Kaikki tietoturvahäiriöt käsitellään johdonmukaisesti, jotta tietoturvaa voidaan parantaa tapahtuneen perusteella.

Häiriöiden käsittelyprosessissa:

• vahvistetaan raportoitu häiriö (tai todetaan tarpeettomaksi kirjata ylös)
• dokumentoidaan häiriön tyyppi ja syy
• dokumentoidaan häiriöön liittyneet riskit
• käsitellään riskit, mikäli häiriön perusteella niiden käsittelyä täytyy päivittää
• määritellään ja dokumentoidaan toimenpiteet riskien pienentämiseksi tai päätös niiden hyväksymisestä
• määritellään tahot, joille on tärkeää tiedottaa käsittelyn tuloksista (myös organisaation ulkopuoliset)
• määritetään tarve häiriön jälkianalyysille

Organisaation olisi otettava käyttöön prosessi, joka mahdollistaa turvallisuuteen liittyvien vaaratilanteiden ja havaintojen luottamuksellisen tai nimettömän raportoinnin. Prosessissa on varmistettava, että ilmoittajan henkilöllisyys on suojattu kostotoimien estämiseksi ja raportoinnin kannustamiseksi. Organisaation olisi myös määriteltävä, miten ilmoittajan tietojen luottamuksellisuus säilytetään koko vaaratilanteen käsittelyprosessin ajan.

Organisaation olisi määriteltävä ja dokumentoitava menettely, jolla verkkohyökkäyksistä ilmoitetaan viranomaisille. Näin varmistetaan, että kaikki lakisääteiset tiedot kerätään ja raportoidaan ajoissa ja oikein.

Menettelyssä olisi määriteltävä, miten seuraavat tiedot kerätään ja jäsennetään:

• Keskeiset aikaleimat, kuten milloin hyökkäys havaittiin ja milloin sen uskotaan tapahtuneen.
• Kaikki saatavilla olevat tiedot hyökkääjästä.
• Hyökkäyksen luonne, mukaan lukien se, liittyikö siihen kiristystä tai uhkailua, ja onko siitä tehty rikosilmoitus.
• Arvio hyökkäyksen vaikutuksesta tietojen luottamuksellisuuteen, eheyteen ja saatavuuteen sekä organisaation yleiseen toimivuuteen.
• Ilmoittavan henkilön yhteystiedot ja organisaation tunnistetiedot.

Organisaation on laadittava selkeä ja kattava määritelmä siitä, mikä on raportoitava turvallisuustapahtuma tai havainto, ja varmistettava, että se kattaa seuraavat luokat:

• Henkilöstön rikkomukset tai väärinkäytökset.
• Tunkeutuminen, varkaus, luvaton pääsy turvavyöhykkeille ja turvavyöhykkeiden haavoittuvuudet.
• Kyberturvallisuustapahtumat, kuten tietojärjestelmien haavoittuvuudet ja havaitut onnistuneet tai epäonnistuneet kyberhyökkäykset.
• Toimittajien ja yhteistyökumppaneiden vaaratilanteet, jotka voivat vaikuttaa kielteisesti organisaation turvallisuuteen.

Organisaatiolla on oltava määritelty menettely häiriötilanteiden raportointia varten, ja siitä on tiedotettava henkilöstölle:

• Suunnitellaan ja otetaan käyttöön tehokkaat raportointimekanismit, jotka on räätälöity havaittujen riskien mukaan.
• Varmistetaan, että näistä mekanismeista tiedotetaan hyvin ja että ne ovat kaikkien työntekijöiden, sidosryhmien ja asiaankuuluvien osapuolten saatavilla, jotta turvallisuustapahtumista voidaan raportoida ajoissa ja täsmällisesti.
• Järjestetään koulutustilaisuuksia ja tiedotusohjelmia sen varmistamiseksi, että kaikki asianomaiset työntekijät ja sidosryhmät ymmärtävät raportoitavien turvallisuustapahtumien määritelmän ja tuntevat raportointimekanismit.

Organisaatiolla tulee olla olemassa menettely sen toimintaan kohdistuvien häiriöiden, hyökkäysten ja loukkausten ilmoittamiseksi viranomaisille. Esimerkiksi:

• Poliisi
• Tietosuojavaltuutetun toimisto
• Kyberturvallisuuskeskus