Organisaation tulee luoda ja ylläpitää kattava ja hyvin dokumentoitu riskienhallinan viitekehys.

Riskienhallinnan viitekehyksen tulisi sisältää ainakin:

• Strategiat
• Politiikat
• Menettelyt
• Protokollat
• Työkalut

joita käytetään kyberriskien hallintaan.

Riskienhallinnan viitekehys on tarkistettava vähintään kerran vuodessa.

Organisaatiolla on määritelty tietoturvariskien hallintaa koskeva politiikka, josta on tiedotettu asianomaisille sidosryhmille ja jonka ylin johto on hyväksynyt. Politiikkaan olisi sisällyttävä ainakin seuraavat asiat

• Peruste riskienhallinnan vaatimusten ja tavoitteiden asettamiselle organisaation kontekstin perusteella.
• Sitoutuminen tietoturvariskien hallintajärjestelmään.
• Riskienhallintaprosessin strategiset suuntaviivat
• Yleiskatsaus riskienhallinnan rooleihin ja vastuualueisiin

Politiikka olisi pidettävä ajan tasalla, sitä olisi tarkistettava säännöllisesti ja siinä olisi otettava huomioon organisaatiomuutokset. Tehtävän omistajan olisi myös varmistettava, että politiikka on ymmärrettävä ja kaikkien osapuolten saatavilla.

Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:

• Riskin kuvaus
• Riskin vakavuus ja todennäköisyys
• Riskiä hallitsevat ohjeet ja hallintatehtävät
• Riskin hyväksyttävyys

Organisaatio on määritellyt menettelyt tietoturvariskien arvioimiseksi ja käsittelemiseksi. Menettelyihin sisältyy ainakin:

• Riskien tunnistamismenetelmät
• Riskianalyysimenetelmät
• Riskien arviointiperusteet (vaikutus ja todennäköisyys).
• Riskien priorisointi, käsittelyvaihtoehdot ja valvontatehtävien määrittely.
• riskien hyväksymiskriteerit
• Prosessin toteuttamissykli, resursointi ja vastuut
• Tulokset olisi sisällytettävä organisaation riskinhallintaprosessiin.

Tehtävän omistaja tarkistaa säännöllisesti, että menettely on selkeä ja tuottaa johdonmukaisia tuloksia.

Jos tuote sisältää teknisiä osia, teknisiä asiakirjoja tulee täydentää riskinarvioinnilla. Jos tuotteeseen sovelletaan myös muuta EU:n säädöstä, jossa edellytetään riskinarviointia, kyseisen säädöksen edellyttämä riskinarviointi voi olla osa tietoturvaa koskevaa riskinarviointia.

Valmistajalla on prosessi haavoittuvuuksien hallintaa varten. Tässä prosessissa tuotteessa havaitut haavoittuvuudet arvioidaan ja käsittelyä koskevat päätökset dokumentoidaan liitteessä I olevassa II osassa esitettyjen haavoittuvuuksien käsittelyä koskevien vaatimusten mukaisesti.

Riskinarviointi on dokumentoitava ja saatettava ajan tasalle tämän artiklan 8 kohdan mukaisesti määritettävän ajanjakson aikana.

Organisaatio arvioi tarjoamiinsa tuotteisiin liittyvät tietoturvariskit.

Riskien arviointi on keskeinen osa kehitysprosessia, ja se on toistettava asianmukaisin väliajoin tai kun tuotteeseen tehdään merkittäviä muutoksia.

Riskinarviointi kattaa vähintään seuraavat seikat:

• tiedot, jotka todennäköisesti ovat vaarassa (esim. henkilötiedot, liikesalaisuudet).
• Arvioinnin tulokset tuotteen suunnittelu-, suunnittelu-, kehitys-, tuotanto-, toimitus- ja ylläpitovaiheissa.
• uhkatekijät, jotka todennäköisesti yrittävät vahingoittaa tietoja (esim. hakkerit, virukset).
• haavoittuvuudet, joita voidaan käyttää hyväksi (esim. heikko pääsynvalvonta, puuttuvat järjestelmäasiakirjat).
• Vaikutus, joka voi aiheutua, jos riski toteutuu (esim. maineen menetys, taloudellinen menetys).

Riskit arvioidaan organisaation yleisen riskinottohalukkuuden avulla.

Organisaatiolla on järjestelmä kuhunkin loogiseen ohjausjärjestelmään liittyvien riskien arvioimiseksi. Järjestelmässä käytetään organisaatioon ja sen järjestelmiin räätälöityjä kriteerejä, esimerkiksi: järjestelmän tärkeys, tarvittava turvallisuustaso ja vian mahdollinen vaikutus.

