Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja
Aiheet
Alkuun pääsy
ISO 27001
NIS2
Tiedonhallinta
Jatkuva parantaminen
Tiimin yhteistyö
Dokumentointi
Henkilöstön ohjeet
Raportointi
Tehtävien hallinta
Yhteisö
Asetukset & advanced
Kokeilu ja tilaus
Käyttäjähallinta
Tuotteen tietoturva
Vaatimuskehikkojen hallinta
Henkilöstöturvallisuus
Riskien hallinta
Sisäinen auditointi
Työskentely kumppanina
GDPR
Näytä kaikki aiheet
Webinaarit
NIS2: Intro NIS2-direktiiviin sekä Digiturvamalli-työkaluun
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Näytä kaikki webinaarit
Videot
Automatisoi henkilöstön tietoturvaohjeistus Teamsissa
Digiturvamallin yleisesittely
Dokumentoi oma tietojenkäsittely-ympäristö yhteistyössä
GDPR & ISO 27701:n hyvät käytännöt
ISO 27001 ja henkilöstön osaaminen
ISO 27001 ja riskien hallinta
ISO 27001 ja sertifiointiauditoinnin avainasiat
ISO 27001:n yleisesittely
Luo tehokas tietoturvariskien hallinnan toimintamalli
NIS2:n yleisesittely
Oman ISMS:n jatkuva parantaminen
Paranna omaa tietoturvasuunnitelmaa jatkuvasti
Tiedonhallintamalli ja riskien hallinta
Tiedonhallintamalli ja tietoturvatoimenpiteet
Tiedonhallintamallin perusteet
Näytä kaikki videot
Ohjeet
Asennus ja integraatiot
Dokumentaatio
Kumppaneille
Käyttäjähallinta
Muut ominaisuudet
Ohjeiden hallinta
Pääkäyttäjälle
Raportointi
Tehtävien hallinta
Vaatimuskehikot
Näytä kaikki ohjeet
Blogit
Helsingin tietomurto, AI:n vaikutukset sekä NIS2-edistyminen: Digiturvamallin tuote- ja uutiskooste 5/2024 🛡️
6 keinoa organisaation tietoturvatyön tehokkuuden arviointiin
Pääsynhallinta ja MFA (NIS2 21.2): Luo tukeva perusta ISO 27001:n parhaiden käytäntöjen avulla.
Henkilöstön tietoturvaperusteita ISO 27001 ja NIS2 -vaatimustenmukaisuutta varten
Kehitä NIS2 jatkuvuussuunnitelma ja varmuuskopioinnin toimenpiteet ISO 27001 -standardin mukaisesti
Näytä kaikki blogit
Sisältökirjasto
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.
Digiturvamalli.fi
Kokeile
Kirjaudu
Akatemian etusivu
Blogit
Muutosvaikutusten arvioinnit ja niiden toteuttaminen Digiturvamallissa

Muutosvaikutusten arvioinnit ja niiden toteuttaminen Digiturvamallissa

Organisaation on ajoittain uudistuttava ja sopeuduttava toimintaympäristön muutoksiin pysyäkseen kehityksessä mukana. Usein nämä toiminnan uudistukset vaikuttavat myös tietoturvaan ja tiedonhallintaan.

Selkeästi suunnitellut menettelyt muutostenhallintaan sisältyvät monien tietoturvan vaatimuskehikkojen (mm. ISO 27001, NIST, Katakri, Omavalvontasuunnitelma...) vaatimuksiin.

Muutosvaikutusten arvioinnin tavoitteet

Tiedonhallintalautakunnan mukaan tiedonhallintalain vaatimuksella muutosvaikutusten arvioinnista:

  • vahvistetaan muutostilanteisiin liittyvien taloudellisten ja toiminnallisten riskien ennakointia
  • vahvistetaan muutosten ohjauksen tehokkuutta
  • pyritään edistämään yhteentoimivuuden ja tietoturvallisuuden toteutumista sekä investointien kannattavuutta

On siis melko yleinen hyvä käytäntö, että järjestelmällisessä tietoturvatyössä merkittäviä muutoksia pyritään aktiivisesti tunnistamaan, niiden vaikutukset arvioidaan ennakkoon ja muutokset toteutetaan systemaattisesti suunnittelun jälkeen. Tavoitteena on auttaa organisaatiota johtamaan muutos hallitusti ja vastuullisesti.

Muutosvaikutusten arvioinnit ovat yksi tiedonhallintalautakunnan nimeämistä osa-alueista, joiden  valvontaan se keskittyy.

Millaiset muutokset ovat tiedonhallinnan kannalta merkittäviä?

