1. Tiedon luonti ja vastaanotto: - Onko tietoaineistojen käsittelyn peruste ja käyttötarkoitus tunnistettu ja määritetty (tiedon keräämisessä ja tallentamisessa pitäisi aina määrittää, mihin sen käsittely perustuu ja, mikä on tiedon käsittelyn tietojenkäsittelyn tarkoitus. Jos tiedon keruuta ei voida perustella tulisi pohdittava onko tiedon käsittely tarpeellista).?
- Onko käsiteltävää tietoaineistoa koskevat erityisvaatimukset, kuten henkilötietoihin liittyvät vaatimukset tunnistettu (huom. tietoaineistojen erityisvaatimukset voivat vaatia tietohallinnolta resursseja, muista ilmoittaa kaikista tarpeista ajoissa helpdeskin kautta).?
2. Tiedon säilytys: - Kenellä on pääsyoikeus tiedon äärelle?
- Mikä on tiedon säilytysaika ja tuhoamisajankohta?
- Säilytetäänkö tietoa siten, että vain ne tahot joilla on oikeutettu pääsy tietoon pääsevät siihen käsiksi?
- Onko säilytettävälle tiedolle määritetty säilytysaika, jonka päättyessä se joko arkistoidaan tai tuhotaan asianmukaisesti (sovi myös vastuista, kuka tai ketkä tiedon arkistoinnin tai tuhoamisen tekee esim. hankkeen tai projektin lopussa).
3. Tiedon käyttö: - Ovatko tietoaineiston käyttöoikeudet ja -valtuudet määritetty perustuen henkilön työtehtäviin (ns. need-to-know -periaate).?
- Käsitelläänkö tietoaineistoa vain sille sovituissa ja hyväksytyissä tietojärjestelmissä, laitteissa ja käsittely-ympäristöissä (tiedon käsittelyn toimintatavat on määriteltävä ja tiedotettava kaikille osallistuneilleosallistujille).?
4. Tiedon jakaminen ja siirtäminen - Voidaanko tietoaineistoa jakaessa, siirtäessä ja luovuttaessa varmistua riittävällä tasolla vastaanottajan identiteetistä? Etenkin huomioitava kun käsitellään arkaluonteista tai salassa pidettävää materiaalia (esim. turvapostin "Kirjattu Kirje" -toiminnolla vastaanottaja tunnistetaan lisäksi SMS-autentikoinnin avulla).
- Käytetäänkö tiedon jakamisessa tai siirrossa asianmukaista salausta (esim. turvapostia, metroarch).?
- Onko tietoja luovutettaessa varmistuttu siitävarmistettu, että tiedon luovuttaminen on lain mukaista lainmukaista ja että vastaanottajalla on sekä oikeus sekä että osaaminen tietoaineistojen käsittelyyn., kun tietoja luovutetaan?
5. Tiedon arkistointi - Onko arkistoinnissa huomioitu tiedon säilytysaika, -paikka ja tapa (sekä kuka on vastuussa ja vaatiiko arkistointi resursseja esim. tietohallinnolta?).
- Onko tiedon käyttökelpoisuudesta ja luettavuudesta varmistuttu koko tiedon säilytysajan?
6. Tiedon tuhoaminen - Tapahtuuko tiedon tuhoaminen määritellyn säilytysajan tai käyttötarpeen päättyessä riittävän luotettavalla tavalla?
- Kattavatko luotettavan tuhoamisen menettelyt kaikki laitteistot joihin on elinkaarensa aikana tallennettu salassa pidettävää tietoa (verkkolevyt, ulkoiset tallennuslaitteet, pilvipalvelut, työtilat, työasemat yms).
|