The organization should regularly test and verify the effectiveness of implemented security controls and system configurations.

The testing should cover:

• general security measures
• the secure default configurations of systems

The results of these tests, including any identified deficiencies and corrective actions, should be documented to demonstrate that security measures are functioning as intended and that systems maintain their secure state.

The organisation should implement physical security measures designed to delay and hinder unauthorized physical intrusion into its facilities. This includes robust building construction, secure doors, windows, locks, and other physical barriers. Electronic monitoring systems should be deployed to detect attempts at physical intrusion, sabotage, burglary, or theft.

Physical security measures need to be regularly inspected and tested to ensure they are implemented, intact, and functioning as intended.

The organization must establish a formal process to continuously monitor for and analyze external security guidance and developments.

This process must include the regular review of

• Security methodologies and policies published by the national Authority
• The latest security trends, threat intelligence, and technological advancements
• Examples of industry-recognized good practices
• Relevant international standards

Kattavan turvallisuusarkkitehtuurin luominen ja ylläpitäminen. ICT-järjestelmään olisi sisällytettävä seuraavat toiminnot:

• Käyttäjien ja tilien hallintatoiminnot
• Toiminnallisuus laitteiden (esim. asiakkaiden) hallinnassa pysymistä varten.
• Toiminnallisuus resurssien ja palveluiden käyttöoikeuksien hallintaa varten
• Toiminnallisuus ohjelmistojen suorittamisen ja asennuksen valvomiseksi (erityisesti asiakkaissa).
• Työkalut koko ICT-arkkitehtuurin tai sen osien käyttämiseen ja virtualisointiin (paikallisesti ja pilvipalveluna).
• Verkkolaitteet (kytkimet, reitittimet, yhteyspisteet) ja palomuurit.
• Haittaohjelmien torjuntamekanismit (virustorjunta).
• Salausmoduulit
• Digitaaliset varmenteet ja julkisen avaimen infrastruktuuri (PKI).
• Tietokannat
• Järjestelmänvalvontatyökalut
• Työkalut tietoturvamääritysten hallintaan
• tunkeutumisen havaitsemis- (IDS) ja suojausjärjestelmät (IPS).
• Varmuuskopiointi ja palautus

Organisaatiolla on oltava määritellyt vaatimukset tietojärjestelmien auditointien suorittamiselle tai auditointia suorittavalle palvelulle. Lisäksi on otettava huomioon seuraavat seikat:

• Järjestelmäauditoinnin laajuuden määrittely ajoissa.
• Auditoinnit on sovitettava yhteen järjestelmän ylläpitäjien ja käyttäjien kanssa.
• Auditointitulokset tulee olla tallennettu jäljitettävällä tavalla ja raportoidaan asianomaiselle johdolle.
• Tulokset on analysoitava, jotta niiden perusteella voidaan johtaa uusia toimenpiteitä.

ICT:ltä vaaditut jatkuvuusvaatimukset muodustuvat organisaation tuotteiden ja palveluiden tarjoamiseen liittyville ydinprosesseille muodostettujen jatkuvuussuunnitelmien ja niihin sisältyvien palautusmisaikatavoitteiden kautta.

Organisaation on tunnistettava, millaiset palautumisajat ja palautumispisteet eri ICT-palvelujen on pystyttävä saavuttamaan huomioiden liittyville prosesseille määritellyt palautumistavoitteet, ja varmistettava kyky näiden saavuttamiseen.

Suunnittelussa on huomioitava etenkin:

• vastuut on määritetty ICT-palvelujen häiriöihin valmistautumiseen, hallintaan sekä vastaamiseen
• erityisesti ICT-palveluihin liittyvät jatkuvuussuunnitelmat on luotu, hyväksytty ja niitä testataan säännöllisesti
• jatkuvuussuunnitelmat sisältävät tiedon suorituskykyvaatimuksista, palautumisaikavaatimuksen sekä palautumistoimet jokaiselle tärkeälle ICT-palvelulle sekä palautumispistevaatimukset sekä palauttamistoimet jokaiselle tärkeälle ICT-palvelulle

Organisaation on otettava keinoja käyttöön, jolla häiriön vaikutus voidaan rajata mahdollisimman pieneen osaan. Keinot tulisivat vastata tehtyjä suunnitelmia ja sisältää häiriön:

• Vastaisen valmistelun
• Analysoinnin
• Eristämisen
• Hävittämisen
• Palautumisen käynnistämisen

Organisaation on arvioitava erilaisista syistä johtuvien toiminnankeskeytysten ja riskien aiheuttama mahdollinen vahinko toiminnalle. Tämän arvioinnin perusteella on priorisoitava jatkuvuussuunnittelussa eri teemoja, jotta suunnittelu keskittyy riskilähtöisesti tärkeimpiin asioihin.

Johdon on määriteltävä hallintavastuut ja luotava menettelyt, joilla taataan tehokas ja johdonmukainen reagointi tietoturvahäiriöihin.

Johdon on varmistettava mm.:

• häiriöiden hallinta on vastuutettu
• häiriöiden vastaamiseen, käsittelyyn ja raportointiin on dokumentoitu prosessi

Prosessin on varmistettava mm.:

• henkilöstöllä on selkeä yhteydenottopiste / -työkalu sekä ohjeistus häiriöiden raportoimiselle
• pätevä henkilöstö käsittelee raportoidut tietoturvahäiriöt tarpeeksi kattavasti

Organisaation on lueteltava kaikki asiaankuuluvat suojatut omaisuuserät omistusoikeuden määrittämiseksi ja sen varmistamiseksi, että turvatoimenpiteet kattavat kaikki tarvittavat kohteet.

Suuri osa suojatusta omaisuudesta (mukaan lukien tietojoukot, tietojärjestelmät, henkilöstö/yksiköt ja kumppanit) käsitellään muiden tehtävien kautta. Lisäksi organisaation on lueteltava muut tärkeät omaisuuserät, joita voivat olla toiminnan luonteesta riippuen esimerkiksi laitteisto (palvelimet, verkkolaitteet, työasemat, tulostimet) tai infrastruktuuri (kiinteistöt, sähköntuotanto, ilmastointi). Lisäksi organisaation on varmistettava, että asiaankuuluvat ulkoiset laitteet dokumentoidaan.