Organisaation tulee luoda ja ylläpitää kattava ja hyvin dokumentoitu riskienhallinan viitekehys.
Riskienhallinnan viitekehyksen tulisi sisältää ainakin:
joita käytetään kyberriskien hallintaan.
Riskienhallinnan viitekehys on tarkistettava vähintään kerran vuodessa.
Organisaatiolla on määritelty tietoturvariskien hallintaa koskeva politiikka, josta on tiedotettu asianomaisille sidosryhmille ja jonka ylin johto on hyväksynyt. Politiikkaan olisi sisällyttävä ainakin seuraavat asiat
Politiikka olisi pidettävä ajan tasalla, sitä olisi tarkistettava säännöllisesti ja siinä olisi otettava huomioon organisaatiomuutokset. Tehtävän omistajan olisi myös varmistettava, että politiikka on ymmärrettävä ja kaikkien osapuolten saatavilla.
Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:
Organisaatio on määritellyt menettelyt tietoturvariskien arvioimiseksi ja käsittelemiseksi. Menettelyihin sisältyy ainakin:
Tehtävän omistaja tarkistaa säännöllisesti, että menettely on selkeä ja tuottaa johdonmukaisia tuloksia.
Organisaatio kokoaa ammattitaitoisen uhkamallinnusryhmän, joka kartoittaa sovellusarkkitehtuurin, tunnistaa mahdolliset sisäänpääsypisteet, arvioi riskit, kehittää uhkaskenaarioita ja lieventämisstrategioita, dokumentoi ja priorisoi havainnot sekä päivittää uhkamalleja säännöllisesti sovellusten turvallisuuden parantamiseksi.
Organisaatio arvioi säännöllisesti uudelleen palveluntarjoajien vaatimustenmukaisuutta, seuraa julkaisutiedotteita, toteuttaa pimeän verkon valvontaa, käyttää keskitettyjä järjestelmiä, ylläpitää avointa viestintää, ottaa käyttöön häiriötilanteisiin reagoimista koskevat protokollat ja päivittää vuosittain valvontakäytäntöjä varmistaakseen jatkuvan yhdenmukaisuuden turvallisuusstandardien kanssa ja puuttuakseen mahdollisiin riskeihin.
Organisaatio kehittää palveluntarjoajille räätälöityjä arviointikriteerejä niiden luokittelun perusteella ja käyttää standardoituja raportteja, räätälöityjä kyselylomakkeita ja tarvittaessa paikan päällä tehtäviä tarkastuksia palveluntarjoajien turvallisuuden ja vaatimustenmukaisuuden arvioimiseksi.
Organisaatio on määritellyt menettelyt riskienhallintastrategian suorituskyvyn ja toteutuneiden riskien tulosten mittaamiseksi ja arvioimiseksi.
Tuloksista tiedotetaan ylimmälle johdolle ja muille asiaankuuluville sidosryhmille, ja tarvittavat toimet ja mukautukset toteutetaan.
The organization has a defined cybersecurity risk management policy and it has been communicated to relevant stakeholders and been approved by the top management. The policy should include at least:
The policy should be kept updated, reviewed periodically and reflect organizational changes. The task owner should also ensure that the policy is understandable and available to all parties.
Strategisilla mahdollisuuksilla voidaan puuttua organisaation kyberturvallisuusriskeihin ja parantaa yleistä strategista asemaa. Tunnista ja sisällytä ne organisaation kyberturvallisuusriskikeskusteluihin esimerkiksi seuraavilla tavoilla:
Valitse oikea menetelmä riskinarviointia varten. Riskien tunnistamiseen ja arviointiin on olemassa useita erilaisia menetelmiä. On tärkeää, että organisaatio valitsee menetelmän, jonka avulla riskien arviointi on hallittavissa ja jonka avulla voidaan tunnistaa merkittävimmät riskit, keskustella niistä ja hallita niitä. Esimerkkejä erilaisista menetelmistä/viitekehyksistä ovat ISO/IEC 27005, NIST SP 800-30 ja Octave Allegro.
Organisaatio suunnittelee ja priorisoi tietoturvariskien tunnistamiseen ja arviointiin liittyvät toimenpiteet tietoaineistojen luokittelun perusteella.
Organisaation on ottanut käyttöön asset-kohtaisen riskienhallinnan hallintajärjestelmän asetuksista.
Asset-kohtainen riskienhallinta asetetaan kattamaan kaikki relevantit omaisuustyypit, joiden kriittisyys nähdään riittävän suurena. Asset-kohtaista riskienhallintaa tulisi harkita ainakin seuraavien listausten yhteydessä:
Vastuu organisaatioiden ICT-riskien hallinnasta tulisi antaa toimijalle, joka on riittävän riippumaton riskienhallinnan suorittamiseksi ilman eturistiriitoja.
Riskienhallinnan riippumattomuus ja johtamis-, valvonta- ja auditointitoimien erottelu on varmistettava.
Organisaation johto vastaa, että:
Johdon tuki, ohjaus ja vastuu ilmenevät sillä, että organisaatiolla on ylimmän johdon hyväksymät turvallisuusperiaatteet, jotka kuvaavat organisaation tietoturvallisuustoimenpiteiden kytkeytymistä organisaation toimintaan. Tällä osoitetaan, että johto on sitoutunut organisaation turvallisuusperiaatteisiin ja periaatteet edustavat johdon tahtotilaa sekä tukevat organisaation toimintaa. Periaatteet voidaan kuvata monin eri tavoin, esimerkiksi yksittäisenä dokumenttina, osana yleisiä toimintaperiaatteita, politiikkaa tai strategiaa.
Organisaation on huomioitava riskit tietoturvatavoitteiden saavuttamiselle. Tavoitteiden saavuttamiseen liittyviä riskejä tulee lieventää asettamalla hallintakeinoja ainakin seuraaville osa-alueille:
Tietoturvariskien hallinnassa tehtävien tulee olla eriytettynä, mikäli ne eivät ole yhteensopivia.
Tilanteessa, jossa tehtävät eivät ole yhteensopivia, mutta tehtävien eriyttäminen ei ole käytännöllistä on kehitettävä erilliset hallintakeinot sen valvomista varten.
Organisaation on osana tietoturvariskien arviointia tehtävä arviot riskin toteutumisen vakavuudesta ja todennäköisyydestä.
Organisaatiolla on oltava selkeästi ohjeistettu riskiasteikko, jonka avulla jokainen riskien arviointiin osallistuva pystyy päättämään oikean tason vakavuudelle ja todennäköisyydelle.
Organisaation on luotava menettelykuvaus riskienhallintaprosesseille ja sen täytyy olla hyväksytty organisaatiossa. Organisaation on sovittava siitä organisaation sidosryhmien kanssa.
Organisaation täytyy määrittää hyväksyttävä taso riskeille. Taso lasketaan riskien todennäköisyyden, vakavuuden ja hallintakeinojen pohjalta.
Tietoturvariskien hallintaa toteuttaessaan organisaation on tunnistettava käsittelyä vaativat riskit ja määriteltävä näille käsittelysuunnitelmat, jotka usein koostuvat uusista tietoturvallisuustoimenpiteistä.
Organisaatio on määritellyt, kuinka säännöllisesti arvioidaan kokonaisuutena määriteltyjä käsittelysuunnitelmia ja niiden oikeasuhtaisuutta riskeille täytettyihin arvioihin (riskin vakavuus ja todennäköisyys) verrattuna.
Lainsäädäntöjohdannaisilla riskeillä viitataan eri maiden lainsäädännössä oleviin mahdollisuuksiin velvoittaa palveluntarjoaja toimimaan yhteistyössä kyseisen maan viranomaisten kanssa, ja tarjoamaan esimerkiksi suora tai epäsuora pääsy palvelun asiakkaiden salassa pidettäviin tietoihin. Lainsäädäntöjohdannaiset riskit voivat ulottua sekä salassa pidettävän tiedon fyysiseen sijaintiin sekä muun muassa toisesta maasta käsin hallintayhteyksien kautta toteutettavaan tietojen luovutukseen. Lainsäädäntöjohdannainen tietojen luovuttaminen ja tutkimusoikeus on useissa maissa rajattu koskevaksi poliisia sekä tiedusteluviranomaisia.
