Ulkoistettu IT-tuki – Tietoturva- ja tietosuojavaatimukset kumppanille
IT-tuen ulkoistamisessa on ehdottoman tärkeää huomioida tietoturva- ja tietosuojariskit, sillä tukikumppanilla on yleensä pääsy organisaation kriittisiin järjestelmiin ja henkilötietoihin. Kuinka ulkoistettu IT-tuki ja tietoturva- sekä tietosuojavaatimukset käytännössä sopivat yhteen? Entä kuinka NIS2-direktiivi ja ISO/IEC 27001 -standardi vaikuttavat asiaan?
Yhteistyö ulkoisen IT-tukikumppanin kanssa vaatii pohjalle aina selkeää suunnittelua. Tietoturvavaatimukset määritellään ja varmistetaan sopimusten kautta, ja yhteistyön aikana asiakasorganisaation tehtävänä on itse valvoa vaatimusten toteutumista. Tietoturvanhallinnan standardi ISO 27001 tarjoaa toimivan rakenteen riskienhallintaan ja kontrollien toteuttamiseen, ja NIS2-dirketiivi puolestaan tuo lainsäädännöllisen velvoitteen varmistaa turvallisuus läpi koko toimitusketjun.
1. Aloita vaatimuksien määrittelystä
Yrityksen kaikki tieto on arvokasta ja vaatii suojausta. Ulkoistetun IT-tuen tietoturva- ja tietosuojavaatimusten määrittelyssä tulisi kuitenkin lähteä liikkeelle kriittisen tiedon tunnistamisesta. Mikä tieto on liiketoiminnalle erityisen arvokasta ja vaatii erityistä suojausta? Seuraavaksi tulisi tunnistaa ne käsiteltävät tiedot ja järjestelmät, joihin IT-tuen kumppanilla on pääsy.
Ennen yhteistyön aloittamista kannattaa vielä:
- Arvioida kumppanin tietoturvakyvykkyys esimerkiksi auditointien tai sertifikaattien kautta. (Mm. ISO 27001)
- Määritellä sopimuksellisesti tietosuoja- ja turvallisuusvaatimukset kuten salassapito, tietojen käsittely ja raportointivelvoitteet. Määrittelyssä voi käyttää avuksi esimerkiksi ISO 27001:n mukaista riskienhallintaa.
2. Ulkoistettu IT-tuki ja tietoturva: vastuut ja vaatimustenmukaisuus
Tukikumppanilta odotetaan usein erilaisia tietoturvaan liittyviä vaatimuksia. Tällaisia voivat olla:
- Vaatimus ISO 27001 -sertifioinnista tai sen mukaisten käytäntöjen noudattamisesta. ISO 27001 toimii osoituksena siitä, että kumppani hallitsee tietoturvariskejä järjestelmällisesti ja sitoutuu tietoturvan jatkuvaan parantamiseen.
- Teknisten- sekä organisaatiokohtaisten toimenpiteiden toteuttaminen kuten pääsynhallinta, salattu tiedonsiirto ja lokitietojen seuranta.
- Henkilöstön kouluttaminen säännöllisesti tietoturva-asioissa ja ajantasaisten ohjeistusten ylläpitäminen.
3. NIS2-direktiivin vaikutus toimitusketjuun
NIS2-direktiivin myötä tietoturva ei ole enää vain sisäinen asia, vaan se ulottuu koko toimitusketjuun. NIS2 vahvistaa toimitusketjun turvallisuutta ja tuo uusia velvoitteita erityisesti kriittisten palveluiden tarjoajille. Tietoturva ei pääty sopimuksen allekirjoitukseen, vaan asiakkaan tulee jatkossa:
- Arvioida ulkoisten IT-kumppaneiden toimintaa säännöllisesti.
- Sisällyttää tietoturvavaatimukset sopimuksiin ja SLA:han.
- Varmistaa, että IT-kumppani raportoi tietoturvaloukkaukset nopeasti ja kattavasti.
- Dokumentoida kaikki toimenpiteet ja arvioinnit, jotta ne voidaan osoittaa viranomaisille tarvittaessa. Näitä ovat:
- Tietosuojaselosteet ja käsittelysopimukset (DPA)
- Riskianalyysit ja hallintatoimenpiteet
- Auditointiraportit ja poikkeamien käsittely
- Tietoturvaloukkausten raportit ja korjaavat toimenpiteet
- Päivittää vaatimuksia ja käytäntöjä muuttuvan lainsäädännön ja riskien mukaan.
Haluatko tutustua TNNetin IT-tukipalveluun? Lisätietoa löydät täältä.
TNNet on ISO 27001 -sertifioitu IT-tukikumppanisi
Haluatko kuulla, kuinka pystymme vastaamaan IT-tukipalveluun kohdistuviin tietoturva- ja tietosuojavaatimuksiin?
Kerromme mielellämme, ota yhteyttä:
