPEREEN PIIRI: SEURATUTOROINTI

KR-Tukefin Korjausrakentamiseen uusia toimintamalleja ARA ja TEKES. Loppuraportti

TAISTO18-HARJOITUSKÄSIKIRJA - PÄIVI- TETTY VERSIO 1.02

REKISTERINPITÄJÄN MUUTOKSET: Toimintamalli muutostilanteessa

Helsingin kaupunki Esityslista 8/ (5) Sosiaali- ja terveyslautakunta Sotep/

Maahantuojat: omavalvontasuunnitelman ja sen toteutumisen tarkastuslomakkeen käyttöohje

LÄÄKEHOITOSUUNNITELMA VARHAISKASVATUKSESSA

Aloite toimitusvelvollisen myyjän taseselvitystavan muuttamisesta

Yhteistyösopimus Kaupunkitutkimus ja metropolipolitiikka tutkimus- ja yhteistyöohjelman toteuttamisesta vuosina

CAVERION OYJ:N HALLITUKSEN TYÖJÄRJESTYS. 1. Hallituksen tehtävien ja toiminnan perusta. 2. Hallituksen kokoonpano ja valintamenettely

Sopimus asiakas- ja potilastietojärjestelmästä Liite 3 Käyttöönotto

Lausuntopyyntökysely

Aspergerin oireyhtymää ja ADHD:ta sairastavien lasten ja nuorten sopeutumisvalmennuskurssit, perhekurssit

Aspergerin oireyhtymää ja ADHD:ta sairastavien aikuisten kuntoutuskurssit, osittaiset perhekurssit

Suomi 100 -tukiohjelma

Autismia sairastavien lasten ja nuorten sopeutumisvalmennuskurssit, perhekurssit

DNA OY:N LAUSUNTO KUSTANNUSSUUNTAUTUNEEN HINNAN MÄÄRITTELYYN SOVELLETTAVASTA MENETELMÄSTÄ SUOMEN TELEVISIOLÄHETYSPALVELUIDEN MARKKINALLA

INSPIREn määrittelyjen mukaisen tietotuotteen muodostaminen: <TEEMAN NIMI>

Muistilistan tarkoitus: Valvotaan lain toteutumista sekä tavoitteiden, toimenpiteiden ja koulun tasa-arvotyön seurantamenettelyn laatua.

HINKU-HANKKEEN TOIMENPITEIDEN ALOITTAMINEN RAUMALLA

Kestävän kehityksen Toimenpideohjelma

VIRIILI KUHMOINEN STRATEGISET PÄÄMÄÄRÄT

Hankkeen tavoitteet voidaan jakaa valvonnan tavoitteisiin ja työsuojeluvalvonnan kehittämisen tavoitteisiin.

TUKEA LAJILIITTOJEN LASTEN JA NUORTEN URHEILUN KEHITTÄMISTYÖHÖN

Avoin tieto ja avoin hallinto kunnissa

KOLMIPORTAINEN TUKI ESIOPETUKSESSA (POL 16, 16a, 17, 17a )

Omaishoitajienkuntoutuskurssit

KUNTAKOORDINAATTORIEN NEUVOTTELUPÄIVÄ Oppilas- ja opiskelijahuollon palvelurakenteen ja laadun kehittäminen

Sydänvikaa sairastavien lasten ja nuorten sopeutumisvalmennuskurssit

3. Rekisterin nimi Lappeenrannan kaupungin joukkoliikenteen matkakorttijärjestelmän asiakasrekisteri

1. Yleistä. Tavoitteet vuodelle 2016

Kuntien kulttuuritoiminnasta annetun lain uudistaminen

Testaustyövälineen kilpailutus tietopyyntö

KAIKKI ALKAA TIEDOSTA TULOKSELLISTA DIGITAALISESTI OHJAAVAA UUSIOKÄYTTÖÄ MAANRAKENTAMISEEN

Lahden seudun joukkoliikenteen rekisteriseloste

Kärkihanke 1 Palvelut asiakaslähtöisiksi (PASI) Palvelusetelikokeilu -osahankkeen laajennus Sitra Vuokko Lehtimäki, hankepäällikkö, STM

VIHI-Forssan seudun yritysten vihreän kilpailukyvyn ja innovaatioiden kehittäminen ( ) Poistotekstiilit 2012, Workshop -ryhmät 1-4

Energiaviraston ohje tietoturvallisuuteen liittyvän häiriön ilmoittamisesta

Uniapneaoireyhtymää sairastavien aikuisten kuntoutuskurssit, osittaiset perhekurssit

Tilannekatsaus Eero Ehanti

Liikkujan polku mitä, miksi ja miten? #LiikkujanPolku

Tämä ruutu näkyy ainoastaan esikatselutilassa.

Tervetuloa Liikkujan polku verkoston toiseen verkostoseminaariin! #liikkujanpolku

YLEISTAVOITTEET

Hengityssairautta sairastavien aikuisten kuntoutuskurssit

Liikkujan polku -verkosto

FC HONKA AKATEMIAN ARVOT

Koulutustilaisuudessa tehtiin kolme ryhmätyötä. Seuraavassa on koonti ryhmätöiden tuloksista.

Basware Konsernitilinpäätös Forum Ajankohtaista pörssiyhtiön raportoinnissa

JFunnel: Käytettävyysohjatun vuorovaikutussuunnittelun prosessiopas

PalveluLuotsi. Kehitä asiakaskokemusta

30 YSK2020, uudenlaisen toiminta- ja organisaatiomallin rakentaminen yhteiseen seurakuntatyöhön

Hankinnasta on julkaistu ennakkoilmoitus HILMA- palvelussa

Kunta- ja palvelurakennemuutosten

Maaret Botska. Asiakirjahallinto ja asiakirjatiedon turvaaminen kunnallisten organisaatioiden muutostilanteissa

Viranomaisten yhteiskäyttöiset rekisterit

PROJEKTISUUNNITELMA

Ystävän apuri. Palveluihin ohjaamisen opasvihko ikäihmisen ystävälle. Ystävätoiminnan alueellisen tuen kehittämisprojekti 2012-

Vapaaehtoistoiminnan johtaminen. Saara Jäämies Salo

FISU (Finnish Sustainable Communities) edelläkävijäkuntien verkoston jäsenyydestä

KUSTANNUSTOIMITTAJIEN TYÖEHTOSOPIMUSTA KOSKEVA NEUVOTTELU

Etunoja lasten, nuorten ja perheiden tukemisessa edellyttää monialaista yhteistyötä ja johtamista. - Mihin se voi kaatua?

MUTKAPOLUN PÄIVÄKODIN ESIOPETUKSEN TOIMINTASUUNNITELMA Auringonpilkkujen ryhmä. Päivänsäteiden ryhmä

Ominaisuus- ja toimintokuvaus Idea/Kehityspankki - sovelluksesta

HENKKARIKLUBI. Mepco HRM uudet ominaisuudet vinkkejä eri osa-alueisiin 1 (16) Lomakkeen kansiorakenne

(Pandan mainos) (Novalabs mainos)

NOUSIAISTEN KUNTA VESIHUOLLON YHTIÖITTÄMISPALVELUT TARJOUS BDO OY

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta työryhmän asettaminen

RAUMAN KAUPUNGIN LAUSUNTO KUNNALLISHALLINNON RAKENNE TYÖRYHMÄN SELVITYKSESTÄ SEKÄ KUNTAUUDISTUKSEEN LIITTYVISTÄ MUISTA UUDISTUKSISTA

HAKUOHJE LIIKUNNALLISEN ILTAPÄIVÄTOIMINNAN KEHITTÄMISAVUSTUKSIA VARTEN LUKUVUODELLE

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE DIGITURVA-YHTEISHANKE VÄESTÖREKISTERIKESKUS

ENEGIATEHOKKUUSsopimukset. Palvelualan yleinen toimenpideohjelma Yhteenveto vuoden 2017 tuloksista

JYVÄSKYLÄN YLIOPISTO Työsuhde- ja lakiasiain johtaja Jouni Valjakka

Eduskunnan sivistysvaliokunnalle

B2C KOHDERYHMÄPALVELUT PALVELUKUVAUS

TeliaSoneran eettiset toimintaperiaatteet

Kielistrategia. 1. Periaatelinjaukset. 1.1 Johdanto. 1.2 Nykytilanne ylioppilaskunnassa ja Aallossa

PITKÄAIKAISSÄILYTYKSEN AINEISTOJEN PAKETOINNIN PILOTIN SUUNNITELMA

Hengityssairautta sairastavien lasten ja nuorten sopeutumisvalmennuskurssit

Fibromyalgiaa sairastavien sopeutumisvalmennuskurssit

NOUSIAISTEN KUNTA VESIHUOLLON YHTIÖITTÄMISPALVELUT TARJOUS BDO OY

Liikunnallisen elämäntavan valtakunnalliset kehittämisavustukset 2018

VALTIONAVUSTUKSET SUOMI.FI-VIESTIT -PALVELUN KÄYTTÖÖNOTTOIHIN

EKOKEM 1 TAPANA TURVALLISUUS. Kehittämisprojektin toiminta vuonna Toteutettu Työsuojelurahaston tuella

2.1. Miten lapsi oppii? Tutkimalla, kysymällä, toimimalla ja leikkimällä

Käyttöoikeus Paikkatietoalustan kehitys- ja koulutusympäristön koekäyttöön

ENEGIATEHOKKUUSsopimukset. Kuntien energiatehokkuussopimus Yhteenveto vuoden 2017 tuloksista

