Sisällysluettelo. Esipuhe... 10. 1 Johdanto... 15. 2 Tietoturvallisuuden rooli yritystoiminnassa... 17



Samankaltaiset tiedostot
Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

TIETOTURVAA TOTEUTTAMASSA

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat. Diplomityöesitelmä Juha Kalander

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Sähköi sen pal l tietototurvatason arviointi

PK-yrityksen tietoturvasuunnitelman laatiminen

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Tietoturvallisuuden ja tietoturvaammattilaisen

Kyberturvallisuus kiinteistöautomaatiossa

itsmf Finland Conference 2016 Focus Markus Leinonen COBIT ja governance

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Standardit tietoturvan arviointimenetelmät

Tietoturvapolitiikka

Tietoturva Kehityksen este vai varmistaja?

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Tietosuoja- ja tietoturvapolitiikka

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

VALVO JA VARAUDU PAHIMPAAN

Pilvipalveluiden arvioinnin haasteet

SFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

SISÄLLYS ESIPUHE... 10

Varmaa ja vaivatonta

Tietoturvallisuuden johtaminen

Auditoinnit ja sertifioinnit

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan Ammattitaidon osoittamistavat

Tietoturvapolitiikka Porvoon Kaupunki

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Sovelto Oyj JULKINEN

TIETOTURVAN KEHITTÄMISHANKE LOPPURAPORTTI LUOVUTETTU YLIOPISTON LAADUNKEHITTÄMISRYHMÄLLE JYVÄSKYLÄN YLIOPISTO

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Vihdin kunnan tietoturvapolitiikka

Tietoturvapolitiikka

Tietosuoja Copyright (c) 2005 ACE LAW Offices

KUUMA-ICT:n ja kuntien työnjako Palvelusopimuksen liite 6

Potilasturvallisuuden johtaminen ja auditointi

Laatu syntyy tekemällä

Kymenlaakson Kyläportaali

TIETOTURVATEKNOLOGIAN AMMATILLISET ERIKOISTUMISOPINNOT (30 op)

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

IT-palvelujen ka yttö sa a nnö t

Sähköpostin arkistointi

Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Espoon kaupunkikonsernin tietoturvapolitiikka

Laatua ja tehoa toimintaan

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Yleistä hallinnollisesta tietoturvallisuudesta. Tukikoulutus joulukuu 2007 Tuija Lehtinen

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Espoon kaupunki Tietoturvapolitiikka

TIETOTURVAPOLITIIKKA

TIETOTURVATASOVAATIMUKSET HANKINNOISSA

Eläketurvakeskuksen tietosuojapolitiikka

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Innovaatiivinen hallinta Saimaan ja Atlantin rannalla. Case: I-SSHP & Walter Reed Army Medical Center

SISÄLLYS ESIPUHE JOHDANTO HYVÄÄN JA TEHOKKAASEEN JOHTAMIS- JA HALLINTOJÄRJESTELMÄÄN...11

Älykäs verkottuminen ja käyttäjänhallinta. Pekka Töytäri TeliaSonera Finland

Mobiililaitteiden tietoturva

Tietoturvallisuus - haaste tiedonhallinnassa

Asiakaspäivät 2018 Turvallisuus- ja riskienhallinta ohjelmalinjan avaus. Marko Ruotsala

Tietoturvaa verkkotunnusvälittäjille

Tietoturvapolitiikka

Tietoturvan johtaminen suomalaisen liikkeenjohdon näkökulmasta

Lapin yliopiston tietoturvapolitiikka

Kehmet. Yleisesittely

Standardien PCI DSS 3.0 ja Katakri II vertailu

Tietoturvavastuut Tampereen yliopistossa

YMPÄRISTÖJÄRJESTELMÄ JA SEN SERTIFIOINTI Petri Leimu TAO, Turun Ammattiopisto

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

Kuinka toimin erilaisissa häiriötilanteissa? Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Erja Kinnunen, Verohallinto 2.10.

TEEMME KYBERTURVASTA TOTTA

eresepti- ja KANTA-hankkeissa

Verkostokehittäjät-hanke Tietosuoja ja tietoturvallisuus

Kustannustehokkuutta tietoturvallisuutta vaarantamatta

TIETOTURVAPOLITIIKKA

TEEMME KYBERTURVASTA TOTTA

VIRTU ja tietoturvatasot

HEINÄVEDEN KUNNAN TIETOTURVAPOLITIIKKA

Kansainvälisen ISO/IEC sertifioinnin toteuttaminen CSC:llä

Tullin tietopalvelu - yhteinen vastuu oikean tiedon antamisesta

- ai miten niin?

T Henkilöturvallisuus ja fyysinen turvallisuus, k-04

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

SÄHKÖISET JA LAINSÄÄDÄNTÖ

Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma

Transkriptio:

Esipuhe...................................................... 10 1 Johdanto............................................... 15 2 Tietoturvallisuuden rooli yritystoiminnassa.............. 17 2.1 Mitä on tietoturva......................................... 17 2.2 Lainsäädännön rooli ja vaatimukset......................... 18 2.3 Liiketoiminnan tarpeet ja tietoturvallisuus.................... 19 2.4 Tietoturva ja lainsäädännöllinen ympäristö................... 21 2.4.1 Tietoturvaan liittyvän lainsäädännön taustaa........... 21 2.4.2 Kansainvälinen normisto ja ohjeistus.................. 23 2.4.2.1 OECD...................................... 23 2.4.2.2 Sarbanes-Oxley Act SOX................... 24 2.4.2.3 EU-lainsäädäntö............................ 26 2.4.3 Kansallinen lainsäädäntö............................. 27 2.4.3.1 Perustuslaki................................ 28 2.4.3.2 Laki viranomaisten toiminnan julkisuudesta (julkisuuslaki)............................... 29 2.4.3.3 Henkilötietolaki............................ 31 2.4.3.4 Laki kansainvälisistä tietoturvallisuusvelvoitteista................................. 47 2.4.3.5 Laki yksityisyyden suojasta työelämässä...... 49 2.4.3.6 Sähköisen viestinnän tietosuojalaki.......... 54 2.4.3.7 Liike- ja ammattisalaisuudet................. 75 2.4.3.8 Laki tietoyhteiskunnan palvelujen tarjoamisesta 77 2.4.3.9 Laki sähköisestä asioinnista viranomaistoiminnassa................................ 78

2.4.3.10 Laki sähköisestä allekirjoituksesta............ 79 2.4.3.11 Viestintämarkkinalaki........................ 80 2.4.3.12 Yhteenveto tietoturvallisuuteen liittyvästä lainsäädännöstä............................ 80 3 Tietoturvan hallinnointiin liittyvät standardit ja toimintamallit........................................ 83 3.1 Standardit................................................. 85 3.1.1 ISO 17799........................................... 86 3.1.2 BS 7799............................................ 88 3.1.3 ISO 27000.......................................... 88 3.1.4 ISO 27001.......................................... 88 3.1.5 ISO 27002.......................................... 89 3.1.6 ISO 27003.......................................... 89 3.1.7 ISO 27004.......................................... 89 3.1.8 ISO 27005.......................................... 90 3.1.9 ISF The Standard of Good Practice for Information Security............................................. 90 3.2 Toimintamallit............................................. 91 3.2.1 Tietojärjestelmien hallinnoinnin viitekehys COBIT..... 92 3.2.2 ITIL................................................. 95 3.2.2.1 ITIL ja tietoturvallisuus...................... 98 3.2.3 GASSP, GAISP....................................... 100 3.3 Mallien ja standardien merkitys tietoturvallisuuden hallinnalle 104 3.3.1 Tietoturvallisuuden hallintajärjestelmän sertifiointi....... 105 3.3.1.1 Sertifioinnin hyödyt ja haitat................. 107 3.3.2 Parhaiden tietoturvakäytäntöjen poiminta standardeista ja toimintamalleista.................................. 109 3.4 Laatujärjestelmän ja tietoturvaohjelman yhtymäkohdat........ 112 4 Tietoturvan johtaminen ja hallinnointi yrityksessä........ 115 4.1 Tietoturvallisuuden johtamisen laajuus...................... 117 4.2 Hyvä tietohallintotapa (IT Governance)....................... 123 4.3 Fyysinen ympäristö........................................ 125 4.3.1 Tilojen suojaus...................................... 125 4.3.2 Lämpötila, kosteus ja varavirta........................ 127

4.4 Tietoturvan toteuttaminen käytännössä tietoturvaohjelma... 128 4.4.1 Tietoturvallisuuden hallinnan roolit ja vastuut.......... 128 4.4.1.1 Ylin johto.................................. 129 4.4.1.2 Tietoturvaorganisaatio...................... 131 4.4.1.3 Tietojen omistajat........................... 132 4.4.1.4 Prosessien omistajat........................ 134 4.4.1.5 Järjestelmien pääkäyttäjät.................... 134 4.4.1.6 Tietohallinto................................ 135 4.4.1.7 Sisäinen ja ulkoinen tarkastus................ 136 4.4.1.8 Työntekijät................................. 137 4.4.1.9 Ulkoiset sidosryhmät........................ 137 4.5 Henkilöturvallisuus......................................... 138 4.5.1 Henkilöstön palkkaaminen tai yhteistyökumppanien valinta.............................................. 139 4.5.2 Taustatarkastukset................................... 139 4.5.3 Luottotietokyselyt................................... 141 4.5.4 Sopimukset......................................... 141 4.5.5 Työntekijän toimenkuvan muutokset.................. 142 4.5.6 Työtehtävien suorittamisessa huomioon otettavat asiat 143 4.5.7 Työsuhteen päättyminen............................. 144 4.6 Tietoturvaohjeistus ja -dokumentaatio....................... 145 4.6.1 Hyvän ohjeistuksen tuntomerkit....................... 145 4.6.2 Tietoturvapolitiikka ja sen luominen................... 146 4.6.3 Prosessikuvaukset ja muut tietoturvaan liittyvät dokumentit......................................... 148 4.6.3.1 Riskien arviointi ja tietoturvallisuuden testaaminen................................ 150 4.6.3.2 Käyttöoikeuksien hallintaprosessi............ 151 4.6.4 Lisenssien ja laitteiden hallinta........................ 152 4.6.4.1 Muutostenhallintaprosessi................... 154 4.6.5 Tietoturva-aukkojen ja päivitysten seuranta............ 156 4.6.6 Tietojen ja järjestelmien luokittelu..................... 156 4.6.7 Tietoturvaloukkausten ja -heikkouksien raportointi.... 160 4.7 Toimintaohjeet loppukäyttäjille.............................. 161 4.7.1 Tietojen luokittelu................................... 161 4.7.2 Tietovälineiden käsittelyn tietoturvallisuus............. 162 4.7.3 Haittaohjelmien torjunta............................. 163 4.7.4 Internetin käytön periaatteet.......................... 163

4.7.5 Sähköpostin avaaminen ja käytön periaatteet.......... 165 4.7.6 Käyttäjätunnus ja salasanaohjeistus................... 166 4.7.7 Matkakäyttö ja etätyöohjeistus........................ 168 4.7.8 Puhtaan pöydän periaate............................. 169 4.7.9 Varmistuskäytännöt.................................. 170 5 Tietoturvan tekninen toteuttaminen...................... 172 5.1 Identiteetinhallinta......................................... 172 5.1.1 Identiteetinhallintaan tarkoitetut järjestelmät........... 173 5.1.2 Käyttäjän tunnistus ja todennus....................... 175 5.1.3 Ylläpitotunnusten suojaaminen....................... 176 5.1.4 Salasanojen testaaminen............................. 178 5.1.5 Ulkoistukseen liittyvät erityiskysymykset identiteetinhallinnassa............................... 180 5.2 Tietoverkon tekninen suojaaminen.......................... 181 5.2.1 Verkon looginen rakenne............................. 182 5.2.2 Palomuurit.......................................... 186 5.2.3 Tunkeutumisen havaitseminen ja torjunta.............. 188 5.2.4 Verkon valvonta..................................... 191 5.3 Tietojen salaus ja muut salaustekniset menetelmät............ 194 5.3.1 Kiintolevyn salaaminen............................... 196 5.3.2 Ylläpitoyhteyksien salaaminen........................ 197 5.3.3 Sähköpostin salaaminen............................. 197 5.3.4 Organisaatiovarmenne ja sähköpostivarmenne......... 199 5.3.5 Laskutusdirektiivin asettamat vaatimukset (2001/115/EY) 200 5.4 Virustorjunta.............................................. 202 5.4.1 Työasemien virustorjunta............................. 204 5.4.2 Palvelinten ja tuotannollisten järjestelmien virustorjunta 204 5.4.3 Selainliikenteen virustorjunta......................... 205 5.4.4 Virustorjunnan tarkastuslista......................... 205 5.5 Roskapostin ja sähköpostin mukana tulevien haittaohjelmien torjunta.................................... 206 5.5.1 Roskapostin suodatuksen vaikutukset................. 208 5.5.2 Keinot roskapostin torjumiseksi....................... 209 5.5.3 Loppukäyttäjän toimenpiteet roskapostin torjumiseksi 212 5.6 Tietojärjestelmien turvallisuus............................... 214

5.6.1 Turvalliset standardiasennukset....................... 215 5.6.2 Järjestelmien auditointi............................... 216 5.7 Mobiililaitteet ja siirrettävät mediat.......................... 218 5.7.1 Mobiililaitteisiin liittyvät riskit......................... 218 5.7.2 Mobiililaitteiden suojaamiseksi tehtävät toimet......... 220 5.7.3 Massamuistien ja muiden PED-laitteiden käytön estäminen.................................... 222 5.8 Laite- ja ohjelmistorekisterit................................. 222 5.8.1 Hyvä IT-omaisuuden hallinta......................... 223 5.8.2 Laitteiden ja ohjelmistojen inventointi................. 224 5.8.3 Hyvän IT-omaisuuden hallinnan vaikutukset tietoturvallisuudelle.................................. 224 5.9 Etäyhteydet ja langattomat yhteydet......................... 225 5.9.1 Laitteiden standardointi.............................. 225 5.9.2 Laitteiden vaatimusten mukaisuus ja käyttäjien itsepalvelupiste...................................... 226 6 Liiketoiminnan jatkuvuus- ja toipumissuunnitelmat...... 227 6.1 Jatkuvuus- ja toipumissuunnitelmien määritelmät............ 227 6.2 Miksi laatia jatkuvuus- ja toipumissuunnitelmat............. 228 6.3 Liiketoiminnan jatkuvuussuunnitelman laatiminen........... 230 6.4 Liiketoiminnan toipumissuunnitelman laatiminen............. 234 6.5 Valmiussuunnittelu......................................... 238 7 Ulkoistuksen asettamat tietoturvavaatimukset ja toimenpiteet.......................................... 239 7.1 Ulkoistuksen roolit ja vastuunjako........................... 240 7.2 Ulkoistuksen auditointi..................................... 242 7.3 Tietoturvavelvoitteet ulkoistussopimuksissa.................. 243 8 Ohjeistuksen ja teknisen toteutuksen implementointi ja henkilöstön sitouttaminen............................ 248 8.1 Henkilöstön tietoturvakäyttäytymiseen vaikuttavat tekijät...... 248 8.2 Työntekijöiden motivoiminen tietoturva työhön............... 252 8.3 Koulutus ja tietoisuuden lisääminen......................... 254 8.3.1 Pohjana dokumentaatio.............................. 254

8.3.2 Käytännön esimerkkien merkitys osana koulutusta..... 255 8.3.3 Säännöllisyys ja vaihtelevat menetelmät................ 256 8.3.4 Vaihtoehtoisia koulutusstrategioita.................... 257 8.3.4.1 Esimies kouluttaa alaisensa.................. 258 8.3.4.2 Tietoturvaorganisaation järjestämä keskitetty koulutus.................................... 259 8.3.4.3 Tietoiskut.................................. 259 9 Tietoturvallisuuden valvonta, seuranta ja mittaaminen... 261 9.1 Valvonta.................................................. 263 9.2 Seuranta.................................................. 265 9.3 Tietoturvallisuuden mittaaminen............................ 267 9.3.1 Syitä tietoturvallisuuden mittaamiselle................. 268 9.3.2 Mittaaminen vai arviointi............................. 269 9.3.3 Hyvän tietoturvallisuuden mittarin ominaisuudet....... 270 9.3.4 Tietoturvallisuuden mittaamisen ongelmat............. 271 9.3.5 Keinoja tietoturvallisuuden mittaamiseksi.............. 272 9.3.5.1 Kypsyysmallit............................... 274 9.3.5.2 Tietoturvallisuuden tasapainotettu tuloskortti (Balanced Scorecard)........................ 277 9.3.5.3 Työntekijöiden toiminta...................... 278 9.3.5.4 Riskianalyysit, kontrollikartoitukset ja haavoittuvuustestaukset................... 279 9.3.5.5 Järjestelmien hälytykset..................... 280 9.4 Raportointi................................................ 281 10 Tietoturvallisuusrikkomukset ja seuraukset.............. 282 10.1 Rikkomusten lähteet ja kohteet.............................. 282 10.2 Vaikutukset ja seuraukset................................... 284 11 Yhteenveto kokonaisuuden hallinta.................... 286 11.1 Tietoturvallisuuden tarpeen tunnistaminen ja ensimmäiset toimet tietoturvallisuuden systemaattiseksi kehittämiseksi..... 288 11.2 Riskien ja kehityskohteiden tunnistaminen sekä hyväksyttävän riskitason määrittely.......................... 289 11.3 Tietoturvapolitiikan laatiminen.............................. 290

11.4 Korjaavat toimenpiteet ensimmäisen riskikartoituksen jälkeen 291 11.5 Hallinnolliset toimet tietoturvallisuuden kehittämiseksi........ 292 11.6 Tekniset ratkaisut tietoturvallisuuden parantamiseksi.......... 293 11.7 Tietoturvallisuuden hallintajärjestelmän sertifiointi............ 294 Liitteet............................................................. 295 Sähköisen viestinnän tietosuojalaki............................... 296 Laki yksityisyydensuojasta työelämässä........................... 307 Lähteet............................................................ 313 Hakemisto......................................................... 319

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute