Our organization has defined procedures for maintaining staff's cyber security awareness.These may include e.g. the following things:
Training should focus on the most relevant security aspects for each job role and include often enough the basics, which concern all employees:
Omavalvontasuunnitelmassa on selvitettävä, miten on varmistettu, että tietojärjestelmän käyttäjällä on saatavilla tarpeelliset käyttöohjeet vähintään sillä kielellä, jonka osaaminen on vähimmäisvaatimus työtehtävässä toimimiselle.
Lisäksi omavalvontasuunnitelmassa kuvataan, millaisia tukipalveluja on saatavissa järjestelmien käytön tueksi ja kuinka käyttäjät saavuttavat nämä tukipalvelut.
Kirjalliset ohjeet asiakas- ja potilastietojen käsittelystä tulee olla annettu ja niiden jakelukanavat selvitetty niitä käsitteleville työntekijöille.
Ohjeistuksissa käsitellään vähintään seuraavia teemoja:
Personnel must have security guidelines that deal with e.g. the following topics:
On oltava kuvattuna toimintamalli, miten tietojärjestelmien käyttöohjeiden päivittäminen ja jakelu toteutetaan ohjelmistojen versiopäivitysten sekä muiden muutosten yhteydessä.
Palvelujen antajan on huolehdittava siitä, että henkilöstö hallitsee Kanta-palvelujen käyttöön liittyvät toimintamallit ja periaatteet sekä tietää väärinkäytösten seuraamukset.
Organisaation on suunniteltava, kuinka Kanta-palveluiden käyttö on otettu huomioon henkilöstön ohjeistuksissa sekä koulutuksissa.
The security guidelines are specified in connection with the employee's job role. The organization has identified units and roles that require separate guidance and develops its own detailed security guidelines for these.
Examples of units that may require their own guidelines are e.g. customer service, IT and HR. Examples of work roles that require their own instructions are the system administrators and the remote workers.
Yleisissä häiriötilanteiden toimintaohjeissa on otettava huomioon Kanta-palvelut. Esimerkiksi vastuutahot häiriötilanteiden ilmoittamisesta myös Kanta-palveluiden tekniseen tukeen on oltava todennettavissa. Palvelujen antajan on lisäksi ilmoitettava Kelalle sen antamien ohjeiden mukaisesti muutoksista sen käyttämissä tietojärjestelmäversiossa.