Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä sekä tietojärjestelmille nimetyistä omistajista. Omistaja vastaa järjestelmän tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti järjestelmään.
Järjestelmiin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:
Organisaation on ylläpidettävä listaa sen hallinnoimiin tietovarantoihin sisältyvistä tietoaineistoista.
Dokumentaation on sisällettävä vähintään seuraavat tiedot:
Organisaatio on määritellyt menettelyt tietoturvariskien arviointiin ja käsittelyyn. Määrittely sisältää ainakin:
Tehtävän omistaja tarkistaa säännöllisesti, että riskikriteerit ovat selkeitä ja tuottavat johdonmukaisia arvioita.
Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:
Toteutettuja riskienhallintatoimenpiteitä sekä riskienhallinnan kokonaistilannetta tarkastalleen säännöllisesti.
Toimintamalli riskienhallinnan tilan seuraamiseen on selkeästi kuvattu.
Organisaation on osana tietoturvariskien arviointia tehtävä arviot riskin toteutumisen vakavuudesta ja todennäköisyydestä.
Organisaatiolla on oltava selkeästi ohjeistettu riskiasteikko, jonka avulla jokainen riskien arviointiin osallistuva pystyy päättämään oikean tason vakavuudelle ja todennäköisyydelle.
Organisaation on ottanut käyttöön asset-kohtaisen riskienhallinnan hallintajärjestelmän asetuksista.
Asset-kohtainen riskienhallinta asetetaan kattamaan kaikki relevantit omaisuustyypit, joiden kriittisyys nähdään riittävän suurena. Asset-kohtaista riskienhallintaa tulisi harkita ainakin seuraavien listausten yhteydessä:
Riskikäsittelyn toteuttamisen jälkeen organisaatio arvioi jäljelle jäävän jäännösriskin tason riskikohtaisesti.
Jäännösriskin suhteen tehdään selkeä päätökset riskin omistajan toimesta joko riskin sulkemiseksi tai riskin palauttamiseksi käsittelyjonoon.