Digiturvamalli

Riskien hallinta

Teema-alueen vaatimukset

Teeman tehtävien osa-alueet

No items found.

Riskien hallinta

Vaatimuskategoriaan liittyvät vaatimukset

No items found.

Esimerkkejä vaatimuksiin liittyvistä tehtävistä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

No items found.

Riskien hallinta

Tämän vaatimuksen toteuttamiseen liittyvät tehtävät

Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.

Riskienhallinnan menettelykuvauksen määrittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio on määritellyt menettelyt tietoturvariskien arviointiin ja käsittelyyn. Määrittely sisältää ainakin:

  • Riskien tunnistamistavat
  • Tietoturvariskien analysoinnin menetelmät
  • Tietoturvariskien arvioinnin kriteerit (seuraukset ja todennäköisyys)
  • Riskien priorisointi ja käsittelyvaihtoehtojen sekä hallintakeinojen määrittely
  • Riskien hyväksymiskriteerit
  • Prosessin toteutussykli, resursointi ja vastuut

Tehtävän omistaja tarkistaa säännöllisesti, että riskikriteerit ovat selkeitä ja tuottavat johdonmukaisia arvioita.

Poikkeamien käsittely ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kun havaitaan poikkeama, organisaation on reagoitava poikkeamaan ja tilanteesta riippuen ryhdyttävä toimiin sen hallitsemiseksi ja korjaamiseksi tai käsiteltävä sen seurauksia.

Tehtävän omistaja vastaa siitä, että poikkeamat dokumentoidaan ja käsitellään. Omistaja myös tarkastelee poikkeamiin liittyvää dokumentaatiota säännöllisesti varmistaakseen, että merkittäville poikkeamille on määritetty parannukset.

Poikkeaman käsittelyn jälkeen toiminnan kehittämistä jatketaan hallintajärjestelmässä dokumentoitujen parannusten kautta.

Hallintajärjestelmän muutoshallintamenettely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Järjestelmällisessä turvallisuustyössä merkittävien muutosten vaikutukset on arvioitava ennakkoon ja muutokset toteutettava systemaattisesti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.

Merkittäviä muutoksia voivat olla mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin sekä tietojärjestelmiin kohdistuvat muutokset. Muutoksia voidaan tunnistaa mm. johdon katselmuksissa sekä muuten toiminnan ohessa.

Tehtävän omistaja vastaa muutosten käsittelystä, viestinnästä ja hyväksynnästä. Muutoksen mahdolliset vaikutukset käsitellään ja niihin liittyvät parannukset hallintajärjestelmään määritellään, joiden kautta työtä viedään eteenpäin.

Yleiset muutostenhallintamenettelyt (ST II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Järjestelmällisessä turvallisuustyössä muutosten vaikutukset on arvioitava ennakkoon, muutokset on dokumentoitava selkeästi ja toteutettava systemaattisesti.

Suojaustasolla II muutostenhallinnassa käytetään seuraavia toimintatapoja:

  • Tietojenkäsittelyyn liittyviin muutoksiin on määritelty muutoksenhallintamenettely (esim. määrittely, dokumentointi, riskien arviointi ja hallinta). Muutokset ovat jäljitettävissä.
  • Verkot, järjestelmät ja niihin liittyvät laitteet, ohjelmistot ja asetukset on dokumentoitu siten, että muutokset hyväksyttyyn kokoonpanoon pystytään havaitsemaan vertaamalla toteutusta dokumentaatioon.
  • Tietojenkäsittely-ympäristöjä tarkkaillaan luvattomien muutosten tai laitteistojen havaitsemiseksi.
  • Laitteistot suojataan luvattomien laitteiden (näppäilynauhoittimet ja vastaavat) liittämistä vastaan.

Yleiset muutostenhallintamenettelyt (ST IV-III)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Järjestelmällisessä turvallisuustyössä muutosten vaikutukset on arvioitava ennakkoon, muutokset on dokumentoitava selkeästi ja toteutettava systemaattisesti.

Suojaustasoilla IV-III muutostenhallinnassa käytetään seuraavia toimintatapoja:

  • Tietojenkäsittelyyn liittyviin muutoksiin on määritelty muutoksenhallintamenettely (esim. määrittely, dokumentointi, riskien arviointi ja hallinta). Muutokset ovat jäljitettävissä.
  • Verkot, järjestelmät ja niihin liittyvät laitteet, ohjelmistot ja asetukset on dokumentoitu siten, että muutokset hyväksyttyyn kokoonpanoon pystytään havaitsemaan vertaamalla toteutusta dokumentaatioon.
  • Tietojenkäsittely-ympäristöjä tarkkaillaan luvattomien muutosten tai laitteistojen havaitsemiseksi.

