Organisaatio huolehtii siitä, että häiriöhallintaan on nimetty selkeät vastuuhenkilöt, jotka vastaavat esimerkiksi häiriöiden ensimmäisen tason käsittelystä.

Häiriöiden hallinnasta vastaavia henkilöitä on ohjeistettava ja koulutettava, jotta he ymmärtävät organisaation prioriteetit tietoturvahäiriöiden käsittelyssä.

Organisaatiolla on dokumentoitu prosessi tietoturvahäiriöiden (myös tietoturvaloukkaukset) hallintaa varten havaitsemisesta lopulliseen ratkaisuun. Prosessissa otetaan huomioon kaikki tarvittavat näkökohdat, kuten viestintä asiaankuuluvien sidosryhmien kanssa, ilmoitusvaatimukset ja tekniset lieventämistoimet. Organisaatiolla on tekniset ja organisatoriset resurssit, jotta se voi reagoida asianmukaisesti tietoturvahäiriöihin ja loukkauksiin.

Organisaation olisi laadittava ja ylläpidettävä häiriötilannereagointisuunnitelmia. Reagointisuunnitelmien tulisi sisältää ainakin seuraavat seikat

• häiriötilanne tai häiriötilannetyyppi, jota varten suunnitelma on laadittu
• suunnitelman tavoite
• vastuuhenkilöt ja asiaan liittyvät sidosryhmät sekä yhteystiedot
• suunnitellut välittömät toimet
• suunnitellut seuraavat vaiheet

Häiriötilannereagointisuunnitelmissa olisi määriteltävä aktivointi- ja deaktivointiolosuhteet. Asiakirjojen saatavuus hätätilanteissa on otettava huomioon siten, että niistä on olemassa paikalliset ja fyysiset kopiot.

Organisaatiolla on määritellyt seurattavat mittarit, jotka liittyvät tietoturvahäiriöiden hallintaan. Parhaimmillaan hyvät mittarit auttavat havaitsemaan heikkouksia häiriöiden tunnistamiseen liittyen.

Mahdollisia mittareita ovat mm.:

• tietoturvatapahtumien määrä ja suhde häiriöihin
• häiriöiden määrä tarjottavan palvelun, osaston, vakavuuden tai tyypin mukaan
• vaadittu aika häiriöin tunnistamiseen, tutkimiseen ja käsittelyyn
• poikkeamat dokumentoiduista toimintatavoista