Sähköiseen säilytykseen liittyvät organisaation auditoinnit

Samankaltaiset tiedostot
Suorin reitti Virtu-palveluihin

VIRTU ja tietoturvatasot

Tietoturvapalvelut valtionhallinnolle

Tietoturvakonsulttina työskentely KPMG:llä

Laatua ja tehoa toimintaan

Kansainvälisen ISO/IEC sertifioinnin toteuttaminen CSC:llä

Kansallisarkisto SÄHKE2-AUDITOINNIT PALVELUKUVAUS. v. 1.0 ( )

Case VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Standardit tietoturvan arviointimenetelmät

Valtion IT-palvelukeskuksen tietoturvapalvelujen ajankohtaiset kuulumiset

Tietoturvallisuuden ja tietoturvaammattilaisen

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Suomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

Valtorin tietoturvapalvelut ja VAHTI yhteistyö. Valtorin asiakaspäivä Johtava asiantuntija Pekka Ristimäki

Tietoturvavastuut Tampereen yliopistossa

Nokia Oyj, useita johtotason tehtäviä, johtokunnan jäsen

Tietoturvallisuuden vaatimukset ja vaikutukset liiketoimintaan sekä yhteiskuntaan

Yrityksen jatkuvuussuunnitelma

Virtu tietoturvallisuus. Virtu seminaari

Tietojenkäsittelyopin pääaineesta valmistuneiden työelämään sijoittuminen

Tietoturva - toiminnan peruskivi. Tietoyhteiskunta- ja tietoturvaseminaari, Jan Mickos

SÄHKE2-SOVELLUSAUDITOINNIT

Varautuva, turvallinen opiskelu- ja työpaikka -reaktiivisesta kohti proaktiivista koulua

Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana. Sami Laaksonen, Propentus Oy

Auditoinnit ja sertifioinnit

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC Reijo Savola Johtava tutkija VTT

Sähköi sen pal l tietototurvatason arviointi

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Viestintäviraston tietoturvapolitiikka

Turvaa logistiikka kuljetusten ja toiminnan turvallisuus

ICT-VARAUTUMINEN VALTIT-INFO

Liiketoiminnan ICT-riippuvuus kasvaa hallitaanko riskit?

Kestävä kehitys osana koulutuksen järjestäjän laadunhallintaa - Johdantopuheenvuoro, itsearvioinnin tulokset Opetusneuvos Leena Koski.

Palvelukuvaus v Alkujaan digitaalisen aineiston vastaanoton ja säilyttämisen palvelu

Yritysturvallisuuden johtamisen arviointi ja hallintamalli

Kahvin valoisan tulevaisuuden puolesta. Tekoja ja vastuullisuustyömme tuloksia

RONDO R8 ARKISTO - SÄHKETOIMINNALLISUUS

ICT - HYPAKE. Arja Ranta-aho, Minna Lappi

SUUNNITTELE JA JOHDA TURVALLISUUTTA, ENNAKOI RISKIT JA VARMISTA LAATU- JA TURVALLISUUSKULTTUURI

evare Valtionhallinnon ICT-varautumisen kehittäminen

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa

Pilvipalveluiden arvioinnin haasteet

Yritysturvallisuuden johtamisen arviointi

Federoinnin vaikeat käyttötapaukset palveluntarjoajille (SP)

VUOSIKERTOMUS 2011 Johtoryhmä 2011

Web-seminaari

Johtoryhmän luottamustehtävät ja osakeomistukset 2016

Johtoryhmä Ajattelemme eteenpäin

Espoon kaupunkikonsernin tietoturvapolitiikka

Tietoturvapolitiikka

KESLA OYJ:N HALLITUKSEN 2015 JÄSENEHDOKKAIDEN ESITTELY

Digital by Default varautumisessa huomioitavaa

Käyttäjien ja käyttövaltuuksien hallinta terveydenhuollon alueella

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

SISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE

M A A L I. Luovien alojen lisäarvo perinteiselle teollisuudelle

Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä?

