Johdatus tietoturvaan ja tietosuojaan - ETA0160– Kurssimateriaali OSA 1
Document Details
Uploaded by Deleted User
Tags
Related
- Chapter 5 - 01 - Discuss Various Regulatory Frameworks, Laws, and Acts - 05_ocred PDF
- Gramm-Leach-Bliley Act (GLBA) & GDPR PDF
- 2.9 Securing Geospatial Information Summary PDF
- Data Privacy Act of 2012 PDF
- Legal and Privacy Issues in Information Security PDF (Chapter 1)
- Artificial Intelligence in Protecting Cyber Security (PDF)
Summary
This document is an introduction to information security, privacy, and cybersecurity. The first part focuses on general concepts, while the second part delves into critical infrastructure and societal perspectives in the cybersecurity world.
Full Transcript
**Johdatus tietoturvaan ja tietosuojaan - ETA0160-- Kurssimateriaali - OSA 1** **Sisällysluettelo** 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. **1. Johdanto** Johdatus tietoturvaan ja tietosuojaan -opintojakso antaa perustietämyksen tietoturvasta ja tietosuojasta sekä kyberturvallisuu...
**Johdatus tietoturvaan ja tietosuojaan - ETA0160-- Kurssimateriaali - OSA 1** **Sisällysluettelo** 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. **1. Johdanto** Johdatus tietoturvaan ja tietosuojaan -opintojakso antaa perustietämyksen tietoturvasta ja tietosuojasta sekä kyberturvallisuudesta. Opintojakson ensimmäinen osa keskittyy yleisiin tietoturvaan, tietosuojaan ja kyberturvallisuuteen liittyviin käsitteisiin Opintojakson toinen osa keskittyy kriittiseen infrastruktuuriin ja yhteiskunnalliseen näkökulmaan tietoturva- ja kybermaailmassa sekä niiden uhkiin ja hyödyntäjiin. Osa 2 käsittelee myös nykyaikaisen tietoverkon komponentteja ja niiden perustoiminnallisuuksia. Opintojakson kolmas osa johdattaa siihen, miten uhkia vastaan voidaan puolustautua sekä mitkä ovat parhaat tietosuoja-alan käytännöt. Osa 3 keskittyy myös siihen, miten yrityksen tai organisaation tietoturvapolitiikka tulisi toteuttaa. **Opintojakson pääsisällön yhteenveto:** - Tietoturvan ja tietosuojan sekä kyberturvallisuuden määritelmät - Tietoturvaluokitukset, standardit ja ohjeet - Miten kukin voi pienentää riskiä joutua tietoturvahyökkäyksen kohteeksi - Tietoturvapoikkeamien merkitys ja miten niihin tulisi reagoida - Yrityksen tai organisaation tietoturvaan ja tietosuojaan liittyvän tietoturvapolitiikan tärkeys ja sen toteutustapoja - **2. Tietoturvan ja tietosuojan sekä kyberturvallisuuden määritelmät sekä tietoluokitukset** *Tietoturvan määritelmä* - Tietoturva/tietoturvallisuus (information security) sisältää kaikki ne toimenpiteet, joilla pyritään estämään tietojärjestelmään tunkeutuminen ja/tai tärkeän tiedon päätyminen ulkopuolisille. Tietoturvajärjestelyin pyritään varmistamaan tiedon käytettävyys, eheys ja luottamuksellisuus. Tietoturva on yksi tietosuojan toteuttamiskeino. - - - - *Tietosuojan määritelmä (Wikipedia)* - - - *Kyberturvallisuuden määritelmä* - Kyberuhkamalli kuvaa kyberuhkien aiheuttamia häiriöitä, uhkan vaikutusmekanismeja, lähteitä, kohteita ja vaikutusta kohteisiin. Uhkat voivat kohdistua yhteiskunnan elintärkeisiin toimintoihin, kansalliseen kriittiseen infrastruktuuriin ja kansalaisiin maan rajojen sisällä tai ulkopuolella. Tietoturva on kompromissi turvallisuuden ja kustannusten välillä. Tietoturvan kaikkia osa-alueita on kehitettävä yhtenä kokonaisuutena (kuva 4. Hinta vs. riskit vs. tietoturvan taso). **Digitalisaatioon vastaaminen vaatii useamman IT-toimijan yhteistyötä (kuva 3):** **Kenellä on vastuu yrityksen/organisaation tietoturvasta ja tietosuojasta?