Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Samankaltaiset tiedostot
Henkilötietojen käsittelyn ehdot. 1. Yleistä

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Tämä henkilötietojen käsittelyä ja tietosuojaa koskeva sopimusliite on tehty seuraavien sopijapuolten (Rekisterinpitäjä ja Toimittaja) välillä.

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 4

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Henkilötietojen käsittelyn ehdot

LIITE 2. Henkilötietojen käsittelyn ehdot. 1. Yleistä

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

2.3. Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

LIITE VARMENNEPALVELUJEN ASIAKAS- JA REKISTERÖINTISOPIMUKSIIN NRO

Sopimuksen liite Henkilötietojen käsittelyn ehdot

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 5

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

Henkilötietojen käsittelyn ehdot

Tietosuojavaltuutetun toimiston tietoisku

Kanta-Hämeen sairaanhoitopiirin kuntayhtymä (jäljempänä Tilaaja ) Ahvenistontie 20, Hämeenlinna Y-tunnus:

TIETOSUOJAA KOSKEVAT EHDOT

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

LIITE 3: HENKILÖTIETOJEN KÄSITTELYN EHDOT

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Henkilötietojen käsittelyn ehdot palveluntuottajille

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Käsittelyä koskevat tarkemmat tiedot, kuten käsittelyn luonne, henkilötietojen tyyppi ja rekisteröityjen ryhmät, on kuvattu jäljempänä.

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

Tässä Liitteessä tarkoitetaan EU:n tietosuoja-asetuksen mukaisesti

Henkilötietojen käsittelyn ehdot

1.1. Rekisterinpitäjän henkilötiedoilla tarkoitetaan näissä ehdoissa henkilötietoja, joista Rekisterinpitäjä

I Osa: Sopimusehdot [Siirrä nämä ehdot soveltuvin osin sopimukseen]:

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE VÄESTÖREKISTERIKESKUS

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 2

2.3 Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

Liite 1 Henkilötietojen käsittelyn ehdot. 1. Yleistä. 2. Osapuolten roolit henkilötietojen käsittelyssä. 3. Henkilötietojen käsittely

Määritelmät. Tarkoitus. Asiakkaan velvollisuudet. PULSE247 OY TIETOSUOJAEHDOT liite MyCashflow-verkkokauppapalvelun käyttöehtoihin 25.5.

Sopimus henkilötietojen käsittelystä (DPA)

LIITE HENKILÖTIETOJEN KÄSITTELYSTÄ

3.1. DialOk käsittelee Käsiteltäviä tietoja sopimuksen ja Asiakkaalta saatujen kirjallisten ohjeiden mukaisesti.

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 3

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Rekisterinpitäjän ja käsittelijän velvollisuuksien sekä vastuiden jako. Miten EU:n tietosuoja-asetus vaikuttaa sopimiseen?

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

HENKILÖTIETOJEN KÄSITTELYSOPIMUS. 1. Johdanto. 2. Määritelmät

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

JUHTA: n toteuttamat tietosuojayhteishankkeet Kick off-tilaisuus ja 1. työpaja

SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

1. Tausta ja tarkoitus. 2. Määritelmät

Tietosuojaseloste. Keski-Suomen Valokuituverkot Oy

SFS-ISO/IEC 27018:2014 Menettelyohjeet henkilötietojen suojaamiseen henkilötietoja käsittelevissä julkisissa pilvipalveluissa

Sopimus henkilötietojen käsittelystä tilitoimistossa

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

TIETOJENKÄSITTELYSOPIMUS

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

Vaikutustenarviointi GDPR:n mukaan

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

TIETOSUOJA- ASETUKSEN HUOMIOINTI YRITYSTASOLLA. FINNET-LIITTO Mikko Viemerö (KTL, CIPP/E, CIPM, CIPT, CISA, CISM)

TIETOSUOJAPOLITIIKKA. Turun kaupunki

Haminan tietosuojapolitiikka

HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVA LIITE

DLP ratkaisut vs. työelämän tietosuoja

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Varustekorttirekisteri - Tietosuojaseloste