Ennakoiva riskien arviointi ja käsittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:

  • Riskin kuvaus
  • Riskin vakavuus ja todennäköisyys
  • Riskiä hallitsevat ohjeet ja hallintatehtävät
  • Riskin hyväksyttävyys

Tehtävän omistaja tarkastelee prosessia säännöllisesti. Omistaja varmistaa, että toistuvat tietoturvariskien arvioinnit tuottavat yhdenmukaisia, päteviä ja verrattavissa olevia tuloksia ja arvioi koko käsittelyprosessin vaikuttavuutta.

Häiriöperusteinen, reagoiva riskien arviointi ja käsittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio arvioi tietoturvaan liittyvien riskiejä reagoivasti, rohkaisemalla tietoturvahäiriöiden raportointiin sekä dokumentoimalla ja analysoimalla tarkasti kaikki tapahtuneet tietoturvahäiriöt. Dokumentaatio sisältää seuraavat asiat:

  • Häiriön kuvaus
  • Häiriöön liittyneet riskit
  • Riskin vakavuus ja todennäköisyys
  • Riskiä hallitsevat ohjeet ja hallintatehtävät
  • Riskin hyväksyttävyys

Tehtävän omistaja tarkastelee prosessia säännöllisesti. Omistaja varmistaa, että toistuvat tietoturvariskien arvioinnit tuottavat yhdenmukaisia, päteviä ja verrattavissa olevia tuloksia ja arvioi koko käsittelyprosessin vaikuttavuutta.

Säännöllinen jatkuvuussuunnittelu

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Joskus yllättävä tapahtuma, kuten tulipalo, tulva tai laiterikko, voi aiheuttaa toiminnan keskeytyksen. Jotta toimintaa pystyttäisiin jatkamaan mahdollisimman pian ja sujuvasti, tehdään jatkuvuussuunnittelua, eli suunnitellaan etukäteen toiminta poikkeustilanteiden varalle.

Organisaatio on muodostanut jatkuvuussuunnitelmat erilaisten toiminnan jatkuvuuden vaarantavien tapahtumien varalle ja päivittää niitä säännöllisesti. Suunnitelmat sisältävät myös ennalta ehkäiseviä ja korjaavia toimenpiteitä, jotta minimoitaisiin tapahtumien vaikutukset luottamuksellisen tiedon käsittelyyn ja säilyttämiseen.

Organisaation jatkuvuussuunnittelun säännöllinen katselmointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation tulisi säännöllisesti katselmoida tietoturvallisuuden jatkuvuuden hallintamekanismejansa, jotta voidaan varmistaa, että ne ovat päteviä ja vaikuttavia epäsuotuisissa tilanteissa.

Hallintamekanismien toimivuutta ja suorituskykyä tulisi testata säännöllisesti. Lisäksi toiminnan merkittävissä muutostilanteissa tulisi uudelleenarvioida hallintamekanismien riittävyyttä.

Tietoturvallisuuden jatkuvuutta koskevat vaatimukset

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation tulisi määrittää vaatimukset, jotka koskevat tietoturvallisuuden hallinnan jatkuvuutta kriisin tai katastrofin aikana.

Tietoturvan hallinnassa voidaan joko olettaa, että tietoturvavaatimukset ovat samat epäsuotuisissa tilanteissa kuin normaaleissa toimintaolosuhteissa, tai pyrkiä erikseen määrittämään epäsuotuisiin tilanteisiin soveltuvat tietoturvavaatimukset.

Luettelo salassa pidettävän tiedon käsittelyä edellyttävistä työtehtävistä

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio ylläpitää luetteloa salassa pidettävän tiedon käsittelyä edellyttävistä työtehtävistä. Pääsyoikeus salassa pidettävään tietoon myönnetään vasta, kun henkilön työtehtävistä johtuva tiedonsaantitarve on selvitetty. Luettelo sisältää tiedon salassa pidettävien tietojen käsittelyoikeuksista suojaustasoittain.

Tietoturvan hallintajärjestelmän toteuttamisen säännöllinen sisäinen valvonta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietoturvan hallintajärjestelmän tulisi valvoa sinne kirjattujen tehtävien ja ohjeistusten toteuttamista.

Tehtävän omistajan tulisi tarkastalle tietoturvan hallintajärjestelmän toteutustilannetta kokonaisuutena säännöllisesti.

Säännöllinen ulkopuolinen tietoturvakäytäntöjen auditointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiossa suoritetaan säännöllisesti tietoturva-auditointia. Auditoinnin avulla tunnistetaan esimerkiksi tietojärjestelmiin sekä järjestelmätoimittajiin liittyviä puutteita ja kehitystarpeita.

Tärkeät auditointia suorittavat kumppanit kannattaa listata Muut sidosryhmät -osiossa.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.