Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

Article 6
DORA

Digital Operational Resilience Act (DORA)

Muita saman teeman digiturvatehtäviä

Riskienhallinnan viitekehys-raportin luominen ja ylläpito

Critical
High
Normal
Low

Organisaation tulee luoda ja ylläpitää kattava ja hyvin dokumentoitu riskienhallinan viitekehys.

Riskienhallinnan viitekehyksen tulisi sisältää ainakin:

  • Strategiat
  • Politiikat
  • Menettelyt
  • Protokollat
  • Työkalut

joita käytetään kyberriskien hallintaan.

Riskienhallinnan viitekehys on tarkistettava vähintään kerran vuodessa.

Article 5: Governance and organisation
DORA
Article 6: ICT risk management framework
DORA

Riskienhallinnan menettelykuvaus -raportin julkaisu ja ylläpito

Critical
High
Normal
Low

The organization has defined procedures for assessing and treating cyber security risks. The definition includes at least:

  • Risk identification methods
  • Methods for risk analysis
  • Criteria for risk evaluation (impact and likelihood)
  • Risk priorisation, treatment options and defining control tasks
  • Risk acceptance criteria
  • Process implementation cycle, resourcing and responsibilities
  • The results should be included into the organization risk management process

The task owner regularly checks that the procedure is clear and produces consistent results.

T04: Turvallisuusriskien hallinta
Katakri
5.1.1: Tietoturvapolitiikat
ISO27 Täysi
8.2: Tietoturvariskien arviointi
ISO27k1 Täysi
ID.GV-4: Processes
NIST
ID.RA-5: Risk evaluation
NIST

Tietoturvariskien tunnistaminen ja dokumentointi

Critical
High
Normal
Low

Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:

  • Riskin kuvaus
  • Riskin vakavuus ja todennäköisyys
  • Riskiä hallitsevat ohjeet ja hallintatehtävät
  • Riskin hyväksyttävyys
T04: Turvallisuusriskien hallinta
Katakri
13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
24. Rekisterinpitäjän vastuu
GDPR
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
8.3: Tietoturvariskien käsittely
ISO27k1 Täysi

Havaittujen poikkeamien käsittelyprosessi ja dokumentointi

Critical
High
Normal
Low

Tietoturvan hallintajärjestelmän näkökulmasta poikkeamat ovat tilanteita, joissa:

  • organisaatioon kohdistuviin tietoturvavaatimuksiin ei löydy vastinetta hallintajärjestelmästä
  • hallintajärjestelmässä määritellyt menettelyt, tehtävät tai ohjeistukset eivät toteudu organisaation arjen toiminnassa

Systemaattisessa tietoturvatyössä kaikki havaitut poikkeamat on dokumentoitava. Poikkeaman käsittelemiseksi organisaation on määritettävä ja toteutettava parannukset, joilla poikkeama korjataan.

10.2: Poikkeamat ja korjaavat toimenpiteet
ISO27k1 Täysi
23: Häiriöiden- ja poikkeamienhallintaprosessi
Kokonaiskuva (DVV)
CC4.2: Evaluation and communication of internal control deficiencies
SOC 2
21.4: Non-conformities and corrective actions
NIS2
P8.1: Periodic monitoring of privacy compliance
SOC 2

Merkittävien tietoturvaan vaikuttavien muutosten arviointiprosessi ja dokumentointi

Critical
High
Normal
Low

Järjestelmällisessä turvallisuustyössä merkittävien muutosten vaikutukset on arvioitava ennakkoon ja muutokset toteutettava systemaattisesti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.

Merkittäviä muutoksia voivat olla mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin sekä tietojärjestelmiin kohdistuvat muutokset. Muutoksia voidaan tunnistaa mm. johdon katselmuksissa sekä muuten toiminnan ohessa.

6.3: Muutosten suunnittelu
ISO27k1 Täysi
8.1: Toiminnan suunnittelu ja ohjaus
ISO27k1 Täysi
12.1.2: Muutoksenhallinta
ISO27 Täysi
6.5: Tietojärjestelmien asennus, ylläpito ja päivitys
Omavalvonta
PR.IP-3: Configuration change control processes
NIST

Yleiset muutostenhallintamenettelyt (ST II)

Critical
High
Normal
Low

Järjestelmällisessä turvallisuustyössä muutosten vaikutukset on arvioitava ennakkoon, muutokset on dokumentoitava selkeästi ja toteutettava systemaattisesti.

Suojaustasolla II muutostenhallinnassa käytetään seuraavia toimintatapoja:

  • Tietojenkäsittelyyn liittyviin muutoksiin on määritelty muutoksenhallintamenettely (esim. määrittely, dokumentointi, riskien arviointi ja hallinta). Muutokset ovat jäljitettävissä.
  • Verkot, järjestelmät ja niihin liittyvät laitteet, ohjelmistot ja asetukset on dokumentoitu siten, että muutokset hyväksyttyyn kokoonpanoon pystytään havaitsemaan vertaamalla toteutusta dokumentaatioon.
  • Tietojenkäsittely-ympäristöjä tarkkaillaan luvattomien muutosten tai laitteistojen havaitsemiseksi.
  • Laitteistot suojataan luvattomien laitteiden (näppäilynauhoittimet ja vastaavat) liittämistä vastaan.
I20: Muutoshallintamenettelyt
Katakri

Yleiset muutostenhallintamenettelyt (ST IV-III)

Critical
High
Normal
Low

Järjestelmällisessä turvallisuustyössä muutosten vaikutukset on arvioitava ennakkoon, muutokset on dokumentoitava selkeästi ja toteutettava systemaattisesti.

Suojaustasoilla IV-III muutostenhallinnassa käytetään seuraavia toimintatapoja:

  • Tietojenkäsittelyyn liittyviin muutoksiin on määritelty muutoksenhallintamenettely (esim. määrittely, dokumentointi, riskien arviointi ja hallinta). Muutokset ovat jäljitettävissä.
  • Verkot, järjestelmät ja niihin liittyvät laitteet, ohjelmistot ja asetukset on dokumentoitu siten, että muutokset hyväksyttyyn kokoonpanoon pystytään havaitsemaan vertaamalla toteutusta dokumentaatioon.
  • Tietojenkäsittely-ympäristöjä tarkkaillaan luvattomien muutosten tai laitteistojen havaitsemiseksi.
I20: Muutoshallintamenettelyt
Katakri

Luettelo salassa pidettävän tiedon käsittelyä edellyttävistä työtehtävistä

Critical
High
Normal
Low

Organisaatio ylläpitää luetteloa salassa pidettävän tiedon käsittelyä edellyttävistä työtehtävistä. Pääsyoikeus salassa pidettävään tietoon myönnetään vasta, kun henkilön työtehtävistä johtuva tiedonsaantitarve on selvitetty. Luettelo sisältää tiedon salassa pidettävien tietojen käsittelyoikeuksista suojaustasoittain.

T12: Tiedonsaantitarve ja käsittelyoikeudet
Katakri
HAL-10: Henkilöstön luotettavuuden arviointi
Julkri
T-13: TIEDONSAANTITARVE JA KÄSITTELYOIKEUDET
Katakri 2020
I-06: VÄHIMPIEN OIKEUKSIEN PERIAATE – PÄÄSYOIKEUKSIEN HALLINNOINTI
Katakri 2020

Liittyvien tietoturvariskien dokumentointi tapahtuneille tietoturvahäiriöille

Critical
High
Normal
Low

Organisaatio arvioi tietoturvaan liittyvien riskejä reagoimalla tilanteisiin, joissa tietoturva on lievästi tai vakavasti pettänyt. Dokumentaatio sisältää vähintään seuraavat asiat:

  • Häiriön kuvaus
  • Häiriöön liittyneet riskit
  • Häiriön johdosta käyttöön otetut uudet hallintatehtävät
  • Häiriön johtosta toteutetut muut toimenpiteet
T05: Jatkuvuuden hallinta
Katakri
24. Rekisterinpitäjän vastuu
GDPR
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
8.3: Tietoturvariskien käsittely
ISO27k1 Täysi
21.2.a: Risk management and information system security
NIS2

Tietoturvan hallintajärjestelmän toteuttamisen säännöllinen sisäinen valvonta

Critical
High
Normal
Low

Tietoturvan hallintajärjestelmän tulisi valvoa sinne kirjattujen tehtävien ja ohjeistusten toteuttamista.

Tehtävän omistajan tulisi tarkastalle tietoturvan hallintajärjestelmän toteutustilannetta kokonaisuutena säännöllisesti.