Organisaation olisi määriteltävä, kuinka usein se tekee riski- ja haavoittuvuusarviointeja. Organisaation olisi myös määriteltävä tarvittavat kriteerit uudelleenarviointia varten, kuten muutokset teknologiassa, organisaatiossa tai toimintaprosesseissa.

Ennen riskien tunnistamisprosessin aloittamista riskinarviointitoimintaan osallistuville olisi annettava taustatietoa ja koulutusta. Näihin kuuluvat:

• riskin määritelmät (mukaan lukien asiaan liittyvät tekniset termit)
• riskien ymmärtäminen (todennäköisyys ja vaikutus)
• valittua riskinarviointimenetelmää koskeva koulutus
• tietämys riskinarvioinnin erityiskohteista, mukaan lukien niiden toimintaympäristö, haavoittuvuudet ja mahdolliset uhat, joita ne voivat kohdata.

Organisaatiolla on käytössä prosessi, jolla varmistetaan, että kaikki liiketoimintastrategiaan tai digitaalisen toiminnan häiriönsietokykyä koskevaan strategiaan tehtävät muutokset arvioidaan mahdollisten tieto- ja viestintätekniikkariskien osalta.

Tieto- ja viestintätekniikan riskienhallintatoiminto tarkastelee tällaisia muutoksia koordinoidusti asiaankuuluvien sidosryhmien kanssa uusien riskien tai nykyisiin tieto- ja viestintätekniikan valvontaan, järjestelmiin tai prosesseihin kohdistuvien vaikutusten tunnistamiseksi.

Kaikki tunnistetut riskit kirjataan tieto- ja viestintätekniikan riskirekisteriin ja harkitaan asianmukaisia riskinhallintatoimenpiteitä. Tällä prosessilla varmistetaan, että strategiset päätökset ovat linjassa organisaation tieto- ja viestintätekniikan riskienhallintakehyksen kanssa ja että strategisista muutoksista aiheutuvat riskit arvioidaan, dokumentoidaan ja hallitaan asianmukaisesti.

Organisaation olisi luotava prosessi, jolla seurataan riskejä, jotka koskevat:

• kaikki muutokset tieto- ja viestintätekniikan riski- ja kyberuhkamaisemassa
• sisäiset ja ulkoiset haavoittuvuudet ja uhat
• finanssiyksikön tieto- ja viestintätekniikkariski, joka mahdollistaa sellaisten muutosten ennakoivan havaitsemisen, jotka voivat vaikuttaa sen tieto- ja viestintätekniikkariskiprofiiliin.

Riskien käsittelyn jälkeen organisaation on arvioitava ja tunnistettava jokaisen arvioidun ICT riskin osalta mahdolliset jäljelle jäävät jäännösriskit. Jäännösriskit, jotka ylittävät organisaation määrittelemän tietoturvariskien sietokyvyn tason, on joko käsiteltävä edelleen tai riskin omistajan on hyväksyttävä ne virallisesti.

Tällaisten jäännösriskien hyväksyminen edellyttää dokumentoituja perusteluja ja ylimmän johdon tai nimetyn riskienhallintaelimen virallista hyväksyntää. Organisaation on ylläpidettävä luetteloa kaikista hyväksytyistä jäännösriskeistä ja niiden perusteluista.

Kaikki hyväksytyt jäännösriskit on tarkistettava vähintään kerran vuodessa. Tarkistukseen sisältyy:

• jäännösriskiin mahdollisesti tehtävien muutosten tunnistaminen
• uusien tai käytettävissä olevien lieventämistoimenpiteiden arviointi
• hyväksymisperusteiden pätevyyden uudelleenarviointi.

Organisaation on määriteltävä tieto- ja viestintätekniikan (TVT) riskinsietokyvyn taso tunnistamalla keskeiset TVT-riskiluokat (esim. kyberturvallisuusuhat, järjestelmän käyttökatkokset, tietojen menetys) ja määrittelemällä riskitaso, jonka rahoitusyksikkö on valmis hyväksymään yleisen riskinottohalukkuutensa mukaisesti.

Organisaation on analysoitava TVT-häiriöiden vaikutusten sietokyky määrittämällä kriittisten TVT-palvelujen suurin hyväksyttävä käyttökatkos ja tietojen menetys, ottaen huomioon mahdolliset vaikutukset liiketoimintaan, asiakkaisiin ja sääntelyyn. Määritelty riskinsietokyky ja vaikutuskynnykset on dokumentoitava johdon tarkastelua ja hyväksyntää varten.