** Tietoturva ja tietosuoja liittyy yrityksen/organisaation kaikkeen toimintaan Riskiarviointi Tietoturvaan ja tietosuojaan liittyvät oikeudelliset asiat Tietojen luokitus Tekniset valinnat Taloudelliset näkökohdat *Yrityksen/organisaation johtoportaan on sitouduttava tietoturva ja tietosuoja asioihin sekä yrityksen/organisaation eri johtamismallien (talous, laatu, turvallisuus, jne.) on oltava sovitettu myös tietoturva ja tietosuoja toimintaa varten.* **Tietoturvan osa-alueet** Hallinnollinen tietoturvallisuus = Tietoturvallisuuden johtaminen, jonka avulla varmistetaan liiketoiminnan jatkuvuus. Hallinnollisen tietoturvan perusasioita ovat: - - - - - - - Suojaus on tehtävä ainakin ulkoisessa ja sisäisessä tietoverkossa, tietoverkko- ja päätelaitteissa, sovelluksissa sekä tiedoissa (data). *Tietoturvakomponentit* ***\ *** ***Tietoturvakomponenttien keskinäiset yhteydet*** ![](media/image8.png) **Tietoturvaluokitukset** (tietoturvamallit) Tietoturva voi pohjautua perinteiseen ja/tai laajennettuun tietoturvaluokitukseen. Perinteiseen luokitukseen (***CIA-triadi -malli**)* kuuluu *luottamuksellisuus, eheys ja saatavuus (Confidentiality -- Integrity -- Accessibility)*. Laajennettu tietoturvaluokitus sisältää edellisten lisäksi *kiistämättömyyden (*Non-Repudiation), *pääsynvalvonnan (Access Control) ja tunnistamisen* (Authentication). ***Parkerian Hexad -malli*** sisältää seuraavat kuusi tietoturvaelementtiä: Luottamuksellisuus (Confidentiality), hallussapito/hallinta (Possession/Control; esim. kadonnut muistitikku), rehellisyys (Integrity), aitous (Authenticity; esim. aidot/viralliset asiakastiedot), saatavuus (Availability) ja hyödyllisuus (Utility; esim. on kerätty väärää tai epätarkkaa dataa). **Luottamuksellisuus** (Confidentiality) Tarkoittaa tietojärjestelmän tietojen olevan vain niihin oikeutettujen käyttäjien käytettävissä. Luottamuksellisuuden avulla pyritään suojaamaan tietojärjestelmien laitteistot ja tietovarastot riittävän suojauksen takaavilla käyttäjätunnuksilla ja salasanoilla. Arkaluonteisia ja arvokkaita tietoja pyritään suojaamaan eri salakirjoitusmenetelmin. Tällaisia tietoja ovat esimerkiksi henkilöiden palkkatiedot ja organisaatiossa käytettävien sovellutusten tiedot. Tietojen luottamuksellisuus saavutetaan kolmella tavalla: Varastoinnin luottamuksellisuudella (Storage Confidentiality), siirron luottamuksellisuudella (Transmission Confidentiality) ja valtuutuksella (Credential). **Eheys** (Integrity) Ohjelmistoteknisin ratkaisuin pyritään varmistamaan tietojärjestelmien tietojen paikkansapitävyys ja se, että tiedot eivät sisällä tahattomia tai tahallisia virheitä. Eheyttä ylläpidetään sovelluksin, jotka tarkastavat tallennus- ja tiedonsiirto-operaatioita varmistussummien tai tiivisteiden avulla sekä valvovat käyttäjien syötteitä tietyin syöttörajoittein tai syötteiden tarkistuksin. Laitteistotasolla eheyttä pyritään varmistamaan käyttämällä virheitä korjaavia siirtotapoja tai muisteja. Tietoliikenneratkaisuissa käytetään virheiden tunnistus- ja korjausmekanismeilla varustettuja laitteita ja protokollia. Eheyttä voidaan ylläpitää myös eri salakirjoitusohjelmistoilla. **Saatavuus** (Availability) Antaa valtuutettujen henkilöiden ja tietokonejärjestelmien käyttää tietojärjestelmää. Nykyaikaisissa tietojärjestelmissä pyritään tiedonhaku automatisoimaan siten, että tietoja tarvitsevat saavat haluamansa tiedot nopeasti ja