TT-turvallisuusjohtamisjärjestelmän rakentamisen vaiheet

Samankaltaiset tiedostot
2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

MUUTOSTA LAADUN EHDOILLA

Vihdin kunnan tietoturvapolitiikka

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Viestintäviraston tietoturvapolitiikka

Tietoturvapolitiikka

ISO 9001:2015 JÄRJESTELMÄ- JA PROSESSIAUDITOIN- NIN KYSYMYKSIÄ

SFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen

Lopullinen versio, syyskuu 2010 Paikallisen ja alueellisen tason kestävää kehitystä koskeva integroitu johtamisjärjestelmä

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Tietoturvapolitiikka

Arviointiraportti. Patenttitoimisto Jaakko Väisänen

Quality Consulting M.Mikkola OY

Tietoturvapolitiikka Porvoon Kaupunki

SFS, STANDARDIEHDOTUKSEN ISO/DIS ESITTELY

Espoon kaupunkikonsernin tietoturvapolitiikka

SMS ja vaatimustenmukaisuuden

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana. Sami Laaksonen, Propentus Oy

ISO SFS Aamukahvitilaisuus Mira Saksi H&S Manager, Vaisala OYj

TIETOTURVAPOLITIIKKA

Sovelto Oyj JULKINEN

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

OMAVALVONTA ISO 9001 ISO / FSSC ISO OHSAS SATAFOOD KEHITTÄMISYHDISTYS RY Marika Kilpivuori

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Standardit tietoturvan arviointimenetelmät

Yritysturvallisuuden johtamisen arviointi

Tietoisku ISO 14001:n ja OHSAS 18001:n tulevista muutoksista. Tuulikki Lammi Versio1,

Yritysturvallisuuden johtamisen arviointi

Auditointi. Teemupekka Virtanen

Energiatehokkuusjärjestelmä (ETJ) Energy Efficiency System (EES)

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Kunnallisen toiminnan periaatteet, määritelty ja toimitaanko niiden mukaisesti? 3 strategialähtöiset

Hallituksen selonteko.

LAATUSUUNNITELMAMALLI

Miksi auditoidaan? Pirkko Puranen FT, Ylitarkastaja

EN 1090 kokemuksia kentältä

Riski = epävarmuuden vaikutus tavoitteisiin. Valtionhallinnossa = epävarmuuden vaikutus lakisääteisten tehtävien suorittamiseen ja tavoitteisiin

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Ohje riskien arvioinnin työkalun käyttämiseksi

Consultor Finland Oy. Paasitorni / Markus Andersson Toimitusjohtaja

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Espoon kaupunki Tietoturvapolitiikka

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa

LAATUSUUNNITELMAMALLI

SATAFOOD KEHITTÄMISYHDISTYS RY

Kertomusluonnoksesta annetut lausunnot 20/2018 Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus 263/54/2017

EnergiaTehokkuusJärjestelmän. sisältö ja käyttöönotto yrityksissä

Tietoturvavastuut Tampereen yliopistossa

Pienet koulutusorganisaatiot: vaiheen 1 arviointityökalu / itsearviointikysymykset

Pilvipalveluiden arvioinnin haasteet

TIETOTURVA- POLITIIKKA

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Yllättikö puun alkuperän hallinnan vaatimus FSC- ja PEFC-standardit

Turvallisuus- ja kemikaalivirasto (Tukes) Sara Lax Tukesin valvomien kemikaalilaitosten arviointi

Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat. Diplomityöesitelmä Juha Kalander

Raitiotieallianssin riskienhallintamenettelyt

SOSIAALI- JA TERVEYSPALVELUJEN LAATU- OHJELMAN (SHQS) LAADUNTUNNUSTUS Versio

Tietohallinnon nykytilan analyysi. Analyysimenetelmä (sovitettu Tietohallintomallista)

YHTEINEN ERITTELEMÄTTÖMIEN KONSULTTIPALVELUIDEN SUUNNITTELU- JA RAKENNUTTAMISPALVELUIDEN PUITESOPIMUS

Riskienhallinta- ja turvallisuuspolitiikka

LAADUNVALVONTAJÄRJESTELMÄ- JA TOIMEKSIANTOLOMAKE

SFS - ISO Standardisarja omaisuuden hallinnalle Risto Pulkkanen

Tietoturvallisuuden johtaminen

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

SISÄLTÖ. 1 RISKIENHALLINTA Yleistä Riskienhallinta Riskienhallinnan tehtävät ja vastuut Riskienarviointi...

