Free ebook: NIS2 ready using ISO 27001 best practices
Download ebook

Staff guidance and training procedure in cyber security

Critical
High
Normal
Low

Our organization has defined procedures for maintaining staff's cyber security awareness.These may include e.g. the following things:

  • staff receive instructions describing the general guidelines of digital security related to their job role
  • staff receive training to maintain the appropriate digital and cyber security skills and knowledge required for the job role
  • staff demonstrate through tests that they have the security skills and knowledge required for the job role

Training should focus on the most relevant security aspects for each job role and include often enough the basics, which concern all employees:

  • employee's personal security responsibilities (e.g. for devices and processed data)
  • policies relevant for everyone (e.g. security incident reporting)
  • guidelines relevant for everyone (e.g. clean desk)
  • organization's security roles (who to contact with problems)
Connected other frameworks and requirements:
T11: Turvallisuuskoulutus ja -tietoisuus
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
29. Processing under the authority of the controller or processor
GDPR
32. Security of processing
GDPR
7.2.1: Management responsibilities
ISO 27001

Ajantasaisen ohjeistuksen varmistaminen

Critical
High
Normal
Low

Management must ensure that the organization has up-to-date guidance on information management and cyber security topics.

Connected other frameworks and requirements:
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä

Tiedonhallinnan vastuiden määrittäminen

Critical
High
Normal
Low

Johdon on huolehdittava siitä, että organisaatiossa on määritelty tiedonhallintalaissa (sekä muissa laeissa) säädettyjen tiedonhallinnan toteuttamiseen liittyvien tehtävien vastuut.

Vastuut voidaan määrittää Digiturvamallissa vastuuttamalla eri tiedonhallinnan osa-alueisiin (esim. tietoturvaohjeet, tietojärjestelmät, rekisterinpito, asiahallinta) liittyvät tehtävät sekä dokumentaatiokohteet.

Connected other frameworks and requirements:
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä

General security guidelines for staff

Critical
High
Normal
Low

Personnel must have security guidelines that deal with e.g. the following topics:

  • Using and updating mobile devices
  • Storing and backing up data
  • Privacy
  • Using email
  • Handling of printouts, papers and files
  • Reporting incidents
  • Scam prevention
Connected other frameworks and requirements:
T11: Turvallisuuskoulutus ja -tietoisuus
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
29. Processing under the authority of the controller or processor
GDPR
9.4.4: Use of privileged utility programs
ISO 27001
11.2.7: Secure disposal or re-use of equipment
ISO 27001

Riittävän valvonnan varmistaminen

Critical
High
Normal
Low

Johdon on huolehdittava, että organisaatiossa on järjestetty riittävä valvonta tiedonhallintaan liittyvien säädösten, määräysten ja ohjeiden noudattamisesta.

Digiturvamallin avulla kuvataan vastuita eri tehtävien ja kohteiden suhteen sekä pyritään seuraamaan vaatimuksenmukaisuutta. Sisäisen valvonnan toteuttamisesta organisaatiossa on tärkeää kuvata oma prosessi, jonka mukaisesti valvontaa toteutetaan ja johdolle raportoidaan.

Connected other frameworks and requirements:
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä

Tarvittavan koulutuksen huolehtiminen

Critical
High
Normal
Low

Johdon on huolehdittava, että organisaatiossa on tarjolla koulutusta, jolla varmistetaan henkilöstön riittävä osaaminen tiedonhallintaa, tietojenkäsittelyä sekä asiakirjojen julkisuutta ja salassapitoa koskevista säädöksistä, määräyksistä ja ohjeista.

Digiturvamallissa ohjeiden kouluttamista ja valvontaa tehdään automaattisesti, mikäli henkilöstö on yhdistetty järjestelmään esim. Teams-sovelluksen tai selainlaajennuksen kautta.

Connected other frameworks and requirements:
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä

Unit- or role-specific security guidelines

Critical
High
Normal
Low

The security guidelines are specified in connection with the employee's job role. The organization has identified units and roles that require separate guidance and develops its own detailed security guidelines for these.

Examples of units that may require their own guidelines are e.g. customer service, IT and HR. Examples of work roles that require their own instructions are the system administrators and the remote workers.

Connected other frameworks and requirements:
7.2.2: Information security awareness, education and training
ISO 27001
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
PR.AT-1: Awareness
NIST CSF
6.3: Information security awareness, education and training
ISO 27001

Asianmukaisten työvälineiden tarjoaminen henkilöstölle

Critical
High
Normal
Low

Johdon on huolehdittava, että organisaatiossa on tarjolla asianmukaiset työvälineet tiedonhallintaa koskevien velvollisuuksien toteuttamiseksi. Työvälineillä tarkoitetaan päätelaitteita ja ohjelmistoja, joita tiedonhallintayksikössä työskentelevät käyttävät.

Digiturvamalli sisältää omat tehtävänsä tähän kokonaisuuteen liittyville osille (esim. tietojärjestelmien tietoturvallisuusvaatimukset ja testaus, tietojärjestelmien ja tietovarantojen yhteentoimivuus, tekniset rajapinnat), joiden toteutusta vastuuttamalla ja valvomalla johto voi teemasta huolehtia.

Connected other frameworks and requirements:
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä

Arranging training and guidance during orientation (or before granting access rights)

Critical
High
Normal
Low

Before granting access rights to data systems with confidential information employees have:

  • received appropriate guidance on their security responsibilities (including reporting responsibilities and responsibility for their own devices)
  • received appropriate guidance on their security roles related to their own role (including digital security rules related to their role and information systems and their acceptable use)
  • received information from cyber security contacts who can be asked for more information
Connected other frameworks and requirements:
7.3: Termination and change of employment
ISO 27001
7.3.1: Termination or change of employment responsibilities
ISO 27001
9.2.2: User access provisioning
ISO 27001
2 luku, 4 §: Tiedonhallinnan järjestäminen tiedonhallintayksikössä
PR.IP-11: Cybersecurity in human resources
NIST CSF
No items found.