Käsittelysopimus. 1 Tausta ja tarkoitus. 2 Määritelmät

Tietoturvapolitiikka

Teknologia avusteiset palvelutverkostopalaveri

TIETOJENKÄSITTELYSOPIMUS

EU:n tietosuoja-asetus

TIETOSUOJAPOLITIIKKA

EU:n tietosuoja-asetus (GDPR)

GDPR Tietosuoja-asetus

EU:N TIETOSUOJA-ASETUKSET WALMU

- pienten ja keskisuurten yritysten ja järjestöjen valmennushanke

Pilvipalvelut ja henkilötiedot

Ulvilan kaupungin tietosuojapolitiikka

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Tietosuoja-asetuksen sopimusvaatimukset ja vaikutus tarjouspyynnön suunnitteluun

EU:n tietosuoja-asetus ja sähköposti

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Asukkaan oikeus omaan dataan ja GDPR asuntoosakeyhtiössä. Ilmastoviisaat taloyhtiöt työpaja 1 Asukkaan MyData

Henkilötietojen käsittelyn ehdot palvelusetelipalveluntuottajille

Eläketurvakeskuksen tietosuojapolitiikka

TIETOSUOJASOPIMUS. 1. Sopijapuolet. 2. Sopimuksen tarkoitus. 3. Määritelmät. Laitos/kampus Osoite. Osoite. jäljempänä Sopijapuoli tai Sopijapuolet.

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

Transkriptio:

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet Työpaja #3 Tietoturvallisuuden toteuttaminen organisaation toiminnassa mitä asetus edellyttää, ja miten vaatimukset käytännössä toteutetaan Riskienhallinta osa 3, riskien hallinta ja toimenpiteiden seuranta sekä arviointityöpajojen toteuttaminen

Tilaisuuden ohjelma 8.30 Kahvi 9.00 Tilaisuuden avaus Tuula Seppo, Kuntaliitto & Kimmo Rousku, valtiovarainministeriö 9.15 Mikä on tarvittava tietoturvallisuuden vähimmäistaso? 10.30 Bio- ja jaloittelutauko 10.45 Työpaja jatkuu: Tietoturvallisuuden toteuttaminen organisaation toiminnassa mitä asetus edellyttää ja miten vaatimukset käytännössä toteutetaan 12.15 Lounastauko (omakustanne) 13.00 Riskienhallinta osa 3, riskien hallinta ja toimenpiteiden seuranta sekä arviointityöpajojen toteuttaminen 14.30 Kahvitauko 14.45 Työpaja jatkuu 16.00 Yhteenveto ja kotitehtävä 16.15 Työpaja päättyy

Tietoturvallisuus organisaation toiminnassa miten vaatimukset käytännössä toteutetaan?

Tietoturvallisuuden hallintajärjestelmä (ISMS) esimerkki: ISO/IEC 27000-standardiperhe ISO/IEC 27000 standardiperhe on otsikoitu Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät Maailmanlaajuisesti käytetyimpiä tietoturvan viitekehyksiä Puhutaan tietoturvasta, mutta se käsitetään lähinnä sateenvarjokäsitteeksi: suojattava kohde / tieto on keskiössä. ISO/IEC 27001 on standardisarjan päädokumentti, jossa määritellään keinot organisaation tietoturvallisuuden hallintajärjestelmän luomiseen, ylläpitoon ja jatkuvaan parantamiseen. ISO/IEC 27002 täydentää 27001 -standardia määrittämällä tarkentavia tietoturvallisuuden hallintaa koskevia menettelyohjeita Muut 27000 -perheen standardit tukevat 27001 -standardin soveltamista määrittämällä ohjeita ja kriteerejä mm. tietoturvallisuuden hallintakeinojen mittaamiseen, auditointiin ja sertifiointiin Standardin noudattamisella ja sen osoittamisella voidaan osaltaan vastata osoitusvelvollisuuden täyttämisen velvoitteeseen Huomaa myös 27005 (riskienhallinta), 27032 (kyberturvallisuus), 27035 (tietoturvahäiriöiden hallinta), 27036 toimittajasuhteiden tietoturvallisuus

Tietoturvallisuuden hallinta 1. Määritellään tietoturvan hallinnan ympäristö 6. Parannetaan riskien ja tietoturvan hallintaa 2. Tunnistetaan suojattavat kohteet 5. Valvotaan riskejä sekä tietoturvaa 3. Tunnistetaan ja analysoidaan riskit 4. Valitaan ja otetaan käyttöön suojauskeinot

1. Tietoturvan hallinnan ympäristön määrittely 1. Organisaation toimintaympäristö 2. Lakisääteiset vaatimukset 3. Riskienhallinta 4. Tietoturvapolitiikka ja -ohjeet 5. Tietoturvaorganisaatio

2. Suojattavien kohteiden tunnistaminen Tilat Prosessit Palvelut Tiedot Organisaation toimiala Toimittajat Järjestelmät Ihmiset

3. Riskien tunnistaminen ja analysointi 1. Uhkien tunnistaminen 2. Riskien vaikutusten analysointi 3. Riskien hallintakeinojen valinta 4. Riskitason määritys

4. Suojauskeinojen valinta ja käyttöönotto A.5: Tietoturvapolitiikat (2 hallintakeinoa) A.6: Tietoturvallisuuden organisointi (7 hallintakeinoa) A.7: Henkilöstöturvallisuus (6 hallintakeinoa, joita sovelletaan ennen työsuhdetta, sen aikana ja sen jälkeen) A.8: Suojattavan omaisuuden hallinta (10 hallintakeinoa) A.9: Pääsynhallinta (14 hallintakeinoa) A.10: Salaus (2 hallintakeinoa) A.11: Fyysinen turvallisuus ja ympäristön turvallisuus (15 hallintakeinoa) A.12: Käyttöturvallisuus (14 hallintakeinoa) A.13: Viestintäturvallisuus (7 hallintakeinoa) A.14: Järjestelmien hankkiminen, kehittäminen ja ylläpito (13 hallintakeinoa) A.15: Suhteet toimittajiin (5 hallintakeinoa) A.16: Tietoturvahäiriöiden hallinta (7 hallintakeinoa) A.17: Liiketoiminnan jatkuvuuden hallintaan liittyviä tietoturvanäkökohtia (4 hallintakeinoa) A.18: Vaatimustenmukaisuus (8 hallintakeinoa, sisältäen sisäiset vaatimukset kuten politiikat ja ulkoiset vaatimukset, kuten lainsäädäntö)

5. Riskien ja tietoturvallisuuden valvonta 1. Tietoturvan ja riskien valvonta ja raportointi 2. Sisäiset ja ulkoiset auditoinnit 3. Tekninen valvonta 4. Toimittajien valvonta Tekninen valvonta * Lokien keräys SIEM IDS/IPS Antivirus Roskapostisuodatus Salatun liikenteen avaaminen Data Loss Prevention teknologiat ( DLP ) * Huom! YT-menettely

6. Riskien ja tietoturvan hallinnan kehittäminen 1. Tietoturvatason nostaminen 2. Järjestelmien tason vastaavuus tietosisällön vaatimuksiin 3. Riskien vähentäminen 4. Kustannusten optimointi 5. Vaatimusten kohdentaminen

6. Riskien ja tietoturvan hallinnan kehittäminen Tietoturvaa ja tietoturvariskien hallintaa kehitetään jatkuvasti valvontatiedon ja tilannekuvan perusteella Uusien teknologioiden käyttöönotto automaattisessa valvonnassa lisää tietoisuutta ja pienentää tietoturvariskejä Tietoturvavaatimuksia parannetaan ja kohdennetaan hankintoihin aktiivisesti tietoturvaorganisaation toimesta Tietoturva on mukana kaikissa uusien järjestelmien hankinnoissa sekä sopimusneuvotteluissa Tietoturvan tasoa optimoidaan jatkuvasti, tavoitteena että mitään järjestelmää / tietoa ei suojata yli sen vaatimusten kustannukset järjestelmien vaatimustenmukaisuudesta pienenevät

