Tietoturvallisuutta on johdettava

Tietoturvallisuudella suojataan yrityksen omistamaa tietoa, joka voi olla yrityksen toiminnan jatkumisen kannalta tärkeää tai välttämätöntä.

Tietoturvallisuus ei synny yritykseen itsestään, vaan sitä pitää johtaa, aivan kuten muutakin turvallisuutta. Yrityksen johto vastaa tietoturvallisuutta koskevien tavoitteiden asettamisesta, riittävien resurssien varaamisesta ja tietoturvallisuuden toteutumisen valvonnasta.

Yrityksen tietoturvallisuuden tulee olla tasolla, jolla tietojärjestelmän toimintakatkos, tietojen menettäminen tai tietojen virheellisyys ei vaaranna yrityksen liiketoiminnan jatkuvuutta eikä niistä aiheudu yritykselle kohtuutonta taloudellista tappiota.

Näin huolehdit perusasioista

  • Aseta yrityksen tietoturvallisuuden tavoitetaso vähintään siten, ettei yrityksen liiketoiminnan jatkuvuus vaarannu puutteellisen tietoturvallisuuden vuoksi
  • Ihminen on tietoturvallisuuden suurin tekijä, joten kouluta tietoturvallisuutta koskevat menettelyt koko henkilöstölle
  • Nimeä tietoturvallisuudesta erityisesti vastaavat henkilöt ja anna heille riittävät resurssit tehtävien hoitamiseksi
  • Tietoturvallisuuden teknisten ratkaisujen vaatimukset muuttuvat erittäin nopeasti, joten käytä asiantuntevia palvelutarjoajia
  • Luokittele yrityksen omistamat tiedot ja anna ohjeet erityisesti salaiseksi ja luottamukselliseksi luokiteltujen tietojen käsittelystä ja valvo niiden toteutumista
  • Anna ohjeet laitteistojen, ohjelmistojen ja tiedostojen käyttövaltuuksista ja suojausperiaatteista ja valvo niiden toteutumista
  • Huolehdi siitä, että ohjelmistoista ja perustiedostoista on olemassa varmuusarkistossa vähintään kaksi riittävän tuoretta varmuuskopiota siten, että järjestelmän toimivuus on palautettavissa kohtuullisella työmäärällä. Riittävä varmistustiheys on arvioitava ohjelmisto-/tiedostokohtaisesti kuitenkin vähintään niin, etteivät uudelleen tehtävät muutokset saa olla yhtä kuukautta vanhempia.
  • Huolehdi siitä, että muuttuvista tiedoista on olemassa varmuusarkistossa riittävän tuore varmuuskopio siten, että järjestelmän toimivuus on palautettavissa kohtuullisella työmäärällä. Riittävä varmistustiheys on arvioitava tiedostokohtaisesti kuitenkin vähintään niin, että kaikki tiedot varmistava ns. täysvarmistus otetaan vähintään kerran viikossa.
  • Huolehdi siitä, että ohjelmistot ja tiedostot voidaan palauttaa varmuuskopioilta toimivaksi järjestelmäksi
  • Huolehdi siitä, että varmuuskopioita säilytetään käyttöarkistosta erillään vähintään S 120 DIS -luokan tietovälinekaapissa tai kokonaan eri rakennuksessa siten, ettei varmuusarkisto voi tuhoutua samassa vahingossa käyttöarkiston kanssa
  • Varmista teknisen tuen saatavuus myös ongelma- ja vahinkotilanteissa
  • Laadi toipumissuunnitelma ongelma- ja vahinkotilanteiden varalle
  • Palo-, rikos- ja vuototurvallisuus ovat osa tietoturvallisuutta. Varmista, että niistäkin on huolehdittu.
 Tulosta