The organization must implement policies and procedures to prevent, detect, contain, and correct security violations. They must conduct risk analyses, implement risk management measures, enforce sanctions for noncompliance, and regularly review information system activity to protect electronic protected health information.

Organisaation on laadittava ja dokumentoitava korjaussuunnitelma havaittuja puutteita varten. Suunnitelmassa olisi eriteltävä yksityiskohtaisesti erityistoimenpiteet, jotka toteutetaan puutteiden, erityisesti itsearviointiprosessin aikana havaittujen puutteiden, käsittelemiseksi ja korjaamiseksi.

Organisaation johdon on tarkistettava ja hyväksyttävä korjaussuunnitelma, jotta varmistetaan sitoutuminen ja resurssien osoittaminen sen toteuttamiseen. Suunnitelmassa esitettyjen toimenpiteiden olisi oltava johdonmukaisia organisaation yleisen riskienhallintakehyksen ja sovellettavien riskienkäsittelytoimenpiteiden kanssa.

Jos asiaa koskevissa säännöksissä (esim. Romanian DNSC:ssä) edellytetään, organisaation olisi toimitettava valmis korjaussuunnitelma nimetylle viranomaiselle 30 päivän kuluessa itsearvioinnin loppuun saattamisesta.

The organization must integrate a security risk assessment into its procurement process. The risk assessment shall include:

• Preliminary evaluation to determine whether if the procurement poses a negligible or non-negligible risk
• Risk assessment of the procurement
• Final informed and documented decision, which may include approving the acquisition as is, approving it with specific mitigating security controls, selecting an alternative product, or rejecting the acquisition

Organisaation on otettava käyttöön ja ylläpidettävä prosessia, jolla tunnistetaan kaikki henkilöt, jotka tarvitsevat pääsyn CONFIDENTIAL- tai sitä korkeamman turvaluokan tietoihin, hallinnoidaan vaadittavaa selvitysprosessia kansallisen turvallisuusviranomaisen kanssa ja dokumentoidaan kaikki asiaan liittyvät päätökset ja tilanteet.

The organization must implement a formal process for maintaining, revoking, downgrading and suspending existing security authorizations. Reasons for managing security clearance include but not limited to:

• An individual with the security clearance resigns
• The need to access classified information no longer exists
• The expiration or revocation of an individual's underlying security clearance

The organization must establish and follow a formal procedure for granting authorization to personnel. An authorization must include, at a minimum:

• A structured authorization interview to assess the suitability for the requested access
• Before authorization is granted, the authorization authority must have no information that gives reasonable grounds to doubt that the person is security-fit. The decision and its basis must be documented.

The organization, engaged in security-sensitive activities, is required to assess their need for protective security through a documented analysis. Security sensitive activities include handling classified information, or conducting any other security sensitive activities of importance to Sweden's security. The security protection analysis should answer the following questions:

• What should be protected? Does the business handle classified information? Are there facilities, objects, systems, property and other assets of importance to Sweden's security?
• Against what should it be protected? What security threats exist against the activities covered by the Security Protection Act? What vulnerabilities exist in the business?
• How should it be protected? Based on identified vulnerabilities, what security protection measures are necessary to take? Security protection measures can be divided into personnel security, physical security and information security.

The completed analysis must be documented, resulting in a plan that justifies each security measure and defines responsibilities and timelines. The security measures detailed in the analysis must be implemented and can include physical access controls, secure information handling practices, or staff-related procedures, depending on the risks identified.

It must also be stated when the measures are to be taken and which function is responsible for them.

Organisaation olisi laadittava ja dokumentoitava virallinen menettely, jonka avulla tehdään turvallisuussuoja- ja soveltuvuusarvioinnit ennen turvallisuuden kannalta arkaluonteisten toimintojen siirtoa. Menettelyllä varmistetaan, että kaikki siirrot arvioidaan turvallisuusnäkökulmasta ennen niiden aloittamista.

Menettelyssä olisi määriteltävä vähintään seuraavat seikat

• erityiset kriteerit sille, mikä muodostaa turvallisuuden kannalta arkaluonteisten toimintojen siirron, joka käynnistää tämän arviointimenettelyn.
• Menetelmä, jolla yksilöidään kaikki turvaluokitellut tiedot ja muut arkaluonteiset toiminnot, joihin mahdollinen ostaja voi päästä käsiksi siirron kautta.
• Prosessi ja kriteerit soveltuvuusarvioinnin suorittamiseksi sen määrittämiseksi, onko siirto tarkoituksenmukainen turvallisuussuojan kannalta.
• Vaatimukset, jotka koskevat turvallisuussuoja-arvioinnin ja lopullisen soveltuvuusarvioinnin dokumentointia, mukaan lukien päätöksen perustelut.
• muodollinen prosessi siirron keskeyttämiseksi, jos soveltuvuusarvioinnin perusteella todetaan, että siirto ei ole asianmukainen.