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Yritysturvallisuuden johtamisen arviointi

Johdon tuki tietosuojavastaavalle terveydenhuollon organisaatiossa

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Tietoturva-asetus ja VIPin tietoturvapalvelut Kimmo Rousku

Lapin yliopiston tietoturvapolitiikka

YKSITYINEN SEKTORI Vastaajien lukumäärä

Veritas Eläkevakuutus. Johtoryhmä 2007

Standardisoitua toimintaa Veikkauksessa

Lähivakuutus-Tapiola ryhmä

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

TeliaSonera Identity and Access Management

Johtamisen standardit mitä ja miksi

Toimitilojen tietoturva

Tiedätkö, olet oman elämäsi riskienhallintapäällikkö! Miten sovellat riskienhallintaa omassa työssäsi? Pyry Heikkinen

Vihdin kunnan tietoturvapolitiikka

ICT - HYPAKE. Timo Pekkonen, Kainuun Etu Oy Arja Ranta-aho, Minna Lappi, Fluente Kumppanit Oy

Siilinjärven kunta ja Valtion IT-palvelukeskus

Karkkilan kaupungin tietoturvapolitiikka

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Tietoturvallisuuden johtaminen

Valtion IT-palvelukeskus (VIP) Anna-Maija Karjalainen

TT-turvallisuusjohtamisjärjestelmän rakentamisen vaiheet

Tietoturva ja käyttäjäkohtaisuus älykkäässä verkottamisessa Pekka Isomäki TeliaSonera Finland Oyj

Elisa Oyj Prior Konsultointi Oy

Aika: Perjantai klo Kollegion kokoushuone, Rehtoraatti, yliopiston päärakennus

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

Kansallinen laatuhanke

LAADUN VARMISTAMISEN JOHTAMINEN. Pasi Riihilahti RAY Kehitysjohtaja

Perustietovarantojen rajapintaratkaisun sidosryhmät - yhteenveto PERA-määrittely Liite 2

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

Tietoturvapolitiikka

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Tekes kannustaa virtuaalisiin työkaluihin

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Transkriptio:

Sähköiseen säilytykseen liittyvät organisaation auditoinnit Arto Kangas, auditoija & konsultti Netum konsultointi Oy Torstai 29.11.2012 29.11.2012 Arto Kangas, SÄHKE-Expo 1

Arto Kangas Koulutus: Kauppatieteiden kandidaatti (KTK), YVTS, VTS, MKT Työhistoria: 2/2010 alk. Konsultti ja tietoturvapäällikkö, Netum ja Netum konsultointi - Turvallisuuden, tietoturvallisuuden, riskienhallinnan, jatkuvuussuunnittelun sekä ICT-arkkitehtuurin konsultointi, kehittäminen ja koulutus - Tietoturvatasot (TTT) auditoinnit, KATAKRI II auditoinnit, SÄHKE2 auditoinnit, muut turvallisuus- ja riskikartoitukset sekä arvioinnit 2009 2012 Tutkija, Aalto-yliopiston kauppakorkeakoulu - Markkinoinnin laitos, Verkostoitunut liiketoiminta, SecLi-, ValueSSe- ja SecNet-hankkeet 2008 2010 Senior Consultant, Secproof Finland, turvallisuus, tietoturvallisuus ja riskienhallinta 2007 2008 Sales Manager, Logica Suomi, Finanssi-palvelut, henki- ja vahinkovakuutusyhtiöt 2004 2007 Koordinointipäällikkö, Suomen Vakuutusdata, vakuutusalan tietoturva ja tiedonsiirto, tietoturvapäällikkö (oto), yrityksen johtoryhmän jäsen, VAKES tietoturvatyöryhmä 1999 2004 useita tehtäviä Elisa-konsernissa tietoturvallisuuden parissa, mm. vanhempi tietoturvakonsultti, osastopäällikkö, tietoturvapäällikkö (oto), tuotepäällikkö 1997 1999 useita tehtäviä Soneran palveluksessa, tuotepäällikkö sekä asiantuntijatehtäviä 1997 Internet tuki, EUnet Finland 1989 1996 Maksuliikenneasiantuntija, Nordea Pankki 1986 1989 Postivirkailija, Suomen Posti Luottamustoimet: 2012 alk. Finnsecurity ry hallituksen jäsen, yritysjaoston vetäjä 2009 alk. Finnsecurity ry, työvaliokuntien jäsen (yritysjaosto 2009 alk. ja tietoturvajaosto 2010-2011) 2006 2007 Finnsecurity ry hallituksen jäsen, tietoturvajaoston perustaja ja vetäjä 2005 2007 ATK-instituutti säätiön edustajiston jäsen 2006 Tietotekniikan liitto ry hallituksen jäsen 2002 2004 Tietoturva ry hallituksen jäsen (hallituksen puheenjohtaja vuodet 2003 ja 2004) 29.11.2012 Arto Kangas, SÄHKE-Expo 2

