Objective: It is important for each organization to know the information constituting its essential assets (e.g. business secrets, critical business processes, know-how, patents). They are referred to as information assets. An inventory ensures that the organization obtains an overview of its information assets. Moreover, it is important to know the supporting assets (e.g. IT systems, services/IT services, employees) processing these information assets.
Requirements (must): Information assets and other assets where security is relevant to the organization are identified and recorded.
- A person responsible for these information assets is assigned.
The supporting assets processing the information assets are identified and recorded:
- A person responsible for these supporting assets is assigned.
Requirements (should): A catalogue of the relevant information assets exists:
- The corresponding supporting assets are assigned to each relevant information asset,
- The catalogue is subject to regular review.
Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä sekä tietojärjestelmille nimetyistä omistajista. Omistaja vastaa järjestelmän tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti järjestelmään.
Järjestelmiin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:
Organisaation on ylläpidettävä listaa sen hallinnoimiin tietovarantoihin sisältyvistä tietoaineistoista.
Dokumentaation on sisällettävä vähintään seuraavat tiedot:
Organisaation on ylläpidettävä listaa hallinnoimistaan tietovarannoista sekä nimetyistä omistajista. Omistaja vastaa varannon tietojen täydentämisestä sekä mahdollisista muista digiturvatoimenpiteistä, jotka liittyvät tiiviisti tietovarantoon.
Tietovarantoihin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:
The organization shall list all relevant protected assets to determine ownership and to ensure that security measures cover all necessary items.
A large portion of the protected assets (including data sets, data systems, personnel / units, and partners) are treated through other tasks. In addition, the organization must list other important assets, which may be, depending on the nature of its operations, e.g. hardware (servers, network equipment, workstations, printers) or infrastructure (real estate, power generation, air conditioning). In addition the organization should make sure that relevant external devices are documented.
Tietoon ja tietojenkäsittelypalveluihin liittyvä suojattava omaisuus olisi luotteloitava. Tarkoituksena on varmistaa, että suojaus kattaa tarvittavan omaisuuden.
Luettelointia voidaan tehdä suoraan hallintajärjestelmässä, mutta organisaatiolla voi olla käytössä tietylle omaisuudelle (mm. koodivarastoille, tietokannoille, verkkolaitteille, mobiililaitteille, työasemille, palvelimille tai muulle fyysiselle omaisuudelle) muita, hyvin toimivia listauspaikkoja.
Kuvaa tässä tehtävässä, mitkä hallintajärjestelmän ulkopuoliset luettelot liittyvät suojattavan omaisuuden hallintaan.
Organisaation on ylläpidettävä listaa tarjotuista digipalveluista sekä näille nimetyistä omistajista. Omistaja vastaa palvelun tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti palveluun.
Digipalveluun liittyvä dokumentaatio sisältää mm. seuraavia tietoja:
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
