Palvelun toimittajalle asetettavat tietoturvavaatimukset

Samankaltaiset tiedostot
Sopimus rekisteröintitoiminnasta SR2

Sopimus rekisteröintitoiminnasta SR3 VAKY

Sopimus rekisteröintitoiminnasta SR3

Maahantuojat: omavalvontasuunnitelman ja sen toteutumisen tarkastuslomakkeen käyttöohje

CAVERION OYJ:N HALLITUKSEN TYÖJÄRJESTYS. 1. Hallituksen tehtävien ja toiminnan perusta. 2. Hallituksen kokoonpano ja valintamenettely

Energiaviraston ohje tietoturvallisuuteen liittyvän häiriön ilmoittamisesta

Faba osk, osuusrekisteri tietosuojaseloste

Sopimus asiakas- ja potilastietojärjestelmästä Liite 3 Käyttöönotto

Yhteistyösopimus Kaupunkitutkimus ja metropolipolitiikka tutkimus- ja yhteistyöohjelman toteuttamisesta vuosina

Hankinnasta on julkaistu ennakkoilmoitus HILMA- palvelussa

KUSTANNUSTOIMITTAJIEN TYÖEHTOSOPIMUSTA KOSKEVA NEUVOTTELU

KUNTAKOORDINAATTORIEN NEUVOTTELUPÄIVÄ Oppilas- ja opiskelijahuollon palvelurakenteen ja laadun kehittäminen

KR-Tukefin Korjausrakentamiseen uusia toimintamalleja ARA ja TEKES. Loppuraportti

Dnro OUKA/7126/ /2014. Hankinnassa noudatetaan lakia julkisista hankinnoista (348/2007) sekä lakia täydentävää asetusta (614/2007).

Bisnes+ TIETOSUOJASELOSTE

Käyttöoikeus Paikkatietoalustan kehitys- ja koulutusympäristön koekäyttöön

Maaret Botska. Asiakirjahallinto ja asiakirjatiedon turvaaminen kunnallisten organisaatioiden muutostilanteissa

Satakunnan Noutajakoirayhdistyksen ry:n jäsen-, tiedotus- ja tapahtumajärjestämisen henkilötietorekisterien tietosuojaseloste.

NOUSIAISTEN KUNTA VESIHUOLLON YHTIÖITTÄMISPALVELUT TARJOUS BDO OY

Tietoturvaohjeita henkilöstölle

Kansalaisen asiointitilin palvelukuvaus

Hankkeen tavoitteet voidaan jakaa valvonnan tavoitteisiin ja työsuojeluvalvonnan kehittämisen tavoitteisiin.

Tuusulan kunta ei sitoudu sopimusajalla kiinteisiin vähimmäishankintamääriin, vaan tuotteita hankitaan hallin tarpeita vastaavasti.

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

DIGITURVAOPAS JUDO-HANKE SEKÄ DI- GITAALINEN TURVALLISUUS TOIMINNAN MAHDOLLISTAJANA

TAMPEREEN EV.LUT. SEURAKUNTAYHTYMÄ PÖYTÄKIRJA 7/2014 1(15) Perheneuvontatyön johtokunta Kokous

TAISTO18-HARJOITUSKÄSIKIRJA - PÄIVI- TETTY VERSIO 1.02

Pienten hyväksyttyjen koulutusorganisaatioiden käsikirjat

Medtime Pro -verkkopalvelun käyttöehdot käyttäjälle ja palveluntarjoajalle. Yleistä

1. Yleistä. Tavoitteet vuodelle 2016

T IETOSUOJASELOSTE TYÖNHAKIJAT JA REKRYTOINTITIEDOT SEKÄ VAPAAEHTOISET PAIKANNÄYTTÄJÄT

NOUSIAISTEN KUNTA VESIHUOLLON YHTIÖITTÄMISPALVELUT TARJOUS BDO OY

Läsnä Seppänen Hannes puheenjohtaja Matero Riina-Maria talouspäällikkö, sihteeri. Juntunen Johanna varajäsen Kinnunen Pirjo-Riitta jäsen Köngäs Martti

Aloite toimitusvelvollisen myyjän taseselvitystavan muuttamisesta

Porrastuotejärjestelmät

Testaustyövälineen kilpailutus tietopyyntö

Käyttöoikeus Paikkatietoalustan kehitys- ja koulutusympäristön koekäyttöön

Parikkalan kunta. Koirniemen osayleiskaava Osallistumis- ja arviointisuunnitelma Osayleiskaava-alue