Tietotekniikan merkitys ja rooli kasvaa jatkuvasti! Lähde: Talouselämä

SÄHKE2-auditointi ja tietoturvatasot auditointi (TTT, VAHTI 2/2010) Tietoturvatasojen taustalla tietoturva-asetus (681/2010) Vähintään perustaso saavutettava Valtion IT-palvelukeskuksen (VIP) menetelmä ja viitekehys Ei tarvita, jos on SÄHKE2 sertifikaatti Lupahakemus (perustietolomake) 1. Sähköisen säilyttämisen itsearviointilomake (org.täytt) 2. Todist. Hyväksytystä TTTauditoinnista 3. Raportti suoritetusta SÄHKE2 sovellusauditoinnista 4. Raportti suoritetusta SÄHKE2-toiminta-auditoinnista TTT-auditointi (VAHTI 2/2010, TTA 681/2010) Organisaatio ICT Todistus: TTTperustasosta Operatiivinen tietojärj. Säilytysjärj. 29.11.2012 Arto Kangas, SÄHKE-Expo 4

Tietoturvatasojen mukaan edellytetään (ja tämä edellytys myös SÄHKE2-auditointiin) Lähde: Valtiokonttori / VIP Tietoturvatasojen vaatimukset Tekijöitä on ja johtajakin Roolit olemassa Tehtävät määritelty Vastuut sovittu Toimintavaltuudet olemassa Palvelut tunnistettu Palvelut kuvattu Toimintaympäristö kuvattu Prosessit tunnistettu Prosessit kuvattu Prosessien yhteydet toimivat Tietoturvallisuus liitetty prosesseihin 29.11.2012 Arto Kangas, SÄHKE-Expo 5

Vaatimukset organisaation tietoturvallisuuden hallinnalle CAF = Common Assessment Framework, julkisen sektorin organisaatioiden laadunarviointimalli Lähteet: www.vm.fi www.valtiokontt ori.fi 29.11.2012 Arto Kangas, SÄHKE-Expo 6

Vaatimuskorttien havaintoesimerkki (yleiskuvaus) Vaatimukset esim. ICT-järjestelmien hallinnalle 29.11.2012 Arto Kangas, SÄHKE-Expo 7

Organisaation toimet ja selvitettävät asiat ennen SÄHKE2-auditointia SÄHKE2-vaatimukset (määräykset, www.arkisto.fi) Auditoinnin prosessi ja mitä siihen liittyy Auditoinnin tavoite eli se, miksi auditointi suoritetaan Tarvittava dokumentaatio siitä kuinka tietoturva on toteutettu Käytännössä auditoinnin tavoite ei ole vain testata, että täyttääkö järjestelmä vaatimukset vain nyt, vaan miten varmistetaan tietojen käytettävyys myös tulevaisuudessa ja se, miten voidaan varmistua tietojen säilyvyydestä pitkänkin ajan kuluessa arvioidaan vaatimustenmukaisuutta 29.11.2012 Arto Kangas, SÄHKE-Expo 8

Sudenkuoppia Puutteelliset kuvaukset ja ympäristön dokumentointi Varsinaisista vaatimuksista poikkeavat menettelytavat Poikkeavat tai muutoin tavanomaisesta eroavat käsitteet ja termistöt Käyttövaltuuksien ja oikeuksien hallitsematon toteutus (vrt. ei myöskään kaiken varalta liian isoja valtuuksia käyttäjille) Testaamisen puute 29.11.2012 Arto Kangas, SÄHKE-Expo 9

Kiitos ja kysymykset 29.11.2012 Arto Kangas, SÄHKE-Expo 10

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute