Toimijan on tunnistettava, arvioitava ja hallittava riskejä, joita kohdistuu sen toiminnoissa tai palveluntarjonnassa käytettävien viestintäverkkojen ja tietojärjestelmien turvallisuuteen. Kyberturvallisuutta koskevalla riskienhallinnalla tulee estää tai minimoida poikkeamien vaikutus toimintaan, toiminnan jatkuvuuteen, palvelujen vastaanottajiin ja muihin palveluihin.
Toimijan on toteutettava riskienhallintatoimenpiteet, jotka ovat ajantasaisia, oikeasuhtaisia ja riittäviä suhteessa toiminnassa käytettäville viestintäverkoille ja tietojärjestelmille aiheutuviin riskeihin ja viestintäverkon tai tietojärjestelmän merkitykseen toimijan toiminnan ja palveluntarjonnan kannalta.
Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:
Järjestelmällisessä turvallisuustyössä merkittävien muutosten vaikutukset on arvioitava ennakkoon ja muutokset toteutettava systemaattisesti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.
Merkittäviä muutoksia voivat olla mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin sekä tietojärjestelmiin kohdistuvat muutokset. Muutoksia voidaan tunnistaa mm. johdon katselmuksissa sekä muuten toiminnan ohessa.
Organisaatio arvioi tietoturvaan liittyvien riskejä reagoimalla tilanteisiin, joissa tietoturva on lievästi tai vakavasti pettänyt. Dokumentaatio sisältää vähintään seuraavat asiat:
Riskikäsittelyn toteuttamisen jälkeen organisaatio arvioi jäljelle jäävän jäännösriskin tason riskikohtaisesti.
Jäännösriskin suhteen tehdään selkeä päätökset riskin omistajan toimesta joko riskin sulkemiseksi tai riskin palauttamiseksi käsittelyjonoon.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
