KATAKRI versio II - Puolustusministeriö
30.01.2015 Views
Share Embed Flag

KATAKRI versio II - Puolustusministeriö

KATAKRI versio II - Puolustusministeriö

KATAKRI versio II - Puolustusministeriö

SHOW MORE
SHOW LESS
ePAPER READ
DOWNLOAD ePAPER
logisec.fi

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

START NOW

Kysymys<br />

A 501.1<br />

Onko organisaation tietoturvallisuudella<br />

johdon<br />

tuki Miten tuki käytännössä<br />

näkyy organisaation<br />

toiminnassa<br />

(ex I 101.0)<br />

Viranomaisvaatimus:<br />

Perustaso (IV)<br />

Organisaation tietoturvallisuudella<br />

on johdon tuki.<br />

Vaaditaan vähintään, että 1)<br />

tietoturvallisuus on vastuutettu<br />

(johdon vastuut,<br />

tietohallinnon / järjestelmien<br />

ylläpidon vastuut, peruskäyttäjän<br />

vastuut, jne.);<br />

2) organisaatiolla on johdon<br />

hyväksymät tietoturvaperiaatteet<br />

ja -käytänteet;<br />

3) tietoturvaperiaatteet ja<br />

-käytänteet on saatettu koko<br />

organisaation tietoon;<br />

4) tietoturvaperiaatteet ja<br />

-käytänteet katselmoidaan<br />

vuosittain ja aina, kun merkittäviä<br />

muutoksia tapahtuu;<br />

5) johto edellyttää, että<br />

työntekijät, toimittajat ja<br />

ulkopuoliset tietojen käsittelijät<br />

toimivat organisaation<br />

tietoturvaperiaatteiden<br />

mukaisesti;<br />

6) tietoturvallisuudelle on<br />

varattu toimintavaatimuksiin<br />

nähden riittävät resurssit.<br />

Viranomaisvaatimus:<br />

Korotettu taso (<strong>II</strong>I)<br />

Organisaation tietoturvallisuudella<br />

on<br />

johdon tuki. Vaaditaan<br />

vähintään, että<br />

1) tietoturvallisuus on<br />

vastuutettu (johdon<br />

vastuut, tietohallinnon /<br />

järjestelmien ylläpidon<br />

vastuut, peruskäyttäjän<br />

vastuut, jne.);<br />

2) organisaatiolla on<br />

johdon hyväksymät<br />

tietoturvaperiaatteet ja<br />

-käytänteet;<br />

3) tietoturvaperiaatteet<br />

ja -käytänteet on saatettu<br />

koko organisaation<br />

tietoon;<br />

4) tietoturvaperiaatteet<br />

ja -käytänteet katselmoidaan<br />

vuosittain ja<br />

aina, kun merkittäviä<br />

muutoksia tapahtuu;<br />

5) johto edellyttää, että<br />

työntekijät, toimittajat<br />

ja ulkopuoliset<br />

tietojen käsittelijät<br />

toimivat organisaation<br />

tietoturvaperiaatteiden<br />

mukaisesti;<br />

6) tietoturvallisuudelle<br />

on varattu toimintavaatimuksiin<br />

nähden<br />

riittävät resurssit.<br />

Viranomaisvaatimus:<br />

Korkea taso (<strong>II</strong>)<br />

Organisaation tietoturvallisuudella<br />

on johdon tuki. Vaaditaan<br />

vähintään, että<br />

1) tietoturvallisuus on vastuutettu<br />

(johdon vastuut, tietohallinnon/<br />

järjestelmien ylläpidon vastuut,<br />

peruskäyttäjän vastuut, jne.);<br />

2) organisaatiolla on johdon<br />

hyväksymät tietoturvaperiaatteet<br />

ja -käytänteet;<br />

3) tietoturvaperiaatteet ja<br />

-käytänteet on saatettu koko organisaation<br />

tietoon;<br />

4) tietoturvaperiaatteet ja -käytänteet<br />

katselmoidaan vuosittain ja<br />

aina, kun merkittäviä muutoksia<br />

tapahtuu;<br />

5) johto edellyttää, että työntekijät,<br />

toimittajat ja ulkopuoliset tietojen<br />

käsittelijät toimivat organisaation<br />

tietoturvaperiaatteiden mukaisesti;<br />

6) tietoturvallisuudelle on varattu<br />

toimintavaatimuksiin nähden<br />

riittävät resurssit.<br />

Elinkeinoelämän<br />

suositukset<br />

Organisaation tietoturvallisuudella<br />

on johdon tuki.<br />

Suositellaan vähintään, että<br />

1) tietoturvallisuus on vastuutettu<br />

(johdon vastuut,<br />

tietohallinnon / järjestelmien<br />

ylläpidon vastuut, peruskäyttäjän<br />

vastuut, jne.);<br />

2) organisaatiolla on johdon<br />

hyväksymät tietoturvaperiaatteet<br />

ja -käytänteet;<br />

3) tietoturvaperiaatteet ja<br />

-käytänteet on saatettu<br />

koko organisaation tietoon;<br />

4) tietoturvaperiaatteet ja<br />

-käytänteet katselmoidaan<br />

vuosittain ja aina, kun<br />

merkittäviä muutoksia<br />

tapahtuu;<br />

5) johto edellyttää, että<br />

työntekijät, toimittajat ja<br />

ulkopuoliset tietojen käsittelijät<br />

toimivat organisaation<br />

tietoturvaperiaatteiden<br />

mukaisesti;<br />

6) tietoturvallisuudelle<br />

on varattu toimintavaatimuksiin<br />

nähden riittävät<br />

resurssit.<br />

Lähde/lisätietoa<br />

ISO/IEC 27002 5.1.1,<br />

ISO/IEC 27002 5.1.2,<br />

ISO/IEC 27002 6.1.1,<br />

ISO/IEC 27002 6.1.3,<br />

ISO/IEC 27002 7.1,<br />

ISO/IEC 27002 8.2.1,<br />

PCI DSS 12.1, PCI DSS<br />

12.3.1, PCI DSS 12.4,<br />

PCI DSS 12.5, COBIT<br />

4.1 PO4, COBIT 4.1<br />

PO6, https://www.bsi.<br />

bund.de/SharedDocs/<br />

Downloads/EN/BSI/<br />

Grundschutz/ guidelines/guidelines_pdf.pdf<br />

Suositellaan, että järjestelmille<br />

on määritetty<br />

ylläpitovastuun lisäksi<br />

myös omistajat. Suositellaan,<br />

että tekninen<br />

ylläpito ei ole sama kuin<br />

omistaja.<br />

Auditointitulos:<br />

OK/ poikkeama<br />

KANSALLINEN TURVALLISUUSAUDITOINTIKRITEERISTÖ<br />

29

logo

products

Resources

Company

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!