Identify the organisation’s processes for ICT risk management. This would normally include a) asset valuation, b) threat assessment, c) identifying existing security measures, d) risk identification, e) risk assessment, f) risk reporting, g) risk management, h) establishing or adjusting security measures to reduce risk, i) verifying that the security measures are working as intended. j) Establish processes for risk management if such do not exist. Ensure that the processes are tailored for the organisation and become an integrated part of the governance and security management of the organisation.
The organization has defined procedures for assessing and treating cyber security risks. The definition includes at least:
The task owner regularly checks that the procedure is clear and produces consistent results.
Ohjeiden noudattamista voidaan valvoa joko teknisesti tai suoraan kysymällä / testaamalla työntekijöiltä.
Tietoturvan hallintajärjestelmän tulisi valvoa sinne kirjattujen tehtävien ja ohjeistusten toteuttamista.
Tehtävän omistajan tulisi tarkastalle tietoturvan hallintajärjestelmän toteutustilannetta kokonaisuutena säännöllisesti.
Toteutettuja riskienhallintatoimenpiteitä sekä riskienhallinnan kokonaistilannetta tarkastalleen säännöllisesti.
Toimintamalli riskienhallinnan tilan seuraamiseen on selkeästi kuvattu.
Organisaation toimintaa uhkaavista kriittisistä riskeistä raportoidaan organisaation johdolle välittömästi.
Raportointia varten on olemassa selkeästi suunniteltu toimintamalli.
Organisaation on ottanut käyttöön asset-kohtaisen riskienhallinnan hallintajärjestelmän asetuksista.
Asset-kohtainen riskienhallinta asetetaan kattamaan kaikki relevantit omaisuustyypit, joiden kriittisyys nähdään riittävän suurena. Asset-kohtaista riskienhallintaa tulisi harkita ainakin seuraavien listausten yhteydessä:
Valitse oikea menetelmä riskinarviointia varten. Riskien tunnistamiseen ja arviointiin on olemassa useita erilaisia menetelmiä. On tärkeää, että organisaatio valitsee menetelmän, jonka avulla riskien arviointi on hallittavissa ja jonka avulla voidaan tunnistaa merkittävimmät riskit, keskustella niistä ja hallita niitä. Esimerkkejä erilaisista menetelmistä/viitekehyksistä ovat ISO/IEC 27005, NIST SP 800-30 ja Octave Allegro.
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
