KATAKRI versio II - Puolustusministeriö
KATAKRI versio II - Puolustusministeriö
KATAKRI versio II - Puolustusministeriö
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Kysymys<br />
A 807.0<br />
Onko tietoon ja tietojenkäsittelypalveluihin<br />
määritetty hyväksyttävän<br />
käytön säännöt ja onko<br />
niistä tiedotettu henkilöstölle<br />
(ex I 205.0)<br />
Viranomaisvaatimus:<br />
Perustaso (IV)<br />
1) Tiedon ja tietojenkäsittelypalveluihin<br />
liittyvien suojattavien kohteiden hyväksyttävän<br />
käytön säännöt on määritetty.<br />
2) Hyväksyttävän käytön säännöissä<br />
otetaan kantaa vähintään siihen, saako<br />
organisaation tietojärjestelmiä käyttää<br />
henkilökohtaisiin tarpeisiin (sähköposti,<br />
levytila, pankkipalveluiden käyttö, jne.).<br />
3) On selkeästi tiedotettu hyväksyttävän<br />
käytön säännöistä henkilöstölle.<br />
4) Hyväksyttävän käytön säännöt ovat<br />
henkilöstölle helposti saatavilla.<br />
Viranomaisvaatimus:<br />
Korotettu taso (<strong>II</strong>I)<br />
1) Tiedon ja tietojenkäsittelypalveluihin<br />
liittyvien<br />
suojattavien kohteiden<br />
hyväksyttävän käytön<br />
säännöt on määritetty.<br />
2) Hyväksyttävän käytön<br />
säännöissä otetaan kantaa<br />
vähintään siihen, saako organisaation<br />
tietojärjestelmiä<br />
käyttää henkilökohtaisiin<br />
tarpeisiin (sähköposti,<br />
levytila, pankkipalveluiden<br />
käyttö, jne.). 3) On selkeästi<br />
tiedotettu hyväksyttävän<br />
käytön säännöistä<br />
henkilöstölle.<br />
4) Hyväksyttävän käytön<br />
säännöt ovat henkilöstölle<br />
helposti saatavilla.<br />
Viranomaisvaatimus:<br />
Korkea taso (<strong>II</strong>)<br />
1) Tiedon ja tietojenkäsittelypalveluihin<br />
liittyvien suojattavien<br />
kohteiden hyväksyttävän<br />
käytön säännöt on<br />
määritetty.<br />
2) Hyväksyttävän käytön<br />
säännöissä otetaan<br />
kantaa vähintään siihen,<br />
saako organisaation<br />
tietojärjestelmiä käyttää<br />
henkilökohtaisiin<br />
tarpeisiin (sähköposti,<br />
levytila, pankkipalveluiden<br />
käyttö, jne.).<br />
3) On selkeästi tiedotettu<br />
hyväksyttävän käytön<br />
säännöistä henkilöstölle.<br />
4) Hyväksyttävän<br />
käytön säännöt ovat<br />
henkilöstölle helposti<br />
saatavilla.<br />
Elinkeinoelämän<br />
suositukset<br />
1) Tiedon ja tietojenkäsittelypalveluihin<br />
liittyvien<br />
suojattavien kohteiden hyväksyttävän<br />
käytön säännöt<br />
on määritetty.<br />
2) Hyväksyttävän käytön<br />
säännöissä otetaan kantaa<br />
vähintään siihen, saako<br />
organisaation tietojärjestelmiä<br />
käyttää henkilökohtaisiin<br />
tarpeisiin (sähköposti,<br />
levytila, pankkipalveluiden<br />
käyttö, jne.).<br />
3) On selkeästi tiedotettu<br />
hyväksyttävän käytön säännöistä<br />
henkilöstölle.<br />
4) Hyväksyttävän käytön<br />
säännöt ovat henkilöstölle<br />
helposti saatavilla.<br />
Lähde/lisätietoa<br />
ISO/IEC 27002 7.1.3,<br />
PCI DSS 12.3, VAH-<br />
TI 8/2006<br />
Voidaan todentaa<br />
tarkistamalla AUP:n<br />
(acceptable use<br />
policy) olemassaolo<br />
ja sisältö, lisäksi se,<br />
onko AUP helposti<br />
saatavilla henkilöstölle.<br />
Selvitetään lisäksi<br />
miten AUP:sta tiedotettu<br />
henkilöstölle.<br />
Auditointitulos:<br />
OK/ poikkeama<br />
KANSALLINEN TURVALLISUUSAUDITOINTIKRITEERISTÖ<br />
43