Oh no! No description found. But not to worry. Read from Tasks below how to advance this topic.
Sosiaali- ja terveydenhuollon toimijoiden tulee olla tietoisia kaikista käytössään olevista alusta- ja verkkopalveluista. Verkon kautta käytettävien palvelujen osalta on oltava selvää, mistä palveluista vastaa palvelunantaja itse, mistä palveluista vastaa tietojärjestelmäpalvelun tuottaja ja mistä kolmas osapuoli.
Sosiaali- ja terveydenhuollon toimijoiden tulee varmistaa tietosuojasäädösten, kuten EU:n yleisen tietosuoja- asetuksen mukaan toimiminen. Henkilötietojen siirto ja säilytys EU/ETA-alueella on pääsääntöisesti sallittua vastaavilla suojatoimenpiteillä kuin Suomessa.
Tietoturvasuunnitelmassa tulee kuvata sekä palvelimien että niiden edellyttämien käyttöympäristöjen tietoturvallisuustoimenpiteet, joita ovat esimerkiksi tietoverkon suojaaminen sekä tietojen kahdennus-, ylläpito- ja huoltotoimenpiteet.
Tietoturvasuunnitelmassa on kuvattava, kuinka huolehditaan tietoliikenneasioiden käytännön järjestelyistä, palveluiden saatavuudesta, verkkojen tietoturvallisuuskäytänteiden järjestämisestä, verkkolaitteiden ja niiden komponenttien, laiteohjelmistojen sekä langattomien verkkojen ja reitittimien päivityksistä ja tietoturvasta, etäyhteyksiin ja etätyöskentelyyn liittyvistä ohjeistuksista sekä etähallintaratkaisuista.
Tietoliikenteen ja viestinvälityksen tietosuojaa ja tietoturvaa koskevat vaatimukset ja vastuiden määrittely tulee olla osa palvelunantajan ja tietoliikenne- tai viestinvälitysoperaattorin välistä sopimusta.
Tietojärjestelmät ja niiden käyttöympäristöt tulee pitää kunnossa ja sosiaali- ja terveydenhuollon toimijoiden tulee varautua toimimaan poikkeustilanteissa ilman tietojärjestelmiä.
Alusta- ja verkkopalvelujen, kuten esimerkiksi pilvipohjaisten ratkaisujen, etähallintapalvelujen, palvelinvuokrauksen, palvelinhallinnan, varmistuspalveluiden ja konesalipalvelujen osalta on kuvattava, mitä ratkaisuja on käytössä, sekä kuinka niihin liittyvissä sopimuksissa ja käytännöissä on varmistettu seuraavat seikat:
- Tietojen siirron riskitaso on arvioitava (EU:n yleisen tietosuoja-asetuksen mukainen vaikutustenarviointi). Jos tietoja siirretään kolmansiin maihin, on noudatettava lainsäädännössä säädettyjä, hyväksyttyjä siirtoperusteita ja toteutettava tarvittavat organisatoriset, sopimuspohjaiset ja tekniset suojatoimet tapaus- ja maakohtaisesti.
- Arkaluonteisten ja salassa pidettävien sosiaalihuollon asiakastietojen tai potilastietojen laaja tietojoukko on suojattava siten, ettei sivullisilla ole pääsyä salaamattomiin asiakastietoihin. Mikäli tietoja välitetään tai siirretään kolmansien osapuolien palveluihin, asiakastietojen laajamittaisessa säilytyksessä salausavaimet pitää olla palvelunantajan ja/tai tietojärjestelmäpalvelun tuottajan hallussa. Alustapalvelun toimittajalla ja/tai siihen liittyvässä käyttöympäristössä ei saa olla mahdollista päästä käsiksi salausavaimiin.
- Erityisesti kriittisissä palveluissa kuten julkisen terveydenhuollon päivystysvastuulla olevat palvelut varaudutaan tietojen käsittelyyn normaalista poikkeavissa olosuhteissa. Varautumisessa on huomioitava keskeisimmät riskiuhat mukaan lukien tiedon hallinnointi tilanteissa, joissa yhteiskunnan verkkoyhteydet on rajoitettu Suomen maantieteellisten rajojen sisäpuolelle.
- Käytössä olevia alusta- ja verkkopalveluja seurataan säännöllisesti muun muassa toimivuuden, tietoturvallisuusriskien, häiriötilanteiden ja käyttöehtomuutosten näkökulmasta. Tarvittaessa sopimusten ja käytäntöjen päivittäminen muuttunutta tilannetta vastaavaksi.
- Palvelunantajalla ja tälle palveluja tuottavilla toimijoilla on oltava tietojärjestelmien, osajärjestelmien, laitekomponenttien sekä verkkojen ja huolto-, päivitys- ja uusimissuunnitelma ja selkeä toimintamalli huoltotoimenpiteisiin liittyvään päätöksentekoon. Lisäksi tulee huolehtia näihin liittyvien päivitystarpeiden seurannasta.
- Tietojärjestelmät täyttävät niihin kohdistuvat olennaiset tietoturvavaatimukset myös siltä osin kuin niiden toteutus tai käyttö nojautuu kolmansien osapuolten alusta- tai kapasiteettipalveluihin.
Nämä edellä mainitut seikat tulee erityisesti huomioida ja varmistaa palvelunantajan ja tietojärjestelmäpalvelun tuottajan välisissä sopimuksissa.
Sosiaali- ja terveydenhuollon toimijoiden tulee olla tietoisia kaikista käytössään olevista alusta- ja verkkopalveluista. Verkon kautta käytettävien palvelujen osalta on oltava selvää, mistä palveluista vastaa palvelunantaja itse, mistä palveluista vastaa tietojärjestelmäpalvelun tuottaja ja mistä kolmas osapuoli.
Sosiaali- ja terveydenhuollon toimijoiden tulee varmistaa tietosuojasäädösten, kuten EU:n yleisen tietosuoja- asetuksen mukaan toimiminen. Henkilötietojen siirto ja säilytys EU/ETA-alueella on pääsääntöisesti sallittua vastaavilla suojatoimenpiteillä kuin Suomessa.
Tietoturvasuunnitelmassa tulee kuvata sekä palvelimien että niiden edellyttämien käyttöympäristöjen tietoturvallisuustoimenpiteet, joita ovat esimerkiksi tietoverkon suojaaminen sekä tietojen kahdennus-, ylläpito- ja huoltotoimenpiteet.
Tietoturvasuunnitelmassa on kuvattava, kuinka huolehditaan tietoliikenneasioiden käytännön järjestelyistä, palveluiden saatavuudesta, verkkojen tietoturvallisuuskäytänteiden järjestämisestä, verkkolaitteiden ja niiden komponenttien, laiteohjelmistojen sekä langattomien verkkojen ja reitittimien päivityksistä ja tietoturvasta, etäyhteyksiin ja etätyöskentelyyn liittyvistä ohjeistuksista sekä etähallintaratkaisuista.
Tietoliikenteen ja viestinvälityksen tietosuojaa ja tietoturvaa koskevat vaatimukset ja vastuiden määrittely tulee olla osa palvelunantajan ja tietoliikenne- tai viestinvälitysoperaattorin välistä sopimusta.
Tietojärjestelmät ja niiden käyttöympäristöt tulee pitää kunnossa ja sosiaali- ja terveydenhuollon toimijoiden tulee varautua toimimaan poikkeustilanteissa ilman tietojärjestelmiä.
Alusta- ja verkkopalvelujen, kuten esimerkiksi pilvipohjaisten ratkaisujen, etähallintapalvelujen, palvelinvuokrauksen, palvelinhallinnan, varmistuspalveluiden ja konesalipalvelujen osalta on kuvattava, mitä ratkaisuja on käytössä, sekä kuinka niihin liittyvissä sopimuksissa ja käytännöissä on varmistettu seuraavat seikat:
- Tietojen siirron riskitaso on arvioitava (EU:n yleisen tietosuoja-asetuksen mukainen vaikutustenarviointi). Jos tietoja siirretään kolmansiin maihin, on noudatettava lainsäädännössä säädettyjä, hyväksyttyjä siirtoperusteita ja toteutettava tarvittavat organisatoriset, sopimuspohjaiset ja tekniset suojatoimet tapaus- ja maakohtaisesti.
- Arkaluonteisten ja salassa pidettävien sosiaalihuollon asiakastietojen tai potilastietojen laaja tietojoukko on suojattava siten, ettei sivullisilla ole pääsyä salaamattomiin asiakastietoihin. Mikäli tietoja välitetään tai siirretään kolmansien osapuolien palveluihin, asiakastietojen laajamittaisessa säilytyksessä salausavaimet pitää olla palvelunantajan ja/tai tietojärjestelmäpalvelun tuottajan hallussa. Alustapalvelun toimittajalla ja/tai siihen liittyvässä käyttöympäristössä ei saa olla mahdollista päästä käsiksi salausavaimiin.
- Erityisesti kriittisissä palveluissa kuten julkisen terveydenhuollon päivystysvastuulla olevat palvelut varaudutaan tietojen käsittelyyn normaalista poikkeavissa olosuhteissa. Varautumisessa on huomioitava keskeisimmät riskiuhat mukaan lukien tiedon hallinnointi tilanteissa, joissa yhteiskunnan verkkoyhteydet on rajoitettu Suomen maantieteellisten rajojen sisäpuolelle.
- Käytössä olevia alusta- ja verkkopalveluja seurataan säännöllisesti muun muassa toimivuuden, tietoturvallisuusriskien, häiriötilanteiden ja käyttöehtomuutosten näkökulmasta. Tarvittaessa sopimusten ja käytäntöjen päivittäminen muuttunutta tilannetta vastaavaksi.
- Palvelunantajalla ja tälle palveluja tuottavilla toimijoilla on oltava tietojärjestelmien, osajärjestelmien, laitekomponenttien sekä verkkojen ja huolto-, päivitys- ja uusimissuunnitelma ja selkeä toimintamalli huoltotoimenpiteisiin liittyvään päätöksentekoon. Lisäksi tulee huolehtia näihin liittyvien päivitystarpeiden seurannasta.
- Tietojärjestelmät täyttävät niihin kohdistuvat olennaiset tietoturvavaatimukset myös siltä osin kuin niiden toteutus tai käyttö nojautuu kolmansien osapuolten alusta- tai kapasiteettipalveluihin.
Nämä edellä mainitut seikat tulee erityisesti huomioida ja varmistaa palvelunantajan ja tietojärjestelmäpalvelun tuottajan välisissä sopimuksissa.
In Cyberday, requirements and controls are mapped to universal tasks. A set of tasks in the same topic create a Policy, such as this one.
In Cyberday, requirements and controls are mapped to universal tasks. Each requirement is fulfilled with one or multiple tasks.
When building an ISMS, it's important to understand the different levels of information hierarchy. Here's how Cyberday is structured.
Sets the overall compliance standard or regulation your organization needs to follow.
.svg)
.svg)
.svg)
Break down the framework into specific obligations that must be met.
.svg)
Concrete actions and activities your team carries out to satisfy each requirement.
Documented rules and practices that are created and maintained as a result of completing tasks.