Uudenkaupungin kaupungin terveyskeskus pyytää kirjallista tarjoustanne ultraäänilaiteesta

MAKSETUISTA ELÄKKEISTÄ ELÄKESELVITTELYÄ VARTEN ETK:LLE ANNETTAVAN ELÄKEMENOTIEDOSTON SEKÄ PERINTÄTIEDOSTON TÄYTTÖOHJE VUODELLE 2013

Tietosuojaseloste 1 (5)

Toimintaohje toimittajille ja kolmansille osapuolille

LÄÄKEHOITOSUUNNITELMA VARHAISKASVATUKSESSA

Muistilistan tarkoitus: Valvotaan lain toteutumista sekä tavoitteiden, toimenpiteiden ja koulun tasa-arvotyön seurantamenettelyn laatua.

Ohje viranomaisille 8/ (6)

Tilaustenhallinnan kokonaispalvelu 9.2 Tilha-ohje toimittajille

Asianajotoimisto Järvinen & Co Oy:n WinLaw:n asiakas- ja markkinointirekisteri 4 OIKEUSPERUSTE JA HENKILÖTIETOJEN KÄSITTELYN TARKOITUS

Danske Bankin tietosuojatiedote

REKISTERINPITÄJÄN MUUTOKSET: Toimintamalli muutostilanteessa

TUKEA LAJILIITTOJEN LASTEN JA NUORTEN URHEILUN KEHITTÄMISTYÖHÖN

HAKUOHJE LIIKUNNALLISEN ILTAPÄIVÄTOIMINNAN KEHITTÄMISAVUSTUKSIA VARTEN LUKUVUODELLE

SAAPUNUT... /... /... PL Valtioneuvosto Dnro... mdvmhku8uepon2hatzdzzkaiatq=

Windows Nordicin maksunpalautus loppukäyttäjille ("Kampanja") Microsoftin kampanjaehdot

Kärkihanke 1 Palvelut asiakaslähtöisiksi (PASI) Palvelusetelikokeilu -osahankkeen laajennus Sitra Vuokko Lehtimäki, hankepäällikkö, STM

TeliaSoneran eettiset toimintaperiaatteet

Kuopion kaupunki Pöytäkirja 1/ (1) Kaupunkirakennelautakunta Asianro 201/ /2016

3. Rekisterin nimi Lappeenrannan kaupungin joukkoliikenteen matkakorttijärjestelmän asiakasrekisteri

Kuntien kulttuuritoiminnasta annetun lain uudistaminen

Lahden seudun joukkoliikenteen rekisteriseloste

Opiskeluoikeusohje. 1 Ohjeen tarkoitus. Tämä ohje perustuu seuraaviin ammattikorkeakoulun toimintaa ohjaaviin säädöksiin:

LIITE III RAHOITUS- JA SOPIMUSSÄÄNNÖT

Tietosuoja- ja tietoturvakuvaus Bolt Group Oy

Parikkalan kunta. Kolmikannan Koirniemen osayleiskaava Osallistumis- ja arviointisuunnitelma Osayleiskaava-alue

TARJOUSPYYNTÖ LAPIN JÄTEHUOLTO KUNTAYHTYMÄN HALLINNON JA TALOUDEN TARKASTUSPALVELUISTA

EU:n yleisessä tietosuoja-asetuksessa (GDPR) tarkoitettu rekisterinpitäjä on:

Kattoturvatuotteet - Kattopollarit, talotikkaat, lumiesteet ja katon vaakaturvakiskot

INSPIREn määrittelyjen mukaisen tietotuotteen muodostaminen: <TEEMAN NIMI>

LOPEN VUOKRATALOT OY LIITE 1 ISÄNNÖINNIN TEHTÄVÄLUETTELO 1. HALLINNOLLISET TEHTÄVÄT

Kielistrategia. 1. Periaatelinjaukset. 1.1 Johdanto. 1.2 Nykytilanne ylioppilaskunnassa ja Aallossa

VALTIONAVUSTUKSET SUOMI.FI-VIESTIT -PALVELUN KÄYTTÖÖNOTTOIHIN

Akaa: Onnistunut työ tekee hyvää -hankkeen työpaja

Basware Konsernitilinpäätös Forum Ajankohtaista pörssiyhtiön raportoinnissa

SUOMENLINNAN HOITOKUNNAN TYÖJÄRJESTYS

Hallituksen esitys. Lausunto Asia: LVM/1145/03/2018. Yleiset kommentit hallituksen esityksestä

Kelan järjestelmä muodostaa erän apteekin yhden vuorokauden aikana lähettämistä ostoista.

