ABCDE
1
Tietoturvavaatimukset
Liite 5 Tietoturvavaatimukset
2
3
4
Palvelun tulee täyttää tietoturvallisuuden perustason osalta KATAKRIn tai PITUKRIn mukaiset vaatimukset siltä osin kuin edellytettäisiin suojaustasoa IV vastaavien tietojen ja asiakirjojen käsittelyltä. Siltä osin kuin palvelussa käsitellään terveystietoja tai laajamittaisesti perustason henkilötietoja tietojen kasautumisen vuoksi, tulee palvelun täyttää tietoturvan korotetun tason osalta KATAKRIn tai PITUKRIn mukaiset vaatimukset siltä osin kuin edellytettäisiin suojaustasoa III vastaavien tietojen ja asiakirjojen käsittelyltä. Toimittaja sitoutuu täyttämään vähintään kaikki tällä välilehdellä olevat vaatimukset sekä KATAKRI:sta tai PITUKRI:sta muut minimivaatimukset Asiakkaalle palvelua tuottaessaan. Sarakkeissa "ICT Palvelu" ja "Konsultointi ja muu ICT asiantuntijatyö" on kuvattu, miten vaatimukset kohdistuvat erityyppisiin palveluihin. Palvelusta tulee laatia tietoturvariskiarvio ja tietosuoja-asetuksen mukainen tietosuojaa koskeva vaikutustenarviointi. Vaatimukset koskevat myös mobiilisovellusta soveltuvin osin. Palvelun käytössä tulee huomioida tiedonhallintalaki ja siihen liittyvät suosituskortit, erityisesti kortit "lokitietojen kerääminen ja elinkaarihallinta". ICT palvelun osalta

Toimittaja sitoutuu liitteen mukaisten seikkojen toteuttamiseen niiltä osin, kuin Toimittaja vastaa ICT palvelun tai testiympäristön tuottamisesta tai ylläpidosta. Toimittaja sitoutuu siihen, että suunniteltavan ratkaisun avulla pystytään toteuttamaan ICT palvelulle tässä liitteessä asetetut vaatimukset.
5
Asiakas voi täsmentää ja tarkentaa tällä välilehdellä esitettyjä vaatimuksia dynaamisen hankintajärjestelmän sisäisessä kilpailutuksessaan. Lisäksi Asiakas voi asettaa sisäisen kilpailutuksen tarjouspyynnössään myös muita tietoturvavaatimuksia. Asiakkaalla on oikeus auditoida tietoturvavaatimusten täyttyminen. Hanselin auditointioikeudesta on sovittu dynaamiseen hankintajärjestelmään osallistumista koskevassa sopimuksessa.
6
Mikäli muuta ei mainita, Toimittajan (ei Asiakkaan) tulee suorittaa tässä taulukossa kuvatut toimenpiteet, jotka kohdistuvat hankinnan kohteeseen eli palveluun.
7
8
TunnisteToimittajaan kohdistuva vaatimus, perustasoICT Palvelu, sis.ohjelmistoylläpitoKonsultointi ja muu ICT asiantuntijatyö
9
xx
10
OSA 1 Tietoturvallisuuden hallinnan vaatimukset
11
12
1.1: Johtajuudelle asetettavat vaatimukset
13
14
15
1.1.1Mikäli hankinnan kohdetta koskeva lainsäädäntö muuttuu, toimittaja sitoutuu tiedottamaan muutoksesta hankinnan kohteen tuottamisesta vastaavalle henkilöstölleen sekä alihankkijoilleen hankinnan kohteen tuottamisen edellyttämässä laajuudessa.XX
16
1.1.2Toimittaja määrittelee hankinnan kohteeseen liittyvät toimittajan prosessien vastuut ja tehtävät hankinnan edellyttämällä tavalla. Prosessin vastuissa Toimittajan on huomioitava hankinnan kohteeseen ja sen jatkuvuuteen oleellisesti vaikuttavat ulkoiset ja sisäiset tekijät. XX
17
1.1.3Toimittajalla on kirjallinen Asiakkaan hyväksymä tietoturvamenettely, jota Toimittaja noudattaa käsitellessään hankinnan kohteeseen liittyvää tietoa.XX
