Content library
Tietoturvasuunnitelma (THL 3/2024)
6.6: Tietojärjestelmien asennus, ylläpito ja päivitys

How to fill the requirement

Tietoturvasuunnitelma (THL 3/2024)

6.6: Tietojärjestelmien asennus, ylläpito ja päivitys

Task name
Priority
Status
Theme
Policy
Other requirements
Maintenance and updating of data systems according to manufacturer guidelines
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
System management
Data system management
requirements

Task is fulfilling also these other security requirements

6.5: Tietojärjestelmien asennus, ylläpito ja päivitys
Self-monitoring
6.10: Työasemien, mobiililaitteiden ja käyttöympäristön tukipalveluiden hallinta
Tietoturvasuunnitelma
6.6: Tietojärjestelmien asennus, ylläpito ja päivitys
Tietoturvasuunnitelma
Article 7: ICT systems, protocols and tools
DORA
4.1: Tietojärjestelmien tietoturvallisuus
TiHL: Tietoturva
1. Task description

The organization must make sure that data systems are maintained and updated according to the manufacturer guidelines

Evaluation process and documentation of significant security-related changes
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Risk management and leadership
Risk management
requirements

Task is fulfilling also these other security requirements

6.3: Planning of changes
ISO27k1 Full
8.1: Operational planning and control
ISO27k1 Full
12.1.2: Change management
ISO27 Full
6.5: Tietojärjestelmien asennus, ylläpito ja päivitys
Self-monitoring
PR.IP-3: Configuration change control processes
NIST
1. Task description

In systematic cyber security work, the impact of significant changes must be assessed in advance and they must be executed in a controlled way. The consequences of unintentional changes must be assessed and efforts made to mitigate possible adverse effects.

Significant changes may include: changes in the organization, operating environment, business processes and data systems. Changes can be identified e.g. through management reviews and other cyber security work.

Requirements for the production use of the data system intended for processing customer data
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Social and health services security plan
Security of patient data systems
requirements

Task is fulfilling also these other security requirements

6.6: Tietojärjestelmien asennus, ylläpito ja päivitys
Tietoturvasuunnitelma
1. Task description

Asiakastietojen käsittelyyn tarkoitettua tietojärjestelmää ei saa ottaa tuotantokäyttöön, ellei siitä ole voimassa olevia tietoja Valviran tietojärjestelmärekisterissä.

  • Luokkaan A kuuluvan tietojärjestelmän tai hyvinvointisovelluksen saa ottaa tuotantokäyttöön sen jälkeen, kun Valviran rekisteristä löytyy tieto järjestelmän sertifioinnista ja voimassa olevasta tietoturvallisuustodistuksesta.
  • Tietojärjestelmää ei saa ottaa tuotantokäyttöön, jos luokkaan A kuuluvan tietojärjestelmän tietoturvallisuustodistus on vanhentunut, tai jos Valviran tietojärjestelmärekisterissä on järjestelmän käyttöönoton estävä poikkeama.
  • Myös muut Valviran tietojärjestelmärekisterissä järjestelmään kohdistuvat olevat rajoitukset ja edellytykset on otettava huomioon (THL:n määräys 4/2021).



The competence and responsibilites of the personnel maintaining data systems
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
System management
Data system management
requirements

Task is fulfilling also these other security requirements

6.5: Tietojärjestelmien asennus, ylläpito ja päivitys
Self-monitoring
6.6: Tietojärjestelmien asennus, ylläpito ja päivitys
Tietoturvasuunnitelma
4.1: Tietojärjestelmien tietoturvallisuus
TiHL: Tietoturva
1. Task description

The organization must ensure that information systems are installed, maintained and updated only by personnel who have the necessary skills and expertise. In addition, the role and responsibilities of the person who installs, maintains and updates information systems must be described in relation to the organization and the producer of the information system.

Evaluating and testing patches before deployment
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Development and cloud
Technical vulnerability management
requirements

Task is fulfilling also these other security requirements

12.6.1: Management of technical vulnerabilities
ISO27 Full
6.5: Tietojärjestelmien asennus, ylläpito ja päivitys
Self-monitoring
TEK-17: Muutoshallintamenettelyt
Julkri
8.8: Management of technical vulnerabilities
ISO27k1 Full
6.6: Tietojärjestelmien asennus, ylläpito ja päivitys
Tietoturvasuunnitelma
1. Task description

Once a vulnerability is identified, suppliers often have significant pressure to release patches as soon as possible. Therefore, the patch may not adequately address the issue and may have harmful side effects.

In evaluating patches, e.g. the following things should be taken into account:

  • whether the patch can be pre-tested properly?
  • whether it is wise to expect experience from other repairers?
  • whether the patch is available from a trusted source?
  • what are the risks of installing the patch and delaying the installation?
  • whether other actions are needed, such as disabling vulnerability features, increasing monitoring, or reporting about the vulnerability
No items found.