18.2.2: Turvallisuuspolitiikkojen ja -standardien noudattaminen
ISO27 Täysi
8.1: Toiminnan suunnittelu ja ohjaus
ISO27k1 Täysi
CC4.2: Evaluation and communication of internal control deficiencies
SOC 2
5.36: Tietoturvallisuutta koskevien toimintaperiaatteiden, sääntöjen ja standardien noudattaminen
ISO27k1 Täysi
4.4: Tietoturvallisuuden hallintajärjestelmä
ISO27k1 Täysi

Katastrofisuunnitelmien harjoitteleminen

Critical
High
Normal
Low

Organisaation on harjoiteltava katastrofisuunnitelmien toteuttamista vuosittain tai aina merkittävästi suunnitelmaa muutettaessa.

Jos mahdollista, on hyödyllistä sisällyttää paikalliset viranomaiset mukaan harjoitukseen.

Riskienhallinnan tulosten huomiointi jatkuvuussuunnittelussa

Critical
High
Normal
Low

Organisaation on arvioitava erilaisista syistä johtuvien toiminnankeskeytysten ja riskien aiheuttama mahdollinen vahinko toiminnalle. Tämän arvioinnin perusteella on priorisoitava jatkuvuussuunnittelussa eri teemoja, jotta suunnittelu keskittyy riskilähtöisesti tärkeimpiin asioihin.

29: Jatkuvuuteen liittyvien riskien arviointi
Kokonaiskuva (DVV)
30: Riskeihin perustuvat jatkuvuussuunnitelmat
Kokonaiskuva (DVV)
1.4.1: Management of Information Security Risks
TISAX

Riskienhallinnan tulosten huomioiminen auditointimenettelyissä

Critical
High
Normal
Low

Organisaation on huomioitava riskienhallintamenettelyjen tuottamat tulokset suunnitellessaan sisäisten auditointien aihepiirejä ja toteutusta sekä toteuttaessaan auditointeja.

Article 6: ICT risk management framework
DORA
1.4.1: Management of Information Security Risks
TISAX

Prosessi tietoturvanäkökohtien sisällyttämiseksi projektinhallintaan

Critical
High
Normal
Low

Organisaatiossa on määritelty, kuinka tietoturvanäkökohdat integroidaan käytettyihin projektinhallintamenetelmiin. Käytössä olevien menetelmien tulee edellyttää:

  • Projektin tietoturvaan liittyvät riskit tunnistetaan, arvioidaan ja käsitellään projektin varhaisessa vaiheessa
  • Projektin tietoturvaan liittyvät riskit tarkastellaan tarvittaessa
  • Vastuu projektin tietoturvasta liittyy selkeästi tiettyihin projektirooleihin
6.1.5: Tietoturvallisuus projektinhallinnassa
ISO27 Täysi
5.8: Tietoturvallisuus projektinhallinnassa
ISO27k1 Täysi
1.2.3: Information Security requirements in projects
TISAX

Kriittisten toimintojen huomiointi riskienhallinnassa

Critical
High
Normal
Low

Organisaation on tunnistettava sen toiminnan jatkuvuuden kannalta kriittiset toiminnot (esim. asiakkaalle tarjottavat palvelut).

Kriittisiin toimintoihin liittyviä riskejä tulisi tunnistaa, arvioida sekä käsitellä korostetusti sekä säännöllisesti yhteistyössä palveluntoimittajien kanssa.

74: Kriittisten palveluiden riskien arviointi ja hallinta
Kokonaiskuva (DVV)
ID.BE-4: Dependencies and critical functions for delivery of critical services are established.
CyFun

Riskienhallinnan tilan seuraaminen

Critical
High
Normal
Low

Toteutettuja riskienhallintatoimenpiteitä sekä riskienhallinnan kokonaistilannetta tarkastalleen säännöllisesti.

Toimintamalli riskienhallinnan tilan seuraamiseen on selkeästi kuvattu.

19: Riskienhallinan tilanteen seuraaminen
Kokonaiskuva (DVV)
CC5.1: Control activities for mitigation of risks
SOC 2
Article 6: ICT risk management framework
DORA
2.5: Riskienhallinta
TiHL: Tietoturva
1.1.3: Identify the organisation’s processes for ICT risk management
NSM ICT-SP

Kriittisten riskien välitön raportointi johdolle

Critical
High
Normal
Low

Organisaation toimintaa uhkaavista kriittisistä riskeistä raportoidaan organisaation johdolle välittömästi.

Raportointia varten on olemassa selkeästi suunniteltu toimintamalli.

18: Kriittisten riskien raportointi
Kokonaiskuva (DVV)
1.1.3: Identify the organisation’s processes for ICT risk management
NSM ICT-SP

Muutoshallintamenettelyt tietojenkäsittely-ympäristöissä (TL IV)

Critical
High
Normal
Low
  • Tietojenkäsittely-ympäristö on dokumentoitu sellaisella tasolla, että siitä pystytään selvittämään tietojenkäsittely-ympäristössä käytetyt laitteet ja ohjelmistot versiotietoineen (laite-, käyttöjärjestelmä- ja sovellusohjelmistot) ja se tukee myös haavoittuvuuksien hallintaa.
  • Tietojenkäsittely-ympäristöjä tarkkaillaan luvattomien muutosten tai laitteistojen havaitsemiseksi. Tietojenkäsittely-ympäristön kirjanpito pidetään ajan tasalla koko elinkaaren ajan.
  • Tietojenkäsittely-ympäristön turvallisuuden toteuttamiseen liittyvän aineiston (dokumentaatiot, sähköiset kirjanpidot ja vast.) luokittelu- ja suojaamistarpeet on määritetty.
TEK-17.3: Muutoshallintamenettelyt
Julkri
I-16: TURVALLISUUSLUOKITELLUN TIEDON KÄSITTELYYN LIITTYVÄN TIETOJENKÄSITTELY-YMPÄRISTÖN SUOJAUS KOKO ELINKAAREN AJAN – MUUTOSHALLINTAMENETTELYT
Katakri 2020

Fyysisen turvallisuuden riskien arviointi

Critical
High
Normal
Low

Fyysiset turvatoimet on mitoitettava riskien arvioinnin mukaisesti. Riskien arvioinnissa tulee ottaa huomioon esimerkiksi pääsyoikeuksien hallintaan ja muihin turvallisuusjärjestelyihin liittyviin prosesseihin sisällytettävät tiedonsaantitarpeen, tehtävien eriyttämisen ja vähimpien oikeuksien periaatteet. Fyysisiä turvatoimia koskevan riskien arvioinnin tulee olla säännöllistä ja osa organisaation riskienhallinnan kokonaisuutta. Arvioiduilla riskeillä on nimetyt omistajat.

Riskien arvioinnissa on otettava huomioon kaikki asiaan kuuluvat tekijät, erityisesti

seuraavat:

  • Tietojen turvallisuusluokka ja salassapitoperuste;
  • Tietojen käsittely- ja säilytystapa sekä määrä ottaen huomioon, että tietojen suuri määrä tai kokoaminen yhteen voi edellyttää tiukempien riskienhallintatoimenpiteiden soveltamista;
  • Tietojen käsittely- ja säilytysaika
  • Tietojen käsittely- ja säilytyspaikan ympäristö: rakennuksen ympäristö, sijoittuminen rakennuksessa, tilassa tai sen osassa;
  • Hälytystilanteisiin liittyvä vasteaika
  • Ulkoistetut toiminnot, kuten huolto-, siivous-, kiinteistö- ja turvallisuuspalvelut
  • Tiedustelupalvelujen, rikollisen toiminnan ja oman henkilöstön muodostama arvioitu uhka tiedoille
FYY-01: Fyysisen turvallisuuden riskien arviointi
Julkri
F-02: Fyysisten turvatoimien riskien arviointi
Katakri 2020
8 §: Kyberturvallisuutta koskeva riskienhallinnan toimintamalli
KyberTL

Palveluun liittyvät lainsäädäntöjodannaiset riskit

Critical
High
Normal
Low

Lainsäädäntöjohdannaisilla riskeillä viitataan eri maiden lainsäädännössä oleviin mahdollisuuksiin velvoittaa palveluntarjoaja toimimaan yhteistyössä kyseisen maan viranomaisten kanssa, ja tarjoamaan esimerkiksi suora tai epäsuora pääsy palvelun asiakkaiden salassa pidettäviin tietoihin. Lainsäädäntöjohdannaiset riskit voivat ulottua sekä salassa pidettävän tiedon fyysiseen sijaintiin sekä muun muassa toisesta maasta käsin hallintayhteyksien kautta toteutettavaan tietojen luovutukseen. Lainsäädäntöjohdannainen tietojen luovuttaminen ja tutkimusoikeus on useissa maissa rajattu koskevaksi poliisia sekä tiedusteluviranomaisia.

