Content library
Management of data sets
Limiting hard copy creation of material displaying personal data

Other tasks from the same security theme

Task name
Priority
Status
Theme
Policy
Other requirements
Documentation of data sets for data stores
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
46
requirements

Examples of other requirements this task affects

5. Principles relating to processing of personal data
GDPR
6. Lawfulness of processing
GDPR
8.1.1: Inventory of assets
ISO 27001
18.1.3: Protection of records
ISO 27001
13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
See all related requirements and other information from tasks own page.
Go to >
Documentation of data sets for data stores
1. Task description

The organization shall maintain a list of data sets contained in the data stores it manages.

The documentation shall include at least the following information:

  • Data systems and other means used to process the data sets
  • Key categories of data in the data set (and whether it contains personal data)
  • Data retention period (discussed in more detail in a separate task)
  • Information on archiving / disposal of data (discussed in more detail in a separate task)
Personnel guidelines for file usage and local data
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
12
requirements

Examples of other requirements this task affects

7.2.2: Information security awareness, education and training
ISO 27001
11.2.9: Clear desk and clear screen policy
ISO 27001
6.6.4: Fyysisten tilojen, laitteiden ja tulosteiden turvallisuus
Omavalvontasuunnitelma
FYY-04: Tiedon säilytys
Julkri
5.10: Acceptable use of information and other associated assets
ISO 27001
See all related requirements and other information from tasks own page.
Go to >
Personnel guidelines for file usage and local data
1. Task description

Especially when local or unstructured data needs to be handled a lot due to the nature of the activity, it may be necessary to develop training that describes the risks involved for staff.

Common problems with local and unstructured data include e.g.:

  • no backups
  • no access management
  • hard to locate

For data you do not want to lose, that you want to control, or that is important to find in the future, staff should use data systems designed for it.

Rules ensuring secure network data transfer
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
3
requirements

Examples of other requirements this task affects

5.1.2: Information transfer
TISAX
See all related requirements and other information from tasks own page.
Go to >
Rules ensuring secure network data transfer
1. Task description

To protect information transferred via public or private networks from reading or manipulation by third parties, the organization has:

  • Identified and documented network services used to transfer information
  • Determined policies and procedures in accordance with the classification requirements for the use of network services
  • Implemented measures to protect the actual transferred data against unauthorized access
Measures for the storage of incoming information, information being processed and outgoing information
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
5
requirements

Examples of other requirements this task affects

PI1.5: Procedures for storing inputs, items in processing, and outputs in accordance with system spefications
SOC 2
3.4: Tietoturvallinen arkistointi ja tuhoaminen
TiHL tietoturvavaatimukset
5.2.4: Log management and analysis
TISAX
ID.AM-3: Organizational communication and data flows are mapped.
CyberFundamentals
See all related requirements and other information from tasks own page.
Go to >
Measures for the storage of incoming information, information being processed and outgoing information
1. Task description

The organization must have measures and operating methods for the safe storage of incoming information, information being processed and outgoing information. Storage should take into account:

  • Protection of data to be stored
  • Archiving of system logs
  • Entire data to be stored
  • Maintenance of a log of data storage procedures< /li>

All stored information must be protected against theft, modification and destruction or any other event that affects their confidentiality, integrity or availability.

Toisen viranomaisen laatimien sähköisten tietojen tuhoaminen (TL II)
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
1
requirements

Examples of other requirements this task affects

TEK-21.4: Sähköisessä muodossa olevien tietojen tuhoaminen - toisen viranomaisen laatimat tiedot - TL II
Julkri
See all related requirements and other information from tasks own page.
Go to >
Toisen viranomaisen laatimien sähköisten tietojen tuhoaminen (TL II)
1. Task description

Jos tiedon on laatinut toinen viranomainen, tarpeettomaksi käyneen tiedon tuhoamisesta on ilmoitettava tiedon laatineelle viranomaiselle, jollei sitä palauteta tiedon laatineelle viranomaiselle.

