Tietoturvariskien hallinta on kaikkien digiturvan vaatimuskehikkojen vakiosisältöä. Digiturvaa käsittelevät standardit, kriteeristöt tai lait päätyvät siis aina korostamaan organisaation toteuttaman riskien hallinnan tärkeyttä.

Tietoturvariskien hallinnalla pyritään kohdistamaan organisaation rajalliset resurssit tärkeimpiin kohtiin, eli niihin joihin sisältyvät suurimmat riskit. Erilaiset vaatimuskehikot siis antavat listan hyviä käytäntöjä, mutta sanovat lopuksi, että näiden toteuttamisen lisäksi omien toimenpiteiden riittävyyttä pitää riskienhallinnallisesti arvioida.

Tietoturvariskien hallinta tiedonhallintalaissa

Täsmänostoja tiedonhallintalain kohdista, joissa riskienhallintaan viitataan:

• 13§ - tiedonhallintayksikön on selvitettävä olennaiset tietojenkäsittelyyn kohdistuvat riskit ja mitoitettava tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti
• 5§ - suunniteltaessa tiedonhallintaan oleellisesti vaikuttavia hallinnollisia tai teknisiä uudistuksia on muutokset sekä niiden vaikutukset tiedonhallintalain vaatimuksiin arvioitava
• Tiedonhallintalautakunnan suositus - osana muutosvaikutusten arviointia tiedonhallintayksikkö tekee riskiarvion muutoksen mahdollisesti aiheuttamien vaikutusten hallitsemiseksi ja laatii suunnitelman näiden riskien saattamiseksi hyväksyttävälle tasolle