Sisältökirjasto
NIS2 NO
§ 7: Risikovurdering
Lov om digital sikkerhet (Norge)
§ 7

Risikovurdering

Aloita ilmainen kokeilu

Vaatimuksen kuvaus

En tilbyder av en samfunnsviktig tjeneste skal utarbeide, vedlikeholde og dokumentere risikovurderinger. Risikovurderingene skal være av et slikt omfang at tilbyderen kan identifisere organisatoriske, teknologiske,fysiske og personellmessige sikkerhetstiltak som ivaretar formålene i § 8 andre ledd. Ved endringer i virksomheten som kan påvirke sikkerheten, skal tilbyderen vurdere hvilken risiko endringene medfører.

Risikovurderingene skal minst beskrive

a. virksomhetens nettverk og informasjonssystemer og hvilken betydning disse har for leveransen av den samfunnsviktige tjenesten

b. hvilke hendelser virksomhetens nettverk og informasjonssystemer kan bli utsatt for

c. hvilke sårbarheter som er knyttet til virksomhetens nettverk og informasjonssystemer

d. konsekvensen av hendelser

e. i hvilken grad virksomheten er avhengig av andre virksomheter for å fungere som den skal.

Kuinka täyttää vaatimus

Lov om digital sikkerhet (Norge)

§ 7: Risikovurdering

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Tietojärjestelmien listaus ja omistajien nimeäminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Tietojärjestelmien hallinta
80
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
24. Rekisterinpitäjän vastuu
GDPR
28. Henkilötietojen käsittelijä
GDPR
32. Käsittelyn turvallisuus
GDPR
44. Siirtoja koskeva yleinen periaate
GDPR
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietojärjestelmien listaus ja omistajien nimeäminen
1. Tehtävän vaatimuskuvaus

Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä sekä tietojärjestelmille nimetyistä omistajista. Omistaja vastaa järjestelmän tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti järjestelmään.

Järjestelmiin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

  • Järjestelmään liittyvät vastuut ja sen käyttötarkoitus
  • Järjestelmän tietojen sijainti (käsitellään tarkemmin erillisessä tehtävässä)
  • Kuvaus järjestelmän ylläpito- ja kehitysvastuista sekä tähän mahdollisesti liittyvät toimittajat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tietojärjestelmän pääsyoikeusroolit ja tunnistautumistavat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa liittymät muihin järjestelmiin (käsitellään tarkemmin erillisessä tehtävässä)

Tietoturvariskien tunnistaminen ja dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Riskien hallinta
82
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
24. Rekisterinpitäjän vastuu
GDPR
13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
T04: Turvallisuusriskien hallinta
Katakri
ID.GV-4: Processes
NIST
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvariskien tunnistaminen ja dokumentointi
1. Tehtävän vaatimuskuvaus

Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:

  • Riskin kuvaus
  • Riskin vakavuus ja todennäköisyys
  • Riskiä hallitsevat ohjeet ja hallintatehtävät
  • Riskin hyväksyttävyys

Riskienhallinnan menettelykuvaus -raportin julkaisu ja ylläpito

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Riskien hallinta
94
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
5.1.1: Tietoturvapolitiikat
ISO 27001
T04: Turvallisuusriskien hallinta
Katakri
ID.GV-4: Processes
NIST
ID.RA-5: Risk evaluation
NIST
ID.RA-6: Risk responses
NIST
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Riskienhallinnan menettelykuvaus -raportin julkaisu ja ylläpito
1. Tehtävän vaatimuskuvaus

Organisaatio on määritellyt menettelyt tietoturvariskien arvioimiseksi ja käsittelemiseksi. Menettelyihin sisältyy ainakin:

  • Riskien tunnistamismenetelmät
  • Riskianalyysimenetelmät
  • Riskien arviointiperusteet (vaikutus ja todennäköisyys).
  • Riskien priorisointi, käsittelyvaihtoehdot ja valvontatehtävien määrittely.
  • riskien hyväksymiskriteerit
  • Prosessin toteuttamissykli, resursointi ja vastuut
  • Tulokset olisi sisällytettävä organisaation riskinhallintaprosessiin.

Tehtävän omistaja tarkistaa säännöllisesti, että menettely on selkeä ja tuottaa johdonmukaisia tuloksia.

Organisaation ulkoisten riippuvuuksien dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
3
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
GV.OC-05: Organizational dependencies on outcomes and services
NIST 2.0
§ 4-2: Vurdering av risiko
Sikkerhetsloven
§ 7: Risikovurdering
NIS2 NO
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Organisaation ulkoisten riippuvuuksien dokumentointi
1. Tehtävän vaatimuskuvaus

Riippuvuudet ulkoisista palveluista saattavat vaikuttaa organisaation riskienhallintaan ja kriittisiin valmiuksiin. Organisaation on tunnistettava ja ylläpidettävä luetteloa organisaation ulkoisista riippuvuuksista, mukaan lukien toimitilat, pilvipalvelujen tarjoajat ja mahdolliset kolmannen osapuolen palvelut.

Dokumentaation tulisi myös sisältää:

  • Riippuvuuksien ja organisaation keskeisten omaisuuserien ja liiketoimintojen väliset suhteet
  • Riippuvuudet, jotka muodostavat mahdollisia vikapisteitä kriittisille palveluille.

Varmistetaan, että asiaankuuluvalle henkilöstölle tiedotetaan näistä riippuvuuksista ja niihin liittyvistä riskeistä.

Tietoturvatavoitteiden huomioiminen riskien arvioinnissa

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Riskien hallinta
4
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
CC5.1: Control activities for mitigation of risks
SOC 2
30 § 2°: Évaluation des risques et mesures de gestion
NIS2 Belgium
§ 7: Risikovurdering
NIS2 NO
5.19: Informatiebeveiliging in relaties met leveranciers
NEN 7510
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietoturvatavoitteiden huomioiminen riskien arvioinnissa
1. Tehtävän vaatimuskuvaus

Organisaation on huomioitava riskit tietoturvatavoitteiden saavuttamiselle. Tavoitteiden saavuttamiseen liittyviä riskejä tulee lieventää asettamalla hallintakeinoja ainakin seuraaville osa-alueille:

  • Riskienarviointiprosessi
  • Organsiaatiokohtaiset tekijät, kuten ympäristö, luonto, organsiaation rakenne ja sen toimintojen laajuus
  • Olennaiset liiketoimintaprosessit

Riskien vakavuuden ja todennäköisyyden arviointi sekä käytetyt asteikot

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Riskien hallinta
13
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
ID.RA-4: Impacts on business
NIST
Article 6: ICT risk management framework
DORA
2.5: Riskienhallinta
TiHL tietoturvavaatimukset
1.4.1: Management of Information Security Risks
TISAX
ID.RA-5: Threats, vulnerabilities, likelihoods, and impacts are used to determine risk
CyberFundamentals
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Riskien vakavuuden ja todennäköisyyden arviointi sekä käytetyt asteikot
1. Tehtävän vaatimuskuvaus

Organisaation on osana tietoturvariskien arviointia tehtävä arviot riskin toteutumisen vakavuudesta ja todennäköisyydestä.

Organisaatiolla on oltava selkeästi ohjeistettu riskiasteikko, jonka avulla jokainen riskien arviointiin osallistuva pystyy päättämään oikean tason vakavuudelle ja todennäköisyydelle.

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset
No items found.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu
Tutustu Digiturvamalliin
Aloita ilmainen kokeilu
Digiturvamallin avulla rakennat tietoturvallisen ja halutut vaatimukset täyttävän organisaation. Halusitko kehittää tietoturvan hallintaa yleisesti, raportoida omasta NIS2-valmiudesta tai hankkia ISO 27001 -sertifioinnin, Digiturvamalli yksinkertaistaa koko prosessia.
AI-pohjaiset parannussuositukset ja käyttäjäystävällinen työkalu varmistavat, että organisaationne voi olla luottavainen vaatimusten täyttymisestä ja keskittyä oman tietoturvan jatkuvaan parantamiseen.
Selkeä suunnitelma vaatimusten täyttämiseen
Aktivoi teille tärkeät vaatimuskehikot ja jalkauta niiden vaatimukset täyttäviä selkeitä toimenpiteitä.
Uskottavat raportit todisteiksi hyvästä tietoturvasta
Etene tehtävien avulla varmistaaksesi turvallisen toiminnan. Luo ammattimaisia ​​raportteja muutamalla napsautuksella.
AI-avusteiset parannussuositukset
Keskity vaikuttavimpiin parannuksiin Digiturvamallin suositusten avulla.

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin