ISO/IEC 27001 vaatimustenmukaisuus maksajavirastotehtävissä #217976 ISO/IEC 27001 vaatimustenmukaisuus maksajavirastotehtävissä
Tavoitteet Tietoisuuden varmistaminen maksajaviraston keskeisistä ISO/IEC 27001 vaatimuksista ISO/IEC 27001 soveltamistapalausunnon ja tietoturvatyökirjan tarkoituksenmukainen käyttäminen tietoturvan hallintajärjestelmän vaatimustenmukaisuuden osoittamiseen Uuden tietoturvatyökirja version esittely
Maksajaviraston delegoitujen tahojen tietoturva on tärkeä osa maksajaviraston tietoturvallisuutta! Maksajavirastotoimijoiden ISO/IEC 27001 vaatimustenmukaisuus on edennyt hyvin Hallintajärjestelmämalli on vakiintunut. Tarvittava työpanostus on siirtymässä yhä enemmän hyvän tason säilyttämiseen ja ylläpidon sekä jatkuvan parantamisen tehtäviin
Maksajaviraston tietoturvavaatimukset ISO/IEC 27001 hallintajärjestelmän toteuttaminen Delegoidun tahon ISO/IEC 27001 soveltamistapalausunto ISO/IEC 27001 vaatimuksen soveltaminen maksajavirastotehtäviin Tietoturvatyökirja, soveltamisen todentaminen Hallintajärjestelmän ylläpitäminen ja parantaminen Riskienhallinnan vaikuttava toteuttaminen Sisäiset auditoinnit, suunnittelu ja toteuttaminen Johdon katselmus (maksajavirastovakuutus) Maksajaviraston delegoitujen tahojen on luotava ja toteutettava maksajavirastotehtävien tietoturvallisuuden hallintaa koskevat menettelyt ja käytännön toimenpiteet sekä ylläpidettävä ja parannettava niitä jatkuvasti Maaseutuviraston esittämien vaatimusten ja ohjeiden mukaisesti
Hallintajärjestelmän toteuttaminen Maksajaviraston ISO/IEC 27001 vaatimuksen soveltamistapa Maksajavirastotoimijan soveltamistapalausunnossa kuvaus vaatimuksen soveltamisesta ei vaatimuksen tilasta Soveltamistapa voi olla viittaus esim. tietoturvakäytännöt dokumenttiin, josta soveltaminen helposti todennettavissa Tietoturvatyökirjassa dokumentoitu tieto soveltamisesta Soveltamistavan mukaisen toiminnan todentaminen Työkirjan välilehdet tulee olla kaikki käytössä. Linkitys työkirjassa on ok, mikäli tieto on kirjattuna muualle Tietoturvatyökirjassa: Organisointi, Vuosikello, Suojattavat kohteet, Tavoiteasetanta, Riskienhallinta, Jatkuvuuden hallinta, Häiriöt, Sisäinen auditointi, Itseauditointi, Johdon katselmus ja Toimintasuunnitelma
Hallintajärjestelmän parantaminen Riskien ja mahdollisuuksien käsittelyn avulla Varmistetaan, että halutut tulokset voi saavuttaa Estetään tai vähennetään ei-toivottuja vaikutuksia Sisäisten ja ulkoisten auditointien toteutuksen avulla Varmistetaan, hallintajärjestelmä on vaatimusten mukainen Toteutetaan ja ylläpidetään auditointisuunnitelmia Johdon katselmuksen avulla Varmistetaan, että hallintajärjestelmä on soveltuva, asianmukainen ja vaikuttava Otetaan huomioon jatkuvan parantamisen mahdollisuudet
Riskienhallinnan vaatimukset Riskienarvioinnin arviointiprosessin on tuotettava Yhdenmukaisia, päteviä ja verrattavia olevia tuloksia Luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvät riskit tulee arvioida ja käsitellä Määrittely riskin tasosta (todennäköisyys ja seuraukset) Tunnistetta riskin omistaja Riskienkäsittelyn tulee tuottaa suunnitelma Riskeihin ja mahdollisuuksiin kohdistuvista toimenpiteistä Toimenpiteiden vastuuttamisesta ja aikatauluttamisesta
Auditointien vaatimukset Sisäisiä auditointeja on tehtävä suunnitelluin aikavälein Auditointitulosten perusteella on voitava määrittää onko hallintajärjestelmä omien vaatimusten ja ISO 27001 standardin vaatimusten mukainen Auditoinnin voi suorittaa omavalvontana/itsearviointina Varmistettava auditointien tulosten raportointi Säilytettävä tiedot auditointisuunnitelmasta ja tuloksista
Johdon katselmuksen vaatimukset Johdon katselmuksessa on otettava huomioon Johdon katselmuksissa käynnistettyjen toimenpiteiden tilanne Hallintajärjestelmän kannalta oleelliset sisäiset ja ulkoiset muutokset Tietoturvan tasoa koskeva palaute poikkeamat ja korjaavat toimenpiteet seurannan ja mittauksen tulokset auditointien tulokset tietoturvatavoitteiden täyttyminen Sidosryhmien antama palaute Riskien arvioinnin tulokset sekä riskinkäsittelysuunnitelman tilanne Jatkuvan parantamisen mahdollisuudet. Työkirjan välilehteä apuna käyttäen ko. vaatimukset täyttyvät
Tietoturvatyökirja Uutena sisältönä Jatkuvuuden hallinta välilehden sarakkeet Uhkaskenaario: Mitä toiminnan jatkuvuutta uhkaavaa voisi tapahtua? Altistavat puutteet ja heikkoudet: Miksi tämä voisi tapahtua? Vaikutusanalyysi: Mitä vaikutuksia tapahtumalla voisi olla? Ennaltaehkäisevät järjestelyt: Mitä voidaan tehdä, että uhka ei toteutuisi tai sen vaikutukset jäisivät mahdollisimman vähäiseksi? Toipumismenettelyt: Mitä keinoja voidaan käyttää uhan toteutuessa? Status: Etukäteisjärjestelyjen tilanne = valmius Lisätietoja Tietoturvatyökirjan tavoitteena on tarjota Mahdollisimman kattava ja selkeä kokonaisuus, joka sisältää keskeiset ISO/IEC 27001 standardin maksajavirastotehtäviin asettamat dokumentoidun tiedon vaatimukset Jatkuvan parantamien ja johdon katselmuksen väline, jonka avulla voidaan muodostaa kokonaiskäsitys hallintajärjestelmän soveltuvuudesta, vaikuttavuudesta ja parantamisen mahdollisuuksista.