Oh no! No description found. But not to worry. Read from Tasks below how to advance this topic.
Palvelunantajan tulee sisällyttää tietoturvasuunnitelmaansa tai sen liitteisiin perustiedot ja tarkemmat kuvaukset kaikista sen käytössä olevista, asiakastietolain mukaisista tietojärjestelmistä. Näitä ovat tietojärjestelmät, jotka on tarkoitettu käytettäväksi sosiaalihuollon asiakastietojen ja potilastietojen sähköiseen käsittelyyn, asiakasasiakirjojen tallentamiseen ja ylläpitoon tai valtakunnallisiin tietojärjestelmäpalveluihin liittämiseen tai joilla sosiaali- ja terveydenhuollon ammattihenkilö voi hyödyntää hyvinvointitietoja.
Tietojärjestelmäpalvelun tuottajan ja tietojärjestelmän valmistajan on toteutettava olennaiset vaatimukset tietojärjestelmiin, joita käytetään palvelunantajan toiminnassa (vrt. THL:n määräys 5/2021). Palvelunantajan on osaltaan huolehdittava näiden vaatimusten täyttymisestä tietojärjestelmiin liittyvissä järjestelyissä, kuten esimerkiksi hankinnoissa ja sopimuksissa. Tietoturvallisuuden omavalvonnan kohde vastaa osaltaan olennaisten vaatimusten täyttymisestä omassa toiminnassaan. Olennaisten vaatimusten täyttymisen varmistamiseen liittyvät menettelyt kuvataan tietoturvasuunnitelmaan.
Palvelunantajan tulee asiakastietolain 27 §:n 1 momentin kohdan 8 mukaisesti varmistaa, että 29 §:ssä tarkoitetut tietojärjestelmät täyttävät käyttötarkoituksensa mukaiset olennaiset vaatimukset 34 §:n 2 momentin mukaisesti. Palvelunantajan käyttämien tietojärjestelmien on vastattava käyttötarkoitukseltaan palvelunantajan toimintaa ja täytettävä palvelunantajan toimintaan liittyvät olennaiset vaatimukset. Olennaiset vaatimukset voidaan täyttää yhden tai useamman tietojärjestelmän muodostaman kokonaisuuden kautta.
Valvira ylläpitää julkista rekisteriä sosiaalihuollon asiakastietojen ja potilastietojen käsittelyyn tarkoitetuista tietojärjestelmistä. Valviran tietojärjestelmärekisteri perustuu tietojärjestelmäpalvelujen tuottajien ilmoituksiin ja luokan A järjestelmien sertifioinnin tuloksiin. Tietojärjestelmiin liittyvissä tietoturvasuunnitelman sisällöissä tulisi nojautua Valviran tietojärjestelmärekisterin hyödyntämiseen. Valviran tietojärjestelmärekisteri sisältää tietoja siitä, mitä olennaisia vaatimuksia eri tietojärjestelmiin on toteutettu ja kuinka luokan A järjestelmissä on todennettu olennaisten vaatimusten täyttyminen.
Tietoturvallisuuden omavalvonnan kohteen on kuvattava tietoturvasuunnitelmaan tai siinä viitatuissa dokumenteissa, mistä löytyy tieto seuraavan tyyppisistä tietojärjestelmistä ja niiden versioista, joita tietoturvallisuuden omavalvonnan kohteen toiminnassa käytetään (vrt. THL:n määräys 4/2021):
- sertifioidut – tietoturva-auditoidut ja yhteistestatut Kanta-palveluihin liitettävät luokkaan A2 tai A3 kuuluvat sosiaalihuollon asiakastietojen tai potilastietojen käsittelyyn tarkoitetut tietojärjestelmät
- sertifioidut – tietoturva-auditoidut luokkaan A1 kuuluvat sosiaalihuollon asiakastietojen tai potilastietojen käsittelyyn tarkoitetut tietojärjestelmät
- sosiaalihuollon asiakastietojen tai potilastietojen käsittelyyn tarkoitetut luokkaan B kuuluvat tietojärjestelmät
- muut tietojärjestelmät, joilla on vaikutusta ja jotka on otettava huomioon tietoturvasuunnitelman mukaisissa asennuksissa, ylläpidossa ja päivityksissä arkaluonteisten asiakastietojen suojaamisen kannalta.
