Content library
Tietoturvasuunnitelma (THL 3/2024)
6.3: Henkilöstön koulutus sekä osaamisen ylläpito ja kehittäminen

How to fill the requirement

Tietoturvasuunnitelma (THL 3/2024)

6.3: Henkilöstön koulutus sekä osaamisen ylläpito ja kehittäminen

Task name
Priority
Status
Theme
Policy
Other requirements
Staff guidance and training procedure in cyber security
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Personnel security
Cyber security training
requirements

Task is fulfilling also these other security requirements

T11: Turvallisuuskoulutus ja -tietoisuus
Katakri
4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL
29. Processing under the authority of the controller or processor
GDPR
32. Security of processing
GDPR
7.2.1: Management responsibilities
ISO27 Full
1. Task description

Our organization has defined procedures for maintaining staff's cyber security awareness.These may include e.g. the following things:

  • staff receive instructions describing the general guidelines of digital security related to their job role
  • staff receive training to maintain the appropriate digital and cyber security skills and knowledge required for the job role
  • staff demonstrate through tests that they have the security skills and knowledge required for the job role

Training should focus on the most relevant security aspects for each job role and include often enough the basics, which concern all employees:

  • employee's personal security responsibilities (e.g. for devices and processed data)
  • policies relevant for everyone (e.g. security incident reporting)
  • guidelines relevant for everyone (e.g. clean desk)
  • organization's security roles (who to contact with problems)
Guidelines about processing customer and patient data
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Social and health services security plan
Staff guidance and training
requirements

Task is fulfilling also these other security requirements

6.1: Tietojärjestelmien käyttäjiltä vaadittava koulutus ja kokemus
Self-monitoring
6.2: Tietojärjestelmien asianmukaisen käytön kannalta tarpeelliset käyttöohjeet
Self-monitoring
6.3: Henkilöstön koulutus sekä osaamisen ylläpito ja kehittäminen
Tietoturvasuunnitelma
6.4: Tietojärjestelmien käyttöohjeet ja ohjeiden mukainen käyttö
Tietoturvasuunnitelma
1. Task description

Kirjalliset ohjeet asiakas- ja potilastietojen käsittelystä tulee olla annettu ja niiden jakelukanavat selvitetty niitä käsitteleville työntekijöille.

Ohjeistuksissa käsitellään vähintään seuraavia teemoja:

  • Asiakas- ja potilastietojärjestelmien turvallinen käyttö
  • Asiakas- ja potilastietojen turvallinen käsittely
  • Salassapito
  • Tietojen oikeaoppinen luovuttaminen
  • Käsittelyyn liittyvä lainsäädäntö
General security guidelines for staff
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Personnel security
Security guidelines
requirements

Task is fulfilling also these other security requirements

T11: Turvallisuuskoulutus ja -tietoisuus
Katakri
4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
TiHL
29. Processing under the authority of the controller or processor
GDPR
9.4.4: Use of privileged utility programs
ISO27 Full
11.2.7: Secure disposal or re-use of equipment
ISO27 Full
1. Task description

Personnel must have security guidelines that deal with e.g. the following topics:

  • Using and updating mobile devices
  • Storing and backing up data
  • Privacy
  • Using email
  • Handling of printouts, papers and files
  • Reporting incidents
  • Scam prevention
Täsmäkoulutukset potilastietojen käsittelyyn
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Social and health services security plan
Staff guidance and training
requirements

Task is fulfilling also these other security requirements

6.1: Tietojärjestelmien käyttäjiltä vaadittava koulutus ja kokemus
Self-monitoring
6.3: Henkilöstön koulutus sekä osaamisen ylläpito ja kehittäminen
Tietoturvasuunnitelma
1. Task description

Henkilöstöllä on oltava koulutusta potilastietojen käsittelyyn.

Maintaining a log of cyber security trainings
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Personnel security
Cyber security training
requirements

Task is fulfilling also these other security requirements

T11: Turvallisuuskoulutus ja -tietoisuus
Katakri
7.2.2: Information security awareness, education and training
ISO27 Full
6.1: Tietojärjestelmien käyttäjiltä vaadittava koulutus ja kokemus
Self-monitoring
PR.AT-1: Awareness
NIST
HAL-13: Koulutukset
Julkri
1. Task description

A log is kept of the cyber security training events provided by the organization to its staff. The log can be used to show what kind of specific investments the organization has made towards staff's cyber security expertise.

For each training the documentation should include:

  • Time
  • Topics and duration of the training
  • Training method and trainer
  • Staff involved in the training
Creating a training plan
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Social and health services security plan
Staff guidance and training
requirements

Task is fulfilling also these other security requirements

6.3: Henkilöstön koulutus sekä osaamisen ylläpito ja kehittäminen
Tietoturvasuunnitelma
1. Task description

Tietoturvallisuuden omavalvonnan kohteella on oltava koulutussuunnitelma tai vastaava dokumentti, jossa kuvataan toimintamalli henkilökunnan perehdyttämiseen, koulutukseen sekä osaamisen ylläpitoon, seurantaan ja ajantasaisuuden varmistamiseen asiakastietojen käsittelyssä sekä tietosuoja- ja tietoturva-aiheissa.

Koulutussuunnitelmassa on kuvattava erilaisissa työtehtävissä ja rooleissa vaadittavan koulutuksen sisältö ja toteuttamistavat.

Tietojärjestelmän käyttäjiltä vaadittava koulutus ja osaaminen voidaan todentaa todistuksilla, merkinnöillä koulutuksiin osallistumisesta tai muulla organisaatiossa sovitulla tavalla.

Tietojärjestelmän käyttäjien kokemuksen varmistaminen
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Social and health services security plan
Staff guidance and training
requirements

Task is fulfilling also these other security requirements

6.1: Tietojärjestelmien käyttäjiltä vaadittava koulutus ja kokemus
Self-monitoring
6.3: Henkilöstön koulutus sekä osaamisen ylläpito ja kehittäminen
Tietoturvasuunnitelma
1. Task description

Lain mukaan tietojärjestelmien käyttäjillä on oltava niiden käytön vaatima kokemus. Organisaation on määriteltävä toimintatavat, joilla käyttäjien kokemusta testataan / seurataan.

Järjestelmän käytön perehdytys vähäisen kokemuksen työntekijöille
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Social and health services security plan
Staff guidance and training
requirements

Task is fulfilling also these other security requirements

6.1: Tietojärjestelmien käyttäjiltä vaadittava koulutus ja kokemus
Self-monitoring
6.3: Henkilöstön koulutus sekä osaamisen ylläpito ja kehittäminen
Tietoturvasuunnitelma
1. Task description

Niille työntekijöille, joilla on vähäinen kokemus käytössä olevasta tietojärjestelmästä, tai uusien tietojärjestelmien tullessa käyttöön tulee järjestää riittävä perehdytys ja tarvittaessa ohjausta tietojärjestelmän käyttöön.

No items found.