VESIHUOLTOLAITOKSEN OMAISUUDENHALLINNAN KÄSIKIRJA

Avoimen ja yhteisen rajapinnan hallintasuunnitelma v.1.4

SFS-ISO/IEC 27018:2014 Menettelyohjeet henkilötietojen suojaamiseen henkilötietoja käsittelevissä julkisissa pilvipalveluissa

Standardien PCI DSS 3.0 ja Katakri II vertailu

TIETOTURVAN KEHITTÄMISHANKE LOPPURAPORTTI LUOVUTETTU YLIOPISTON LAADUNKEHITTÄMISRYHMÄLLE JYVÄSKYLÄN YLIOPISTO

15224 standardi johtamisen ja laadukkaan työn tukena auditoijan näkökulma YTL Merja Huikko

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Laatukäsikirja - mikä se on ja miten sellainen laaditaan?

Projektijohtaminen. Ohjelma Paikka: HAUS kehittämiskeskus, Munkkiniemen koulutustalo, Hollantilaisentie Helsinki

Omavalvonta ja laadunhallintajärjestelmä. Elintarvikkeiden tarjoaminen julkisille keittiöille

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

EN Kantavat teräsrakenteet. Hitsauskoordinoijan ohjekirja. Innover. Innovator Network Oy innover.fi

LAATUTARJOUSLOMAKE / LAATUSUUNNITELMA KATUJEN TALVIHOIDON ALUEURAKKA 2017/ /2020

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Ulkoistamisen riskit akkreditoinnin näkökulma. Christina Waddington Akkreditointipäällikkö FINAS

OLENNAISET TOIMINNALLISET VAATIMUKSET - PÄIVITETTY LUOKITUS JA JÄRJESTELMÄLOMAKE Kela toimittajayhteistyökokous 26.4.

ISO 14001:2004 YMPÄRISTÖJÄRJESTELMÄ

Vastausten ja tulosten luotettavuus. 241 vastausta noin 10 %:n vastausprosentti tyypillinen

Sopimuksiin perustuva toiminnan jatkuvuuden hallinta

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

Miten kerätä tietoa toiminnan jatkuvaan kehittämiseen

KUJA2: Kuntien ja maakuntien jatkuvuudenhallinta -projekti. Aki Pihlaja Projektipäällikkö

TAMPEREEN KAUPUNKI TILINPÄÄTÖSARVIOINTI 2016 Liite 5 Dnro TRE: 8364/ /2016 1/12

SISÄISEN VALVONNAN PERUSTEET

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA

<<PALVELUN NIMI>> Palvelukuvaus versio x.x

Tuotannon esimiestyön erikoisammattitutkinnon perusteet

TIETOTURVAPOLITIIKKA

Turvallisuusjohtamisjärjestelmien arvioinnin kehitys EU-lainsäädännössä

Transkriptio:

