Organisaation olisi säännöllisesti testattava ja todennettava toteutettujen turvavalvontatoimien ja järjestelmäkokoonpanojen tehokkuus.

Testauksen olisi katettava:

• yleiset turvatoimet
• järjestelmien turvalliset oletuskonfiguraatiot

Näiden testien tulokset, mukaan lukien havaitut puutteet ja korjaavat toimet, olisi dokumentoitava sen osoittamiseksi, että turvatoimenpiteet toimivat tarkoitetulla tavalla ja että järjestelmät säilyttävät turvallisen tilansa.

Organisaation olisi toteutettava fyysisiä turvatoimia, joiden tarkoituksena on viivyttää ja estää luvaton fyysinen tunkeutuminen sen tiloihin. Näihin kuuluvat vankka rakennusrakenne, turvalliset ovet, ikkunat, lukot ja muut fyysiset esteet. Sähköisiä valvontajärjestelmiä olisi käytettävä fyysisen tunkeutumisen, sabotaasin, murtojen tai varkauksien havaitsemiseksi.

Fyysiset turvatoimet on tarkastettava ja testattava säännöllisesti sen varmistamiseksi, että ne on toteutettu, että ne ovat ehjiä ja että ne toimivat tarkoitetulla tavalla.

Organisaation on otettava käyttöön virallinen prosessi, jonka avulla seurataan ja analysoidaan jatkuvasti ulkoisia turvallisuusohjeita ja -muutoksia.

Tähän prosessiin on kuuluttava seuraavien asiakirjojen säännöllinen tarkastelu

• kansallisen viranomaisen julkaisemat turvallisuusmenetelmät ja -politiikat
• viimeisimmät turvallisuussuuntaukset, uhkatiedustelu ja teknologinen kehitys.
• esimerkkejä alan tunnustetuista hyvistä käytännöistä.
• asiaankuuluvat kansainväliset standardit

Kattavan turvallisuusarkkitehtuurin luominen ja ylläpitäminen. ICT-järjestelmään olisi sisällytettävä seuraavat toiminnot:

• Käyttäjien ja tilien hallintatoiminnot
• Toiminnallisuus laitteiden (esim. asiakkaiden) hallinnassa pysymistä varten.
• Toiminnallisuus resurssien ja palveluiden käyttöoikeuksien hallintaa varten
• Toiminnallisuus ohjelmistojen suorittamisen ja asennuksen valvomiseksi (erityisesti asiakkaissa).
• Työkalut koko ICT-arkkitehtuurin tai sen osien käyttämiseen ja virtualisointiin (paikallisesti ja pilvipalveluna).
• Verkkolaitteet (kytkimet, reitittimet, yhteyspisteet) ja palomuurit.
• Haittaohjelmien torjuntamekanismit (virustorjunta).
• Salausmoduulit
• Digitaaliset varmenteet ja julkisen avaimen infrastruktuuri (PKI).
• Tietokannat
• Järjestelmänvalvontatyökalut
• Työkalut tietoturvamääritysten hallintaan
• tunkeutumisen havaitsemis- (IDS) ja suojausjärjestelmät (IPS).
• Varmuuskopiointi ja palautus

Organisaatiolla on oltava määritellyt vaatimukset tietojärjestelmien auditointien suorittamiselle tai auditointia suorittavalle palvelulle. Lisäksi on otettava huomioon seuraavat seikat:

• Järjestelmäauditoinnin laajuuden määrittely ajoissa.
• Auditoinnit on sovitettava yhteen järjestelmän ylläpitäjien ja käyttäjien kanssa.
• Auditointitulokset tulee olla tallennettu jäljitettävällä tavalla ja raportoidaan asianomaiselle johdolle.
• Tulokset on analysoitava, jotta niiden perusteella voidaan johtaa uusia toimenpiteitä.

ICT:ltä vaaditut jatkuvuusvaatimukset muodustuvat organisaation tuotteiden ja palveluiden tarjoamiseen liittyville ydinprosesseille muodostettujen jatkuvuussuunnitelmien ja niihin sisältyvien palautusmisaikatavoitteiden kautta.

Organisaation on tunnistettava, millaiset palautumisajat ja palautumispisteet eri ICT-palvelujen on pystyttävä saavuttamaan huomioiden liittyville prosesseille määritellyt palautumistavoitteet, ja varmistettava kyky näiden saavuttamiseen.

Suunnittelussa on huomioitava etenkin:

• vastuut on määritetty ICT-palvelujen häiriöihin valmistautumiseen, hallintaan sekä vastaamiseen
• erityisesti ICT-palveluihin liittyvät jatkuvuussuunnitelmat on luotu, hyväksytty ja niitä testataan säännöllisesti
• jatkuvuussuunnitelmat sisältävät tiedon suorituskykyvaatimuksista, palautumisaikavaatimuksen sekä palautumistoimet jokaiselle tärkeälle ICT-palvelulle sekä palautumispistevaatimukset sekä palauttamistoimet jokaiselle tärkeälle ICT-palvelulle

Organisaation on otettava keinoja käyttöön, jolla häiriön vaikutus voidaan rajata mahdollisimman pieneen osaan. Keinot tulisivat vastata tehtyjä suunnitelmia ja sisältää häiriön:

• Vastaisen valmistelun
• Analysoinnin
• Eristämisen
• Hävittämisen
• Palautumisen käynnistämisen

Organisaation on arvioitava erilaisista syistä johtuvien toiminnankeskeytysten ja riskien aiheuttama mahdollinen vahinko toiminnalle. Tämän arvioinnin perusteella on priorisoitava jatkuvuussuunnittelussa eri teemoja, jotta suunnittelu keskittyy riskilähtöisesti tärkeimpiin asioihin.

Johdon on määriteltävä hallintavastuut ja luotava menettelyt, joilla taataan tehokas ja johdonmukainen reagointi tietoturvahäiriöihin.

Johdon on varmistettava mm.:

• häiriöiden hallinta on vastuutettu
• häiriöiden vastaamiseen, käsittelyyn ja raportointiin on dokumentoitu prosessi

Prosessin on varmistettava mm.:

• henkilöstöllä on selkeä yhteydenottopiste / -työkalu sekä ohjeistus häiriöiden raportoimiselle
• pätevä henkilöstö käsittelee raportoidut tietoturvahäiriöt tarpeeksi kattavasti

Organisaation on lueteltava kaikki asiaankuuluvat suojatut omaisuuserät omistusoikeuden määrittämiseksi ja sen varmistamiseksi, että turvatoimenpiteet kattavat kaikki tarvittavat kohteet.

Suuri osa suojatusta omaisuudesta (mukaan lukien tietojoukot, tietojärjestelmät, henkilöstö/yksiköt ja kumppanit) käsitellään muiden tehtävien kautta. Lisäksi organisaation on lueteltava muut tärkeät omaisuuserät, joita voivat olla toiminnan luonteesta riippuen esimerkiksi laitteisto (palvelimet, verkkolaitteet, työasemat, tulostimet) tai infrastruktuuri (kiinteistöt, sähköntuotanto, ilmastointi). Lisäksi organisaation on varmistettava, että asiaankuuluvat ulkoiset laitteet dokumentoidaan.