18
1.1.4Toimittaja kuvaa hankinnan kohteen tietoturvallisuuteen, jatkuvuuteen ja tietosuojaan liittyvät tehtävät ja nimeää niihin vastuu- ja varahenkilöt. XX
19
1.1.5Toimittaja nimeää henkilöt hankinnan kohteeseen liittyvien tietoturvapoikkeamien käsittelyyn. XX
20
1.1.6Toimittaja reagoi hankinnan kohteeseen liittyviin tietoturvapoikkeamiin viivytyksettä, ryhtyy niiden johdosta asianmukaisiin toimenpiteisiin, pitää niistä kirjaa ja raportoi ne Asiakkaalle. Henkilötietojen suojan vaarantuminen on aina vakava poikkeama, josta on ilmoitettava Asiakkaalle ilman aiheetonta viivytystä.XX
21
1.1.7Toimittaja noudattaa Asiakkaan tekemää tehtävien, palveluiden ja resurssien käytön priorisointia hankinnan kohteen häiriötilanteissa, jos Asiakas on priorisoinnin tehnyt. Muussa tapauksessa Toimittaja priorisoi tehtävät, palvelut ja resurssien käytön itse. X
22
1.1.8Toimittaja ja Asiakas kokoontuvat säännöllisesti käsittelemään hankinnan kohteen jatkuvuuden ja tiedon turvaamisen tilannetta, riskejä, linjauksia ja periaatteita sekä toteutumista ja koordinaatiota.X
23
1.1.9Toimittaja raportoi Asiakkaalle sovittujen, hankinnan kohteeseen liittyvien tietoturvallisuuden ja jatkuvuudenhallinnan kehittämistoimenpiteiden edistymisestä normaalin raportoinnin osana.X
24
1.2: Toiminnan suunnittelulle asetettavat vaatimukset
25
26
27
1.2.1Toimittaja seuraa tietoturvallisuudesta annettujen ohjeiden noudattamista ja puuttuu havaitsemiinsa poikkeamiin.
XX
28
1.2.2Toimittaja parantaa tietoturvallisuutta riskiarvioinnin perusteella Asiakkaan kanssa yhdessä sovitulla tavalla.XX
29
1.2.3Toimittajalla on menettely, jolla se huolehtii hankinnan kohteeseen liittyvien sähköisten viestien, sähköpostien, tunnistamistietojen sekä paikkatietojen luottamuksellisuudesta ja oikeasta käsittelystä myös tietoturvapoikkeamatilanteita selvitettäessä.XX
30
1.2.4Toimittaja tuhoaa hävitettäväksi tarkoitetut asiakirjat niin, että niiden luottamuksellisuus ja tietosuoja on varmistettu.XX
31
1.2.5Mikäli Toimittaja käyttää alihankkijoita, se sitoutuu vastaamaan alihankkijoidensa suorituksista kuten omistaan. Toimittaja tekee alihankkijoidensa kanssa sopimukset, joissa määritellään myös yhteistyön tai hankinnan kohteen tietoturvavaatimukset alihankinnan osalta sekä se, miten hankinnan kohdetta koskeva tietoturvallisuuden valvonta, seuranta, auditointi ja raportointi tapahtuu.XX
32
1.2.6Toimittaja valvoo hankittavan palvelun tietoturvallisuuden toteutumista. Toimittaja velvoittaa myös alihankkijansa myötävaikuttamaan tämän vaatimuksen toteutumiseen.XX
33
1.3: Henkilöstölle asetettavat vaatimukset
34
35
36
1.3.1Toimittaja antaa luottamuksellisen ja salassa pidettävän aineiston vain niiden henkilöiden saataville, jotka tarvitsevat tietoa palvelun tuottamisessa Asiakkaalle ja huolehtii siitä, että kyseiset henkilöt tietävät, miten aineistoa koskevasta tietoturvallisuudesta ja tietosuojasta huolehditaan. Asiakkaan vaatimuksesta Toimittaja ylläpitää luetteloa salassapidettävää tietoa ja henkilötietoa käsittelevistä henkilöistä.
