Sisäisten auditointien toteuttaminen ja dokumentointi

Critical
High
Normal
Low

Organisaatio toteuttaa sisäisiä auditointeja oman menettelykuvauksensa mukaisesti. Tavoitteena on tarkistaa:

  • onko tietoturvallisuuden hallintajärjestelmä organisaation omien tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten mukainen
  • onko tietoturvallisuuden hallintajärjestelmä muiden toimintaa koskevien tietoturvavaatimusten tai noudatettujen standardien mukainen
  • onko hallintajärjestelmää toteutettu ja ylläpidetty vaikuttavasti

Auditointien järjestämisestä ja tuloksista on säilytettävä dokumentoitua tietoa.

Liittyvät muut vaatimuskehikot ja vaatimukset:
18.2.1: Independent review of information security
ISO 27001
12.7: Information systems audit considerations
ISO 27001

Tietoturvallisuuden hallintajärjestelmän kuvaus ja ylläpito

Critical
High
Normal
Low

Organisaation on käytettävä, ylläpidettävä ja jatkuvasti kehitettävä tietoturvallisuuden hallintajärjestelmää.

Hallintajärjestelmään liittyvät rajaukset ja soveltamisala, sisällöt, roolitus, kertyvä toteutustieto sekä muu tarpeellinen kuvaustieto on oltava selkeästi dokumentoitu.

Liittyvät muut vaatimuskehikot ja vaatimukset:
5.1.1: Policies for information security
ISO 27001
PR.AT-5: Physical and cybersecurity personnel
NIST

Tietoturvamittarien määrittely ja dokumentointi

Critical
High
Normal
Low

Organisaatio arvioi tietoturvan tasoa ja tietoturvallisuuden hallintajärjestelmän tehokkuutta säännöllisesti.

Organisaatio on määrittänyt:

  • seurattavat mittarit, joilla saadaan vertailtavissa olevia tuloksia tietoturvan kehittymisestä
  • vastuuhenkilöt mittareiden seurannalle
  • tavat, aikataulun ja henkilöt mittareiden katselmointiin ja arviointiin
  • tavat mittareiden ja niihin liittyvien arviointien dokumentointiin

Tehokkaita mittareita tulisi pystyä käyttämään heikkouksien tunnistamiseen, resurssien parempaan kohdistamiseen sekä oman onnistumisen / epäonnistumisen arviointiin.

Liittyvät muut vaatimuskehikot ja vaatimukset:
7.2.1: Management responsibilities
ISO 27001
4 luku, 13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
No items found.