The organization creates and maintains a "System Architecture and Risk Assessment" document for the public warning system. This document must contain a detailed inventory and architectural diagram of all critical infrastructure and components. It must also include the documented process and findings of a specific risk assessment that targets the end-to-end functionality to identify all potential threats.

Organisaatio kokoaa ammattitaitoisen uhkamallinnusryhmän, joka kartoittaa sovellusarkkitehtuurin, tunnistaa mahdolliset sisäänpääsypisteet, arvioi riskit, kehittää uhkaskenaarioita ja lieventämisstrategioita, dokumentoi ja priorisoi havainnot sekä päivittää uhkamalleja säännöllisesti sovellusten turvallisuuden parantamiseksi.

Organisaatio arvioi säännöllisesti uudelleen palveluntarjoajien vaatimustenmukaisuutta, seuraa julkaisutiedotteita, toteuttaa pimeän verkon valvontaa, käyttää keskitettyjä järjestelmiä, ylläpitää avointa viestintää, ottaa käyttöön häiriötilanteisiin reagoimista koskevat protokollat ja päivittää vuosittain valvontakäytäntöjä varmistaakseen jatkuvan yhdenmukaisuuden turvallisuusstandardien kanssa ja puuttuakseen mahdollisiin riskeihin.

Organisaatio kehittää palveluntarjoajille räätälöityjä arviointikriteerejä niiden luokittelun perusteella ja käyttää standardoituja raportteja, räätälöityjä kyselylomakkeita ja tarvittaessa paikan päällä tehtäviä tarkastuksia palveluntarjoajien turvallisuuden ja vaatimustenmukaisuuden arvioimiseksi.

Organisaatio on määritellyt menettelyt riskienhallintastrategian suorituskyvyn ja toteutuneiden riskien tulosten mittaamiseksi ja arvioimiseksi.

• Strategiaa ja tuloksia tulisi arvioida esimerkiksi sen perusteella, miten hyvin strategia on auttanut johtoa tekemään päätöksiä ja saavuttamaan organisaation tavoitteet ja pitäisikö strategioita tai toimintatapoja mukauttaa.
• Riskienhallintastrategiaa tulisi säännöllisesti tarkistaa organisaation sisäisen (esim. riskinsietokyky ja toimintaperiaatteet) ja ulkoisen (esim. lait ja määräykset) vaatimustenmukaisuuden kannalta, ja tässä yhteydessä olisi otettava huomioon myös tapahtuneet kyberturvallisuuteen liittyvät vaaratilanteet.
• Organisaation riskienhallinnan suorituskykyä mitataan ja tarkastellaan keskeisten suorituskykyindikaattoreiden (KPI), keskeisten riski-indikaattoreiden (KRI) ja muiden mittareiden avulla, jotta riskienhallintaprosessia voidaan tarvittaessa mukauttaa.

Tuloksista tiedotetaan ylimmälle johdolle ja muille asiaankuuluville sidosryhmille, ja tarvittavat toimet ja mukautukset toteutetaan.

The organization has a defined cybersecurity risk management policy and it has been communicated to relevant stakeholders and been approved by the top management. The policy should include at least:

• Basis for setting the risk management requirements and objectives based on the organizational context
• Commitment to the cyber security risk management system
• Strategic directions of the risk management process
• Overview of the roles and responsibilities for risk management

The policy should be kept updated, reviewed periodically and reflect organizational changes. The task owner should also ensure that the policy is understandable and available to all parties.

Strategisilla mahdollisuuksilla voidaan puuttua organisaation kyberturvallisuusriskeihin ja parantaa yleistä strategista asemaa. Tunnista ja sisällytä ne organisaation kyberturvallisuusriskikeskusteluihin esimerkiksi seuraavilla tavoilla:

• Määritellään menetelmät strategisten mahdollisuuksien tunnistamiseksi ja integroimiseksi, kuten SWOT-analyysi.
• Tunnistetaan ja dokumentoidaan organisaation joustotavoitteet ja sovitetaan organisaation riskienhallintamenettely niiden mukaiseksi.
• Lasketaan, dokumentoidaan ja priorisoidaan positiiviset riskit negatiivisten riskien rinnalla ja varmistetaan, että molemmat otetaan huomioon päätöksentekoprosesseissa.