Plus500CY Ltd. Tietosuoja- ja evästekäytäntö

Ajankohtaiskatsaus, Peltotuki

Euroopan muotoiluinnovaatioaloite - Asiantuntijaryhmän 21 suositusta Euroopan komissiolle

Tyypin 1 diabetesta sairastavien aikuisten ja nuorten ja nuorten aikuisten ja lasten sopeutumisvalmennuskurssit

Akaa: Onnistunut työ tekee hyvää -hankkeen työpaja

Muistisairauksia sairastavien aikuisten sopeutumisvalmennuskurssit, parikurssit

Vapaan sivistystyön kestävän kehityksen kriteerit ja sertifiointi

kriisiviestintäohjeistus esimiehille

Henkilöstöpalveluiden tiedote 5/2011

Selkärankareumaa, nivelreumaa ja niiden sukuisia sairauksia sairastavien sopeutumisvalmennuskurssit

KTJkii-aineistoluovutuksen tietosisältö

Ikääntyneiden monisairaiden kuntoutuskurssit, osittaiset perhekurssit

FIRI haku 1: Suomen tutkimusinfrastruktuurien tiekartalla (versio 2018) olevat infrastruktuurit ja Suomen kansainväliset jäsenyydet

Transkriptio:

DIGITURVAOPAS JUDO-HANKE SEKÄ DI- GITAALINEN TURVALLISUUS TOIMINNAN MAHDOLLISTAJANA JUDO-hanke Digiturvan yhteishanke 2019-2021 Versi 1.0 12.6.2019

DIGITURVAOPAS 2 (25) DOKUMENTINHALLINTA Omistaja Laatinut Tarkastanut Väestörekisterikeskus, Digiturvapalvelut, JUDO-hanke Kimm Rusku sekä muut digiturvapalveluiden asiantuntijat Erja Kinnunen Hyväksynyt - VERSION HALLINTA versinr mitä tehty pvm/henkilö 0.73 Lunnsversi 23.4.2019 KR 1.0 Ensimmäinen julkaisuversi 12.6.2019 KR

DIGITURVAOPAS 3 (25) Sisällysluettel 1 Jhdant ja tämän ppaan tarkitus... 4 1.1 Khderyhmät... 5 2 Julkisen hallinnn digitaalisen turvallisuuden kehittämishjelma sekä JUDO-hanke... 6 2.1 JUDO-hjelman tausta ja tavitteet... 6 2.2 Väestörekisterikeskuksen asettama JUDO-hanke... 8 2.2.1 JUDO-hankkeen viisi prjektia... 8 3 Digiturvan yhteishanke... 9 3.1 Yhteishankkeen tavitteet... 9 3.2 Menetelmät...10 3.2.1 Digiturvan yhteishankkeen työpajatilaisuudet...10 3.2.2 Digiturvapas... 11 3.2.3 Prjektipas digiturvallisuuden kehittämiseksi... 11 3.2.4 VAHTI 100-sveltamis- ja arviintikehikk... 11 3.3 Hankkeen aikataulu...12 3.4 TAISTO-harjitukset... 13 4 Mistä digitaalisessa turvallisuudessa n kyse?...14 4.1 Digiturva mahdllistaa uudet digitaaliset palvelut ja timinnan digitalisaatin...14 4.2 Digitaalisen turvallisuuden sa-alueet... 15 4.3 Riskienhallinta...18 4.4 Timinnan jatkuvuus ja varautuminen... 19 4.5 Tietturvallisuus... 19 4.6 Kyberturvallisuus... 20 4.7 Tietsuja...21 4.8 Seuranta ja mittaaminen... 22 5 Erikseen humiitavia ja kehitettäviä sa-alueita...23 5.1 Oman timinnan tärkeyden ja kriittisyyden tunnistaminen...23 5.2 Timittaja- ja alihankintaketjujen ja verkstjen hallinta...23 5.2.1 Spimukset ja spimusvelvitteiden tteutumisen seuranta... 24 5.3 Henkilöstön saamisen kehittäminen... 24

DIGITURVAOPAS 4 (25) DIGITURVAOPAS JUDO-HANKE SEKÄ DIGITAALINEN TURVALLISUUS TOIMINNAN MAHDOLLISTAJANA 1 Jhdant ja tämän ppaan tarkitus Tervetula Väestörekisterikeskuksen laatiman Digiturvapas julkaisun pariin. Tämä pas n laadittu valtivarainministeriön julkaiseman Julkisen hallinnn digitaalisen turvallisuuden kehittämishjelman (JUDO) timeenpansta vastaavan JUDO-hankkeen tueksi. JUDO-hanke kstuu myöhemmin kuvattavista viidestä prjektista, jista tämä pas liittyy Digitaalisen turvallisuuden jhtamisen ja hallinnan kehittämiseen ( Prjekti 1 ). Kska digitaalinen timintaympäristömme n jatkuvassa muutksessa, niin sen tarjamien jatkuvasti kehittyvien mahdllisuuksien kuin siihen liittyvien uhkien ja riskien salta, tarvitaan jatkuvaa digiturvan kehittämistä. Sen vuksi myös tämä pas tulee päivittymään vuden 2021 lppuun saakka ulttuvan hankkeen aikana. Tässä ppaassa ja JUDO-hankkeessa krstuu sana digitaalinen, mutta ei se suinkaan tarkita sitä, että me visimme kknaan unhtaa fyysisen maailman. Digiturvallisuuden jhtamisen ja hallinnan kehittäminen julkishallinnssa tapahtuu Digiturvan yhteishankkeen avulla. Osana yhteishanketta järjestämme työpajatilaisuuksia sekä pyrimme kehittämään uudenlaisia keinja auttaa rganisaatita kehittämään digiturvallisuuden eri saalueita. 12.6.2019 Kimm Rusku Hanna Heikkinen Kirsi Janhunen Erja Kinnunen Juha Kirves Laura Penttilä - VRK Digiturvatiimi

DIGITURVAOPAS 5 (25) 1.1 Khderyhmät Alla n kuvattu JUDO-hankkeessa käytetty jattelu khderyhmiin sekä heille asetetut dtukset: - rganisaatin jht ja esimiehet ylin jht ja muut rganisaatin jhtamiseen sallistuvat henkilöt sekä esimiehet, jiden vastuulla n hulehtia rganisaatin digiturvallisuuden tteuttamisesta edellyttää tarvittavan digiturvaa kskevan ymmärryksen ja saamisen saavuttamista, mikä n yksi JUDO-hankkeen tavitteista tältä ryhmältä edellytetään myös esimerkkinä timimista - digiturvallisuuden sa-alueiden asiantuntijat digiturva kstuu viidestä sa-alueesta, mutta harvassa rganisaatissa tätä n vitu resursida siten, että jkaisella sa-alueella lisi ma vastuuhenkilö. Usein käytännön tilanne n se, että rganisaatissa n jaettu nämä rlit muutamalle eri henkilölle, jtka hitavat tehtäviä käytettävissä levan ajan ja muiden resurssien puitteissa pririsiden maa työtään. Eräs VAHTIn digiturvakyselyissä sekä asiantuntijilta saadussa palautteessa havaittu ngelma n juuri digiturvan ylläpidn ja kehittämisen niukat resurssit useimmissa rganisaatissa. rganisaatiiden kannattaa miettiä, kuinka paljn kustannustehkkaampaa lisi panstaa digiturvallisuuteen ennaklta verrattuna siihen tilanteeseen, että rganisaatissa tapahtuu merkittävästi timintaan vaikuttava tiet-, kyberturvallisuus- tai tietsujapikkeama tai tekninen häiriö. - henkilöstö tämä digiturvapas ei le khdistettu henkilöstölle vaan kahdelle edellä mainitulle khderyhmälle. Tässä ppaassa kuitenkin hjeistetaan kuinka rganisaatin henkilöstön saamista, kyvykkyyksiä ja mtivaatita tulisi kehittää. EU:n tteuttama tutkimus nstaa esille sen, että 95% digitaaliseen timintaympäristöön liittyvistä ihmisen aiheuttamista häiriöistä syntyy inhimillisen erehdyksen seurauksena. Vastaavasti VAHTIn julkisen hallinnn digiturvallisuuden kknaiskuva sittaa sen, että rganisaatiiden timintaan vaikuttavat eniten ICT-palvelututantn liittyvät häiriöt. Käytännössä nin vajaassa pulessa raprtiduista palveluluista li tapahtunut häiriö, jlla li vaikutusta sen käyttäjiin. Vastaavasti nin 25% palveluista li tapahtunut tiet-, kyberturvallisuuteen tai tietsujaan liittyvä timintaan vaikuttanut pikkeama tai lukkaus. henkilöstön saamisen kehittämistä vidaan pitää teknisen turvallisuuden hella keskeisimpänä digiturvallisuutta edistävänä timenpiteenä, jka n myös erittäin kustannustehkasta

