Organisaatiomme on määritellyt toimintatavat henkilöstön digiturvaosaamisen ylläpitämiseen. Näihin voi liittyä mm. seuraavia asioita:

• henkilöstölle on olemassa ohjeet, joilla kuvataan työrooliin liittyvät digiturvan yleiset säännöt
• henkilöstöä koulutetaan, jotta he pystyvät toimimaan turvallisesti, tietävät ohjeet ja kykenevät noudattamaan niitä
• henkilöstö osoittaa testien tai muun vastaavan avulla omaavansa turvallisen toiminnan vaatimat digiturvataidot ja -tiedot

Koulutus keskittyy kullekin työroolille oleellisimpiin digiturvateemoihin, mutta sisältää tarpeeksi usein myös kaikkia työntekijöitä koskevat "perusasiat":

• työntekijän henkilökohtainen vastuu (mm. päätelaitteista ja käsittelemästään tiedosta)
• kaikkia koskevat käytännöt (mm. tietoturvahäiriöiden raportointi)
• kaikkia koskevat säännöt (mm. puhdas työpöytä)
• organisaation tietoturvaroolit (keneen yhteyttä ongelmatilanteissa)

Joskus yllättävä tapahtuma, kuten tulipalo, tulva tai laiterikko, voi aiheuttaa toiminnan keskeytyksen. Jotta toimintaa pystyttäisiin jatkamaan mahdollisimman pian ja sujuvasti, tehdään jatkuvuussuunnittelua, eli suunnitellaan etukäteen toiminta poikkeustilanteiden varalle.

Jokaiseen jatkuvuussuunnitelmaan sisältyvät vähintään seuraavat tiedot:

• Tapahtuma, jonka varalle suunnitelma on tehty
• Tavoiteaika palautumiselle
• Vastuuhenkilöt sekä liittyvät sidosryhmät ja yhteystiedot
• Suunnitellut välittömät toimet
• Suunnitellut toipumisen askeleet

Kuvaamme tietojärjestelmälistauksen yhteydessä, minkä järjestelmien suhteen vastuu varmuuskopioinnin toteutuksesta on itsellämme. Organisaation omalla vastuulla olevat varmuuskopiointiprosessit on dokumentoitu ja jokaiselle on määritelty omistaja. Dokumentaatio sisältää mm.:

• millä järjestelmällä ja kuinka usein varmuuskopiot toteutetaan?
• kuinka varmuuskopiot suojataan (salaus, fyysinen sijainti)?
• kuinka pitkään varmuuskopiot säilytetään?

Organisaatiolla tulee luoda menettely henkilöstöään koskevaa koulutusta ja ohjausta varten. Näihin menettelyiden tulisi sisältää ja kattaa ainakin seuraavat aiheet:

• Tietoturvapolitiikka.
• Turvallisuuspoikkeamien raportointi.
• Reagointi haittaohjelmahäiriöihin.
• Käyttäjätiliä ja kirjautumistietoja koskevat käytännöt (esim. salasanakäytännöt).
• Tietoturvasäännösten noudattaminen.
• Salassapitosopimusten (NDA) käyttö arkaluonteisia tietoja jaettaessa.
• Ulkoisten IT-palveluiden käyttö.

Koulutusohjelmassa olisi yksilöitävä tietyt työntekijäryhmät, jotka tarvitsevat tätä koulutusta, kuten järjestelmänvalvojat, tuotantohenkilöstö sekä henkilöt, joilla on pääsy asiakasverkkoihin.

Vastuullisen johdon on hyväksyttävä koulutusmenettely. Koulutus- ja tietoisuusohjelmat on toteutettava säännöllisesti ja erityisten tapahtumien yhteydessä. Varmista, että työntekijät tietävät, keneen ottaa yhteyttä tietoturva asioissa.

Organisaation on luotava häiriöön vastaamissuunnitelma kriittisiin tietojärjestelmiin tapahtuvia tietoturvahäiriöitä varten. Vastaamissuunnitelmia tulee myös testata tarvittavien organisaation elementtien toimesta. Suunnitelmassa tulisi ottaa huomioon ainakin:

• Tietojärjestelmän toiminnan tarkoitus ja sen katkeamista varten tarvittavat varautumistoimet
• Palautussuunnitelmat, tavoitteet ja palautuskohteiden priorisointijärjestys
• Vastaussuunnitelmien toteuttamisen roolitus ja rooleihin määrättyjen henkilöiden yhteystiedot
• Normaalin toiminnan jatkuminen tietojärjestelmien tilasta riippumatta.
• Vastaussuunnitelmien jakelu, hyväksyminen ja tarkastaminen

Lisäksi suunnitelman tulisi ainakin:

• Luoda etenemissuunnitelma häiriöiden hallintakyvyn kehittämistä varten
• Kuvata häiriönhallintakyvyn rakenne ja organisaatio
• Antaa mittarit häiriönhallintakyvyn mittaamiseksi

Koko organisaation ohjauksessa toimivan henkilöstön on oltava tietoisia:

• miten he voivat osaltaan lisätä tietoturvallisuuden hallintajärjestelmän vaikuttavuutta ja millaista hyötyä tietoturvallisuuden tason parantamisesta on
• seurauksista, joita tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten noudattamatta jättämisellä voi ollaminkä osan henkilöstöstä työ vaikuttaa tietoturvan tasoon

Lisäksi johto on määrittänyt tavat, joilla henkilöstö pidetään tietoisina omaan työrooliinsa liittyvistä tietoturvaohjeista.

Organisaation tulee luoda kattava kriisinhallintajärjestelmä ja ylläpidettävä sitä. Tähän kuuluu menetelmien käyttöönotto mahdollisten kriisitilanteiden havaitsemiseksi tunnistamalla yleiset indikaattorit ja erityiset ennakoitavat kriisit sekä selkeät menettelyt kriisinhallinnan käynnistämiseksi ja eskaloimiseksi tarvittaessa. On määriteltävä strategiset tavoitteet ja painopisteet, joissa keskitytään esimerkiksi eettisiin näkökohtiin:

• ihmishenkien ja terveyden suojelu
• keskeisimpien liiketoimintaprosessien turvaaminen
• asianmukaisen tietoturvan varmistaminen

kriisinhallintaryhmän muodostus, johon kuuluu edustajia kaikista tärkeimmistä organisaation toiminnoista ja jossa on määritellyt rakenteet, roolit, toimivaltuudet, odotukset, valtuudet ja päätöksentekomenettelyt.

On kehitettävä ja hyväksyttävä kriisinhallintapolitiikat ja -menettelyt, jotka kattavat poikkeukselliset valtuudet ja päätöksentekoprosessit, viestintämenetelmät, hätätilanteiden toimintamenettelyt sekä raportoinnin, tiedonkeruun ja päätöksenteon organisaatiorakenteet.

Koko kriisinhallintasuunnitelmaa olisi tarkistettava ja päivitettävä säännöllisesti, jotta varmistetaan sen jatkuva tehokkuus ja asianmukaisuus.