Valitse oikea menetelmä riskinarviointia varten. Riskien tunnistamiseen ja arviointiin on olemassa useita erilaisia menetelmiä. On tärkeää, että organisaatio valitsee menetelmän, jonka avulla riskien arviointi on hallittavissa ja jonka avulla voidaan tunnistaa merkittävimmät riskit, keskustella niistä ja hallita niitä. Esimerkkejä erilaisista menetelmistä/viitekehyksistä ovat ISO/IEC 27005, NIST SP 800-30 ja Octave Allegro.

Organisaatio suunnittelee ja priorisoi tietoturvariskien tunnistamiseen ja arviointiin liittyvät toimenpiteet tietoaineistojen luokittelun perusteella.

Organisaation on ottanut käyttöön asset-kohtaisen riskienhallinnan hallintajärjestelmän asetuksista.

Asset-kohtainen riskienhallinta asetetaan kattamaan kaikki relevantit omaisuustyypit, joiden kriittisyys nähdään riittävän suurena. Asset-kohtaista riskienhallintaa tulisi harkita ainakin seuraavien listausten yhteydessä:

• Järjestelmätoimittajat
• Tietojärjestelmät
• Tietovarannot
• Muut sidosryhmät
• Muu suojattava omaisuus

Vastuu organisaatioiden ICT-riskien hallinnasta tulisi antaa toimijalle, joka on riittävän riippumaton riskienhallinnan suorittamiseksi ilman eturistiriitoja.

Riskienhallinnan riippumattomuus ja johtamis-, valvonta- ja auditointitoimien erottelu on varmistettava.

Organisaation johto vastaa, että:

• organisaatiolla on ylimmän johdon hyväksymät turvallisuusperiaatteet, jotka kuvaavat organisaation tietoturvallisuustoimenpiteiden kytkeytymistä organisaation toimintaan
• turvallisuusperiaatteet ovat turvallisuusluokiteltujen tietojen suojaamisen kannalta kattavat ja tarkoituksenmukaiset
• turvallisuusperiaatteet ohjaavat tietoturvallisuustoimenpiteitä
• organisaatiossa on järjestetty riittävä valvonta turvallisuusluokiteltujen tietojen tiedonhallintaan liittyvien velvoitteiden ja ohjeiden noudattamisesta.

Johdon tuki, ohjaus ja vastuu ilmenevät sillä, että organisaatiolla on ylimmän johdon hyväksymät turvallisuusperiaatteet, jotka kuvaavat organisaation tietoturvallisuustoimenpiteiden kytkeytymistä organisaation toimintaan. Tällä osoitetaan, että johto on sitoutunut organisaation turvallisuusperiaatteisiin ja periaatteet edustavat johdon tahtotilaa sekä tukevat organisaation toimintaa. Periaatteet voidaan kuvata monin eri tavoin, esimerkiksi yksittäisenä dokumenttina, osana yleisiä toimintaperiaatteita, politiikkaa tai strategiaa.

Organisaation on huomioitava riskit tietoturvatavoitteiden saavuttamiselle. Tavoitteiden saavuttamiseen liittyviä riskejä tulee lieventää asettamalla hallintakeinoja ainakin seuraaville osa-alueille:

• Riskienarviointiprosessi
• Organsiaatiokohtaiset tekijät, kuten ympäristö, luonto, organsiaation rakenne ja sen toimintojen laajuus
• Olennaiset liiketoimintaprosessit

Tietoturvariskien hallinnassa tehtävien tulee olla eriytettynä, mikäli ne eivät ole yhteensopivia.

Tilanteessa, jossa tehtävät eivät ole yhteensopivia, mutta tehtävien eriyttäminen ei ole käytännöllistä on kehitettävä erilliset hallintakeinot sen valvomista varten.

Organisaation on osana tietoturvariskien arviointia tehtävä arviot riskin toteutumisen vakavuudesta ja todennäköisyydestä.

Organisaatiolla on oltava selkeästi ohjeistettu riskiasteikko, jonka avulla jokainen riskien arviointiin osallistuva pystyy päättämään oikean tason vakavuudelle ja todennäköisyydelle.

Organisaation on luotava menettelykuvaus riskienhallintaprosesseille ja sen täytyy olla hyväksytty organisaatiossa. Organisaation on sovittava siitä organisaation sidosryhmien kanssa.

Organisaation täytyy määrittää hyväksyttävä taso riskeille. Taso lasketaan riskien todennäköisyyden, vakavuuden ja hallintakeinojen pohjalta.