Tietojenkäsittely-ympäristön toimijoiden tunnistaminen (TL IV)
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
2
requirements

Examples of other requirements this task affects

TEK-08.4: Tietojenkäsittely-ympäristön toimijoiden tunnistaminen - TL IV
Julkri
I-07: MONITASOINEN SUOJAAMINEN – TIETOJENKÄSITTELY-YMPÄRISTÖN TOIMIJOIDEN TUNNISTAMINEN FYYSISESTI SUOJATUN TURVALLISUUSALUEEN SISÄLLÄ
Katakri 2020
See all related requirements and other information from tasks own page.
Go to >
Tietojenkäsittely-ympäristön toimijoiden tunnistaminen (TL IV)
1. Task description

Tietojenkäsittely-ympäristöjen erilaiset toimijat tunnistetaan riittävän turvallisesti ennen pääsyn sallimista tietoihin.

Laitteiden tunnistaminen: Turvallisuusluokitellun tiedon käsittelyyn käytetään vain organisaation tarjoamia ja hallinnoimia, kyseiselle turvallisuusluokalle hyväksyttyjä päätelaitteita. Kaikkien muiden laitteiden kytkeminen turvallisuusluokitellun tiedon käsittely-ympäristöön on yksiselitteisesti kielletty. Henkilöstö on ohjeistettu ja velvoitettu toimimaan ohjeistuksen mukaisesti.

Tietojärjestelmien tunnistaminen: Tietoa keskenään vaihtavat tietojärjestelmät tunnistetaan käyttötapaukseen soveltuvalla tekniikalla, kuten salasanoilla, avaimilla (esim. API-avain), tunnistevälineillä (tokeneilla, esim. oAuth) tai vastaavilla menetelmillä. Tunnistautuminen tehdään salattuja yhteyksiä pitkin.

Tietojen tuhoaminen pilvipalveluissa
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
1
requirements

Examples of other requirements this task affects

TEK-21.2: Sähköisessä muodossa olevien tietojen tuhoaminen - pilvipalveluissa olevan tiedon tuhoaminen
Julkri
See all related requirements and other information from tasks own page.
Go to >
Tietojen tuhoaminen pilvipalveluissa
1. Task description

Mikäli turvallisuusluokittelemattomat salassa pidettävät tiedot on tallennettu pilvipalveluun vain riittävän luotettavaksi arvioidussa salatussa muodossa, jäännösriskit saattavat olla hyväksyttävissä, mikäli salaukseen käytetty avaimisto pystytään luotettavasti tuhoamaan. Menettely voi soveltua myös henkilötietojen tuhoamiseen niiden lakisääteisen säilytysajan jälkeen.

Archiving and destruction processes for data sets
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
12
requirements

Examples of other requirements this task affects

PR.IP-6: Data destruction
NIST
A.7.4.5: PII de-identification and deletion at the end of processing
ISO 27701
A.7.4.8: Disposal
ISO 27701
8.10: Information deletion
ISO 27001
C1.2: Disposal of confidental information
SOC 2
See all related requirements and other information from tasks own page.
Go to >
Archiving and destruction processes for data sets
1. Task description

Organization must document the retention periods for data sets and their possible archiving process (including archiving method, location or destruction). At the end of the retention period, the data must be archived or destroyed without delay in a secure manner.

When destroying data contained in data systems, the following points should be taken into account:

  • suitable method of destruction (e.g. overwriting, cryptographic erasure ) is chosen taking into account the functional and statutory requirements
  • the need to preserve evidence of data destruction is discussed
  • when using third parties for data destruction, the requirement of evidence and the inclusion of destruction requirements in supplier contracts are discussed

The process of archiving or destroying data is defined in connection with the documentation, and the owner of the data is responsible for its implementation.

Limiting hard copy creation of material displaying personal data
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
1
requirements

Examples of other requirements this task affects

A.11.2: Restriction of the creation of hardcopy material
ISO 27018
See all related requirements and other information from tasks own page.
Go to >
Limiting hard copy creation of material displaying personal data
1. Task description

Hard copy means a permanent reproduction in the form of a physical object (e.g. paper) of displayed or transmitted data.

Organization has guidelines for employees that restrict creation of hard copies of material displaying personal data. This includes material created by printing.

