Hallinto

Tietoturva sekä henkilötietojen lainmukainen käsittely ovat keskeinen osa yrityksen toimintaperiaatteita.

Tietoturvaan ja henkilötietojen käsittelyyn liittyvät roolit ja vastuut on nimetty henkilötasolla.

Tietoturvapolitiikka ja siihen liittyvät käytännöt on määritetty.

Tietoturvapolitiikka ja tietoturvakäytännöt on auditoitu säännöllisten sisäisten auditointien kautta.

Auditoinnit katselmoidaan (johdon katselmus) säännöllisesti.

Henkilöstö

Henkilöstön roolit, työtehtävät ja vastuut on määritelty selkeästi.

Työntekijöiden kanssa on laadittu sopimus liike- ja ammattisalaisuuksien salassapidosta.

Henkilöstö on perehdytetty tietoturvapolitiikkaan ja –käytäntöihin.

Työsuhteiden päättymisen varalle on luotu toimintamalli, jossa on huomioitu käyttöoikeuksien poistaminen ja työntekijän hallussa mahdollisesti olevan aineiston palauttaminen.

Tietoturva- ja suojaperehdytys on osa uusien työntekijöiden koulutusohjelmaa.

Olennaisten tietoturvaan liittyvien poikkeamatilanteiden raportointiin, käsittelyyn ja ennaltaehkäisyyn on olemassa toimintamalli.

Toimintamallit

Suojattavan tiedon käsittely erilaisissa viestintäjärjestelmissä, kuten sähköpostissa tai pikaviestimissä on määritelty.

Internetin ja sosiaalisen median käytölle yrityksen tietoverkoissa on luotu hyväksyttävän käytön pelisäännöt.

Ulkopuolisten tallennusjärjestelmien, kuten pilvipalveluiden ja vastaavien käyttö tapahtuu ainoastaan yrityksenjohdon määrittelemissä tilanteissa ja – palveluntarjoajilla.

Etätyöskentelylle on luotu riittävä tietoturva- ja tietosuojaohjeistus.

Toimitilojen fyysinen turvallisuus

Yrityksen tiloissa on turvalukitus.

Turvalukitusta käytetään.

Yrityksen toimitiloissa on murtohälyttimet.

Yrityksellä on ajantasainen rekisteri toimitilojen ja muiden suojattavien kohteiden avaimista ja kulkutunnisteista.

Asiakkaiden ja kolmansien osapuolten pääsy yrityksen työpisteisiin ja tietoihin on estetty.

Käyttövaltuutushallinta ja salasanapolitiikka

Tietojärjestelmissä käytetään vain yksilöityjä nimetyille henkilöille osoitettuja käyttäjätunnus/salasanapareja. Poikkeuksena ovat tilanteet, joissa yrityksen johto on arvioinut riskin ja todennut sen epäolennaiseksi.

Henkilöstön käyttäjätunnuksista ja käyttöoikeuksista yrityksen ulkopuolisiin tietojärjestelmiin pidetään kirjaa.

Työntekijöiden käyttöoikeuksien tarpeellisuutta tarkastellaan työtehtävien olennaisista muutoksista.

Salasanat, PIN-koodit ja käyttäjähallintaan tarkoitetut koodit säilytetään tarkoitukseen soveltuvassa turvallisessa tietojärjestelmässä/tiedostossa.

Kaikissa luottamuksellista tietoa sisältävissä tietojärjestelmissä on käytössä salasanaan tai vastaavaan menettelyyn perustuva pääsynhallinta.

Tietojärjestelmien pääkäyttäjätunnusten oletussalasanat on vaihdettu ja tietojärjestelmien salasanat vaihdetaan säännöllisesti.

Ulkopuoliset toimijat

Ulkopuolisia toimijoita ovat esimerkiksi siivouspalveluyritykset, vartiointi-, isännöinti-, jne yhteistyökumppanit, joilla on pääsy toimitiloihin tai suojattaviin tiloihin.

Yrityksen yhteistyökumppaneiden kanssa on laadittu kirjallinen sopimus luottamuksellisen tiedon salassapidosta ja yhteistyökumppanit ovat tietoisia yrityksen tietoturvakäytännöistä ja suojattavista kohteista sekä tietosuoja-asetuksen vaatimuksista.

