| A | B | C | D | E | |
|---|---|---|---|---|---|
1 | Tietoturvavaatimukset | Liite 5 Tietoturvavaatimukset | |||
2 | |||||
3 | |||||
4 | Palvelun tulee täyttää tietoturvallisuuden perustason osalta KATAKRIn tai PITUKRIn mukaiset vaatimukset siltä osin kuin edellytettäisiin suojaustasoa IV vastaavien tietojen ja asiakirjojen käsittelyltä. Siltä osin kuin palvelussa käsitellään terveystietoja tai laajamittaisesti perustason henkilötietoja tietojen kasautumisen vuoksi, tulee palvelun täyttää tietoturvan korotetun tason osalta KATAKRIn tai PITUKRIn mukaiset vaatimukset siltä osin kuin edellytettäisiin suojaustasoa III vastaavien tietojen ja asiakirjojen käsittelyltä. Toimittaja sitoutuu täyttämään vähintään kaikki tällä välilehdellä olevat vaatimukset sekä KATAKRI:sta tai PITUKRI:sta muut minimivaatimukset Asiakkaalle palvelua tuottaessaan. Sarakkeissa "ICT Palvelu" ja "Konsultointi ja muu ICT asiantuntijatyö" on kuvattu, miten vaatimukset kohdistuvat erityyppisiin palveluihin. Palvelusta tulee laatia tietoturvariskiarvio ja tietosuoja-asetuksen mukainen tietosuojaa koskeva vaikutustenarviointi. Vaatimukset koskevat myös mobiilisovellusta soveltuvin osin. Palvelun käytössä tulee huomioida tiedonhallintalaki ja siihen liittyvät suosituskortit, erityisesti kortit "lokitietojen kerääminen ja elinkaarihallinta". ICT palvelun osalta Toimittaja sitoutuu liitteen mukaisten seikkojen toteuttamiseen niiltä osin, kuin Toimittaja vastaa ICT palvelun tai testiympäristön tuottamisesta tai ylläpidosta. Toimittaja sitoutuu siihen, että suunniteltavan ratkaisun avulla pystytään toteuttamaan ICT palvelulle tässä liitteessä asetetut vaatimukset. | ||||
5 | Asiakas voi täsmentää ja tarkentaa tällä välilehdellä esitettyjä vaatimuksia dynaamisen hankintajärjestelmän sisäisessä kilpailutuksessaan. Lisäksi Asiakas voi asettaa sisäisen kilpailutuksen tarjouspyynnössään myös muita tietoturvavaatimuksia. Asiakkaalla on oikeus auditoida tietoturvavaatimusten täyttyminen. Hanselin auditointioikeudesta on sovittu dynaamiseen hankintajärjestelmään osallistumista koskevassa sopimuksessa. | ||||
6 | Mikäli muuta ei mainita, Toimittajan (ei Asiakkaan) tulee suorittaa tässä taulukossa kuvatut toimenpiteet, jotka kohdistuvat hankinnan kohteeseen eli palveluun. | ||||
7 | |||||
8 | Tunniste | Toimittajaan kohdistuva vaatimus, perustaso | ICT Palvelu, sis.ohjelmistoylläpito | Konsultointi ja muu ICT asiantuntijatyö | |
9 | x | x | |||
10 | OSA 1 Tietoturvallisuuden hallinnan vaatimukset | ||||
11 | |||||
12 | 1.1: Johtajuudelle asetettavat vaatimukset | ||||
13 | |||||
14 | |||||
15 | 1.1.1 | Mikäli hankinnan kohdetta koskeva lainsäädäntö muuttuu, toimittaja sitoutuu tiedottamaan muutoksesta hankinnan kohteen tuottamisesta vastaavalle henkilöstölleen sekä alihankkijoilleen hankinnan kohteen tuottamisen edellyttämässä laajuudessa. | X | X | |
16 | 1.1.2 | Toimittaja määrittelee hankinnan kohteeseen liittyvät toimittajan prosessien vastuut ja tehtävät hankinnan edellyttämällä tavalla. Prosessin vastuissa Toimittajan on huomioitava hankinnan kohteeseen ja sen jatkuvuuteen oleellisesti vaikuttavat ulkoiset ja sisäiset tekijät. | X | X | |
17 | 1.1.3 | Toimittajalla on kirjallinen Asiakkaan hyväksymä tietoturvamenettely, jota Toimittaja noudattaa käsitellessään hankinnan kohteeseen liittyvää tietoa. | X | X | |
18 | 1.1.4 | Toimittaja kuvaa hankinnan kohteen tietoturvallisuuteen, jatkuvuuteen ja tietosuojaan liittyvät tehtävät ja nimeää niihin vastuu- ja varahenkilöt. | X | X | |
19 | 1.1.5 | Toimittaja nimeää henkilöt hankinnan kohteeseen liittyvien tietoturvapoikkeamien käsittelyyn. | X | X | |
20 | 1.1.6 | Toimittaja reagoi hankinnan kohteeseen liittyviin tietoturvapoikkeamiin viivytyksettä, ryhtyy niiden johdosta asianmukaisiin toimenpiteisiin, pitää niistä kirjaa ja raportoi ne Asiakkaalle. Henkilötietojen suojan vaarantuminen on aina vakava poikkeama, josta on ilmoitettava Asiakkaalle ilman aiheetonta viivytystä. | X | X | |
21 | 1.1.7 | Toimittaja noudattaa Asiakkaan tekemää tehtävien, palveluiden ja resurssien käytön priorisointia hankinnan kohteen häiriötilanteissa, jos Asiakas on priorisoinnin tehnyt. Muussa tapauksessa Toimittaja priorisoi tehtävät, palvelut ja resurssien käytön itse. | X | ||
22 | 1.1.8 | Toimittaja ja Asiakas kokoontuvat säännöllisesti käsittelemään hankinnan kohteen jatkuvuuden ja tiedon turvaamisen tilannetta, riskejä, linjauksia ja periaatteita sekä toteutumista ja koordinaatiota. | X | ||
23 | 1.1.9 | Toimittaja raportoi Asiakkaalle sovittujen, hankinnan kohteeseen liittyvien tietoturvallisuuden ja jatkuvuudenhallinnan kehittämistoimenpiteiden edistymisestä normaalin raportoinnin osana. | X | ||
24 | 1.2: Toiminnan suunnittelulle asetettavat vaatimukset | ||||
25 | |||||
26 | |||||
27 | 1.2.1 | Toimittaja seuraa tietoturvallisuudesta annettujen ohjeiden noudattamista ja puuttuu havaitsemiinsa poikkeamiin. | X | X | |
28 | 1.2.2 | Toimittaja parantaa tietoturvallisuutta riskiarvioinnin perusteella Asiakkaan kanssa yhdessä sovitulla tavalla. | X | X | |
29 | 1.2.3 | Toimittajalla on menettely, jolla se huolehtii hankinnan kohteeseen liittyvien sähköisten viestien, sähköpostien, tunnistamistietojen sekä paikkatietojen luottamuksellisuudesta ja oikeasta käsittelystä myös tietoturvapoikkeamatilanteita selvitettäessä. | X | X | |
30 | 1.2.4 | Toimittaja tuhoaa hävitettäväksi tarkoitetut asiakirjat niin, että niiden luottamuksellisuus ja tietosuoja on varmistettu. | X | X | |
31 | 1.2.5 | Mikäli Toimittaja käyttää alihankkijoita, se sitoutuu vastaamaan alihankkijoidensa suorituksista kuten omistaan. Toimittaja tekee alihankkijoidensa kanssa sopimukset, joissa määritellään myös yhteistyön tai hankinnan kohteen tietoturvavaatimukset alihankinnan osalta sekä se, miten hankinnan kohdetta koskeva tietoturvallisuuden valvonta, seuranta, auditointi ja raportointi tapahtuu. | X | X | |
32 | 1.2.6 | Toimittaja valvoo hankittavan palvelun tietoturvallisuuden toteutumista. Toimittaja velvoittaa myös alihankkijansa myötävaikuttamaan tämän vaatimuksen toteutumiseen. | X | X | |
33 | 1.3: Henkilöstölle asetettavat vaatimukset | ||||
34 | |||||
35 | |||||
36 | 1.3.1 | Toimittaja antaa luottamuksellisen ja salassa pidettävän aineiston vain niiden henkilöiden saataville, jotka tarvitsevat tietoa palvelun tuottamisessa Asiakkaalle ja huolehtii siitä, että kyseiset henkilöt tietävät, miten aineistoa koskevasta tietoturvallisuudesta ja tietosuojasta huolehditaan. Asiakkaan vaatimuksesta Toimittaja ylläpitää luetteloa salassapidettävää tietoa ja henkilötietoa käsittelevistä henkilöistä. | X | X | |
37 | 1.3.2 | Toimittaja huolehtii siitä, että hankinnan kohteen tuottamiseen osallistuva henkilöstö tietää kenelle hankinnan kohteeseen kohdistuvista tietoturvapoikkeamista ja -tapauksista tai niiden uhkista tulee ilmoittaa. | X | X | |
38 | 1.3.3 | Toimittaja vastaa siitä että hankinnan kohteeseen liittyvä henkilöstö on koulutettu tehtäviinsä myös tietoturvallisuuden ja tietosuojan osalta. Toimittaja kehittää ja ylläpitää kyseisen henkilöstön osaamista ja tiedottaa henkilöstölle muuttuneista ohjeista ja -käytännöistä. | X | X | |
39 | 1.4: Kumppanuuksille ja resurssien hallinnalle asetettavat vaatimukset | ||||
40 | |||||
41 | |||||
42 | 1.4.1 | Toimittaja pitää kirjaa palvelua koskevien auditointien tai arviointien lopputuloksena tulevista suosituksista ja seuraa parannustoimenpiteiden toteutumista. | X | X | |
43 | 1.4.2 | Palvelussa tulee voida käsitellä arkaluonteisia henkilötietoja sisältäviä ja suojaustason IV mukaisia aineistoja. | X | X | |
44 | x | ||||
45 | OSA 2: Tietojärjestelmien hallinnan vaatimukset | ||||
46 | |||||
47 | 2.2: Omaisuuden hallinta | ||||
48 | |||||
49 | |||||
50 | 2.2.1 | Toimittaja raportoi hankinnan kohteena olevan palvelun tuottamiseen käytettäviin, vastuullaan olevien tietojärjestelmien ja niiden hallinnan tietoturvallisuuden tilasta Asiakkaalle säännöllisesti (vähintään kerran vuodessa). | X | ||
51 | 2.2.2 | Toimittaja luetteloi hankinnan kohteena olevan palvelun toteuttamiseen käytettävät fyysiset ja virtuaaliset laitteet, tietojärjestelmät, palvelut, ohjelmistot, virtuaalipalvelimet ja lisenssit. | X | ||
52 | 2.3: Tietojenkäsittely-ympäristöt | ||||
53 | |||||
54 | |||||
55 | 2.3.1 | Toimittaja tunnistaa ja kuvaa hankinnan kohteeseen liittyvien tietojen käsittelyyn liittyvät toimintaympäristöt (esimerkiksi toimitilat, kehitys-, testi- ja tuotantoympäristöt), niihin kuuluvat järjestelmät ja toiminnot. Toimittaja toimittaa Asiakkaalle tämän pyynnöstä selvityksen hankinnan kohteen toimintaympäristöistä. | X | ||
56 | 2.3.2 | Toimittaja tunnistaa kunkin hankinnan kohteeseen liittyvän toimintaympäristön erityisvaatimukset ja tavoitteet tietoturvallisuuden osalta. Toimittaja huolehtii siitä, että turvallisuusperiaatteet ja ohjeistukset ovat organisaation ja suojattavien kohteiden kannalta kattavat ja tarkoituksenmukaiset. | X | ||
57 | 2.3.3 | Toimittaja päästää hankinnan kohteeseen liittyviin laitetiloihinsa vain niitä henkilöitä, joiden työnkuvaan se kuuluu. | X | ||
58 | 2.3.4 | Toimittaja organisoi ja vastuuttaa hankinnan kohteena olevan palvelun tuottamiseen käytettävien laitteiden, tietojärjestelmien, palvelujen ja ohjelmistojen luetteloinnin ja kuvausten päivityksen. | X | ||
59 | 2.3.5 | Toimittaja vastuuttaa ja organisoi hankinnan kohteen tuottamisessa käytettävien laitteiden ja tietojärjestelmien päivitys- ja muutostarpeen seurannan, päivityspäätösten teon ja päivitysten asennuksen erityisesti tietoturvapäivitysten osalta. | X | ||
60 | 2.3.6 | Toimittaja ja Asiakas sopivat yhdessä, mitkä hankinnan kohdetta koskevat ohjelmistopäivitykset voidaan ajaa välittömästi ilman erillistä sopimista ja mitkä edellyttävät riskitason mukaista tarveharkintaa. | X | ||
61 | 2.3.7 | Toimittaja tunnistaa ja eriyttää hankintaan liittyvän Toimittajan vastuulla olevan tietoverkon eri suojaustasoa vaativat osat. | X | ||
62 | 2.3.8 | Toimittaja vastuuttaa, dokumentoi ja organisoi hankinnan kohteeseen liittyvien palomuurien ja muiden tietoliikennelaitteiden säännöt ja niiden lisäämisen, muuttamisen ja poistamisen. | X | ||
63 | 2.3.9 | Toimittaja valvoo hallinnassaan olevia hankinnan kohteeseen liittyviä palveluita, järjestelmiä ja verkkoja sekä niiden rajapintoja muihin palveluihin, järjestelmiin ja verkkoihin. | X | ||
64 | 2.3.10 | Toimittaja varmistaa, että hankinnan kohteeseen liittyvät laitteet, ohjelmistot sekä tietojärjestelmät tekevät riittäviä lokeja ja kirjausketjuja toiminnastaan. | X | ||
65 | 2.4: Käyttäjien ja käyttövaltuuksien hallinta | ||||
66 | |||||
67 | |||||
68 | 2.4.1 | Asiakkaalla on oikeus päättää, kuinka luotettavaa identiteettiä ja vahvaa tunnistamista hankinnan kohteena olevan järjestelmän sisältämien tietojen käyttöön tarvitaan. Tästä mahdollisesti aiheutuvista kustannuksista sovitaan erikseen. | X | ||
69 | 2.4.2 | Mikäli järjestelmässä on sisäänkirjautumisvaatimuksia tai -toiminnallisuuksia, hankinnan kohteena oleva tai siihen liittyvä tietojärjestelmä kirjoittaa lokiin sekä onnistuneet että epäonnistuneet sisäänkirjautumiset niin, että yksittäisen käyttäjän kirjautumiset järjestelmään voidaan selvittää ja yhdistää hänen henkilöllisyyteensä luotettavasti. | X | ||
70 | 2.4.3 | Hankittavan palvelun tunnusten ja valtuuksien myöntö, muuttaminen ja poisto organisoidaan Asiakkaan kanssa yhdessä sovittavalla tavalla. | X | ||
71 | 2.4.4 | Käyttövaltuudet Toimittajan tietojärjestelmiin, jotka liittyvät hankinnan kohteeseen, perustuvat kirjalliseen sopimukseen tai palvelussuhteeseen ja järjestelmien käyttö estetään teknisesti ilman tarpeetonta viivytystä, kun tämä peruste on päättynyt (esim. Toimittajan työntekijän vaihdettua työpaikkaa). | X | ||
72 | 2.4.5 | Siltä osin kuin hankinnan kohteesen liittyy käyttäjähallintaan liittyviä ominaisuuksia tai palveluja, yksittäisen käyttäjän käyttövaltuudet hankinnan kohteeseen liittyviin tietojärjestelmiin voidaan selvittää. | X | ||
73 | 2.10: Varmuuskopiointi | ||||
74 | |||||
75 | |||||
76 | 2.10.1 | Toimittaja organisoi ja vastuuttaa hankinnan kohteeseen liittyvän varmuuskopioiden ottamisen, jos varmuuskopiointi on sovittu Toimittajan vastuulle. Toimittaja suunnittelee myös varmuuskopioiden palauttamisen. | X | ||
77 | 2.10.2 | Henkilötietoja ja muuta luokiteltua tietoa sisältävät varmuuskopiot suojataan niiden elinkaaren ajan vähintään vastaavan tasoisilla menetelmillä, kuin millä alkuperäinen tieto on suojattu. | X | ||
78 | 2.10.3 | Varmuuskopioon tulee olla pääsy vain nimetyillä ja tunnistetuilla henkilöillä. Varmuuskopiot tulee suojata fyysisen ja loogisen pääsynhallinnan menetelmin tiedon suojaustasoa vastaavasti. | X | ||
79 | 2.11: Tietojärjestelmien toipuminen häiriöstä | ||||
80 | |||||
81 | |||||
82 | 2.11.1 | Toimittaja organisoi ja vastuuttaa hankittavan järjestelmäkokonaisuuden häiriöiden selvittämisen ja niistä toipumisen hankinnan kohteeseen liittyen. | X | ||
83 | 2.11.2 | Toimittaja laatii tärkeimpien palveluun liittyvien järjestelmien häiriöille yleisen toipumisstrategian ja -suunnitelman. | X | ||
84 | 2.11.3 | Toimittaja laatii yhdessä Asiakkaan kanssa ohjeistuksen häiriötilanteiden varalle ja kouluttaa sen hankinnan kohteen tuottamiseen osallistuvalle henkilöstölle, sekä ulottaa sen sopimusvelvoittein hankinnan kohteeseen liittyvään alihankkijaverkostoonsa. | X | ||