Toimintaprosessien listaus ja omistajien nimeäminen

Critical
High
Normal
Low

Tiedonhallintamallin on sisällettävä kuvaus organisaation toimintaprosesseista. Toimintaprosesseille on myös hyödyllistä määritellä omistaja, joka vastaa prosessin tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti prosessiin.

Dokumentaation on sisällettävä vähintään:

  • Prosessista vastaavasta viranomainen
  • Prosessin tarkoitus
  • Prosessin sidokset muihin toimintaprosesseihin (käsitellään tarkemmin erillisessä tehtävässä)
  • Prosessiin liittyvät tietovarannot (käsitellään tarkemmin erillisessä tehtävässä)
Connected other frameworks and requirements:
2 luku, 5 §: Tiedonhallintamalli ja muutosvaikutuksen arviointi

Tiedonhallintamalli-raportin julkaisu ja ylläpito

Critical
High
Normal
Low

Tiedonhallintayksikössä on ylläpidettävä sen toimintaympäristön tiedonhallintaa määrittelevää ja kuvaavaa tiedonhallintamallia.

Pyydettävät tarpeelliset tiedot tiedonhallintamallista on pyydettäessä toimitettava valvontaa toteuttavalle viranomaiselle.

Connected other frameworks and requirements:
2 luku, 5 §: Tiedonhallintamalli ja muutosvaikutuksen arviointi

Data store listing and owner assignment

Critical
High
Normal
Low

Organisation must maintain a listing of controlled data stores and their owners. Owner is responsible for completing the documentation and other possible security actions directly related to the data store.

Data store documentation must include at least:

  • Connected responsibilities
  • Data processing purposes (covered in a separate task)
  • Data sets included in the data store (covered in a separate task)
  • Data disclosures (covered in a separate task)
  • When necessary, data stores connections to action processes
Connected other frameworks and requirements:
2 luku, 5 §: Tiedonhallintamalli ja muutosvaikutuksen arviointi
6. Lawfulness of processing
GDPR
5. Principles relating to processing of personal data
GDPR
8.1.1: Inventory of assets
ISO 27001
ID.GV-4: Processes
NIST CSF

Tiedonhallintaan oleellisesti vaikuttavien muutosten tunnistaminen

Critical
High
Normal
Low

Tiedonhallintayksikön on seurattava toimintaympäristönsä tilaa. Siihen vaikuttavat muutokset voivat olla seurausta tiedonhallintayksikön tai sen viranomaisten omasta toiminnasta ja päätöksistä tai ne voivat tulla ulkoisina syötteinä esimerkiksi EU- tai kansallisen lainsäädännön muutoksina tai hallitusohjelmasta nousevina tavoitteina.

Muutosvaikutusten arviointi tulee tehdä suunniteltaessa sellaisia hallinnollisia (esim. uudet tehtävät, organisaatioliitos, palvelutuotannon ulkoistaminen) ja teknisiä uudistuksia (esim. uuden tietojärjestelmän hankinta, rajapintoihin tehtävät merkittävät muutokset, uudet tietoturvaratkaisut), joiden toteuttaminen vaikuttaa olennaisesti tiedonhallintayksikön ylläpitämän tiedonhallintamallin sisältöön.

Connected other frameworks and requirements:
2 luku, 5 §: Tiedonhallintamalli ja muutosvaikutuksen arviointi

Muutosvaikutusten arviointien toteuttaminen ja dokumentointi

Critical
High
Normal
Low

Suunniteltaessa tiedonhallintamallin sisältöön vaikuttavia olennaisia muutoksia (esim. hallinnollinen uudistus, uuden tietojärjestelmän käyttöönottoa) on muutoksia arvioitava määrämuotoisesti suhteessa tiedonhallintalain määrittämiin vaatimuksiin.

Muutosvaikutusten arvioinnilla pyritään vahvistamaan muutostilanteiden taloudellisten ja toiminnallisten riskien ennakointia, muutosten ohjauksen tehokkuutta sekä edistämään yhteentoimivuuden ja tietoturvallisuuden toteutumista.

Connected other frameworks and requirements:
2 luku, 5 §: Tiedonhallintamalli ja muutosvaikutuksen arviointi

Tietoaineistojen arkistointi- tai tuhoamisprosessit säilytysajan päättyessä

Critical
High
Normal
Low

Tiedonhallintamallin tulee sisältää kuvaus tietoaineiston säilytysajasta sekä arkistoon siirtämisestä, arkistointitavasta ja arkistopaikasta tai tuhoamisesta. Tietoaineiston säilytysajan päättymisen jälkeen tietoaineistot on arkistoitava tai tuhottava viipymättä tietoturvallisella tavalla.

Tietoaineiston arkistointi- tai tuhoamisprosessi määritellään dokumentaation yhteydessä ja tietoaineiston omistaja vastaa sen toteutuksesta.

Connected other frameworks and requirements:
2 luku, 5 §: Tiedonhallintamalli ja muutosvaikutuksen arviointi
4 luku, 15 §: Tietoaineistojen turvallisuuden varmistaminen
5 luku, 21 §: Tietoaineistojen säilytystarpeen määrittäminen
No items found.