Merkittävät muutokset voivat liittyä mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin tai tietojärjestelmiin kohdistuvat muutokset. Tässä esimerkkejä muutoksista, joiden yhteydessä muutosvaikutusten arvioinnille voi olla tarvetta:

  • Integraatiohanke
  • Kilpailutilanteen merkittävä muutos
  • Kuntaliitos
  • Merkittävän tuotteen / palvelun alasajo
  • Tehtävien / palvelutuotannon siirtäminen
  • Teknologinen merkittävä kehityskulku
  • Tietojärjestelmän käyttöönotto
  • Tietovarannon muodostaminen
  • Toimintaprosessin ulkoistus
  • Tärkeä uusi tietoturvastandardi
  • Uuden liikelaitoksen perustaminen
  • Uusi lainsäädäntö
  • Uusi merkittävä tehtävä tai palvelutuotannon vastuu

Kuinka olennaisia muutoksia voidaan tunnistaa?

Olennaisten muutosten tunnistaminen voi olla esimerkki hyvästä tavasta, jolla organisaation johto voi osallistua digiturvatyöhön.

ISO 27001 -tietoturvastandardi suosittelee johdolle säännöllisesti toteutettavaa "johdon katselmusta", jossa johto katselmoi organisaation digiturvan hallintajärjestelmän tilaa ja asettaa tarvittaessa uusia tavoitteita työlle. Yksi tämän katselmuksen tärkeistä sisällöistä on olennaista muutosten tunnistaminen. Johto pystyy esimerkiksi tunnistamaan toimintaympäristöön, kilpailutilanteeseen, organisaatiorakenteeseen tai sääntelyyn liittyviä muutoksia, jotka voi olla hyvä huomioida huolellisesti. Teknisempia muutoksia voivat tunnistaa digiturvatyön avaintiimin jäsenet suoraviivaisemmin.  

Johdon katselmus voi toimia johdon tapana osallistua digiturvatyöhön ja nostaa esille oleellisia tulevia muutoksia.

Muutosten tunnistamistavat ja siihen liittyvä vastuu on eroteltu Digiturvamallissa omaksi tehtäväkseen, koska se vaatii hyvin erilaisen toimintatavan kuin varsinaisten arviointien toteutus. Tiedonhallintalautakunnan suositus sanoo myös selkeäsanaisesti: "Tiedonhallintayksikön vastuulla on tunnistaa, mitkä muutokset ovat olennaisia ja edellyttävät muutosvaikutusten arviointia."

Vastuu merkittävien muutosten tunnistamisesta sekä varsinaisesta arviointien toteuttamisesta on erotettu Digiturvamallissa

Kuinka muutosvaikutusten arviointi toteutetaan?

Toimiva tiedonhallintamalli toimii muutosvaikutusten arvioinnin pohjana. Kun tiedetään selkeästi sekä nykyiseen tiedonhallintaan liittyvät avainelementit (mm. toimintaprosessit, tietovarannot, tietoaineistot ja tietojärjestelmät), tietoturvallisuutoimenpiteet sekä näihin molempiin liittyvät vastuut, hyvä pohja muutosvaikutusten arvioinnille on olemassa.

Muutosvaikutusten arvioinnin tuotoksena tulisi syntyä seuraavanlainen yhteenveto:

  • perustelut ja tausta muutokselle
  • keskeiset havainnot (esim. tunnistetut riskit) muutoksen arvioinnista suhteessa
     - tiedonhallintamallissa määriteltyihin tiedonhallinnan vastuisiin
     - tietoturvallisuusvaatimuksiin ja -toimenpiteisiin
     - tietoaineistojen muodostamista ja luovutustapaa koskeviin vaatimuksiin
     - asianhallinnan ja palvelujen tiedonhallinnan vaatimuksiin
     - muun lainsäädännön säädöksiin asiakirjojen julkisuudesta, salassapidosta, suojasta ja tiedonsaantioikeuksista
  • kuvaus lopputuloksesta sekä karkealla tasolla vaadittavat toimenpiteet ja niiden aikataulutus
Muutoksessa on tärkeää huomioida tietovarantojen yhteentoimivuuden näkökulmat sekä muutokset vaikutukset muihin sidosryhmiin.

Digiturvamallista löytyy valmis pohja muutosvaikutusten arviointien tulosten dokumentointia varten. Pohja pyrkii myös tukemaan arvioinnin toteuttamisessa ja antamaan esimerkkejä eri kohtiin, joissa se on mahdollista.

Suosittelemme ensin käymään muutosta läpi vapaammin tiedonhallintalain listaamien näkökulmien perusteella. Arvioinnin keskeisistä havainnoista olisi kuitenkin hyvä pystyä johtamaan muutokseen liittyviä riskejä, jotka voidaan sitten arvioida ja käsitellä. Näin voidaan päästä käsiksi toimenpiteisiin, joita muutosvaikutusten arvioinnista nousee.

Tiedonhallintalautakunta: "Osana muutosvaikutusten arviointia tiedonhallintayksikkö tekee riskiarvion muutoksen mahdollisesti aiheuttamien vaikutusten hallitsemiseksi ja laatii suunnitelman näiden riskien saattamiseksi hyväksyttävälle tasolle."

Lopuksi tiedonhallintamallissa määritellyn vastuullisen tahon on hyväksyttävä / hylättävä muutos huomioiden siitä aiheutuvat riskit, niiden hallitsemiseksi tehty toimenpiteet sekä näiden suhteen kustannuksiin ja saavutettaviin hyötyihin.

Vinkkejä toteutukseen:

  • visuaaliset raportit voivat auttaa arvioimaan etenkin muutettavan kohteen liitoksia eri elementteihin, esimerkiksi tietojärjestelmän yhteyksiä eri prosesseihin / eri sidosryhmiin tai tietojärjestelmästä muihin järjestelmiin tehtyjä integraatioita

Palautetta, kysymyksiä?

Jos haluat keskustella kanssamme lisää muutosvaikutusten arvioinneista, muiden tiedonhallintalain vaatimusten täyttämisestä tai antaa palautetta näistä uusista ominaisuuksista, ole meihin mielellään yhteydessä suoraan chatilla tai osoitteessa tiimi@digiturvamalli.fi.

Kirjoittanut
Aleksi Pulkkanen
2.9.2021
@
apulkkanen
LinkedIn

Sisältö

Jaa artikkeli

Muuta samanlaista sisältöä Akatemiassa

Blogikirjoitukset

Helsingin tietomurto, AI:n vaikutukset sekä NIS2-edistyminen: Digiturvamallin tuote- ja uutiskooste 5/2024 🛡️

Toukokuun tuote-ja uutiskooste esittelee kuukausittaiset ISMS-raportit sekä Mittarit sivun. Lisäksi aiheina on Digiturvamallin uusi vaatimuskehikko DORA ja lähiaikoina tapahtuneita tietomurtoja maailmalla.
17.5.2024

6 keinoa organisaation tietoturvatyön tehokkuuden arviointiin

Kyberturvallisuuden tehokkuuden arviointiin kuuluu nykyisten turvatoimien sopivuuden tarkastelu. Tämä prosessi auttaa sinua tunnistamaan tietoturvan nykytilan ja määrittämään tarvittavat toimet turvallisuuden parantamiseksi ja vahvistamiseksi.
3.5.2024

ISO 27001 -standardin parhaat käytännöt turvalliseen järjestelmähankintaan ja kehittämiseen: Luo NIS2-toimenpiteet

Lue vinkkejä järjestelmien turvalliseen hankintaan ja kehittämiseen ISO 27001 -standardin mukaisesti, jotta voidaan täyttää NIS2-vaatimukset. Mukana keskeisiä näkökohtia, kuten turvallinen koodaus ja hankinta sekä valvottu testaus ja julkaisu.
17.4.2024

Liity Akatemian postituslistalle tänään

Elevate Your Knowledge with Exclusive Access to Weekly Webinars, Video Courses, Help Articles, and Blogs.

Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
Aiheet
Riskien hallinta
Jatkuva parantaminen
Raportointi
Tiimin yhteistyö
Dokumentointi
Näytä kaikki
Webinarit
NIS2: Intro NIS2-direktiiviin sekä Digiturvamalli-työkaluun
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Näytä kaikki
Videot
NIS2:n yleisesittely
Automatisoi henkilöstön tietoturvaohjeistus Teamsissa
Luo tehokas tietoturvariskien hallinnan toimintamalli
Dokumentoi oma tietojenkäsittely-ympäristö yhteistyössä
GDPR & ISO 27701:n hyvät käytännöt
Näytä kaikki
Ohjeet
Muut ominaisuudet
Raportointi
Käyttäjähallinta
Kumppaneille
Dokumentaatio
Näytä kaikki
Blogit
Helsingin tietomurto, AI:n vaikutukset sekä NIS2-edistyminen: Digiturvamallin tuote- ja uutiskooste 5/2024 🛡️
6 keinoa organisaation tietoturvatyön tehokkuuden arviointiin
ISO 27001 -standardin parhaat käytännöt turvalliseen järjestelmähankintaan ja kehittämiseen: Luo NIS2-toimenpiteet
Kehitä NIS2 jatkuvuussuunnitelma ja varmuuskopioinnin toimenpiteet ISO 27001 -standardin mukaisesti
Henkilöstön tietoturvaperusteita ISO 27001 ja NIS2 -vaatimustenmukaisuutta varten
Näytä kaikki
Sisältökirjasto
Avaa sisältökirjastoLabs
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.