TT-turvallisuusjohtamisjärjestelmän rakentamisen vaiheet 12/2016 J Moisio,

1. Johto on määritellyt liiketoiminnalliset perustelut sille, miksi TT-turvallisuusjohtamisjärjestelmää lähdetään ylipäätään rakentamaan? Mitä liiketoiminnallista ym. hyötyä sitoutumisesta jatkuvaan parantamiseen tietoturvallisuuden parantamiseen yritys saa? 2. Johto on hyväksynyt TT-hallintajärjestelmäprojektin ja antanut sen aloittamiselle hyväksynnän. 3. Projektin avainhenkilöstölle on annettu peruskoulutus TT-järjestelmään: mistä on kyse ja millaista tekemistä, rakenteita, selvityksiä, riskien ja mahdollisuuksien hallintaa TT-järjestelmä edellyttää. Tehdäänkö työ omin voimin? Missä määrin ulkoista asiantuntijaa tarvittaessa käyttäen? 4. 5. 6. 7. 8. Projektiryhmä on määritelty ja projektipäällikkö nimetty (usein tietoturvapäällikkö) sekä edustajat on nimetty keskeisistä toiminnoista tai osastoilta tai prosesseilta (IT, ICT-ammattilaisia ja muita yrityksen eri toimintojen osaajia. Projektiryhmä on määritellyt, milloin ja missä asioissa tullaan käyttämään ulkopuolista asiantuntemusta. TT-ohjausryhmä nimetty (tai voi olla suoraan johtoryhmä), jossa projektipäällikkö mukana ja johdon edustajat on nimetty. Projektiryhmä on määritellyt vastuuhenkilöt, joiden tehtävänä on tunnistaa yrityksen toimintaan liittyvät soveltuvat TT-lait, -asetukset, viranomaisvaatimukset ja muut sitoumukset, joihin yritys on TT-mielessä sitoutunut suojatakseen tieto-omaisuuttaan. Projektiryhmä on määritellyt TT-hallintajärjestelmän rakentamisessa sovellettavat ohjauskokoukset ja raportointitavat. 9. 10. 11. Projektiryhmä on määritellyt vastuut ja menettelyn, kuinka tietoturvaan liittyvien lakisääteisten ym. vaatimusten tunnistuslistaa tullaan jatkossa päivittämään. Projektiryhmä on määritellyt TT-hallintajärjestelmän kattavuuden (suojattavat kohteet) ja ohjausryhmä on hyväksynyt sen. Projektiryhmä on määritellyt TT-hallintajärjestelmän rakenteen, mm. mistä tasoista järjestelmä koostuu ja miten järjestelmässä toteutuu Plan-Do-Check-Act. 2

12. 13. TT-hallintajärjestelmäprojektisuunnitelmassa on otettu huomioon tietoturvahallinnan olennaiset avainasiat, kuten tietoturvapolitiikka, viestintä, operatiivinen johtaminen, pääsynhallinta, tietojärjestelmien hankinta, kehittäminen ja ylläpito, organisointi, omaisuudenhallinta, TT-poikkeamien hallinta, jatkuvuudenhallinta, henkilöturvallisuus, fyysinen ja ympäristön turvallisuus, vaatimustenmukaisuuus jne. Projektiryhmä on määritellyt riskien ja mahdollisuuksien tunnistamistavan (tietoturvariskien arviointiprosessi), tunnistamisessa käytettävät työpohjalomakkeet ja tietoturvariskien merkittävyyden arvioinnissa käytettävän todennäköisyyksien ja seurausten vakavuuksien pisteytysasteikon. 14. 15. 16. 17. Projektiryhmä on määritellyt, miten usein TT-riskit ja mahdollisuudet päivitetään koko soveltamislaajuudessa ml. että aina merkittävien muutosten yhteydessä päivitetään ko. kohteen TT-riskit ja mahdollisuudet. Uhkien ja riskien peruskartoitus on tehty. Tunnistetaan kattavasti yrityksen toiminnassa ilmenevät tietoturvahaavoittuvuudet ja niihin liittyvät uhkatekijät ja aiheuttajat systemaattisesti TT-hallintajärjestelmään kuuluvien kohteiden osalta. Henkilöstön edustus on otettu mukaan kartoitukseen. Merkittävät TT-riskit on määritelty käyttäen sovittua riskien merkittävyyden arvottamismenettelyä systemaattisesti koko TT-hallintajärjestelmään sisällytetyssä laajuudessa. Johto tai ohjausryhmä on määritellyt tietoturvariskien hyväksymiskriteerit. Hyväksyttäviä riskien tasoja katselmoidaan sovituin väliajoin. 18. 19. 20. Projektiryhmä on määritellyt riskeille käsittelyvaihtoehdot ja määritellyt hallintakeinot kullekin riskille päätetyn käsittelyvaihtoehdon mukaan. Projektiryhmä on käynyt läpi ISO 27001 -liitteen A hallintatavoitteet ja keinot ja laatinut ns. Soveltuvuuslausunnon, joka sisältää kaikki vaaditut hallintakeinot sekä perustelut liitteen A hallintakeinojen käyttämiselle tai käyttämättä jättämiselle. Projektiryhmä on koostanut eo. pohjalta riskien käsittelysuunnitelman ja hankkinut kunkin riskin omistajalta hyväksynnän ko. riskin käsittelylle ja jäljelle jääville tietoturvariskeille. 3

