Tietoaineistojen turvallisuuden varmistaminen

The organization shall maintain a list of data sets contained in the data stores it manages.

The documentation shall include at least the following information:

• Data systems and other means used to process the data sets
• Key categories of data in the data set (and whether it contains personal data)
• Data retention period (discussed in more detail in a separate task)
• Information on archiving / disposal of data (discussed in more detail in a separate task)

Viranomaisen on varmistettava tarpeellisin tietoturvallisuustoimenpitein, että sen:

• tietoaineistojen muuttumattomuus on riittävästi varmistettu
• tietoaineistot on suojattu teknisiltä ja fyysisiltä vahingoilta
• tietoaineistojen alkuperäisyys, ajantasaisuus ja virheettömyys on varmistettu
• tietoaineistojen saatavuus ja käyttökelpoisuus on varmistettu
• tietoaineistojen saatavuutta rajoitetaan vain, jos tiedonsaantia tai käsittelyoikeuksia on laissa erikseen rajoitettu
• tietoaineistot voidaan tarvittavilta osin arkistoida

An owner is assigned to each data set. The owner is responsible for the life cycle of the information asset and is responsible for performing the management tasks related to that asset.

The owner's duties include e.g.:

• ensuring the documentation of asset
• ensuring appropriate protection of asset
• regularly reviewing access rights
• ensuring proper handling of information, also on disposal

The owner can delegate some of the tasks, but the responsibility remains with the owner.

Tiedonhallintamallin tulee sisältää kuvaus tietoaineiston säilytysajasta sekä arkistoon siirtämisestä, arkistointitavasta ja arkistopaikasta tai tuhoamisesta. Tietoaineiston säilytysajan päättymisen jälkeen tietoaineistot on arkistoitava tai tuhottava viipymättä tietoturvallisella tavalla.

Tietoaineiston arkistointi- tai tuhoamisprosessi määritellään dokumentaation yhteydessä ja tietoaineiston omistaja vastaa sen toteutuksesta.

Tietoaineistoja on käsiteltävä ja säilytettävä toimitiloissa, jotka ovat tietoaineiston luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvien vaatimusten toteuttamiseksi riittävän turvallisia.

Digiturvamallissa tarkempia fyysiseen turvallisuuteen liittyviä toimenpiteitä tarkastellaan työpöydän Fyysinen turvallisuus -moduulin alla.