Fysisk trygghet
Förhindra obehörig fysisk åtkomst till lokaler och konfidentiell information.
Fastighetssäkerhet
Kontroll av fysisk åtkomst till byggnader, kontor och andra verksamhetsställen
Organisationens säkerhetsområden kan inte nås utan att uppmärksammas, lokalerna skyddas av lämplig tillträdeskontroll. Endast behöriga personer får ta sig in i säkerhetsområdena.
Meddelandeprocess vid förlust av fysiska identifierare
Personalen har bruksanvisningar och verktyg som gör att de kan rapportera en förlorad fysisk identifiering (t.ex. nyckelbricka, smartkort, smart klistermärke).
Enheters skydd och användning
Störningshantering
Upptäck, rapportera och åtgärda säkerhetsincidenter konsekvent.
Störningshantering och rapportering
Instruktioner och anmälningsprocess för att rapportera störningar till personal
En process upprätthålls för att rapportera störningar, vilket hjälper personalen att rapportera störningar effektivt och konsekvent.
Saker som kan rapporteras som störningar är till exempel:
obehörig åtkomst till data/lokaler
verksamhet som strider mot riktlinjerna för informationssäkerhet
misstänkt datasäkerhetsproblem (t.ex. nätfiske, skadlig programvara)
avbrott i informationssystemet
oavsiktlig eller avsiktlig förstörelse/ändring av data
förlorad eller stulen enhet
komprometterat lösenord
förlorad fysisk identifierare (t.ex. nyckelring, smartkort, smart klistermärke)
misstänkt svaghet i informationssäkerheten (t.ex. i det använda informationssystemet eller andra arbetssätt)
Personalens instruktioner betonar skyldigheten att rapportera datasäkerhetsincidenter så snart som möjligt i enlighet med överenskommen process. Instruktionerna beskriver även andra åtgärder i händelse av fel (t.ex. registrering av felmeddelanden och andra detaljer).
Hantering av process och dokumentation av inträffade datasäkerhetsincidenter
Alla informationssäkerhetsincidenter hanteras konsekvent så att informationssäkerheten kan förbättras utifrån det inträffade.
I processen för störningshantering:
det rapporterade felet har bekräftats (eller så är det onödigt att skriva ner det)
typ och orsak till störningen dokumenteras
riskerna förknippade med störningen dokumenteras
risker behandlas, om deras behandling behöver uppdateras
åtgärderna för att minska riskerna eller beslutet att acceptera dem definieras och dokumenteras
parter till vilka det är viktigt att informera om resultatet av behandlingen definieras (inklusive de utanför organisationen)
fastställa behovet av analys efter avbrott
Hantering av datamaterial
Identifiera data utanför systemen och se till att de hanteras på ett säkert sätt.
Hantering av datamaterial
Dokumentation av datamaterial för dataförråd
Organisationen måste föra en lista över det datamaterial som ingår i de datareserver som den hanterar.
Dokumentationen ska innehålla minst följande information:
Informationssystem och andra medel som används för att behandla uppgifterna
Nyckeldatagrupper i materialet (och om det innehåller personuppgifter)
Förvaringstid för datalagringen (diskuteras mer i detalj i en separat uppgift)
Vid behov, information om arkivering / förstörande av material (kommer att diskuteras mer i detalj i en separat uppgift)
Namnge ägare till datamaterial
En ägare namnges för varje datamaterial. Ägaren är ansvarig för informationstillgångens livscykel och ansvarar för att utföra de förvaltningsuppgifter som är relaterade till den tillgången.
Ägarens uppgifter inkluderar till exempel:
säkerställa dokumentering av tillgången
säkerställa ett korrekt skydd av tillgångar
regelbunden översyn av åtkomsträttigheter
säkerställa korrekt behandling av data, även när data förstörs
Ägaren kan delegera en del av uppgifterna, men ansvaret ligger kvar på ägaren.
Utveckling och digitala tjänster
Se till att informationssäkerhetsaspekter beaktas vid utvecklingen av dina egna IT-tjänster.
Administration av partnerskap
Säkerställ verksamheten i enlighet med kontrakt och skydd av tillgångar som används av leverantörer.
Instruktioner
Programvara och uppdateringar för mobila enheter
När du använder mobila enheter, vänligen följ följande regler gällande uppdatering:
Jag installerar inte programvara eller ändrar deras inställningar när det inte ingår i mina arbetsuppgifter
Jag installerar begärda uppdateringar och säkerhetskorrigeringar för befintlig programvara tillförlitligt och utan dröjsmål
Om jag behöver använda ny programvara, ber jag om tillstånd från IT-avdelningen
Övervakning av mobila enheter
Jag ansvarar för följande när jag använder en mobil enhet:
Jag lämnar inte en enhet med konfidentiell information obevakad
Jag rapporterar den borttappade enheten omedelbart
Jag bevarar inte mobila enheter i bilen
Jag ser till att de automatiska låsen enligt användarmanualen för enheten används
Jag tar hand om säkerhetskopieringen och synkroniseringen enligt instruktionerna
Jag ser till att enhetens operativsystem är uppdaterat
Problemsituationer vid användning av mobila enheter
När jag stöter på problemsituationer med utrustningen följer jag följande regler:
Jag agerade enligt instruktionerna efter att systemet slutade fungera
Jag rapporterar alla informationssäkerhetsproblem till IT enligt instruktionerna (t.ex. när jag misstänker en virusinfektion eller datanätfiske)
Jag rapporterar den borttappade/stulna enheten eller taggarna i enlighet med rapporteringsprocessen
Acceptabel användning av mobila enheter
När jag använder organisationens mobila enhet följer jag följande regler:
Jag använder inte arbetsutrustning för saker utanför jobbet
Jag ändrar inte standardinställningar relaterade till enhetssäkerhet utan tillstånd
Jag stänger av eller växlar enheten till energisparläge i slutet av arbetsdagen, om inte annat anges (t.ex. på grund av säkerhetsuppdateringar)
Jag tar inte bort eller kringgår enhetens skydd mot skadlig programvara
Allmänna bruksanvisningar för distansarbete
När jag arbetar på distans följer jag följande regler:
Jag kommer inte att tillåta en utomstående person, inte ens en bekant, att använda din terminal
Jag använder inte offentliga terminaler för jobbet
Minimera mängden data som ingår i distansarbete
Jag lagrar inte personliga filer i onödan på arbetsgivarens servrar
Rapportera en förlorad identifierare
Jag rapporterar en förlorad fysisk identifierare (t.ex. nyckelring, smartkort, smart klistermärke) i enlighet med rapporteringsprocessen.
Passerkontroll och besökare
Besökspolicy
När det gäller besökare följer jag följande regler:
För besöksändamål använder jag endast konferensrum avsedda för det ändamålet
Jag lämnar inget känsligt material i konferensrummen, till exempel vid besök eller efter intern förhandling
Vid behov kommer jag att informera besökaren om nödvändigheten av praxis ur synvinkeln av hans egen datasäkerhet, dataskydd och annan säkerhet
Rapportering av störningar
Reglerna för rapportering av informationssäkerhetsincidenter har definierats och man övervakar att de följs.
Reglerna kan omfatta t.ex. följande saker:
Rapportera alltid alla informationssäkerhetsincidenter och misstänkta brister i informationssäkerheten i enlighet med anmälningsprocessen
Försök aldrig bevisa en misstänkt säkerhetsrisk, utan rapportera den istället enligt överenskommelse
När du upptäcker ett fel, kom ihåg: skynda dig inte, stäng inte av enheten, koppla ur nätverkskabeln och koppla från den trådlösa anslutningen, skriv ner eventuella aviseringar eller ta en bild av dem och visa exakt när du rapporterar ärendet vad du gjorde när felet inträffade.
Användning av informationssystem
Chefer ska i förväg meddela ägarna av informationssystemen om väsentliga förändringar i anställningsförhållandena för underställda, såsom befordran, degradering, avslutande av anställning eller andra förändringar i arbetsrollen.
Sekretess för lösenord
Jag följer följande regler angående lösenordsskydd:
Jag delar aldrig min inloggningsinformation med andra
Jag registrerar inte mina lösenord någon annanstans än i lösenordshanteringssystemet (t.ex. på papper eller i en textfil)
Byte av komprometterade identifieringsuppgifter
Jag följer följande regler för min identifieringsinformation:
Jag följer tjänsteleverantörernas information om eventuella dataläckor
Jag kommer omedelbart att ändra mina identifikationsuppgifter om det är möjligt att informationen har läckt
Lösenordsstyrka och korrekt användning
Jag följer följande regler angående styrkan på lösenord:
Jag känner till kriterierna för tillräckligt komplexa lösenord och jag använder tillräckligt starka lösenord
Jag använder inte samma lösenord för flera olika tjänster
Om tjänsten använder standardlösenordet som jag fått, återställer jag det första gången jag loggar in
Jag behandlar säkerhetsfrågorna som används för återställning av lösenord och deras svar som konfidentiella och otänkbara som lösenord
Allmänna regler för identifiering
Jag följer följande regler för identifieringsinformation:
Jag föredrar centraliserade identifieringsmetoder som stöds av organisationen när det är möjligt och undviker att skapa lokala användarnamn + lösenordskombinationer