Approval of data transfers outside the organization
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
1
requirements

Examples of other requirements this task affects

No items found.
See all related requirements and other information from tasks own page.
Go to >
Approval of data transfers outside the organization
1. Task description

The organization must make sure that all of data transfers outside or to alternate location, whether it's device, software or data, are verified with either written or cryptographically confirmed approval.

Secure transfer of confidential data outside the organization
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
7
requirements

Examples of other requirements this task affects

A.11.6: Encryption of PII transmitted over public data-transmission networks
ISO 27018
TEK-16: Tiedon salaaminen
Julkri
PR.DS-2: Data-in-transit is protected.
CyberFundamentals
2.7.4: Use encryption when transferring confidential information or when trust in the information channel is low
NSM ICT-SP
See all related requirements and other information from tasks own page.
Go to >
Secure transfer of confidential data outside the organization
1. Task description

The organization has to execute data transfers in public network using encrypted or otherwise protected data transfer connection or procedure, if the data is confidential.

The data transfer also has to be set up in a way where recipient can be identified securely enough before recipient can access any confidential data.

Documentation of assets inventories outside the ISMS
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
21
requirements

Examples of other requirements this task affects

8.1.1: Inventory of assets
ISO 27001
ID.AM-1: Physical device inventory
NIST
ID.AM-2: Software and app inventory
NIST
HAL-04: Suojattavat kohteet
Julkri
HAL-04.1: Suojattavat kohteet - vastuut
Julkri
See all related requirements and other information from tasks own page.
Go to >
Documentation of assets inventories outside the ISMS
1. Task description

Assets to be protected related to information and data processing services should be inventoried. The purpose is to ensure that the cyber security is focused on the necessary information assets.

Inventory can be done directly in the management system, but an organization may have other, well-functioning inventory locations for certain assets (including code repositories, databases, network devices, mobile devices, workstations, servers, or other physical assets).

Describe in this task, which lists outside the management system are related to protection of information assets.

Salassa pidettävien tietojen käsittely fyysisesti suojattujen alueiden sisällä (ST III-II)
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
1
requirements

Examples of other requirements this task affects

I21: Fyysinen turvallisuus
Katakri
See all related requirements and other information from tasks own page.
Go to >
Salassa pidettävien tietojen käsittely fyysisesti suojattujen alueiden sisällä (ST III-II)
1. Task description

Organisaatio on määritellyt kokonaisvastuun siitä, että salassapidettäviä tietoja käsitellään ainoastaan niiden käsittelemiseen soveltuvissa tiloissa.

Suojaustason III-II tietojen suhteen menetellään seuraavasti:

  • Fyysiset turvatoimet toteutetaan kaikissa tiloissa, joissa tietoja käsitellään tai säilytetään.
  • Tietoja käsitellään ainoastaan viranomaisen hyväksymillä turva-alueilla. Tietoja voidaan käsitellä myös hallinnollisilla alueilla, jos pääsy salassa pidettäviin tietoihin on suojattu sivullisilta.
  • Tietoja säilytetään ainoastaan viranomaisen hyväksymillä turva-alueilla turvasäilytysyksikössä tai kassaholvissa.
Salassa pidettävien tietojen käsittely fyysisesti suojattujen alueiden sisällä (ST IV)
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
1
requirements

Examples of other requirements this task affects

I21: Fyysinen turvallisuus
Katakri
See all related requirements and other information from tasks own page.
Go to >
Salassa pidettävien tietojen käsittely fyysisesti suojattujen alueiden sisällä (ST IV)
1. Task description

Organisaatio on määritellyt kokonaisvastuun siitä, että salassapidettäviä tietoja käsitellään ainoastaan niiden käsittelemiseen soveltuvissa tiloissa.