sopivassa muodossa. **Kiistämättömyys** (Non-Repudiation) Tarkoittaa järjestelmäkäskyjä, joilla tunnistetaan ja tallennetaan järjestelmää käyttävien henkilöiden käyttötiedot. Kiistämättömyydellä varmistutaan tiedon alkuperästä ja estetään olemassa olevan tietojen luvaton käyttö. **Pääsynvalvonta** (Access Control) Tarkoittaa menetelmiä, joilla pyritään estämään ulkopuolisia ja henkilöstöä käyttämästä yrityksen laitteita omiin tarkoituksiinsa. Tämä valvonta saattaa kuormittaa tietoliikenneverkkoja ja täten heikentää käytettävyyttä. **Tunnistaminen** (Authentication) Tarkoittaa tietojärjestelmän käyttäjien (ihmisten tai järjestelmän laitteiden) luotettavaa tunnistamista. Tunnistaminen liittyy johonkin, mikä henkilö on, tietää tai mitä hänellä on. Tietoverkossa käyttäjä tunnistetaan salasanan tai esimerkiksi sormenjäljen perusteella ja järjestelmän laitteet tunnistetaan esimerkiksi digitaalisin tunnistein (digital signature). **\ ** **3. Fortinet Training Institute -- NSE Online-kurssit** Kuva, joka sisältää kohteen teksti, kuvakaappaus, Fontti, logo Kuvaus luotu automaattisesti Taulukko 1. FortiAcademy:n NSE-kurssit **Johdatus tietoturvaan ja tietosuojaan -kurssiin liittyvä Fundamentals-osion kurssi**: **FCF 1** (Introduction to the Threat Landscape). *https://training.fortinet.com* 4. **Tietoturvastandardit ja -ohjeet** Tietoturvallisuusstandardeja määrittelevät lait ja määräykset vaihtelevat *toimialoittain* (esim. pankkitoiminta ja terveydenhoito) ja *maittain* (esim. USA ja EU). Ovat lähtökohtana yrityksen ja organisaation tietoturvatoiminnalle. *Standardi ISO/IEC 27000* *on kokoelma kansainvälisiä ohjeita ja käytäntöjä (kuva 5) ja sitä voidaan soveltaa tietoturvan ja riskien hallintaan ja valvontaan.* **Tietoturvallisuuden hallintajärjestelmä (ISO/IEC 27001)** (vaatimukset) **ISO 27001** -*standardi määrittelee, kuinka järjestää tietoturva-asiat missä tahansa organisaatiossa* (esimerkiksi kaupalliset yritykset, valtion virastot ja voittoa tavoittelemattomat järjestöt). *Standardi ei koske ainoastaan tietotekniikkaa*, vaan kattaa kaikki näkökulmat tiedon siirrosta julkisiin keskusteluihin ja tietojen jakamiseen. ISO 27001 standardi sisältää organisaatiorakenteen, politiikat, suunnittelutoimenpiteet, vastuut, menettelytavat, menetelmät, prosessit ja resurssit. **Tietoturvallisuuden hallintajärjestelmän** **pääosat** - - - - **ISO 27002** (menettelyohje) \- Sisältää 11 aihealuetta \- Sisältää jokaisen aihealueen perusteet sekä niiden ohjaus- ja tarkastustoimet **Tietoturvafoorumi** (Information Security Forum **ISF**) on vuonna 1989 perustettu riippumaton, voittoa tavoittelematon yhdistys, jonka jäseniä ovat johtavat yritykset/organisaatiot ympäri maailman. https://www.securityforum.org/ ISF on julkaissut tietoturva-alan ammattilaisille tarkoitetun **hyvien käytäntöjen standardin** (*Standard of Good Practice (The Standard)*), joka on alan liiketoimintakeskeisin opas tietoturvan varmistamiseen. Standardi sisältää tietoturvaan liittyviä liiketoimintalähtöisiä käytännöllisiä ja luotettavia ohjeita. *Standardi sisältää kehyksen, jonka avulla yritys/organisaatio voi luoda itselleen tietoturvan hallintajärjestelmän*. ***ITIL*** (Information Technology Infrastructure Library) *määrittelee IT-palvelujen hallintaan ja johtamiseen liittyviä ohjeita ja parhaita käytäntöjä* (palveluprosessit, joilla voidaan tuottaa laadukkaita ja kustannuksiltaan optimoituja IT-palveluita). ***KATAKRI*** (kansallinen turvallisuuden auditointikriteeristö; *tietoturvallisuuden auditointityökalu viranomaisille*), johon kuuluvat osa-alueet: turvallisuusjohtaminen, fyysinen turvallisuus ja tekninen turvallisuus. https://um.fi/katakri-tietoturvallisuuden-auditointityokalu-viranomaisille ***VAHTI*** (suomalainen valtionhallinnon ohjeistus; https://dvv.fi/vahti) on *laaja kokoelma ohjeita, jotka liittyvät digitaalisen turvallisuuden** **varmistamiseen ja kehittämiseen julkishallinnossa***.