E+ liikkuvuushankkeen sopimusasiat. Liikkuvuushankkeiden aloituskoulutus 2018

VARHAISKASVATUKSEN PALVELUSETELI

Vaalilautakuntien ja vaalitoimikunnan jäsenten ja varajäsenten sekä vaalitoimitsijoiden nimeäminen Kirkkonummella

Tietosuojaseloste Opetusalan Ammattijärjestö OAJ

Plus500CY Ltd. Tietosuoja- ja evästekäytäntö

PALVELUHINNASTO Voimassa alkaen. Maa- ja metsätalousministeriön tietopalvelukeskuksen. (Tike) hinnasto

Suomi 100 -tukiohjelma

Danske Finance Oy:n tietosuojatiedote

Ohjeita ja suosituksia Ohjeet luottoluokituslaitosten ESMAlle säännöllisin väliajoin toimittamista tiedoista

PROJEKTISUUNNITELMA

Ohje viranomaisille 3/ (5)

Ominaisuus- ja toimintokuvaus Idea/Kehityspankki - sovelluksesta

LIIKETOIMINNAN KEHITTÄMISEEN JA YRITYKSEN MUUTOSTILANTEISIIN LIITTYVÄT PALVELUT

B2C KOHDERYHMÄPALVELUT PALVELUKUVAUS

Seudullisten kehittämisyhtiöiden rooli työ- ja elinkeinopolitiikan

UPSEERIEN AMPUMAYHDISTYS ry:n jäsenten henkilötietojen käsittely

Avoin tieto ja avoin hallinto kunnissa

MENETTELYTAPAOHJE RAKENNUTTAMINEN HSY JA HELSINGIN KAUPUNKI Liite 3

Opetushallitus pyytää tarjoustanne tämän tarjouspyynnön ja sen liitteiden mukaisesti.

FIRI haku 1: Suomen tutkimusinfrastruktuurien tiekartalla (versio 2018) olevat infrastruktuurit ja Suomen kansainväliset jäsenyydet

Luonnonvarakeskuksen (Metla, MTT, RKTL) TORI siirtoprojektin ohjausryhmän pöytäkirja

Oppijan verkkopalvelut Tarkennettu viitearkkitehtuuri. v.1.91

Juokslahden metsästysseura ry:n maanvuokraajien henkilötietojen käsittely

Kirkkonummen musiikkiopisto - Kyrkslätts musikinstitut OPETUSSUUNNITELMA

Määräykset ja ohjeet 1/2012

Transkriptio:

LIITE 3 Tietturvallisuus Palvelun timittajalle asetettavat tietturvavaatimukset Spimusliite 7.11.2014 Versi 3.0 TRAFI 28292/00.00.02/2014 Cpyright Liikenteen turvallisuusvirast

Palvelun timittajan tietturvallisuusvaatimukset 2(9) SISÄLLYSLUETTELO 1 TIETOTURVALLISUUS 3 1.1 Tausta ja tavite 3 1.2 Trafin tietturvallisuuden viitekehys 3 1.2.1 Tietturvallisuuden ulkiset vaatimukset 3 1.2.2 Tietturvallisuuden sisäiset vaatimukset 4 2 TIETOTURVALLISUUDEN YHTEISTYÖMALLI JA VAATIMUKSET 6 2.1 Timittajan tietturvallisuuden ja jatkuvuudenhallinnan hallintajärjestelmät 6 2.2 Timittaja ja Trafin tietturvallisuuden viitekehys 7 2.3 Kkuskäytäntö 7 2.4 Riskienhallinta 7 2.5 Ilmitusvelvllisuus 7 2.6 Tarkastusikeus 8 2.7 Alihankinta 8 3 TIETOAINEISTOJEN HALLINTA 9 Liikenteen turvallisuusvirast

Palvelun timittajan tietturvallisuusvaatimukset 3(9) 1 TIETOTURVALLISUUS 1.1 Tausta ja tavite Tietturvallisuudella tarkitetaan tässä tietturvaliitteessä määritelmän mukaan tietjen eheyden, luttamuksellisuuden ja käytettävyyden varmistamista (ISO 27002). Tietturvallisuus kattaa näin määriteltynä sekä hallinnllisen että teknisen tietturvallisuuden. Kknaisvastuu ulkpulisilta timittajilta hankituista tutteista ja palveluista säilyy Trafilla, mutta kukin timittaja vastaa pulestaan spimuskumppanina virastlle timittamistaan tutteista ja palveluista svitulla tavalla. Timittajan vastuuseen sisältyvät tällöin aina sen timittamiin tutteisiin ja palveluihin liittyvä tietturvallisuus, tietsuja ja jatkuvuuden hallinta. Tämän tietturvaliitteen tavitteena n määrittää Trafin ja sen spimuskumppanina timivan palveluntarjajan (timittajan) välinen yhteistyömalli tietturvallisuuden salta. Yhteistyömalli sisältää määritteitä niin spimuskumppanin tietturvallisuuden hallintaan kuin sen timittamien tutteiden ja palveluiden tietturvallisuuteen. Tietturvaliite n tarkitettu käytettäväksi yleisenä spimusliitteenä, jten tietturvaliitteen käsittelytas n plitiikka- ja periaatetaslla. Operatiivisen tasn tietturvaasetukset ja kntrllitimenpiteiden käytännön tteutus määritetään ja dkumentidaan sana tutteen ja palvelun timitusta tietturvaliitteessä esitetyn viitekehyksen kntrllikhteiden phjalta. Tietturvatteutuksen hyväksyminen tehdään spimuksessa määritellyn ja svitun hyväksymismenettelyn mukaisesti. Trafi n ISO/IEC 27001:2005 sertifiitu rganisaati ja pyrkii nudattamaan valtinhallinnssa määriteltyä krtettua tietturvatasa (Valtineuvstn asetus tietturvallisuudesta valtinhallinnssa (1.7.2010/681)). Trafin spimuskumppanina timivan palveluntarjajan (timittajan) timittamien tutteiden ja palveluiden tulee mahdllistaa se, että Trafin tteuttamat palvelut täyttävät aina myös nämä vaatimukset, vaikka niistä ei lisikaan jhdettavissa välittömästi velvittavia vaatimuksia spimuskumppania (timittajaa) itseään khtaan. Vuden 2015 aikana Trafi tulee uudistamaan sertifiinnin ISO/IEC 27001:2013 vaatimusten mukaiseksi. Palveluntarjajan (timittajan) tulee varautua viitekehyksen muutkseen sana spimuksen tteuttamista. Trafi edellyttää uudelleensertifiinnin jälkeen sille timitettavien tutteiden ja palveluiden mahdllistavan Trafin tteuttamien palveluiden tteuttamisen uuden viitekehyksen (ISO/IEC 27001:2013) mukaisesti. 1.2 Trafin tietturvallisuuden viitekehys Trafin timintaan khdistuu vaatimuksia tietturvallisuuden salta niin ulkisesti kuin sisäisesti. Viitekehys määrittelee vaatimuksenmukaisuuden näkökulmasta Trafin timinnalle asetetun vaatimustasn. Seuraavassa käydään läpi tämä keskeinen tietturvallisuuden viitekehys. Liikenteen turvallisuusvirast

Palvelun timittajan tietturvallisuusvaatimukset 1.2.1 Tietturvallisuuden ulkiset vaatimukset 4(9) Trafin timintaan khdistuu ulkisia tietturvavaatimuksia lainsäädännön, valtinhallinnn tietturvatasjen ja hyvän tietturvallisuustavan kautta. Keskeisen säädösperustan mudstavat: 1. Laki viranmaisen timinnan julkisuudesta (621/1999) ja siihen liittyvä asetus (1030/1999) 2.Valtineuvstn asetus tietturvallisuudesta valtinhallinnssa (1.7.2010/681) 3.Valtineuvstn periaatepäätös valtinhallinnn tietturvallisuuden kehittämisestä (VAHTI 7/2009) 4.Valtineuvstn periaatepäätös valtin tiethallinnn kehittämisestä (2.3.2000, VM0087:00/02/021999) 5.Henkilötietlaki (523/1999) 6.Laki kansainvälisistä tietturvallisuusvelvitteista (24.6.2004/588) 7.Laki sähköisestä asiinnista hallinnssa (13/2003) 8.Laki sähköisestä allekirjituksesta (14/2003) 9.Viestintämarkkinalaki (393/2003) 10.Arkistlaki (381/1994) 11.Sähköisen viestinnän tietsujalaki (516/2004) 12.Laki yksityisyyden sujasta työelämässä (759/2004) 13. Valtineuvstn päätös hultvarmuuden tavitteista (21.8.2008/539) Trafia säätelevät myös valtinhallinnssa määritellyt erityiset tietturvatast ja VAH- TI-hjeistus. Lisäksi Trafilta edellytetään timintaa hyvän tietturvallisuustavan mukaisesti ja yleisesti tunnustettujen hyvien käytäntöjen nudattamista. 1.2.2 Tietturvallisuuden sisäiset vaatimukset Trafilla n käytössä hyväksytty tietturvaplitiikka. Se määrittelee plitiikka-taslla tavitteet, rganisinnin ja periaatteet tietturvallisuudelle ja tietturvatyön järjestämiselle sekä hallinnalle. Tietturvaplitiikka n samalla keskeisin sisäinen tietturvavaatimus. Tietturvaplitiikan määrittelemien tavitteiden ja periaatteiden tteuttamiseksi käytännön tietturvatyössä Trafissa n tietturvallisuuden hallintajärjestelmä. Tietturvallisuuden hallintajärjestelmän tarkituksena n timia tietturvatyön jhtamisen työkaluna. Trafi n sisäisesti situtunut ISO 27001 ja 27002 standardien periaatteita tukevaan timintamalliin. Trafin tietturvallisuuden hallintajärjestelmä n ISO 27001 standardin mukainen ja Trafilla n ISO/IEC 27001:2005 sertifikaatti. ISO 27001 ja 27002 standardien kattamat tietturvallisuuden sa-alueet vat (2013-versi): Turvallisuusplitiikka Tietturvaplitiikka määrittelee jhdn hyväksymät ja sen tukea nauttivat rganisaatin liiketimintaa tukevat tietturvallisuuden periaatteet. Tietturvallisuuden rganisiminen Liikenteen turvallisuusvirast

Palvelun timittajan tietturvallisuusvaatimukset 5(9) Tietturvallisuuden rganisinti tteuttaa ja valv rganisaatin tietturvallisuutta kk laajuudessaan ennalta määritellyn puitekehikn sisällä. Henkilöstöturvallisuus Henkilöstöturvallisuuden tavitteena n kehittää ja ylläpitää kaikkien rganisaatille työtä tekevien henkilöiden salta tarkituksenmukaista tietturvallisuuden tasa kk työnteksuhteen elinkaaren ajan. Sujattavien khteiden hallinta Khdan keskeisenä tavitteena n määritellä rganisaatin sujattavat khteet (esim. tiedt, tietjärjestelmät, laitteet, tilat, henkilöt,...) ja niiden mistajuus, jtta sujattavien khteiden turvaamistimenpiteet vidaan mitittaa ja tteuttaa tdellisen sujaamistarpeen mukaisina. Pääsyikeuksien hallinta Pääsyikeuksien hallinnan tavitteena n kntrllida tietturvallista ja liiketiminnan tavitteisiin perustuvaa pääsyä käsiksi rganisaatin tietihin, tietjenkäsittelylaitteistihin ja liiketimintaprsesseihin. Salausmenetelmät Khdan keskeisenä tarkituksena n määrittää rganisaatin timinnan kannalta tarkituksenmukainen riskien arviintiin perustuva käytäntö salausmenetelmien salta. Fyysinen turvallisuus ja ympäristön turvallisuus Fyysisen turvallisuuden ja ympäristön turvallisuuden tarkituksena n riskiarviintiin perustuvan sujaamistarpeen mukaisesti ehkäistä timitilihin khdistuvaa rganisaatin tietjen ja timitiljen vahingittumista sekä luvatnta pääsyä. Käyttötimintjen turvallisuus Khdan tarkituksena n varmistaa rganisaatin tietjenkäsittelyn käyttötiminnn ja sen hallinnan ikeellisuutta ja turvallisuutta esimerkiksi tarkituksenmukaisin prsessein ja vaarallisia työyhdistelmiä ehkäisemällä. Tietliikenteen turvallisuus Khdan tarkituksena n varmistaa rganisaatin käyttämien tietliikenneratkaisujen timivuuden ja hallinnan ikeellisuutta ja turvallisuutta esimerkiksi tarkituksenmukaisin prsessein ja vaarallisia työyhdistelmiä ehkäisemällä. Tietjärjestelmien hankinta, kehittäminen ja ylläpit Khdan pyrkimyksenä n varmistaa tietturvallisuus kautta kk tietjärjestelmän elinkaaren ajan. Timittajahallinta Khdan tavitteena n varmistautua timittajien hallinnan tteutuminen tietturvallisesti ja hyvien käytäntöjen mukaisesti. Tietturvatapahtumien hallinta Tietturvatapahtumien hallinnan tavitteena n tietturvatapahtumien määrämutinen raprtinti ja hallintakäytäntö i- Liikenteen turvallisuusvirast

Palvelun timittajan tietturvallisuusvaatimukset 6(9) kea-aikaisten ja tarkituksenmukaisten krjaavien timenpiteiden mahdllistamiseksi. Liiketiminnan jatkuvuuden tietturvallisuus Khdan tarkituksena n varmistaa, että jatkuvuuden hallinnannassa ja suunnittelussa tetaan riittävällä tavalla humin tietturvallisuuden vaatimukset liiketiminnan ja liiketimintaprsessien häiriötilanteissa. Vaatimustenmukaisuus Vaatimuksenmukaisuuden tarkituksena n varmistaa liiketimintaan khdistuvien lainsäädännön, määräysten ja spimusten mukainen timinta. Trafin liiketiminnan jatkuvuudenhallinta tukee ISO/IEC 22301 ja 22311 standardien mukaista timintamallia. Timintamalli n riskilähtöinen ja jatkuvuudenhallintaa varten käytetään jatkuvuudenhallinnan hallintajärjestelmää. Jatkuvuudenhallinta kattaa sekä nrmaaliljen että pikkeusljen jatkuvuuden hallinnan. 2 TIETOTURVALLISUUDEN YHTEISTYÖMALLI JA VAATIMUKSET 2.1 Timittajan tietturvallisuuden ja jatkuvuudenhallinnan hallintajärjestelmät Trafi edellyttää, että sille tutteita ja palveluja timittavalla spimuskumppanilla n käytössään määritelty ja hyväksytty kirjallinen tietturvaplitiikka. Tietturvaplitiikan tulee kuvata tietturvallisuuden tavitteet, rganisinti ja siinä nudatettavat yleiset periaatteet. Spimuskumppanilla (timittajalla) tulee lla kirjallinen ja säännöllisesti ylläpidettävä tietsujaplitiikka, jka ilmaisee nudatetut periaatteet. Tietsujaplitiikassa ilmaistuista periaatteista tulee jhtaa tarpeellinen tietsujahjeistus. Trafi edellyttää myös spimuskumppanilla levan käytössään dkumentitu tietturvallisuuden hallintajärjestelmä tietturvallisuuden jhtamisen työvälineenä. Trafin susituksen mukaisesti tietturvallisuuden hallintajärjestelmän tulee perustua ISO 27001 standardiin tai vaihtehtisesti muuhun kirjalliseen riittäväksi katsttavaan kuvaukseen, jka kuitenkin kattaa sisällöllisesti khdassa 1.2.2 mainitut ISO 27001 ja 27002 -standardien sa-alueet. Trafi edellyttää myös spimuskumppanilla levan käytössään dkumentitu liiketiminnan jatkuvuuden hallinnan hallintajärjestelmä jatkuvuuden hallinnan jhtamisen työvälineenä. Jatkuvuuden hallinnan tulee kattaa sekä jatkuvuussuunnittelu että tipumissuunnittelu. SLA ja/tai liiketiminnan keskeytysvakuutus eivät mudsta ainakaan yksinään tässä tarkitettua riittävää ratkaisua. Trafin susituksen mukaisesti liiketiminnan jatkuvuudenhallinnan hallintajärjestelmän tulee perustua ISO 22301- standardiin tai vaihtehtisesti muuhun kirjalliseen riittäväksi katsttavaan kuvaukseen, jnka tulee kattaa sisällöllisesti myös khdassa 1.2.2 mainitut vaatimukset. Tietturvaplitiikan ja muun tietturvadkumentaatin suhteen spimuskumppanin (timittajan) ja mahdllisten alihankkijiden tulee nudattaa jatkuvan kehittämisen periaatetta. Dkumentaati tulee arviida, päivittää ja hyväksyä vähintään kalenterivusittain tai useamminkin merkittävien muutsten yhteydessä. Spimuskumppanin (timittajan) tulee nimetä vastuuhenkilö tai vastuuhenkilöt tietturvallisuudelle, tietsujalle ja jatkuvuuden hallinnalle. Vastuuhenkilölle tai vastuu- Liikenteen turvallisuusvirast

Palvelun timittajan tietturvallisuusvaatimukset 7(9) henkilöille tulee nimetä varahenkilö(t). Vastuuhenkilön/öiden tehtävät ja vastuut tulee dkumentida. Spimuskumppanin tulee kuvata palveluketju, jlla palvelu tutetaan, ja siinä nudatettavat tietturvaperiaatteet sekä kntrllikhteiden käytännön tteutus. Palveluketjun kuvaukseen tulee sisältyä mm. Trafin järjestelmien käyttötapa, käytettävät timintatavat, tietjärjestelmät ja mahdlliset alihankkijat. 2.2 Timittaja ja Trafin tietturvallisuuden viitekehys Timittajan edellytetään perehtyvän khdassa 1.2 kuvatun Trafin tietturvallisuuden viitekehykseen sekä timivan sen mukaisesti timittaessaan Trafille tutteita ja palveluita. Mainittu viitekehys määrittelee tutteen ja palvelun timittaman tietturvallisuuden aineellisen sisällön ja laajuuden. Käytännössä timittajan spimuskumppanina edellytetään timivan tietturvallisella ja samalla hyvän tietturvallisuustavan mukaisia käytäntöjä tukevalla tavalla, sen timittamien tutteiden ja palveluiden täyttävän mainitussa viitekehyksessä määritellyn vaatimustasn sekä mahdllistavan Trafille mainitun vaatimuksenmukaisuuden täyttämisen massa palvelututannssaan. Jkaisen tutteen ja palvelun timittamiseen liittyvät yksityiskhtaiset tietturvaasetukset ja käytännöt määritetään ja dkumentidaan sana tutteen ja palvelun timitusta. 2.3 Kkuskäytäntö Trafi edellyttää, että spimusryhmien säännöllisesti pidettävissä kkuksissa käsitellään aina yhtenä esityslistan vakikhtana tietturvallisuutta. Kkukseen tulee tällöin aina tai ainakin niin erikseen svittaessa sallistua kummankin spijapulen nimeämä tietturvallisuuden vastuuhenkilö tai tämän varahenkilö. 2.4 Riskienhallinta Trafi edellyttää, että timittajalla n käytössä sen timittamaan tutteeseen tai palveluun liittyvä menetelmä riskien hallintaa varten, ellei sen tietturvallisuuden hallintajärjestelmä tue ISO 27001 standardia ja jatkuvuudenhallinnan hallintajärjestelmä ISO 22301-standardia, jtka edellyttävät sitä lähtökhtaisesti. Mikäli timittaja saa tietnsa sen tutteeseen tai palveluun mahdllisesti liittyvän riskin, uhkan, vahinktapahtuman, tietturvapikkeaman tai vastaavan muun asian n sen ilmitettava siitä Trafin spimusvastuuhenkilölle viipymättä. Spimuskumppanin (timittajan) tulee timia avimesti ja läpinäkyvästi suhteessa Trafiin. 2.5 Ilmitusvelvllisuus Trafi edellyttää, että sille timitettavat tutteet ja palvelut timitetaan EU-alueelta, mikäli niillä vi lla merkitystä tietturvallisuuden kannalta. Trafin tietkannat tulee vastaavasti aina säilyttää Sumessa hultvarmuusvaatimusten njalla, mikä vaatimus ei estä yksittäisten tietaineistjen luvuttamista ulkmaille. Trafilla tulee aina lla ajanmukainen tiet siitä miltä maantieteelliseltä alueelta sille timitettavat tutteet ja palvelut timitetaan. Mikäli mainituista periaatteista halutaan piketa edes saksi, n pikkeuksesta ilmitettava Trafille hyväksyntää varten. Sama ilmitusvelvllisuus kskee tutteen ja palvelun timittamiseen liittyvää muutsta, millä saattaa lla merkitystä tietturvallisuuteen. Liikenteen turvallisuusvirast

