Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä sekä tietojärjestelmille nimetyistä omistajista. Omistaja vastaa järjestelmän tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti järjestelmään.

Järjestelmiin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

• Järjestelmään liittyvät vastuut ja sen käyttötarkoitus
• Järjestelmän tietojen sijainti (käsitellään tarkemmin erillisessä tehtävässä)
• Kuvaus järjestelmän ylläpito- ja kehitysvastuista sekä tähän mahdollisesti liittyvät toimittajat (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa tietojärjestelmän pääsyoikeusroolit ja tunnistautumistavat (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa liittymät muihin järjestelmiin (käsitellään tarkemmin erillisessä tehtävässä)

Varmuuskopiointiin käytettäviä tietovälineitä ja varmuuskopioiden palauttamista testataan säännöllisesti, jotta voidaan varmistua siitä, että hätätilanteessa niihin voidaan luottaa.

Varmuuskopioiden palauttamisesta ylläpidetään tarkkoja ja täydellisiä ohjeita. Toimintaohjeiden avulla seurataan varmuuskopioiden toimintaa ja varaudutaan varmuuskopioiden epäonnistumiseen.

Kuvaamme tietojärjestelmälistauksen yhteydessä, minkä järjestelmien suhteen vastuu varmuuskopioinnin toteutuksesta on itsellämme. Organisaation omalla vastuulla olevat varmuuskopiointiprosessit on dokumentoitu ja jokaiselle on määritelty omistaja. Dokumentaatio sisältää mm.:

• millä järjestelmällä ja kuinka usein varmuuskopiot toteutetaan?
• kuinka varmuuskopiot suojataan (salaus, fyysinen sijainti)?
• kuinka pitkään varmuuskopiot säilytetään?

Organisaation olisi säännöllisesti testattava ja todennettava toteutettujen turvavalvontatoimien ja järjestelmäkokoonpanojen tehokkuus.

Testauksen olisi katettava:

• yleiset turvatoimet
• järjestelmien turvalliset oletuskonfiguraatiot

Näiden testien tulokset, mukaan lukien havaitut puutteet ja korjaavat toimet, olisi dokumentoitava sen osoittamiseksi, että turvatoimenpiteet toimivat tarkoitetulla tavalla ja että järjestelmät säilyttävät turvallisen tilansa.

Organisaation on otettava käyttöön, toteutettava ja ylläpidettävä toimenpiteitä kriittisten kansallisten tietojen eheyden varmistamiseksi. Tämä voidaan saavuttaa toteuttamalla toimenpiteitä, joihin kuuluvat muun muassa seuraavat:

• Vähiten etuoikeuksia koskevan politiikan noudattaminen
• käyttää teknisiä valvontatoimia, kuten tiedostojen eheyden valvontaa (FIM), digitaalisia tarkistussummia tai digitaalisia allekirjoituksia.
• Otetaan käyttöön ja suojataan yksityiskohtaiset tarkastuslokit, joihin kirjataan turvallisesti kaikki kriittisiin kansallisiin tietoihin liittyvät käyttö-, muutos- ja poistotapahtumat.
• ottaa käyttöön varmuuskopiointiaikataulu kaikille kriittisille kansallisille tiedoille

Viranomaisen on varmistettava tietojärjestelmien saatavuus koko niiden elinkaaren ajan. Tämän vuoksi eri tietojärjestelmien saatavuusvaatimukset (etenkin pisin aika, jonka järjestelmä voi olla pois käytöstä, palautusaikatavoite sekä palautuspistetavoite).

Saatavuusvaatimusten toteutuksen tulee huomioida tietojärjestelmältä edellytettävä kuormituksen kesto, vikasietoisuus ja palautumisaika.

Lisäksi tarve saatavuutta suojaaville menettelyille on tunnistettu ja menettelyt on toteutettu kriittisille järjestelmille järjestelmäkohtaisesti räätälöidyillä suojauksilla. Suojauksiin voi sisältyä esimerkiksi keskeisten verkkoyhteyksien, laitteistojen ja sovellusten ajoympäristöjen kahdentamiset.