4.11 Käyttöoikeuksia hallitaan.

4.11.1 Käyttöoikeusperiaatteet on määritelty.

Pääkäyttäjien oikeudet ja niiden hallinta on määritelty. Käyttöoikeuksien määrittelyssä on otettu huomioon tehtävien eriyttäminen eli tietoturvallisuutta uhkaavien työyhdistelmien välttäminen. Tämän täytyy näkyä myös toimenkuvauksissa ja toimintaohjeissa.

Yleensä on hyvä, että käyttöoikeudet on määritelty ryhmien perusteella. Ensin on määritelty ryhmät ja se, mihin toimintoihin näillä ryhmillä on oikeudet. Sen jälkeen määritellään, mikä on kunkin käyttäjän ryhmä.

• Käyttövaltuushallinnon periaatteet ja hyvät käytännöt, VAHTI 9/2006
  Tietoa mm. hyvästä käyttövaltuushallinnosta, lainsäädännöstä ja käyttöoikeuskysymyksistä.
  
  http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/01_julkaisut/05_valtionhallinnon_tietoturvallisuus/20061122Kaeyttoe/name.jsp
  Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI

4.11.2 Käyttöoikeudet haetaan ja myönnetään hallitusti.

Käyttäjätunnusten ja salasanojen hallinta on organisoitu. Käyttöoikeushakemusten säilytys ja arkistointi on turvallista.

Käyttöoikeudet kannattaa myöntää niin suppeina kuin mahdollista. Tällä estetään myös se, että käyttäjä tekisi vahingossa suuria virheitä.

4.11.3 Käyttöoikeuksia arvioidaan uudelleen säännöllisesti.

Vanhoja käyttäjiä, entisiä työntekijöitä ja ylimääräisiä oikeuksia poistetaan säännöllisesti. Samalla mietitään, ovatko käyttäjähallinnan tarpeet muuten muuttuneet.

4.11.4 Verkkopalvelulle on luotu salasanakäytäntö, jota noudatetaan.

Käyttäjät ja ylläpitäjät osaavat kiinnittää huomiota salasanojen laatuun, henkilökohtaisuuteen ja säilytykseen.

Verkkopalveluun voidaan tuottaa automaattisia toimintoja, jotka tukevat hyvää salasanakäytäntöä. Säännöissä ei tule kuitenkaan mennä liiallisuuksiin (esim. vaadittaessa liian mutkikkaita salasanoja niitä säilytetään paperille kirjoitettuna, jolloin tietoturvallisuus itse asiassa heikkenee).

 Tulostettava sivu    Tulosta koko kriteeristö
Verkkopalveluiden laatukriteeristö v2.0 Valtiovarainministeriö 2008