Suojaustason IV tietojen suhteen menetellään seuraavasti:

  • Fyysiset turvatoimet toteutetaan kaikissa tiloissa, joissa tietoja käsitellään tai säilytetään.
  • Tietoja käsitellään ainoastaan turva-alueilla, hallinnollisella alueella tai viranomaisen hyväksymillä menettelyillä hallinnollisen alueen ulkopuolella.
  • Tietojen säilytys on mahdollista turva-alueilla ja hallinnollisella alueella soveltuvissa lukittavissa toimistokalusteissa, tai tilapäisesti myös viranomaisen hyväksymillä menettelyillä hallinnollisen alueen ulkopuolella.
Salassa pidettävää tietoa sisältävien tietoaineistojen hävittäminen (ST II)
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
1
requirements

Examples of other requirements this task affects

I19: Salassa pidettävää tietoa sisältävien tietoaineistojen hävittäminen
Katakri
See all related requirements and other information from tasks own page.
Go to >
Salassa pidettävää tietoa sisältävien tietoaineistojen hävittäminen (ST II)
1. Task description

Kun hävitetään esimerkiksi paperiaineistoja, magneettisia kiintolevyjä, SSD-kiintolevyjä, USB-muisteja tai optisia medioita, hävittäminen on tärkeää suorittaa suunnitelluin menetelmin, jotta tietoja ei myöhemmin voida palauttaa edes osittain.

Tietojen turvalliseen hävittämiseen voidaan käyttää esimerkiksi tarpeeksi tarkkaa silppuamista sekä sitä tukevana suojauksena myös muita menetelmiä, joilla tietojen kokoaminen estetään luotettavasti (esimerkiksi silpun polttaminen tai kiintolevyn sulattaminen).

Suojaustason II tietoja hävitettäessä:

  • Organisaatio on määritellyt käytettävät silppukoot ja tarvittavat muut tukevat menetelmät eri aineistojen hävittämiseen
  • Salassa pidettävää tietoa sisältävät tietojärjestelmien väliaikaistiedostot poistuvat joko automaattisesti tai ne poistetaan säännöllisesti
  • Sekä kirjaaja että todistaja, jos jälkimmäisen läsnäoloa vaaditaan, allekirjoitettavat hävittämistodistuksen, joka tallennetaan kirjaamoon
  • Todistus säilytytään vähintään 5 vuotta
  • Aineiston hävittäminen suoritetaan todistajan läsnä ollessa, jolla on vähintään hävitettävän aineiston turvallisuusluokkaa vastaava turvallisuusselvitys
Salassa pidettävää tietoa sisältävien tietoaineistojen hävittäminen (ST III)
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
1
requirements

Examples of other requirements this task affects

I19: Salassa pidettävää tietoa sisältävien tietoaineistojen hävittäminen
Katakri
See all related requirements and other information from tasks own page.
Go to >
Salassa pidettävää tietoa sisältävien tietoaineistojen hävittäminen (ST III)
1. Task description

Kun hävitetään esimerkiksi paperiaineistoja, magneettisia kiintolevyjä, SSD-kiintolevyjä, USB-muisteja tai optisia medioita, hävittäminen on tärkeää suorittaa suunnitelluin menetelmin, jotta tietoja ei myöhemmin voida palauttaa edes osittain.

Tietojen turvalliseen hävittämiseen voidaan käyttää esimerkiksi tarpeeksi tarkkaa silppuamista sekä sitä tukevana suojauksena myös muita menetelmiä, joilla tietojen kokoaminen estetään luotettavasti (esimerkiksi silpun polttaminen tai kiintolevyn sulattaminen).

Suojaustason III tietoja hävitettäessä:

  • Organisaatio on määritellyt käytettävät silppukoot ja tarvittavat muut tukevat menetelmät eri aineistojen hävittämiseen
  • Salassa pidettävää tietoa sisältävät tietojärjestelmien väliaikaistiedostot poistuvat joko automaattisesti tai ne poistetaan säännöllisesti
  • Sekä kirjaaja että todistaja, jos jälkimmäisen läsnäoloa vaaditaan, allekirjoitettavat hävittämistodistuksen, joka tallennetaan kirjaamoon
  • Todistus säilytytään vähintään 5 vuotta
Salassa pidettävää tietoa sisältävien tietoaineistojen hävittäminen (ST IV)
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
1
requirements

Examples of other requirements this task affects

I19: Salassa pidettävää tietoa sisältävien tietoaineistojen hävittäminen
Katakri
See all related requirements and other information from tasks own page.
Go to >
Salassa pidettävää tietoa sisältävien tietoaineistojen hävittäminen (ST IV)
1. Task description

Kun hävitetään esimerkiksi paperiaineistoja, magneettisia kiintolevyjä, SSD-kiintolevyjä, USB-muisteja tai optisia medioita, hävittäminen on tärkeää suorittaa suunnitelluin menetelmin, jotta tietoja ei myöhemmin voida palauttaa edes osittain.

