Blogi

Tietoturvan hallintajärjestelmän osa-alueet

Julkaistu 19.04.2023 kirjoittaja Arter

Tietoturvan hallintajärjestelmän osa-alueet:

  1. Listaukset ja kooste: Järjestelmä, josta löytyy kooste tietoturvan hallintajärjestelmän osista eli esimerkiksi roolit ja suojattavan omaisuuden listaus, vaatimukset sekä soveltuvuuslausunto.
  2. Riskienhallinta: Järjestelmä, jonne on kuvattu organisaation toiminnan kannalta oleelliset riskit ja niiden hallintatoimenpiteet.
  3. Projektinhallinta: Järjestelmä, jossa voidaan hallita tietoturvatoimenpiteitä, eli käytännössä esimerkiksi aikatauluja, projekteja, vastuita ja tehtäviä.
  4. Dokumenttien hallinta: Järjestelmä, jonka avulla voidaan hallita, tallentaa ja jakaa tiedostodokumentteja. Tietoturvaan liittyviä dokumentteja ovat esimerkiksi politiikka- ja ohjeistusdokumentaatiot.
  5. Toimivuuden mittaaminen ja seuranta: Järjestelmä, jossa voidaan mitata ja arvioida toimintakykyä.
  6. Poikkeamien hallinta: Järjestelmä, jonne voidaan kerätä havaitut poikkeamat ja kirjata niihin liittyviä toimenpiteitä.
  7. Muutostenhallinta: Järjestelmä, jossa voidaan suunnitella muutoksia ja hallita tahattomien muutoksien seurauksia.

Arterilla työskennellyt Toni Vehmaanperä piti webinaarin keväällä 2023 tietoturvan hallintajärjestelmän sisältöjen parhaista käytännöistä. Webinaarissa käytiin läpi tietoturvaan liittyviä työvälineitä sekä toiminnallisia kokonaisuuksia, mitä organisaatiolla tulisi hallita.

Webinaaritallenteella mainitun Julkrin eli Julkisen hallinnon tietoturvallisuuden arviointikriteeristön löydät täältä.

3 vinkkiä heille, jotka rakentavat tietoturvan hallintajärjestelmän ARC-ohjelmistoon

1️⃣ Tietoturvan hallintajärjestelmän osien pitää liittyä toisiinsa.

Kerrotaanko tietoturvapolitiikassa selkeästi työn tavoitteet? Onko tavoitteille asetettu mittarit? Käydäänkö mittarit läpi katselmointien yhteydessä? Muodostetaanko katselmoinnin pohjalta lista jatkotoimenpiteistä? Missä riskihavainto tehtiin?

ARC-ohjelmiston yhteyskaaviot tukevat tämänkaltaisten toisiinsa liittyvien verkkorakenteiden luomista

2️⃣ Hyödynnä ARC-ohjelmiston vahvuudet:

    • Kokoavat etusivunäkymät.
    • Ristiinlinkitetyt monitasoiset kuvaukset.
    • Sisällön hyväksyntäkirjaukset ja versionhallinta.
    • Mahdollisesti jo aiemmin tuotettu kokonaisarkkitehtuuri-, tiedonhallinta- tai tietosuojasisältö.

Emme suosittele toteuttamaan tietoturvan hallintajärjestelmää kokonaisuudessaan ARC-ohjelmistolla. Esimerkiksi dokumenttien hallinnan voi toteuttaa vaikkapa IMS-ohjelmiston puolella.

3️⃣ Pohdi riittääkö organisaatiollenne yksi vaatimuslista, vai onko järkevämpää erotella organisaation oma tekeminen / tietoturvatoimenpiteet vaatimusluettelosta.

Suosittelen sinulle näitä sisältöjä:

👉 Tietoturvallisuuden vähimmäisvaatimukset | ladattava aineisto
👉 Tiedonhallintalaki ja tietoturvatoimenpiteet -taulukkoladattava materiaali
👉 ISO 27001 minimivaatimukset  | blogi + webinaaritallenne

Kirjoittaja

Liittyvät materiaalit

Kaikki resurssit