Tietoturvapolitiikka

Tietoturvapolitiikka Organisaation johdon tulee osoittaa tukensa ja sitoutumisensa tietoturvallisuuden kehittämiseen julkaisemalla ja ylläpitämällä tietoturvallisuuspolitiikka Politiikka pyrkii osoittamaan tietoturvallisuuden merkityksen organisaation toimintaan ja johdon tahtotilan tietoturvallisuuden ylläpitämiseksi ja kehittämiseksi Politiikan tulee olla johdon hyväksymä ja allekirjoittama. Se tulee olla kaikkien työntekijöiden ja relevanttien kolmansien osapuolien saatavilla ja tiedossa.

Tietoturvapolitiikka Politiikassa tulisi olla määritetty mm. seuraavat asiat: Tietoturvallisuuden määritelmä, sen kokonaistavoitteet ja kattama alue Tietoturvallisuuden merkitys liiketoiminnan edistäjänä ja tiedon jaon mahdollistajana Organisaation johdon tahto ja tavoitteet Tietoturvallisuuden kontrollitavoitteiden ja kontrollien viitekehys / implementointitapa Tietoturvapolitiikan, periaatteiden, standardien ja vaatimusten määritelmä ja vaatimukset Lainsäädännöllisten ja muiden säännösten asettamat vaatimukset Tietoturvakoulutukset ja tietoisuuden lisäämisen periaatteet Viittaus liiketoiminnan jatkuvuussuunnitteluun Tietoturvarikkomusten seuranta ja sanktiot Tietoturvallisuuteen liittyvät vastuut ja velvollisuudet sekä raportointikanavat Viittaukset täydentäviin dokumentteihin ja muihin tietolähteisiin Kaikkea ei välttämättä dokumentoida kokonaisuudessaan politiikkaan, koska se pyritään pitämään mahdollisimman yleisellä tasolla ja riittävän lyhyenä

Ulkoistuskumppanit ja tietoturva (käsitellään laajemmin erillisissä työpajoissa)

Tiedonkäsittelyn ulkoistuskumppaneita koskevat vaatimukset Ulkoistussopimuksessa on sovittava vastuista ja erityisesti siitä, että henkilötietojen käsittelijä mm. käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, mikä koskee myös henkilötietojen siirtoja kolmanteen maahan tai kansainväliselle järjestölle (poikkeuksia); varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus; toteuttaa kaikki 32 artiklassa vaaditut toimenpiteet; ottaen huomioon käsittelytoimen luonteen auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata rekisteröityjen pyyntöihin;

Tiedonkäsittelyn ulkoistuskumppaneita koskevat vaatimukset (jatkuu) Ulkoistussopimuksessa on säädettävä erityisesti, että henkilötietojen käsittelijä mm. auttaa rekisterinpitäjää varmistamaan, että 32 36 artiklassa säädettyjä velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonteen ja henkilötietojen käsittelijän saatavilla olevat tiedot ( tietoturvaloukkaukset ja tietosuojan vaikutustenarvioinnit); rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot; saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tässä artiklassa säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja sallii rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin.

Tietoturvaloukkaukset ja ilmoitusvelvollisuus (käsitellään laajemmin erillisissä työpajoissa)

Artikla 33-34 - Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle ja rekisteröidyille Henkilötietojen tietoturvaloukkauksella tarkoitetaan tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin. Jos järjestelmään, jossa henkilötietoja käsitellään tai siirretään, kohdistuu palvelunestohyökkäys, kohdistuuko siihen henkilötietojen tietoturvaloukkaus?

