Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä sekä tietojärjestelmille nimetyistä omistajista. Omistaja vastaa järjestelmän tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti järjestelmään.

Järjestelmiin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

• Järjestelmään liittyvät vastuut ja sen käyttötarkoitus
• Järjestelmän tietojen sijainti (käsitellään tarkemmin erillisessä tehtävässä)
• Kuvaus järjestelmän ylläpito- ja kehitysvastuista sekä tähän mahdollisesti liittyvät toimittajat (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa tietojärjestelmän pääsyoikeusroolit ja tunnistautumistavat (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa liittymät muihin järjestelmiin (käsitellään tarkemmin erillisessä tehtävässä)

Organisaation on ylläpidettävä listaa hallinnoimistaan tietovarannoista sekä nimetyistä omistajista. Omistaja vastaa varannon tietojen täydentämisestä sekä mahdollisista muista digiturvatoimenpiteistä, jotka liittyvät tiiviisti tietovarantoon.

Tietovarantoihin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

• Tietovarantoon liittyvät vastuut
• Tietojen käyttötarkoitukset (käsitellään tarkemmin erillisessä tehtävässä)
• Tietoaineistot, joista tietovaranto muodostuu (käsitellään tarkemmin erillisessä tehtävässä)
• Tietojen säännönmukaiset luovutukset (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa tieto tietovarannon sidoksesta toimintaprosesseihin

Organisaatio on kehittänyt tieto-omaisuudenhallintastrategian, joka sisältää kattavat ja säännöllisesti päivitettävät inventoinnit kaikesta fyysisestä, virtuaalisesta, etä- ja pilvipalveluun liitetystä omaisuudesta. Tieto-omaisuudenhallintastrategia kattaa myös ulkoisen omaisuuden, ja siinä hyödynnetään automatisoituja seurantatyökaluja tarkkuuden ja tietosuojamääräysten noudattamisen varmistamiseksi.

Organisaatio käyttää automatisoituja ohjelmistojen inventointityökaluja, jotka on otettu käyttöön koko yrityksessä asennettujen ohjelmistojen jatkuvaan seurantaan ja dokumentointiin.

Organisaatio tuottaa säännöllisesti raportteja ja hälytyksiä, joilla varmistetaan sääntöjen noudattaminen automaattisten tarkistusten avulla, jotta voidaan varmistaa, että vain valtuutetut ohjelmistot on asennettu.

Organisaatio varmistaa, että kaikki organisaation laitteistot tarkistetaan säännöllisesti tietoturvaominaisuuksien ja korjausten, päivitysten ja/tai päivitysten hankkimistarpeen osalta. Varmistetaan laitteiston turvallinen käsittely huollon aikana rajoittamalla pääsy vain valtuutettuun henkilöstöön ja ottamalla käyttöön valvontajärjestelmät, jotka estävät peukaloinnin tai luvattoman käytön.

Lisäksi määritetään ja toteutetaan suunnitelmat laitteiston elinkaaren päättymistä varten, mukaan luettuna huoltotuki ja vanhentumisen hallinta, ja varmistetaan, että vanhentunut laitteisto ei aiheuta turvallisuusriskejä.

Organisaation tietojärjestelmät ja laitteisto ovat kattavasti järjestelmienhallinnan piirissä. Järjestelmienhallinnan kautta voidaan mahdollistaa mm. automaattiset päivitykset.

Organisaatio pitää kirjaa tietojärjestelmän liittymistä muihin tietojärjestelmiin sekä liittymissä käytettävistä tiedonsiirtotavoista.

Dokumentaatio liittymien suhteen on katselmoitava säännöllisesti sekä järjestelmiin tehtävien muutosten jälkeen.

Järjestelmillä tarkoitetaan tässä palvelimia, työasemia, verkon aktiivilaitteita (palomuurit, reitittimet, kytkimet, langattomat tukiasemat jne.) ja vastaavia. Koventamisella puolestaan tarkoitetaan järjestelmän asetusten muuttamista siten, että järjestelmän haavoittuvuuspinta-alaa saadaan pienennettyä.

Organisaatio on määritellyt toimintatavat, joiden avulla:

• Käyttöön otetaan vain käyttövaatimusten ja tietojen käsittelyn kannalta olennaiset toiminnot, laitteet ja palvelut. Ylimääräiset poistetaan myös BIOS-tasolla.
• Käytössä on menettelytapa, jolla järjestelmät asennetaan järjestelmällisesti siten, että lopputuloksena on kovennettu asennus.
• Kovennettu asennus sisältää vain sellaiset komponentit ja palvelut, sekä käyttäjien ja prosessien oikeudet, jotka ovat välttämättömiä toimintavaatimusten täyttämiseksi ja turvallisuuden varmistamiseksi.
• Ohjelmistot, kuten käyttöjärjestelmät, sovellukset ja laiteohjelmistot, asetetaan keräämään tarvittavaa lokitietoa väärinkäytösten havaitsemiseksi.
• Tietojärjestelmän käynnistäminen tuntemattomalta (muulta kuin ensisijaiseksi määritellyltä) laitteelta on estetty.
• Ohjelmistot (esim. laiteohjelmistot, sovellukset) pidetään ajantasaisina .
• Kohteen yhteydet, mukaan lukien hallintayhteydet, ovat rajattuja, kovennettuja, käyttäjätunnistettuja sekä aikarajoitettuja (istunnon aikakatkaisu).

Tietoon ja tietojenkäsittelypalveluihin liittyvä suojattava omaisuus olisi luotteloitava. Tarkoituksena on varmistaa, että suojaus kattaa tarvittavan omaisuuden.

Luettelointia voidaan tehdä suoraan hallintajärjestelmässä, mutta organisaatiolla voi olla käytössä tietylle omaisuudelle (mm. koodivarastoille, tietokannoille, verkkolaitteille, mobiililaitteille, työasemille, palvelimille tai muulle fyysiselle omaisuudelle) muita, hyvin toimivia listauspaikkoja.

Kuvaa tässä tehtävässä, mitkä hallintajärjestelmän ulkopuoliset luettelot liittyvät suojattavan omaisuuden hallintaan.

Organisaation on lueteltava kaikki asiaankuuluvat suojatut omaisuuserät omistusoikeuden määrittämiseksi ja sen varmistamiseksi, että turvatoimenpiteet kattavat kaikki tarvittavat kohteet.

Suuri osa suojatusta omaisuudesta (mukaan lukien tietojoukot, tietojärjestelmät, henkilöstö/yksiköt ja kumppanit) käsitellään muiden tehtävien kautta. Lisäksi organisaation on lueteltava muut tärkeät omaisuuserät, joita voivat olla toiminnan luonteesta riippuen esimerkiksi laitteisto (palvelimet, verkkolaitteet, työasemat, tulostimet) tai infrastruktuuri (kiinteistöt, sähköntuotanto, ilmastointi). Lisäksi organisaation on varmistettava, että asiaankuuluvat ulkoiset laitteet dokumentoidaan.