XX
37
1.3.2Toimittaja huolehtii siitä, että hankinnan kohteen tuottamiseen osallistuva henkilöstö tietää kenelle hankinnan kohteeseen kohdistuvista tietoturvapoikkeamista ja -tapauksista tai niiden uhkista tulee ilmoittaa.XX
38
1.3.3Toimittaja vastaa siitä että hankinnan kohteeseen liittyvä henkilöstö on koulutettu tehtäviinsä myös tietoturvallisuuden ja tietosuojan osalta. Toimittaja kehittää ja ylläpitää kyseisen henkilöstön osaamista ja tiedottaa henkilöstölle muuttuneista ohjeista ja -käytännöistä.XX
39
1.4: Kumppanuuksille ja resurssien hallinnalle asetettavat vaatimukset
40
41
42
1.4.1Toimittaja pitää kirjaa palvelua koskevien auditointien tai arviointien lopputuloksena tulevista suosituksista ja seuraa parannustoimenpiteiden toteutumista. XX
43
1.4.2Palvelussa tulee voida käsitellä arkaluonteisia henkilötietoja sisältäviä ja suojaustason IV mukaisia aineistoja. XX
44
x
45
OSA 2: Tietojärjestelmien hallinnan vaatimukset
46
47
2.2: Omaisuuden hallinta
48
49
50
2.2.1Toimittaja raportoi hankinnan kohteena olevan palvelun tuottamiseen käytettäviin, vastuullaan olevien tietojärjestelmien ja niiden hallinnan tietoturvallisuuden tilasta Asiakkaalle säännöllisesti (vähintään kerran vuodessa).X
51
2.2.2Toimittaja luetteloi hankinnan kohteena olevan palvelun toteuttamiseen käytettävät fyysiset ja virtuaaliset laitteet, tietojärjestelmät, palvelut, ohjelmistot, virtuaalipalvelimet ja lisenssit.X
52
2.3: Tietojenkäsittely-ympäristöt
53
54
55
2.3.1Toimittaja tunnistaa ja kuvaa hankinnan kohteeseen liittyvien tietojen käsittelyyn liittyvät toimintaympäristöt (esimerkiksi toimitilat, kehitys-, testi- ja tuotantoympäristöt), niihin kuuluvat järjestelmät ja toiminnot. Toimittaja toimittaa Asiakkaalle tämän pyynnöstä selvityksen hankinnan kohteen toimintaympäristöistä.X
56
2.3.2Toimittaja tunnistaa kunkin hankinnan kohteeseen liittyvän toimintaympäristön erityisvaatimukset ja tavoitteet tietoturvallisuuden osalta. Toimittaja huolehtii siitä, että turvallisuusperiaatteet ja ohjeistukset ovat organisaation ja suojattavien kohteiden kannalta kattavat ja tarkoituksenmukaiset.X
57
2.3.3Toimittaja päästää hankinnan kohteeseen liittyviin laitetiloihinsa vain niitä henkilöitä, joiden työnkuvaan se kuuluu. X
58
2.3.4Toimittaja organisoi ja vastuuttaa hankinnan kohteena olevan palvelun tuottamiseen käytettävien laitteiden, tietojärjestelmien, palvelujen ja ohjelmistojen luetteloinnin ja kuvausten päivityksen.X
59
2.3.5Toimittaja vastuuttaa ja organisoi hankinnan kohteen tuottamisessa käytettävien laitteiden ja tietojärjestelmien päivitys- ja muutostarpeen seurannan, päivityspäätösten teon ja päivitysten asennuksen erityisesti tietoturvapäivitysten osalta.X
60
2.3.6Toimittaja ja Asiakas sopivat yhdessä, mitkä hankinnan kohdetta koskevat ohjelmistopäivitykset voidaan ajaa välittömästi ilman erillistä sopimista ja mitkä edellyttävät riskitason mukaista tarveharkintaa.X
61
2.3.7Toimittaja tunnistaa ja eriyttää hankintaan liittyvän Toimittajan vastuulla olevan tietoverkon eri suojaustasoa vaativat osat. X
62
