Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Sisäisten auditointien toteuttaminen ja dokumentointi

Critical
High
Normal
Low

Organisaatio toteuttaa sisäisiä auditointeja oman menettelykuvauksensa mukaisesti. Tavoitteena on tarkistaa:

  • onko tietoturvallisuuden hallintajärjestelmä organisaation omien tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten mukainen
  • onko tietoturvallisuuden hallintajärjestelmä muiden toimintaa koskevien tietoturvavaatimusten tai noudatettujen standardien mukainen
  • onko hallintajärjestelmää toteutettu ja ylläpidetty vaikuttavasti

Auditointien järjestämisestä ja tuloksista on säilytettävä dokumentoitua tietoa.

Liittyvät muut vaatimuskehikot ja vaatimukset:
18.2.1: Independent review of information security
ISO 27001
12.7: Information systems audit considerations
ISO 27001

Johdon katselmusten toteuttaminen ja dokumentointi

Critical
High
Normal
Low

Ylimmän johdon on katselmoitava organisaation tietoturvallisuuden hallintajärjestelmä suunnitelluin aikavälein varmistaakseen, että se on edelleen soveltuva, asianmukainen ja vaikuttava.

Johdon katselmuksessa on käsiteltävä ja kommentoitava vähintään seuraavien asioiden tilaa:

  • aiempien johdon katselmusten vuoksi käynnistettyjen parannusten (tai muiden toimenpiteiden) tilanne
  • tietoturvallisuuden hallintajärjestelmän kannalta olennaisten tulevat muutokset
  • tietoturvan hallintajärjestelmän suorituskyky (häiriöt, mittarointi, auditointien tulokset ja johdon määrittelemien tietoturvatavoitteiden täyttyminen)
  • sidosryhmien antama palaute tietoturvasta
  • riskien arviointi- ja käsittelyprosessin toiminta

Katselmusten suorittamisesta ja tuloksista on ylläpidettävä dokumentoitua tietoa.

Liittyvät muut vaatimuskehikot ja vaatimukset:
18.1.1: Identification of applicable legislation and contractual requirements
ISO 27001
ID.GV-3: Legal and regulatory requirements
NIST

Tietoturvan hallintajärjestelmän toteuttamisen säännöllinen sisäinen valvonta

Critical
High
Normal
Low

Tietoturvan hallintajärjestelmän tulisi valvoa sinne kirjattujen tehtävien ja ohjeistusten toteuttamista.

Tehtävän omistajan tulisi tarkastalle tietoturvan hallintajärjestelmän toteutustilannetta kokonaisuutena säännöllisesti.

Liittyvät muut vaatimuskehikot ja vaatimukset:
18.2.2: Compliance with security policies and standards
ISO 27001
5.36: Tietoturvallisuutta koskevien toimintaperiaatteiden, sääntöjen ja standardien noudattaminen
ISO 27001

Tietosuojan seuranta ja valvontasuunnitelma

Critical
High
Normal
Low

Organisaation on määriteltävä, miten tehdään säännöllistä henkilötietojen käytön seurantaa (esim. tietoja voivat katsella ja käsitellä vain siihen oikeutetut henkilöt) ja miten toimitaan, jos väärinkäytöksiä ilmenee.

Liittyvät muut vaatimuskehikot ja vaatimukset:
12: Digiturvan tilan seuraaminen
No items found.