Content library
Tietoturvasuunnitelma (THL 3/2024)
6.7: Käyttövaltuuksien hallinnan ja tunnistautumisen käytännöt

How to fill the requirement

Tietoturvasuunnitelma (THL 3/2024)

6.7: Käyttövaltuuksien hallinnan ja tunnistautumisen käytännöt

Task name
Priority
Status
Theme
Policy
Other requirements
Personnel guidelines for safe data system and authentication info usage
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
System management
Data system management
requirements

Task is fulfilling also these other security requirements

32. Security of processing
GDPR
29. Processing under the authority of the controller or processor
GDPR
8.1.3: Acceptable use of assets
ISO27 Full
12.1.1: Documented operating procedures
ISO27 Full
9.1.1: Access control policy
ISO27 Full
1. Task description

The organization should have defined guidelines for the generally acceptable use of data systems and for the management of the necessary credentials.

In addition, the owners of data systems classified as 'High' or 'Critical' priority can define, document, and implement more specific guidelines for the use of that particular data system. These guidelines can describe e.g. security requirements related to the data contained in the system.

Regular reviewing of data system access rights
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
System management
Access control and authentication
requirements

Task is fulfilling also these other security requirements

I06: Pääsyoikeuksien hallinnointi
Katakri
16 §: Tietojärjestelmien käyttöoikeuksien hallinta
TiHL
24. Responsibility of the controller
GDPR
32. Security of processing
GDPR
5. Principles relating to processing of personal data
GDPR
1. Task description

Data system owner determines the access roles to the system in relation to the tasks of users. The compliance of the actual access rights with the planned ones must be monitored and the rights reassessed at regular intervals.

When reviewing access rights, care must also be taken to minimize admin rights and eliminate unnecessary accounts.

Defining and documenting accepted authentication methods
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
System management
Access control and authentication
requirements

Task is fulfilling also these other security requirements

I07: Tietojenkäsittely-ympäristön toimijoiden tunnistaminen
Katakri
9.1.1: Access control policy
ISO27 Full
9.2.4: Management of secret authentication information of users
ISO27 Full
9.4.2: Secure log-on procedures
ISO27 Full
6.6.2: Käyttövaltuushallinta ja tunnistautuminen järjestelmiin
Self-monitoring
1. Task description

The organization has predefined authentication methods that employees should prefer when using data systems.

When using cloud services, the user can often freely decide how he or she authenticates with the service. A single centralized authentication account (such as a Google or Microsoft 365 account) can help close a large number of access rights at once when the main user account that acts as the authentication method is closed.

Kanta-palvelujen virhetilanteiden selvityksessä tehtävä tietojen käsittely
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Social and health services security plan
Connections and use of Kanta-services
requirements

Task is fulfilling also these other security requirements

6.6.2: Käyttövaltuushallinta ja tunnistautuminen järjestelmiin
Self-monitoring
6.7: Käyttövaltuuksien hallinnan ja tunnistautumisen käytännöt
Tietoturvasuunnitelma
1. Task description

Pääkäyttäjillä ja tietojärjestelmäasiantuntijoilla ei ole oikeutta Kanta-palveluissa olevien tietojen käsittelyyn (kuten luovutushaku tai asiakirjan hakeminen omaan käyttöön) paitsi virhetilanteiden selvityksessä, jolloin on oikeus tarkistaa oman organsiaationsa tietoja potilastiedon arkistosta.

Kanta-oikeudet on rajattava edellä mainituissa selvitystilanteissa ainoastaan omien tietojen hakuun. Kaikkien selvityksessä tehtyjen hakujen tulee näkyä lokeista.

Roolipohjaisista käyttöoikeuksista poikkeamien käsittely
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
System management
Access control and authentication
requirements

Task is fulfilling also these other security requirements

6.6.2: Käyttövaltuushallinta ja tunnistautuminen järjestelmiin
Self-monitoring
6.7: Käyttövaltuuksien hallinnan ja tunnistautumisen käytännöt
Tietoturvasuunnitelma
1. Task description

Poikkeamat roolikohtaisista oikeuksista tulee asianmukaisesti hyväksyä ja dokumentoida.

Defining and documenting access roles
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
System management
Access control and authentication
requirements

Task is fulfilling also these other security requirements

I06: Pääsyoikeuksien hallinnointi
Katakri
25. Data protection by design and by default
GDPR
5. Principles relating to processing of personal data
GDPR
9.1.1: Access control policy
ISO27 Full
9.2.2: User access provisioning
ISO27 Full
1. Task description

The organization implements role-based access control with predefined access roles for the various protected assets that entitle access to the associated asset. Strictness of the access roles should reflect the security risks associated with the asset.

The following should be considered to support access management:

  • how much information each user needs access to
  • how widely the user should be able to edit data (read, write, delete, print, execute)
  • whether other applications have access to the data
  • whether the data can be segregated within the property so that sensitive data is less exposed
Avoiding and documenting shared user accounts
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
System management
Access control and authentication
requirements

Task is fulfilling also these other security requirements

I07: Tietojenkäsittely-ympäristön toimijoiden tunnistaminen
Katakri
32. Security of processing
GDPR
9.2.4: Management of secret authentication information of users
ISO27 Full
TEK-08: Tietojenkäsittely-ympäristön toimijoiden tunnistaminen
Julkri
5.16: Identity management
ISO27k1 Full
1. Task description

Shared accounts should only be allowed if they are necessary for business or operational reasons and should be separately approved and documented.

If shared accounts are used for admin purposes, passwords must be changed as soon as possible after any user with admin rights leaves their job.

Pääkäyttäjien asiakastietoihin pääsyn rajoittaminen
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Social and health services security plan
Security of patient data systems
requirements

Task is fulfilling also these other security requirements

6.7: Käyttövaltuuksien hallinnan ja tunnistautumisen käytännöt
Tietoturvasuunnitelma
1. Task description

Kaikilla pääkäyttäjillä ja tietojärjestelmäasiantuntijoilla ei lähtökohtaisesti ole oikeutta asiakastietoihin riippumatta siitä, missä asiakastieto sijaitsee.

Poikkeuksen tähän muodostaa paikallisiin rekistereihin liittyvät virhetilanteiden selvitykset, joissa pääkäyttäjillä ja tietojärjestelmäasiantuntijoilla on oikeus tarkastaa ja korjata oman organisaationsa tietoja tai sen organisaation tietoja, jonka lukuun he selvityksen aikana toimivat.

Organisaation on kuvattava käytännöt virhetilanteiden selvityksiin.

Käyttöoikeuspyyntöjä hyväksyvien henkilöiden ja roolien määrittely
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
System management
Access control and authentication
requirements

Task is fulfilling also these other security requirements

6.6.2: Käyttövaltuushallinta ja tunnistautuminen järjestelmiin
Self-monitoring
6.7: Käyttövaltuuksien hallinnan ja tunnistautumisen käytännöt
Tietoturvasuunnitelma
1. Task description

Organisaatio on määritellyt roolit, joissa toimivat henkilöt voivat hyväksyä käyttöoikeuspyyntöjä. Organisaatio on lisäksi määritellyt, kuinka dokumentoidaan muut henkilöt, jotka voivat hyväksyä käyttöoikeuspyyntöjä.

Implementing formal access control processes
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
System management
Access control and authentication
requirements

Task is fulfilling also these other security requirements

9.1.1: Access control policy
ISO27 Full
5.15: Access control
ISO27k1 Full
21.2.i (access): Access control
NIS2
6.7: Käyttövaltuuksien hallinnan ja tunnistautumisen käytännöt
Tietoturvasuunnitelma
4.1.2: Security of authentication
TISAX
1. Task description

To ensure that authorized users have access to data systems and to prevent unauthorized access, the organization has defined formal processes for:

  • User registration and deletion
  • Allocation of access rights
  • Reassessment of access rights
  • Deleting or changing access rights

The implementation of these things must always take place through a defined, formal process.

No items found.