Riskienarvioinnin tulisi kattaa lainsäädäntöjohdannaiset riskit vähintään seuraavien tekijöiden osalta:
Organisaation tulee varmistaa, että lainsäädäntöjohdannaiset riskit eivät rajoita palvelun soveltuvuutta sen käyttötarkoitukseen. Lainsäädäntöjohdannaisten riskien arvioinnissa on otettu huomioon koko palvelun tuottamisessa käytetty toimitusketju, ja niiden valtioiden säännökset, joiden mukaisesti palvelua tuotetaan sekä riski tietojen oikeudettomasta paljastumisesta näiden valtioiden viranomaisille.
Fyysiset turvatoimet on mitoitettava riskien arvioinnin mukaisesti. Riskien arvioinnissa tulee ottaa huomioon esimerkiksi pääsyoikeuksien hallintaan ja muihin turvallisuusjärjestelyihin liittyviin prosesseihin sisällytettävät tiedonsaantitarpeen, tehtävien eriyttämisen ja vähimpien oikeuksien periaatteet. Fyysisiä turvatoimia koskevan riskien arvioinnin tulee olla säännöllistä ja osa organisaation riskienhallinnan kokonaisuutta. Arvioiduilla riskeillä on nimetyt omistajat.
Riskien arvioinnissa on otettava huomioon kaikki asiaan kuuluvat tekijät, erityisesti
seuraavat:
Organisaation toimintaa uhkaavista kriittisistä riskeistä raportoidaan organisaation johdolle välittömästi.
Raportointia varten on olemassa selkeästi suunniteltu toimintamalli.
Toteutettuja riskienhallintatoimenpiteitä sekä riskienhallinnan kokonaistilannetta tarkastalleen säännöllisesti.
Toimintamalli riskienhallinnan tilan seuraamiseen on selkeästi kuvattu.
Organisaation on tunnistettava sen toiminnan jatkuvuuden kannalta kriittiset toiminnot (esim. asiakkaalle tarjottavat palvelut).
Kriittisiin toimintoihin liittyviä riskejä tulisi tunnistaa, arvioida sekä käsitellä korostetusti sekä säännöllisesti yhteistyössä palveluntoimittajien kanssa.
Organisaatiossa on määritelty, kuinka tietoturvanäkökohdat integroidaan käytettyihin projektinhallintamenetelmiin. Käytössä olevien menetelmien tulee edellyttää:
Organisaation on huomioitava riskienhallintamenettelyjen tuottamat tulokset suunnitellessaan sisäisten auditointien aihepiirejä ja toteutusta sekä toteuttaessaan auditointeja.
Organisaation on arvioitava erilaisista syistä johtuvien toiminnankeskeytysten ja riskien aiheuttama mahdollinen vahinko toiminnalle. Tämän arvioinnin perusteella on priorisoitava jatkuvuussuunnittelussa eri teemoja, jotta suunnittelu keskittyy riskilähtöisesti tärkeimpiin asioihin.
Organisaation on harjoiteltava katastrofisuunnitelmien toteuttamista vuosittain tai aina merkittävästi suunnitelmaa muutettaessa.
Jos mahdollista, on hyödyllistä sisällyttää paikalliset viranomaiset mukaan harjoitukseen.
Tietoturvan hallintajärjestelmän tulisi valvoa sinne kirjattujen tehtävien ja ohjeistusten toteuttamista.
Tehtävän omistajan tulisi tarkastalle tietoturvan hallintajärjestelmän toteutustilannetta kokonaisuutena säännöllisesti.
