Organisaatio on määritelly prosessin, jonka perusteella tunnistetut tekniset haavoittuvuudet käsitellään.

Osa haavoittuvuuksista voidaan korjata suoraan, mutta merkittäviä vaikutuksia omaavat haavoittuvuudet tulisi dokumentoida myös tietoturvahäiriöinä. Merkittäviä vaikutuksia omaavan haavoituvuuden tunnistamisen jälkeen:

• yksilöidään haavoittuvuuteen liittyvät riskit ja tarvittavat toimenpiteet (esim. järjestelmän paikkaus tai muut hallintatehtävät)
• aikataulutetaan tarvittavat toimenpiteet
• dokumentoidaan kaikki toimenpiteet

The organization needs a structured way to decide when a security patch is not applied and to clearly justify that decision. This ensures that patch exclusions are based on informed risk considerations rather than convenience or oversight.

• Define criteria for evaluating situations where applying a security patch could introduce unacceptable operational, safety or stability risks.
• Assess the potential disadvantages of applying the patch against the expected cybersecurity benefits, taking into account system criticality and business impact.
• Document the reasons for deciding not to apply a patch, including the risks considered and the factors that influenced the decision.
• Identify and record any compensating or additional security measures used to reduce risk when a patch is not applied.
• Ensure that patch exclusion decisions are reviewed and approved by appropriate roles, such as system owners or risk owners.
• Reassess excluded patches periodically to determine whether conditions have changed and whether the patch should be applied later.

This approach ensures transparency, accountability and risk awareness when security patches are intentionally excluded.

Organisaatiolla on oltava prosessi digitaalisten elementtien päivitysten jakelua varten, jossa otetaan huomioon ainakin seuraavat seikat:

• Päivitysten ja korjausten hallintaprosessin on varmistettava, että päivitykset jaetaan turvallisella tavalla.
• Tarvittaessa tietoturvapäivitysten osalta päivitykset on jaettava automaattisesti, ja päivityksen omistajan on tarkistettava päivityksen mahdolliset kielteiset vaikutukset ennen sen soveltamista koko ympäristöön.
• Päivitykset on jaettava kohtuullisessa ajassa sen jälkeen, kun valmistaja on julkaissut päivityksen, ottaen huomioon haavoittuvuuden vakavuus.

Organisaation on määritettävä kriteerit, joiden perusteella tietoturvapäivitys on tarpeen asentaa (esim. päivityksen korjaamien haavoittuvuuksien vakavuus).

On myös päätettävä, kuinka nopeasti ja missä järjestyksessä tietoturvapäivitykset asennetaan päivityskriteerien mukaan. Esimerkiksi kriittiset tietoturvapäivitykset olisi asennettava mahdollisimman pian.

Organisaatiolla olisi oltava määriteltynä ja toteutettuna asianmukainen korjaustenhallintamenettely. Tähän olisi sisällyttävä korjausten testaus ja asennus.

Olisi toteutettava toimenpiteitä korjausten hallintaan liittyvien riskien minimoimiseksi ja korjausten onnistuneen asennuksen todentamiseksi.

Korjausten hallinnan olisi mahdollisuuksien mukaan oltava automatisoitua (esimerkiksi käyttöjärjestelmän päivitykset).

Korjaustenhallintaprosessissa olisi otettava huomioon kehysten asettamat vaatimukset tai muut vaatimukset, joita niiden on noudatettava.

Järjestelmällisessä turvallisuustyössä merkittävien muutosten vaikutukset on arvioitava ennakkoon ja muutokset toteutettava systemaattisesti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.

Merkittäviä muutoksia voivat olla mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin sekä tietojärjestelmiin kohdistuvat muutokset. Muutoksia voidaan tunnistaa mm. johdon katselmuksissa sekä muuten toiminnan ohessa.