Jag ger inte utomstående tillgång till min enhet, inte ens på distans, om jag inte har fått tillstånd i förväg
Jag uppmärksammade varningarna från webbläsaren när jag loggade in
Jag rapporterar all obehörig åtkomst till data som ett säkerhetsintrång
Kommunikation och nätfiske
Förnuftig användning av arbetsplatsens e-post
När du skickar ett e-postmeddelande, kontrollera att du följer följande instruktioner:
Använd din arbetsplats e-post endast för att hantera arbetsärenden
Se till att mottagarens adress är korrekt när du skickar ett e-postmeddelande
Vidarebefordra inte konfidentiell information i ett osäkert e-postmeddelande
Dela inte information om e-postmottagare i onödan och använd fälten till, cc och hemlig kopia på rätt sätt
Vidarebefordra inte arbetsplats e-post till personliga adresser
Regler mot bedrägeri
Jag följer alltid följande regler i verksamheten:
Jag laddar inte ner / installerar programvara från Internet om det inte ingår i mina arbetsuppgifter
Jag blockerar popup-fönster som standard och accepterar dem bara när det behövs
Jag låter inte onlinekonton existera oanvända
Jag fyller inte i konfidentiell information via en länk som jag fick i ett e-postmeddelande
Jag skickar inte konfidentiell information i ett e-postmeddelande
Verifierar din webbadress
Om du tvivlar på äktheten av ett meddelande eller annan avisering du har fått, gör alltid följande kontroller innan du klickar eller lämnar ut konfidentiell information:
Kontrollera att länken pekar till en bekant domän
Var uppmärksam på alla varningar som ges av webbläsaren
När du är på webbplatsen kontrollerar du webbplatsens https-skydd och formatet på webbadressen i adressfältet
Användning av personuppgifter
Ta emot och behandla förfrågningar om dataskydd
Närhelst vi behandlar personuppgifter har den registrerade vissa rättigheter, t.ex. få tillgång till sina uppgifter och i vissa situationer invända mot behandlingen eller få sina uppgifter raderade.
Jag är bekant med förfarandena för begäranden om dataskydd, som kan inkludera t.ex.:
de sätt på vilka den registrerade kan göra en begäran om information
de sätt på vilka identiteten på avsändaren av informationsförfrågan kontrolleras innan begäran tas emot
personer till vilka informationsförfrågningar skickas i förhållande till varje register
Behandling av personuppgifter i system som inte stöds
Jag kommer inte att överföra eller spara konfidentiell information till en personlig molntjänst (som ett Dropbox- eller Evernote-konto) om inte organisationen har ett avtal om att tillhandahålla tjänsten.
Allmänna regler för användning av personuppgifter som finns i systemen
När jag använder personuppgifter i informationssystem följer jag följande regler:
Jag använder informationen endast för den användning den är avsedd för
Jag kommer endast att använda information som är din, allmänt tillgänglig eller som jag har fått tillgång till
Lägg inte till nya datafält till tjänster utan att tänka och informera andra
Ta inte bort data från datasystemen till lokala diskar utan en viktig anledning, och radera dem så snart som möjligt
Dataskyddshantering
Dataskyddsteamet , som träffas regelbundet under ledning av dataskyddsansvarig. Teamet har medlemmar från olika utbildningsområden/enheter som följer och instruerar i frågor som rör ämnet.
Teamet träffas en gång i månaden för att uppdatera instruktioner, diskutera upptäckta hot eller avvikelser, komma överens om information etc. Personalen har fått i uppdrag att kontakta dataskyddsteamet när de upptäcker information eller cybersäkerhetshot eller avvikelser.
Utarbetandet av riktlinjerna för cybersäkerhet pågår för närvarande. Steg-för-steg-instruktioner om hur man ska reagera i hotsituationer håller på att utarbetas. Kräver samarbete med externa aktörer.
Utbildning
Hela personalen har genomfört en "dataskyddsutbildning i vardagen" och ett dataskyddstestet. Nya anställda genomför testet som en del av introduktionen.
Personalen måste fylla i Sekretess-ABC för personal inom offentlig förvaltning utbildning och returnera det godkända prestationscertifikatet till HR (på finska)
All personal måste sätta sig in i dataskyddspolicyn, som kan ses på intra. Datasäkerhetsteamets månatliga cyberväder är tillgängligt på teamets informationskanal
Syftet är att hålla en dataskyddseftermiddag för personalen minst två gånger per år, där vanliga dataskyddspraxis och aktuella cybersäkerhetsnyheter granskas.
Riktlinjer gällande datasäkerhet för personal och naturligtvis dataskyddsrelaterade registerutdrag. Syftet är att i början av året genomföra en informationssäkerhetskartläggning och utifrån det planera åtgärder.
Säker post används för att överföra konfidentiella meddelanden som innehåller personlig information. Säker utskrift med kopieringsmaskiner (kräver utskriftskort eller legitimation)
Personalen ska genomgå Tietosuojan ABC julkishallinnon henkilöstölle utbildning för personal inom offentlig förvaltning och lämna in godkänt intyg till personalavdelningen (på finska).
Uppdaterad den 9 april 2024
Skapad av
Informationssäkerhet och cybersäkerhet
Text
Text
Text
Text
Text
Text
Text
Text