Content library
Tietoturvasuunnitelma (THL 3/2024)
6.5: Tietojärjestelmien perustiedot, kuvaukset ja olennaisten vaatimusten täyttyminen

How to fill the requirement

Tietoturvasuunnitelma (THL 3/2024)

6.5: Tietojärjestelmien perustiedot, kuvaukset ja olennaisten vaatimusten täyttyminen

Task name
Priority
Status
Theme
Policy
Other requirements
Data system listing and owner assignment
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
System management
Data system management
43
requirements

Task is fulfilling also these other security requirements

I06: Pääsyoikeuksien hallinnointi
Katakri
13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
24. Responsibility of the controller
GDPR
5. Principles relating to processing of personal data
GDPR
32. Security of processing
GDPR
1. Task description

Organisation must maintain a listing of used data systems and their owners. Owner is responsible for completing the related documentation and possible other security actions directly related to the data system.

Data system documentation must include at least:

  • System purpose and linked responsibilities
  • System's data location (covered in a separate task)
  • System's maintenance and development responsibilities and linked partners (covered in a separate task)
  • When necessary system's access roles and authentication methods (covered in a separate task)
  • When necessary systems interfaces to other systems (covered in a separate task)
Tietojärjestelmien luokittelu- ja versiotiedot
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Social and health services security plan
Security of patient data systems
2
requirements

Task is fulfilling also these other security requirements

6.7: Asiakas- ja potilastietojärjestelmät, niihin liitetyt tietojärjestelmät ja muut tietojärjestelmät
Self-monitoring
6.5: Tietojärjestelmien perustiedot, kuvaukset ja olennaisten vaatimusten täyttyminen
Tietoturvasuunnitelma
1. Task description

Omavalvonnan kohteen on kuvattava selkeästi, mitä tietojärjestelmiä organisaation toiminnassa käytetään, mikä versio on nyt käytössä ja mitä tyyppiä seuraavista järjestelmät edustavat:

  • Tyyppi A = suoraan Kanta-palveluihin liitettävät järjestelmät
  • Tyyppi B = asiakas- tai potilastietojen käsittelyyn käytettävät järjestelmät
  • Muut järjestelmät
Data processing partner listing and owner assignment
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Partner management
Agreements and monitoring
34
requirements

Task is fulfilling also these other security requirements

28. Data processor
GDPR
44. General principle for transfers
GDPR
26. Joint controllers
GDPR
15.1.1: Information security policy for supplier relationships
ISO27 Full
8.1.1: Inventory of assets
ISO27 Full
1. Task description

The organization must maintain a list of partners who have access to confidential information. System vendors and processors of personal data are listed separately from other stakeholders because they play an active role in the processing of data.

General rules for the procurement of data systems
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
System management
Data system procurement
12
requirements

Task is fulfilling also these other security requirements

13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
14.1.1: Information security requirements analysis and specification
ISO27 Full
HAL-16: Hankintojen turvallisuus
Julkri
5.23: Information security for use of cloud services
ISO27k1 Full
52: Tietoturva- ja tietousojavaatimukset hankintavaatimuksissa
Sec overview
1. Task description

Whenever new data systems are acquired, a pre-defined procurement process and rules are followed. The rules ensure that the supplier is able to guarantee an adequate level of security, taking into account the priority of the system.

Minimum requirements for partner companies to gain access to different levels of information
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Partner management
Supplier security
7
requirements

Task is fulfilling also these other security requirements

15.1.1: Information security policy for supplier relationships
ISO27 Full
15.1.3: Information and communication technology supply chain
ISO27 Full
ID.BE-1: Role in supply chain
NIST
5.21: Managing information security in the ICT supply chain
ISO27k1 Full
6.5: Tietojärjestelmien perustiedot, kuvaukset ja olennaisten vaatimusten täyttyminen
Tietoturvasuunnitelma
1. Task description

Minimum security requirements have been set for partner companies handling our confidential information and these have been included in supplier agreements. Requirements vary depending on how critical information the partner handles.

It makes sense for requirements to consist of rules and practices that are followed in your own organization. You can divide the requirement levels into low, medium and high risk suppliers.

Monitoring suppliers' compliance with security requirements
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Partner management
Agreements and monitoring
23
requirements

Task is fulfilling also these other security requirements

32. Security of processing
GDPR
15.1.1: Information security policy for supplier relationships
ISO27 Full
15.2.1: Monitoring and review of supplier services
ISO27 Full
ID.GV-2: Cybersecurity role coordination
NIST
ID.SC-1: Cyber supply chain
NIST
1. Task description

A designated responsible person actively monitors the supplier's activities and services to ensure compliance with the security terms of the contracts and the proper management of security incidents.

Monitoring includes the following:

  • monitoring the promised service level
  • reviewing supplier reports and arranging follow-up meetings
  • regular organization of independent audits
  • follow-up of problems identified in audits
  • more detailed investigation of security incidents and review of related documentation
  • review of the supplier's future plans (related to maintaining the service level)
Processes for ensuring security and performance used data systems and applications
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Social and health services security plan
Security of patient data systems
1
requirements

Task is fulfilling also these other security requirements

6.5: Tietojärjestelmien perustiedot, kuvaukset ja olennaisten vaatimusten täyttyminen
Tietoturvasuunnitelma
1. Task description

Tietoturvasuunnitelmassa on kuvattava kuinka varmistetaan se, että Kanta-palveluihin liittyviin tietojärjestelmiin liitetyt tai käyttöympäristössä hyödynnettävät muut sovellukset tai tietojärjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia.

Muilla sovelluksilla ja tietojärjestelmillä tarkoitetaan esimerkiksi tietokoneohjelmia, jotka eivät käsittele asiakas- ja potilastietoja, eivätkä siten ole asiakastietolain 29 §:n mukaisia luokan A tai B tietojärjestelmiä.


Ensuring data systems are suitable for their purpose
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Social and health services security plan
Security of patient data systems
1
requirements

Task is fulfilling also these other security requirements

6.5: Tietojärjestelmien perustiedot, kuvaukset ja olennaisten vaatimusten täyttyminen
Tietoturvasuunnitelma
1. Task description

Palvelunantajan tulee asiakastietolain 27 §:n 1 momentin kohdan 8 mukaisesti varmistaa, että 29 §:ssä tarkoitetut tietojärjestelmät täyttävät käyttötarkoituksensa mukaiset olennaiset vaatimukset 34 §:n 2 momentin mukaisesti.

Palvelunantajan käyttämien tietojärjestelmien on vastattava käyttötarkoitukseltaan palvelunantajan toimintaa ja täytettävä palvelunantajan toimintaan liittyvät olennaiset vaatimukset. Olennaiset vaatimukset voidaan täyttää yhden tai useamman tietojärjestelmän muodostaman kokonaisuuden kautta.

Valviran tietojärjestelmärekisterin seuraaminen
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Social and health services security plan
Security of patient data systems
1
requirements

Task is fulfilling also these other security requirements

6.5: Tietojärjestelmien perustiedot, kuvaukset ja olennaisten vaatimusten täyttyminen
Tietoturvasuunnitelma
1. Task description

Tietoturvallisuuden omavalvonnan kohteen on huomioitava ja seurattava Valviran tietojärjestelmärekisterissä mahdollisesti julkaistavia tarkennuksia tietojärjestelmien ja hyvinvointisovellusten vaatimustenmukaisuuden toteuttamiseksi.

Samalla tulisi tunnistaa, minkä profiilien mukaisia käyttötarkoituksia omassa toiminnassa käytettävissä tietojärjestelmissä tulisi olla toteutettuna.

No items found.