Vaatimustenmukaisuusopas: GDPR ja muut säädökset

Esineiden internet, tekoäly ja muut trendit uudistavat toimistoja ja yrityksiä kaikkialla Euroopassa. Lainsäätäjät puolestaan reagoivat muokkaamalla säädöksiä ja luomalla uusia vaatimuksia yhtiöille.

LATAA OPAS

Close up of man hand and laptop

GDPR-tietoturvavaatimukset

EU:n yleinen tietosuoja-asetus GDPR on ollut viime aikoina paljon esillä mediassa ja yhtiöiden sisäisessä toiminnassa, ja ihmisille on lähetetty päivittäin muistutuksia säädösten yksityiskohdista ja niiden rikkomisen seurauksista. Vaikka GDPR onkin tärkeä, on syytä huomioida myös monet muut lainsäädännölliset muutokset, joiden tarkoitus on suojata kuluttajia ja heidän tietojaan digitaalisessa maailmassa.

Yritysten on arvioitava omaa toimintaansa, jotta GDPR-periaatteet toteutuvat varmasti eri prosesseissa ja toiminnoissa. Kyse ei ole vain säilytettävistä tiedoista vaan myös tietoa vartioivasta ja hallinnoivasta henkilöstöstä. Tietohallintojohtajat eivät voi jättää säädöstenmukaisuutta yksinomaan IT-tiimien vastuulle, vaan heidän on varmistettava, että koko yrityksen henkilöstö tuntee säädökset ja niihin liittyvät prosessit ja käytännöt.

Ota käyttöön yhtiöllesi räätälöity digitaaliseen teknologiaan perustuva riskinhallintastrategia.

Tietohallintojohtaja, riskit ja vaatimustenmukaisuus

Kun organisaatiot valmistautuvat lakimuutoksiin, säädöksistä tiedottamisesta tulee ensisijaisen tärkeää. Tämä kasvattaa merkittävästi tietohallintojohtajan roolia. Esimerkki tällaisesta säädöksestä on ISO 27001 -sertifiointi, joka määrittää henkilöstöä, prosesseja ja teknologiaa koskevien parhaiden käytäntöjen tietoturvastandardit. GDPR:n tavoin ISO 27001 edellyttää organisaatioilta riskiarviointia sekä huomiota liiketoiminnan jatkuvuuteen, testaukseen ja muihin arviointeihin. IT-tiimit eivät voi yksin huolehtia standardinmukaisuudesta: siihen tarvitaan koko yhtiön panos. Toimistossa jokainen on yhtä lailla vastuussa, oli kyse sitten valtavien tietomäärien käsittelystä joka päivä tai tärkeiden tietojen tulostamisesta satunnaisesti.

Laadittavana on myös pelkästään IT-osastoa koskevia lakimuutoksia. PCI-tietoturvastandardi (PCI DSS) kohdistuu kortinhaltijan tietoihin sisältyviin tai niihin liittyviin teknisiin ja toiminnallisiin järjestelmäkomponentteihin. Standardin rikkomisesta seuraa merkittäviä sakkoja, joten IT-osastojen on säntillisesti noudatettava kolmevaiheista prosessia: 1) kortinhaltijan tietojen, IT-resurssien sekä korttimaksujen liiketoimintaprosessien arviointi, 2) tietojen säilytyksen haavoittuvuuksien korjaaminen ja 3) raporttien laatiminen pankkeja ja korttien myöntäjiä varten. Lisäksi IT-tiimien on turvattava kriittiset tietoturvajärjestelmät ja testattava niitä ja samalla varmistettava, että maksupäätteet, -järjestelmät ja -ratkaisut on suojattu.

Säädösmuutosten takia yhteentoimivuus on entistäkin tärkeämpää. PSD2 edistää kilpailua. Tietohallintajohtajien onkin kyettävä tukemaan yrityksensä markkina-asemaa varmistamalla, että IT-infrastruktuuri on joustava ja kolmannen osapuolen sovelluksia tukeva. Näin yritys voi hyödyntää sekä sisäiset että ulkoiset innovaatiot.

Uuden tiedon määrä kasvaa eksponentiaalisesti, joten yrityksille on elintärkeää ymmärtää lainsäädäntöä ja ryhtyä tarvittaviin toimiin. Tietohallintojohtajilla on johtava rooli tietoja ja tietoturvaa koskevasta lainsäädännöstä tiedottamisessa. Heidän on selitettävä vaikeatkin asiat ymmärrettävästi ja pidettävä yllä turvallista yrityskulttuuria. Tämän roolin hoitaminen edellyttää viimeisimpiin lakimuutoksiin perehtymistä.

Opas tietoturvasäädöksiin

Yli 50 % yrityksistä ei tule noudattamaan tietosuoja-asetuksen kaikkia vaatimuksia vuoden 2018 lopussa. Tutustu toimistoosi vaikuttaviin tietoturvamuutoksiin.

LATAA OPAS

Ariel shot of 5 people working around an open plan office

Aiheeseen liittyvät ratkaisut

Tutustu aiheeseen tarkemmin

Selvitä, kuinka Canonin tietoturvaratkaisut voivat auttaa liiketoimintaasi.


OTA YHTEYTTÄ