DIGITURVAOPAS 6 (25) sana Digiturva-yhteishanketta kannustamme rganisaatiita ttamaan käyttöön ja jalkauttamaan henkilöstön turvalliseen työskentelyyn MMKTtimintamallia, jsta löytyy tarkempaa tieta myöhemmin tästä ppaasta tinen merkittävä henkilöstön saamiseen liittyvä kehittämiskhde n riskienhallinta. Valitettavan mni käyttäjä timii digitaalisessa timintaympäristössä siten, että he jk tiedstamatta tai pahimmillaan tiedstaen aiheuttavat turhia riskejä rganisaatille tai malle timinnalle jk työpaikalla työtehtäviä hitaessaan tai vapaa ajalla timiessaan. tutamme JUDO-hankkeessa digitaalisen turvallisuuden ppimisympäristön Digiturvallinen (työ)elämä, jsta löytyy mat kulutussit jkaiselle tässä luvussa kuvatulle khderyhmälle pääpainn llessa henkilöstön saamisen ja tietisuuden kasvattamisessa 2 Julkisen hallinnn digitaalisen turvallisuuden kehittämishjelma sekä JUDO-hanke 2.1 JUDO-hjelman tausta ja tavitteet Valtivarainministeriön tehtävänä n julkisen hallinnn tietturvallisuuden yleinen kehittäminen ja valtinhallinnn tietturvallisuuden hjaus. Osana tätä kehittämis- ja hjaustyötä valtivarainministeriö kerää julkisen hallinnn rganisaatiilta tieta turvallisuuden tteutumisesta sekä havaituista tai tteutuneista uhkista. Hallinnllisen tiedn hella kerätään tieta henkilöstön ja jhdn hjeistuksesta, kulutuksesta, saamisesta ja asenteista. Tätä täydennetään rganisaatiiden kriittisten palveluiden timintaa ja turvallisuuden tteutumista mittaavilla tiedilla. Tällä edistetään julkisen hallinnn tietturvallisuutta, jnka avulla pyritään mahdllistamaan turvalliset, lutettavat palvelut. Tämän tietphjan, timintaympäristössä havaittujen muutsten, ennustettavan uhkatilanteiden muutksen sekä viimeisten vusien aikana julkaistujen muiden raprttien ja hjausasiakirjjen perusteella, ennakiden tulevia lainsäädäntömuutksia, valtivarainministeriö n tunnistanut tarpeen julkisen hallinnn digitaalisen turvallisuuden kehittämishjelmalle. Sen tavitteena n varmistaa, että julkishallinnn digitaaliset palvelut timivat ja että niihin lutetaan. Tavitteen mahdllistamiseksi kehittämishjelmaan n valittu klme painaluetta, jtka vat 1) Digiturvallisuuden jhtamisen ja riskienhallinnan kehittäminen, 2) Osaava henkilöstö sekä 3) Uuden teknlgian hyödyntäminen palveluiden ja turvallisuuden tteuttamisessa. Nämä painalueet tulee ttaa humin myös tietturvallisuuteen liittyvää arkkitehtuurityötä kehitettäessä ja hyödynnettäessä. Niiden avulla ludaan ja kehitetään digiturvallista asennetta sekä mahdllistetaan uutta teknlgiaa hyödyntäviä palveluita, myös digiturvallisuuden tteuttamisessa.

DIGITURVAOPAS 7 (25) Valittujen painalueiden kehittämiseksi valtivarainministeriö tteuttaa julkisen hallinnn digitaalisen turvallisuuden timenpidehjelman vusille 2018-2021. Ohjelma kstuu viidestä timenpiteestä, jiden avulla varmistetaan painalueiden kehittyminen ja kehittämishjelman tavitteiden saavuttaminen. Väestörekisterikeskus vi täydentää JUDO-hanketta ja rganisaatiille tarjttavia kehittämishjelman khteita vusittaisen kehittämishjelman arviinnin yhteydessä. Kehittämis- ja timenpidehjelman laatimisesta ja hjaamisesta vastaa valtivarainministeriö ja sen peratiivisesta tuttamisesta julkiseen hallintn Väestörekisterikeskus, jka raprti hankkeesta valtivarainministeriölle ja VAHTIlle. Julkisen hallinnn rganisaatit vastaavat malta saltaan timenpiteiden tteuttamisesta massa timinnassaan. Kehittämishjelman avulla myös tuetaan valtivarainministeriön vastuulla levia Sumen Kyberturvallisuusstrategian ja sen timeenpan-hjelman timenpiteitä. Lisäksi niillä kehitetään julkisen hallinnn kyberturvallisuutta. Kuva 1. JUDO-hankkeella n klme keskeistä tavitetta, jista tärkeimpänä julkishallinnn palvelut timivat turvallisesti ja niihin lutetaan. Tätä edesautetaan klmen painalueen, eli jhtamisen ja riskienhallinnan, saavan henkilöstön ja uuden teknlgian tehkkaan hyödyntämisen avulla.

DIGITURVAOPAS 8 (25) 2.2 Väestörekisterikeskuksen asettama JUDO-hanke Väestörekisterikeskus asetti JUDO-hankkeen 21.12.2018 ja käynnisti sen tammikuussa 2019 digitaalisen turvallisuuden kehittämiseksi julkisen hallinnn rganisaatiissa. Digitaalinen turvallisuus käsittää viisi sa-aluetta: riskienhallinnan, timinnan jatkuvuuden ja varautumisen, tietturvallisuuden, kyberturvallisuuden sekä tietsujan. JUDO-hankkeessa hyödynnetään erilaisia, sin uudenlaisia tteutustapja sekä tietysti ppeja aiemmista hankkeista. Tavitteena n varmistaa, että julkisen hallinnn digitaaliset palvelut timivat ja että niihin lutetaan. Tätä tavitetta edistetään kehittämällä digiturvan jhtamista, henkilöstön digiturvasaamista sekä tarjamalla tukea turvallisempien palveluiden kehittämiseksi. 2.2.1 JUDO-hankkeen viisi prjektia JUDO-hankkeen viiden prjektin tehtävät vat: Prjekti 1 - Digitaalisen turvallisuuden jhtaminen ja riskienhallinnan kehittäminen Digiturvan yhteishanke Prjekti 1 auttaa rganisaatiita digiturvallisuuden jhtamisen ja riskienhallinnan kehittämisessä tarjamalla nykyaikaisia työkaluja ja malleja. Prjektissa ludaan digiturvallisuuden jhtamisen ja hallinnan käsikirja (prjektikäsikirja). Nämä viedään käytäntöön Digiturvan yhteishankkeessa työpajjen ja vusittaisten TAISTO-harjitusten avulla. Yhteishankkeessa kehitetään kaikkia digiturvan viittä sa-aluetta, mutta keskeinen, kaikkia sa-alueita yhdistävä tekijä n riskienhallinta. Organisaati pystyy itse arviimaan ja pririsimaan, mitkä sa-alueet heillä erityisesti vaativat kehittämistä. Prjekti 2 Digitaalisen turvallisuuden vaatimus- ja arviintikehikn tteuttaminen Prjekti 2 lu tietturvanrmien sveltamis- ja arviintikehikn (VAHTI 100), samalla ludaan malleja infrmaati- ja nrmihjauksen kehittämiseksi. Prjektissa tteutetaan myös verkkpalvelu, jssa kehikn materiaalit ja sveltamishjeet julkaistaan kaikkien käyttöön. Prjekti 3 - Julkisen hallinnn digitaalisen turvallisuuden kulutusjärjestelmä sekä digiturvasvellus Prjekti 3 tuttaa julkisen hallinnn digitaalisen turvallisuuden ppimisympäristön, jka kstuu kulutusjärjestelmästä sekä digiturvapelistä. Kulutusjärjestelmä tutetaan HAUSin eoppivaympäristöä hyödyntäen ja se julkaistaan kk julkisen hallinnn, sekä sittain kansalaisten ja yritysten käyttöön. Digiturvapeli valmentaa pelillisin keinin timimaan ikealla tavalla erilaisissa fyysisen ja digimaailman uhkatilanteissa. Prjekti 4 - Julkisen hallinnn digitaalisen turvallisuuden kknaiskuvan raprtinnin kehittäminen Prjekti 4 tuttaa rganisaatiiden käyttöön seurantajärjestelmän, jnka avulla rganisaati vi arviida digiturvallisuuden sa-alueiden kehittymistä. Organisaati saa raprtintiaan varten laajempaa kknaiskuvaa sen masta ja kk julkisen hallinnn tilanteesta. Seurantajärjestel-

DIGITURVAOPAS 9 (25) 3 Digiturvan yhteishanke mää tullaan hyödyntämään myös JUDO-hankkeen muissa prjekteissa, esimerkiksi vaatimustenmukaisuuden, ppimisympäristön, häiriötilanteiden ja lukkausten sekä harjitustiminnan tteutumisen seurannassa. Prjekti 5 - Digitaalisen turvallisuuden harjitussuunnitelma vusille 2019-2021 Prjekti 5 tuttaa mallin ja -suunnitelman erilaisten digitaaliseen turvallisuuteen liittyvien harjitusten kehittämiseksi ja järjestämiseksi. Tämän hella prjektissa tutetaan rganisaatiille tukipalveluita, kuten asiantuntijapalveluita, hyödynnettäväksi digiturvallisuuteen liittyvien harjitusten tteuttamiseen tai sallistumiseen. Prjekti 1 tteuttamat TAISTO-harjitukset hyödyntävät tässä prjektissa lutuja malleja. 3.1 Yhteishankkeen tavitteet Digiturvan yhteishanke n sa JUDO-hankkeen prjektia 1. Sen tavitteena n tarjta rganisaatiille erilaisia menetelmiä parantaa digiturvan viiden eri sa-alueen saamista sekä kyvykkyyttä timia turvallisemmin digitaalisessa ja fyysisessä timintaympäristössä. Samin sen tavitteena n tukea rganisaatiita muuttuvan lainsäädännön ja muiden velvitteiden sveltamisessa. Lisäksi rganisaatit vivat varmistaa digiturvallisuudessa edellytettävien prsessien timivuuden ja niiden edelleen kehittämisen yhteishankkeessa tteutettavilla TAISTO-harjituksilla. Kuva 2. Digiturvan yhteishankkeeseen sallistuvat rganisaatit pystyvät kehittämään maa digiturvallisuutta vusina 2019-2021. Kehittyminen riippuu siitä, kuinka paljn resursseja rganisaati käyttää hankkeeseen.

DIGITURVAOPAS 10 (25) 3.2 Menetelmät Digiturvan yhteishanke tteutetaan nimensä mukaisesti hankkeena, jhn julkisen hallinnn rganisaatiiden ja myös yritysten tivtaan sallistutuvan mukaan mahdllisimman kattavasti. Menetelmänä yhteishanke n hyväksi tdettu malli, jta ensimmäisen kerran käytettiin VAHTIhankkeissa 2000-luvun alkupulella lumaan valtinhallinnn rganisaatiihin keskeisiä tietturvallisuudelta edellytettäviä asiakirjja, kuten tietturvaplitiikka ja jatkuvuussuunnitelmat. Valtiknttrissa timinut Valtin IT-palvelukeskus (VIP) tteutti vusina 2011 2013 useita valtinhallinnn yhteishankkeita, jtka liittyivät tietturvallisuusasetuksen (681/2010) timeenpann. Turein, edellisiä laajempi hanke li Julkisen hallinnn tiethallinnn neuvttelukunnan (Juhta) ja VAHTIn yhdessä tteuttama yhteishanke vusina 2017-2018 tietsujan, tietturvan ja jatkuvuudenhallinnan kehittämiseksi. Hankkeeseen sallistui lähes 300 julkisen hallinnn rganisaatita. 3.2.1 Digiturvan yhteishankkeen työpajatilaisuudet Yhteishankkeen tärkein menetelmä vat työpajatilaisuudet, jtka jakaantuvat kahteen eri kknaisuuteen 1) riskienhallintaa, timinnan jatkuvuutta ja varautumista ja tietturvaa kskevat työpajat 2) tietsujaa kskevat työpajat Tällä jalla tivmme. että sallistuvat rganisaatit vivat paremmin khdistaa resurssit ikeisiin, kehittämistä vaativiin sa-alueisiin. Lisäksi sen tivtaan mahdllistavan asiantuntijiden sallistumisen masta näkökulmastaan ikeisiin työpajihin. Kuva 3. Vuden 2019 aikana järjestettävät Digiturvatyöpajat, yhteensä 9 kappaletta. Edellä luetellut työpajat käsittelevät kaikkia muita digiturvallisuuden sa-alueita, paitsi kyberturvallisuutta. Käytännössä valtasa kyberturvallisuuden kehittämiseen tarvittavasta työstä liittyy

DIGITURVAOPAS 11 (25) 3.2.2 Digiturvapas edellä mainittujen sa-alueiden kehittämiseen. Tulemme järjestämään vunna 2020 kaksi työpajaa, jissa keskitytään erityisesti kyberturvallisuuden erityispiirteisiin ja sen kehittämisessä humin tettaviin seikkihin. Tämä Digiturvapas n päivittyvä dkumentti, jta tulemme päivittämään kk yhteishankkeen ajan. Tämä ensimmäinen versi ei sisällä vielä esimerkiksi tietsujaa kskevaa sita, jka lisätään ennen 20.5. järjestettävää ensimmäistä tietsujaa käsittelevää työpajaa. 3.2.3 Prjektipas digiturvallisuuden kehittämiseksi Tämä pas sisältää yleisen jhdannn digiturvallisuuteen. Käytännön tasn kehittäminen tapahtuu hallinnllisella ja peratiivisella taslla, jita varten lemme julkaisseet erillisen prjektippaan. Myös se n päivittyvä dkumentti, jka sisältää ne sa-alueet ja aiheet, jita tulemme käsittelemään Digiturvan työpajissa. Lisäksi se sisältää hjeita ja hyviä käytäntöjä timenpiteiden jalkauttamiseksi. 3.2.4 VAHTI 100-sveltamis- ja arviintikehikk Tietturvallisuudessa yhteishanke tulee keskittymään VAHTI 100 -sveltamis- ja arviintikehikn jalkauttamiseen julkisen hallinnn rganisaatiihin. Se timii tiednhallintalain tietturvallisuuteen liittyvän säädännön knkreettisena sveltamismenetelmänä.

DIGITURVAOPAS 12 (25) Kuva 4.Digiturvayhteishankkeessa käytetään useita eri menetelmiä sen tteuttamisessa, lisäksi kartitamme myös muita uusia tapja. 3.3 Hankkeen aikataulu JUDO-hanke jatkuu vuden 2021 lppuun asti. Tulemme tteuttamaan Digiturvan yhteishankkeen samalla aikataululla seuraavasti: Vusi 2019 - yhdeksän työpajatilaisuutta 5 kpl riskienhallinta, timinnan jatkuvuus ja varautuminen sekä tietturvallisuus 4 kpl tietsuja - TAISTO19-harjitus harjituksen pääpain n riskienhallinnan sekä timinnan jatkuvuuden ja varautumisen edellyttämien prsessien ja suunnitelmien timivuus samalla varmistetaan myös henkilötietjen tietturvalukkaustilanteissa tarvittavien prsessien ja hjeiden timivuus Vusi 2020

DIGITURVAOPAS 13 (25) - yhdeksän työpajatilaisuutta - 1 kpl riskienhallinta sekä timinnan jatkuvuus ja varautuminen - 4 kpl tietturvallisuus - 1 kpl kyberturvallisuus - 3 kpl tietsuja - TAISTO20-harjitus harjituksen sisältö määritellään myöhemmin Vusi 2021 Arviimme työpajatilaisuuksien määrän ja sisällön vuden 2020 tteuman, digiturvakyselyiden vastausten ja asiakkaiden tiveiden perusteella - TAISTO21-harjitus kk yhteishankkeen kattava lppuharjitus harjituksen sisältö määritetään myöhemmin 3.4 TAISTO-harjitukset Väestörekisterikeskus tteutti vunna 2018 sana Juhta/VAHTI-yhteishanketta TAISTO18-harjituksen; tietturva- ja tietsujalukkaustilanteiden hallinnan harjituksen. Tähän yksipäiväiseen harjitukseen sallistui 234 julkisen hallinnn rganisaatita. Kaikkiaan harjitukseen ja siihen valmistautumiseen käytettiin yli 4200 henkilötyöpäivää, ja siihen sallistui yli 2200 julkisen hallinnn jhtajaa ja asiantuntijaa. Palautekyselyn perusteella harjitus nnistui sekä siihen sallistuneiden rganisaatiiden että VRK:n tteuttamien järjestelyiden salta erittäin hyvin, jten TAISTO-knsepti n valittu myös Digiturvan yhteishankkeen harjitusmalliksi. Organisaatit vivat tutustua TAISTO18-harjituksen raprttiin alla levasta linkistä. Lisäksi Väestörekisterikeskus n julkaissut kaiken harjituksessa tutetun materiaalin vapaasti kaikkien käyttöön. Mikä tahansa rganisaati vi tteuttaa vastaavanlaisen harjituksen TAISTO18-harjitukseen ludun skenaarin, syötteiden ja tukimateriaalien avulla. TAISTO-harjituksen materiaalit saa käyttöönsä täyttämällä alla levan linkin takaa löytyvän yhteistietlmakkeen. TAISTO18-harjituksen harjitusraprtti https://vrk.fi/dcuments/2252790/9592142/taisto18-harjitusraprtti.pdf/defadfa4-aeea- 29c0-afe8-b9d200b56e67/TAISTO18-harjitusraprtti.pdf.pdf TAISTO18-harjituksen materiaali https://www.lyyti.in/taistoharjituksen_materiaalit latauslinkin_tilaus_1560

