Tietoaineistojen ja tietojärjestelmien tietoturvallisuus

Organisation must maintain a listing of used data systems and their owners. Owner is responsible for completing the related documentation and possible other security actions directly related to the data system.

Data system documentation must include at least:

• System purpose and linked responsibilities
• System's data location (covered in a separate task)
• System's maintenance and development responsibilities and linked partners (covered in a separate task)
• When necessary system's access roles and authentication methods (covered in a separate task)
• When necessary systems interfaces to other systems (covered in a separate task)

Whenever new data systems are acquired, a pre-defined procurement process and rules are followed. The rules ensure that the supplier is able to guarantee an adequate level of security, taking into account the priority of the system.

The organization proactively seeks to list and assess the likelihood and severity of various cyber security risks. The documentation shall include the following:

• Description of the risk
• Evaluated impact and likelihood of the risk
• Tasks for managing the risk or other treatment options
• Acceptability of the risk

The organization shall maintain a list of data sets contained in the data stores it manages.

The documentation shall include at least the following information:

• Data systems and other means used to process the data sets
• Key categories of data in the data set (and whether it contains personal data)
• Data retention period (discussed in more detail in a separate task)
• Information on archiving / disposal of data (discussed in more detail in a separate task)

Whenever new data systems are acquired or developed, pre-defined security rules are followed, taking into account the priority of the system. The rules ensure that adequate measures are taken to ensure the security of the data and data processing in the system.

The organisation regularly evaluates the level of cyber security and the effectiveness of the information security management system.

Organisation has defined:

• monitored metrics to provide comparable results on the development of cyber security level
• persons responsible for the metering
• methods, timetable and responsible persons for metrics reviewing and evaluation
• methods to document metric-related evaluations and results

Effective metrics should be usable for identifying weaknesses, targeting resources better and assessing organisation's success / failure related to cyber security.

Viranomaisen tehtävien hoitamisen kannalta olennaiset tietojärjestelmät on tunnistettu. Olennaiseksi tunnistettujen tietojärjestelmien vikasietoisuus ja toiminnallinen käytettävyys varmistetaan riittävällä testauksella säännöllisesti.

Testaus voi sisältää sekä teknistä käytettävyystestausta että käyttäjillä suoritettavia käytettävyysarviointeja. Räätälöidyissä järjestelmissä käytettävyys tulisi määritellä ja suunnitella organisaatiossa hyväksytyn menetelmän mukaan. Valmisohjelmistojen käytettävyys tulisi testata hyväksymistestauksen yhteydessä.

Tietojärjestelmien häiriöihin on varauduttu nopean palautumisen varmistamiseksi. Palautumisessa hyödynnetään mekanismeja, joiden tavoitteena on reaaliaikainen tai lähes reaaliaikainen viansietokyky kriittisten järjestelmien saatavuuden ylläpitämiseksi.

An owner is assigned to each data set. The owner is responsible for the life cycle of the information asset and is responsible for performing the management tasks related to that asset.

The owner's duties include e.g.:

• ensuring the documentation of asset
• ensuring appropriate protection of asset
• regularly reviewing access rights
• ensuring proper handling of information, also on disposal

The owner can delegate some of the tasks, but the responsibility remains with the owner.

Viranomaisen on suunniteltava tietojärjestelmät, tietovarantojen tietorakenteet ja niihin liittyvä tietojenkäsittely siten, että asiakirjojen julkisuus voidaan vaivatta toteuttaa. Tämä voidaan toteuttaa esimerkiksi:

• Selvittämällä tietovarantoihin kohdistuvat tiedonsaantivaatimukset
• Tunnistaa tietovarantoihin liittyvät julkiset ja salassa pidettävät tiedot
• Suunnittelemalla kuinka saatavuustarpeet voidaan toteuttaa vaarantamatta salassapitoa
• Salassapitovaatimuksien huomiointi tietojärjestelmien hakutoiminnoissa