Tietojen turvalliseen hävittämiseen voidaan käyttää esimerkiksi tarpeeksi tarkkaa silppuamista sekä sitä tukevana suojauksena myös muita menetelmiä, joilla tietojen kokoaminen estetään luotettavasti (esimerkiksi silpun polttaminen tai kiintolevyn sulattaminen).

Suojaustason IV tietoja hävitettäessä:

  • Organisaatio on määritellyt käytettävät silppukoot ja tarvittavat muut tukevat menetelmät eri aineistojen hävittämiseen
  • Salassa pidettävää tietoa sisältävät tietojärjestelmien väliaikaistiedostot poistuvat joko automaattisesti tai ne poistetaan säännöllisesti
Designation of data set owners
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
11
requirements

Examples of other requirements this task affects

32. Security of processing
GDPR
8.1.2: Ownership of assets
ISO 27001
18.1.3: Protection of records
ISO 27001
13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
15 §: Tietoaineistojen turvallisuuden varmistaminen
TiHL
See all related requirements and other information from tasks own page.
Go to >
Designation of data set owners
1. Task description

An owner is assigned to each data set. The owner is responsible for the life cycle of the information asset and is responsible for performing the management tasks related to that asset.

The owner's duties include e.g.:

  • ensuring the documentation of asset
  • ensuring appropriate protection of asset
  • regularly reviewing access rights
  • ensuring proper handling of information, also on disposal

The owner can delegate some of the tasks, but the responsibility remains with the owner.

Ei-sähköisten tietojen tuhoaminen (TL IV-TL II)
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
1
requirements

Examples of other requirements this task affects

F-08.4: EI-SÄHKÖISTEN TIETOJEN TUHOAMINEN
Katakri 2020
See all related requirements and other information from tasks own page.
Go to >
Ei-sähköisten tietojen tuhoaminen (TL IV-TL II)
1. Task description

Turvallisuusluokka IV

  • 1. Ei-sähköisten turvallisuusluokiteltujen tietojen tuhoaminen on järjestetty luotettavasti. Tuhoamisessa käytetään menetelmiä, joilla estetään tietojen kokoaminen uudelleen kokonaan tai osittain. Sähköisessä muodossa olevien tietojen osalta.

Turvallisuusluokka III: Kohdan 1 lisäksi

  • 2. Kansainvälisten turvallisuusluokan III (CONFIDENTIAL) tietojen osalta, kirjaajan on allekirjoitettava tuhoamistodistus, joka tallennetaan kirjaamoon/rekisteröintipisteeseen. Kirjaustiedot on päivitettävä vastaavasti. Kirjaamon/rekisteröintipisteen on säilytettävä tuhoamistodistukset vähintään viiden vuoden ajan.

Turvallisuusluokka II: Kohtien 1-2 lisäksi

  • 3. Jos tiedon on laatinut toinen viranomainen, tarpeettomaksi käyneen tiedon tuhoamisesta on ilmoitettava tiedon laatineelle viranomaiselle, jollei sitä palauteta tiedon laatineelle viranomaiselle.
  • 4. Tiedon tuhoamisen saa suorittaa vain henkilö, jonka viranomainen on tähän tehtävään määrännyt. Valmisteluvaiheen versiot voi tuhota ne laatinut henkilö.
  • 5. Kansainvälisten turvallisuusluokan II (SECRET) tietojen tuhoaminen on suoritettava todistajan läsnä ollessa. Todistajalla on oltava vähintään tuhottavan tiedon turvallisuusluokkaa vastaava turvallisuusselvitys.
System to check trade report data
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
1
requirements

Examples of other requirements this task affects

Article 10: Detection
DORA
See all related requirements and other information from tasks own page.
Go to >
System to check trade report data
1. Task description

Data reporting providers need to have a system to check the completeness, correctness and to identify omissions and other errors in trade report data. The report needs to be re-requested if there are any errors in the data.