When implementing information security risk management, the organisation must identify the risks that require treatment and define treatment plans for them, which often consist of new information security measures.

The organisation has defined how regularly the treatment plans defined as a whole are evaluated and their proportionality to the risk assessment (risk severity and probability).

Lainsäädäntöjohdannaisilla riskeillä viitataan eri maiden lainsäädännössä oleviin mahdollisuuksiin velvoittaa palveluntarjoaja toimimaan yhteistyössä kyseisen maan viranomaisten kanssa, ja tarjoamaan esimerkiksi suora tai epäsuora pääsy palvelun asiakkaiden salassa pidettäviin tietoihin. Lainsäädäntöjohdannaiset riskit voivat ulottua sekä salassa pidettävän tiedon fyysiseen sijaintiin sekä muun muassa toisesta maasta käsin hallintayhteyksien kautta toteutettavaan tietojen luovutukseen. Lainsäädäntöjohdannainen tietojen luovuttaminen ja tutkimusoikeus on useissa maissa rajattu koskevaksi poliisia sekä tiedusteluviranomaisia.

Riskienarvioinnin tulisi kattaa lainsäädäntöjohdannaiset riskit vähintään seuraavien tekijöiden osalta:

• Palvelussa käsiteltävän tiedon fyysinen sijainti koko tiedon elinkaaren ajalta, kattaen myös mahdolliset alihankinta- ja ulkoistusketjut.
• Palvelun eri toimintojen (esimerkiksi ylläpito- ja hallintaratkaisut, varmistukset) ja komponenttien fyysinen sijainti koko tiedon elinkaaren ajalta.
• Mahdolliset muut palvelun tuottamiseen osallistuvat tahot, esimerkiksi mahdolliset alihankinta-ja ulkoistusketjut.
• Palvelun käyttöön ja palvelussa käsiteltäviin tietoihin sovellettava lainsäädäntö ja oikeuspaikka.
• Toimijat, joilla voi sovellettavasta lainsäädännöstä johtuen olla pääsy palvelussa käsiteltäviin tietoihin.

Organisaation tulee varmistaa, että lainsäädäntöjohdannaiset riskit eivät rajoita palvelun soveltuvuutta sen käyttötarkoitukseen. Lainsäädäntöjohdannaisten riskien arvioinnissa on otettu huomioon koko palvelun tuottamisessa käytetty toimitusketju, ja niiden valtioiden säännökset, joiden mukaisesti palvelua tuotetaan sekä riski tietojen oikeudettomasta paljastumisesta näiden valtioiden viranomaisille.

Fyysiset turvatoimet on mitoitettava riskien arvioinnin mukaisesti. Riskien arvioinnissa tulee ottaa huomioon esimerkiksi pääsyoikeuksien hallintaan ja muihin turvallisuusjärjestelyihin liittyviin prosesseihin sisällytettävät tiedonsaantitarpeen, tehtävien eriyttämisen ja vähimpien oikeuksien periaatteet. Fyysisiä turvatoimia koskevan riskien arvioinnin tulee olla säännöllistä ja osa organisaation riskienhallinnan kokonaisuutta. Arvioiduilla riskeillä on nimetyt omistajat.

Riskien arvioinnissa on otettava huomioon kaikki asiaan kuuluvat tekijät, erityisesti

seuraavat:

• Tietojen turvallisuusluokka ja salassapitoperuste;
• Tietojen käsittely- ja säilytystapa sekä määrä ottaen huomioon, että tietojen suuri määrä tai kokoaminen yhteen voi edellyttää tiukempien riskienhallintatoimenpiteiden soveltamista;
• Tietojen käsittely- ja säilytysaika
• Tietojen käsittely- ja säilytyspaikan ympäristö: rakennuksen ympäristö, sijoittuminen rakennuksessa, tilassa tai sen osassa;
• Hälytystilanteisiin liittyvä vasteaika
• Ulkoistetut toiminnot, kuten huolto-, siivous-, kiinteistö- ja turvallisuuspalvelut
• Tiedustelupalvelujen, rikollisen toiminnan ja oman henkilöstön muodostama arvioitu uhka tiedoille

• Tietojenkäsittely-ympäristö on dokumentoitu sellaisella tasolla, että siitä pystytään selvittämään tietojenkäsittely-ympäristössä käytetyt laitteet ja ohjelmistot versiotietoineen (laite-, käyttöjärjestelmä- ja sovellusohjelmistot) ja se tukee myös haavoittuvuuksien hallintaa.
• Tietojenkäsittely-ympäristöjä tarkkaillaan luvattomien muutosten tai laitteistojen havaitsemiseksi. Tietojenkäsittely-ympäristön kirjanpito pidetään ajan tasalla koko elinkaaren ajan.
• Tietojenkäsittely-ympäristön turvallisuuden toteuttamiseen liittyvän aineiston (dokumentaatiot, sähköiset kirjanpidot ja vast.) luokittelu- ja suojaamistarpeet on määritetty.

Organisaation toimintaa uhkaavista kriittisistä riskeistä raportoidaan organisaation johdolle välittömästi.

Raportointia varten on olemassa selkeästi suunniteltu toimintamalli.

Toteutettuja riskienhallintatoimenpiteitä sekä riskienhallinnan kokonaistilannetta tarkastalleen säännöllisesti.

Toimintamalli riskienhallinnan tilan seuraamiseen on selkeästi kuvattu.

Organisaation on tunnistettava sen toiminnan jatkuvuuden kannalta kriittiset toiminnot (esim. asiakkaalle tarjottavat palvelut).

Kriittisiin toimintoihin liittyviä riskejä tulisi tunnistaa, arvioida sekä käsitellä korostetusti sekä säännöllisesti yhteistyössä palveluntoimittajien kanssa.

Organisaatiossa on määritelty, kuinka tietoturvanäkökohdat integroidaan käytettyihin projektinhallintamenetelmiin. Käytössä olevien menetelmien tulee edellyttää:

• Projektin tietoturvaan liittyvät riskit tunnistetaan, arvioidaan ja käsitellään projektin varhaisessa vaiheessa
• Projektin tietoturvaan liittyvät riskit tarkastellaan tarvittaessa
• Vastuu projektin tietoturvasta liittyy selkeästi tiettyihin projektirooleihin

Organisaation on huomioitava riskienhallintamenettelyjen tuottamat tulokset suunnitellessaan sisäisten auditointien aihepiirejä ja toteutusta sekä toteuttaessaan auditointeja.

Organisaation on arvioitava erilaisista syistä johtuvien toiminnankeskeytysten ja riskien aiheuttama mahdollinen vahinko toiminnalle. Tämän arvioinnin perusteella on priorisoitava jatkuvuussuunnittelussa eri teemoja, jotta suunnittelu keskittyy riskilähtöisesti tärkeimpiin asioihin.

Organisaation on harjoiteltava katastrofisuunnitelmien toteuttamista vuosittain tai aina merkittävästi suunnitelmaa muutettaessa.

Jos mahdollista, on hyödyllistä sisällyttää paikalliset viranomaiset mukaan harjoitukseen.

Tietoturvan hallintajärjestelmän tulisi valvoa sinne kirjattujen tehtävien ja ohjeistusten toteuttamista.

Tehtävän omistajan tulisi tarkastalle tietoturvan hallintajärjestelmän toteutustilannetta kokonaisuutena säännöllisesti.

Organisaatio arvioi tietoturvaan liittyvien riskejä reagoimalla tilanteisiin, joissa tietoturva on lievästi tai vakavasti pettänyt. Dokumentaatio sisältää vähintään seuraavat asiat:

• Häiriön kuvaus
• Häiriöön liittyneet riskit
• Häiriön johdosta käyttöön otetut uudet hallintatehtävät
• Häiriön johdosta toteutetut muut toimenpiteet

Organisaatio ylläpitää luetteloa salassa pidettävän tiedon käsittelyä edellyttävistä työtehtävistä. Pääsyoikeus salassa pidettävään tietoon myönnetään vasta, kun henkilön työtehtävistä johtuva tiedonsaantitarve on selvitetty. Luettelo sisältää tiedon salassa pidettävien tietojen käsittelyoikeuksista suojaustasoittain.

Järjestelmällisessä turvallisuustyössä muutosten vaikutukset on arvioitava ennakkoon, muutokset on dokumentoitava selkeästi ja toteutettava systemaattisesti.

Suojaustasoilla IV-III muutostenhallinnassa käytetään seuraavia toimintatapoja:

• Tietojenkäsittelyyn liittyviin muutoksiin on määritelty muutoksenhallintamenettely (esim. määrittely, dokumentointi, riskien arviointi ja hallinta). Muutokset ovat jäljitettävissä.
• Verkot, järjestelmät ja niihin liittyvät laitteet, ohjelmistot ja asetukset on dokumentoitu siten, että muutokset hyväksyttyyn kokoonpanoon pystytään havaitsemaan vertaamalla toteutusta dokumentaatioon.
• Tietojenkäsittely-ympäristöjä tarkkaillaan luvattomien muutosten tai laitteistojen havaitsemiseksi.

