KATAKRI versio II - Puolustusministeriö
KATAKRI versio II - Puolustusministeriö
KATAKRI versio II - Puolustusministeriö
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Kysymys<br />
A 501.1<br />
Onko organisaation tietoturvallisuudella<br />
johdon<br />
tuki Miten tuki käytännössä<br />
näkyy organisaation<br />
toiminnassa<br />
(ex I 101.0)<br />
Viranomaisvaatimus:<br />
Perustaso (IV)<br />
Organisaation tietoturvallisuudella<br />
on johdon tuki.<br />
Vaaditaan vähintään, että 1)<br />
tietoturvallisuus on vastuutettu<br />
(johdon vastuut,<br />
tietohallinnon / järjestelmien<br />
ylläpidon vastuut, peruskäyttäjän<br />
vastuut, jne.);<br />
2) organisaatiolla on johdon<br />
hyväksymät tietoturvaperiaatteet<br />
ja -käytänteet;<br />
3) tietoturvaperiaatteet ja<br />
-käytänteet on saatettu koko<br />
organisaation tietoon;<br />
4) tietoturvaperiaatteet ja<br />
-käytänteet katselmoidaan<br />
vuosittain ja aina, kun merkittäviä<br />
muutoksia tapahtuu;<br />
5) johto edellyttää, että<br />
työntekijät, toimittajat ja<br />
ulkopuoliset tietojen käsittelijät<br />
toimivat organisaation<br />
tietoturvaperiaatteiden<br />
mukaisesti;<br />
6) tietoturvallisuudelle on<br />
varattu toimintavaatimuksiin<br />
nähden riittävät resurssit.<br />
Viranomaisvaatimus:<br />
Korotettu taso (<strong>II</strong>I)<br />
Organisaation tietoturvallisuudella<br />
on<br />
johdon tuki. Vaaditaan<br />
vähintään, että<br />
1) tietoturvallisuus on<br />
vastuutettu (johdon<br />
vastuut, tietohallinnon /<br />
järjestelmien ylläpidon<br />
vastuut, peruskäyttäjän<br />
vastuut, jne.);<br />
2) organisaatiolla on<br />
johdon hyväksymät<br />
tietoturvaperiaatteet ja<br />
-käytänteet;<br />
3) tietoturvaperiaatteet<br />
ja -käytänteet on saatettu<br />
koko organisaation<br />
tietoon;<br />
4) tietoturvaperiaatteet<br />
ja -käytänteet katselmoidaan<br />
vuosittain ja<br />
aina, kun merkittäviä<br />
muutoksia tapahtuu;<br />
5) johto edellyttää, että<br />
työntekijät, toimittajat<br />
ja ulkopuoliset<br />
tietojen käsittelijät<br />
toimivat organisaation<br />
tietoturvaperiaatteiden<br />
mukaisesti;<br />
6) tietoturvallisuudelle<br />
on varattu toimintavaatimuksiin<br />
nähden<br />
riittävät resurssit.<br />
Viranomaisvaatimus:<br />
Korkea taso (<strong>II</strong>)<br />
Organisaation tietoturvallisuudella<br />
on johdon tuki. Vaaditaan<br />
vähintään, että<br />
1) tietoturvallisuus on vastuutettu<br />
(johdon vastuut, tietohallinnon/<br />
järjestelmien ylläpidon vastuut,<br />
peruskäyttäjän vastuut, jne.);<br />
2) organisaatiolla on johdon<br />
hyväksymät tietoturvaperiaatteet<br />
ja -käytänteet;<br />
3) tietoturvaperiaatteet ja<br />
-käytänteet on saatettu koko organisaation<br />
tietoon;<br />
4) tietoturvaperiaatteet ja -käytänteet<br />
katselmoidaan vuosittain ja<br />
aina, kun merkittäviä muutoksia<br />
tapahtuu;<br />
5) johto edellyttää, että työntekijät,<br />
toimittajat ja ulkopuoliset tietojen<br />
käsittelijät toimivat organisaation<br />
tietoturvaperiaatteiden mukaisesti;<br />
6) tietoturvallisuudelle on varattu<br />
toimintavaatimuksiin nähden<br />
riittävät resurssit.<br />
Elinkeinoelämän<br />
suositukset<br />
Organisaation tietoturvallisuudella<br />
on johdon tuki.<br />
Suositellaan vähintään, että<br />
1) tietoturvallisuus on vastuutettu<br />
(johdon vastuut,<br />
tietohallinnon / järjestelmien<br />
ylläpidon vastuut, peruskäyttäjän<br />
vastuut, jne.);<br />
2) organisaatiolla on johdon<br />
hyväksymät tietoturvaperiaatteet<br />
ja -käytänteet;<br />
3) tietoturvaperiaatteet ja<br />
-käytänteet on saatettu<br />
koko organisaation tietoon;<br />
4) tietoturvaperiaatteet ja<br />
-käytänteet katselmoidaan<br />
vuosittain ja aina, kun<br />
merkittäviä muutoksia<br />
tapahtuu;<br />
5) johto edellyttää, että<br />
työntekijät, toimittajat ja<br />
ulkopuoliset tietojen käsittelijät<br />
toimivat organisaation<br />
tietoturvaperiaatteiden<br />
mukaisesti;<br />
6) tietoturvallisuudelle<br />
on varattu toimintavaatimuksiin<br />
nähden riittävät<br />
resurssit.<br />
Lähde/lisätietoa<br />
ISO/IEC 27002 5.1.1,<br />
ISO/IEC 27002 5.1.2,<br />
ISO/IEC 27002 6.1.1,<br />
ISO/IEC 27002 6.1.3,<br />
ISO/IEC 27002 7.1,<br />
ISO/IEC 27002 8.2.1,<br />
PCI DSS 12.1, PCI DSS<br />
12.3.1, PCI DSS 12.4,<br />
PCI DSS 12.5, COBIT<br />
4.1 PO4, COBIT 4.1<br />
PO6, https://www.bsi.<br />
bund.de/SharedDocs/<br />
Downloads/EN/BSI/<br />
Grundschutz/ guidelines/guidelines_pdf.pdf<br />
Suositellaan, että järjestelmille<br />
on määritetty<br />
ylläpitovastuun lisäksi<br />
myös omistajat. Suositellaan,<br />
että tekninen<br />
ylläpito ei ole sama kuin<br />
omistaja.<br />
Auditointitulos:<br />
OK/ poikkeama<br />
KANSALLINEN TURVALLISUUSAUDITOINTIKRITEERISTÖ<br />
29