Tietoaineistojen tuhoaminen osana laitteiden elinkaaren hallintaa
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
1
requirements

Examples of other requirements this task affects

3.4: Tietoturvallinen arkistointi ja tuhoaminen
TiHL tietoturvavaatimukset
See all related requirements and other information from tasks own page.
Go to >
Tietoaineistojen tuhoaminen osana laitteiden elinkaaren hallintaa
1. Task description

Tietoaienostojen tuhoaminen tulee huomioida myös osana laitteiden elinkaaren hallintaa. Myös oheislaitteet ja muistivälineet tulee huomioida.

Tämä voidaan toteuttaa esimerkiksi:

Lisäämällä laitteistojen (kiintolevyt, muistit, muistikortit, tms.) sisältämän tiedon tietoturvallinen luotettava tuhoaminen osaksi käytöstä poiston, huoltoon lähetyksen ja uusiokäytön prosesseja.

Process for secure information return or removal upon service termination
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
2
requirements

Examples of other requirements this task affects

5.3.3: Secure removal of IT assets from services
TISAX
See all related requirements and other information from tasks own page.
Go to >
Process for secure information return or removal upon service termination
1. Task description

The organization has defined and implemented a process to securely return or remove all of it's information assets from any external IT services, when e.g. the use of the service is terminated.

Description is continually reviewed and adapted to relevant changes and contractually regulated.

Tietoaineistojen turvalliset säilytystilat
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
3
requirements

Examples of other requirements this task affects

15 §: Tietoaineistojen turvallisuuden varmistaminen
TiHL
3.1: Tietoaineistojen tietoturvallisuus
TiHL tietoturvavaatimukset
3.2: Toimitilaturvallisuus
TiHL tietoturvavaatimukset
See all related requirements and other information from tasks own page.
Go to >
Tietoaineistojen turvalliset säilytystilat
1. Task description

Tietoaineistoja on käsiteltävä ja säilytettävä toimitiloissa, jotka ovat tietoaineiston luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvien vaatimusten toteuttamiseksi riittävän turvallisia.

Digiturvamallissa tarkempia fyysiseen turvallisuuteen liittyviä toimenpiteitä tarkastellaan työpöydän Fyysinen turvallisuus -moduulin alla.

Documentation of personal data outside data systems
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
8
requirements

Examples of other requirements this task affects

5. Principles relating to processing of personal data
GDPR
8.1.1: Inventory of assets
ISO 27001
5.9: Inventory of information and other associated assets
ISO 27001
63: Rakenteettoman tiedon tunnistaminen ja hallinta
Digiturvan kokonaiskuvapalvelu
CC6.1a: Identification and listing of assets
SOC 2
See all related requirements and other information from tasks own page.
Go to >
Documentation of personal data outside data systems
1. Task description

Registrants have the same rights to their personal data, no matter in what form we store them. We need to be able to communicate processing and provide data subjects with access to personal data, whether on paper, in local files or in data systems.

We separately document personal data that is stored outside of data systems.

Blocking downloads of confidential information on external networks
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
2
requirements

Examples of other requirements this task affects

13.1.1: Network controls
ISO 27001
13.2.1: Information transfer policies and procedures
ISO 27001
See all related requirements and other information from tasks own page.
Go to >
Blocking downloads of confidential information on external networks
1. Task description

Often, employees want access to data systems as easily as possible - from anywhere, anytime. However, in order to protect the data, it may be desirable to prevent the data from being downloaded locally outside the self-maintained network, as the security of the network cannot be guaranteed.

Preventing downloads of confidential information on unsupported devices
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
2
requirements

Examples of other requirements this task affects

6.2.1: Mobile device policy
ISO 27001
13.2.1: Information transfer policies and procedures
ISO 27001
See all related requirements and other information from tasks own page.
Go to >
Preventing downloads of confidential information on unsupported devices
1. Task description

Often, employees want access to data systems as easily as possible - from anywhere, anytime. However, to protect data, you may want to prevent local downloading of data to devices that are not managed, for example, through the organization's mobile device management.

