Difference: HenkilöstöturvallisuusYleisesti (r3 vs. r2)

Henkilöstöturvallisuus yleisesti

Henkilöstön ja muiden ihmisten tietoturvallisuus tarkoittaa ensinnäkin sitä, että heistä pidetään huolta, jolloin heistä riippuvat tiedotkin ovat siltä osin suojassa. Toisaalta se tarkoittaa siitä huolehtimista, että vain "oikeanlaiset" ihmiset pääsevät asemiin, joissa heidän vastuullaan on tärkeitä tietoja.

VAHTI-sanasto määrittelee käsitteen henkilöstöturvallisuus näin: "Henkilöstöön liittyvien tietoturvariskien hallinta henkilöstön soveltuvuuden, toimenkuvien, sijaisuuksien, tiedonsaanti- ja käyttöoikeuksien?käyttöoikeuksien , suojaamisen, turvallisuuskoulutuksen ja valvonnan osalta."

Perinteisesti suurin osa tietorikoksista tapahtuu "sisäpuolelta" -- tai esim. entisen työntekijän toimesta. Tietoturvallisuudessa pitää siis varautua tällaiseenkin, vaikka tuntuisikin oudolta olla luottamatta työtovereihinsa tai alaisiinsa. Lisäksi on muita turvanäkökulmia. Seuraava kooste perustuu pääosin terveydenhuollon tietoturvaa käsittelevään kirjaan .

Henkilöstöturvallisuustoimenpiteet ulottuvat vakinaisesta ja tilapäisestä henkilökunnasta myös vierailijoihin (ei kuitenkaan palveltaviin asiakkaisiin, matkustajiin yms.) sekä ulkopuolelta ostettuihin palveluihin. Henkilöiden tehtävämäärittelyissä tulee määritellä myös tietoturvaan liittyvät oikeudet, velvollisuudet ja vastuut. Lisäksi pitää muistaa, että

  • jokainen on osaltaan vastuussa tehtäviinsä liittyvästä tietoturvasta ja siihen liittyvästä luottamuksellisuudesta. Tämä mainitaan jo työsopimuksessa ja toimenkuvassa. Yhtenä osana työn määrittelyvaihetta voidaan (varsinkin yritysmaailmassa) tarvita salassapitosopimusta (NDA, 'Non-disclosure agreement'). Sopimusmalleja löytyy PKT-yritysten tietoturvallisuusoppaan liitteestä.
  • uudelle työntekijälle annetaan hänen tehtäväänsä vastaavat käyttöoikeudet sekä perehdytetään hänet toimimaan organisaation tietoturvaperiaatteiden mukaisesti.
  • toiminnan kannalta keskeiset tehtävät ja vastuut jaetaan eri henkilöille. Tämä ei ole kahdentamista vaan nimenomaan jakamista, jolloin väärinkäytösten mahdollisuus pienenee.
  • tietoturvallisuusasioihin perehtyminen ja osaamisen ylläpito järjestetään.
  • kriittisten tehtävien tehtäväkuvaukset dokumentoidaan niin, että joku toinen pystyy niiden avulla suorittamaan ko. tehtävän.
  • asiantuntevien varahenkilöiden määrittely ja kouluttaminen hoidetaan. Harjoittelu on usein tarpeen dokumentoinnista huolimatta.
  • käyttöoikeuksien määrittely toteutetaan kullekin henkilölle työtehtävien, ei organisaatioaseman mukaan.
  • tietoturvallisuushäiriöiden rekisteröinnistä, raportoinnista ja selvittämisestä huolehditaan.
  • työsuhteen päätyttyä huolehditaan, että henkilö palauttaa avaimet, henkilötunnisteet ja henkilökortin, joka hävitetään sekä henkilön käyttöoikeudet poistetaan.

Tässä sanotun lisäksi tietoturvallisuuteen voidaan tietysti vaikuttaa valinnoilla jo työhönoton yhteydessä. Työntekijän tietoon liittyvät oikeudet eivät koske ainoastaan tiedostoja vaan myös prosesseja, esim. sitä, kenellä on oikeus antaa minkäkinlaisia lausuntoja yrityksen nimissä. Oikeuksia voidaan poistaa myös muussa yhteydessä kuin työsuhteen päättyessä tai rikkomusten seurauksena. Yleinen vähimpien oikeuksien periaate (eli "need to know") on toimiva, kunhan oikeuksia ei normaalin kehityksen takia tarvitse yhtenään muuttaa.

-- JukkaKoskinen?

SivuTiedotLaajennettu edit
Vaativuus Perus
ValmiusValmisteilla Valmis
Tyyppi Ydin
LuokitusUhkat Yksilöt
MitäLuottamuksellisuus Useita
MiltäIhmisetön Useita uhka
Missä Organisaatio
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa

View topic | View difference side by side | History: r3 < r2 < r1 | More topic actions
 
Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback