SFS-ISO/IEC 29151:2018

Soveltamisala

Tässä suosituksessa | kansainvälisessä standardissa esitellään hallintatavoitteet, hallintakeinot ja hallintakeinojen toteuttamisohjeet, jotka mahdollistavat riskien ja vaikutusten arvioinnissa tunnistettujen henkilötietojen suojaamiseen liittyvien vaatimusten täyttämisen.
Tämä suositus | kansainvälinen standardi sisältää ohjeita, jotka perustuvat standardiin ISO/IEC 27002. Niissä huomioidaan henkilötietojen käsittelyä koskevat vaatimukset, jotka voivat ovat sovellettavissa organisaation tietoturvariskiympäristössä tai -ympäristöissä.
Tätä suositusta | kansainvälistä standardia voivat soveltaa kaikentyyppiset ja -kokoiset (standardin ISO/IEC 29100 määrittelyjen mukaiset) rekisterinpitäjinä toimivat organisaatiot, kuten henkilötietoja käsittelevät julkiset ja yksityiset yritykset, valtion virastot ja voittoa tavoittelemattomat organisaatiot.

Tämän julkaisun valmistelusta Suomessa vastaa SFS Suomen Standardit, puh. 09 149 9331.

Sisällysluettelo

Esipuhe
Johdanto
1 Soveltamisala
2 Velvoittavat viittaukset
3 Määritelmät ja lyhenteet

3.1 Määritelmät
3.2 Lyhenteet

4 Yleiskatsaus

4.1 Henkilötietojen suojaamisen tavoite
4.2 Henkilötietojen suojaamista koskevat vaatimukset
4.3 Hallintakeinot
4.4 Hallintakeinojen valinta
4.5 Organisaatiokohtaisen ohjeistuksen laatiminen
4.6 Elinkaarta koskevat näkökohdat
4.7 Tämän standardin rakenne

5 Tietoturvapolitiikat

5.1 Johdon ohjaus tietoturvallisuutta koskevissa asioissa

6 Tietoturvallisuuden organisointi

6.1 Sisäinen organisaatio
6.2 Mobiililaitteet ja etätyö

7 Henkilöstöturvallisuus

7.1 Ennen työsuhteen alkua
7.2 Työsuhteen aikana
7.3 Työsuhteen päättyminen tai muuttuminen

8 Omaisuuden hallinta

8.1 Vastuu suojattavasta omaisuudesta
8.2 Tietojen luokittelu
8.3 Tietovälineiden käsittely

9 Pääsynhallinta

9.1 Pääsynhallinnan liiketoiminnalliset vaatimukset
9.2 Pääsyoikeuksien hallinta
9.3 Käyttäjän vastuut
9.4 Järjestelmien ja sovellusten pääsynhallinta

10 Salaus

10.1 Salauksen hallinta

11 Fyysinen turvallisuus ja ympäristön turvallisuus

11.1 Turva-alueet
11.2 Laitteet

12 Käyttöturvallisuus

12.1 Toimintaohjeet ja velvollisuudet
12.2 Haittaohjelmilta suojautuminen
12.3 Varmuuskopiointi
12.4 Kirjaaminen ja seuranta
12.5 Tuotantokäytössä olevien ohjelmistojen hallinta
12.6 Teknisten haavoittuvuuksien hallinta
12.7 Tietojärjestelmien auditointinäkökohtia

13 Viestintäturvallisuus

13.1 Verkon turvallisuuden hallinta
13.2 Tietojen siirtäminen

14 Järjestelmien hankkiminen, kehittäminen ja ylläpito

14.1 Tietojärjestelmiä koskevat turvallisuusvaatimukset
14.2 Kehitys- ja tukiprosessien turvallisuus
14.3 Testiaineisto

15 Suhteet toimittajiin

15.1 Tietoturvallisuus toimittajasuhteissa
15.2 Toimittajien palveluiden hallinta

16 Tietoturvahäiriöiden hallinta

16.1 Tietoturvahäiriöiden ja tietoturvallisuuden parannusten hallinta

17 Liiketoiminnan jatkuvuuden hallintaan liittyviä tietoturvanäkökohtia

17.1 Tietoturvallisuuden jatkuvuus
17.2 Vikasietoisuus

18 Vaatimustenmukaisuus

18.1 Lainsäädäntöön ja sopimuksiin sisältyvien vaatimusten noudattaminen
18.2 Tietoturvallisuuden katselmoinnit

Liite A Henkilötietojen suojaamisen laajennettu hallintakeinojoukko(Tämä liite on olennainen osa tätä suositusta | kansainvälistä standardia.)