Ulkopuolisilta toimijoilta on pyydetty ja saatu tietovirtakuvaukset tapauksissa, joissa he ovat Henkilötiedon käsittelijöitä.

Toimitiloissa säännöllisesti työskentelevät ulkopuolisten toimijoiden työntekijät perehdytetään tarvittavissa määrin yrityksen tietoturva- ka tietosuojakäytäntöihin.

Ulkoistetut ICT–palvelut

Ulkoistetuilla ICT –palveluilla tarkoitetaan toimijoita, jotka tuottavat yritykselle esimerkiksi palvelimien ja työasemien ylläpitopalveluita, tallennus- ja varmistuspalveluita, tietoturvan ylläpitoa ja tietoliikennepalveluita.

Ulkopuolisista ICT –palveluista on laadittu kirjalliset palvelusopimukset sekä kirjallinen sopimus luottamuksellisen tiedon salassapidosta.

Yrityksen ja palveluntarjoajan välinen vastuunjako on dokumentoitu kirjallisesti ja palveluntarjoaja on tietoinen yrityksen tietoturvakäytännöistä ja suojattavista kohteista.

Yrityksen ja ulkoistettujen ICT –palveluiden toiminnan ylläpidosta ja kehittämisestä keskustellaan määräajoin palveluntarjoajan kanssa.

Suojattavien kohteiden ja tiedon hallinta

Suojattavia kohteita ovat esimerkiksi työasemat, kannettavat koneet, palvelimet ja mobiililaitteet.

Suojattaville kohteille on määritelty hyväksyttävän käytön pelisäännöt.

Käsiteltäville asiakastiedoille on laadittu käsittelyohjeet sekä tietovirtakuvaukset.

Digitaalisen ja manuaalisen tiedon tuhoamiselle on laadittu tietoturvalliset menettelyohjeet.

Käytössä on asianmukaiset tietosuojaroskasäiliöt tai asiakirjasilppuri luokitellun tiedon tuhoamista varten.

Tietokoneiden ja mobiililaitteiden tietoturva

Yrityksen käytössä olevat työasemat, kannettavat tietokoneet, mobiililaitteet ja muut päätelaitteet on rekisteröity ja dokumentoitu asianmukaisesti.

Koneiden säännöllisistä tietoturvapäivityksistä on huolehdittu asianmukaisesti ja päivityksiä valvotaan. Työntekijöiden oikeutta asentaa ohjelmistoja työasemille on rajattu ja asennuksia valvotaan

Asianmukaiset virus- ja haittaohjelmien torjuntaohjelmistot ovat käytössä.

Tietoverkko ja tietokoneet on suojattu, esimerkiksi palomuureilla.

Työntekijöiden henkilökohtaisten tietokoneiden ja mobiililaitteiden käyttö henkilötietojen käsittelyyn on kielletty.

Siirrettävät tietovälineet

Usb-tikut,- levyt, CD/DVD levyt, tai muu siirrettävä tallennusväline

Yrityksessä ei käytetä siirrettäviä tietovälineitä työtehtävien hoitamiseen tai suojattavan tiedon käsittelyyn lukuunottamatta erikseen sovittuja tilanteita, kuten aineistojen luovotus tilintarkastajalle tai vastaanotto asiakkaan nimetyn yhteyshenkilön kanssa.

Käytetäessä siirrettäviä tietovälineitä edellä mainittuihin tarkoituksiin on niiden sisältö suojattu salasanalla.

Palvelin- ja tietoliikenneturvallisuus

Toimitilojen palvelintilat ja tietoliikenneyhteyksien edellyttämät tilat pidetään lukittuina.

Langattomien verkkojen tietoliikenne on salattu.

Vierasverkot on eriytetty yrityksen sisäverkosta luotetavalla menetelmällä.

Palvelinkäyttöjärjestelmät päivitetään säänöllisesti.

Palvelinjärjestelmä on rakennettu vikasietoiseksi siten, että tietojärjestelmien toiminta ei keskeydy yksittäisestä laiterikosta.