Asiakastietojen käsittelyyn tarkoitettua tietojärjestelmää ei saa ottaa tuotantokäyttöön, ellei siitä ole voimassa olevia tietoja Valviran tietojärjestelmärekisterissä. Luokkaan A kuuluvan tietojärjestelmän tai hyvinvointisovelluksen saa ottaa tuotantokäyttöön sen jälkeen, kun Valviran rekisteristä löytyy tieto järjestelmän sertifioinnista ja voimassa olevasta tietoturvallisuustodistuksesta. Tietojärjestelmää ei saa ottaa tuotantokäyttöön, jos luokkaan A kuuluvan tietojärjestelmän tietoturvallisuustodistus on vanhentunut, tai jos Valviran tietojärjestelmärekisterissä on järjestelmän käyttöönoton estävä poikkeama. Myös muut Valviran tietojärjestelmärekisterissä järjestelmään kohdistuvat olevat rajoitukset ja edellytykset on otettava huomioon (THL:n määräys 4/2021).
Tietoturvasuunnitelmaan on kuvattava tietoturvallisuuden omavalvonnan kohteeseen liittyvien tietojärjestelmien asennusten, ylläpidon ja päivitysten menettelytavat sekä niihin liittyvä tietoturvallisuuden varmistaminen. Kuvaukseen kuuluu myös henkilöstön roolit asennuksissa, ylläpidossa ja päivityksissä. Muutoksenhallinnan, testauksien ja hyväksymisten menettelyt sekä vastuut asennus-, ylläpito- ja päivitystyössä on sisällytettävä suunnitelmaan. Kuvaus on tehtävä sellaisella tarkkuustasolla, joka parhaiten tukee tietoturvallisuuteen ja asiakastietojen käsittelyyn liittyvää riskienhallintaa omavalvonnan kohteessa.
Tietoturvallisuuden omavalvonnan kohteen on selvitettävä tietoturvasuunnitelmassa, miten on varmistettu, että tietojärjestelmiä asennetaan, ylläpidetään ja päivitetään tietojärjestelmäpalvelun tuottajan ohjeiden mukaisesti. Tietojärjestelmäpalvelun tuottajien kanssa tehtävissä sopimuksissa tulisi kuvata tietoturvallisuuden omavalvonnan kohteen käyttöympäristön kannalta olennaiset seikat ja ohjeistukset liittyen tietojärjestelmien asennuksiin, ylläpitoon ja päivityksiin.
Vastaavasti tietoturvasuunnitelmassa on selvitettävä, miten on varmistettu, että tietojärjestelmiä asentaa, ylläpitää ja päivittää henkilöstö, jolla on siihen tarvittava ammattitaito ja asiantuntemus. Tietojärjestelmiä asentavien, ylläpitävien ja päivittävien henkilöiden roolit ja vastuut suhteessa tietoturvallisuuden omavalvonnan kohteeseen sekä tietojärjestelmäpalvelun tuottajaan on määriteltävä. Kuvauksiin voi kuulua myös mahdolliset tietojärjestelmien asennus-, ylläpito- ja päivitystyötä tekeviin henkilöihin kohdistuvat turvallisuusselvitykset. Tietojärjestelmäpalvelun tuottajan ja omavalvonnan kohteen välisissä sopimuksissa tulee ottaa kantaan näihin asioihin.
Edellä mainitut tietojärjestelmien asennukseen, ylläpitoon ja päivityksiin liittyvät seikat voidaan osoittaa tietoturvasuunnitelmaan sisältyvällä tai erillisellä suunnitelmalla, joka sisältää kuvaukset päivitys-, muutoksenhallinta- ja korjausprosesseista. Samassa suunnitelmassa on mahdollista esittää myös kuvaukset luvun 6.2 mukaisista virhe- ja poikkeustilanteisiin liittyvistä menettelytavoista. Päivitysprosessin kuvaamisessa on otettava huomioon muun muassa versio- ja korjauspäivitykset sekä muiden muutosten mahdollisesti vaatimat menettelyt. Muutoksenhallintaprosessissa voidaan kuvata muun muassa tietojärjestelmien muutosten ja uusien versioiden testaus- ja hyväksymismenettelyt. Asennus-, ylläpito- ja päivitystoimenpiteiden ongelma- ja virhetilanteiden hallinta tulee olla osa suunnitelmaa.
The organization must make sure that data systems are maintained and updated according to the manufacturer guidelines
In systematic cyber security work, the impact of significant changes must be assessed in advance and they must be executed in a controlled way. The consequences of unintentional changes must be assessed and efforts made to mitigate possible adverse effects.
Significant changes may include: changes in the organization, operating environment, business processes and data systems. Changes can be identified e.g. through management reviews and other cyber security work.
Asiakastietojen käsittelyyn tarkoitettua tietojärjestelmää ei saa ottaa tuotantokäyttöön, ellei siitä ole voimassa olevia tietoja Valviran tietojärjestelmärekisterissä.
The organization must ensure that information systems are installed, maintained and updated only by personnel who have the necessary skills and expertise. In addition, the role and responsibilities of the person who installs, maintains and updates information systems must be described in relation to the organization and the producer of the information system.
Once a vulnerability is identified, suppliers often have significant pressure to release patches as soon as possible. Therefore, the patch may not adequately address the issue and may have harmful side effects.
In evaluating patches, e.g. the following things should be taken into account:
In Cyberday, all frameworks’ requirements are mapped into universal tasks, so you achieve multi-framework compliance effortlessly.
.png)
Elevate Your Knowledge with Exclusive Access to Weekly Webinars, Video Courses, Help Articles, and Blogs.