DIGITURVAOPAS 14 (25) 4 Mistä digitaalisessa turvallisuudessa n kyse? 4.1 Digiturva mahdllistaa uudet digitaaliset palvelut ja timinnan digitalisaatin Valtivarainministeriö n ttanut VAHTI-timinnassa asteittain käyttöön digitaalisen turvallisuuden käsitteen. VAHTI-timinta keskittyi vuteen 2013 saakka tietturvallisuuden kehittämiseen, timikaudelle 2014-2016 timintaa laajennettiin kyberturvallisuuteen ja timikaudelle 2017-2019 digitaaliseen turvallisuuteen. Samalla tämä kuvaa hyvin timintaympäristössä tapahtunutta muutsta; tietturvallisuuden klmen ulttuvuuden eli timinnan ja tietjen luttamuksellisuuden, eheyden ja saatavuuden hella entistä tärkeämmäksi n tullut hulehtia kybertimintaympäristön turvallisuudesta. Kska digitalisaati n laajentunut viime vusina yhteiskunnassa, elinkeinelämässä, mutta myös ktna ja vapaa-ajalla tapahtuvaan timintaan, n myös VAHTI-timinnassa käyttöön termi digitaalinen turvallisuus tai digiturvallisuus. Se sisältää myös entistä keskeisemmässä rlissa levan tietsujan, jka mahdllistaa henkilötietjen käsittelyn turvallisesti digitaalisessa timintaympäristössä. Vaikka tässä pääpain n digitaalisessa timintaympäristössä, digiturvallisuuden tteuttaminen edellyttää myös fyysisen maailman humiimista. Sekä digitaaliseen timintaympäristöön khdistuvien uhkien että digimaailmasta fyysiseen ympäristöön khdistuvien uhkien ja riskien tunnistaminen ja hallinniminen n tärkeää. Nykyaikana fyysisen ja virtuaalisen maailman erttaminen tisistaan n entistä haasteellisempaa. Kun ATK:n ja ICT:n aikakaudella, 1980-luvulla ja 2000-luvun alussa, siirryttiin hyödyntämään uuden teknlgian tarjamia palveluita, tuskin kenelläkään li käsitystä siitä, miten tärkeiksi tietturvallisuudesta hulehtiminen ja timinnan jatkuvuuden varmistaminen tulisivat ja nyt laajemmin digiturvallisuudesta hulehtiminen. Esimerkiksi internet-verkn perusperiaate n llut timia mahdllisimman avimena tiednvälityskanavana, jhn ei alun perin suunniteltu mitään tietturvaminaisuuksia. Sama kskee mnta muutakin teknlgiaa, kuten sujaamatnta sähköpstiviestintää. Nykyään tietturvallisuutta pitää tteuttaa siten, että se n sisäänrakennettu saksi kaikkea timintaa. Käsitteet security by design, henkilötietjen käsittelyssä privacy by design sekä rbtisaatissa safe by design kuvaavat niitä keskeisiä periaatteita, jiden phjalta uudet palvelut ja timinnt tulisi suunnitella. Digitalisaatin, ja sen rinnalla tekälyyn ja rbtisaatin liittyvät innvaatit ja kehittämiskhteet vat nyt keskiössä kaikilla yhteiskunnan alilla ja tasilla, sekä työhön liittyvissä että vapaa-ajan palveluissa. Kaikkeen uuden teknlgian käyttöönttn liittyy uusia ja sin tuntemattmia riskejä. Miten vimme varmistua esimerkiksi siitä, että autnmisesti kehittyvä keinäly tekee ikeita päätöksiä? Mistä tiedämme, että ktna levat internet-verkkn kytketyt laitteet eivät vuda tietja ulkpulisille tai niitä ei käytetä palvelunesthyökkäyksiin? Entä kun rbtiikka leviää itsenäisesti kulkeviin autihin ja ilmassa alkaa lennellä esineitä kuljettavia miehittämättömiä aluksia? Nykyistä tärkeämmässä rlissa tulevaisuuden turvaamisessa n uhkien tunnistaminen ja riskienhallinta. Uusi teknlgia tarjaa meille entistä npeammin uudenlaisia mahdllisuuksia. Vastaavasti, tietverkkriklliset ja muut väärinkäyttäjät pystyvät kehittämään maa timintaansa uuden teknlgian mahdllistamana. Emme vi kskaan saavuttaa 100 %:n turvalli-

DIGITURVAOPAS 15 (25) suutta, mutta miten vimme määrittää riittävän tai ikean tasn? Vimmek lettaa, että nykyinen tas n spiva js emme le jutuneet merkittävien tiet- tai kyberturvallisuuspikkeamien tai -hyökkäysten khteeksi? Tätä n mahdtnta arviida ilman uhkien tunnistamista ja niihin liittyvien riskien arviintia. Jka tapauksessa meidän täytyy kehittää riskintthalukkuutta ja - kyvykkyyttä, kska se mahdllistaa erilaiset kkeilut sekä myös kkeiluissa epännistumisen, js havaitsemme etukäteen mietityn ja svitun riskitasn ylittyneen. Epännistuminen n siis sallittua, kunhan se tapahtuu hallitusti ja perustuu ennalta svittuihin mittareihin ja riskitasn. 4.2 Digitaalisen turvallisuuden sa-alueet Digitaalinen turvallisuus kstuu seuraavista viidestä sa-alueesta: 1) Riskienhallinta 2) Timinnan jatkuvuus ja varautuminen 3) Tietturvallisuus 4) Kyberturvallisuus 5) Tietsuja Kuva 5. Digitaalinen turvallisuus kstuu viidestä sa-alueesta; termi tulee nähdä eräänlaisena päätasn sateenvarjna, jka kattaa kuvassa näkyvät turvallisuuden sa-alueet. Näiden termien tarkka määrittäminen n hankalaa ja sin mahdtnta, kska niitä vidaan tarkastella eri näkökulmista riippuen esimerkiksi siitä, mitä niillä halutaan sujata.

DIGITURVAOPAS 16 (25) Esimerkiksi kyberturvallisuus n merkittävä sa-alue yhteiskunnan turvallisuudelle elintärkeiden timintjen turvaamisessa. Tisaalta kyberturvallisuuteen vaikuttamista käytetään hybridivaikuttamisessa, jssa yhdistyvät erilaiset pliittiset, taludelliset, tekniset, humanitaariset ja stilaalliset keint. Mediassa kaikkia digitaaliseen timintaympäristöön khdistuvia häiriöitä ja lukkauksia kuvataan herkästi kyberturvallisuuteen liittyviksi. Kyberturvallisuuden tteutuminen edellyttää tietjen saatavuuden, eheyden ja, js kyseessä n salassa pidettävää tieta, luttamuksellisuuden tteuttamista siis tietturvallisuudesta hulehtimista. Timinnan sujaaminen vaatii ennaklta praktiivista varautumista ja häiriöiden tai lukkausten tapahtuessa ennakkn laadittujen suunnitelmien mukaista aktiivista timintaa siis timinnan jatkuvuudesta ja varautumisesta hulehtimista. Käsiteltävä tiet vi lla henkilötieta, jka siksi edellyttää tietsujan humiimista. Kaikki edellä mainittu tulisi perustua timintamalliin, jhn kuuluu uhkien tunnistaminen, riskien arviiminen ja niihin perustuva suunnitelmallinen riskienhallinta. Riskienhallinnan yhteydessä tulee tunnistaa myös timinnan kehittämiseen liittyviä uusia mahdllisuuksia, etenkin rganisaatiiden kehittäessä maa ydin-tai liiketimintaansa. Edellä kuvatut sa-alueet vidaan jakaa myös tisella tavalla neljään eri näkökulmaan, jita vat glbaali timintaympäristö, yhteiskunta, rganisaati sekä kansalainen ja/tai henkilöstö. Kuva 6. Digitaalisen turvallisuuden sa-alueet vidaan nähdä myös glbaalissa timintaympäristössä, jssa häiriöt, mutta myös mahdllisuudet heijastuvat yhteiskuntaan, rganisaatiihin, henkilöstöön ja kansalaisiin. Kyberturvallisuus näyttäytyy sa-alueena, jlla edellä mainituista n ainana selkeä, merkittävä glbaali vaikutus. Kyberturvallisuudesta n mudstunut myös merkittävä pliittinen kknaisuus. Sen tteuttaminen kansallisella taslla edellyttää myös muiden turvallisuuden sa-alueiden tteuttamista yhteiskunnan, mutta ennen kaikkea rganisaatiiden, henkilöstön ja kansalaisten taslla.

DIGITURVAOPAS 17 (25) Vieläkin n rganisaatiita tai henkilöitä, jtka ajattelevat, että kyberturvallisuus n asia, jka ei kske meitä. Timiessamme alati verkstituvassa, yhä mnimutkaistuvassa, lukuisia ja sin tuntemattmia riippuvuussuhteita sisältävässä timintaympäristössä, kknaisuuden turvaamisessa tarvitaan meitä kaikkia. Julkisen hallinnn tuttamien palveluiden ja timinnan perusedellytys n luttamuksen säilyttäminen kaikkeen sen timintaan. Timintaympäristön digitalisitumisen myötä tarvitaan kknaisvaltaisempi malli luttamuksen edellyttämän turvallisuuden tteuttamiseen. Tämän jhdsta julkisen hallinnn rganisaatiiden turvallisuutta kehitetään aiemmassa kuvassa levan digitaalisen turvallisuuden kehittämisen mallin avulla. Tämä n edellytys, mutta myös mahdllistaja sille, että pystymme myös 2020-luvulla hulehtimaan tuttamiemme palveluiden lutettavasta ja turvallisesta timinnasta. Se n myös edellytys keskeisessä rlissa levan luttamuksen säilyttämiselle. Kuva 7. Digitaalisen turvallisuuden sa-alueet sijitettuna saksi rganisaatin peratiivista timintaa. Organisaatin digiturvallisuutta kehitettäessä tulee humiida, että jkaisella rganisaatilla n eri lähtökhdat timinnan turvaamiseen ja sujaamiseen. Kuvassa 6 n nstettu erikseen esille rganisaatin timintaympäristön sekä timinnan kriittisyyden ja tärkeyden arviiminen. Jkaisessa rganisaatissa n kriittisyydeltään ja tärkeydeltään eriasteisia palveluita ja prsesseja, jiden timinnan turvaaminen pitää phjautua tehtyyn arviintiin. Samin tulee hulehtia siitä, että erityisesti rganisaatin timinnan kannalta kriittisten palveluiden ja prsessien uhkia ja riskejä arviidaan ja hallitaan timinnan edellyttämällä taslla. Kriittisten palveluiden riskien arviinnin tulisi lla säännöllistä, ei kertalunteista. On selvää, että rganisaatin ei-kriittiset palvelut ja prsessit eivät edellytä yhtä paljn digiturvallisuuden eri sa-alueista hulehtimista. Nykyaikana entistä haasteellisemmaksi n tullut palveluiden ja prsessien välisten riippuvuuksien tunnistaminen sekä palveluiden taustalla timivien, mahdllisesti hyvinkin mnimutkaisten alihankinta- ja timittajaverkstjen hallinta. Palveluiden ja prsessien turvaamistimet pitää pririsida niille määritetyn kriittisyyden mukaan. Digiturvan yhteishanke tarjaa rganisaatiiden käyttöön prsessin ja työkalun palveluiden ja prsessien kriittisyyden ja tärkeyden arviimiseen.