Lisäksi tietojärjestelmistä on kuvattava niiden versiotiedot tai muut tietojärjestelmän statusta kuvaavat tiedot.
Tietoturvallisuuden omavalvonnan kohteen on selvitettävä tietoturvasuunnitelmassa, miten varmistetaan se, että Kanta-palveluihin liittyviin tietojärjestelmiin liitetyt tai käyttöympäristössä hyödynnettävät muut sovellukset tai tietojärjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia. Muilla sovelluksilla ja tietojärjestelmillä tarkoitetaan esimerkiksi tietokoneohjelmia, jotka eivät käsittele asiakas- ja potilastietoja, eivätkä siten ole asiakastietolain 29 §:n mukaisia luokan A tai B tietojärjestelmiä.
Määräyksen 5/2021 mukaisesti palvelunantajan on huomioitava omassa toiminnassaan ja tietojärjestelmien käyttöönotossa, tuotantokäytössä sekä tietoturvasuunnitelman mukaisessa toiminnassa ne olennaisiin vaatimuksiin kohdistuvat huomioitavat seikat ja sertifioinnissa esiin nousseet havainnot ja edellytykset, jotka vaikuttavat olennaisten vaatimusten toteutumiseen palvelunantajan käyttämissä tietojärjestelmissä. Erityisesti on huomioitava Valviran tietojärjestelmärekisterin kautta julkaistavat tarkennukset järjestelmien vaatimustenmukaisuuden toteutumiseen.
Tietoturvasuunnitelman ei tarvitse kattaa omavalvonnan kohteessa käytettäviä sovellusohjelmistoja tai tietojärjestelmiä, joiden käyttötarkoituksena ei ole asiakas- tai potilastietojen käsittely, mutta myös niitä on mahdollista sisällyttää suunnitelmaan.
Oh no! No description found. But not to worry. Read from Tasks below how to advance this topic.
Palvelunantajan tulee sisällyttää tietoturvasuunnitelmaansa tai sen liitteisiin perustiedot ja tarkemmat kuvaukset kaikista sen käytössä olevista, asiakastietolain mukaisista tietojärjestelmistä. Näitä ovat tietojärjestelmät, jotka on tarkoitettu käytettäväksi sosiaalihuollon asiakastietojen ja potilastietojen sähköiseen käsittelyyn, asiakasasiakirjojen tallentamiseen ja ylläpitoon tai valtakunnallisiin tietojärjestelmäpalveluihin liittämiseen tai joilla sosiaali- ja terveydenhuollon ammattihenkilö voi hyödyntää hyvinvointitietoja.
Tietojärjestelmäpalvelun tuottajan ja tietojärjestelmän valmistajan on toteutettava olennaiset vaatimukset tietojärjestelmiin, joita käytetään palvelunantajan toiminnassa (vrt. THL:n määräys 5/2021). Palvelunantajan on osaltaan huolehdittava näiden vaatimusten täyttymisestä tietojärjestelmiin liittyvissä järjestelyissä, kuten esimerkiksi hankinnoissa ja sopimuksissa. Tietoturvallisuuden omavalvonnan kohde vastaa osaltaan olennaisten vaatimusten täyttymisestä omassa toiminnassaan. Olennaisten vaatimusten täyttymisen varmistamiseen liittyvät menettelyt kuvataan tietoturvasuunnitelmaan.
Palvelunantajan tulee asiakastietolain 27 §:n 1 momentin kohdan 8 mukaisesti varmistaa, että 29 §:ssä tarkoitetut tietojärjestelmät täyttävät käyttötarkoituksensa mukaiset olennaiset vaatimukset 34 §:n 2 momentin mukaisesti. Palvelunantajan käyttämien tietojärjestelmien on vastattava käyttötarkoitukseltaan palvelunantajan toimintaa ja täytettävä palvelunantajan toimintaan liittyvät olennaiset vaatimukset. Olennaiset vaatimukset voidaan täyttää yhden tai useamman tietojärjestelmän muodostaman kokonaisuuden kautta.
Valvira ylläpitää julkista rekisteriä sosiaalihuollon asiakastietojen ja potilastietojen käsittelyyn tarkoitetuista tietojärjestelmistä. Valviran tietojärjestelmärekisteri perustuu tietojärjestelmäpalvelujen tuottajien ilmoituksiin ja luokan A järjestelmien sertifioinnin tuloksiin. Tietojärjestelmiin liittyvissä tietoturvasuunnitelman sisällöissä tulisi nojautua Valviran tietojärjestelmärekisterin hyödyntämiseen. Valviran tietojärjestelmärekisteri sisältää tietoja siitä, mitä olennaisia vaatimuksia eri tietojärjestelmiin on toteutettu ja kuinka luokan A järjestelmissä on todennettu olennaisten vaatimusten täyttyminen.
Tietoturvallisuuden omavalvonnan kohteen on kuvattava tietoturvasuunnitelmaan tai siinä viitatuissa dokumenteissa, mistä löytyy tieto seuraavan tyyppisistä tietojärjestelmistä ja niiden versioista, joita tietoturvallisuuden omavalvonnan kohteen toiminnassa käytetään (vrt. THL:n määräys 4/2021):
- sertifioidut – tietoturva-auditoidut ja yhteistestatut Kanta-palveluihin liitettävät luokkaan A2 tai A3 kuuluvat sosiaalihuollon asiakastietojen tai potilastietojen käsittelyyn tarkoitetut tietojärjestelmät
- sertifioidut – tietoturva-auditoidut luokkaan A1 kuuluvat sosiaalihuollon asiakastietojen tai potilastietojen käsittelyyn tarkoitetut tietojärjestelmät
- sosiaalihuollon asiakastietojen tai potilastietojen käsittelyyn tarkoitetut luokkaan B kuuluvat tietojärjestelmät
- muut tietojärjestelmät, joilla on vaikutusta ja jotka on otettava huomioon tietoturvasuunnitelman mukaisissa asennuksissa, ylläpidossa ja päivityksissä arkaluonteisten asiakastietojen suojaamisen kannalta.
Lisäksi tietojärjestelmistä on kuvattava niiden versiotiedot tai muut tietojärjestelmän statusta kuvaavat tiedot.
Tietoturvallisuuden omavalvonnan kohteen on selvitettävä tietoturvasuunnitelmassa, miten varmistetaan se, että Kanta-palveluihin liittyviin tietojärjestelmiin liitetyt tai käyttöympäristössä hyödynnettävät muut sovellukset tai tietojärjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia. Muilla sovelluksilla ja tietojärjestelmillä tarkoitetaan esimerkiksi tietokoneohjelmia, jotka eivät käsittele asiakas- ja potilastietoja, eivätkä siten ole asiakastietolain 29 §:n mukaisia luokan A tai B tietojärjestelmiä.
Määräyksen 5/2021 mukaisesti palvelunantajan on huomioitava omassa toiminnassaan ja tietojärjestelmien käyttöönotossa, tuotantokäytössä sekä tietoturvasuunnitelman mukaisessa toiminnassa ne olennaisiin vaatimuksiin kohdistuvat huomioitavat seikat ja sertifioinnissa esiin nousseet havainnot ja edellytykset, jotka vaikuttavat olennaisten vaatimusten toteutumiseen palvelunantajan käyttämissä tietojärjestelmissä. Erityisesti on huomioitava Valviran tietojärjestelmärekisterin kautta julkaistavat tarkennukset järjestelmien vaatimustenmukaisuuden toteutumiseen.
Tietoturvasuunnitelman ei tarvitse kattaa omavalvonnan kohteessa käytettäviä sovellusohjelmistoja tai tietojärjestelmiä, joiden käyttötarkoituksena ei ole asiakas- tai potilastietojen käsittely, mutta myös niitä on mahdollista sisällyttää suunnitelmaan.
In Cyberday, requirements and controls are mapped to universal tasks. A set of tasks in the same topic create a Policy, such as this one.
In Cyberday, requirements and controls are mapped to universal tasks. Each requirement is fulfilled with one or multiple tasks.
When building an ISMS, it's important to understand the different levels of information hierarchy. Here's how Cyberday is structured.
Sets the overall compliance standard or regulation your organization needs to follow.
.svg)
.svg)
.svg)
Break down the framework into specific obligations that must be met.
.svg)
Concrete actions and activities your team carries out to satisfy each requirement.
Documented rules and practices that are created and maintained as a result of completing tasks.