** VAHTI:in osa-alueita ovat: hallinnollinen tietoturva, henkilöstöturvallisuus (henkilöstön toiminnasta yritykselle aiheutuvien riskien hallinta), fyysinen turvallisuus, tietoliikenne-, ohjelmisto-, tietoaineisto-, käyttö- ja laitteistoturvallisuus. ***HITECH*** (Health Information Technology for Economic and Clinical Health Act; Taloudellista ja kliinistä terveyttä koskeva terveystietotekniikka laki) *määrittelee salassa pidettävien terveystietojen riittävän hyvän suojaamisen*. ***HIPAA*** (Health Insurance Portability and Accountability Act; Terveysvakuutuksen siirrettävyys- ja vastuullisuuslaki) on **USA:ssa** 1996 voimaan tullut laki, joka koskee potilas- ja terveystietojen käsittelyä (vaatimukset arkaluontoisen tiedon käytölle, salassapidolle ja julkistamiselle). HIPAA-lakia ei voi soveltaa sellaisenaan Suomessa, koska Suomen lainsäädäntö on erilainen kuin USA:n. *HIPAA antaa silti hyvät lähtökohdat arkaluontoisen tiedon käsittelyyn ja suojaamiseen*. data breaches = tietomurrot; consent = suostumus, lupa; compliance = noudattaminen ![](media/image12.png) Kuva 6. Kaksitoista tiedon suojaukseen liittyvää askelta **EU:n tietosuoja-asetus (GDPR =** General Data Protection Regulation; kuva 6**)** *EU:n GDPR tietosuoja-asetusta sovelletaan henkilötietojen käsittelyyn julkisella ja yksityisellä sektorilla*. Asetus tuli voimaan 25.5.2018. Asetuksen tavoitteena on varmistaa ihmisten oikeus henkilötietojen suojaan ja yksityisyyteen myös digitaaliaikana koko EU-alueella. Asetuksessa määriteltyjä henkilötietoja on: - - - - - - Henkilörekisterin pitäjillä on osoitusvelvollisuus asetuksen täyttämisen suhteen. Yrityksen tai organisaation on ilmoitettava tietyn ajan kuluessa henkilötietoihin liittyvistä tietoturvarikkomuksista viranomaisille ja rikkomusten kohteiksi joutuneille henkilöille. Valvontaviranomaisella (tietosuojavaltuutettu) on oikeus määrätä hallinnollisia sanktioita asetuksen noudattamatta jättämisestä. Jos tietosuojarikkomuksessa epäillään rikosta, niin silloin asia menee poliisin käsittelyyn. Tietosuojaa koskevassa vaikutustenarvioinnissa (data protection impact assessment DPIA) kartoitetaan henkilötietojen käsittelyä, käsittelyyn liittyviä riskejä ja niiden hallintakeinoja sekä tietosuoja-asetuksen mukaisten henkilötietojen käsittelyn periaatteiden toteutumista. **Tietosuoja sosiaali- ja terveydenhuollossa** Henkilötietorekisteri sisältää tiedot potilaan hoidon järjestämistä ja seurantaa varten. Tiedot voivat olla sähköisiä/ei-sähköisiä dokumentteja sekä ääni- ja/tai kuvatallenteita. Rekisteri pohjautuu hoitoyksikön potilastietojärjestelmään, sähköiseen Kanta-arkistoon ja potilasdokumenttien merkintöihin. Tietojen käyttötarkoitus on: - - - Henkilötietojen käsittelyyn tarvitaan potilaan suostumus ja potilasrekisteriin kuuluvat myös sosiaali- ja terveydenhuollon ostopalvelutiedot. Rekisterin tiedot on pidettävä salassa ja tietoja käsittelevillä työntekijöillä on vaitiolovelvollisuus. Sosiaali- ja terveydenhuollon työntekijät ovat sitoutuneet noudattamaan