Objective: Non-compliance with legal, regulatory, or contractual provisions can create risks to the information security of customers and the own organization. Therefore, it is essential to ensure that these provisions are known and observed.
Requirements (must): Legal, regulatory, and contractual provisions of relevance to information security (see examples) are determined at regular intervals.
Policies regarding compliance with the provisions are defined, implemented, and communicated to the responsible persons.
Requirements (should): The integrity of records in accordance with the legal, regulatory, or contractual provisions and business requirements is considered.
Vaadittujen lakien, asetusten, standardien sekä sopimusvelvoitteiden noudattaminen voi olla yhtä suuri haaste, kuin jatkuvasti muuttuvan uhkaympäristön ja uusien kyberhyökkäysten muotojen käsittely.
Organisaation on dokumentoitava tietoturvallisuuteen liittyvät vaatimukset sekä organisaation toimintamalli niiden täyttämistä varten.
On tärkeää huomata, että iso osa vaatimuksista (esim. lait, standardit) ovat kehittyviä kokonaisuuksia. On suositeltavaa määritellä dokumentaatiolle tarkistusväli kuvaamaan sitä, millä frekvenssillä muutoksia vaatimuksissa on vähintään tarkasteltava.
Lainsäädännön, määräysten tai sopimuksellisten määräyksien noudattamatta jättäminen voi aiheuttaa riskejä organisaation tietoturvalle.
Jotta vaatimukset täyttyvät, organisaatiossa huolehditaan, että tietueiden eheys on oikeudellisten, sääntely- tai sopimusmääräysten ja liiketoimintavaatimusten mukaista.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
