Learn more about the connected frameworks

CLD 12.1
ISO 27017

Operational procedures and responsibilities

CLD 12.1.5
ISO 27017

Administrator's operational security

Other tasks from the same security theme

Data system listing and owner assignment

Critical
High
Normal
Low

Organisation must maintain a listing of used data systems and their owners. Owner is responsible for completing the related documentation and possible other security actions directly related to the data system.

Data system documentation must include at least:

  • System purpose and linked responsibilities
  • System's data location (covered in a separate task)
  • System's maintenance and development responsibilities and linked partners (covered in a separate task)
  • When necessary system's access roles and authentication methods (covered in a separate task)
  • When necessary systems interfaces to other systems (covered in a separate task)
5. Principles relating to processing of personal data
GDPR
24. Responsibility of the controller
GDPR
28. Processor
GDPR
32. Security of processing
GDPR
44. General principle for transfers
GDPR

General principles regarding the use of cloud services

Critical
High
Normal
Low

Organization must define (in addition to more detailed practices regarding supplier responsibilities, incidents and the procurement of cloud services) the general principles for managing information security risks related to the use of cloud services.

Principles must take into account e.g.:

< ul>
  • how to utilize security features made possible by service providers
  • how to demand evidence of security measures implemented by service providers
  • what factors must be taken into account in own operations when utilizing a large number service providers
  • considering use of cloud services in own information security risk management process
  • procedures for ending the use of cloud services
  • 5.23: Information security for use of cloud services
    ISO 27001

    Personnel guidelines for safe data system and authentication info usage

    Critical
    High
    Normal
    Low

    The organization should have defined guidelines for the generally acceptable use of data systems and for the management of the necessary credentials.

    In addition, the owners of data systems classified as 'High' or 'Critical' priority can define, document, and implement more specific guidelines for the use of that particular data system. These guidelines can describe e.g. security requirements related to the data contained in the system.

    29. Processing under the authority of the controller or processor
    GDPR
    32. Security of processing
    GDPR
    9.3: User responsibilities
    ISO 27001
    8.1.3: Acceptable use of assets
    ISO 27001
    9.1.1: Access control policy
    ISO 27001

    Management of information systems and devices in systems management

    Critical
    High
    Normal
    Low

    The organization's information systems and hardware are comprehensively covered by systems management. Through system management, it is possible to e.g. automatic updates.

    No items found.

    Protection of data systems during audit-related testing

    Critical
    High
    Normal
    Low

    Reviews and other verification actions e.g. during audits, that target data systems, must be planned in advance and agreed with the appropriate testers and management. This aims to minimize the impact of actions on operational processes.

    When planning practices, the following points must be taken into account:

    • inspection requests are approved with the appropriate responsible person
    • the scope of technical tests is agreed in advance and their the implementation is monitored
    • tests are restricted to read-only use as far as possible or are only implemented by experienced system administrators
    • fulfilment of security requirements is ensured in advance on devices that require access to systems
    • tests that may affect the availability of important systems, are performed outside office hours
    • the actions taken during the inspections and the access rights granted for them are recorded in a log
    8.34: Protection of information systems during audit testing
    ISO 27001

    Tietojen erottelumenettelyt varmistusjärjestelmissä (TL IV)

    Critical
    High
    Normal
    Low

    Käsiteltäessä samalla varmistusjärjestelmällä eri omistajien tietoja, tarkastusoikeuden mahdollistavat erottelumenettelyt on toteutettava varmistusjärjestelmän liittymien ja tallennemedioiden osalta (esim. omistaja-/hankekohtaiset eri avaimilla salatut nauhat, joita säilytetään asiakaskohtaisissa kassakaapeissa/kassakaappilokeroissa).

    No items found.

    Saatavuusvaatimuksia omaavien järjestelmien valvonta

    Critical
    High
    Normal
    Low

    Jos palvelulla on saatavuus vaatimuksia, seurataan sen saatavuutta valvontajärjestelmällä. Valvontajärjestelmän tulee lähettää hälyttää havaitusta saatavuuspoikkeamista.