perusturvapalveluiden tietosuoja- ja tietoturvaperiaatteita. Lisäksi heidän vaitiolovelvollisuutensa jatkuu myös palvelussuhteen päätyttyä. Potilaalla on oikeus tarkastaa henkilörekisteriin talletetut tiedot. Tarkastuspyyntö on esitettävä kirjallisesti johtavalle lääkärille, joka voi luovuttaa tiedot potilaalle. Terveydenhuollon potilasrekisterissä henkilötiedot säilytetään 12 vuotta henkilön kuoleman jälkeen ja jos kuolinaikaa ei tiedetä, niin 120 vuotta henkilön syntymästä. Kiristyshaittaohjelmat kohdistuvat usein sosiaali- ja terveydenhuollon järjestelmiin. Henkilötietojen käsittelyä koskevat lait: - - - - - - - - - - - - Valtioneuvoston tietosuojasivusto: *https://valtioneuvosto.fi/tietosuoja* Tietosuojalaki 1050/2018: *https://www.finlex.fi/fi/laki/alkup/2018/20181050* Esimerkkejä organisaatioiden henkilörekistereistä: - - - - - - Virallisen määritelmän mukaan myös verkkotunnistetiedot (lokitiedot) kuuluvat henkilötietoihin, jos niistä voi tunnistaa henkilön suoraan tai epäsuorasti. Henkilötunnusta ei tule laittaa tarpeettomasti henkilörekisterin pohjalta tulostettuihin tai laadittuihin asiakirjoihin. Henkilötiedon käsittelyssä tulee muistaa tarpeellisuusvaatimus ja tiedon minimoinnin periaate. Ei pidä laatia omia epävirallisia rekistereitä (esim. Excel-taulukoita), joissa on henkilötunnuksia, ellei se ole välttämätöntä jonkin tehtävän suorittamiseksi. Kaikki vanhentuneet henkilötunnuksia sisältävät asiakirjat on hävitettävä ja rekisteri on poistettava heti, kun sitä ei enää tarvita. Tietosuojalain (1050/2018) 29 §:ssä säädetään henkilötunnuksen käsittelystä. Henkilötunnusta saa käsitellä rekisteröidyn suostumuksella tai, jos käsittelystä säädetään laissa. Lisäksi henkilötunnusta saa käsitellä, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää: Henkilötunnusta saa käsitellä myös luotonannossa tai saatavan perinnässä, vakuutus-, luottolaitos-, maksupalvelu-, vuokraus- ja lainaustoiminnassa, luottotietotoiminnassa, terveydenhuollossa, sosiaalihuollossa ja muun sosiaaliturvan toteuttamisessa tai virka-, työ- ja muita palvelussuhteita ja niihin liittyviä etuja koskevissa asioissa. Tietosuojavaltuutettu on ottanut useasti kantaa siihen, että henkilöitä ei saa tunnistaa yksinomaan nimen ja henkilötunnuksen perusteella. Henkilötunnus on henkilön yksilöimisen apuväline. 5. **Tietoturvastrategia** Tietoturvastrategia (suunnitelma) *koostuu yleisistä tietoturva tavoitteista ja ohjeista sekä muodostaa sisällön yrityksen/organisaation tietoturvaohjelmalle*. 1\. Perusvaatimusten realisointi 2\. Tietoturvariskien arviointi 3\. Tietoturvaohjelman toteutus **6. Riskinhallinta** Riskinhallinta (risk management) on prosessi, jolla pyritään pienentämään toimintaympäristön riskejä (kuva 7). Omaisuus = voimavarat = hyödykkeet (engl. Asset). Mitä haittoja riskit voivat toteutuessaan yritykselle/organisaatiolle aiheuttaa? Kuva, joka sisältää kohteen teksti Kuvaus luotu automaattisesti Kuva 7. Riskinhallintaprosessi *Omaisuuden määrittely* Luetteloi yrityksen/organisaation omaisuus ja arvioi kunkin omaisuusyksikön tärkeys, löytääksesi ne, mitkä ovat liiketoiminnan kannalta kriittisen arvokkaita. *Uhkien määrittely* Tässä voi käyttää apuna esimerkiksi perinteistä luokitusta (CIA-triadi -malli) tai Parkerian hexad -mallia. Yhteenvetona voi todeta, että on huolehdittava siitä, että tiedot ovat hallinnassa, tietojen tarkkuus on kunnossa ja järjestelmä saadaan pidettyä käynnissä. *Omaisuuden haavoittuvuudet* Jokaisella omaisuusyksiköllä voi olla hyvinkin monia uhkia, mutta vain pieni osa niistä on merkityksellisiä. Tässäkin voi käyttää pohjana esimerkiksi perinteistä luokitusta (CIA-triadi -malli) tai Parkerian hexad -mallia. *Riskianalyysi* (vaikutus/todennäköisyys taulukko) - Arvioidaan riskin toteutumisen todennäköisyys ja vaikutus ennalta määritellyllä asteikolla: *Todennäköisyys:* 1. Epätodennäköinen, 2. Mahdollinen, 3. Todennäköinen, 4. Lähes varma *Vaikutus:* 1. Vähäinen, 2. Kohtalainen, 3. Merkittävä 4. Kriittinen **Riskiluku** RL (riskitaso) saadaan kertomalla riskin todennäköisyys vaikutuksella: RL = T V Riskienhallintasuunnitelma on hyvä esittää taulukkomuodossa. ![Kuva, joka sisältää kohteen teksti, näyttökuva, sisä Kuvaus luotu automaattisesti](media/image17.png) Riskien käsittelyssä määritellään jatkotoimenpiteet, nimetään vastuuhenkilöt sekä sovitaan alustava tavoiteaikataulu. Vahingon ehkäisyn kustannukset (Burden B) \< vahingon aiheuttama menetys (L) x vahingon todennäköisyys (P) "Ajatteles, jos joku puu kaatuisi, kun me olemme sen alla!", sanoi Nasu. \"Ajatteles, jos ei kaadu\", sanoi Nalle Puh pitkään harkittuaan. **7. Tietoturvapolitiikka** Tietoturvapolitiikka on dokumentti, joka koostuu organisaation ylimmän johdon vahvistamista tietoturvaan ja tietosuojaan liittyvistä yleisistä säännöistä ja käytännöistä ("tietoturvan yleisohje"). Suojauskäytäntö määrittää, miten organisaatio hallinnoi, suojaa ja jakaa arkaluonteisia tietoja. Tietoturvapolitiikka määrittää ja luo tarvittavat tietoturvatasot haluttujen luottamuksellisuustavoitteiden saavuttamiseksi. Suojauskäytännöt voidaan luokitella kolmeen tyyppiin: \- *Sääntelykäytännöt*: Alan säännösten ja lainsäädännön noudattamisen pakolliset täytäntöönpanot, joiden tarkoituksena on varmistaa, että organisaatio noudattaa lain sääntelemiä alan standardeja. \- *Neuvoa-antavat toimintaperiaatteet*: Ne edistävät tietojärjestelmien luottamuksellisuutta ja eheyttä sekä kuvaavat noudattamatta jättämisen seurauksia. \- *Informatiiviset käytännöt*: Nämä tarjoavat yleisiä ohjeita parhaista käytännöistä ja hyväksyttävästä käyttäytymisestä. Kuva 8 esittää tietoturvapolitiikan tyyppien rakennetta ja organisointia. Kuva 8. Tietoturvapolitiikan tyypit Tietoturvapolitiikan ylimmän tason asiakirjat ovat erilaisia käytäntöjä, jotka ovat suunnattu organisaatio-, tietosuojaohjelma- sekä käyttäjä- ja järjestelmätasoille (kuva 9). Kuva 9. Esimerkki tietoturvapolitiikan tasoista **\ ** **8. Tietojen luokittelu ja käsittely = Tietoaineiston suojaustasot** Myös tiedon omistaja on syytä määritellä (kuka vastaa tietojen oikeellisuudesta ja voi muuttaa tietoja), samoin tiedon säilytysaika ja varmuuskopiointi. ISO 27002 standardista löytyy tarkempia ohjeita tiedon luokittelusta. **Tietojärjestelmien luokittelu** (Laaksonen, Nevasalo, Tomula 2006) Tietoturvapolitiikan on oltava [selkeä] ja [ymmärrettävä] sekä [perusteltu] ("miksi"; ei liian tekninen). Hyvä tietoturva vaatii jatkuvaa toteuttamista, ei vain jonkin "tilan" saavuttamista. Yrityksen/organisaation johdon on tuettava tietoturvan tavoitteita ja periaatteita, jotka myötäilevät liiketoiminnan tavoitteita. **Tietoturvapolitiikan rakentamisvaiheet** 1\. Mitkä ovat tietoturvapolitiikan tavoitteet (johdon perustelut, tuki, standardit) 2\. Mitä ovat tietoturvapolitiikan vastuut ja organisointi 3\. Mitä ovat tietoturvapolitiikan toteutuskeinot 4\. Miten tietoturvan seuranta ja ongelmatilanteiden käsittely on ratkaistu 5\. Mitä ovat tietoturvan säännöt ja ohjeet