DIGITURVAOPAS 18 (25) 4.3 Riskienhallinta Kun timintaympäristö, timinnan kriittisyys sekä uhkat n tunnistettu ja riskit saatu hallintaan, rganisaati vi hulehtia timinnan vaatimusten edellyttämällä tavalla tietturvallisuudesta, tietsujasta sekä timinnan jatkuvuudesta ja varautumisesta häiriö- ja pikkeamatilanteisiin. Mikäli edellä kuvattua arviintia ei tehdä, kaikki palvelut ja prsessit tteutetaan samanlaisilla turvamekanismeilla, jtka jk vat yli- tai alimititettuja ajatellen sujattavaa khdetta. On ngelmallista, että rganisaati jk maksaa liikaa turvallisuudesta tai vaihtehtisesti jättää sen liian hunlle taslle. Kuten lemme j aiemmin tdenneet, ei le lemassa 100% turvallisuutta tai palveluiden lutettavuutta. Organisaatin tulee varautua ennalta, timinnan kriittisyys ja tärkeys humiiden, palveluiden häiriöihin sekä mahdllisiin lukkauksiin ja pikkeamiin. Tämä tapahtuu rganisaatin sisällä digiturvallisuuden eri sa-alueiden avulla. Ulkpuliset timittajat ja alihankkijat situtetaan digiturvallisuuden tteuttamiseen spimuksin, jissa n tettu humin timinnan kriittisyys ja asetettu vaatimukset sen mukaisesti. Kriittisten ja tärkeiden palveluiden salta edellytetään krkean käytettävyyden ja vikasietisuuden saavuttamiseksi kehittyneempiä menetelmiä kuin ei-kriittisillä palveluilla, jissa esimerkiksi useamman tunnin tai jpa vurkauden timimattmuus ei vielä aiheuta rganisaatille tai sen asiakkaille merkittävää ngelmaa. Digiturvallisuuden tteuttamisessa keskeisessä rlissa n myös havainninti- ja reagintikyvyn kehittäminen. Kriittisten palveluiden salta edellytetään tyypillisesti 24/7-valvntaa ja kykyä reagida pikkeamiin, kun taas ei-kriittisille palveluille saattaa riittää arkisin virka-aikaan tapahtuva reaginti. Kun häiriöitä ja pikkeamia jka tapauksessa tapahtuu, rganisaatissa tulee lla prsessien ja palveluiden kriittisyyden mukaiset menetelmät tipua erilaisista häiriö- ja vikatilanteista sekä pikkeamista. Myös niissä tulee humata, että ylimitittamalla rganisaati aiheuttaa ylimääräisiä kustannuksia ja vastaavasti alimitittamalla se vi aiheuttaa palvelulle suunniteltua pitempiä katkja tai häiriöitä. Riskienhallinta n merkittävässä rlissa; js rganisaatissa tapahtuu jkin häiriö tai pikkeama, se tarkittaa jnkin jk tunnetun tai tuntemattman uhkan aiheuttaman riskin tteutumista. Ongelman laajuudesta ja vaikutuksesta riippuen rganisaatin tulee arviida miksi kyseinen riski n päässyt tteutumaan ja millaisia krjaavia timenpiteitä tarvitaan, jtta tilanne ei pääse tistumaan. Digitaalisen turvallisuuden, muun muassa tiet- ja kyberturvallisuuden sekä tietsujan, yksi tärkeimmistä prsesseista n ikein tteutettu ja timiva riskienhallinta. Riskienhallinta n nussut entistä tärkeämmäksi, kun turvallisuuden eri sa-alueiden merkitys n kasvanut. Tähän vat vaikuttaneet niin timinnan digitalisaati, teknlgian tarjamat uudet mahdllisuudet kuin myös npeasti kehittyneet uudenlaiset uhat ja riskit. Ilman timivaa riskienhallintaa vaarana n, että rganisaati ei tunnista tavitteidensa saavuttamista uhkaavia tai sen jkapäiväiseen timintaan liittyviä merkittäviä uhkia ja ettei se saa niitä hallintaan. Lisäksi riskienhallinta timii erinmaisena työvälineenä, kun rganisaati kehittää turvallisuutta parantavia prsesseja, timenpiteitä ja palveluita. Riskienhallinta parantaa kustannustehkkuutta, kun kehittäminen vidaan hjata aidsti sellaisten asiiden tteuttamiseen, jilla n merkittävä vaikutus jnkun tunnistetun riskin tdennäköisyyden tai vaikutuksen pienentämiseen. Riskienhallinnassa tulee pyrkiä myös (psitiivisten) mahdllisuuksien tunnistamiseen,

DIGITURVAOPAS 19 (25) kska niiden hyödyntämättä jättäminen vi mudstaa uhkan esimerkiksi rganisaatin timinnan kehittämiselle tai tavitteiden saavuttamiselle. Tästä hyvä esimerkki n uuden teknlgian tarjamat mahdllisuudet, jtka tulisi nähdä merkittävinä timinnan kehittäjinä ja mahdllistajina. Digitalisaatissa n kuitenkin sattava tunnistaa myös siihen liittyviä uhkia. Digiturvan yhteishankkeessa keskeisin kehitettävä sa-alue ja kyvykkyys n riskienhallinnan laaja-alainen hyödyntäminen. Riskienhallinnan merkitys n kasvanut myös siksi, että erilaisiin turvavaatimuksiin liittyy yhä enemmän tapauskhtaista harkintaa. Vaatimuksien tteutumista ei vi tarkastella mustavalkisesti (kyllä tai ei, täyttyy tai ei täyty), vaan rganisaatin täytyy kyetä arvimaan timintaan ja vaatimuksiin liittyviä riskejä kknaisvaltaisesti. Kaikkea ei le mahdllista, järkevää ja tarkituksenmukaista tteuttaa ehdttman turvallisesti, vaan tteutuksiin täytyy sveltaa lemassa levaa, timivaa riskienhallintaa. Organisaatissa tarvitaan siis kykyä ttaa riskejä, hyväksyä jäännösriskejä sekä varmistaa hallinnassa levien riskien svittujen krjaustimenpiteiden tteuttaminen suunnitellusti. Digiturvan yhteishankkeessa käsitellään yleisesti riskienhallinnan merkitystä jhtamisen ja päätöksenten välineenä. Siinä hyödynnetään VAHTI-hjetta riskienhallintaa (VM 22/2017). Ohjeen pääpain n ISO 31000 riskienhallintastandardiin phjautuvan prsessin tteuttamisessa. Tivmme, että jkainen rganisaati tarkistaa riskienhallintaprsessinsa ja kehittää sitä tarvittaessa tämän hjeen ja Digiturva-yhteishankkeen mallien perusteella. VAHTI-hjeen yhteydessä n julkaistu erillinen liiteasiakirja, jka sisältää lukuisia käytännön esimerkkejä riskienhallinnan kehittämiseksi ja tteuttamiseksi. Riskienhallinta tulee nähdä ensisijaisesti jhdn työkaluna rganisaatin tavitteiden saavuttamisen sekä nrmaalin timinnan turvaamisen mahdllistajana. 4.4 Timinnan jatkuvuus ja varautuminen 4.5 Tietturvallisuus Tdennäköisesti jkainen meistä n havainnut, vähintään median välityksellä, kuinka työ- ja vapaa-ajalla käytössä levien ICT-palveluiden häiriöt vat yleistyneet. Valtasa häiriöistä liittyy nrmaaleihin ICT-palvelututannn ngelmiin. Sen sijaan tiet- tai kyberturvallisuuteen liittyvät vakavat tietturvapikkeamat vat edelleen harvinaisia, vaikka niiden määrä nkin viime aikina nussut selvästi. Riskienhallinnan lisäksi tinen merkittävä jhtamisen sa-alue n häiriötilanteisiin varautuminen, riippumatta häiriöiden aiheuttajasta. Häiriötilanteiden hallintaan liittyvillä prsesseilla rganisaati vi varautua erityyppisiin, niin ICT-timinnasta, lunnnilmiöistä, inhimillisestä timinnasta kuin tiet- tai kyberturvallisuudesta syntyviin häiriöihin. Häiriötilanteiden hallinnan ja jhtamisen tulisi lla samankaltaista riippumatta häiriön aiheuttajasta. Organisaatin pitää hulehtia tarvittavasta, timinnan kriittisyyden mukaisesta, varautumisesta kaikissa timintaa uhkaavissa turvallisuustilanteissa, myös pikkeuslissa, mikäli rganisaatilla n siihen liittyviä velvitteita. Varautuminen n edellytys sille, että pystymme jatkamaan timinnan digitalisaatita ja laajentamaan sitä yhteiskunnan eri sa-alueille sekä hyödyntämään uuden teknlgian tarjamia mahdllisuuksia entistä laajemmin ja tehkkaammin. Tietturvallisuus näkyy käyttäjälle tai asiakkaalle, kun hän käyttää palveluita tai kun hänen tietjaan käsitellään. Tietturvallisuuden pitäisi näkyä käyttäjälle vain tunteena sekä tietna siitä,