    No items found.

    Tietojärjestelmien saatavuus ja saatavuutta suojaavat menettelyt

    Critical
    High
    Normal
    Low

    Viranomaisen on varmistettava tietojärjestelmien saatavuus koko niiden elinkaaren ajan. Tämän vuoksi eri tietojärjestelmien saatavuusvaatimukset (etenkin pisin aika, jonka järjestelmä voi olla pois käytöstä, palautusaikatavoite sekä palautuspistetavoite).

    Saatavuusvaatimusten toteutuksen tulee huomioida tietojärjestelmältä edellytettävä kuormituksen kesto, vikasietoisuus ja palautumisaika.

    Lisäksi tarve saatavuutta suojaaville menettelyille on tunnistettu ja menettelyt on toteutettu kriittisille järjestelmille järjestelmäkohtaisesti räätälöidyillä suojauksilla. Suojauksiin voi sisältyä esimerkiksi keskeisten verkkoyhteyksien, laitteistojen ja sovellusten ajoympäristöjen kahdentamiset.

    No items found.

    Tietojenkäsittely-ympäristöjen turvallisuusdokumentaation ylläpito

    Critical
    High
    Normal
    Low

    Tietojärjestelmiin ja verkkoihin liittyvää turvallisuusdokumentaatiota ylläpidetään ja sitä kehitetään jatkuvasti tärkeänä osana yleistä muutostenhallintaprosessia.

    No items found.

    Tietojärjestelmien vikasietoisuus ja toiminnallinen käytettävyys

    Critical
    High
    Normal
    Low

    Olennaisilla tietojärjestelmillä tarkoitetaan sellaisia tietojärjestelmiä, jotka ovat kriittisiä viranomaisen lakisääteisten tehtäviä toteuttamisen kannalta erityisesti hallinnon asiakkaille palveluja tuotettaessa.

    Toiminnallisella käytettävyydellä tarkoitetaan tietojärjestelmän käyttäjän kannalta sen varmistamista, että tietojärjestelmä on helposti opittava ja käytössä sen toimintalogiikka on helposti muistettava, sen toiminta tukee niitä työtehtäviä, joita käyttäjän pitää tehdä tietojärjestelmällä ja tietojärjestelmä edistää sen käytön virheettömyyttä.

    • Organisaatio tunnistaa ja luetteloi tehtävien hoitamisen kannalta olennaiset tietojärjestelmät esimerkiksi osana suojattavien kohteiden luettelointia ja tiedon luokittelua.
    • Organisaatio määrittelee olennaisten tietojärjestelmien saatavuuskriteerit, joita vasten vikasietoisuus voidaan testata. Järjestelmäkohtaisten saatavuuskriteerien määrittelyssä voidaan hyödyntää tietojärjestelmien saatavuusluokittelua.
    • Organisaatio määrittelee toiminnallisen käytettävyyden kriteerit.
    • Organisaation hankintaprosesseissa ja hankintaohjeissa on huomioitu toiminnalliseen käytettävyyteen ja vikasietoisuuteen liittyvät vaatimukset.
    • Organisaatio dokumentoi vikasietoisuuden testaukset.

    Orgaisaation on myös varmistettava digitaalisten palveluiden saavutettavuus lainsäädännön edellyttämässä laajuudessa:

    Saavutettavuus tarkoittaa sitä, että mahdollisimman moni erilainen ihminen voi käyttää verkkosivuja ja mobiilisovelluksia mahdollisimman helposti. Saavutettavuus on ihmisten erilaisuuden ja moninaisuuden huomiointia verkkosivujen ja mobiilisovelluksien suunnittelussa ja toteutuksessa. Saavutettavan digipalvelun suunnittelussa ja toteutuksessa pitää huomioida kolme osa-aluetta: tekninen toteutus, helppokäyttöisyys ja sisältöjen selkeys ja ymmärrettävyys.

    No items found.

