Blogi

Tietoturvan hallintajärjestelmän osa-alueet

Pidin webinaarin tietoturvan hallintajärjestelmän sisältöjen parhaista käytännöistä. Webinaarin aikana käyvin läpi tietoturvaan liittyviä työvälineitä sekä toiminnallisia kokonaisuuksia, mitä organisaatiolla tulisi hallita. Lopuksi tiivistin hallintajärjestelmän kokoamisen kolmeen projektien aikana saatuun oppiin.

Tietoturvan hallintajärjestelmän osa-alueet:

  1. Listaukset ja kooste: Järjestelmä, josta löytyy kooste tietoturvan hallintajärjestelmän osista eli esimerkiksi roolit ja suojattavan omaisuuden listaus, vaatimukset sekä soveltuvuuslausunto.
  2. Riskienhallinta: Järjestelmä, jonne on kuvattu organisaation toiminnan kannalta oleelliset riskit ja niiden hallintatoimenpiteet.
  3. Projektinhallinta: Järjestelmä, jossa voidaan hallita tietoturvatoimenpiteitä, eli käytännössä esimerkiksi aikatauluja, projekteja, vastuita ja tehtäviä.
  4. Dokumenttien hallinta: Järjestelmä, jonka avulla voidaan hallita, tallentaa ja jakaa tiedostodokumentteja. Tietoturvaan liittyviä dokumentteja ovat esimerkiksi politiikka- ja ohjeistusdokumentaatiot.
  5. Toimivuuden mittaaminen ja seuranta: Järjestelmä, jossa voidaan mitata ja arvioida toimintakykyä.
  6. Poikkeamien hallinta: Järjestelmä, jonne voidaan kerätä havaitut poikkeamat ja kirjata niihin liittyviä toimenpiteitä.
  7. Muutostenhallinta: Järjestelmä, jossa voidaan suunnitella muutoksia ja hallita tahattomien muutoksien seurauksia.

Katso webinaaritallenne alta ja hyödynnä alle kirjattuja vinkkejä omassa työssäsi.

Webinaaritallenteella mainitun Julkrin eli Julkisen hallinnon tietoturvallisuuden arviointikriteeristön löydät täältä.

Kolme vinkkiä heille, jotka rakentavat tietoturvan hallintajärjestelmän ARC-ohjelmistoon

1️⃣ Tietoturvan hallintajärjestelmän osien pitää liittyä toisiinsa.

Kerrotaanko tietoturvapolitiikassa selkeästi työn tavoitteet? Onko tavoitteille asetettu mittarit? Käydäänkö mittarit läpi katselmointien yhteydessä? Muodostetaanko katselmoinnin pohjalta lista jatkotoimenpiteistä?

Missä riskihavainto tehtiin?

ARC-ohjelmiston yhteyskaaviot tukevat tämänkaltaisten toisiinsa liittyvien verkkorakenteiden luomista

2️⃣ Kaikkea ei kannata tehdä ARCilla, vaan tietoturvatyön yhteydessä kannattaa hyödyntää ARC-ohjelmiston vahvuudet:

    • Kokoavat etusivunäkymät.
    • Ristiinlinkitetyt monitasoiset kuvaukset.
    • Sisällön hyväksyntäkirjaukset ja versionhallinta.
    • Mahdollisesti jo aiemmin tuotettu kokonaisarkkitehtuuri-, tiedonhallinta- tai tietosuojasisältö.

3️⃣ Suosittelen miettimään riittääkö organisaatiollenne yksi vaatimuslista, vai onko järkevämpää erotella organisaation oma tekeminen / tietoturvatoimenpiteet vaatimusluettelosta.

Suosittelen sinulle näitä sisältöjä:

👉 Tietoturvallisuuden vähimmäisvaatimukset | ladattava aineisto
👉
Tiedonhallintalaki ja tietoturvatoimenpiteet -taulukkoladattava materiaali
👉 ISO 27001 minimivaatimukset  | blogi + webinaaritallenne

Kirjoittaja

Toni Vehmaanperä toimii Arterilla ARC-ohjelmiston tuoteomistajana. Hän on toiminut kokonaisarkkitehtuurin konsulttina, lisäksi hänellä on TOGAF Foundation -sertifikaatti kokonaisarkkitehtuurista. Tonilla on vahva osaaminen ARC-ohjelmistosta ja sen hyödyntämisestä organisaatioiden toiminnan visuaalisessa mallintamisessa. Hän tuntee myös julkishallinnon tiedonhallintalain sekä GDPR-asetuksen vaatimukset.

Liittyvät materiaalit