Palvelun timittajan tietturvallisuusvaatimukset 8(9) 2.6 Tarkastusikeus Trafilla n spimuksessa määritellyn tarkastusikeuden perusteella ikeus malla kustannuksellaan tarkastaa säännöllisesti ja tarpeelliseksi katsmassaan laajuudessa spimuskauden aikana spimuskumppanin myötävaikutuksella sen ja myös tarvittaessa sen alihankkijiden tietturvallisuutta. Trafi vi käyttää mainitun tarkastuksen surittamiseen jk mia henkilöitään tai pulueetnta ulkpulista asiantuntijaapua niin halutessaan. Spimuskumppanin (timittajan) tulee sisällyttää mahdllisten alihankkijidensa kanssa tehtäviin Trafille timitettaviin tutteisiin tai palveluihin liittyviin spimuksiin auditintiklausuuli. Auditintiklausuulin tulee mahdllistaa myös Trafin tarpeellisiksi arviimat mahdlliset auditintitimet suhteessa timittajan alihankkijihin. Spimuskumppanin (timittajan) tulee auditida säännöllisesti kalenterivusittain alihankkijitaan. Auditintien tulee perustua ennalta laadittuun suunnitelmaan ja auditintien tulee nudattaa hyviä auditintikäytäntöjä. Spimuskumppanin (timittajan) tulee infrmida Trafia tekemistään tai teettämistään auditinneista ja auditintiraprttien tulee lla Trafin saatavilla. Trafilla n tietyissä tilanteissa mahdllisuus tehdä tai teettää kullinkin tarpeellisiksi arviimansa turvallisuusselvitykset ja tehdä nimenmaiset salassapitspimukset kskien tutteiden ja palveluiden timittamista Trafille. Timittaja n velvllinen tuttamaan Trafille asetettujen vaatimusten ja Trafin massa hjeistuksessaan asettamien vaatimusten mukaisia lkeja. Trafi edellyttää tehtäväksi säännöllisiä lkitarkastuksia vähintään neljännesvusittain. Havaitut pikkeamat raprtidaan viivytyksettä Trafin spimusvastuuhenkilölle. Lisäksi Trafi tekee säännöllisiä lkitarkastuksia miin järjestelmiinsä. Timittajan tulee timittaa lkit Trafille tarkastusten yhteydessä tai muullin pyydettäessä tai säännöllisesti niin nimenmaisesti svittaessa. 2.7 Alihankinta Trafin spimuskumppanina timiva palveluntarjaja (timittaja) vi käyttää Trafille timitettavien tutteiden ja/tai palveluiden tutannssa alihankkijita. Alihankkijita käytettäessä tulee spimuskumppanin (timittajan) ttaa humin alihankinnan salta erityisesti seuraavat vaatimukset: Spimuskumppanin (timittajan) tulee hulehtia mahdllisten alihankkijidensa salta siitä, että ne täyttävät Trafille timitettavien tutteiden ja palveluiden salta tässä tietturvaliitteessä asetetut vaatimukset. Spimuskumppani (timittaja) vastaa mien alihankkijidensa timesta aina kuin masta timinnastaan. Spimuskumppanin (timittajan) tulee hulehtia, että kaikissa työntekspimuksissa n nimenmaiset ja riittävän kattavat vaitilsitumukset. Spimuskumppanilla (timittajalla) tulee lla kirjallinen ja säännöllisesti ylläpidettävä timittajien ja kumppanien hallintaperiaatteet ilmaiseva plitiikka, jka kattaa myös tietturvallisuutta, tietsujaa ja jatkuvuuden hallintaa kskevat periaatteet. Liikenteen turvallisuusvirast

Palvelun timittajan tietturvallisuusvaatimukset 9(9) 3 TIETOAINEISTOJEN HALLINTA Spimuskumppanilla tulee lla tietaineistjen hallinnasta kirjalliset hjeet, jtka mahdllistavat valtinhallinnn tietaineistjen hallinnalle asetettujen määräysten mukaisen timinnan. Spimuskumppanin hjeistn tulee sisältää ainakin: Tietaineistjen hallinnasta vastaava henkilö. Tietaineistjen käsittelyhjeet tietaineistn elinkaaren aikana. Trafin tietaineista saa käyttää yksinmaan kussakin spimuksessa nimenmaisesti määriteltyyn ja svittuun käyttötarkitukseen. Tietaineistn luvattman käytön estämiseksi annetut hjeet. Tietaineistturvallisuutta tukevan timinnan, kuten henkilöturvallisuuden sekä käyttöympäristön ja fyysisen ympäristön turvallisuuden määrittelyn. Liikenteen turvallisuusvirast

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute