Organisaatio hallinnoi ja valvoo toimitettujen tuotteiden ja järjestelmäkomponenttien turvallista konfigurointia. Konfiguroimme tuotteet oletusarvoisesti turvallisiksi, ellei valmistajan ja asiakkaan välillä ole räätälöityjen tuotteiden osalta sovittu etukäteen toisin. Konfigurointiin sisältyy mahdollisuus palauttaa tuote alkuperäiseen tilaansa. Pidämme kirjaa käyttämistämme konfiguraatioista ja siitä, miten ne ovat muuttuneet ajan myötä.

Organisaation on hankintamenettelyssään varmistettava, että kaikki tieto- ja viestintätekniikkajärjestelmät testataan ja hyväksytään ennen niiden käyttöönottoa ja huoltotoimenpiteiden jälkeen.

Keskeisiä vaatimuksia ovat seuraavat:

• Testauksen tason on oltava suhteessa siihen liittyvien liiketoimintaprosessien ja ICT-varojen kriittisyyteen.
• Testausprosessit on suunniteltava siten, että uudet tai muutetut tieto- ja viestintätekniset järjestelmät toimivat suunnitellusti, ja erityistä huomiota on kiinnitettävä sisäisesti kehitettyjen ohjelmistojen laadun varmistamiseen.

Lisäksi tietyntyyppisiin yhteisöihin sovelletaan erityisvaatimuksia:

Keskusvastapuolten on tarvittaessa otettava seuraavat sidosryhmät mukaan testaustoimien suunnitteluun ja toteuttamiseen:

• selvitysosapuolet ja asiakkaat,
• yhteentoimivat keskusvastapuolet,
• muut asianomaiset osapuolet.

Arvopaperikeskusten on tarvittaessa otettava seuraavat sidosryhmät mukaan testaustoimien suunnitteluun ja toteuttamiseen:

• käyttäjät,
• kriittiset apuohjelmat ja kriittiset palveluntarjoajat,
• muut arvopaperikeskukset,
• muut markkinainfrastruktuurit,
• kaikki muut laitokset, joilla on arvopaperikeskuksen toiminnan jatkuvuutta koskevan politiikan mukaan riippuvuussuhteita.

Organisaation on suoritettava ohjelmistopakettien tietoturvatestaus viimeistään integrointivaiheessa.

Laitteiden, tietojärjestelmien ja verkkojen nykyiset kokoonpanot dokumentoidaan ja kokoonpanomuutoksista pidetään kirjaa.

Konfiguraatioiden muutoksia on valvottava, ja ne on tehtävä muutostenhallintamenettelyn kautta. Vain valtuutettu henkilöstö saa tehdä muutoksia konfiguraatioihin.

Konfiguraatiotietoihin voi sisältyä esim. seuraavat tiedot:

• kiinteistön omistajan ja yhteyshenkilön tiedot
• viimeisimmän konfiguraatiomuutoksen päivämäärä
• konfiguraatiomallin versio
• yhteydet muihin omaisuuseriin

Teemakohtaiset politiikkadokumentit voivat auttaa eri osa-alueisiin liittyvien tehtävien, ohjeistusten sekä muun dokumentaation viestintää ja katselmointia sekä mahdollisten ylätason periaatteiden liittämistä näihin tarkempaa toteutusta kuvaaviin hallintajärjestelmän sisältöihin.

Organisaation on määriteltävä, mitä teemakohtaisia politiikkadokumentteja ylläpidetään sekä tarvittaessa katselmoidaan kokonaisuuksina halutuin väliajoin. Esimerkkejä teemoista, joille omaa politiikkadokumenttia voidaan haluta ylläpidää, ovat mm.:

• pääsynhallinta
• fyysinen turvallisuus
• suojattavan omaisuuden hallinta
• varmuuskopiointi
• salauskäytännöt
• tietojen luokittelu
• teknisten haavoittuvuuksien hallinta
• turvallinen kehittäminen

Tietoturvahäiriöiden analysoinnista ja ratkaisemisesta saatua tietämystä olisi hyödynnettävä tulevien häiriöiden todennäköisyyden vähentämisessä ja niiden vaikutuksen pienentämisessä.

Organisaatio analysoi säännöllisesti tapahtuneita häiriöitä kokonaisuutena. Tässä prosessissa tutkitaan häiriöiden tyyppiä, määrää ja kustannuksia tavoitteena tunnistaa toistuvia ja vaikutuksiltaan merkittäviä häiriöitä.

Mikäli reagointia vaativia toistuvia häiriöitä tunnistetaan, niiden perusteella:

• luodaan uusia tai laajennetaan olemassaolevia tietoturvan hallintatehtäviä
• tarkennetaan tai laajennetaan tähän aihepiiriin liittyvää tietoturvaohjeistusta
• luodaan häiriöstä case-esimerkki, jota käytetään henkilöstön kouluttamiseksi vastaaviin tilanteisiin reagoimiseksi tai niiden välttämiseksi