Free ebook: NIS2 ready using ISO 27001 best practices
Download ebook

Learn more about the connected frameworks

CLD 12.1
ISO 27017

Operational procedures and responsibilities

CLD 12.1.5
ISO 27017

Administrator's operational security

Other tasks from the same security theme

Data system listing and owner assignment

Critical
High
Normal
Low

Organisation must maintain a listing of used data systems and their owners. Owner is responsible for completing the related documentation and possible other security actions directly related to the data system.

Data system documentation must include at least:

  • System purpose and linked responsibilities
  • System's data location (covered in a separate task)
  • System's maintenance and development responsibilities and linked partners (covered in a separate task)
  • When necessary system's access roles and authentication methods (covered in a separate task)
  • When necessary systems interfaces to other systems (covered in a separate task)
5. Principles relating to processing of personal data
GDPR
24. Responsibility of the controller
GDPR
28. Processor
GDPR
32. Security of processing
GDPR
44. General principle for transfers
GDPR

General principles regarding the use of cloud services

Critical
High
Normal
Low

Organization must define (in addition to more detailed practices regarding supplier responsibilities, incidents and the procurement of cloud services) the general principles for managing information security risks related to the use of cloud services.

Principles must take into account e.g.:

  • how to utilize security features made possible by service providers
  • how to demand evidence of security measures implemented by service providers
  • what factors must be taken into account in own operations when utilizing a large number service providers
  • considering use of cloud services in own information security risk management process
  • procedures for ending the use of cloud services
5.23: Information security for use of cloud services
ISO 27001

Personnel guidelines for safe data system and authentication info usage

Critical
High
Normal
Low

The organization should have defined guidelines for the generally acceptable use of data systems and for the management of the necessary credentials.

In addition, the owners of data systems classified as 'High' or 'Critical' priority can define, document, and implement more specific guidelines for the use of that particular data system. These guidelines can describe e.g. security requirements related to the data contained in the system.

29. Processing under the authority of the controller or processor
GDPR
32. Security of processing
GDPR
9.3: User responsibilities
ISO 27001
8.1.3: Acceptable use of assets
ISO 27001
9.1.1: Access control policy
ISO 27001

Approval process before deploying new software

Critical
High
Normal
Low

Organisation has a process to review and approve software before installation or use. Process includes at least:

  • Assess limited approval: Verifying if the software is approved for specific use-cases or roles within the organization.
  • Check conformance: Ensuring the software meets the organization's information security requirements.
  • Verify software use rights and licensing: Confirm that the software has the appropriate licensing for its intended use.
  • Evaluate source and reputation: Assess the credibility and reputation of the software vendor or source.

This process should include the selection of special purpose software e.g. maintenance tools.

No items found.

Management of information systems and devices in systems management

Critical
High
Normal
Low

The organization's information systems and hardware are comprehensively covered by systems management. Through system management, it is possible to e.g. automatic updates.

No items found.

Protection of data systems during audit-related testing

Critical
High
Normal
Low

Reviews and other verification actions e.g. during audits, that target data systems, must be planned in advance and agreed with the appropriate testers and management. This aims to minimize the impact of actions on operational processes.

When planning practices, the following points must be taken into account:

  • inspection requests are approved with the appropriate responsible person
  • the scope of technical tests is agreed in advance and their the implementation is monitored
  • tests are restricted to read-only use as far as possible or are only implemented by experienced system administrators
  • fulfilment of security requirements is ensured in advance on devices that require access to systems
  • tests that may affect the availability of important systems, are performed outside office hours
  • the actions taken during the inspections and the access rights granted for them are recorded in a log
8.34: Protection of information systems during audit testing
ISO 27001

Tietojen erottelumenettelyt varmistusjärjestelmissä (TL IV)

Critical
High
Normal
Low

Käsiteltäessä samalla varmistusjärjestelmällä eri omistajien tietoja, tarkastusoikeuden mahdollistavat erottelumenettelyt on toteutettava varmistusjärjestelmän liittymien ja tallennemedioiden osalta (esim. omistaja-/hankekohtaiset eri avaimilla salatut nauhat, joita säilytetään asiakaskohtaisissa kassakaapeissa/kassakaappilokeroissa).

No items found.

Saatavuusvaatimuksia omaavien järjestelmien valvonta

Critical
High
Normal
Low

Jos palvelulla on saatavuus vaatimuksia, seurataan sen saatavuutta valvontajärjestelmällä. Valvontajärjestelmän tulee lähettää hälyttää havaitusta saatavuuspoikkeamista.

No items found.

Availability of data systems and procedures to protect their availability

Critical
High
Normal
Low

The organisation must ensure the availability of information systems throughout their entire lifecycle. For this reason, the availability requirements of different information systems (especially the maximum time a system can be out of service, recovery time objective, and recovery point objective) must be met.

The implementation of availability requirements must take into account the load endurance, fault tolerance, and recovery time required from the information system.

Additionally, the need for procedures that protect availability has been identified, and procedures have been implemented with customized protections for critical systems. These protections may include, for example, redundancy of key network connections, hardware, and application execution environments.

No items found.

Tietojenkäsittely-ympäristöjen turvallisuusdokumentaation ylläpito

Critical
High
Normal
Low

Tietojärjestelmiin ja verkkoihin liittyvää turvallisuusdokumentaatiota ylläpidetään ja sitä kehitetään jatkuvasti tärkeänä osana yleistä muutostenhallintaprosessia.

No items found.

Tietojärjestelmien vikasietoisuus ja toiminnallinen käytettävyys

Critical
High
Normal
Low

Olennaisilla tietojärjestelmillä tarkoitetaan sellaisia tietojärjestelmiä, jotka ovat kriittisiä viranomaisen lakisääteisten tehtäviä toteuttamisen kannalta erityisesti hallinnon asiakkaille palveluja tuotettaessa.

Toiminnallisella käytettävyydellä tarkoitetaan tietojärjestelmän käyttäjän kannalta sen varmistamista, että tietojärjestelmä on helposti opittava ja käytössä sen toimintalogiikka on helposti muistettava, sen toiminta tukee niitä työtehtäviä, joita käyttäjän pitää tehdä tietojärjestelmällä ja tietojärjestelmä edistää sen käytön virheettömyyttä.

  • Organisaatio tunnistaa ja luetteloi tehtävien hoitamisen kannalta olennaiset tietojärjestelmät esimerkiksi osana suojattavien kohteiden luettelointia ja tiedon luokittelua.
  • Organisaatio määrittelee olennaisten tietojärjestelmien saatavuuskriteerit, joita vasten vikasietoisuus voidaan testata. Järjestelmäkohtaisten saatavuuskriteerien määrittelyssä voidaan hyödyntää tietojärjestelmien saatavuusluokittelua.
  • Organisaatio määrittelee toiminnallisen käytettävyyden kriteerit.
  • Organisaation hankintaprosesseissa ja hankintaohjeissa on huomioitu toiminnalliseen käytettävyyteen ja vikasietoisuuteen liittyvät vaatimukset.
  • Organisaatio dokumentoi vikasietoisuuden testaukset.

Orgaisaation on myös varmistettava digitaalisten palveluiden saavutettavuus lainsäädännön edellyttämässä laajuudessa:

Saavutettavuus tarkoittaa sitä, että mahdollisimman moni erilainen ihminen voi käyttää verkkosivuja ja mobiilisovelluksia mahdollisimman helposti. Saavutettavuus on ihmisten erilaisuuden ja moninaisuuden huomiointia verkkosivujen ja mobiilisovelluksien suunnittelussa ja toteutuksessa. Saavutettavan digipalvelun suunnittelussa ja toteutuksessa pitää huomioida kolme osa-aluetta: tekninen toteutus, helppokäyttöisyys ja sisältöjen selkeys ja ymmärrettävyys.

No items found.

Implementing processes for improving resilience

Critical
High
Normal
Low

The organization must utilize mechanisms like:

  • Failsafe, to minimize damage in case of an issue
  • Load balancing to reduce risk for issues
  • Hot swappable components
PR.PT-5: Mechanisms
NIST CSF

The principle of least functionality in systems

Critical
High
Normal
Low

The organization utilizes the principle of least functionality in deploying and configuring systems. Systems must not have rights to anything that is not needed to accomplish what they are intended for.