21. 22. Johto tai ohjausryhmä on laatinut organisaatiolle TT-politiikan, jossa sitoudutaan jatkuvaan parantamiseen, lakien, viranomais- ja muiden TT-vaatimusten noudattamiseen, kehittämistavoitteiden asettamiseen. TT-politiikka on dokumentoitu ja siitä viestitään koko organisaatiolle. TT-politiikka on sidosryhmien saatavissa. Johto tai TT-ohjausryhmä on laatinut tietoturvatavoitteet TT-hallintajärjestelmän asiaankuuluville toiminnoille ja tasoille. Tavoitteet ovat mahdollisuuksien mukaan mitattavissa. Tavoitteiden asettamisessa on otettu huomioon soveltuvat TT-vaatimukset ja riskien arvioinnin ja käsittelyn tulokset. 23. 24. 25. Johto tai TT-ohjausryhmä yhdessä projektiryhmän kanssa on laatinut TT-tavoitteiden saavuttamiseksi toimenpiteet, resurssitarpeet, vastuut, aikataulun ja tavat, miten arvioida tavoitteiden saavuttamista. Koko henkilöstölle annetaan TT-asioista peruskoulutusta painottaen sitä, mitä TT-asiat itse kunkin työssä tarkoittavat normaali-, häiriö- ja poikkeustilanteissa ja kuinka tulee toimia. Koulutuksessa kiinnitetään huomiota siihen, millaisiin parannustavoitteisiin koko yritys on sitoutunut ja otetaan esille yrityksen TT-tavoitteet ja mitä ne merkitsevät toiminnoissa / osastoilla/ prosesseissa. Lisäksi korostetaan, mihin itse kunkin tulee reagoida ja ryhtyä joko itse välittömiin toimenpiteisiin tai ilmoittaa eteenpäin (uhka- tai läheltä piti -tilanne, -ongelma, -häiriö- tai poikkeustilanne). Projektiryhmä on määritellyt TT-järjestelmän ylläpitoon liittyvien menettelyiden työstämisen: TT-käsikirjan laatiminen (vapaaehtoinen), kaikille yhteisten TT-ohjeiden laatiminen, asiakirjojen valvontaohjeen laatiminen, TT-tiedostojen valvontaohjeen laatiminen, toimintokohtaisten erityisohjeiden laatiminen, TT-järjestelmän auditointiohjeen laatiminen tai yhdistäminen yleiseen auditointiohjeeseen, samoin on määritelty TT-poikkeamien ja niihin liittyvien korjaavien ja ehkäisevien toimenpiteiden menettelyt jne. 26. Projektiryhmä on määritellyt, mitä tulee seurata ja mitata ml. TT-hallintajärjestelmään liittyvät tietoturvaprosessit (tietoturvariskien arviointiprosessi, tietoturvariskien käsittelyprosessi) ja hallintakeinot. Mittaamiseen ja seurantaan on määritelty taajuus, kuinka usein mitataan tai seurataan, ketkä mittaavat tai seuraavat, milloin ja miten kertynyttä tietoa analysoidaan ja miten tulokset dokumentoidaan. 4

27. 28. Projektiryhmä on määritellyt TT-häiriöiden, -tapahtumien ja -poikkeamien käsittelytavan ja niiden käsittelyssä kirjattavat seikat mm. häiriöihin vastaamisen menettelyt, seurannan ja raportoinnin menettelyt, TT-häiriöiden havaitsemiselle ja raportoinnille nimetty yhteydenottopiste, lomakepohjat, tietoturvarikkomusten käsittely jne. Projektiryhmä on määritellyt toimintojen / osastojen / prosessien edustajat tarkistamaan yksiköissään, mitä muutoksia vastuissa ja valtuuksissa mahdollisesti tarvitaan TT-asioiden takia. Samoin heitä on pyydetty tarkistamaan tiedonkulun valmiudet oikean tiedonkulun varmistamiseksi TT-asioissa. 29. 30. Projektiryhmä on määritellyt toimintojen / osastojen / prosessien edustajat arvioimaan, mitä tarkistuksia koulutustarpeiden ja pätevyyksien tunnistamisessa ja valmiuksien luomisessa mahdollisesti tarvitaan TT-asioissa. Erityispätevyyksien (viranomaisten ja / tai sovelletun teknologian hal-linnan edellyttämät) osalta tarkistetaan, että ne ovat asianmukaisessa kunnossa. Projektiryhmä on määritellyt, mitä TT-hallintajärjestelmään liittyviltä ulkoisilta palvelutoimittajilta vaaditaan TT-hallinnassa, sopimuksissa, viestinnässä jne. Esimerkiksi palvelutasot, palveluraportit, seurantakokoukset, auditoinnit, tietoturvahäiriöiden hallinta, kirjattavat tiedot, ongelmien ratkaisu, palvelukapasiteetti, jatkuvuus, toimittajan puolelta nimetty vastuuhenkilö, tietoturva arkaluonteisissa tiedoissa, joihin toimittajalla pääsy, tilaajan ja toimittajien tekemät muutokset palveluihin mm. parannukset sovittuun palveluun, uusien sovellusten kehittäminen, TT-turvallisuusparannukset, verkkomuutokset, uusien versioiden käyttöönotot, uudet kehitystyökalut, fyysiset palvelutilojen muutokset, toimittajan muutokset, alihankinnan siirto toiselle alihankkijalle jne. 31. 32. 33. Projektiryhmä on määritellyt TT-vaatimukset, joita noudatetaan organisaation projektitoiminnoissa ja järjestelmäkehittämisessä. Johto ja projektiryhmä ovat suunnitelleet TT-auditointien vuosiohjelman ja laatineet sisäisen TT-auditoinnin ohjeen ja lomakkeet. TT-hallintajärjestelmän sisäiset auditoijat on valittu niin IT-, ICT-ammattilaisten kuin eri toimintojen asiantuntijoiden joukosta huomioiden työkokemus, koulutustausta, toimialatuntemus, tietoturvatuntemus jne. 5

34. TT-hallintajärjestelmän sisäisille auditoijille on järjestetty ISO 27001- ja oman TT-hallintajärjestelmän sisältökoulutusta ja auditointiprosessin koulutusta. 35. Ensimmäinen toimintojen / osastojen / prosessien TT-auditointi on suoritettu ja raportoitu. 36. 37. Johto yhdessä tietoturvapäällikön ja projektiryhmän kanssa on määritellyt TT-järjestelmän johdon katselmuksen sisällön. Tietoturvapäällikkö on valmistellut ja pyytänyt johdon katselmukseen osallistujia ennakolta valmistelemaan omat osuutensa ensimmäiseen johdon katselmukseen. Katselmus on pidetty ja johtopäätökset on kirjattu katselmuspöytäkirjaan. 38. Johto tai ohjausryhmä on todennut, että TT-järjestelmä on toiminnassa ja on siirrytty ylläpitoon ja järjestelmän edellyttämään jatkuvaan parantamiseen sekä tarvittaessa on luotu valmiudet pyytää ulkoista sertifiointiauditointia. 6

Tule oppimaan lisää koulutuksiimme! Ilmoittaudu mukaan osoitteessa: www.ims.fi

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute