Varmuuskopiointiin käytettäviä tietovälineitä ja varmuuskopioiden palauttamista testataan säännöllisesti, jotta voidaan varmistua siitä, että hätätilanteessa niihin voidaan luottaa.

Varmuuskopioiden palauttamisesta ylläpidetään tarkkoja ja täydellisiä ohjeita. Toimintaohjeiden avulla seurataan varmuuskopioiden toimintaa ja varaudutaan varmuuskopioiden epäonnistumiseen.

Häiriöiden ilmoittamiseen ylläpidetään prosessia, joka auttaa henkilöstöä ilmoittamaan häiriöistä tehokkaasti ja johdonmukaisesti.

Häiriönä ilmoitettavia asioita ovat mm.:

• luvaton pääsy tietoihin / tiloihin
• tietoturvaohjeiden vastainen toiminta
• epäilty tietoturvaongelma (esim. tietojenkalastelu, haittaohjelmatartunta)
• tietojärjestelmän käyttökatko
• tietojen tuhoutuminen / muuttuminen vahingossa tai tahallaan
• kadonnut tai varastettu laite
• vaarantunut salasana
• kadonnut fyysinen tunniste (esim. avaimenperä, älykortti, älytarra)
• epäilty tietoturvaheikkous (esim. käytetyssä tietojärjestelmässä tai muissa toimintatavoissa)

Henkilöstön ohjeissa korostetaan velvollisuutta raportoida tietoturvahäiriöistä mahdollisimman pian sovitun prosessin mukaisesti. Ohjeistus kuvaa myös muun toiminnan häiriön tapauksessa (mm. virheilmoitusten ja muiden yksityiskohtien kirjaaminen ylös).

Kaikki tietoturvahäiriöt käsitellään johdonmukaisesti, jotta tietoturvaa voidaan parantaa tapahtuneen perusteella.

Häiriöiden käsittelyprosessissa:

• vahvistetaan raportoitu häiriö (tai todetaan tarpeettomaksi kirjata ylös)
• dokumentoidaan häiriön tyyppi ja syy
• dokumentoidaan häiriöön liittyneet riskit
• käsitellään riskit, mikäli häiriön perusteella niiden käsittelyä täytyy päivittää
• määritellään ja dokumentoidaan toimenpiteet riskien pienentämiseksi tai päätös niiden hyväksymisestä
• määritellään tahot, joille on tärkeää tiedottaa käsittelyn tuloksista (myös organisaation ulkopuoliset)
• määritetään tarve häiriön jälkianalyysille

Organisaation olisi otettava toimittajat ja muut asiaankuuluvat kolmannet osapuolet mukaan häiriöiden hallintaprosessiin ja -suunnitteluun esimerkiksi seuraavin keinoin:

• Määritellään ja otetaan käyttöön säännöt, roolit ja protokollat, jotka koskevat häiriötilanteisiin reagoimista ja niistä toipumista koskevien toimien raportointia organisaation ja sen toimittajien välillä.
• Kriittisten toimittajien ottaminen mukaan säännöllisiin häiriötilanteiden torjuntaharjoituksiin ja simulaatioihin.
• Luodaan ja koordinoidaan kriisiviestintämenetelmät ja -käytännöt organisaation ja sen kriittisten toimittajien välille.
• Järjestetään kriittisten toimittajien kanssa yhteisiä oppimistilaisuuksia vaaratilanteiden jälkeen, jotta voidaan parantaa yhteisiä reagointivalmiuksia ja tarkentaa prosesseja tulevia vaaratilanteita varten.

Organisaatiolla tulee olla selkeät viestintäkanavat tapahtumien raportointia varten:

• Perustetaan ja ylläpidetään asianmukaisia viestintäkanavia turvallisuustapahtumista raportoiville henkilöille ja varmistetaan, että:
• Tapahtumista ilmoittamista varten on määritetty yhteinen yhteyspiste, josta tiedotus tapahtuu kaikille asianomaisille osapuolille.
• Käytettävissä on erilaisia raportointikanavia tapahtumien vakavuuden mukaan, mukaan lukien reaaliaikaiset viestintävaihtoehdot merkittävissä hätätilanteissa ja asynkroniset menetelmät (esim. liput, sähköposti) vähemmän kiireellisissä asioissa.

Organisaation olisi myös harkittava mahdollisuutta ulkoiseen raportointiin. Tämä voi tarkoittaa, että organisaatiolla on järjestelmä, jolla voidaan käsitellä ulkoisten osapuolten raportteja turvallisuustapahtumista, mukaan lukien:

• Ulkoisesti saatavilla oleva ja hyvin kommunikoitu menetelmä tietoturvatapahtumien raportointia varten.
• Määritellyt menettelyt ulkoisista lähteistä tuleviin tietoturvatapahtumaraportteihin vastaamista ja niiden käsittelyä varten.

Organisaation olisi myös varmistettava, että häiriötilanteiden raportointimekanismit ja -tiedot ovat helposti kaikkien asianomaisten raportoijien saatavilla, ja otettava käyttöön palautemenettely, jolla turvatapahtumista raportoiville annetaan nopeita vastauksia ja päivityksiä ja jolla varmistetaan, että heille tiedotetaan tuloksista ja tarvittavista jatkotoimista.

Organisaation on otettava keinoja käyttöön, jolla häiriön vaikutus voidaan rajata mahdollisimman pieneen osaan. Keinot tulisivat vastata tehtyjä suunnitelmia ja sisältää häiriön:

• Vastaisen valmistelun
• Analysoinnin
• Eristämisen
• Hävittämisen
• Palautumisen käynnistämisen

Organisaatio on määritellyt prosessin ja siihen osallistuvan tiimin, jonka avulla tietoturvahäiriöihin reagoidaan pikaisesti ja sopivat jatkotoimet päätetään johdonmukaisesti.

Ensimmäisen tason reagointiprosessissa vähintään:

• pyritään tehokkaasti vahvistamaan todettu häiriö
• päätetään tarpeesta välittömään reagointiin