2.3.8Toimittaja vastuuttaa, dokumentoi ja organisoi hankinnan kohteeseen liittyvien palomuurien ja muiden tietoliikennelaitteiden säännöt ja niiden lisäämisen, muuttamisen ja poistamisen.X
63
2.3.9Toimittaja valvoo hallinnassaan olevia hankinnan kohteeseen liittyviä palveluita, järjestelmiä ja verkkoja sekä niiden rajapintoja muihin palveluihin, järjestelmiin ja verkkoihin.X
64
2.3.10Toimittaja varmistaa, että hankinnan kohteeseen liittyvät laitteet, ohjelmistot sekä tietojärjestelmät tekevät riittäviä lokeja ja kirjausketjuja toiminnastaan.X
65
2.4: Käyttäjien ja käyttövaltuuksien hallinta
66
67
68
2.4.1Asiakkaalla on oikeus päättää, kuinka luotettavaa identiteettiä ja vahvaa tunnistamista hankinnan kohteena olevan järjestelmän sisältämien tietojen käyttöön tarvitaan. Tästä mahdollisesti aiheutuvista kustannuksista sovitaan erikseen. X
69
2.4.2Mikäli järjestelmässä on sisäänkirjautumisvaatimuksia tai -toiminnallisuuksia, hankinnan kohteena oleva tai siihen liittyvä tietojärjestelmä kirjoittaa lokiin sekä onnistuneet että epäonnistuneet sisäänkirjautumiset niin, että yksittäisen käyttäjän kirjautumiset järjestelmään voidaan selvittää ja yhdistää hänen henkilöllisyyteensä luotettavasti.X
70
2.4.3Hankittavan palvelun tunnusten ja valtuuksien myöntö, muuttaminen ja poisto organisoidaan Asiakkaan kanssa yhdessä sovittavalla tavalla.X
71
2.4.4Käyttövaltuudet Toimittajan tietojärjestelmiin, jotka liittyvät hankinnan kohteeseen, perustuvat kirjalliseen sopimukseen tai palvelussuhteeseen ja järjestelmien käyttö estetään teknisesti ilman tarpeetonta viivytystä, kun tämä peruste on päättynyt (esim. Toimittajan työntekijän vaihdettua työpaikkaa).X
72
2.4.5Siltä osin kuin hankinnan kohteesen liittyy käyttäjähallintaan liittyviä ominaisuuksia tai palveluja, yksittäisen käyttäjän käyttövaltuudet hankinnan kohteeseen liittyviin tietojärjestelmiin voidaan selvittää.X
73
2.10: Varmuuskopiointi
74
75
76
2.10.1Toimittaja organisoi ja vastuuttaa hankinnan kohteeseen liittyvän varmuuskopioiden ottamisen, jos varmuuskopiointi on sovittu Toimittajan vastuulle. Toimittaja suunnittelee myös varmuuskopioiden palauttamisen.

X
77
2.10.2Henkilötietoja ja muuta luokiteltua tietoa sisältävät varmuuskopiot suojataan niiden elinkaaren ajan vähintään vastaavan tasoisilla menetelmillä, kuin millä alkuperäinen tieto on suojattu.X
78
2.10.3Varmuuskopioon tulee olla pääsy vain nimetyillä ja tunnistetuilla henkilöillä. Varmuuskopiot tulee suojata fyysisen ja loogisen pääsynhallinnan menetelmin tiedon suojaustasoa vastaavasti. X
79
2.11: Tietojärjestelmien toipuminen häiriöstä
80
81
82
2.11.1Toimittaja organisoi ja vastuuttaa hankittavan järjestelmäkokonaisuuden häiriöiden selvittämisen ja niistä toipumisen hankinnan kohteeseen liittyen.X
83
2.11.2Toimittaja laatii tärkeimpien palveluun liittyvien järjestelmien häiriöille yleisen toipumisstrategian ja -suunnitelman.X
84
2.11.3Toimittaja laatii yhdessä Asiakkaan kanssa ohjeistuksen häiriötilanteiden varalle ja kouluttaa sen hankinnan kohteen tuottamiseen osallistuvalle henkilöstölle, sekä ulottaa sen sopimusvelvoittein hankinnan kohteeseen liittyvään alihankkijaverkostoonsa.X