Learn more about the connected frameworks

6.1
ISO 27001

Screening

7.1.1
ISO 27001

Taustatarkistus

8.1 (MIL1)
C2M2

Implement Workforce Controls

8.1 (MIL2)
C2M2

Implement Workforce Controls

PR.AC-6
NIST CSF

Proof of identity

PR.IP-11
NIST CSF

Cybersecurity in human resources

T09

Henkilöstön luotettavuuden arviointi

Other tasks from the same security theme

Process for granting access rights at the start of employment relationships

Critical
High
Normal
Low

When a person starts an employment relationship, he or she is granted access to all data systems related to his or her role at once.

9.2.1: User registration and de-registration
ISO 27001
9.2.2: User access provisioning
ISO 27001
PR.AC-1: Identity and credential management
NIST CSF
5.16: Identity management
ISO 27001

Process for removing hardware and access rights at termination of employment relationship

Critical
High
Normal
Low

Our organization has defined procedures for coordinating, at the time of termination of employment, e.g..:

  • Hardware recovery
  • Removal of access rights
  • Restoration of other information assets
8.1.4: Return of assets
ISO 27001
9.2.1: User registration and de-registration
ISO 27001
9.2.6: Removal or adjustment of access rights
ISO 27001
PR.AC-1: Identity and credential management
NIST CSF
5.11: Return of assets
ISO 27001

Turvallisuusselvitysten tarpeen arviointi ja toteuttaminen

Critical
High
Normal
Low

Organisaatio arvioi turvallisuusselvityksen tarpeen ja mikäli sellaista edellytetään, toteuttaa turvallisuusselvityksen myöntää henkilöille pääsyn suojattaviin kohteisiin vasta turvallisuusselvityksen jälkeen.

Turvallisuusselvityksen laajuus riippuu ihmisen työtehtävästä ja tarvittavista oikeuksista esimerkiksi salassa pidettävän tiedon käsittelyyn. Selvityksen laajuus ratkaisee, mitä tietolähteitä selvityksen tekemisessä käytetään. Henkilöä itseään voidaan tarvittaessa haastatella.

No items found.

Ohjeistukset työsuhteen elinkaaren huomioimiseksi

Critical
High
Normal
Low

Organisaatio on muodostanut ohjeistukset, joilla varmistetaan turvallisuutta eri työsuhteen elinkaaren vaiheissa. Ohjeistuksia koulutetaan ja valvotaan tarvittavien henkilöstöryhmien parissa (esim. esimiehet).

Menettelyohjeet voidaan kohdistaa työsuhteen eri elinkaaren vaiheisiin. Eri ohjeistuksia voivat olla esimerkiksi:

  • rekrytointiohjeet
  • perehdyttämisohjeet
  • työsuhteen aikaisten muutosten ohjeet
  • työsuhteen päättymisen ohjeet
  • ja ohjeet yksityiskohtaisempiin toimiin kuten esimerkiksi ohjeet käyttö- ja pääsyoikeuksien muutoksiin
T08: Työsuhteen elinkaaren huomioiminen

Screenings and background checks before recruitment

Critical
High
Normal
Low

Applicants applying for cyber security should have their background checked, taking into account relevant laws and regulations.

The check may include:

  • review of recommendations
  • verification of CV accuracy
  • verification of educational qualifications
  • verification of identity from an independent source
  • other more detailed checks (e.g. credit information, review of previous claims or criminal record)

The background check may also be extended to, for example, teleworkers, contractors or other third parties. The depth of the background check can be related to the category of the accessed data.

7.1.1: Screening
ISO 27001
T09: Henkilöstön luotettavuuden arviointi
PR.AC-6: Proof of identity
NIST CSF
PR.IP-11: Cybersecurity in human resources
NIST CSF
6.1: Screening
ISO 27001

Review of access right for changed employee roles

Critical
High
Normal
Low

In all changes on employment relationship, access rights should be reviewed in cooperation with the owners of the protected property and re-granted to the person completely when there is a significant change in the person's employment. A change can be a promotion or a change of role (e.g., moving from one unit to another).

9.2.5: Review of user access rights
ISO 27001
5.18: Access rights
ISO 27001
4.2 (MIL1): Control Logical Access
C2M2

Informing about cyber security responsibilities that continue after employment relationship has ended

Critical
High
Normal
Low

The employment contract should distinguish between cyber security responsibilities and obligations that remain in force after the termination of the employment relationship. The employee should also be reminded of these at the end of the employment relationship to ensure compliance.

7.3: Termination and change of employment
ISO 27001
7.3.1: Termination or change of employment responsibilities
ISO 27001
PR.DS-5: Data leak protection
NIST CSF
6.5: Responsibilities after termination or change of employment
ISO 27001

Turvallisuusluokiteltuja tietoja käsittelevän henkilön luotettavuuden arviointi

Critical
High
Normal
Low

Viranomaisen on tunnistettava ne tehtävät, joiden suorittaminen edellyttää sen palveluksessa olevilta tai sen lukuun toimivilta henkilöiltä erityistä luotettavuutta. Henkilöturvallisuusselvitystä hakee turvallisuusluokitellun tiedon omistava viranomainen.

Selvitystä haetaan Suojelupoliisilta, joka päättää sen tekemisestä. Selvitystä haetaan Pääesikunnalta, joka päättää sen tekemisestä, jos selvityksen kohteen (henkilö) on tarkoitus hoitaa puolustusvoimien antamaa tehtävää taikka jos selvitys liittyy puolustusvoimien toimintaan tai hankintoihin. Selvitys laaditaan suppeana, perusmuotoisena tai laajana riippuen käsiteltävästä turvallisuusluokitellusta tiedosta.

Kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi tarpeellista henkilöturvallisuusselvitystodistusta (PSC, Personnel Security Clearance) haetaan Ulkoministeriössä toimivalta Kansalliselta turvallisuusviranomaiselta (NSA, National Security Authority). Esimerkiksi EU:n ja Naton turvallisuusluokiteltujen tietojen käsittely edellyttää turvallisuusluokasta III (CONFIDENTIAL) lähtien PSC:tä.

No items found.

Restriction of access rights at high risk times of employment

Critical
High
Normal
Low

If a person's employment is terminating or significantly changing, the reduction of access rights to assets should be considered, depending on the following:

  • a person’s reluctance towards the upcoming change
  • the extent of the person’s current access rights and responsibilities
  • the value of the assets to which the employee has access
9.2.6: Removal or adjustment of access rights
ISO 27001
5.18: Access rights
ISO 27001

Special supervision of dismissed workers

Critical
High
Normal
Low

During the period of termination of employment, the organization should ensure that the dismissed employee does not, for example, copy important information (e.g. intangible assets) without authorization.

8.1.4: Return of assets
ISO 27001
9.2.6: Removal or adjustment of access rights
ISO 27001
5.11: Return of assets
ISO 27001