    Implementing processes for improving resilience

    Critical
    High
    Normal
    Low

    The organization must utilize mechanisms like:

    • Failsafe, to minimize damage in case of an issue
    • Load balancing to reduce risk for issues
    • Hot swappable components
    PR.PT-5: Mechanisms
    NIST CSF

    The principle of least functionality in systems

    Critical
    High
    Normal
    Low

    The organization utilizes the principle of least functionality in deploying and configuring systems. Systems must not have rights to anything that is not needed to accomplish what they are intended for.

    PR.PT-3: Principle of least functionality
    NIST CSF
    9.3 (MIL2): Implement IT and OT Asset Security as an Element of the Cybersecurity Architecture
    C2M2

    Documented procedures and supervision for critical admin operations on used data systems

    Critical
    High
    Normal
    Low

    Critical admin operations mean operations where a failure can cause unrecoverable damage to assets in the cloud computing environment.

    Critical admin operations may include e.g. changes related to virtualized devices (e.g. servers, networks, storage), termination procedures, backup and restoration.

    If a data system includes regular critical admin operations, these are documented. Also the procedures for carrying out critical admin operations are documented beforehand in needed detail for all utilized data systems.

    Whenever a critical admin operation is carried out, a supervisor named in the documentation monitors the operation.

    CLD 12.1: Operational procedures and responsibilities
    ISO 27017
    CLD 12.1.5: Administrator's operational security
    ISO 27017

    Keeping licensed software up to date

    Critical
    High
    Normal
    Low

    The organisation has to make sure that all licensed software are updated with in 14 days of the update coming live when:

    • The update fixes vulnerabilities that are considered critical or high risk
    • Supplier does not release details about the severity of the vulnerability
    No items found.

    Managing licensed software

    Critical
    High
    Normal
    Low

    The organisation has to make sure that all of it’s licensed software are:

    • actively supported
    • removed from devices when no longer supported
    • configured to automatically update, if possible
    No items found.

    Removing unnecessary software and network services

    Critical
    High
    Normal
    Low

    The organisation must make sure unnecessary software like application, system utilities and network services are removed.

    No items found.

    Technical review of data systems

    Critical
    High
    Normal
    Low

    The organization shall regularly review the technical compliance of the data systems with the organisation's requirements.

    The review may use manual implementation by experienced professionals or automated tools (including intrusion testing).

    The technical review shall always be planned and carried out by competent and pre-approved staff.

    No items found.

    Tietojärjestelmien ylläpito ja päivittäminen valmistajan ohjeiden mukaisesti

    Critical
    High
    Normal
    Low

    Organisaation on varmistettava, että tietojärjestelmiä ylläpidetään ja päivitetään valmistajan ohjeiden mukaisesti.

    No items found.

    Documentation of interfaces for data systems

    Critical
    High
    Normal
    Low

    The organization maintains documentation of interfaces and other connections between data system and the data transmission methods used in the interfaces.

    The documentation concerning the interfaces shall be reviewed regularly and after significant changes to data systems.

    8.1.1: Inventory of assets
    ISO 27001
    5 luku, 22 §: Tietojen luovuttaminen teknisen rajapinnan avulla viranomaisten välillä
    5 luku, 23 §: Katseluyhteyden avaaminen viranomaiselle
    5 luku, 24 §: Tietoaineistojen luovuttaminen teknisen rajapinnan avulla muille kuin viranomaisille
    DE.AE-1: Baseline of network operations
    NIST CSF

    Tietojäjestelmien ei-sallitun käytön tekninen estäminen

    Critical
    High
    Normal
    Low

    Sosiaalihuollon asiakastietoja ja potilastietoja käsittelevien tietojärjestelmien tulee estää ei-sallittu käyttö aina silloin, kun se vain on teknisesti mahdollista, ja omavalvonnan kohteen omien ohjeiden ja toimintatapojen tulee ohjata asiakastietojen käsittelijöitä oikeisiin toimintatapoihin ja tietojenkäsittelyyn.

    No items found.

    Asiakstietojen käsittelyyn tarkoitetun tietojärjestelmän tuotantokäytön vaatimukset

    Critical
    High
    Normal
    Low

    Asiakastietojen käsittelyyn tarkoitettua tietojärjestelmää ei saa ottaa tuotantokäyttöön, ellei siitä ole voimassa olevia tietoja Valviran tietojärjestelmärekisterissä.

    • Luokkaan A kuuluvan tietojärjestelmän tai hyvinvointisovelluksen saa ottaa tuotantokäyttöön sen jälkeen, kun Valviran rekisteristä löytyy tieto järjestelmän sertifioinnista ja voimassa olevasta tietoturvallisuustodistuksesta.
    • Tietojärjestelmää ei saa ottaa tuotantokäyttöön, jos luokkaan A kuuluvan tietojärjestelmän tietoturvallisuustodistus on vanhentunut, tai jos Valviran tietojärjestelmärekisterissä on järjestelmän käyttöönoton estävä poikkeama.
    • Myös muut Valviran tietojärjestelmärekisterissä järjestelmään kohdistuvat olevat rajoitukset ja edellytykset on otettava huomioon (THL:n määräys 4/2021).



    No items found.

    Turvallisuuden ja suorituskyvyn varmistamisen kuvaaminen hyödynnettävistä sovelluksista ja tietojärjestelmistä

    Critical
    High
    Normal
    Low

    Tietoturvasuunnitelmassa on kuvattava kuinka varmistetaan se, että Kanta-palveluihin liittyviin tietojärjestelmiin liitetyt tai käyttöympäristössä hyödynnettävät muut sovellukset tai tietojärjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia.

    Muilla sovelluksilla ja tietojärjestelmillä tarkoitetaan esimerkiksi tietokoneohjelmia, jotka eivät käsittele asiakas- ja potilastietoja, eivätkä siten ole asiakastietolain 29 §:n mukaisia luokan A tai B tietojärjestelmiä.


    No items found.

    Tietojärjestelmien käyttötarkoitukseensa soveltuvuuden varmistaminen

    Critical
    High
    Normal
    Low

    Palvelunantajan tulee asiakastietolain 27 §:n 1 momentin kohdan 8 mukaisesti varmistaa, että 29 §:ssä tarkoitetut tietojärjestelmät täyttävät käyttötarkoituksensa mukaiset olennaiset vaatimukset 34 §:n 2 momentin mukaisesti.

    Palvelunantajan käyttämien tietojärjestelmien on vastattava käyttötarkoitukseltaan palvelunantajan toimintaa ja täytettävä palvelunantajan toimintaan liittyvät olennaiset vaatimukset. Olennaiset vaatimukset voidaan täyttää yhden tai useamman tietojärjestelmän muodostaman kokonaisuuden kautta.

    No items found.

    Carrying out information security inspections periodically and in exceptional situations

    Critical
    High
    Normal
    Low

    Inspections and re-inspections regarding information security are important to be performed periodically during the normal operation of the data processing environment, in connection with maintenance procedures and when exceptional situations occur.

    The organization has defined the time limits and events according to which information security inspections are performed.

    No items found.

    The competence and responsibilites of the personnel maintaining data systems

    Critical
    High
    Normal
    Low

    The organization must ensure that information systems are installed, maintained and updated only by personnel who have the necessary skills and expertise. In addition, the role and responsibilities of the person who installs, maintains and updates information systems must be described in relation to the organization and the producer of the information system.

    No items found.

    Identification and management of shadow IT

    Critical
    High
    Normal
    Low

    On average, the IT administrator estimates that staff use about 50 cloud services when the actual number is 1,000. Many of these are important for staff productivity and are used outside the organization’s network, so firewall rules do not solve the challenge.

    Systems that focus on identifying and managing cloud services allow you to identify the cloud services used by your staff and monitor users of different services. This helps e.g.:

    • determine our own level of risk with respect to data in cloud services
    • review used services in regard to security
    • be able to report as required, e.g. on the location of data and data processors
    9.2.2: User access provisioning
    ISO 27001
    5.18: Access rights
    ISO 27001