Organisaation on suoritettava säännöllinen kyberturvallisuuden hallintajärjestelmänsä itsearviointi sen varmistamiseksi, että se on turvallisuusasiakirjojen mukainen ja että kyberturvallisuusriskien hallintatoimenpiteet on toteutettu tehokkaasti. Itsearviointi olisi suoritettava vähintään joka toinen vuosi tai merkittävän turvallisuusvälikohtauksen jälkeen.

Itsearviointiprosessi olisi dokumentoitava toistettavuuden varmistamiseksi, ja siihen olisi sisällyttävä seuraavat seikat:

• Sisäisten turvallisuusasiakirjojen noudattamisen tarkistaminen.
• kyberturvallisuusriskien hallintatoimenpiteiden täytäntöönpanon ja tehokkuuden arviointi.

Itsearvioinnin tulosten perusteella:

• Jos organisaation todetaan olevan vaatimustenmukainen, on laadittava vaatimustenmukaisuusvakuutus, jossa esitetään yksityiskohtaisesti ne tekijät, jotka mahdollistavat arvioinnin toistettavuuden.
• Jos havaitaan vaatimustenvastaisuuksia, laaditaan vaatimustenvastaisuusilmoitus. Ilmoituksessa on ilmoitettava selkeästi havaitut noudattamatta jättämiset, ehdotetut menetelmät niiden korjaamiseksi ja niiden täytäntöönpanon määräajat.

Itsearviointi voidaan suorittaa osana organisaation sisäistä tarkastusohjelmaa.

Organisaatio on ottanut käyttöön menettelyt sisäisten tarkastusten suorittamiseksi. Menettelyissä on kuvattava ainakin seuraavat seikat:

• kuinka usein auditointeja tehdään
• kuka voi suorittaa auditointeja (mukaan lukien auditointikriteerit).
• miten varsinainen auditointi suoritetaan
• miten auditoinnin tulokset dokumentoidaan ja kenelle niistä raportoidaan.
• tuloksista on ilmoitettava toimivaltaiselle viranomaiselle, jos sitä säännellään lainsäädännöllä.

Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:

• Riskin kuvaus
• Riskin vakavuus ja todennäköisyys
• Riskiä hallitsevat ohjeet ja hallintatehtävät
• Riskin hyväksyttävyys

Organisaatio on määritellyt menettelyt tietoturvariskien arvioimiseksi ja käsittelemiseksi. Menettelyihin sisältyy ainakin:

• Riskien tunnistamismenetelmät
• Riskianalyysimenetelmät
• Riskien arviointiperusteet (vaikutus ja todennäköisyys).
• Riskien priorisointi, käsittelyvaihtoehdot ja valvontatehtävien määrittely.
• riskien hyväksymiskriteerit
• Prosessin toteuttamissykli, resursointi ja vastuut
• Tulokset olisi sisällytettävä organisaation riskinhallintaprosessiin.

Tehtävän omistaja tarkistaa säännöllisesti, että menettely on selkeä ja tuottaa johdonmukaisia tuloksia.

Tietoturvariskejä koskeva dokumentaatio on tarkistettava säännöllisesti tai jos ympäristössä on tapahtunut muutoksia tai muita tapahtumia, kuten haavoittuvuuksien paljastuminen. Tarkistukseen on sisällyttävä seuraavat seikat:

• Varmistetaan, että tietoturvariskianalyysi ja riskien käsittelyä koskeva dokumentaatio on ajantasainen ja kattava.
• tarvittaessa tietoturvariskien uudelleenarviointi.

Toteutettuja riskienhallintatoimenpiteitä sekä riskienhallinnan kokonaistilannetta tarkastalleen säännöllisesti.

Toimintamalli riskienhallinnan tilan seuraamiseen on selkeästi kuvattu.