Organisaatio pitää kirjaa tietojärjestelmän liittymistä muihin tietojärjestelmiin sekä liittymissä käytettävistä tiedonsiirtotavoista.

Jokaiselle tietojärjestelmälle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.

Omistajan tehtäviin kuuluu mm.:

• varmistaa omaisuuden dokumentointi
• varmistaa omaisuuden asianmukainen suojaus
• pääsyoikeuksien säännöllinen katselmointi
• varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa

Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.

Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä sekä tietojärjestelmille nimetyistä omistajista. Omistaja vastaa järjestelmän tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti järjestelmään.

Järjestelmiin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

• Järjestelmään liittyvät vastuut ja sen käyttötarkoitus
• Järjestelmän tietojen sijainti (käsitellään tarkemmin erillisessä tehtävässä)
• Kuvaus järjestelmän ylläpito- ja kehitysvastuista sekä tähän mahdollisesti liittyvät toimittajat (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa tietojärjestelmän pääsyoikeusroolit ja tunnistautumistavat (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa liittymät muihin järjestelmiin (käsitellään tarkemmin erillisessä tehtävässä)

Organisaatiolla tulisi olla määritelly ohjeet tietojärjestelmien yleisesti hyväksyttävälle käytölle sekä tarvittavien tunnistautumistietojen hallinnalle.

Tärkeäksi luokiteltujen tietojärjestelmien omistaja voi lisäksi määritellä, dokumentoida ja jalkauttaa tarkempia sääntöjä juuri tämän tietojärjestelmän käytöstä. Nämä saannöt voivat kuvata mm. tietoturvavaatimukset, jotka järjestelmän sisältävään tietoon liittyvät.

Tietojärjestelmälistausta on katselmoitava säännöllisesti, jotta varmistetaan sen tarkkuus, ajantasaisuus ja johdonmukaisuus.

Keskimäärin IT-pääkäyttäjä arvioi henkilöstön käyttävän n. 50 pilvipalvelua, kun todellinen määrä on 1 000. Useat näistä ovat tärkeitä henkilöstön tuottavuuden kannalta ja niitä käytetään organisaation verkon ulkopuolelta, joten palomuurisäännöillä ei haastetta ratkaista.

Pilvipalvelujen tunnistamiseen ja hallintaan keskittyvien järjestelmien avulla voit tunnistaa henkilöstön käyttämiä pilvipalveluita ja valvoa eri palvelujen käyttäjiä. Tämä auttaa mm.:

• määrittämään omaa riskitasoanne pilvipalveluissa olevan tiedon suhteen
• tarkistamaan palveluita tietoturvan suhteen
• pystymään raportoimaan vaatimusten mukaisesti esim. tietojen sijiannista ja kumppaneista

Organisaation on varmistettava, että tietojärjestelmiä asentaa, ylläpitää ja päivittää ainoastaan henkilöstö, jolla on siihen tarvittava ammattitaito ja asiantuntemus. Lisäksi on kuvattava tietojärjestelmiä asentavan, ylläpitävän ja päivittävän henkilön rooli ja vastuut suhteessa organisaation sekä tietojärjestelmän tuottajaan.

Organisaation on varmistettava, että tietojärjestelmiä ylläpidetään ja päivitetään valmistajan ohjeiden mukaisesti.