Mikäli häiriön ensisijaisen käsittelyn perusteella on vaikeaa tunnistaa tietoturvahäiriön lähde, suoritetaan häiriölle erillinen jälkianalyysi, jossa lähde pyritään tunnistamaan.

Kaikki tietoturvahäiriöt käsitellään johdonmukaisesti, jotta tietoturvaa voidaan parantaa tapahtuneen perusteella.

Häiriöiden käsittelyprosessissa:

• vahvistetaan raportoitu häiriö (tai todetaan tarpeettomaksi kirjata ylös)
• dokumentoidaan häiriön tyyppi ja syy
• dokumentoidaan häiriöön liittyneet riskit
• käsitellään riskit, mikäli häiriön perusteella niiden käsittelyä täytyy päivittää
• määritellään ja dokumentoidaan toimenpiteet riskien pienentämiseksi tai päätös niiden hyväksymisestä
• määritellään tahot, joille on tärkeää tiedottaa käsittelyn tuloksista (myös organisaation ulkopuoliset)
• määritetään tarve häiriön jälkianalyysille

Häiriöiden ilmoittamiseen ylläpidetään prosessia, joka auttaa henkilöstöä ilmoittamaan häiriöistä tehokkaasti ja johdonmukaisesti.

Häiriönä ilmoitettavia asioita ovat mm.:

• luvaton pääsy tietoihin / tiloihin
• tietoturvaohjeiden vastainen toiminta
• epäilty tietoturvaongelma (esim. tietojenkalastelu, haittaohjelmatartunta)
• tietojärjestelmän käyttökatko
• tietojen tuhoutuminen / muuttuminen vahingossa tai tahallaan
• kadonnut tai varastettu laite
• vaarantunut salasana
• kadonnut fyysinen tunniste (esim. avaimenperä, älykortti, älytarra)
• epäilty tietoturvaheikkous (esim. käytetyssä tietojärjestelmässä tai muissa toimintatavoissa)

Henkilöstön ohjeissa korostetaan velvollisuutta raportoida tietoturvahäiriöistä mahdollisimman pian sovitun prosessin mukaisesti. Ohjeistus kuvaa myös muun toiminnan häiriön tapauksessa (mm. virheilmoitusten ja muiden yksityiskohtien kirjaaminen ylös).

Tietoturvahäiriöiden analysoinnista ja ratkaisemisesta saatua tietämystä olisi hyödynnettävä tulevien häiriöiden todennäköisyyden vähentämisessä ja niiden vaikutuksen pienentämisessä.

Organisaatio analysoi säännöllisesti tapahtuneita häiriöitä kokonaisuutena. Tässä prosessissa tutkitaan häiriöiden tyyppiä, määrää ja kustannuksia tavoitteena tunnistaa toistuvia ja vaikutuksiltaan merkittäviä häiriöitä.

Mikäli reagointia vaativia toistuvia häiriöitä tunnistetaan, niiden perusteella:

• luodaan uusia tai laajennetaan olemassaolevia tietoturvan hallintatehtäviä
• tarkennetaan tai laajennetaan tähän aihepiiriin liittyvää tietoturvaohjeistusta
• luodaan häiriöstä case-esimerkki, jota käytetään henkilöstön kouluttamiseksi vastaaviin tilanteisiin reagoimiseksi tai niiden välttämiseksi

Organisaatio on määritellyt toimintatavat, jotka varmistavat häiriön alkuperäisen raportoijan sekä muuten häiriöön liittyvän henkilöstön saavan tiedon häiriön käsittelyn tuloksista.

Häiriöön liittyvä henkilöstö voidaan kirjata valinnaiseen tietokenttään tietoturvahäiriöiden dokumentaatiopohjassa.

Organisaatio huolehtii siitä, että häiriöhallintaan on nimetty selkeät vastuuhenkilöt, jotka vastaavat esimerkiksi häiriöiden ensimmäisen tason käsittelystä.

Häiriöiden hallinnasta vastaavia henkilöitä on ohjeistettava ja koulutettava, jotta he ymmärtävät organisaation prioriteetit tietoturvahäiriöiden käsittelyssä.

Organisaatio on määritellyt prosessin ja siihen osallistuvan tiimin, jonka avulla tietoturvahäiriöihin reagoidaan pikaisesti ja sopivat jatkotoimet päätetään johdonmukaisesti.

Ensimmäisen tason reagointiprosessissa vähintään:

• pyritään tehokkaasti vahvistamaan todettu häiriö
• päätetään tarpeesta välittömään reagointiin

Henkilöstöllä on käytössä whistle blowing -järjestelmä, jonka kautta voi nimettömästi raportoida tietoturvasääntöjen tai -menettelyjen loukkauksista.

Organisaation on luotava toimintatavat, joiden avulla tunnistetaan, kerätään ja säilytetään tietoturvahäiriöihin liittyvä relevantti todistetieto. Todisteiden voi olla tarpeen olla kerätty tavalla, joka voidaan hyväksyä relevanteissa tuomioistuimissa tai muissa vastaavissa kurinpitoelimissä.

Todistemateriaaliin liittyen pitäisi pystyä osoittamaan mm.:

• tietueet ovat täydellisiä, eikä niitä ole muokattu millään tavalla
• kopiot sähköisistä todisteista ovat todennäköisesti identtisiä alkuperäisten kanssa
• tietojärjestelmä, josta todisteita on kerätty, toimi oikein keräyshetkellä

Liittyvän henkilökunnan sekä työkalujen sertifiointia tai muita pätevyystodisteita voidaan lisäksi harkita sovellettavan todisteiden arvon vahvistamiseksi.