Kirjallisuus

Näytä kaikki

Esipuhe
Johdanto
1 Soveltamisala
2 Velvoittavat viittaukset
3 Määritelmät ja lyhenteet

3.1 Määritelmät
3.2 Lyhenteet

4 Yleiskatsaus

4.1 Henkilötietojen suojaamisen tavoite
4.2 Henkilötietojen suojaamista koskevat vaatimukset
4.3 Hallintakeinot
4.4 Hallintakeinojen valinta
4.5 Organisaatiokohtaisen ohjeistuksen laatiminen
4.6 Elinkaarta koskevat näkökohdat
4.7 Tämän standardin rakenne

5 Tietoturvapolitiikat

5.1 Johdon ohjaus tietoturvallisuutta koskevissa asioissa

6 Tietoturvallisuuden organisointi

6.1 Sisäinen organisaatio
6.2 Mobiililaitteet ja etätyö

7 Henkilöstöturvallisuus

7.1 Ennen työsuhteen alkua
7.2 Työsuhteen aikana
7.3 Työsuhteen päättyminen tai muuttuminen

8 Omaisuuden hallinta

8.1 Vastuu suojattavasta omaisuudesta
8.2 Tietojen luokittelu
8.3 Tietovälineiden käsittely

9 Pääsynhallinta

9.1 Pääsynhallinnan liiketoiminnalliset vaatimukset
9.2 Pääsyoikeuksien hallinta
9.3 Käyttäjän vastuut
9.4 Järjestelmien ja sovellusten pääsynhallinta

10 Salaus

10.1 Salauksen hallinta

11 Fyysinen turvallisuus ja ympäristön turvallisuus

11.1 Turva-alueet
11.2 Laitteet

12 Käyttöturvallisuus

12.1 Toimintaohjeet ja velvollisuudet
12.2 Haittaohjelmilta suojautuminen
12.3 Varmuuskopiointi
12.4 Kirjaaminen ja seuranta
12.5 Tuotantokäytössä olevien ohjelmistojen hallinta
12.6 Teknisten haavoittuvuuksien hallinta
12.7 Tietojärjestelmien auditointinäkökohtia

13 Viestintäturvallisuus

13.1 Verkon turvallisuuden hallinta
13.2 Tietojen siirtäminen

14 Järjestelmien hankkiminen, kehittäminen ja ylläpito

14.1 Tietojärjestelmiä koskevat turvallisuusvaatimukset
14.2 Kehitys- ja tukiprosessien turvallisuus
14.3 Testiaineisto

15 Suhteet toimittajiin

15.1 Tietoturvallisuus toimittajasuhteissa
15.2 Toimittajien palveluiden hallinta

16 Tietoturvahäiriöiden hallinta

16.1 Tietoturvahäiriöiden ja tietoturvallisuuden parannusten hallinta

17 Liiketoiminnan jatkuvuuden hallintaan liittyviä tietoturvanäkökohtia

17.1 Tietoturvallisuuden jatkuvuus
17.2 Vikasietoisuus

18 Vaatimustenmukaisuus

18.1 Lainsäädäntöön ja sopimuksiin sisältyvien vaatimusten noudattaminen
18.2 Tietoturvallisuuden katselmoinnit

Liite A Henkilötietojen suojaamisen laajennettu hallintakeinojoukko(Tämä liite on olennainen osa tätä suositusta | kansainvälistä standardia.)

Kirjallisuus

Tuoteryhmä(t)

35.030 Tietoturvallisuus »
96.030.20 Tietosuoja »

Sidokset

Velvoittavat viittaukset

ISO/IEC 27002:2013 Information technology — Security techniques — Code of practice for information security controls.
ISO/IEC 29100:2011 Information technology — Security techniques — Privacy framework.

Tekninen komitea

ISO/IEC JTC 1/SC 27 (SFS-julkaisut) Information security, cybersecurity and privacy protection »

Vahvistuspäivä

27.04.2018

Kumouspäivä

14.04.2022

Painos

1

Sivumäärä

110

Julkaisun kieli

suomi/englanti

SFS-ISO/IEC 29151:2018 Kumottu