Tietoturvatavoitteiden määrittely ja dokumentointi

Critical
High
Normal
Low

Organisaation johto asettaa tietoturvatavoitteet. Tietoturvatavoitteet täyttävät seuraavat vaatimukset:

  • ne ottavat huomioon soveltuvat tietoturva- ja tietosuojavaatimukset sekä riskien arvioinnin ja käsittelyn tulokset
  • ne viestitään selvästi tietoturvan ja tietosuojan avainhenkilöille, henkilöstölle sekä muille oleellisille sidosryhmille
  • niitä päivitetetään tarvittaessa (esim. riskimaiseman muuttuessa tai määräajoin tavoitteiden täyttyessä)
  • ne on dokumentoitu ja ovat (jos mahdollista) mitattavissa

Tietoturvatavoitteiden dokumentoinnin yhteydessä määritellään lisäksi tarvittavat ylätason toimenpiteet, resurssit, vastuuhenkilöt, aikataulu sekä tavat tulosten arviointiin, jotta tavoitteet saavutetaan.

Liittyvät muut vaatimuskehikot ja vaatimukset:
5.1.1: Policies for information security
ISO 27001
ID.BE-3: Organizational mission
NIST

Organisaation tavoitteista johdetut tietoturvaroolit, -vastuut ja -tavoitteet

Critical
High
Normal
Low

Organisaatio on asettanut prioriteetit sen toiminnalle ja tavoitteille. Näiden prioriteettien pohjalta täytyy pystyä määrittämään tietoturvaroolit, -vastuut ja -tavoitteet.

Liittyvät muut vaatimuskehikot ja vaatimukset:
ID.BE-3: Organizational mission
NIST
69: Digiturvan huomiointi osana kokonaisuutta
No items found.