IRM protection of files
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
0
requirements

Examples of other requirements this task affects

No items found.
See all related requirements and other information from tasks own page.
Go to >
IRM protection of files
1. Task description

Information Rights Management (IRM) protection for e-mail or files helps protect important information from both accidental and intentional disclosure.

For example, when a person downloads files from an IRM-protected shared folder, the files are encrypted so that only the selected people can open them. Other restrictions may be placed on the file, such as blocking editing or copying of text, preventing saving a local copy or preventing printing.

Using data loss prevention policies
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
11
requirements

Examples of other requirements this task affects

18.1.2: Intellectual property rights
ISO 27001
18.1.3: Protection of records
ISO 27001
5.33: Protection of records
ISO 27001
8.12: Data leakage prevention
ISO 27001
C1.1: Identification and maintainment of confidental information
SOC 2
See all related requirements and other information from tasks own page.
Go to >
Using data loss prevention policies
1. Task description

Data Loss Prevention (DLP) policies can be used to protect sensitive data from accidental or intentional disclosure. Policies can alert, for example, when they detect sensitive data (such as personal identification numbers or credit card numbers) in email or another data system to which they would not belong.

The organization defines DLP policies related to endpoints in a risk-based manner, taking into account the data classification of the processed data.

Minimization of information outside data systems
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
7
requirements

Examples of other requirements this task affects

32. Security of processing
GDPR
8.1.3: Acceptable use of assets
ISO 27001
8.3.1: Management of removable media
ISO 27001
9.4.4: Use of privileged utility programs
ISO 27001
A.11.2: Restriction of the creation of hardcopy material
ISO 27018
See all related requirements and other information from tasks own page.
Go to >
Minimization of information outside data systems
1. Task description

A large amount of valuable information in an organization has often accumulated over time into hard-to-find and manageable unstructured data — excels, text documents, intranet pages, or emails.

Once this information has been identified, a determined effort can be made to minimize its amount.Important data outside data systems is subject to one of the following decisions:

  • move into a data system
  • get rid of (when the information is old, no longer necessary or otherwise irrelevant)
  • is kept in use and a responsible person is appointed to manage the risks
Access management for personal data in files and papers
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Management of data sets
Management of data sets
1
requirements

Examples of other requirements this task affects

9.2.5: Review of user access rights
ISO 27001
See all related requirements and other information from tasks own page.
Go to >
Access management for personal data in files and papers
1. Task description

We call unstructured, local information outside data systems manual data. Access minimization is part of data minimization, which is an important principle when handling all sensitive data.

If important data is largely manual, for example in local excel documents, it may already be available to a small number of employees. However, identifying these people helps with guidance and security policies, while others can, for example, focus on minimizing the amount of hidden information in general.

Universal cyber compliance language model: Comply with confidence and least effort

In Cyberday, all frameworks’ requirements are mapped into universal tasks, so you achieve multi-framework compliance effortlessly.

Security frameworks tend to share the common core. All frameworks cover basic topics like risk management, backup, malware, personnel awareness or access management in their respective sections.
Cyberday’s universal cyber security language technology creates you a single security plan and ensures you implement the common parts of frameworks just once. You focus on implementing your plan, we automate the compliance part - for current and upcoming frameworks.
Start your free trial
Get to know Cyberday
Start your free trial
Cyberday is your all-in-one solution for building a secure and compliant organization. Whether you're setting up a cyber security plan, evaluating policies, implementing tasks, or generating automated reports, Cyberday simplifies the entire process.
With AI-driven insights and a user-friendly interface, it's easier than ever to stay ahead of compliance requirements and focus on continuous improvement.
Clear framework compliance plans
Activate relevant frameworks and turn them into actionable policies tailored to your needs.
Credible reports to proof your compliance
Use guided tasks to ensure secure implementations and create professional reports with just a few clicks.
AI-powered improvement suggestions
Focus on the most impactful improvements in your compliance with help from Cyberday AI.