Järjestelmällisessä turvallisuustyössä muutosten vaikutukset on arvioitava ennakkoon, muutokset on dokumentoitava selkeästi ja toteutettava systemaattisesti.

Suojaustasolla II muutostenhallinnassa käytetään seuraavia toimintatapoja:

• Tietojenkäsittelyyn liittyviin muutoksiin on määritelty muutoksenhallintamenettely (esim. määrittely, dokumentointi, riskien arviointi ja hallinta). Muutokset ovat jäljitettävissä.
• Verkot, järjestelmät ja niihin liittyvät laitteet, ohjelmistot ja asetukset on dokumentoitu siten, että muutokset hyväksyttyyn kokoonpanoon pystytään havaitsemaan vertaamalla toteutusta dokumentaatioon.
• Tietojenkäsittely-ympäristöjä tarkkaillaan luvattomien muutosten tai laitteistojen havaitsemiseksi.
• Laitteistot suojataan luvattomien laitteiden (näppäilynauhoittimet ja vastaavat) liittämistä vastaan.

Järjestelmällisessä turvallisuustyössä merkittävien muutosten vaikutukset on arvioitava ennakkoon ja muutokset toteutettava systemaattisesti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.

Merkittäviä muutoksia voivat olla mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin sekä tietojärjestelmiin kohdistuvat muutokset. Muutoksia voidaan tunnistaa mm. johdon katselmuksissa sekä muuten toiminnan ohessa.

Tietoturvan hallintajärjestelmän näkökulmasta poikkeamat ovat tilanteita, joissa:

• organisaatioon kohdistuviin tietoturvavaatimuksiin ei löydy vastinetta hallintajärjestelmästä
• hallintajärjestelmässä määritellyt menettelyt, tehtävät tai ohjeistukset eivät toteudu organisaation arjen toiminnassa

Systemaattisessa tietoturvatyössä kaikki havaitut poikkeamat on dokumentoitava. Poikkeaman käsittelemiseksi organisaation on määritettävä ja toteutettava parannukset, joilla poikkeama korjataan.

Organisaation tulee huomioida kumppaneista aiheutuvat riskit tietoturvariskien hallinnassa. Tarvittaessa kriittisistä kumppaneista voidaan tehdä erillisiä teemakohtaisia riskiarvioita.

Organisaation riskinäkymistä raportoidaan organisaation johdolle säännöllisesti ja vähintään kerran vuodessa.

Riskikäsittelyn toteuttamisen jälkeen organisaatio arvioi jäljelle jäävän jäännösriskin tason riskikohtaisesti.

Jäännösriskin suhteen tehdään selkeä päätökset riskin omistajan toimesta joko riskin sulkemiseksi tai riskin palauttamiseksi käsittelyjonoon.

Organisaatiolla on toimintamalli riskienhallintaprosessin toimivuuden ja tehokkuuden jatkuvaan parantamiseen.

Parantamisessa voidaan hyödyntää mm. yleisiä standardeja (mm. ISO 27005) tai riskienhallintaan osallistuneiden henkilöiden palautteita.

Organisaatiolla on oltava ennalta suunniteltuja havaitsemiskeinoja muutoshallintamenettelyn laiminlyömisen havaitsemiseen.

Jos poikkeama muutoshallintamenettelystä havaitaan, sen käsittelyä tulisi jatkaa häiriöiden hallintaprosessin mukaisesti.

Organisaatiolla on oltava suunniteltuna säännöt kiireellisiä poikkeustilanteita, kuten hätätilanteita varten, joissa sääntöjä noudattamalla normaalista muutostenhallintamenettelystä voidaan poiketa.

Muutostenhallintamenettelystä poikkeamisen sääntöjen tulisi sisältää viittaukset ja vertaukset normaaliin muutostenhallintamenettelyyn sekä mm. tarvittavat todisteet toteutetusta poikkeamisesta.

Organisaatiossa suoritetaan säännöllisesti tietoturva-auditointia. Auditoinnin avulla tunnistetaan esimerkiksi tietojärjestelmiin sekä järjestelmätoimittajiin liittyviä puutteita ja kehitystarpeita.

Tärkeät auditointia suorittavat kumppanit kannattaa listata Muut sidosryhmät -osiossa.

Organisaatiolla täytyy olla salausavainten hallintaan liittyvä riskienhallintamenettely, joka sisältää riskien arvioinnin, käsittelyn ja seuraamisen.