Riskienhallinnan menettelykuvaus -raportin julkaisu ja ylläpito

Critical
High
Normal
Low

Organisaatio on määritellyt menettelyt tietoturvariskien arviointiin ja käsittelyyn. Määrittely sisältää ainakin:

  • Riskien tunnistamistavat
  • Tietoturvariskien analysoinnin menetelmät
  • Tietoturvariskien arvioinnin kriteerit (seuraukset ja todennäköisyys)
  • Riskien priorisointi ja käsittelyvaihtoehtojen sekä hallintakeinojen määrittely
  • Riskien hyväksymiskriteerit
  • Prosessin toteutussykli, resursointi ja vastuut

Tehtävän omistaja tarkistaa säännöllisesti, että riskikriteerit ovat selkeitä ja tuottavat johdonmukaisia arvioita.

Liittyvät muut vaatimuskehikot ja vaatimukset:
T04: Turvallisuusriskien hallinta
Katakri
5.1.1: Policies for information security
ISO 27001

Organisaation hyväksymä riskitaso

Critical
High
Normal
Low

Organisaation täytyy määrittää hyväksyttävä taso riskeille. Taso lasketaan riskien todennäköisyyden, vakavuuden ja hallintakeinojen pohjalta.

Liittyvät muut vaatimuskehikot ja vaatimukset:
ID.RM-2: Risk tolerance
NIST
ID.RM-3: Informing of risk tolerance
NIST
No items found.