Asiakastietojen käsittelyyn tarkoitettua tietojärjestelmää ei saa ottaa tuotantokäyttöön, ellei siitä ole voimassa olevia tietoja Valviran tietojärjestelmärekisterissä. Luokkaan A kuuluvan tietojärjestelmän tai hyvinvointisovelluksen saa ottaa tuotantokäyttöön sen jälkeen, kun Valviran rekisteristä löytyy tieto järjestelmän sertifioinnista ja voimassa olevasta tietoturvallisuustodistuksesta. Tietojärjestelmää ei saa ottaa tuotantokäyttöön, jos luokkaan A kuuluvan tietojärjestelmän tietoturvallisuustodistus on vanhentunut, tai jos Valviran tietojärjestelmärekisterissä on järjestelmän käyttöönoton estävä poikkeama. Myös muut Valviran tietojärjestelmärekisterissä järjestelmään kohdistuvat olevat rajoitukset ja edellytykset on otettava huomioon (THL:n määräys 4/2021).
Tietoturvasuunnitelmaan on kuvattava tietoturvallisuuden omavalvonnan kohteeseen liittyvien tietojärjestelmien asennusten, ylläpidon ja päivitysten menettelytavat sekä niihin liittyvä tietoturvallisuuden varmistaminen. Kuvaukseen kuuluu myös henkilöstön roolit asennuksissa, ylläpidossa ja päivityksissä. Muutoksenhallinnan, testauksien ja hyväksymisten menettelyt sekä vastuut asennus-, ylläpito- ja päivitystyössä on sisällytettävä suunnitelmaan. Kuvaus on tehtävä sellaisella tarkkuustasolla, joka parhaiten tukee tietoturvallisuuteen ja asiakastietojen käsittelyyn liittyvää riskienhallintaa omavalvonnan kohteessa.
Tietoturvallisuuden omavalvonnan kohteen on selvitettävä tietoturvasuunnitelmassa, miten on varmistettu, että tietojärjestelmiä asennetaan, ylläpidetään ja päivitetään tietojärjestelmäpalvelun tuottajan ohjeiden mukaisesti. Tietojärjestelmäpalvelun tuottajien kanssa tehtävissä sopimuksissa tulisi kuvata tietoturvallisuuden omavalvonnan kohteen käyttöympäristön kannalta olennaiset seikat ja ohjeistukset liittyen tietojärjestelmien asennuksiin, ylläpitoon ja päivityksiin.
Vastaavasti tietoturvasuunnitelmassa on selvitettävä, miten on varmistettu, että tietojärjestelmiä asentaa, ylläpitää ja päivittää henkilöstö, jolla on siihen tarvittava ammattitaito ja asiantuntemus. Tietojärjestelmiä asentavien, ylläpitävien ja päivittävien henkilöiden roolit ja vastuut suhteessa tietoturvallisuuden omavalvonnan kohteeseen sekä tietojärjestelmäpalvelun tuottajaan on määriteltävä. Kuvauksiin voi kuulua myös mahdolliset tietojärjestelmien asennus-, ylläpito- ja päivitystyötä tekeviin henkilöihin kohdistuvat turvallisuusselvitykset. Tietojärjestelmäpalvelun tuottajan ja omavalvonnan kohteen välisissä sopimuksissa tulee ottaa kantaan näihin asioihin.
Edellä mainitut tietojärjestelmien asennukseen, ylläpitoon ja päivityksiin liittyvät seikat voidaan osoittaa tietoturvasuunnitelmaan sisältyvällä tai erillisellä suunnitelmalla, joka sisältää kuvaukset päivitys-, muutoksenhallinta- ja korjausprosesseista. Samassa suunnitelmassa on mahdollista esittää myös kuvaukset luvun 6.2 mukaisista virhe- ja poikkeustilanteisiin liittyvistä menettelytavoista. Päivitysprosessin kuvaamisessa on otettava huomioon muun muassa versio- ja korjauspäivitykset sekä muiden muutosten mahdollisesti vaatimat menettelyt. Muutoksenhallintaprosessissa voidaan kuvata muun muassa tietojärjestelmien muutosten ja uusien versioiden testaus- ja hyväksymismenettelyt. Asennus-, ylläpito- ja päivitystoimenpiteiden ongelma- ja virhetilanteiden hallinta tulee olla osa suunnitelmaa.