PR.PT-3: Principle of least functionality
NIST CSF

Documented procedures and supervision for critical admin operations on used data systems

Critical
High
Normal
Low

Critical admin operations mean operations where a failure can cause unrecoverable damage to assets in the cloud computing environment.

Critical admin operations may include e.g. changes related to virtualized devices (e.g. servers, networks, storage), termination procedures, backup and restoration.

If a data system includes regular critical admin operations, these are documented. Also the procedures for carrying out critical admin operations are documented beforehand in needed detail for all utilized data systems.

Whenever a critical admin operation is carried out, a supervisor named in the documentation monitors the operation.

CLD 12.1: Operational procedures and responsibilities
ISO 27017
CLD 12.1.5: Administrator's operational security
ISO 27017

Keeping licensed software up to date

Critical
High
Normal
Low

The organisation has to make sure that all licensed software are updated with in 14 days of the update coming live when:

  • The update fixes vulnerabilities that are considered critical or high risk
  • Supplier does not release details about the severity of the vulnerability
No items found.

Managing licensed software

Critical
High
Normal
Low

The organisation has to make sure that all of it’s licensed software are:

  • actively supported
  • removed from devices when no longer supported
  • configured to automatically update, if possible
No items found.

Removing unnecessary software and network services

Critical
High
Normal
Low

The organisation must make sure unnecessary software like application, system utilities and network services are removed.

No items found.

Technical review of data systems

Critical
High
Normal
Low

The organization shall regularly review the technical compliance of the data systems with the organisation's requirements.

The review may use manual implementation by experienced professionals or automated tools (including intrusion testing).

The technical review shall always be planned and carried out by competent and pre-approved staff.

No items found.

Maintenance and updating of data systems according to manufacturer guidelines

Critical
High
Normal
Low

The organization must make sure that data systems are maintained and updated according to the manufacturer guidelines

No items found.

Documentation of interfaces for data systems

Critical
High
Normal
Low

The organization maintains documentation of interfaces and other connections between data system and the data transmission methods used in the interfaces.

The documentation concerning the interfaces shall be reviewed regularly and after significant changes to data systems.

8.1.1: Inventory of assets
ISO 27001
5 luku, 22 §: Tietojen luovuttaminen teknisen rajapinnan avulla viranomaisten välillä
5 luku, 23 §: Katseluyhteyden avaaminen viranomaiselle
5 luku, 24 §: Tietoaineistojen luovuttaminen teknisen rajapinnan avulla muille kuin viranomaisille
DE.AE-1: Baseline of network operations
NIST CSF

Tietojäjestelmien ei-sallitun käytön tekninen estäminen

Critical
High
Normal
Low

Sosiaalihuollon asiakastietoja ja potilastietoja käsittelevien tietojärjestelmien tulee estää ei-sallittu käyttö aina silloin, kun se vain on teknisesti mahdollista, ja omavalvonnan kohteen omien ohjeiden ja toimintatapojen tulee ohjata asiakastietojen käsittelijöitä oikeisiin toimintatapoihin ja tietojenkäsittelyyn.

No items found.

Asiakstietojen käsittelyyn tarkoitetun tietojärjestelmän tuotantokäytön vaatimukset

Critical
High
Normal
Low

Asiakastietojen käsittelyyn tarkoitettua tietojärjestelmää ei saa ottaa tuotantokäyttöön, ellei siitä ole voimassa olevia tietoja Valviran tietojärjestelmärekisterissä.

  • Luokkaan A kuuluvan tietojärjestelmän tai hyvinvointisovelluksen saa ottaa tuotantokäyttöön sen jälkeen, kun Valviran rekisteristä löytyy tieto järjestelmän sertifioinnista ja voimassa olevasta tietoturvallisuustodistuksesta.
  • Tietojärjestelmää ei saa ottaa tuotantokäyttöön, jos luokkaan A kuuluvan tietojärjestelmän tietoturvallisuustodistus on vanhentunut, tai jos Valviran tietojärjestelmärekisterissä on järjestelmän käyttöönoton estävä poikkeama.
  • Myös muut Valviran tietojärjestelmärekisterissä järjestelmään kohdistuvat olevat rajoitukset ja edellytykset on otettava huomioon (THL:n määräys 4/2021).