Riskienarvioinnin tulisi kattaa lainsäädäntöjohdannaiset riskit vähintään seuraavien tekijöiden osalta:

  • Palvelussa käsiteltävän tiedon fyysinen sijainti koko tiedon elinkaaren ajalta, kattaen myös mahdolliset alihankinta- ja ulkoistusketjut.
  • Palvelun eri toimintojen (esimerkiksi ylläpito- ja hallintaratkaisut, varmistukset) ja komponenttien fyysinen sijainti koko tiedon elinkaaren ajalta.
  • Mahdolliset muut palvelun tuottamiseen osallistuvat tahot, esimerkiksi mahdolliset alihankinta-ja ulkoistusketjut.
  • Palvelun käyttöön ja palvelussa käsiteltäviin tietoihin sovellettava lainsäädäntö ja oikeuspaikka.
  • Toimijat, joilla voi sovellettavasta lainsäädännöstä johtuen olla pääsy palvelussa käsiteltäviin tietoihin.

Organisaation tulee varmistaa, että lainsäädäntöjohdannaiset riskit eivät rajoita palvelun soveltuvuutta sen käyttötarkoitukseen. Lainsäädäntöjohdannaisten riskien arvioinnissa on otettu huomioon koko palvelun tuottamisessa käytetty toimitusketju, ja niiden valtioiden säännökset, joiden mukaisesti palvelua tuotetaan sekä riski tietojen oikeudettomasta paljastumisesta näiden valtioiden viranomaisille.

HAL-06.1: Riskienhallinta - lainsäädäntöjohdannaiset riskit
Julkri

Riskien käsittelyvaiheessa määriteltyjen tietoturvallisuustoimenpiteiden arviointi

Critical
High
Normal
Low

Tietoturvariskien hallintaa toteuttaessaan organisaation on tunnistettava käsittelyä vaativat riskit ja määriteltävä näille käsittelysuunnitelmat, jotka usein koostuvat uusista tietoturvallisuustoimenpiteistä.

Organisaatio on määritellyt, kuinka säännöllisesti arvioidaan kokonaisuutena määriteltyjä käsittelysuunnitelmia ja niiden oikeasuhtaisuutta riskeille täytettyihin arvioihin (riskin vakavuus ja todennäköisyys) verrattuna.

HAL-06: Riskienhallinta
Julkri
RISK-4: Respond to Cyber Risk
C2M2: MIL1
CC5.1: Control activities for mitigation of risks
SOC 2
1.4.1: Management of Information Security Risks
TISAX

Organisaation hyväksymä riskitaso

Critical
High
Normal
Low

Organisaation täytyy määrittää hyväksyttävä taso riskeille. Taso lasketaan riskien todennäköisyyden, vakavuuden ja hallintakeinojen pohjalta.

ID.RM-2: Risk tolerance
NIST
ID.RM-3: Informing of risk tolerance
NIST
6.1: Tietoturvariskien hallinta
ISO27k1 Täysi
RISK-1: Establish and Maintain Cyber Risk Management Strategy and Program
C2M2: MIL1
21.2.a: Risk management and information system security
NIS2

Riskienhallinnan menettelykuvauksen hyväksyminen

Critical
High
Normal
Low

Organisaation on luotava menettelykuvaus riskienhallintaprosesseille ja sen täytyy olla hyväksytty organisaatiossa. Organisaation on sovittava siitä organisaation sidosryhmien kanssa.

ID.RM-1: Risk management processes
NIST
Article 6: ICT risk management framework
DORA
1.4.1: Management of Information Security Risks
TISAX
ID.RM-1: Risk management processes are established, managed, and agreed to by organizational stakeholders.
CyFun

Riskien vakavuuden ja todennäköisyyden arviointi sekä käytetyt asteikot

Critical
High
Normal
Low

Organisaation on osana tietoturvariskien arviointia tehtävä arviot riskin toteutumisen vakavuudesta ja todennäköisyydestä.

Organisaatiolla on oltava selkeästi ohjeistettu riskiasteikko, jonka avulla jokainen riskien arviointiin osallistuva pystyy päättämään oikean tason vakavuudelle ja todennäköisyydelle.

ID.RA-4: Impacts on business
NIST
Article 6: ICT risk management framework
DORA
2.5: Riskienhallinta
TiHL: Tietoturva
1.4.1: Management of Information Security Risks
TISAX
ID.RA-5: Threats, vulnerabilities, likelihoods, and impacts are used to determine risk
CyFun

Toiminnan jatkuvuuden vaarantavien riskien tunnistaminen ja niiden käsittelysuunnitelmat

Critical
High
Normal
Low
CC9.1: Treatment plans for business disruption risks
SOC 2

Tehtävien eriyttäminen tietoturvariskien hallinnassa

Critical
High
Normal
Low

Tietoturvariskien hallinnassa tehtävien tulee olla eriytettynä, mikäli ne eivät ole yhteensopivia.

Tilanteessa, jossa tehtävät eivät ole yhteensopivia, mutta tehtävien eriyttäminen ei ole käytännöllistä on kehitettävä erilliset hallintakeinot sen valvomista varten.

CC5.1: Control activities for mitigation of risks
SOC 2

Tietoturvatavoitteiden huomioiminen riskien arvioinnissa

Critical
High
Normal
Low

Organisaation on huomioitava riskit tietoturvatavoitteiden saavuttamiselle. Tavoitteiden saavuttamiseen liittyviä riskejä tulee lieventää asettamalla hallintakeinoja ainakin seuraaville osa-alueille:

  • Riskienarviointiprosessi
  • Organsiaatiokohtaiset tekijät, kuten ympäristö, luonto, organsiaation rakenne ja sen toimintojen laajuus
  • Olennaiset liiketoimintaprosessit
CC5.1: Control activities for mitigation of risks
SOC 2

Turvallisuusluokiteltujen tietoihin kohdistuvien riskien huomioiminen riskienhallinnassa

Critical
High
Normal
Low

Organisaation johto vastaa, että:

  • organisaatiolla on ylimmän johdon hyväksymät turvallisuusperiaatteet, jotka kuvaavat organisaation tietoturvallisuustoimenpiteiden kytkeytymistä organisaation toimintaan
  • turvallisuusperiaatteet ovat turvallisuusluokiteltujen tietojen suojaamisen kannalta kattavat ja tarkoituksenmukaiset
  • turvallisuusperiaatteet ohjaavat tietoturvallisuustoimenpiteitä
  • organisaatiossa on järjestetty riittävä valvonta turvallisuusluokiteltujen tietojen tiedonhallintaan liittyvien velvoitteiden ja ohjeiden noudattamisesta.

Johdon tuki, ohjaus ja vastuu ilmenevät sillä, että organisaatiolla on ylimmän johdon hyväksymät turvallisuusperiaatteet, jotka kuvaavat organisaation tietoturvallisuustoimenpiteiden kytkeytymistä organisaation toimintaan. Tällä osoitetaan, että johto on sitoutunut organisaation turvallisuusperiaatteisiin ja periaatteet edustavat johdon tahtotilaa sekä tukevat organisaation toimintaa. Periaatteet voidaan kuvata monin eri tavoin, esimerkiksi yksittäisenä dokumenttina, osana yleisiä toimintaperiaatteita, politiikkaa tai strategiaa.

T-03: TIETOTURVALLISUUSRISKIEN HALLINTA
Katakri 2020

ICT-riskienhallinnan vastuun osoittaminen asianmukaiselle toimijalle

Critical
High
Normal
Low

Vastuu organisaatioiden ICT-riskien hallinnasta tulisi antaa toimijalle, joka on riittävän riippumaton riskienhallinnan suorittamiseksi ilman eturistiriitoja.

Riskienhallinnan riippumattomuus ja johtamis-, valvonta- ja auditointitoimien erottelu on varmistettava.

Article 6: ICT risk management framework
DORA

Asset-kohtaisen riskien tunnistamisen mahdollistaminen hallintajärjestelmässä

Critical
High
Normal
Low

Organisaation on ottanut käyttöön asset-kohtaisen riskienhallinnan hallintajärjestelmän asetuksista.

