Kenelle tämä paketti on suunniteltu?

Tämä paketti on suunniteltu pk-yrityksille, jotka tarvitsevat vahvat mutta yksinkertaistetut tietosuoja- ja yksityisyyspolitiikat, jotka ovat linjassa ISO/IEC 27001:2022 -standardin, GDPR:n, NIS2:n ja muiden johtavien standardien kanssa.

Soveltuvatko nämä politiikat, jos meillä ei ole erillistä IT-/tietoturvatiimiä?

Kyllä. Kaikki politiikat on mukautettu pk-yrityksille, joilla ei ole erillisiä IT- tai tietoturvan hallintarooleja, jolloin toimitusjohtaja voi toimia ensisijaisena valvontavastuullisena.

Mitä tiedon elinkaaren osa-alueita tämä paketti kattaa?

Politiikat kattavat koko tiedon elinkaaren, mukaan lukien tiedon luokittelu, merkinnät, säilytys, turvallinen hävittäminen, maskaus, tietosuoja, toimittajien tietoturva sekä vaatimustenmukaisuusauditoinnit.

Tarjoaako paketti vaatimuksia toimittajahallintaan?

Kyllä. Kolmannen osapuolen ja toimittajien tietoturvapolitiikka edellyttää arviointia, sopimuslausekkeita, pääsynhallintaa, seurantaa, poikkeusten hallinta -käytäntöjä sekä turvallista poistumismenettelyä kaikille toimittajille.

Minipaketti: tietosuoja ja yksityisyys – pk-yrityksille

Yleiskatsaus

Tämä pk-yrityksille kohdennettu paketti sisältää kuusi toisiinsa kytkeytyvää politiikkaa, jotka kattavat tiedon luokittelun, säilytyksen, maskauksen, tietosuojan, kolmansien osapuolten tietoturvan sekä vaatimustenmukaisuuden jatkuvan seurannan. Paketti on linjassa ISO/IEC 27001:2022 -standardin ja GDPR:n kanssa, ja roolit on mukautettu organisaatioille, joilla ei ole erillistä IT-/tietoturvahenkilöstöä.

Integroitu tietosuoja

Yhtenäiset politiikat tiedon luokitteluun, säilytykseen, tietosuojaan ja toimittajien tietoturvaan varmistavat vahvan pk-yritystason tietosuojan.

27001:2022-vaatimustenmukaisuus pk-yrityksille

Mukautettu pk-yrityksille yksinkertaistetuilla rooleilla; politiikat ovat linjassa ISO/IEC 27001:2022 -standardin ja GDPR-vaatimusten kanssa.

Päästä päähän -tiedon elinkaaren hallintakeinot

Hallintakeinot kattavat luokittelun, merkinnät, säilytyksen, anonymisoinnin ja auditoinnin kaikissa muodoissa ja järjestelmissä.

Täytäntöönpantu kolmansien osapuolten tietoturva

Toimittaja- ja kumppanihallinnan vaatimukset suojaavat tietojasi ulkoisilta riskeiltä ja varmistavat sopimuksenmukaisuuden.

Auditointi- ja varmennusvalmis

Sisältää toistettavat tarkistuslistat ja auditointivaatimukset operatiivista hallintaa ja ulkoisia sertifiointeja varten.

Lue koko yleiskatsaus

"Minipaketti: tietosuoja ja yksityisyys – pk-yrityksille" on kattava kokonaisuus kuudesta tiiviisti integroidusta politiikasta, jotka on suunniteltu pienille ja keskisuurille yrityksille täyttämään keskeiset tietosuoja-, yksityisyys- ja vaatimustenmukaisuusvelvoitteet. Kaikki tämän paketin politiikat on nimenomaisesti räätälöity pk-yrityksille (kuten politiikkanumeroinnissa käytetty "S" ja toimitusjohtajan käyttö pääasiallisena vastuuvelvollisena roolina), huomioiden rajalliset henkilöstöresurssit tai suurten, erillisten IT-, tietoturva- tai vaatimustenmukaisuusosastojen puuttuminen. Näistä rakenteellisista rajoitteista huolimatta politiikat on laadittu täyttämään ISO/IEC 27001:2022 -standardin, ISO/IEC 27002:2022 -standardin, EU:n GDPR:n, EU:n NIS2-direktiivin, EU:n DORA-asetuksen, NIST SP 800-53 Rev.5:n ja COBIT 2019:n tiukat vaatimukset. Tämä paketti varmistaa päästä päähän -kattavuuden koko tiedon elinkaarelle. Tiedon luokittelu- ja merkintäpolitiikka (P13S) määrittää pk-yrityksille sopivan, täytäntöönpantavan kolmiportaisen luokittelumallin, mukaan lukien merkintävaatimukset ja teknologiset hallintakeinot. Se määrittää selkeät roolit toimitusjohtajalle, tietovastaaville, IT-tuelle (sisäinen/ulkoistettu) sekä koko henkilöstölle ja urakoitsijoille, korostaen käytännön näkyvyyttä (otsikot, vesileimat, tunnisteet) ja vaatimustenmukaisuusvelvoitteita. Tiiviisti siihen kytkeytyvä tietojen säilytys- ja hävityspolitiikka (P14S) edellyttää lakisääteisiin ja liiketoimintalähtöisiin tarpeisiin perustuvia säilytysaikoja keskitetysti hallitulla säilytysrekisterillä, eksplisiittisiä turvallisia hävitysmenetelmiä (silppuaminen, digitaalinen pyyhintä, kryptografinen poisto) sekä poikkeusten ja oikeudellisten säilytysten (legal hold) tarkkaa dokumentointia, jälleen siten, että valvonta on toteutettavissa myös pienissä organisaatioissa. Tietojen minimointia ja tuotantoympäristön ulkopuolista käsittelyä varten tietojen maskaus- ja pseudonymisointipolitiikka (P16S) edellyttää, että aitoja henkilötietoja tai arkaluonteisia tietoja ei koskaan käytetä, kun se ei ole ehdottoman välttämätöntä, esimerkiksi testauksessa tai analytiikassa, täytäntöönpanemalla muunnoshallintakeinot (maskaus, tokenisointi, pseudonymisointi). Kaikkien muunnosprosessien on oltava auditoitavia, käyttäen vain IT:n hyväksymiä työkaluja lokituksella ja avainten hallinnalla, varmistaen jäljitettävyyden yksittäisiin tietoaineistoihin ja tapahtumiin asti. Pakettikokonaisuuden ytimessä tietosuoja- ja yksityisyyspolitiikka (P17S) kokoaa kaikki henkilötietoja koskevat lakisääteiset velvoitteet, kattaen henkilöstön, asiakkaiden ja kolmansien osapuolten tiedot. Se edellyttää sisäänrakennettua tietosuojaa ja oletusarvoista tietosuojaa, lainmukaista keruuta ja minimointia, turvallista säilytystä, selkeitä käyttöoikeuksien tarkastuksia sekä rekisteröidyn oikeuksien käsittelyä. Vastuut jaetaan selkeästi toimitusjohtajan (DPO-/tietosuojavastuullinen), tietosuojakoordinaattorin (sisäinen/ulkoistettu), IT-palveluntarjoajan ja kaiken operatiivisen henkilöstön kesken. Koulutus, suostumus, eskalointi ja tietoturvaloukkausilmoitukset on integroitu, samoin kuin yhdenmukaisuustarkistukset luokittelu-, säilytys-, maskaus- ja poikkeamien käsittelypolitiikkojen kanssa. Ulkoisten riskien hallintaan kolmannen osapuolen ja toimittajien tietoturvapolitiikka (P26S) asettaa pakolliset vaatimukset toimittajien arvioinnille, riskianalyysille, pääsyn rajoittamiselle, sopimuslausekkeille (mukaan lukien ilmoitusten palvelutasosopimukset ja tarkastusoikeudet) sekä jatkuvalle valvonnalle. Se kattaa tyypilliset pk-yritysten kolmannen osapuolen skenaariot (IT, SaaS, liiketoiminnan toiminnot jne.) ja edellyttää toimittajien sopimusehtojen hyväksymistä, säännöllisiä katselmointeja sekä turvallista poistumismenettelyä tai tietojen tuhoamista sopimuksen päättymisen jälkeen. Lopuksi auditointi- ja vaatimustenmukaisuuden jatkuvan seurannan politiikka (P33S) yksinkertaistaa sisäisten tarkastusten, tietoturvakontrollien tarkistusten ja sääntelytarkastelun prosessia. Se on suunniteltu käytettäväksi ilman erikoistuneita auditoijia ja mahdollistaa toimitusjohtajan ja IT-palveluntarjoajan hyödyntää tarkistuslistoja ja ylläpitää auditointinäyttöä operatiivisen valmiuden varmistamiseksi ISO/IEC 27001 -sertifiointia tai asiakas-/toimittajahuolellisuusarviointia varten. Tarkastusjäljet, korjaavien toimenpiteiden dokumentaatio ja vaatimustenmukaisuusnäyttö on keskistettävä ja pidettävä saatavilla vähintään kahden vuoden ajan, tukien puolustettavaa hallintotapaa myös pk-yrityksissä, joilla on minimaalinen vaatimustenmukaisuushenkilöstö. Yhdessä nämä kuusi politiikkaa operationalisoivat johtavat standardit ja tietosuojalainsäädännön toteutettaviksi, liiketoimintalähtöisiksi hallintakeinoiksi ja tarjoavat vahvan, auditointivalmiin tietosuoja- ja yksityisyyskokonaisuuden, joka on pk-yrityksille helppo ottaa käyttöön ja ylläpitää.

Sisältö

Tiedon luokittelu- ja merkintävaatimukset

Säilytys- ja turvallisen hävittämisen säännöt

Tietojen maskaus ja pseudonymisointi

Kattava tietosuoja ja yksityisyys

Toimittajien tietoturva ja sopimuslausekkeet

Sisäinen tarkastus ja vaatimustenmukaisuuden jatkuva seuranta

Kehysmääräysten noudattaminen

Kehys	Katetut lausekkeet / Kontrollit
ISO/IEC 27001:2022	5.1 5.3 6.1.3 8.1 9.2 10.1
ISO/IEC 27002:2022	5.12 5.13 5.19 5.20 5.21 5.22 5.33 5.34 5.35 5.37 8.10 8.11 8.12
NIST SP 800-53 Rev.5	AC-6 AC-16 AR-2 AU-6 AU-11 CA-2 CA-3 CA-7 IR-4 MP-3 MP-5 MP-6 PL-5 PS-7 PT-2 PT-3 SA-9 SA-10 SC-12 SC-28 SI-12
EU GDPR	Article 4(5)Article 5Article 5(1)(c)Article 5(1)(e)Article 6Articles 12–23Article 17Article 24Article 28Article 30Article 32Articles 33–34
EU NIS2	Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(e)Article 21(2)(f)Article 23(1)
EU DORA	Article 5(1)Article 5(2)Article 5(8)Article 6 Article 10 Article 10(1)Article 15 Article 17 Article 28(1)Article 28(2)
COBIT 2019	APO10 APO12 BAI03.04 BAI03.05 DSS01 DSS01.06 DSS05 DSS05.01 DSS05.02 DSS06 DSS06.06 MEA01 MEA03

Kehys

Katetut lausekkeet / Kontrollit

ISO/IEC 27001:2022

5.1 5.3 6.1.3 8.1 9.2 10.1

ISO/IEC 27002:2022

5.12 5.13 5.19 5.20 5.21 5.22 5.33 5.34 5.35 5.37 8.10 8.11 8.12

NIST SP 800-53 Rev.5

AC-6 AC-16 AR-2 AU-6 AU-11 CA-2 CA-3 CA-7 IR-4 MP-3 MP-5 MP-6 PL-5 PS-7 PT-2 PT-3 SA-9 SA-10 SC-12 SC-28 SI-12

EU GDPR

Article 4(5)Article 5Article 5(1)(c)Article 5(1)(e)Article 6Articles 12–23Article 17Article 24Article 28Article 30Article 32Articles 33–34

EU NIS2

Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(e)Article 21(2)(f)Article 23(1)

EU DORA

Article 5(1)Article 5(2)Article 5(8)Article 6 Article 10 Article 10(1)Article 15 Article 17 Article 28(1)Article 28(2)

COBIT 2019

APO10 APO12 BAI03.04 BAI03.05 DSS01 DSS01.06 DSS05 DSS05.01 DSS05.02 DSS06 DSS06.06 MEA01 MEA03

Liittyvät käytännöt

Tiedon luokittelu- ja merkintäpolitiikka – pk-yrityksille

Tämä politiikka määrittää, miten kaikki organisaation käsittelemä tieto on luokiteltava ja merkittävä, jotta sen luottamuksellisuus, eheys ja saatavuus säilyvät koko tiedon elinkaaren ajan.

Tietojen säilytys- ja hävityspolitiikka – pk-yrityksille

Tämän politiikan tarkoituksena on määrittää täytäntöönpantavat säännöt tiedon säilytykselle ja turvalliselle hävittämiselle pk-yritysympäristössä.

Tietojen maskaus- ja pseudonymisointipolitiikka – pk-yrityksille

Tämä politiikka määrittää täytäntöönpantavat vaatimukset tietojen maskauksen ja pseudonymisoinnin käytölle arkaluonteisten, henkilötietojen ja luottamuksellisten tietojen suojaamiseksi pienissä ja keskisuurissa yrityksissä (pk-yrityksissä).

Tietosuoja- ja yksityisyyspolitiikka – pk-yrityksille

Tämä politiikka määrittää, miten organisaatio suojaa henkilötietoja lakisääteisten velvoitteiden, sääntelykehysten ja kansainvälisten tietoturvastandardien mukaisesti.

Kolmannen osapuolen ja toimittajien tietoturvapolitiikka – pk-yrityksille

Tämä politiikka määrittää pakolliset tietoturvavaatimukset kolmansien osapuolten ja toimittajien kanssa tehtävien suhteiden aloittamiseen, hallintaan ja päättämiseen, kun heillä on pääsy organisaation tietoihin, järjestelmiin tai palveluihin tai he vaikuttavat niihin.

Auditointi- ja vaatimustenmukaisuuden jatkuvan seurannan politiikka – pk-yrityksille

Tämä politiikka määrittää organisaation lähestymistavan sisäisten tarkastusten, tietoturvakontrollien tarkistusten ja sääntelyvaatimustenmukaisuuden seurannan toteuttamiseen.

Tietoa Clarysecin käytännöistä - Minipaketti: tietosuoja ja yksityisyys – pk-yrityksille

Yleiset tietoturvapolitiikat on usein rakennettu suuryrityksille, jolloin pienyritysten on vaikea soveltaa monimutkaisia sääntöjä ja epäselviä rooleja. Tämä politiikka on erilainen. Pk-yrityspolitiikkamme on suunniteltu alusta alkaen käytännön toteutukseen organisaatioissa, joilla ei ole erillisiä tietoturvatiimejä. Määritämme vastuut rooleille, jotka teillä oikeasti on, kuten toimitusjohtajalle ja IT-palveluntarjoajalle, emme joukolle erikoisasiantuntijoita, joita teillä ei ole. Jokainen vaatimus on jaettu yksilöllisesti numeroituun lausekkeeseen (esim. 5.2.1, 5.2.2). Tämä muuttaa politiikan selkeäksi vaiheittaiseksi tarkistuslistaksi, mikä helpottaa käyttöönottoa, auditointia ja räätälöintiä ilman kokonaisten osioiden uudelleenkirjoittamista.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

IT tietoturva vaatimustenmukaisuus tietosuoja laki- ja vaatimustenmukaisuus hankinta

🏷️ Aiheen kattavuus

tiedon luokittelu tietojen käsittely tietosuoja rekisteröidyn oikeudet kolmansien osapuolten riskienhallinta toimittajahallinta politiikkojen elinkaaren hallinta vaatimustenmukaisuuden hallinta lakisääteisten velvoitteiden noudattaminen