Artikla 33-34 - Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle ja rekisteröidyille Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta toimivaltaiselle valvontaviranomaiselle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys. Jos tapahtuman seurauksena saattaa olla korkeita riskejä rekisteröityjen kannalta, ilmoitus on tehtävä myös rekisteröidyille.

Artikla 33-34 - Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle ja rekisteröidyille Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa. Tiedonannossa viranomaiselle/rekisteröidyille on vähintään a. kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät; b. ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa; c. kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; d. kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi. Suunniteltava prosessi ja valmis lomake, saatava käsittelijältä riittävät tiedot

Esimerkki ISO 27001 kontrolleista

Kontrollitavoitteet Tietojen luokittelu Kontrollitavoite: Varmistaa, että kaikki tieto tulee asianmukaisella ja riittävällä tavalla suojatuksi Luokittelu tulisi tehdä niin, että se osoittaa tarpeen, prioriteetit ja odotetun suojaustason Tietojenluokittelu käytäntö tulisi ottaa käyttöön ja sen tulisi osoittaa tarvittavat suojaustasot sekä tavat, joilla eri luokkiin kuuluvia tietoja saadaan käsitellä

Käytännön keinot kontrollit Luokitteluohjeet: Kontrolli: Tiedon luokittelussa tulisi huomioida tiedon arvo, lainsäädännön asettamat vaatimukset, tiedon luottamuksellisuuden taso sekä kriittisyys organisaation toiminnalle Tiedon merkitseminen ja käsittely Kontrolli: Tietojen luokittelun mukaiseen merkitsemiseen ja käsittelyyn tulisi olla riittävät ja asianmukaiset tavat ja käytännöt

RYHMÄTEHTÄVÄ

Ryhmätehtävä 1 1. Mitä organisaationne tietoturvan hallinnassa tulee muuttaa, jotta tietosuojaasetuksen vaatimukset voidaan täyttää? (ks. erityisesti 32 artikla) (Tukikysymyksiä: Millaisia xxx kontrolleja tunnistat olevan teillä jo käytössä? Mitkä xxx kontrolleista jossain tietyssä (ei tarvitse sanoa missä) järjestelmässä on mielestäsi riittävällä tasolla? Miksi? Mitkä kontrollit vaativat korjaamista ensiksi? Kuinka tärkeimmät korjaukset saadaan aikaan mitä pitää olla olemassa, jotta korjaaminen voi onnistua?)

Käytännön tietoturvakontrolleja

Työkalu tietojärjestelmien arviointiin / GDPR & tietoturva

KOTITEHTÄVÄ

Kotitehtävä tietoturvallisuuden toteuttaminen 1. Laadi suunnitelma tietosuojan huomioonottamisesta tietoturvan hallinnassa organisaatiossasi 2. Sovella työpajassa esiteltyä työkalua yhteen valinnaiseen järjestelmään ja sen tietoturvaan

Lopuksi

Kertaus 1. Toimitamme linkin tilaisuuden palautekyselyyn ja materiaaleihin 2. Tee kotitehtävät varmista että työpajassa käsitellyt asiat etenevät organisaatiossasi 3. Ilmoittaudu seuraavaan työpajaan kun laitamme sinulle linkin 4. Vastaa viikkoa ennen seuraavaa työpajaa toimittamaamme kyselyyn koskien kotitehtävien suorittamista 5. Katso Arjen tietosuoja-videot ja suorita nettitesti huolehdi, että organisaatiosi huolehtii sen levittämisestä henkilöstölle viimeistään syksyn aikana sekä kerää tiedot ja varmistaa, että henkilöstö katsoo sen ja suorittaa nettitestin hyväksytysti

Kysymykset materiaaliin liittyen voi osoittaa: Mikko Viemerö (CIPP/E, CIPM, CIPT, CISA, CISM) KPMG Cyber Security Services +358 20 760 3530 mikko.viemero@kpmg.fi

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute