Tietosuojariskien hallinnan ja arvioinnin on oltava hallittua ja jatkuvaa

Jaa sivu:

Yleistä tietosuojariskeistä 

EU:n yleisen tietosuoja-asetuksen lähtökohta on riskilähtöisyys. Henkilötietoja käsittelevien rekisterinpitäjien ja käsittelijöiden on arvioitava henkilötietojen käsittelyyn liittyvät riskit ja valittava riittävät hallintatoimenpiteet suhteessa arvioituun riskitasoon.

Riskiprofiiliin vaikuttavat esimerkiksi seuraavat tekijät:

  • Henkilötietojen arkaluonteisuus
  • Henkilötietojen määrä
  • Käyttäjien määrä
  • Järjestelmän luonne
  • Tietojenkäsittelyn ulkoistuksen luonne
  • Rekisteröidyn oikeudet
  • Resurssien kohdentaminen
  • Henkilöstön osaaminen

EU:n yleinen tietosuoja-asetus vaatii, että rekisterinpitäjä ja käsittelijä huolehtii hyvin hallussaan olevista rekisteröidyn henkilötiedoista. Rekisteröidyn henkilötiedot on suojattava niin, että

  • henkilötiedot ovat oikeita, luotettavia ja ajantasaisia
  • henkilötiedot ovat vain oikeutettujen henkilöiden saatavilla
  • henkilötiedot eivät joudu ulkopuolisten tietoon/haltuun

Tietosuojan riskienhallinnan on oltava hallittua ja jatkuvaa, muuten tietosuojauhkien hallinta ei pysy uusien, koko ajan lisääntyvien uhkien tasolla. Samoin jos tietosuojan riskienhallinta ei ole suunnitelmallista voivat tästä aiheutuvat kustannukset kasvaa merkittäviksi. Tunnistamalla ja arvioimalla tietosuojauhat, niiden vaikuttavuus ja merkittävyys organisaation toiminnalle, pystytään vastaamaan keskeisiin uhkiin järkevien kustannuksin.

Jos organisaatiolla on olemassa riskienhallintaprosessi, tulee tietosuojariskien hallinta liittää osaksi sitä. Näin varmistetaan, että ainakin merkittävimmät riskit tulevat organisaation johdon tietoon.

Tietoturvan riskienhallinta liittyy oleellisesti tietosuojan riskienhallintaan, joten ainakin näiden riskienhallinta on oltava kunnossa, jos halutaan saavuttaa hyvä tietosuojataso organisaatiossa.

Tietoturvariskien hallinnasta voit lukea lisää täältä.

(juttu jatkuu videon jälkeen)

Pro Pilvipalveluiden HSEQ-järjestelmä kalvosarjana

Olemme koostaneet ytimekkään kalvosarjan, jonka avulla voitte tutustua palvelutarjontaamme. Lataa pdf-muotoinen kalvosarja alla olevasta linkistä.

Lataa kalvosarja (pdf)

HSEQ-järjestelmä videona

Tältä sivulta löydät kaikkien Pro-palveluiden lyhyet esittelyt, palveluiden ominaisuudet ja valmiit linkit palveluiden omille sivuille:

www.propilvipalvelut.fi/pro-palveluiden-esittely

Tietoturvallisuuden arvioinnin eri osa-alueet

Tietosuojariskien arviointiin ei riitä, että tietosuojauhat arvioidaan vain erimerkiksi tietojärjestelmien tai tietoverkkojen osalta. Uhat voivat kohdistua organisaatioon monesta suunnasta. Lisäksi uhkat voivat olla sisäisiä tai ulkoisia.

Hallinnollinen tietosuoja

Organisaation johdon tietoisuus tietosuojariskeistä on niiden hallinnan perusta. Johdon käytössä olevat välineitä ovat hallittu tietosuoja ja -turvatyö, osaamisen hyödyntäminen ja riskienhallinnan muiden lähtökohtien luominen. Hallinnolliseen tietosuojaan kuuluvat myös organisaation suhteet asiakkaisiin ja sidosryhmiin. Myös hankinnat liittyvät kaikkiin tietosuojan osa-alueisiin.

Henkilöstön tietosuoja

Organisaation henkilöstön tietosuoja on henkilöstön tekemän henkilötietojen käsittelyn riskien hallintaa. Tietoisuus uhkista ja osaaminen luovat pohjan onnistuneelle toiminnalle.

Fyysinen turvallisuus

Fyysinen tietosuojan varmistaminen sisältää organisaation tuotanto- ja toimitilojen fyysiseen suojaamiseen liittyvät asiat, joilla pyritään estämään organisaation käsittelemien henkilötietojen tuhoutuminen, vahingoittuminen tai joutuminen vääriin käsiin.

Tietoliikenneturvallisuus

Tietoliikenteen tietosuojaan sisältyvät mm. tietoliikennelaitteiston kokoonpano, luettelointi, ylläpito ja muutosten valvonta, ongelmatilanteiden kirjaus, käytön valvonta, verkon hallinta, viestinnän salaus ja varmistaminen, henkilötietojen kannalta merkityksellisten tapahtumien tarkkailu, kirjaus ja selvittäminen sekä tietoliikenneohjelmien testaus ja hyväksyminen.

Laitteistoturvallisuus

Laitteiston tietosuoja käsittää tietojenkäsittely- ja tietoliikennelaitteiden käytettävyyden, toiminnan, kokoonpanon, kunnossapidon ja laadunvarmistuksen.

Ohjelmistoturvallisuus

Organisaation ohjelmistojen tietosuojaan kuuluvat käyttöjärjestelmät, ohjelmistot sekä sovellus- ja tietoliikenneohjelmat. Tähän alueeseen kuuluvat myös ohjelmistojen tunnistamis-, eristämis-, pääsynvalvonta- ja varmistusmenettelyt, tarkkailu- ja paljastustoimet, lokimenettelyt, ohjelmistojen laadunvarmistus sekä turvallisuustoimet.

Tietoaineistoturvallisuus

Tietoaineiston tietosuoja käsittää asiakirjojen, tiedostojen ja muiden tietoaineistojen käytettävyyden, eheyden ja luottamuksellisuuden. Keinoina ovat mm. tietoaineistojen luokitus ja luettelointi ja tietovälineiden asianmukainen hallinta, käsittely, säilytys ja hävittäminen.

Käytön tietosuoja

Käytön tietosuoja kattaa tietotekniikan käyttöön, käyttöympäristöön, tietojenkäsittelyyn ja sen jatkuvuuteen sekä tuki-, ylläpito-, kehittämis- ja huoltotoimintoihin liittyvän turvallisuuden. Riskianalyysin tulee kattaa myös organisaation ulkoistamat palvelut. Etätyön, jossa käsitellään henkilötietoja,  riskianalyysissä arvioidaan etätyöhön kohdistuvia uhkia, näiden todennäköisyyksiä ja vaikutuksia sekä valitaan toimenpiteet, joilla riski saadaan halutulle tasolle.

Kuinka organisaatio voi edetä tietosuojariskien kanssa

Tietosuojauhkat, jotka kohdistuvat organisaatioihin ovat tänä päivänä nopeasti kasvava todellinen uhka organisaatioiden menestykselle. Sen hallussa olevat tiedot muodostavat nykyisin organisaation keskeisen omaisuuden. Tietojen vuotaminen, tuhoutuminen tai muuttuminen voivat aiheuttaa organisaatiolle vakavia ongelmia, joista toipuminen voi kestää huomattava pitkän ajan. Lisäksi EU:n yleinen tietosuoja-asetus vaatii organisaatiot tekemään henkilötietojen käsittelylle tietosuojan riskienarvioinnin.

Normaalille organisaatiolle tietosuojauhkien hallinta muodostaa ison haasteen normaalin toimintansa rinnalle. Tietosuojariskien kanssa toimiminen vaatii erityisosaamista ja jatkuvaa ajanhermolla pysymistä. Tietosuojan osaamista ei välttämättä organisaation kannata hankkia itselleen, vaan tehokkainta voi olla tehdä asiat yhdessä osaavan tiesuojakonsultin ja valmiin riskienhallintaohjelmiston kanssa.

Tietosuojariskien arvioinnin prosessi

Tietosuojariskien arviointi:

  1. Riskikartoitus:
    • Tässä vaiheessa kirjataan kaikki organisaation tunnistetut tietosuojariskit
    • Riskejä ei tässä vaiheessa arvioida
    • Tietosuojariskit kerätään kaikista tietoturvan osa-alueista
  2. Riskianalyysi
    • Jokaiselle riskille määritellään toteutumisen todennäköisyys ja toteutumisen vaikuttavuus
    • Jokaiselle riskille määritellään vakavuuden mukainen toimenpide-ehdotus
  3. Riskienhallinta
    • Valituille toimenpide-ehdotuksille, jotka vaativat toimia määritellään vastuutaho/-henkilö ja alustava aikataulu tekemiselle.
  4. Riskienhallinnan seuranta
    • Seuranta palaverit, joissa käydään sovittujen tehtävien tilanne läpi

Muutamia vaatimuksia, joilla varmistetaan tietoturvariskien arvioinnin onnistuminen:

  1.  Johdon tuki tietosuojatyölle
  2. Organisaation tietojen luokittelu
    • Jos tietoja ei ole luokiteltu, ei tietosuojariskien vakavuutta voida kunnolla arvioida
    • Julkinen – sisäinen – luottamuksellinen – salainen
  3. Organisaation sisäinen projektiryhmä on nimetty ja annettu riittävä resurssit käyttöön
    • Jokaisesta organisaation toiminnosta edustaja esim, myynti, talous, hr, asiakaspalvelu jne
    • Tämä varmistaa, ettei eri toimintojen tietosuojaan liittyvät riskit jää käsittelemättä.

Pro Tietosuoja -palvelun esittely

Tästä voit katsoa Pro Tietosuoja -palvelun käytön nopean esittelyn videomuodossa.

Scroll to Top