Asset-kohtainen riskienhallinta asetetaan kattamaan kaikki relevantit omaisuustyypit, joiden kriittisyys nähdään riittävän suurena. Asset-kohtaista riskienhallintaa tulisi harkita ainakin seuraavien listausten yhteydessä:

  • Järjestelmätoimittajat
  • Tietojärjestelmät
  • Tietovarannot
  • Muut sidosryhmät
  • Muu suojattava omaisuus
Article 8: Identification
DORA
2.5: Riskienhallinta
TiHL: Tietoturva
5.2.2: Seperation of testing and development environments
TISAX
1.1.3: Identify the organisation’s processes for ICT risk management
NSM ICT-SP

Riskien tunnistaminen ja arviointi tietoaineistojen luokittelun perusteella

Critical
High
Normal
Low

Organisaatio suunnittelee ja priorisoi tietoturvariskien tunnistamiseen ja arviointiin liittyvät toimenpiteet tietoaineistojen luokittelun perusteella.

Riskienarvioinnin viitekehyksen luominen ja ylläpito

Critical
High
Normal
Low

Valitse oikea menetelmä riskinarviointia varten. Riskien tunnistamiseen ja arviointiin on olemassa useita erilaisia menetelmiä. On tärkeää, että organisaatio valitsee menetelmän, jonka avulla riskien arviointi on hallittavissa ja jonka avulla voidaan tunnistaa merkittävimmät riskit, keskustella niistä ja hallita niitä. Esimerkkejä erilaisista menetelmistä/viitekehyksistä ovat ISO/IEC 27005, NIST SP 800-30 ja Octave Allegro.

1.1.3: Identify the organisation’s processes for ICT risk management
NSM ICT-SP

Risk management policy -report publishing, informing and maintenance

Critical
High
Normal
Low

The organization has a defined cybersecurity risk management policy and it has been communicated to relevant stakeholders and been approved by the top management. The policy should include at least:

  • Basis for setting the risk management requirements and objectives based on the organizational context
  • Commitment to the cyber security risk management system
  • Strategic directions of the risk management process
  • Overview of the roles and responsibilities for risk management

The policy should be kept updated, reviewed periodically and reflect organizational changes. The task owner should also ensure that the policy is understandable and available to all parties.

Strategic opportunities and positive risks

Critical
High
Normal
Low

Strategic opportunities can address the organization's cybersecurity risks and enhance the overall strategic positioning. Identify and include them into the organizational cybersecurity risk discussions for example by the following:

  • Define methods for identifying and integrating the strategic opportunities, such as the SWOT analysis
  • Identify and document organization's stretch goals and align organization’s risk management procedure with them
  • Calculate, document, and prioritize positive risks alongside negative risks, ensuring both are considered in decision-making processes

Risk management policy -report publishing, informing and maintenance

Critical
High
Normal
Low

The organization has a defined cybersecurity risk management policy and it has been communicated to relevant stakeholders and been approved by the top management. The policy should include at least:

  • Basis for setting the risk management requirements and objectives based on the organizational context
  • Commitment to the cyber security risk management system
  • Strategic directions of the risk management process
  • Overview of the roles and responsibilities for risk management

The policy should be kept updated, reviewed periodically and reflect organizational changes. The task owner should also ensure that the policy is understandable and available to all parties.

Evaluation of risk management strategy, results and performance

Critical
High
Normal
Low

Organization has defined procedures on measuring and evaluating the performance of the risk management strategy and the outcomes of occurred risks.

  • The strategy and outcomes should be evaluated against factors such as how well the strategy has helped the management to make decisions and achieve organizational objectives, and whether the strategies or policies should be adjusted.
  • The risk management strategy should be periodically reviewed for organizational internal (e.g. risk tolerance and policies) and external (e.g. laws and regulations) compliance, also taking the occurred cybersecurity incidents into account here.
  • The organizational risk management performance is measured and reviewed with key performance indicators (KPIs), key risk indicators (KRIs) and other metrics to adjust the risk management process when needed.

The results are communicated to the top management and other relevant stakeholders, and the necessary actions and adjustments are performed.

Säännöllinen ulkopuolinen tietoturvakäytäntöjen auditointi

Critical
High
Normal
Low

Organisaatiossa suoritetaan säännöllisesti tietoturva-auditointia. Auditoinnin avulla tunnistetaan esimerkiksi tietojärjestelmiin sekä järjestelmätoimittajiin liittyviä puutteita ja kehitystarpeita.

Tärkeät auditointia suorittavat kumppanit kannattaa listata Muut sidosryhmät -osiossa.

18.2.1: Tietoturvallisuuden riippumaton katselmointi
ISO27 Täysi
5.35: Tietoturvallisuuden riippumaton katselmointi
ISO27k1 Täysi
51: Tietoturvallisuuden auditointi
Kokonaiskuva (DVV)
CC4.1: Evaluation of internal controls
SOC 2
21.2.f: Assessing effectiveness of security measures
NIS2

Muutostenhallintamenettelystä poikkeamisen säännöt

Critical
High
Normal
Low

Organisaatiolla on oltava suunniteltuna säännöt kiireellisiä poikkeustilanteita, kuten hätätilanteita varten, joissa sääntöjä noudattamalla normaalista muutostenhallintamenettelystä voidaan poiketa.

Muutostenhallintamenettelystä poikkeamisen sääntöjen tulisi sisältää viittaukset ja vertaukset normaaliin muutostenhallintamenettelyyn sekä mm. tarvittavat todisteet toteutetusta poikkeamisesta.

CC3.4: Identification and assesment of changes
SOC 2
5.2.1: Change management
TISAX

Muutostenhallintamenettelyn laiminlyömisen havaitseminen

Critical
High
Normal
Low

Organisaatiolla on oltava ennalta suunniteltuja havaitsemiskeinoja muutoshallintamenettelyn laiminlyömisen havaitsemiseen.

Jos poikkeama muutoshallintamenettelystä havaitaan, sen käsittelyä tulisi jatkaa häiriöiden hallintaprosessin mukaisesti.

CC3.4: Identification and assesment of changes
SOC 2

Riskienhallintaprosessin jatkuva parantaminen

Critical
High
Normal
Low

Organisaatiolla on toimintamalli riskienhallintaprosessin toimivuuden ja tehokkuuden jatkuvaan parantamiseen.

Parantamisessa voidaan hyödyntää mm. yleisiä standardeja (mm. ISO 27005) tai riskienhallintaan osallistuneiden henkilöiden palautteita.

21: Riskienhallintaprosessin kehittäminen
Kokonaiskuva (DVV)
21.2.a: Risk management and information system security
NIS2
Article 6: ICT risk management framework
DORA
1.4.1: Management of Information Security Risks
TISAX
8 §: Kyberturvallisuutta koskeva riskienhallinnan toimintamalli
KyberTL

Jäännösriskien arviointi

Critical
High
Normal
Low

Riskikäsittelyn toteuttamisen jälkeen organisaatio arvioi jäljelle jäävän jäännösriskin tason riskikohtaisesti.

Jäännösriskin suhteen tehdään selkeä päätökset riskin omistajan toimesta joko riskin sulkemiseksi tai riskin palauttamiseksi käsittelyjonoon.

20: Jäännösriskien arviointi
Kokonaiskuva (DVV)
21.2.a: Risk management and information system security
NIS2
2.5: Riskienhallinta
TiHL: Tietoturva
7 §: Riskienhallinta
KyberTL
ID.GV-4: Governance and risk management processes address cybersecurity risks.
CyFun

Yleisen riskitilanteen säännöllinen viestintä organisaation johdolle

Critical
High
Normal
Low

Organisaation riskinäkymistä raportoidaan organisaation johdolle säännöllisesti ja vähintään kerran vuodessa.

17: Riskitilanteen raportointi johdolle
Kokonaiskuva (DVV)
CC3.2: Identification of risks related to objectives
SOC 2
1.1.4: Identify the organisation’s tolerances for ICT risk
NSM ICT-SP

Kumppaniriskien huomiointi tietoturvariskien hallinnassa

Critical
High
Normal
Low

Organisaation tulee huomioida kumppaneista aiheutuvat riskit tietoturvariskien hallinnassa. Tarvittaessa kriittisistä kumppaneista voidaan tehdä erillisiä teemakohtaisia riskiarvioita.



CC9.2: Partner risk management
SOC 2
1.3.3: Use of approved external IT services
TISAX

Salauksen ja salausavainten hallinnan huomiointi riskienhallintamenettelyissä

Critical
High
Normal
Low

Organisaatiolla täytyy olla salausavainten hallintaan liittyvä riskienhallintamenettely, joka sisältää riskien arvioinnin, käsittelyn ja seuraamisen.