No items found.

Turvallisuuden ja suorituskyvyn varmistamisen kuvaaminen hyödynnettävistä sovelluksista ja tietojärjestelmistä

Critical
High
Normal
Low

Tietoturvasuunnitelmassa on kuvattava kuinka varmistetaan se, että Kanta-palveluihin liittyviin tietojärjestelmiin liitetyt tai käyttöympäristössä hyödynnettävät muut sovellukset tai tietojärjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia.

Muilla sovelluksilla ja tietojärjestelmillä tarkoitetaan esimerkiksi tietokoneohjelmia, jotka eivät käsittele asiakas- ja potilastietoja, eivätkä siten ole asiakastietolain 29 §:n mukaisia luokan A tai B tietojärjestelmiä.


No items found.

Tietojärjestelmien käyttötarkoitukseensa soveltuvuuden varmistaminen

Critical
High
Normal
Low

Palvelunantajan tulee asiakastietolain 27 §:n 1 momentin kohdan 8 mukaisesti varmistaa, että 29 §:ssä tarkoitetut tietojärjestelmät täyttävät käyttötarkoituksensa mukaiset olennaiset vaatimukset 34 §:n 2 momentin mukaisesti.

Palvelunantajan käyttämien tietojärjestelmien on vastattava käyttötarkoitukseltaan palvelunantajan toimintaa ja täytettävä palvelunantajan toimintaan liittyvät olennaiset vaatimukset. Olennaiset vaatimukset voidaan täyttää yhden tai useamman tietojärjestelmän muodostaman kokonaisuuden kautta.

No items found.

Management process for approved software

Critical
High
Normal
Low

Organisation should:

  • Identify and list the types of software to be managed, including firmware, operating systems, applications, libraries, and device drivers.
  • Ensure that repositories for managed software are created and maintained.
  • Implement security measures to protect the software repositories from unauthorized access and manipulation.
  • Conduct regular reviews to ensure that all software in use remains approved and meets the organization’s security and operational standards.
  • Keep an updated record of all software versions and their respective patch levels to ensure that all software is up-to-date and secure.


No items found.

Defining IT system auditing requirements

Critical
High
Normal
Low

The organisation must have a defined requirements for conducting audits on IT systems or for a service conducting the audit. In addition the following must be taken into account:

  • Definition of scope of system audit in a timely manner
  • The audits must be coordinated with the operators and users of the system
  • The audit results are stored in a traceable manner and reported to relevant management
  • The results must be analyzed to derive new measures based on the results
No items found.

Verifying the security of external system connections

Critical
High
Normal
Low

Ensure the security of connections with external systems by verifying and documenting them in formal agreements. Review current connections with their security measures, within documented agreements such as:

  • Service Level Agreement (SLA)
  • Data Processing Agreement (DPA)
  • Non-Disclosure Agreement (NDA)
  • Interconnection Security Agreement (ISA)
  • Third-Party Risk Management Agreement
No items found.

Carrying out information security inspections periodically and in exceptional situations

Critical
High
Normal
Low

Inspections and re-inspections regarding information security are important to be performed periodically during the normal operation of the data processing environment, in connection with maintenance procedures and when exceptional situations occur.

The organization has defined the time limits and events according to which information security inspections are performed.

No items found.

The competence and responsibilites of the personnel maintaining data systems

Critical
High
Normal
Low

The organization must ensure that information systems are installed, maintained and updated only by personnel who have the necessary skills and expertise. In addition, the role and responsibilities of the person who installs, maintains and updates information systems must be described in relation to the organization and the producer of the information system.

No items found.

Identification and management of shadow IT

Critical
High
Normal
Low

On average, the IT administrator estimates that staff use about 50 cloud services when the actual number is 1,000. Many of these are important for staff productivity and are used outside the organization’s network, so firewall rules do not solve the challenge.

Systems that focus on identifying and managing cloud services allow you to identify the cloud services used by your staff and monitor users of different services. This helps e.g.:

  • determine our own level of risk with respect to data in cloud services
  • review used services in regard to security
  • be able to report as required, e.g. on the location of data and data processors
9.2.2: User access provisioning
ISO 27001
5.18: Access rights
ISO 27001