Organisaatio arvioi tietoturvaan liittyvien riskejä reagoimalla tilanteisiin, joissa tietoturva on lievästi tai vakavasti pettänyt. Dokumentaatio sisältää vähintään seuraavat asiat:
Organisaatio ylläpitää luetteloa salassa pidettävän tiedon käsittelyä edellyttävistä työtehtävistä. Pääsyoikeus salassa pidettävään tietoon myönnetään vasta, kun henkilön työtehtävistä johtuva tiedonsaantitarve on selvitetty. Luettelo sisältää tiedon salassa pidettävien tietojen käsittelyoikeuksista suojaustasoittain.
Järjestelmällisessä turvallisuustyössä muutosten vaikutukset on arvioitava ennakkoon, muutokset on dokumentoitava selkeästi ja toteutettava systemaattisesti.
Suojaustasoilla IV-III muutostenhallinnassa käytetään seuraavia toimintatapoja:
Järjestelmällisessä turvallisuustyössä muutosten vaikutukset on arvioitava ennakkoon, muutokset on dokumentoitava selkeästi ja toteutettava systemaattisesti.
Suojaustasolla II muutostenhallinnassa käytetään seuraavia toimintatapoja:
Järjestelmällisessä turvallisuustyössä merkittävien muutosten vaikutukset on arvioitava ennakkoon ja muutokset toteutettava systemaattisesti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.
Merkittäviä muutoksia voivat olla mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin sekä tietojärjestelmiin kohdistuvat muutokset. Muutoksia voidaan tunnistaa mm. johdon katselmuksissa sekä muuten toiminnan ohessa.
Tietoturvan hallintajärjestelmän näkökulmasta poikkeamat ovat tilanteita, joissa:
Systemaattisessa tietoturvatyössä kaikki havaitut poikkeamat on dokumentoitava. Poikkeaman käsittelemiseksi organisaation on määritettävä ja toteutettava parannukset, joilla poikkeama korjataan.
Organisaation tulee huomioida kumppaneista aiheutuvat riskit tietoturvariskien hallinnassa. Tarvittaessa kriittisistä kumppaneista voidaan tehdä erillisiä teemakohtaisia riskiarvioita.
Organisaation riskinäkymistä raportoidaan organisaation johdolle säännöllisesti ja vähintään kerran vuodessa.
Riskikäsittelyn toteuttamisen jälkeen organisaatio arvioi jäljelle jäävän jäännösriskin tason riskikohtaisesti.
Jäännösriskin suhteen tehdään selkeä päätökset riskin omistajan toimesta joko riskin sulkemiseksi tai riskin palauttamiseksi käsittelyjonoon.
Organisaatiolla on toimintamalli riskienhallintaprosessin toimivuuden ja tehokkuuden jatkuvaan parantamiseen.
Parantamisessa voidaan hyödyntää mm. yleisiä standardeja (mm. ISO 27005) tai riskienhallintaan osallistuneiden henkilöiden palautteita.
Organisaatiolla on oltava ennalta suunniteltuja havaitsemiskeinoja muutoshallintamenettelyn laiminlyömisen havaitsemiseen.
Jos poikkeama muutoshallintamenettelystä havaitaan, sen käsittelyä tulisi jatkaa häiriöiden hallintaprosessin mukaisesti.
Organisaatiolla on oltava suunniteltuna säännöt kiireellisiä poikkeustilanteita, kuten hätätilanteita varten, joissa sääntöjä noudattamalla normaalista muutostenhallintamenettelystä voidaan poiketa.
Muutostenhallintamenettelystä poikkeamisen sääntöjen tulisi sisältää viittaukset ja vertaukset normaaliin muutostenhallintamenettelyyn sekä mm. tarvittavat todisteet toteutetusta poikkeamisesta.
Organisaatiossa suoritetaan säännöllisesti tietoturva-auditointia. Auditoinnin avulla tunnistetaan esimerkiksi tietojärjestelmiin sekä järjestelmätoimittajiin liittyviä puutteita ja kehitystarpeita.
Tärkeät auditointia suorittavat kumppanit kannattaa listata Muut sidosryhmät -osiossa.
Organisaatiolla täytyy olla salausavainten hallintaan liittyvä riskienhallintamenettely, joka sisältää riskien arvioinnin, käsittelyn ja seuraamisen.
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
