Organisaation olisi määriteltävä kriteerit sille, milloin vaaratapahtumaa tai siihen liittyvien vaaratapahtumien sarjaa pidetään niin merkittävänä, että se edellyttää uutta riskinarviointia. Näin varmistetaan, että uhkia ja haavoittuvuuksia koskeva käsitys päivitetään vakavien tai toistuvien turvallisuuspoikkeamien jälkeen.

Lisäksi olisi oltava käytössä prosessi, jolla arvioidaan korjaavien toimien tehokkuutta niiden toteuttamisen jälkeen, ja valvonta, jolla varmistetaan, että dokumentoidut poikkeamaraportit suojataan asianmukaisesti, erityisesti jos ne sisältävät henkilötietoja.

Henkilötietojen tietoturvaloukkauksesta täytyy ilmoittaa valvontaviranomaiselle, mikäli loukkauksesta voi aiheutua riski ihmisten oikeuksille ja vapauksille. Rekisteröidyille on puolestaan ilmoitettava, mikäli loukkauksestta todennäköisesti aiheutuu korkean riski oikeuksille ja vapauksille. Ilmoituksen perusteella rekisteröidyt voivat esimerkiksi ryhtyä toimiin haittavaikutuksen pienentämiseksi (esim. sulkemalla luottokorttinsa).

Ilmoitukseen on sisällytettävä seuraavat tiedot:

• selkeä kuvaus henkilötietojen tietoturvaloukkauksesta
• tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa
• henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset
• toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on jo toteuttanut; tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

Häiriöiden ilmoittamiseen ylläpidetään prosessia, joka auttaa henkilöstöä ilmoittamaan häiriöistä tehokkaasti ja johdonmukaisesti.

Häiriönä ilmoitettavia asioita ovat mm.:

• luvaton pääsy tietoihin / tiloihin
• tietoturvaohjeiden vastainen toiminta
• epäilty tietoturvaongelma (esim. tietojenkalastelu, haittaohjelmatartunta)
• tietojärjestelmän käyttökatko
• tietojen tuhoutuminen / muuttuminen vahingossa tai tahallaan
• kadonnut tai varastettu laite
• vaarantunut salasana
• kadonnut fyysinen tunniste (esim. avaimenperä, älykortti, älytarra)
• epäilty tietoturvaheikkous (esim. käytetyssä tietojärjestelmässä tai muissa toimintatavoissa)

Henkilöstön ohjeissa korostetaan velvollisuutta raportoida tietoturvahäiriöistä mahdollisimman pian sovitun prosessin mukaisesti. Ohjeistus kuvaa myös muun toiminnan häiriön tapauksessa (mm. virheilmoitusten ja muiden yksityiskohtien kirjaaminen ylös).

Organisaatiolla on oltava prosessi tarvittavien tarkastusten suorittamiseksi varmistaakseen tietojen eheyden säilymisen ICT-häiriöstä toivuttaessa.

Tarkastus tulisi tehdä myös silloin, kun tietoja rekonstruoidaan ulkopuolisilta sidosryhmiltä sen varmistamiseksi, että tiedot ovat johdonmukaisia ja oikeita järjestelmien välillä.

Johdon on määriteltävä hallintavastuut ja luotava menettelyt, joilla taataan tehokas ja johdonmukainen reagointi tietoturvahäiriöihin.

Johdon on varmistettava mm.:

• häiriöiden hallinta on vastuutettu
• häiriöiden vastaamiseen, käsittelyyn ja raportointiin on dokumentoitu prosessi

Prosessin on varmistettava mm.:

• henkilöstöllä on selkeä yhteydenottopiste / -työkalu sekä ohjeistus häiriöiden raportoimiselle
• pätevä henkilöstö käsittelee raportoidut tietoturvahäiriöt tarpeeksi kattavasti

Tietoturvan hallintajärjestelmän näkökulmasta poikkeamat ovat tilanteita, joissa:

• organisaatioon kohdistuviin tietoturvavaatimuksiin ei löydy vastinetta hallintajärjestelmästä
• hallintajärjestelmässä määritellyt menettelyt, tehtävät tai ohjeistukset eivät toteudu organisaation arjen toiminnassa

Systemaattisessa tietoturvatyössä kaikki havaitut poikkeamat on dokumentoitava. Poikkeaman käsittelemiseksi organisaation on määritettävä ja toteutettava parannukset, joilla poikkeama korjataan.

Tietoturvahäiriöiden analysoinnista ja ratkaisemisesta saatua tietämystä olisi hyödynnettävä tulevien häiriöiden todennäköisyyden vähentämisessä ja niiden vaikutuksen pienentämisessä.

Organisaatio analysoi säännöllisesti tapahtuneita häiriöitä kokonaisuutena. Tässä prosessissa tutkitaan häiriöiden tyyppiä, määrää ja kustannuksia tavoitteena tunnistaa toistuvia ja vaikutuksiltaan merkittäviä häiriöitä.

Mikäli reagointia vaativia toistuvia häiriöitä tunnistetaan, niiden perusteella:

• luodaan uusia tai laajennetaan olemassaolevia tietoturvan hallintatehtäviä
• tarkennetaan tai laajennetaan tähän aihepiiriin liittyvää tietoturvaohjeistusta
• luodaan häiriöstä case-esimerkki, jota käytetään henkilöstön kouluttamiseksi vastaaviin tilanteisiin reagoimiseksi tai niiden välttämiseksi

Mikäli häiriön ensisijaisen käsittelyn perusteella on vaikeaa tunnistaa tietoturvahäiriön lähde, suoritetaan häiriölle erillinen jälkianalyysi, jossa lähde pyritään tunnistamaan.