Häiriöiden ilmoittamiseen ylläpidetään prosessia, joka auttaa henkilöstöä ilmoittamaan häiriöistä tehokkaasti ja johdonmukaisesti.

Häiriönä ilmoitettavia asioita ovat mm.:

• luvaton pääsy tietoihin / tiloihin
• tietoturvaohjeiden vastainen toiminta
• epäilty tietoturvaongelma (esim. tietojenkalastelu, haittaohjelmatartunta)
• tietojärjestelmän käyttökatko
• tietojen tuhoutuminen / muuttuminen vahingossa tai tahallaan
• kadonnut tai varastettu laite
• vaarantunut salasana
• kadonnut fyysinen tunniste (esim. avaimenperä, älykortti, älytarra)
• epäilty tietoturvaheikkous (esim. käytetyssä tietojärjestelmässä tai muissa toimintatavoissa)

Henkilöstön ohjeissa korostetaan velvollisuutta raportoida tietoturvahäiriöistä mahdollisimman pian sovitun prosessin mukaisesti. Ohjeistus kuvaa myös muun toiminnan häiriön tapauksessa (mm. virheilmoitusten ja muiden yksityiskohtien kirjaaminen ylös).

Organisaatio huolehtii siitä, että häiriöhallintaan on nimetty selkeät vastuuhenkilöt, jotka vastaavat esimerkiksi häiriöiden ensimmäisen tason käsittelystä.

Häiriöiden hallinnasta vastaavia henkilöitä on ohjeistettava ja koulutettava, jotta he ymmärtävät organisaation prioriteetit tietoturvahäiriöiden käsittelyssä.

Organisaation olisi laadittava ja dokumentoitava menettely tietoturvaloukkauksista ilmoittamiseksi asiaankuuluville ulkoisille osapuolille. Menettelyssä olisi määriteltävä selkeästi edellytykset, joiden täyttyessä raportointi on tarpeen, ja sen olisi oltava oikeudellisten ja sopimusvelvoitteiden mukainen. Siinä olisi myös määriteltävä vastuulliset roolit, viranomaiset tai osapuolet, joille on ilmoitettava, sekä vaaditut raportointiaikataulut ja varmistettava, että kaikkia sovellettavia vaatimuksia noudatetaan.

Organisaation on laadittava selkeä ja kattava määritelmä siitä, mikä on raportoitava turvallisuustapahtuma tai havainto, ja varmistettava, että se kattaa seuraavat luokat:

• Henkilöstön rikkomukset tai väärinkäytökset.
• Tunkeutuminen, varkaus, luvaton pääsy turvavyöhykkeille ja turvavyöhykkeiden haavoittuvuudet.
• Kyberturvallisuustapahtumat, kuten tietojärjestelmien haavoittuvuudet ja havaitut onnistuneet tai epäonnistuneet kyberhyökkäykset.
• Toimittajien ja yhteistyökumppaneiden vaaratilanteet, jotka voivat vaikuttaa kielteisesti organisaation turvallisuuteen.

Organisaatiolla on oltava määritelty menettely häiriötilanteiden raportointia varten, ja siitä on tiedotettava henkilöstölle:

• Suunnitellaan ja otetaan käyttöön tehokkaat raportointimekanismit, jotka on räätälöity havaittujen riskien mukaan.
• Varmistetaan, että näistä mekanismeista tiedotetaan hyvin ja että ne ovat kaikkien työntekijöiden, sidosryhmien ja asiaankuuluvien osapuolten saatavilla, jotta turvallisuustapahtumista voidaan raportoida ajoissa ja täsmällisesti.
• Järjestetään koulutustilaisuuksia ja tiedotusohjelmia sen varmistamiseksi, että kaikki asianomaiset työntekijät ja sidosryhmät ymmärtävät raportoitavien turvallisuustapahtumien määritelmän ja tuntevat raportointimekanismit.

Johdon on määriteltävä hallintavastuut ja luotava menettelyt, joilla taataan tehokas ja johdonmukainen reagointi tietoturvahäiriöihin.

Johdon on varmistettava mm.:

• häiriöiden hallinta on vastuutettu
• häiriöiden vastaamiseen, käsittelyyn ja raportointiin on dokumentoitu prosessi

Prosessin on varmistettava mm.:

• henkilöstöllä on selkeä yhteydenottopiste / -työkalu sekä ohjeistus häiriöiden raportoimiselle
• pätevä henkilöstö käsittelee raportoidut tietoturvahäiriöt tarpeeksi kattavasti