DIGITURVAOPAS 20 (25) 4.6 Kyberturvallisuus että hänen käytössään levat palvelut vat turvallisia ja että hänen tietjaan käsitellään vaatimusten mukaisesti. Tinen humiitava näkökulma n tietturvallisuuden tteuttaminen jkaisen henkilön päivittäisessä työssä. Se näyttäytyy siinä, miten käyttäjää n hjeistettu ja kulutettu timimaan työympäristössä - niin työpaikalla, työmatkalla kuin etätyössä. Jatkssa henkilöstön tietturvasaamisen merkitys krstuu entisestään, jten heille n hjeistettava ja kulutettava turvallisia timintatapja yhä aktiivisemmin. VAHTIn henkilöstön ja jhdn tietturvabarmetrien 2016 (linkki: http://julkaisut.valti-neuvst.fi/handle/10024/79060) ja 2017 (linkki: http://julkaisut.valtineuvst.fi/handle/10024/160944) tulkset sittavat, että rganisaatiilla n vielä merkittävästi kehitettävää henkilöstön tietturvahjeistuksessa ja kulutuksessa. Tiedttamisessa ja kulutuksessa n kiinnitettävä enemmän humita myös timintaan khdistuviin, npeasti ilmestyviin uusiin uhkiin ja riskeihin. Tietturvallisuuden avulla hulehditaan käsiteltävien tietjen, niiden taustalla timivien tietjärjestelmien tai muiden sujattavien khteiden (kuten henkilöstö, timitilat) saatavuudesta ja eheydestä. Mikäli kyse n salassa pidettävästä tiedsta, n hulehdittava myös tiedn luttamuksellisuudesta eli salassapidsta. Tämä tarkittaa, että timintaympäristö täyttää salassa pidettävän tiedn käsittelyltä edellytettävät vaatimukset tiedn, teknlgian, timitila- ja henkilöstöturvallisuuden salta. Timinnan digitalisaatin myötä n krstunut myös saatavuuden ja eheyden merkitys, tässä pari esimerkkiä. Www-sivustt sisältävät pääsin julkista tieta, jten tiedt n tarkitettu kaikille eikä niiden luttamuksellisuudella le merkitystä. Js rganisaatilla n merkittävä yhteiskunnallinen tehtävä, palvelun saatavuus ja siellä levan tiedn eheys vi kuitenkin lla tärkeää rganisaatin malle, asiakkaiden tai sidsryhmien timinnalle. Sivujen saatavuudella ei kuitenkaan le erityisen suurta merkitystä, js ne sisältävät vain yhteystiedt ja staattiset perustiedt timinnasta. Nämä tiedt n mahdllista saada selville myös muualta. Entä sinun veriryhmäsi? Nrmaalisti varmasti riittää, että sinä tai lähisukulaisesi tietävät sen. Mutta js judut yllättäen tajuttmana sairaalahitn, veriryhmäsi pitää pystyä selvittämään npeasti. Tällöin n äärimmäisen tärkeää, että sairaalan tietjärjestelmässä leva tiet n ikein tai että se pysyy siellä muuttumattmana (tiedn eheys) ja että se saadaan esiin järjestelmästä (saatavuus). Veriryhmä vi lla salassa pidettävä tiet, mutta tässä tapauksessa sen saatavuus ja eheys hittavat salassapitvaatimuksen (luttamuksellisuus). Tiedn luttamuksellisuuden (salassapidn) merkitys kasvaa, js asiakirjan tai siihen sisältyvän tiedn ikeudetn paljastuminen tai käyttö vi aiheuttaa vahinka kansainvälisille suhteille, valtin turvallisuudelle, maanpulustukselle tai muulle yleiselle edulle viranmaisten timinnan julkisuudesta annetun lain 24 :n 1 mmentin 2 ja 7-10 khdassa tarkitetulla tavalla; tällöin kyseessä n edellä mainituin perustein turvallisuuslukiteltu tiet. 1.1.2020 vimaan astuvassa tiednhallintalaissa turvallisuuslukittelu tulee kskemaan vain valtinhallinnn rganisaatiita. Tulemme käsittelemään turvallisuuslukitteluun liittyvää, valtivarainministeriön antamaa asetusta sana Digiturva-yhteishanketta vuden 2020 aikana. Kyberturvallisuudesta n puhuttu aktiivisesti muutaman vuden ajan. Sumen kyberturvallisuusstrategiassa (2013) asetetaan visi ja määritetään kymmenen strategista linjausta visin tavitetilan mahdllistamiseksi. Parhaillaan valmistelussa leva uusi Kyberturvallisuusstrategia 2019 jatkaa ensimmäisen linjittamaa työtä.

DIGITURVAOPAS 21 (25) 4.7 Tietsuja Kyberturvallisuus sisältää tietturvallisuuden, jssa hulehditaan tiedn, timinnan tai muun sujattavan khteen saatavuudesta, eheydestä ja salassa pidettävien tietjen salta luttamuksellisuudesta. Lisäksi se sisältää muita sähköisessä ja digitaalisessa maailmassa tarvittavia saalueita, kuten fyysisiä rakenteita ja henkilöstöä. Sumen kyberturvallisuusstrategiassa määritetään kybertimintaympäristö, jka n sähköisessä mudssa leva infrmaatin (tiedn) käsittelyyn tarkitettu, yhdestä tai useammasta tietjärjestelmästä mudstuva timintaympäristö. Kyberturvallisuudella tarkitetaan tavitetilaa, jssa kybertimintaympäristöön vidaan luttaa ja jssa sen timinta turvataan. Digitaaliseen, vahvasti ICT:n varaan rakennettuun timintaympäristöön khdistuu erilaisia kyberuhkia. Ne vat tietturvauhkia, jtka tteutuessaan haittaavat tietjärjestelmän kautta myös yhteiskunnan timintaa. Tiet- ja kyberturvallisuus eravat tisistaan siinä, että tietturvallisuus painttaa khteen saatavuuden, eheyden ja luttamuksellisuuden takaamista, kyberturvallisuus taas vaikuttaa kybertimintaympäristöön (ICT) ja sitä kautta laajemmin sen käyttäjiin, esimerkiksi yhteiskunnan timintaan. Hyökkäämällä virtuaaliseen, digitaaliseen maailmaan vidaan esimerkiksi katkaista sähkönjakelu tai verkkliikenne ja siten vaikuttaa suraan fyysiseen arkeemme. Tietturvallisuus sekä timinnan jatkuvuus ja varautuminen vat merkittävissä rleissa kyberturvallisuuden takaamisessa, mutta ne eivät yksin riitä. Hyvä esimerkki kyberturvallisuuteen liittyvästä uhkasta n infrmaativaikuttaminen (trllaus), jta ei vi ikeastaan mitenkään liittää tietturvallisuuteen, mutta laajemmassa mittakaavassa se n yksi kein vaikuttaa käyttäjiin, kansalaisiin ja kk yhteiskuntaan. Myös lunnnilmiöitä n aika hankala liittää suraan tietturvallisuuteen, mutta kuka tahansa vi parantaa maa kyberturvallisuuttaan esimerkiksi varautumalla lyhyisiin sähkökatkihin ktna kynttilöillä sekä paristkäyttöisillä lampuilla ja radilla. Kyberturvallisuus n erittäin laaja käsite ja se vidaan ymmärtää usealla eri tavalla. Keskeistä kyberturvallisuudessa n kuitenkin sen liittyminen eri tavilla sähköisessä mudssa timivien timintaympäristöjen turvaamiseen. Niiden lisäksi siihen liittyy myös analgisia, manuaalisia tai muita inhimillisiä tekijöitä tai sa-alueita. Kaikki tietturvallisuuden tai timinnan jatkuvuuden ja varautumisen turvaamiseksi tehtävä työ vidaan nähdä kyberturvallisuuden parantamisena. Kaikkea kyberturvallisuuteen liittyvää työtä ei vida kuitenkaan yhdistää suraan tietturvallisuuden edistämiseen. Tietsuja ja tietturva käsitteinä menevät edelleen usein sekaisin. Tietsuja tarkittaa yksilön (henkilön) yksityisyyden ja luttamuksen turvaamista, käytännössä henkilötietjen sujaamista ja niiden ikeappista käsittelyä. Tietsujan tteuttaminen edellyttää tietturvallisuuden tteutumista, eikä siihen vaikuta se käsitelläänkö tietja paperilla, digitaalisesti vai jssain muussa mudssa. EU:n yleistä tietsuja-asetusta alettiin sveltamaan 25.5.2018, ja kansallinen tietsujalaki astui vimaan 1.1.2019. Säädäntö paransi merkittävästi kansalaisten ikeuksia ja mahdllisuuksia digitalisituvassa yhteiskunnassa ja palveluissa. Asetus ti myös rekistereistä vastaaville, eli rekisterinpitäjille ja tietjen käsittelijöille, uusia mahdllisuuksia mutta myös uusia lisävelvitteita.

DIGITURVAOPAS 22 (25) Osa velvitteista liittyy tietturvallisuuteen, jten tietsujaa parantavalla lainsäädännöllä vaikutetaan myös henkilötietjen käsittelyn tietturvallisuuteen. Vaikka velvitteet kskevat henkilötietjen käsittelyä, niin niitä n susiteltavaa sveltaa kaikkeen tietjenkäsittelyyn, kska sillin ne vidaan sisällyttää kaikkeen rganisaatin timintaan. Tietsujan merkitys tulee kasvamaan tulevaisuudessa, kska judumme käsittelemään ja hyödyntämään yhä enemmän henkilötietja eri palveluissa. Digiturvan yhteishankkeessa järjestetään vunna 2019 neljä pelkästään tietsujaan liittyvää työpajatilaisuutta, jiden sisältö rakennetaan sallistuvien rganisaatiiden tarpeiden sekä Digiturvakyselyssä esille nusseiden kehittämisalueiden phjalta. 4.8 Seuranta ja mittaaminen Mikäli rganisaatin vastuulla n merkittäviä, kk yhteiskunnan timinnan kannalta kriittisiä palveluita, niiden turvallisuuden säännönmukainen arviinti sana vaatimustenmukaisuuden sittamista n tärkeää. Tietsujaa kskevien vaatimusten merkitys tulee krstumaan, jten myös tietsujan mittaaminen ja vaatimustenmukaisuuden sittaminen (situsvelvllisuus, accuntability) kannattaa sita saksi rganisaatin vaatimusten hallintaa ja arviintia. JUDO-hankkeen prjektissa 4 kehitämme rganisaatiiden käyttöön palvelun digiturvallisuuden vaatimustenmukaisuuden seurantaan ja mittaamiseen. Palvelun avulla rganisaati vi itse seurata eri sa-alueiden kehittymistä ja näin tunnistaa ja pririsida kehittämistimenpiteitä. Vastaavasti Väestörekisterikeskus mudstaa palvelun avulla kknaiskuvaa kk julkisen hallinnn tilanteesta ja pystyy sen perusteella tarjamaan palveluita ja khdistamaan Digiturvan yhteishankkeessa läpikäytäviä kknaisuuksia vusina 2020-2021.

DIGITURVAOPAS 23 (25) 5 Erikseen humiitavia ja kehitettäviä sa-alueita Nstamme tähän lukuun erityisesti sellaisia keskeisiä digiturvallisuuteen liittyviä sa-alueita, jtka lemme tdenneet tärkeiksi kaikkien digiturvallisuuden viiden sa-alueen kehittämisessä. Nämä vat myös niitä sa-alueita, jita tulemme tässä Digiturva-yhteishankkeessa krstamaan vusien 2019-2021 aikana. Esimerkkinä tämän digiturvakäsikirjan päivittymisestä, tämä sa-alue tulee päivittymään j vuden 2019 aikana sekä myös vuden 2020 salta. Tämä myös sin kuvastaa tarvetta reagida timintaympäristössä tapahtuviin muutksiin ja ilmiöihin entistä npeammin, jnka jhdsta nstamme tähän lukuun tällaisia sa-alueita. 5.1 Oman timinnan tärkeyden ja kriittisyyden tunnistaminen Yksi kk ei svi kaikille n hyvä tteamus, jta vidaan sveltaa myös digiturvan eri sa-alueisiin sekä myös niiden sisällä. Käytännössä tämä tarkittaa sitä, että jkaisessa rganisaatissa n erilaisia tarpeita sen man timinnan salta tteuttaa ja kehittää digiturvallisuuden eri saalueita. Tässä keskeiseen rliin nusee menetelmät, jilla rganisaatin timinnan tärkeyttä ja kriittisyyttä tarkastellaan eri rleissa, esimerkiksi sen man timinnan, sen mahdllisten asiakkaiden ja sidsryhmien sekä myös yhteiskunnan timinnan näkökulmasta. Mitä kriittisemmästä timinnasta tai ICT-palvelusta n kyse, sitä tärkeämpää n keskittyä hulehtimaan näiden vaatimustenmukaisesta digiturvallisuuden tteutumisesta. Vastaavasti ei niin tärkeät ja kriittiset palvelut ja prsessit vidaan tteuttaa vähimmäistasn vaatimusten mukaisesti. Käytännössä tämä tarkittaa sitä, että rganisaatin tulee pririsida sen timintaan liittyvät palvelut ja prsessit esimerkiksi klmelle eri taslle, jka samalla hjaa niiden digiturvallisuuteen liittyvää kehittämistä. Olemme käsitelleet tätä Digiturvan yhteishankkeen työpajissa 1/2019 ja 372019 sekä julkaisseet tätä varten Palk-työkalun arviinnin surittamiseksi. Tämän tärkeyden ja kriittisyyden hella digiturvan kehittämistä ja tteuttamista hjaa myös lainsäädäntö sekä muut timintaa hjaavat velvitteet. Käytännössä vähimmäis- tai minimitas syntyy lainsäädännön ja muiden velvitteiden hjaamana, jtka rganisaatin ja sen tuttamien tai käyttämien palveluiden tulee täyttää. Osana Digiturvan yhteishanketta rganisaatin tulee varmistaa, että se n lukitellut sen timintaan liittyvien palveluiden ja prsessien tärkeyden. Tarjamme tätä varten yhteishankkeessa prsessin ja työkalun, jnka avulla tämä pririsinti vidaan tteuttaa. 5.2 Timittaja- ja alihankintaketjujen ja verkstjen hallinta Yhä suurempi sa rganisaatin tuttamista ICT-palveluista tutetaan ulkpulisten timittajien tuttamana. Tässä n tapahtunut merkittävä siirtymä 2000-luvulta siirryttäessä 2010-luvulle, jllin rganisaatit tuttivat pääsin itse kaikki keskeisimmät ICT-palvelut lähinnä tietliikenneyhteyksiä julkiseen internet-verkkn lukuun ttamatta. Aluksi rganisaatit alkivat hankkia yhä enemmän ulkistettuja, tiettyyn käyttöön tarkitettuja palveluita SaaS-mallilla (Sftware as a Service), mutta nyt sa rganisaatiista n ulkistanut

DIGITURVAOPAS 24 (25) käytännössä kaiken ICT-palveluiden tuttamiseen liittyvät tehtävät ulkpulisille timittajille ja palvelukeskuksille. Nyt 2020-luvulla tässä tapahtuu muutsta yhä enemmän siihen suuntaan, että nämä ulkpuliset timittajat ja palvelukeskukset eivät enää välttämättä itse tuta näitä palveluita missa knesaleissa vaan yhä enemmän näitä palveluita siirretään tutettavaksi eri tyyppisissä kansallisissa tai glbaaleissa pilvipalveluissa. Tällöin myös rganisaatin kyky hallita tätä palvelukknaisuutta ja alihankintaverksta sekä timitusketjua n entistä haastavampaa, mutta vastaavasti myös entistä tärkeämpää. Tämä edellyttää palveluiden hankkimisessa (kilpailuttamisessa) tarvittavien digiturvan eri saalueiden vaatimusten sisällyttämistä saksi hankintaa. Vunna 2018 svellettavaksi tullut EU:n yleinen tietsuja-asetus n hyvä esimerkki siitä, miten lainsäädännölliset muutkset tulisi ttaa humin ICT-hankinnissa. Tulemme käsittelemään tässä Digiturvan yhteishankkeessa erikseen tietsuja-asiita, jissa myös hjeistetaan parhaita käytäntöjä tietsujavaatimusten humiimiseksi hankinnissa. Vastaavalla tavalla sana VAHTI 100-sveltamis- ja arviintikehikka tulemme julkaisemaan erilliset hankintavaatimukset / tai tarkistuslistja tietturvavaatimusten salta. Näiden kahden hella rganisaatilla tulisi lla tarvittavat vaatimukset timinnan jatkuvuuden ja valmiuteen liittyvien vaatimusten salta, jtka pitäisi phjautua riskienhallintaan ja timinnan tärkeyteen ja kriittisyyteen. Tässä nusee jälleen kerran hyvin esille se, että yksittäisen digiturvallisuuden sa-alueen humiiminen ei riitä, vaan tätä varten tarvitaan laaja-alaisempaa eri sa-alueiden hyödyntämistä. 5.2.1 Spimukset ja spimusvelvitteiden tteutumisen seuranta Spimukset sinällään eivät le riittävä tae siitä, että rganisaatin käyttämät tai sille tutettavat palvelut tutetaan turvallisesti ja vaatimustenmukaisesti. Riippuen jälleen palveluiden tärkeydestä ja kriittisyydestä, rganisaatin tulisi kyetä varmistamaan, että palvelutimittajat tuttavat palvelut spimuksissa ja niiden vaatimusliitteissä kuvatuilla tavilla. Tällöin kyseeseen saattaa tulla tarve arviida (auditida) tai tarkistaa palveluiden digiturvallisuuden sa-alueiden tteutumista svittuja vaatimuksia vastaan. Tulemme sana VAHTI 100-sveltamis- ja arviintikehikka päivittämään myös näitä arviintimenetelmiä digiturvan eri sa-alueiden salta. Tulemme sana tätä Digiturva-yhteishanketta käsittelemään erikseen näitä tietturva-arviinteja ja tarkastuksia sekä julkaisemme erillisen tukimateriaalin näiden kehittämiseksi. Näiden hella rganisaatin tulee hulehtia siitä, että rganisaati käy säännöllisesti läpi sille palveluita tuttavien ICT-timittajien kanssa digiturvan eri sa-alueiden tteutumiseen liittyviä asiita, esimerkiksi vusikellmaisesti timittajatapaamisissa. 5.3 Henkilöstön saamisen kehittäminen Vaikka rganisaati lisi tteuttanut kaikki tekniset ja hallinnlliset ratkaisut nykyaikaisella, timinnan vaatimukset edellyttävällä tavalla, tämä ei takaa 100% turvallisuutta. Käytännössä 100% turvallisuuden tteuttaminen ei le mahdllista, kska a) käytettävässä teknlgiassa ilmenee

DIGITURVAOPAS 25 (25) ngelmia, jtka aiheuttavat timintahäiriöitä sekä niistä löytyy erilaisia tietturvahaavittuvuuksia, jtka vivat aiheuttaa tietturvapikkeamia. Tämän hella tinen, käytännössä merkittävämpi uhka tulee henkilöstön virheellisestä - timinnasta. Tämän jhdsta sana JUDO-hanketta kehitämme digiturvallisuuden ppimisympäristön, jnka avulla rganisaatit vivat nykyaikaisilla menetelmillä varmistaa tarvittavan henkilöstön saamisen. Osaamisen tarve vaihtelee henkilön rlin mukaan, minkä jhdsta khdistamme ppimisympäristössä tutettavia kulutuksia henkilöstön eli kaikkien työntekijöiden lisäksi erikseen jhdlle ja esimiehille sekä digiturvallisuuden sa-alueiden vastuuhenkilöille. Tulemme päivittämään tätä sita 5.4 5.5 5.6 5.7 5.8 5.9 5.10

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute